H3C S3100V2端口安全配置

2024-04-13 05:38
文章标签 配置 安全 端口 h3c s3100v2

本文主要是介绍H3C S3100V2端口安全配置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、端口安全简介
       端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

       端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:MAC地址未被端口学习到的用户报文; 未通过认证的用户报文。

1、端口安全模式描述:

安全模式

工作机制

NTK/入侵检测

缺省情况

noRestrictions

表示端口的安全功能关闭,端口处于无限制状态

无效

端口控制MAC地址学习

autoLearn

端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中

当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

该模式下,端口禁止学习动态MAC地址

可触发

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

配置任务

说明

使能端口安全功能

必选

配置端口安全允许的最大MAC地址数

可选

配置端口安全模式

必选

配置端口安全的特性

配置Need To Know特性

可选

根据实际组网需求选择其中一种或多种特性

配置入侵检测特性

配置Trap特性

配置安全MAC地址

可选

配置当前端口不应用服务器下发的授权信息

可选

二、步骤说明:

1、使能端口安全功能

操作

命令

说明

进入系统视图

system-view

-

使能端口安全功能

port-security enable

必选

缺省情况下,端口安全功能处于关闭状态

2、配置端口安全允许的最大MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口安全允许的最大MAC地址数

port-security max-mac-count count-value

必选

缺省情况下,最大MAC地址数不受限制

3、配置端口安全安全模式

操作

命令

说明

进入系统视图

system-view

-

配置允许通过认证的用户OUI值

port-security oui oui-value index index-value

可选

缺省情况下,没有配置允许通过认证的用户OUI值

该命令仅在配置userlogin-withoui安全模式时必选

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的安全模式

port-security port-mode { autolearn | mac-authenticationmac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

必选

缺省情况下,端口处于noRestrictions模式

4、配置入侵检测特性

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置入侵检测特性

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

必选

缺省情况下,不进行入侵检测处理

退回系统视图

quit

-

配置系统暂时关闭端口连接的时间

port-security timer disableport time-value

可选

缺省情况下,系统暂时关闭端口连接的时间为20秒

5、配置安全MAC地址

在配置安全MAC地址之前,需要完成以下配置任务:

使能端口安全功能

设置端口安全允许的最大MAC地址数

 配置端口安全模式为autoLearn

操作

命令

说明

进入系统视图

system-view

-

配置安全MAC地址的老化时间

port-security timer autolearn aging time-value

可选

缺省情况下,安全MAC地址不会老化

配置安全MAC地址

在系统视图下

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

二者必选其一

缺省情况下,未配置安全MAC地址

在二层以太网端口视图下

interface interface-type interface-number

port-security mac-address security [ sticky ] mac-address vlan vlan-id

quit

进入二层以太网端口视图

interface interface-type interface-number

-

配置安全地址的老化方式为无流量老化

port-security mac-address aging-type inactivity

可选

缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化

将Sticky MAC地址设置为动态类型的安全MAC地址

port-security mac-address dynamic

可选

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失

案例:

[office-2F-UPS-S3100I]port-security enable #使能端口安全

interface Ethernet1/0/4
 port access vlan 19
 port-security max-mac-count 1 #最多允许1个MAC地址
 port-security port-mode autolearn #端口安全模式
 port-security intrusion-mode disableport #入侵检测,并执行对应操作
 port-security mac-address security sticky f48e-38f8-e144 vlan 19 #检测到设备之后,自动绑定MAC和vlan

[office-2F-UPS-S3100I]display  port-security interface Ethernet  1/0/4
 Equipment port-security is enabled
 Intrusion trap is enabled
 AutoLearn aging time is 0 minutes
 Disableport Timeout: 20s
 OUI value:

 Ethernet1/0/4 is link-down
   Port mode is secure
   NeedToKnow mode is disabled
   Intrusion Protection mode is DisablePort
   Max MAC address number is 1
   Stored MAC address number is 1
   Authorization is permitted
   Security MAC address learning mode is sticky
   Security MAC address aging type is absolute

这篇关于H3C S3100V2端口安全配置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/899271

相关文章

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数

SpringBoot配置Ollama实现本地部署DeepSeek

《SpringBoot配置Ollama实现本地部署DeepSeek》本文主要介绍了在本地环境中使用Ollama配置DeepSeek模型,并在IntelliJIDEA中创建一个Sprin... 目录前言详细步骤一、本地配置DeepSeek二、SpringBoot项目调用本地DeepSeek前言随着人工智能技

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

使用Python实现网络设备配置备份与恢复

《使用Python实现网络设备配置备份与恢复》网络设备配置备份与恢复在网络安全管理中起着至关重要的作用,本文为大家介绍了如何通过Python实现网络设备配置备份与恢复,需要的可以参考下... 目录一、网络设备配置备份与恢复的概念与重要性二、网络设备配置备份与恢复的分类三、python网络设备配置备份与恢复实