H3C S3100V2端口安全配置

2024-04-13 05:38
文章标签 配置 安全 端口 h3c s3100v2

本文主要是介绍H3C S3100V2端口安全配置,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、端口安全简介
       端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

       端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:MAC地址未被端口学习到的用户报文; 未通过认证的用户报文。

1、端口安全模式描述:

安全模式

工作机制

NTK/入侵检测

缺省情况

noRestrictions

表示端口的安全功能关闭,端口处于无限制状态

无效

端口控制MAC地址学习

autoLearn

端口可通过手工配置或自动学习MAC地址。这些新的MAC地址被称为安全MAC,并被添加到安全MAC地址表中

当端口下的安全MAC地址数超过端口安全允许学习的最大MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

该模式下,端口禁止学习动态MAC地址

可触发

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口

配置任务

说明

使能端口安全功能

必选

配置端口安全允许的最大MAC地址数

可选

配置端口安全模式

必选

配置端口安全的特性

配置Need To Know特性

可选

根据实际组网需求选择其中一种或多种特性

配置入侵检测特性

配置Trap特性

配置安全MAC地址

可选

配置当前端口不应用服务器下发的授权信息

可选

二、步骤说明:

1、使能端口安全功能

操作

命令

说明

进入系统视图

system-view

-

使能端口安全功能

port-security enable

必选

缺省情况下,端口安全功能处于关闭状态

2、配置端口安全允许的最大MAC地址数

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口安全允许的最大MAC地址数

port-security max-mac-count count-value

必选

缺省情况下,最大MAC地址数不受限制

3、配置端口安全安全模式

操作

命令

说明

进入系统视图

system-view

-

配置允许通过认证的用户OUI值

port-security oui oui-value index index-value

可选

缺省情况下,没有配置允许通过认证的用户OUI值

该命令仅在配置userlogin-withoui安全模式时必选

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的安全模式

port-security port-mode { autolearn | mac-authenticationmac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }

必选

缺省情况下,端口处于noRestrictions模式

4、配置入侵检测特性

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置入侵检测特性

port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

必选

缺省情况下,不进行入侵检测处理

退回系统视图

quit

-

配置系统暂时关闭端口连接的时间

port-security timer disableport time-value

可选

缺省情况下,系统暂时关闭端口连接的时间为20秒

5、配置安全MAC地址

在配置安全MAC地址之前,需要完成以下配置任务:

使能端口安全功能

设置端口安全允许的最大MAC地址数

 配置端口安全模式为autoLearn

操作

命令

说明

进入系统视图

system-view

-

配置安全MAC地址的老化时间

port-security timer autolearn aging time-value

可选

缺省情况下,安全MAC地址不会老化

配置安全MAC地址

在系统视图下

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

二者必选其一

缺省情况下,未配置安全MAC地址

在二层以太网端口视图下

interface interface-type interface-number

port-security mac-address security [ sticky ] mac-address vlan vlan-id

quit

进入二层以太网端口视图

interface interface-type interface-number

-

配置安全地址的老化方式为无流量老化

port-security mac-address aging-type inactivity

可选

缺省情况下,安全MAC地址按照固定时间进行老化,即在配置的安全MAC地址的老化时间到达后立即老化

将Sticky MAC地址设置为动态类型的安全MAC地址

port-security mac-address dynamic

可选

缺省情况下,Sticky MAC地址能够被保存在配置文件中,设备重启后也不会丢失

案例:

[office-2F-UPS-S3100I]port-security enable #使能端口安全

interface Ethernet1/0/4
 port access vlan 19
 port-security max-mac-count 1 #最多允许1个MAC地址
 port-security port-mode autolearn #端口安全模式
 port-security intrusion-mode disableport #入侵检测,并执行对应操作
 port-security mac-address security sticky f48e-38f8-e144 vlan 19 #检测到设备之后,自动绑定MAC和vlan

[office-2F-UPS-S3100I]display  port-security interface Ethernet  1/0/4
 Equipment port-security is enabled
 Intrusion trap is enabled
 AutoLearn aging time is 0 minutes
 Disableport Timeout: 20s
 OUI value:

 Ethernet1/0/4 is link-down
   Port mode is secure
   NeedToKnow mode is disabled
   Intrusion Protection mode is DisablePort
   Max MAC address number is 1
   Stored MAC address number is 1
   Authorization is permitted
   Security MAC address learning mode is sticky
   Security MAC address aging type is absolute

这篇关于H3C S3100V2端口安全配置的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/899271

相关文章

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

如何为Yarn配置国内源的详细教程

《如何为Yarn配置国内源的详细教程》在使用Yarn进行项目开发时,由于网络原因,直接使用官方源可能会导致下载速度慢或连接失败,配置国内源可以显著提高包的下载速度和稳定性,本文将详细介绍如何为Yarn... 目录一、查询当前使用的镜像源二、设置国内源1. 设置为淘宝镜像源2. 设置为其他国内源三、还原为官方

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

CentOS7更改默认SSH端口与配置指南

《CentOS7更改默认SSH端口与配置指南》SSH是Linux服务器远程管理的核心工具,其默认监听端口为22,由于端口22众所周知,这也使得服务器容易受到自动化扫描和暴力破解攻击,本文将系统性地介绍... 目录引言为什么要更改 SSH 默认端口?步骤详解:如何更改 Centos 7 的 SSH 默认端口1

Maven的使用和配置国内源的保姆级教程

《Maven的使用和配置国内源的保姆级教程》Maven是⼀个项目管理工具,基于POM(ProjectObjectModel,项目对象模型)的概念,Maven可以通过一小段描述信息来管理项目的构建,报告... 目录1. 什么是Maven?2.创建⼀个Maven项目3.Maven 核心功能4.使用Maven H

SpringBoot多数据源配置完整指南

《SpringBoot多数据源配置完整指南》在复杂的企业应用中,经常需要连接多个数据库,SpringBoot提供了灵活的多数据源配置方式,以下是详细的实现方案,需要的朋友可以参考下... 目录一、基础多数据源配置1. 添加依赖2. 配置多个数据源3. 配置数据源Bean二、JPA多数据源配置1. 配置主数据

Windows Docker端口占用错误及解决方案总结

《WindowsDocker端口占用错误及解决方案总结》在Windows环境下使用Docker容器时,端口占用错误是开发和运维中常见且棘手的问题,本文将深入剖析该问题的成因,介绍如何通过查看端口分配... 目录引言Windows docker 端口占用错误及解决方案汇总端口冲突形成原因解析诊断当前端口情况解

Spring 基于XML配置 bean管理 Bean-IOC的方法

《Spring基于XML配置bean管理Bean-IOC的方法》:本文主要介绍Spring基于XML配置bean管理Bean-IOC的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一... 目录一. spring学习的核心内容二. 基于 XML 配置 bean1. 通过类型来获取 bean2. 通过

如何使用Nginx配置将80端口重定向到443端口

《如何使用Nginx配置将80端口重定向到443端口》这篇文章主要为大家详细介绍了如何将Nginx配置为将HTTP(80端口)请求重定向到HTTPS(443端口),文中的示例代码讲解详细,有需要的小伙... 目录1. 创建或编辑Nginx配置文件2. 配置HTTP重定向到HTTPS3. 配置HTTPS服务器

SpringBoot中配置Redis连接池的完整指南

《SpringBoot中配置Redis连接池的完整指南》这篇文章主要为大家详细介绍了SpringBoot中配置Redis连接池的完整指南,文中的示例代码讲解详细,具有一定的借鉴价值,感兴趣的小伙伴可以... 目录一、添加依赖二、配置 Redis 连接池三、测试 Redis 操作四、完整示例代码(一)pom.