05-端口安全命令
本章节下载: 05-端口安全命令 (159.83 KB)
目 录
1.1.2 display port-security mac-address block
1.1.3 display port-security mac-address security
1.1.4 port-security authorization ignore
1.1.6 port-security intrusion-mode
1.1.7 port-security mac-address security
1.1.8 port-security max-mac-count
1.1.11 port-security port-mode
1.1.12 port-security timer disableport
【命令】
display port-security [ interface interface-list ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口。表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
display port-security命令用来显示端口安全的配置信息、运行情况和统计信息。
需要注意的是,如果不指定参数interface interface-list,则显示所有端口的端口安全信息。
相关配置可参考命令port-security enable、port-security port-mode、port-security ntk-mode、port-security intrusion-mode、port-security max-mac-count、port-security mac-address security、port-security authorization ignore、port-security oui和port-security trap。
【举例】
# 显示所有端口的端口安全状态。
<Sysname> display port-security
Equipment port-security is enabled
AddressLearn trap is enabled
Intrusion trap is enabled
Dot1x logon trap is enabled
Dot1x logoff trap is enabled
Dot1x logfailure trap is enabled
RALM logon trap is enabled
RALM logoff trap is enabled
RALM logfailure trap is enabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 000d1a
Index is 2, OUI value is 003c12
GigabitEthernet2/0/1 is link-down
Port mode is UserloginWithOUI
NeedtoKnow mode is NeedToKnowOnly
Intrusion Portection mode is DisablePort
Max MAC address number is 50
Stored MAC address number is 0
Authorization is ignored
GigabitEthernet2/0/2 is link-down
Port mode is noRestriction
NeedtoKnow mode is disabled
Intrusion mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
表1-1 display port-security命令显示信息描述表
字段 |
描述 |
Equipment port-security |
端口安全的开启状态 |
AddressLearn trap |
端口学习告警的开启状态。若为enabled,则表示端口学习到新MAC地址时发出告警信息 |
Intrusion trap |
入侵检测告警的开启状态。若为enabled,则表示端口发现非法报文时发出告警信息 |
Dot1x logon trap |
802.1X认证成功告警的开启状态。若为enabled,则表示802.1X用户认证成功时发出告警信息 |
Dot1x logoff trap |
802. 1x认证用户下线告警的开启状态。若为enabled,则表示802.1X用户下线时发出告警信息 |
Dot1x logfailure |
802. 1x认证失败告警的开启状态。若为enabled,则表示802.1X用户认证失败时发出告警信息 |
RALM logon trap |
MAC地址认证成功告警的开启状态。若为enabled,则表示MAC地址认证成功时发出告警信息 |
RALM logoff trap |
MAC地址认证用户下线告警的开启状态。若为enabled,则表示MAC地址认证用户下线时发出告警信息 |
RALM logfailure trap |
MAC地址认证失败告警的开启状态。若为enabled,则表示MAC地址认证用户认证失败时发出告警信息 |
Disableport Timeout |
收到非法报文的端口暂时被关闭的时间,单位为秒 |
OUI value |
允许通过认证的用户的24位OUI值 |
Index |
OUI的索引 |
Port mode |
l 端口安全模式,包括以下几种: l autolearn l macAddressWithRadius l macAddressElseUserLoginSecure l macAddressElseUserLoginSecureExt l secure l userLogin l userLoginSecure l userLoginSecureExt l macAddressOrUserLoginSecure l macAddressOrUserLoginSecureExt l userLoginWithOUI |
NeedtoKnow mode is NeedToKnowOnly |
NeedtoKnow模式,包括以下三种: l NeedToKnowOnly:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 l NeedToKnowWithBroadcast:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 l NeedToKnowWithMulticast:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
Intrusion mode |
入侵检测特性模式,包括以下四种: l BlockMacAddress:表示将非法报文的源MAC地址加入阻塞MAC地址列表中 l DisablePort:表示将收到非法报文的端口永久关闭 l DisablePortTemporarily:表示将收到非法报文的端口暂时关闭一段时间 l NoAction:表示不进行入侵检测处理 |
Max MAC address number |
端口下允许学习的安全MAC地址的最大数目 |
Stored MAC address number |
端口下保存的安全MAC地址数目 |
Authorization |
服务器的授权信息是否被忽略的情况 l permitted:表示当前端口应用RADIUS服务器下发的授权信息 l ignored:表示当前端口不应用RADIUS服务器下发的授权信息 |
【命令】
display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-type interface-number:显示指定端口的阻塞MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的阻塞MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的阻塞MAC地址个数。
【描述】
display port-security mac-address block命令用来显示阻塞MAC地址信息。
需要注意的是,如果不指定任何参数,则显示所有阻塞MAC地址的信息。
相关配置可参考命令port-security intrusion-mode。
【举例】
# 显示所有阻塞MAC地址。
<Sysname> display port-security mac-address block
MAC ADDR From Port VLAN ID
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
000f-3d80-0d2d GigabitEthernet3/0/1 30
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 显示所有阻塞MAC地址计数。
<Sysname> display port-security mac-address block count
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 显示指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block vlan 1
MAC ADDR From Port VLAN ID
--- On slot 0, no mac address found ---
--- On slot 1, no mac address found ---
--- On slot 2, no mac address found ---
000f-3d80-0d2d GigabitEthernet3/0/1 30
--- On slot 3, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 显示指定端口下的阻塞MAC地址。
<Sysname> display port-security mac-address block interface gigabitethernet2/0/1
MAC ADDR From Port VLAN ID
000d-88f8-0577 GigabitEthernet2/0/1 1
--- On slot 2, 1 mac address(es) found ---
--- 1 mac address(es) found ---
# 显示指定端口下的在指定VLAN中的阻塞MAC地址。
<Sysname> display port-security mac-address block interface gigabitethernet 2/0/1 vlan 1
MAC ADDR From Port VLAN ID
000d-88f8-0577 GigabitEthernet2/0/1 1
--- On slot 2, 1 mac address(es) found ---
--- 1 mac address(es) found ---
表1-2 display port-security mac-address block命令显示信息描述表
字段 |
描述 |
MAC ADDR |
阻塞MAC地址 |
From Port |
阻塞MAC地址所在端口 |
VLAN ID |
端口所属VLAN |
2 mac address(es) found |
当前阻塞MAC地址数目 |
【命令】
display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface interface-type interface-number:显示指定端口的安全MAC地址信息。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:显示指定VLAN的安全MAC地址信息。其中,vlan-id表示VLAN编号,取值范围为1~4094。
count:统计符合条件的安全MAC地址个数。
【描述】
display port-security mac-address security命令用来显示安全MAC地址信息。
需要注意的是,如果不指定任何参数,则显示所有安全MAC地址的信息。
相关配置可参考命令port-security mac-address security。
【举例】
# 显示所有安全MAC地址。
<Sysname> display port-security mac-address security
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security GigabitEthernet2/0/1 NOAGED
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 2 mac address(es) found ---
# 显示所有安全MAC地址计数。
<Sysname> display port-security mac-address count
2 mac address(es) found
# 显示指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0002-0002-0002 1 Security GigabitEthernet2/0/1 NOAGED
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 2 mac address(es) found ---
# 显示指定端口下的安全MAC地址。
<Sysname> display port-security mac-address security interface gigabitethernet2/0/1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 1 mac address(es) found ---
# 显示指定端口下的在指定VLAN中的安全MAC地址。
<Sysname> display port-security mac-address security interface gigabitethernet 2/0/1 vlan 1
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000d-88f8-0577 1 Security GigabitEthernet2/0/1 NOAGED
--- 1 mac address(es) found ---
表1-3 display port-security mac-address命令显示信息描述表
字段 |
描述 |
MAC ADDR |
安全MAC地址 |
VLAN ID |
端口所属VLAN |
STATE |
添加的MAC地址类型 l Security:表示该项是安全MAC地址 |
PORT INDEX |
安全MAC地址所在端口 |
AGING TIME(s) |
安全MAC地址的存活时间 l NOAGED:表示该安全MAC地址不会被老化 |
2 mac address(es) found |
当前保存的安全MAC地址数目 |
【命令】
port-security authorization ignore
undo port-security authorization ignore
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
port-security authorization ignore命令用来配置端口不应用RADIUS服务器下发的授权信息。undo port-security port-mode ignore命令用来恢复缺省情况。
缺省情况下,端口应用RADIUS服务器下发的授权信息。
当用户通过RADIUS认证后,RADIUS服务器会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。
相关配置可参考命令display port-security。
【举例】
# 配置端口GigabitEthernet2/0/1不应用RADIUS服务器下发的授权信息。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security authorization ignore
【命令】
port-security enable
undo port-security enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
port-security enable命令用来使能端口安全功能。undo port-security enable命令用来关闭端口安全功能。
缺省情况下,端口安全功能处于关闭状态。
需要注意的是:
(1) 如果已全局开启了802.1X或MAC地址认证功能,则无法使能端口安全功能。
(2) 端口安全功能使能后,端口的如下配置会被自动恢复为(括弧内的)缺省情况,且以下配置不能再进行手动配置,只能随端口安全模式的改变由系统配置:
l 802.1X认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
(3) 端口安全功能关闭时,端口的如下配置会被自动恢复为(括弧内的)缺省情况:
l 端口安全模式(noRestrictions);
l 802.1X认证(关闭)、端口接入控制方式(macbased)、端口接入控制模式(auto);
l MAC地址认证(关闭)。
(4) 端口上有用户在线的情况下,端口安全功能无法关闭。
相关配置可参考命令display port-security、“安全分册/802.1X命令”中的命令dot1x、dot1x port-method和dot1x port-control以及“安全分册/MAC地址认证命令”中的命令mac-authentication。
【举例】
# 使能端口安全功能。
<Sysname> system-view
[Sysname] port-security enable
【命令】
port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
undo port-security intrusion-mode
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃,实现在端口上过滤非法流量的作用。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。阻塞MAC地址列表可以通过display port-security mac-address block命令查看。
disableport:表示将收到非法报文的端口永久关闭。
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
【描述】
port-security intrusion-mode命令用来配置入侵检测特性,对接收非法报文的端口采取相应的安全策略。undo port-security intrusion-mode命令用来缺省情况。
缺省情况下,不进行入侵检测处理。
需要注意的是,可以通过执行undo shutdown命令将断开的端口连接恢复。
相关配置可参考命令display port-security、display port-security mac-address block和port-security timer disableport。
【举例】
# 配置端口GigabitEthernet2/0/1的入侵检测特性被触发后,将非法报文的源MAC地址置为阻塞MAC。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security intrusion-mode blockmac
【命令】
在二层以太网端口视图下:
port-security mac-address security mac-address vlan vlan-id
在系统视图下:
port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id
undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]
【视图】
二层以太网端口视图/系统视图
【缺省级别】
2:系统级
【参数】
mac-address:安全MAC地址,格式为H-H-H。
interface interface-type interface-number:指定添加安全MAC地址的端口。其中,interface-type interface-number表示端口类型和端口编号。
vlan vlan-id:指定安全MAC地址所属的VLAN。其中,vlan-id表示VLAN编号,取值范围为1~4094。
【描述】
port-security mac-address security命令用来添加安全MAC地址。undo port-security mac-address security命令用来删除匹配的安全MAC地址。
缺省情况下,未配置安全MAC地址。
需要注意的是:
l 安全MAC地址的端口必须属于安全MAC地址所属的VLAN。
l 此命令只有在端口安全功能打开(使用命令port-security enable)且指定端口的端口安全模式为autoLearn(使用命令port-security port-mode autolearn)的时候才能配置成功。
l 删除安全MAC地址的命令只能在系统视图下执行。
相关配置可参考命令display port-security。
【举例】
# 启动端口安全功能,配置端口GigabitEthernet2/0/1的安全模式为autoLearn,并在系统视图下为该端口添加一条安全MAC地址:0001-0001-0002,该安全MAC地址属于VLAN 10。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
[Sysname-GigabitEthernet2/0/1] port-security port-mode autolearn
[Sysname-GigabitEthernet2/0/1] quit
[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 2/0/1 vlan 10
# 启动端口安全功能,配置端口GigabitEthernet2/0/1的安全模式为autoLearn,并在端口视图下为该端口添加一条安全MAC地址:0001-0002-0003,该安全MAC地址属于VLAN 4。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
[Sysname-GigabitEthernet2/0/1] port-security port-mode autolearn
[Sysname-GigabitEthernet2/0/1] port-security mac-address security 0001-0002-0003 vlan 4
【命令】
port-security max-mac-count count-value
undo port-security max-mac-count
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
count-value:端口允许的最大安全MAC地址数,取值范围为1~1024。
【描述】
port-security max-mac-count命令用来设置autoLearn模式下端口允许转发的最大安全MAC地址数。undo port-security max-mac-count命令用来恢复缺省情况。
缺省情况下,最大安全MAC地址数不受限制。
需要注意的是:
l 当端口工作于autoLearn模式时,无法更改端口允许的最大安全MAC地址数。
l 端口允许的最大安全MAC地址数不统计手工设置的静态MAC地址。
l 端口允许的最大安全MAC地址数不能小于当前端口下已保存的MAC地址数。
相关配置可参考命令display port-security。
【举例】
# 配置端口GigabitEthernet2/0/1允许的最大安全MAC地址数为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security max-mac-count 100
【命令】
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
undo port-security ntk-mode
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
ntk-withbroadcasts:仅发送目的地址为已认证的MAC地址或广播地址的报文。
ntk-withmulticasts:仅发送目的地址为已认证的MAC地址、广播地址或组播地址的报文。
ntkonly:仅发送目的地址为已认证的MAC地址的报文。
【描述】
port-security ntk-mode命令用来配置端口NeedToKnow特性。undo port-security ntk-mode命令用来恢复缺省配置。
缺省情况下,端口没有配置NeedToKnow特性,即所有报文都可成功发送。
NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
相关配置可参考命令display port-security。
【举例】
# 配置端口GigabitEthernet2/0/1的NeedToKnow特性为ntkonly,即仅发送目的地址为已认证的MAC地址的报文。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security ntk-mode ntkonly
【命令】
port-security oui oui-value index index-value
undo port-security oui index index-value
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。
index-value:标识此OUI的索引值,取值范围为1~16。
【描述】
port-security oui命令用来配置用户认证的OUI值,在端口安全模式为UserLoginWithOUI时使用。undo port-security oui命令用来删除指定索引的OUI值。
缺省情况下,没有设置用户认证的OUI值。
OUI指的是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。因此,当需要允许某些特殊设备的(有线接入)报文总是可以通过认证或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在企业网中使用,则该值就为A厂商设备的OUI。
需要注意的是,本命令设置的OUI值,只在端口安全模式为userLoginWithOUI时生效。
相关配置可参考命令display port-security。
【举例】
# 配置OUI值为000d2a,索引为4。
<Sysname> system-view
[Sysname] port-security oui 000d-2a10-0033 index 4
【命令】
port-security port-mode { autolearn | mac-authentication | mac-else-userlogin-secure | mac-else-userlogin-secure-ext | secure | userlogin | userlogin-secure | userlogin-secure-ext | userlogin-secure-or-mac | userlogin-secure-or-mac-ext | userlogin-withoui }
undo port-security port-mode
【视图】
端口视图
【缺省级别】
2:系统级
【参数】
表1-4 安全模式的参数解释表
参数 |
安全模式 |
说明 |
autolearn |
autoLearn |
此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中 当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口 |
mac-authentication |
macAddressWithRadius |
对接入用户采用MAC地址认证 |
mac-else-userlogin-secure |
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证; 对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 |
mac-else-userlogin-secure-ext |
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
secure |
secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口 |
userlogin |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 |
userlogin-secure |
userLoginSecure |
端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过; 此模式下,端口最多只允许一个802.1X认证用户接入 |
userlogin-secure-ext |
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
userlogin-secure-or-mac |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式,但802.1X认证优先级大于MAC地址认证 在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证。对于802.1X报文直接进行802.1X认证 |
userlogin-secure-or-mac-ext |
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
userlogin-withoui |
userLoginWithOUI |
与userLoginSecure模式类似,端口最多只允许一个802.1X认证用户接入 在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过 |
【描述】
port-security port-mode命令用来配置端口安全模式。undo port-security port-mode命令用来恢复缺省情况。
缺省情况下,端口处于noRestrictions模式,此时该端口下端口安全特性不生效。
需要注意的是:
l 端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口接入控制模式以及端口下的MAC地址认证使能配置互斥。
l 当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
l 配置端口安全autoLearn模式时,首先需要通过命令port-security max-mac-count设置端口允许的最大安全MAC地址数。
l 端口上有用户在线的情况下,端口安全模式无法改变。
相关配置可参考命令display port-security。
【举例】
# 使能端口安全功能,并配置端口GigabitEthernet2/0/1的端口安全模式为secure。
<Sysname> system-view
[Sysname] port-security enable
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security port-mode secure
# 将端口GigabitEthernet2/0/1的端口安全模式改变为userLogin。
[Sysname-GigabitEthernet2/0/1] undo port-security port-mode
[Sysname-GigabitEthernet2/0/1] port-security port-mode userlogin
【命令】
port-security timer disableport time-value
undo port-security timer disableport
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:端口静默时间,取值范围为20~300,单位为秒。
【描述】
port-security timer disableport命令用来配置系统暂时关闭端口连接的时间。undo port-security timer disableport命令用来恢复缺省情况。
缺省情况下,系统暂时关闭端口连接的时间为20秒。
当port-security intrusion-mode设置为disableport-temporarily模式时,系统暂时关闭端口连接的时间由该命令配置。
相关配置可参考命令display port-security。
【举例】
# 配置端口GigabitEthernet2/0/1的入侵检测特性被触发后,收到非法报文的端口暂时关闭30秒。
<Sysname> system-view
[Sysname] port-security timer disableport 30
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port-security intrusion-mode disableport-temporarily
【命令】
port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
undo port-security trap { addresslearned | dot1xlogfailure | dot1xlogoff | dot1xlogon | intrusion | ralmlogfailure | ralmlogoff | ralmlogon }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
addresslearned:端口学习告警。在端口学习到新MAC地址时发出告警信息。
dot1xlogfailure:802.1X认证失败告警。
dot1xlogon:802.1X认证成功告警。
dot1xlogoff:802.1X认证用户下线告警。
intrusion:发现非法报文告警。
ralmlogfailure:MAC地址认证失败告警。
ralmlogoff:MAC地址认证用户下线告警。
ralmlogon:MAC地址认证成功告警。
RALM(RADIUS Authenticated Login using MAC-address)是指基于MAC地址的RADIUS认证。
【描述】
port-security trap命令用来打开指定告警信息的发送开关。undo port-security trap命令用来关闭指定告警信息的发送开关。
缺省情况下,所有告警信息的发送开关处于关闭状态。
该过程使用了设备的Trap特性。Trap特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于用户对这些特殊的行为进行监控。
相关配置可参考命令display port-security。
【举例】
# 打开端口学习告警信息开关。
<Sysname> system-view
[Sysname] port-security trap addresslearned
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!