12-端口安全-端口绑定操作课题.docVIP

目 录 第1章 端口安全 1-1 1.1 端口安全简介 1-1 1.1.1 端口安全概述 1-1 1.1.2 端口安全的特性 1-1 1.1.3 端口安全的模式 1-1 1.2 端口安全配置 1-4 1.2.1 启动端口安全功能 1-4 1.2.2 配置端口允许接入的最大MAC地址数 1-5 1.2.3 配置端口安全模式 1-6 1.2.4 配置端口安全的相关特性 1-7 1.2.5 配置当前端口不应用RADIUS服务器下发的授权信息 1-8 1.2.6 配置Security MAC地址 1-8 1.3 端口安全配置显示 1-9 1.4 端口安全配置举例 1-10 1.4.1 端口安全配置举例 1-10 第2章 端口绑定 2-1 2.1 端口绑定配置 2-1 2.1.1 端口绑定简介 2-1 2.1.2 端口绑定配置 2-1 2.2 端口绑定配置显示 2-1 2.3 端口绑定配置举例 2-2 端口安全 端口安全简介 端口安全概述 端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。 Port Security的主要功能就是用户通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。 启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过802.1x认证或MAC地址认证的事件，将被视为非法事件。 当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。 端口安全的特性 端口安全的特性包括： NTK特性：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被交换机发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。 Intrusion Protection特性：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC地址的报文，保证了端口的安全性。 Trap特性：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。 端口安全的模式 对于端口安全模式的具体描述，请参见表1-1。 端口安全模式描述表 安全模式类型 描述 特性说明 noRestriction 此模式下，端口处于无限制状态 此模式下，NTK特性和Intrusion Protection特性不会被触发 autolearn 此模式下，端口学习到的MAC地址会转变为Security MAC地址； 当端口下的Security MAC地址数超过port-security max-mac-count命令配置的数目后，端口模式会自动转变为secure模式； 之后，该端口不会再添加新的Security MAC，只有源MAC为Security MAC的报文，才能通过该端口 在左侧列出的模式下，当设备发现非法报文后，将触发NTK特性和Intrusion Protection特性 secure 禁止端口学习MAC地址，只有源MAC为端口已经学习到的Security MAC、已配置的静态MAC的报文，才能通过该端口 userlogin 对接入用户采用基于端口的802.1x认证 此模式下NTK特性和Intrusion Protection特性不会被触发 userLoginSecure 对接入用户采用基于MAC的802.1x认证，认证成功后端口开启，但也只允许认证成功的用户报文通过； 此模式下，端口最多只允许接入一个经过802.1x认证的用户； 当端口从noRestriction模式进入此安全模式时，端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 在左侧列出的模式下，当设备发现非法报文或非法事件后，将触发Need To Know特性和Intrusion Protection特性 userLoginSecureExt 与userLoginSecure类似，但端口下的802.1x认证用户可以有多个 userLoginWithOUI 与userLoginSecure类似，端口最多只允许一个802.1x认证用户，但同时，端口还允许一个OUI（Organizationally Unique Identifier 是一个全球唯一的标识符，是MAC地址的前24位）地址的报文通过； 当端口从noRestriction模式进入此模式时，端口下原有的动态MAC地址表项和已认