《11端口安全端口绑定操作.docxVIP

11-端口安全-端口绑定操作目 录1 端口安全1.1 端口安全简介1.1.1 端口安全概述1.1.2 端口安全模式1.1.3 端口安全特性1.2 端口安全配置1.2.2 启动端口安全功能1.2.3 配置端口允许接入的最大MAC地址数1.2.4 配置端口安全模式1.2.5 配置端口安全的相关特性1.2.6 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN1.2.7 配置当前端口不应用RADIUS服务器下发的授权信息1.2.8 Secure MAC地址的相关配置1.3 端口安全配置显示1.4 端口安全配置举例1.4.1 端口安全autolearn模式配置举例1.4.2 端口安全macAddressWithRadius模式配置举例1.4.3 端口安全userLoginWithOUI模式配置举例1.4.4 端口安全macAddressElseUserLoginSecureExt模式配置举例1.4.5 端口安全macAddressAndUserLoginSecureExt模式配置举例1.4.6 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN配置举例2 端口绑定2.1 端口绑定配置2.1.1 端口绑定简介2.1.2 端口绑定配置2.2 端口绑定配置显示2.3 端口绑定配置举例2.3.1 端口绑定配置举例?1 端口安全 新增“端口安全支持Guest VLAN”特性，具体请参见1.2.6? 端口在macAddressOrUserLoginSecure安全模式下支持Guest VLAN。 新增“配置自动学习到的Secure MAC地址表项的老化时间”特性，具体请参见1.2.8? 2. 配置端口自动学习到的Secure MAC地址表项的老化时间。?1.1? 端口安全简介1.1.1? 端口安全概述端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。端口安全的主要功能就是用户通过定义各种安全模式，来控制端口上的MAC地址学习或对用户进行认证，从而让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过802.1x认证或MAC地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。1.1.2? 端口安全模式用户通过定义各种安全模式，从而使设备根据定义学习到合法的源MAC地址，以达到相应的网络管理效果。表1-1 端口安全模式描述表应用对应安全模式控制MAC地址学习autoLearnsecure端口采用802.1X认证UserloginuserLoginSecureuserLoginSecureExtuserLoginWithOUI端口采用MAC地址认证macAddressWithRadius端口采用MAC地址和802.1X组合认证and模式macAddressAndUserLoginSecuremacAddressAndUserLoginSecureExtelse模式macAddressElseUserLoginSecuremacAddressElseUserLoginSecureExtor模式macAddressOrUserLoginSecuremacAddressOrUserLoginSecureExt由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解： “userLogin”表示基于端口的802.1X认证； “macAddress”表示MAC地址认证； “and”表示基于端口的802.1X认证和MAC地址认证的双重认证，只有在这两个认证都成功后才允许接入网络； “Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式； “Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式； 携带“Secure”的userLogin表示基于MAC地址的802.1X认证。 携带“Ext”表示可允许多个802.1X用户认证成功。?1. autoLearn模式与secure模式 在autoLearn模式下，可通过手工配置或通过动态进行MAC学习，此时MAC地址称为Secure MAC；只有源MAC为Secure MAC或已配置的动态MAC的报文，才能通过该端口；当端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口不会再添加新的Secure