1.13 端口平安典型配置举例1.13.1 端口平安autoLearn 模式配置举例1. 组网需求在 Device 的端口GigabitEthernet2/0/1 上对接入用户做如下的限制: 允许 64 个用户自由接入,不进行认证,将学习到的用户 MAC 地址添加为Sticky MAC 地址,老化时间为 30 分钟; 当平安 MAC 地址数量达到 64 后,停止学习;当再有新的MAC 地址接入时,触发入侵检测,并将此端口关闭 30 秒2. 组网图图 1-1 端口平安autoLearn 模式组网图3. 配置步骤# 使能端口平安 system-view [Device] port-security enable# 设置平安MAC 地址的老化时间为 30 分钟[Device] port-security timer autolearn aging 30# 设置端口平安允许的最大平安MAC 地址数为 64[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] port-security max-mac-count 64# 设置端口平安模式为autoLearn。
[Device-GigabitEthernet2/0/1] port-security port-mode autolearn# 设置触发入侵检测特性后的爱护动作为临时关闭端口,关闭时间为30 秒[Device-GigabitEthernet2/0/1] port-security intrusion-mode disableport-temporarily[Device-GigabitEthernet2/0/1] quit[Device] port-security timer disableport 304. 验证配置上述配置完成后,可以使用如下显示命令查看端口平安的配置状况[Device] display port-security interface gigabitethernet 2/0/11.13.2 端口平安userLoginWithOUI 模式配置举例1. 组网需求客户端通过端口GigabitEthernet2/0/1 连接到Device 上,Device 通过RADIUS 服务器对客户端进行身份认证,假如认证成功,客户端被授权允许访问Internet 资源 IP 地址为 192.168.1.2 的RADIUS 服务器作为主认证服务器和从计费服务器,IP地址为 192.168.1.3 的RADIUS 服务器作为从认证服务器和主计费服务器。
认证共享密钥为name,计费共享密钥为money 全部接入用户都使用ISP 域 sun 的认证/授权/计费方法,该域最多可同时接入 30个用户; 系统向RADIUS 服务器重发报文的时间间隔为5 秒,重发次数为 5 次,发送实时计费报文的时间间隔为 15 分钟,发送的用户名不带域名 端口 GigabitEthernet2/0/1 同时允许一个 802.1X 用户以及一个与指定OUI 值匹配的设备接入2. 组网图图 1-2 端口平安userLoginWithOUI 模式组网图3. 配置步骤(1) 配置 AAA# 配置RADIUS 方案 system-view [Device] radius scheme radsun[Device-radius-radsun] primary authentication 192.168.1.2 [Device-radius-radsun] primary accounting 192.168.1.3 [Device-radius-radsun] secondary authentication 192.168.1.3 [Device-radius-radsun] secondary accounting 192.168.1.2 [Device-radius-radsun] key authentication simple name [Device-radius-radsun] key accounting simple money[Device-radius-radsun] timer response-timeout 5 [Device-radius-radsun] retry 5[Device-radius-radsun] timer realtime-accounting 15 [Device-radius-radsun] user-name-format without-domain[Device-radius-radsun] quit# 配置 ISP 域。
[Device] domain sun[Device-isp-sun] authentication lan-access radius-scheme radsun [Device-isp-sun] authorization lan-access radius-scheme radsun [Device-isp-sun] accounting lan-access radius-scheme radsun [Device-isp-sun] quit(2) 配置 802.1X# 配置 802.1X 的认证方式为CHAP该配置可选,缺省状况下 802.1X 的认证方式为CHAP)[Device] dot1x authentication-method chap# 指定端口上接入的 802.1X 用户使用强制认证域sun[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] dot1x mandatory-domain sun [Device-GigabitEthernet2/0/1] quit(3) 配置端口平安# 使能端口平安。
[Device] port-security enable# 添加 5 个 OUI 值最多可添加16 个,此处仅为示例最终,端口仅允许一个与某 OUI 值匹配的用户通过认证)[Device] port-security oui index 1 mac-address 1234-0100-1111 [Device] port-security oui index 2 mac-address 1234-0200-1111 [Device] port-security oui index 3 mac-address 1234-0300-1111 [Device] port-security oui index 4 mac-address 1234-0400-1111[Device] port-security oui index 5 mac-address 1234-0500-1111# 设置端口平安模式为userLoginWithOUI[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] port-security port-mode userlogin-withoui [Device-GigabitEthernet2/0/1] quit。