端口安全典型配置

1、1.13端口安全典型配置举例1.13.1端口安全autoLearn模式配置举例1.组网需求在Device的端口 GigabitEthernet2/0/1上对接入用户做如下的限制：允许64个用户自由接入，不进行认证，将学习到的用户MAC地址添加为StickyMAC地址，老化时间为30分钟；当安全MAC地址数量达到64后，停止学习；当再有新的MAC地址接入时，触发入侵检测，并将此端口关闭30秒。2.组网图图1-1端口安全autoLear n模式组网图配置步骤#使能端口安全。 system-viewDevice port-security enable#设置安全MAC地址的老化时间为30分钟。Dev

2、ice port-security timer autolearn aging 30#设置端口安全允许的最大安全MAC地址数为64。Device interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 port-security max-mac-count 64#设置端口安全模式为autoLearn。Device-GigabitEthernet2/0/1 port-security port-mode autolearn#设置触发入侵检测特性后的保护动作为暂时关闭端口，关闭时间为30秒。Device-GigabitEthernet2

3、/0/1 port-security intrusion-modedisableport-temporarilyDevice-GigabitEthernet2/0/1 quitDevice port-security timer disableport 30验证配置上述配置完成后，可以使用如下显示命令查看端口安全的配置情况。Device display port-security interface gigabitethernet 2/0/11.13.2端口安全userLoginWithOUI模式配置举例组网需求客户端通过端口 GigabitEthernet2/0/1连接到Device上，De

4、vice通过RADIUS服务 器对客户端进行身份认证，如果认证成功，客户端被授权允许访问Internet资源。IP地址为192.168.1.2的RADIUS服务器作为主认证服务器和从计费服务器，IP地址为192.168.1.3的RADIUS服务器作为从认证服务器和主计费服务器。认 证共享密钥为name，计费共享密钥为money。所有接入用户都使用ISP域sun的认证/授权/计费方法，该域最多可同时接入30个用户；系统向RADIUS服务器重发报文的时间间隔为5秒，重发次数为5次，发送实时计费报文的时间间隔为15分钟，发送的用户名不带域名。端口 GigabitEthernet2/0/1同时允许一个

5、802.1X用户以及一个与指定OUI值匹配的设备接入。组网图图1-2端口安全userLoginWithOUI模式组网图JAuthnticaljoi servers192.168.1.3/24HoslDeviceHoslDevice3.配置步骤(1) 配置AAA#配置RADIUS方案。 system-viewDevice radius scheme radsunDevice-radius-radsun primary authentication 192.168.1.2Device-radius-radsun primary accounting 192.168.1.3Device-radius

6、-radsun secondary authentication 192.168.1.3Device-radius-radsun secondary accounting 192.168.1.2Device-radius-radsun key authentication simple nameDevice-radius-radsun key accounting simple moneyDevice-radius-radsun timer response-timeout 5Device-radius-radsun retry 5Device-radius-radsun timer real

7、time-accounting 15Device-radius-radsun user-name-format without-domainDevice-radius-radsun quit#配置ISP域。Device domain sunDevice-isp-sun authentication lan-access radius-scheme radsunDevice-isp-sun authorization lan-access radius-scheme radsunDevice-isp-sun accounting lan-access radius-scheme radsunDe

8、vice-isp-sun quit配置802.1X#配置802.1X的认证方式为CHAP（该配置可选，缺省情况下802.1X的认证方 式为CHAP）Device dot1x authentication-method chap#指定端口上接入的802.1X用户使用强制认证域sun。Device interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 dot1x mandatory-domain sunDevice-GigabitEthernet2/0/1 quit（3） 配置端口安全#使能端口安全。Device port-secur

9、ity enable#添加5个OUI值。（最多可添加16个，此处仅为示例。最终，端口仅允许一个与 某OUI值匹配的用户通过认证）Deviceport-security ouiindex1mac-address1234-0100-1111Deviceport-security ouiindex2mac-address1234-0200-1111Deviceport-security ouiindex3mac-address1234-0300-1111Deviceport-security ouiindex4mac-address1234-0400-1111Deviceport-security ouiindex5mac-address1234-0500-1111#设置端口安全模式为userLoginWi