S5500V2
- 1关注
- 1收藏,1058浏览
最佳答案
配置端口安全,粘滞的端口安全
1.3 端口安全autolearn模式典型配置举例
1.3.1 适用产品和版本
表1 配置适用的产品与软件版本关系
产品 | 软件版本 |
S10500系列以太网交换机 | Release 1120系列,Release 1130系列,Release 1200系列 |
S5800&S5820X系列以太网交换机 | Release 1808 |
S5830系列以太网交换机 | Release 1115,Release 1118 |
S5500-EI&S5500-SI系列以太网交换机 | Release 2220 |
1.3.2 组网需求
如图1所示,用户通过Switch连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下:
· 最多同时允许64个用户通过交换机接入Internet,用户无需进行认证;
· 当用户数量超过设定值后,新用户无法通过Switch接入Internet。
图1 端口安全autolearn模式配置组网图
1.3.3 配置思路
· 配置交换机与用户相连端口的安全模式为autolearn。
· 为防止交换机与用户相连端口学习到的MAC地址的丢失,及安全MAC地址不老化会带来一些问题,需配置安全MAC地址并设定安全MAC地址老化时间(例如30分钟)。
· 设置最大安全MAC地址数为64,当再有新的MAC地址接入时,触发入侵检测,交换机输出对应的Trap信息,且交换机与用户相连端口被暂时断开连接,30秒后自动恢复端口的开启状态。
1.3.4 配置注意事项
· 当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
· 当端口工作于autoLearn模式时,无法更改端口安全允许的最大MAC地址数。
1.3.5 配置步骤
# 使能端口安全功能。
<Switch> system-view
# 设置Sticky MAC地址的老化时间为30分钟。
[Switch] port-security timer autolearn aging 30
# 设置端口允许的最大安全MAC地址数为64。
[Switch] interface GigabitEthernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-security max-mac-count 64
# 设置端口安全模式为autoLearn。
[Switch-GigabitEthernet1/0/1] port-security port-mode autolearn
# 设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒。
[Switch-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[Switch-GigabitEthernet1/0/1] quit
[Switch] port-security timer disableport 30
# 打开入侵检测告警信息开关,当发现非法报文输出Trap信息。
[Switch] port-security trap intrusion
[Switch] port-security enable
Please wait............................... Done.
1.3.6 验证配置
上述配置完成后,可以用display命令显示端口安全配置情况,如下:
<Switch> display port-security interface gigabitethernet 1/0/1
Equipment port-security is enabled
Intrusion trap is enabled
AutoLearn aging time is 30 minutes
Disableport Timeout: 30s
OUI value:
GigabitEthernet1/0/1 is link-up
Port mode is autoLearn
NeedToKnow mode is disabled
Intrusion Protection mode is DisablePortTemporarily
Max MAC address number is 64
Stored MAC address number is 0
Authorization is permitted
Security MAC address learning mode is sticky
Security MAC address aging type is absolute
可以看到端口的最大安全MAC数为64,端口模式为autoLearn,入侵检测Trap开关打开,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒。
配置完成后,允许地址学习,学习到的MAC地址数可以用上述命令显示,如学习到5个,那么存储的安全MAC地址数就为5,可以在端口视图下用display this命令查看学习到的MAC地址,如:
<Switch> system-view
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
port link-mode bridge
port-security max-mac-count 64
port-security port-mode autolearn
port-security intrusion-mode disableport-temporarily
port-security mac-address security sticky 0002-0000-0015 vlan 1
port-security mac-address security sticky 0002-0000-0014 vlan 1
port-security mac-address security sticky 0002-0000-0013 vlan 1
port-security mac-address security sticky 0002-0000-0012 vlan 1
port-security mac-address security sticky 0002-0000-0011 vlan 1
#
当学习到的MAC地址数达到64后,用命令display port-security interface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,Trap信息如下:
#Apr 26 12:47:14:210 2000 Switch PORTSEC/4/VIOLATION: Trap1.3.6.1.4.1.25506.2.26.1.3.2<hh3cSecureViolation>
An intrusion occurs!
IfIndex: 17825797
Port: 17825797
MAC Addr: E8:39:35:5F:31:91
VLAN ID: 1
IfAdminStatus: 2
并且可以通过下述命令看到端口安全将此端口关闭:
<Switch> display interface gigabitethernet 1/0/1
gigabitEthernet1/0/1 current state: DOWN ( Port Security Disabled )
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8927-ad7d
Description: GigabitEthernet1/0/1 Interface ......
30秒后,端口状态恢复:
[Switch-GigabitEthernet1/0/1] display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: GigabitEthernet1/0/1 Interface
......
此时,如通过命令undo port-security mac-address security手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址。
1.3.7 配置文件
S5500-SI系列交换机不支持port link-mode bridge命令。
#
port-security enable
port-security trap intrusion
port-security timer autolearn aging 30
port-security timer disableport 30
#
interface GigabitEthernet1/0/1
port link-mode bridge
port-security max-mac-count 64
port-security port-mode autolearn
port-security intrusion-mode disableport-temporarily
#
- 2021-12-05回答
- 评论(2)
- 举报
-
(0)
求完整命令 sys 进入后,然后打什么命令 比如192.168.1.189 绑定mac地址B0-26-28-40-8C-10
# 配置一条静态ARP 表项,IP 地址为192.168.1.1,对应的MAC 地址为00e0-fc01-0000,此条 ARP 表项对应的出接口为属于VLAN 10 的接口GigabitEthernet1/0/1。 [Switch] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1 # 查看静态ARP 表项信息。 [Switch] display arp static Type: S-Static D-Dynamic O-Openflow M-Multiport I-Invalid IP address MAC address VLAN Interface Aging Type 192.168.1.1 00e0-fc01-0000 10 GE1/0/1 N/A S
如果DHCP地址池的话,可以在DHCP地址池中进行IPmac绑定
如果没有可以用arp绑定
arp static 1.1.1.1 abcd-abcd-1234
- 2021-12-05回答
- 评论(4)
- 举报
-
(0)
arp static这种方式绑定后没绑定设备也能联网需要什么配置限制
求完整命令 sys 进入后 比如192.168.1.189 绑定mac地址B0-26-28-40-8C-10
arp static 192.168.1.189 B026-2840-8C10
绑定不住,命令打里之后保存了, 然后把电脑自动获取又是新IP地址不是绑定的192.168.1.189
arp static这种方式绑定后没绑定设备也能联网需要什么配置限制
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
# 配置一条静态ARP 表项,IP 地址为192.168.1.1,对应的MAC 地址为00e0-fc01-0000,此条 ARP 表项对应的出接口为属于VLAN 10 的接口GigabitEthernet1/0/1。 [Switch] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1 # 查看静态ARP 表项信息。 [Switch] display arp static Type: S-Static D-Dynamic O-Openflow M-Multiport I-Invalid IP address MAC address VLAN Interface Aging Type 192.168.1.1 00e0-fc01-0000 10 GE1/0/1 N/A S