1、1.13端口安全典型配置舉例1.13.1端口安全autoLearn模式配置舉例1.組網需求在Device的端口 GigabitEthernet2/0/1上對接入用戶做如下的限制：允許64個用戶自由接入，不進行認證，將學習到的用戶MAC地址添加為StickyMAC地址，老化時間為30分鐘；當安全MAC地址數量達到64后，停止學習；當再有新的MAC地址接入時，觸發入侵檢測，并將此端口關閉30秒。2.組網圖圖1-1端口安全autoLear n模式組網圖配置步驟#使能端口安全。 system-viewDevice port-security enable#設置安全MAC地址的老化時間為30分鐘。Dev

2、ice port-security timer autolearn aging 30#設置端口安全允許的最大安全MAC地址數為64。Device interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 port-security max-mac-count 64#設置端口安全模式為autoLearn。Device-GigabitEthernet2/0/1 port-security port-mode autolearn#設置觸發入侵檢測特性后的保護動作為暫時關閉端口，關閉時間為30秒。Device-GigabitEthernet2

3、/0/1 port-security intrusion-modedisableport-temporarilyDevice-GigabitEthernet2/0/1 quitDevice port-security timer disableport 30驗證配置上述配置完成后，可以使用如下顯示命令查看端口安全的配置情況。Device display port-security interface gigabitethernet 2/0/11.13.2端口安全userLoginWithOUI模式配置舉例組網需求客戶端通過端口 GigabitEthernet2/0/1連接到Device上，De

4、vice通過RADIUS服務 器對客戶端進行身份認證，如果認證成功，客戶端被授權允許訪問Internet資源。IP地址為192.168.1.2的RADIUS服務器作為主認證服務器和從計費服務器，IP地址為192.168.1.3的RADIUS服務器作為從認證服務器和主計費服務器。認 證共享密鑰為name，計費共享密鑰為money。所有接入用戶都使用ISP域sun的認證/授權/計費方法，該域最多可同時接入30個用戶；系統向RADIUS服務器重發報文的時間間隔為5秒，重發次數為5次，發送實時計費報文的時間間隔為15分鐘，發送的用戶名不帶域名。端口 GigabitEthernet2/0/1同時允許一個

5、802.1X用戶以及一個與指定OUI值匹配的設備接入。組網圖圖1-2端口安全userLoginWithOUI模式組網圖JAuthnticaljoi servers192.168.1.3/24HoslDeviceHoslDevice3.配置步驟(1) 配置AAA#配置RADIUS方案。 system-viewDevice radius scheme radsunDevice-radius-radsun primary authentication 192.168.1.2Device-radius-radsun primary accounting 192.168.1.3Device-radius

6、-radsun secondary authentication 192.168.1.3Device-radius-radsun secondary accounting 192.168.1.2Device-radius-radsun key authentication simple nameDevice-radius-radsun key accounting simple moneyDevice-radius-radsun timer response-timeout 5Device-radius-radsun retry 5Device-radius-radsun timer real

7、time-accounting 15Device-radius-radsun user-name-format without-domainDevice-radius-radsun quit#配置ISP域。Device domain sunDevice-isp-sun authentication lan-access radius-scheme radsunDevice-isp-sun authorization lan-access radius-scheme radsunDevice-isp-sun accounting lan-access radius-scheme radsunDe

8、vice-isp-sun quit配置802.1X#配置802.1X的認證方式為CHAP（該配置可選，缺省情況下802.1X的認證方 式為CHAP）Device dot1x authentication-method chap#指定端口上接入的802.1X用戶使用強制認證域sun。Device interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 dot1x mandatory-domain sunDevice-GigabitEthernet2/0/1 quit（3） 配置端口安全#使能端口安全。Device port-secur

9、ity enable#添加5個OUI值。（最多可添加16個，此處僅為示例。最終，端口僅允許一個與 某OUI值匹配的用戶通過認證）Deviceport-security ouiindex1mac-address1234-0100-1111Deviceport-security ouiindex2mac-address1234-0200-1111Deviceport-security ouiindex3mac-address1234-0300-1111Deviceport-security ouiindex4mac-address1234-0400-1111Deviceport-security ouiindex5mac-address1234-0500-1111#設置端口安全模式為userLoginWi