所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
端口安全配置命令

端口安全配置命令

display mac-address security

命令功能

display mac-address security命令用来查看系统当前存在的安全动态MAC地址表项。

命令格式

display mac-address security [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看指定接口学习到的安全动态MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

当接口下已经成功执行命令port-security enable,那么该接口学习到的MAC地址为安全动态MAC,将会记录到Security类型的MAC地址表项中。设备重启后,该类型的表项会自动被删除。

用户可通过本命令查看系统中安全动态MAC地址表项,可以根据查看的结果来判断学习到的安全动态MAC地址是否正确。

后续任务

用户通过本命令查看安全动态MAC地址表项后,若认为该表项已经无效,可通过undo mac-address secutiry命令删除系统当前存在的安全动态MAC地址表项。

注意事项

如果只输入display mac-address security,不指定任何参数,则显示所有的安全动态MAC地址表项。

如果MAC地址表中没有任何安全动态MAC表项,则执行本命令的显示结果为空。

当设备上存在大量安全动态MAC地址表项,使用本命令查看安全动态MAC地址表项时,推荐通过指定VLAN、接口对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看MAC地址表中所有安全动态MAC地址表项。

<HUAWEI> display mac-address security
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------                                                     
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age                                                            
-------------------------------------------------------------------------------                                                     
0022-0022-0033 100/-/-       10GE1/0/1           security            -       
-------------------------------------------------------------------------------                                                     
Total items: 1 
表16-84  display mac-address security命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display mac-address sticky

命令功能

display mac-address sticky命令用来查看系统当前存在的Sticky类型的MAC地址表项。

命令格式

display mac-address sticky [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看指定接口学习到的MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

当接口下已经成功执行命令port-security enable,那么该接口学习到的MAC地址表项会自动转换为安全动态MAC表项。设备重启后,该类型的表项会自动被删除。如果接口下同时执行了命令port-security mac-address sticky,那么该接口下的安全动态MAC表项会自动转化为Sticky类型MAC地址表项。设备重启后,Sticky类型MAC地址表项不会自动被删除。

用户可通过本命令查看系统中Sticky类型的MAC地址表项,可以根据查看的结果来判断配置或学习到的Sticky MAC地址是否正确。

后续任务

用户通过本命令查看Sticky类型的MAC地址表项后,若认为Sticky类型的MAC地址表项已经无效,可通过undo mac-address sticky命令删除系统当前存在的Sticky类型的MAC地址表项。

注意事项

如果只输入display mac-address sticky,不指定任何参数,则显示所有的Sticky类型的MAC地址表项。

如果MAC地址表中没有任何Sticky类型的MAC表项,则本命令的显示结果为空。

当设备上存在大量Sticky MAC地址表项,使用本命令查看Sticky MAC地址表项时,推荐通过指定VLAN、接口对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看MAC地址表中所有Sticky MAC地址表项。

<HUAWEI> display mac-address sticky
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------                                                     
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age                                                            
-------------------------------------------------------------------------------                                                     
0000-0000-0001 5/-/-         10GE1/0/1           sticky              -                                          
-------------------------------------------------------------------------------                                                     
Total items: 1
表16-85  display mac-address sticky命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display port-security

命令功能

display port-security命令用来查看端口安全信息。

命令格式

display port-security [ interface interface-type interface-number ]

参数说明

参数 参数说明 取值
interface interface-type interface-number

显示指定端口下的安全信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当设备上配置了端口安全功能后,可通过执行display port-security命令查看端口安全信息,以确定端口安全功能配置是否正确,避免合法用户无法正常通信。

使用实例

# 查看所有端口下安全信息。

<HUAWEI> display port-security
--------------------------------------------------------------------------------
SecurePort           MaxSecureAddr CurrentAddr SecurityViolation ProtectAction
                           (count)     (count)           (count)
--------------------------------------------------------------------------------
Eth-Trunk11                      1           0                 0 Restrict         
Eth-Trunk12                      1           0                 0 Restrict         
Eth-Trunk13                      1           0                 0 Restrict         
Eth-Trunk14                      1           0                 0 Restrict         
Eth-Trunk15                      1           0                 0 Restrict                  
--------------------------------------------------------------------------------
Total Secured MAC Addresses in System: 0

# 查看指定端口下的安全信息。

<HUAWEI> display port-security interface eth-trunk 1
Port Security              : Enabled
Port Status                : Secure-up
Protect Action             : Restrict
Aging Time(minutes)        : -
Aging Type                 : -
Maximum MAC Addresses      : 100
Total MAC Addresses        : 0
Configured MAC Addresses   : 2
Sticky MAC Addresses       : 0
Last Source MAC Address    : 0000-0000-0000
Last Source VLAN ID        : -
Security Violation Count   : 0
表16-86  display port-security命令输出信息描述

项目

描述

SecurePort

标识配置了安全功能的端口。

MaxSecureAddr (count)/Maximum MAC Addresses

标识端口安全动态MAC学习限制数量。

CurrentAddr (count)

标识端口当前学习到的安全动态MAC数量。

SecurityViolation (count)/Security Violation Count

标识端口学习的安全动态MAC数量到达限制数的次数。

ProtectAction/Protect Action

标识端口安全保护动作:
  • Protect:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文。
  • Restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。
  • Error-down:当学习到的MAC地址数超过接口限制数时,将接口Error-Down,同时发出告警。

Total Secured MAC Addresses in System

标识所有端口上学习到的安全动态MAC和Sticky MAC总和。

Port Security

标识端口是否使能端口安全功能:
  • Enabled
  • Disabled

Port Status

标识端口状态:
  • Secure-up:端口状态为Up。
  • Secure-down:端口状态为Down。

Aging Time(minutes)

标识端口学习到的安全动态MAC地址的老化时间,单位是分钟。

Aging Type

标识端口学习到的安全动态MAC地址的老化类型:
  • Absolute:老化类型为绝对时间老化。配置端口安全动态MAC地址的老化时间后,系统每隔设置的老化时间检测一次是否有该MAC的流量。若没有流量,则立即将该安全动态MAC地址老化。
  • Inactivity:老化类型为相对时间老化。配置端口安全动态MAC地址的老化时间后,系统每隔1分钟检测一次是否有该MAC的流量。若没有流量,则经过Aging Time(minutes)分钟后将该安全动态MAC地址老化。
  • -:未配置安全动态MAC地址的老化类型。

Total MAC Addresses

标识端口上学习到的安全动态MAC数量。

Configured MAC Addresses

标识端口上配置的Sticky MAC数量。

Sticky MAC Addresses

标识端口学习到的MAC地址转换为Sticky MAC的数量。

Last Source MAC Address

标识端口最后一个学习到的安全动态MAC地址。

Last Source VLAN ID

标识端口最后一个学习到的安全动态MAC地址所属的VLAN。

port-security aging-time

命令功能

port-security aging-time命令用来配置端口安全动态MAC地址的老化时间。

undo port-security aging-time命令用来取消该端口安全动态MAC地址的老化时间,使该接口的安全动态MAC地址不老化。

缺省情况下,没有配置老化时间,即安全动态MAC地址不老化。

命令格式

port-security aging-time time [ type { absolute | inactivity } ]

undo port-security aging-time

参数说明

参数

参数说明

取值

time

安全动态MAC地址的老化时间。

整数形式,取值范围是1~1440。单位为分钟。

type

安全动态MAC地址的老化类型。

缺省值为absolute,即绝对时间老化。

absolute

配置老化类型为绝对时间老化。配置端口安全动态MAC地址的老化时间后,系统每隔time分钟检测一次是否有该MAC的流量。若没有流量,则立即将该安全动态MAC地址老化。

-

inactivity

配置老化类型为相对时间老化。配置端口安全动态MAC地址的老化时间后,系统每隔1分钟检测一次是否有该MAC的流量。若没有流量,则经过time分钟后将该安全动态MAC地址老化。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

执行port-security enable命令配置端口安全功能后,学习到的MAC地址变为安全动态MAC。缺省情况下,安全动态MAC地址不会被老化。当学习到的MAC地址达到限制数量后,将不再学习新的MAC地址。

若用户只在一段时间内信任该接口学习到的MAC地址,则可以使用port-security aging-time命令配置端口安全动态MAC地址的老化时间,使接口学习到的安全动态MAC地址变为可老化。

前置条件

使能端口安全功能后,才可以执行port-security aging-time命令。

注意事项

多次执行此命令,按最后一次配置生效。

使用实例

# 配置10GE1/0/1接口的安全动态MAC的老化时间为30分钟。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] port-security enable
[*HUAWEI-10GE1/0/1] port-security aging-time 30

port-security enable

命令功能

port-security enable命令用来使能端口安全功能。

undo port-security enable命令用来关闭端口安全功能。

缺省情况下,端口安全功能未使能。

命令格式

port-security enable

undo port-security enable

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

执行port-security enable命令配置端口安全功能后,学习到的MAC地址变为安全动态MAC。缺省情况下,安全动态MAC地址不会被老化,但可以通过配置老化时间使其变为可以老化,设备重启后安全动态MAC地址会丢失,需要重新学习。

  • 公司为了防止外来人员使用自己带来的电脑访问公司网络,可以配置端口安全功能。
  • 公司为了防止本公司员工私下更换位置,可以配置端口安全功能。

注意事项

使能端口安全功能后,才可以配置端口安全保护动作、安全动态MAC学习限制数量、Sticky MAC功能。

端口安全功能与基于接口的MAC地址学习限制功能相冲突,不能在同一接口下配置port-security enablemac-address limit maximum命令。

端口安全功能与MUX VLAN功能相冲突,不能在同一接口下配置port-security enableport mux-vlan enable命令。

不能在同一接口下配置port-security enabledhcp snooping sticky-mac命令。

配置mac-address learning disable后再配置端口安全,端口安全功能不生效。如果先配置端口安全再配置mac-address learning disable,设备将不再学习MAC地址,但之前学习到的安全MAC地址会保留。

使用实例

# 配置10GE1/0/2接口的端口安全功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/2
[~HUAWEI-10GE1/0/2] port-security enable

port-security mac-address sticky

命令功能

port-security mac-address sticky命令用来使能接口Sticky MAC功能。

undo port-security mac-address sticky命令用来去使能接口Sticky MAC功能。

缺省情况下,接口的Sticky MAC功能未使能。

命令格式

port-security mac-address sticky [ mac-address vlan vlan-id ]

undo port-security mac-address sticky [ mac-address vlan vlan-id ]

参数说明

参数

参数说明

取值

mac-address

配置为Sticky MAC的MAC地址。

说明:
端口组视图下不支持该参数。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为广播地址(FFFF-FFFF-FFFF)和组播地址(第8bit为1的地址)

vlan vlan-id

配置VLAN的编号。

说明:
端口组视图下不支持该参数。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

执行port-security enable命令配置端口安全功能后,学习到的MAC地址变为安全动态MAC。

使能Sticky MAC功能后接口会将学习到的安全动态MAC地址转化为Sticky MAC。

如果当前的Sticky MAC数还没有达到接口限制数,对于新学到的动态MAC地址继续转化为Sticky MAC,如果已经达到限制数,将丢弃该接口学习到的非Sticky MAC表项中的MAC地址,并根据接口保护模式的配置,决定是否上送trap告警。

执行port-security mac-address sticky命令使能接口Sticky MAC功能后,可以执行port-security mac-address sticky mac-address vlan vlan-id命令手动配置一条Sticky MAC表项。

  • 公司为了防止外来人员使用自己带来的电脑访问公司网络,可以配置端口安全功能。
  • 公司为了防止本公司员工私下更换位置,可以配置端口安全功能。

前置条件

执行port-security enable命令使能端口安全后,才可以配置Sticky MAC功能。

注意事项

可以手动配置一条或多条Sticky MAC表项,多次执行port-security mac-address sticky [ mac-address vlan vlan-id ]命令,配置结果是多次配置的累加。

使用实例

# 使能10GE1/0/1接口的Sticky MAC功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] port-security enable
[*HUAWEI-10GE1/0/1] port-security mac-address sticky

port-security maximum

命令功能

port-security maximum命令用来配置端口安全MAC地址学习限制数。

undo port-security maximum命令用来恢复端口安全MAC地址学习限制数为缺省值。

缺省情况下,接口MAC地址学习限制数为1。

命令格式

port-security maximum max-number

undo port-security maximum

参数说明

参数

参数说明

取值

max-number

端口安全MAC地址学习限制数。

整数形式,取值范围是1~4096。

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

配置端口安全功能后,可以通过执行port-security maximum命令限制接口的安全MAC地址学习数量。

前置条件

执行port-security enable命令使能端口安全功能后,才可以配置接口MAC地址学习限制数。

注意事项

在没有使能Sticky MAC的情况下,该接口限制数用于限制接口学习的安全动态MAC地址数和手动配置的安全静态MAC数。

在使能Sticky MAC的情况下,该接口限制数用于限制接口学习的Sticky MAC数及手动配置的Sticky MAC数和安全静态MAC数。

多次执行port-security maximum命令后,以最后一次配置为准。

说明:
端口安全的限制数对已经上线的用户没有影响,对新上线的用户有影响。

使用实例

# 配置10GE1/0/1接口的MAC地址学习限制数为5。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] port-security enable
[*HUAWEI-10GE1/0/1] port-security maximum 5

port-security protect-action

命令功能

port-security protect-action命令用来配置端口安全功能中当接口学习到的MAC地址数达到限制后的保护动作。

undo port-security protect-action命令用来配置端口安全功能的保护动作为缺省值。

缺省情况下,端口安全功能的保护动作为restrict

命令格式

port-security protect-action { protect | restrict | error-down }

undo port-security protect-action

参数说明

参数

参数说明

取值

protect

当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文。

-

restrict

当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文,同时发出告警。

-

error-down

当学习到的MAC地址数达到接口限制数时,接口将执行Error-Down操作,同时发出告警。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

配置端口安全功能后,可以通过执行port-security protect-action命令配置端口安全保护动作。

前置条件

执行port-security enable命令使能端口安全功能后,才可以配置端口安全保护动作。

注意事项

配置端口安全保护动作为error-down后,如果接口安全MAC地址学习数量达到上限,接口将会被Error-Down。Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。

接口被Error-Down时,建议先排除引起接口Error-Down的原因。有以下两种方式可以恢复接口状态:
  • 手动恢复(Error-Down发生后)

    当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。

  • 自动恢复(Error-Down发生前)

    如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause portsec-reachedlimit interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过display error-down recovery查看接口状态自动恢复信息。

    说明:

    此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。

本命令为覆盖式命令,每个接口只允许配置一个端口安全的保护动作参数,多次执行port-security protect-action命令后,以最后一次配置为准。

使用实例

# 配置10GE1/0/1端口安全功能的保护动作为protect

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] port-security enable
[*HUAWEI-10GE1/0/1] port-security protect-action protect

undo mac-address { security | sticky }

命令功能

undo mac-address { security | sticky }命令用来删除安全类型的MAC地址表项。安全MAC地址表项包括:安全动态MAC地址表项和Sticky MAC地址表项。

命令格式

undo mac-address { security | sticky } [ interface-type interface-number | vlan vlan-id ] *

参数说明

参数

参数说明

取值

interface-type interface-number

删除出接口为指定接口的安全MAC地址表项。

-

vlan vlan-id

删除VLAN ID为指定VLAN的安全MAC地址表项。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

security

删除安全动态MAC地址表项,即删除接口使能端口安全功能后学习到的MAC地址表项。

-

sticky

删除Sticky MAC地址表项,即删除接口使能Sticky MAC功能后学习到的MAC地址表项。

-

视图

系统视图

缺省级别

2:配置级

使用指南

接口使能端口安全后,该接口学习到的动态MAC地址表项就会转发为安全MAC地址表项。安全MAC地址表项默认是不会老化的。接口在达到端口安全的限制数之后,将无法继续学习新的MAC地址表项,从而导致新的用户MAC地址表项不能学习,流量进行广播转发。此时可以使用该命令手动删除不再使用的安全MAC地址表项。

删除安全MAC地址表项时,可以根据需要,只删除部分MAC地址表项。例如:
  • 不指定接口时,将删除全部接口下的该类型MAC地址。
  • 不指定VLAN时,将删除全部VLAN下的该类型MAC地址。

使用实例

# 删除接口为10ge1/0/1的所有安全动态MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address security 10ge 1/0/1

# 删除所有Sticky MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address sticky
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:17603

下载量:414

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页