HP ProCurve 3500yl Series Access Security Manual

Category
Software
Type
Access Security Manual
HP Switch Software
3500 switches
3500yl switches
5400zl switches
6200yl switches
6600 switches
8200zl switches
Software version K.15.06
September 2011
Access Security Guide
HP Networking
3500 Switches
3500yl Switches
5400zl Switches
6200yl Switch
6600 Switches
8200zl Switches
Access Security Guide
September 2011
K.15.06
Hewlett-Packard Company
8000 Foothills Boulevard, m/s 5551
Roseville, California 95747-5551
www.hp.com/networking/support
© Copyright 2005–2011 Hewlett-Packard Development Company,
L.P. The information contained herein is subject to change with-
out notice. All Rights Reserved.
This document contains proprietary information, which is
protected by copyright. No part of this document may be
photocopied, reproduced, or translated into another lan-
gauge without the prior written consent of Hewlett-Packard.
Publication Number
5998-2703
September 2011
Applicable Products
HP Switch E3500-24 (J9470A)
HP Switch E3500-48 (J9472A)
HP Switch E3500-24-PoE (J9471A)
HP Switch E3500-48-PoE (J9473A)
HP Switch E3500yl-24G-PWR (J8692A)
HP Switch E3500yl-48G-PWR (J8693A)
HP Switch E5406zl (J8697A)
HP Switch E5406zl-48G-PoE+ (J9447A)
HP Switch E5412zl (J8698A)
HP Switch E5412zl-96G-PoE+ (J9448A)
HP Switch E6200yl-24G (J8992A)
HP Switch E8206zl (J9475A)
HP Switch E8212zl (J8715A/B)
HP Switch E6600-24G (J9263A)
HP Switch E6600-24G-4XG (J9264A)
HP Switch E6600-24G-24XG (J9265A)
HP Switch E6600-48G (J9451A)
HP Switch E6600-48G-4XG (J9452A)
Trademark Credits
Microsoft, Windows, and Microsoft Windows NT are U.S.
registered trademarks of Microsoft Corporation.
Software Credits and Notices
SSH on HP switches is based on the OpenSSH soft- ware
toolkit. This product includes software developed by the
OpenSSH Project for use in the OpenSSH Toolkit. For more
information on OpenSSH, visit www.openssh.com.
SSL on HP switches is based on the OpenSSL software
toolkit. This product includes software developed by the
OpenSSL Project for use in the OpenSSL Toolkit. For more
information on OpenSSL, visit
www.openssl.org.
This product includes cryptographic software written by
Eric Young (eay@cryptsoft.com). This product includes
software written by Tim Hudson ([email protected]).
Portions of the software on HP switches are based on the
lightweight TCP/IP (lwIP) software toolkit by Adam
Dunkels, and are covered by the following notices.
Copyright © 2001-2003 Swedish Institute of Computer
Science. All rights reserved. Redistribution and use in source
and binary forms, with or without modification, are
permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above
copyright notice, this list of conditions and the following
disclaimer.
2. Redistributions in binary form must reproduce the above
copyright notice, this list of conditions and the following
disclaimer in the documentation and/or other materials
provided with the distribution.
3. The name of the author may not be used to endorse or
promote products derived from this software without
specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS''
AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLU-
DING, BUT NOT LIMITED TO, THE IMPLIED WARRAN-
TIES OF MERCHANTABILITY AND FITNESS FOR A PAR-
TICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT
SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, IN-
DIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CON-
SEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIM-
ITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSI-
NESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSI-
BILITY OF SUCH DAMAGE.
This product includes software written by Adam Dunkels
Disclaimer
The information contained in this document is subject to
change without notice.
HEWLETT-PACKARD COMPANY MAKES NO WARRANTY
OF ANY KIND WITH REGARD TO THIS MATERIAL,
INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS
FOR A PARTICULAR PURPOSE. Hewlett-Packard shall not
be liable for errors contained herein or for incidental or
consequential damages in connection with the furnishing,
performance, or use of this material.
The only warranties for HP products and services are set
forth in the express warranty statements accompanying
such products and services. Nothing herein should be
construed as constituting an additional warranty. HP shall
not be liable for technical or editorial errors or omissions
contained herein.
Hewlett-Packard assumes no responsibility for the use or
reliability of its software on equipment that is not furnished
by Hewlett-Packard.
Hewlett-Packard Company
8000 Foothills Boulevard, m/s 5551
Roseville, California 95747-5551
www.hp.com/networking/support
Software End User License Agreement and
Hardware Limited Warranty
For the software end user license agreement and the
hardware limited warranty information for HP Networking
products, visit www.hp.com/networking/support.
iv
v
Contents
Product Documentation
About Your Switch Manual Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv
Electronic Publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxv
Software Feature Index. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
1 Security Overview
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
About This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
For More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
Access Security Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
Network Security Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-6
Getting Started with Access Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
Quick Start: Using the Management Interface Wizard . . . . . . . . . . . . 1-10
CLI: Management Interface Wizard . . . . . . . . . . . . . . . . . . . . . . . . 1-11
WebAgent: Management Interface Wizard . . . . . . . . . . . . . . . . . . 1-12
SNMP Security Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-13
Precedence of Security Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-15
Precedence of Port-Based Security Options . . . . . . . . . . . . . . . . . . . . 1-15
Precedence of Client-Based Authentication:
Dynamic Configuration Arbiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-15
HP E-Network Immunity Manager . . . . . . . . . . . . . . . . . . . . . . . . . 1-16
Arbitrating Client-Specific Attributes . . . . . . . . . . . . . . . . . . . . . . 1-17
HP PMC Identity Driven Manager (IDM) . . . . . . . . . . . . . . . . . . . . . . 1-20
2 Configuring Username and Password Security
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-1
Configuring Local Password Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
Menu: Setting Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
vi
CLI: Setting Passwords and Usernames . . . . . . . . . . . . . . . . . . . . . . . . . 2-6
Setting an Encrypted Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-9
WebAgent: Setting Passwords and Usernames . . . . . . . . . . . . . . . . . . 2-10
Saving Security Credentials in a Config File . . . . . . . . . . . . . . . . . . . 2-11
Benefits of Saving Security Credentials . . . . . . . . . . . . . . . . . . . . . . . . 2-11
Enabling the Storage and Display of Security Credentials . . . . . . . . 2-12
Security Settings that Can Be Saved . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-13
Executing Include-Credentials or Include-Credentials
Store-in-Config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-13
No Include-credentials store-in-config Option . . . . . . . . . . . . . . . 2-14
Local Manager and Operator Passwords . . . . . . . . . . . . . . . . . . . . . . . 2-15
Password Command Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-16
SNMP Security Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-17
802.1X Port-Access Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-18
TACACS+ Encryption Key Authentication . . . . . . . . . . . . . . . . . . . . . 2-18
RADIUS Shared-Secret Key Authentication . . . . . . . . . . . . . . . . . . . . 2-19
Include-Credentials Radius-Tacacs-Only Option . . . . . . . . . . . . . . . . 2-20
SSH Client Public-Key Authentication . . . . . . . . . . . . . . . . . . . . . . . . . 2-21
Displaying the Status of Include-Credentials on the Switch . . . . . . . 2-24
Storage States When Using Include-Credentials . . . . . . . . . . . . . . . . . 2-25
Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-26
Restrictions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-28
Encrypting Credentials in the
Configuration File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-29
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-29
Enabling Encrypt-Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-30
Displaying the State of Encrypt-Credentials . . . . . . . . . . . . . . . . . . . . 2-31
Affected Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-32
Important Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-33
Interaction with Include-Credentials Settings . . . . . . . . . . . . . . . . . . . 2-33
Front-Panel Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-34
When Security Is Important . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-34
Front-Panel Button Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-35
Clear Button . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-35
Reset Button . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-36
vii
Restoring the Factory Default Configuration . . . . . . . . . . . . . . . . 2-36
Configuring Front-Panel Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-37
Disabling the Clear Password Function of the Clear Button . . . 2-40
Re-Enabling the Clear Button and Setting or
Changing the “Reset-On-Clear” Operation . . . . . . . . . . . . . . . . . . 2-41
Changing the Operation of the Reset+Clear Combination . . . . . 2-42
Password Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-44
Disabling or Re-Enabling the Password Recovery Process . . . . . . . . 2-44
Password Recovery Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-46
3 Virus Throttling (Connection-Rate Filtering)
Overview of Connection-Rate Filtering . . . . . . . . . . . . . . . . . . . . . . . . . 3-1
Features and Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-2
General Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-3
Filtering Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-3
Sensitivity to Connection Rate Detection . . . . . . . . . . . . . . . . . . . . 3-4
Application Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-4
Operating Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-5
Unblocking a Currently Blocked Host . . . . . . . . . . . . . . . . . . . . . . 3-6
General Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-7
For a network that is relatively attack-free: . . . . . . . . . . . . . . . . . . . . . 3-7
For a network that appears to be under significant attack: . . . . . . . . . 3-8
Configuring Connection-Rate Filtering . . . . . . . . . . . . . . . . . . . . . . . . . 3-9
Global and Per-Port Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-9
Enabling Connection-Rate Filtering and Configuring
Sensitivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-10
Configuring the Per-Port Filtering Mode . . . . . . . . . . . . . . . . . . . 3-11
Example of a Basic Connection-Rate Filtering Configuration . . 3-12
Viewing and Managing Connection-Rate Status . . . . . . . . . . . . . . . . . 3-14
Viewing Connection-Rate Configuration . . . . . . . . . . . . . . . . . . . 3-14
Listing Currently-Blocked Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . 3-16
Unblocking Currently-Blocked Hosts . . . . . . . . . . . . . . . . . . . . . . 3-16
Configuring and Applying Connection-Rate ACLs . . . . . . . . . . . . . . 3-18
Connection-Rate ACL Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-19
viii
Configuring a Connection-Rate ACL Using
Source IP Address Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-20
Configuring a Connection-Rate ACL Using UDP/TCP Criteria . . . . . 3-22
Applying Connection-Rate ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-25
Using CIDR Notation To Enter the ACE Mask . . . . . . . . . . . . . . . . . . 3-25
Example of Using an ACL in a Connection-Rate Configuration . . . . 3-26
Connection-Rate ACL Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . 3-28
Connection-Rate Log and Trap Messages . . . . . . . . . . . . . . . . . . . . . . 3-30
4 Web and MAC Authentication
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-1
Web Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-2
MAC Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-2
Concurrent Web and MAC Authentication . . . . . . . . . . . . . . . . . . . . . . 4-3
Authorized and Unauthorized Client VLANs . . . . . . . . . . . . . . . . . . . . . 4-3
RADIUS-Based Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-4
Wireless Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-4
How Web and MAC Authentication Operate . . . . . . . . . . . . . . . . . . . . 4-5
Web-based Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
MAC-based Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-7
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-9
Operating Rules and Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10
Setup Procedure for Web/MAC Authentication . . . . . . . . . . . . . . . . . 4-12
Before You Configure Web/MAC Authentication . . . . . . . . . . . . . . . . 4-12
Configuring the RADIUS Server To Support MAC Authentication . . 4-15
Configuring the Switch To Access a RADIUS Server . . . . . . . . . . . . . 4-15
Configuring Web Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-18
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-18
Configuration Commands for Web Authentication . . . . . . . . . . . . . . 4-19
Show Commands for Web Authentication . . . . . . . . . . . . . . . . . . . . . . 4-26
Customizing Web Authentication HTML Files (Optional) . . . . . . . 4-32
Implementing Customized Web-Auth Pages . . . . . . . . . . . . . . . . . . . . 4-32
Operating Notes and Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-32
Customizing HTML Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-33
ix
Customizable HTML Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-34
Configuring MAC Authentication on the Switch . . . . . . . . . . . . . . . . 4-48
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-48
Configuration Commands for MAC Authentication . . . . . . . . . . . . . . 4-49
Configuring the Global MAC Authentication Password . . . . . . . 4-49
Configuring a MAC-based Address Format . . . . . . . . . . . . . . . . . 4-51
Configuring Custom Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-54
Web Page Display of Access Denied Message . . . . . . . . . . . . . . . 4-56
HTTP Redirect When MAC Address Not Found . . . . . . . . . . . . . . . . . 4-59
How HTTP Redirect Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-60
Diagram of the Registration Process . . . . . . . . . . . . . . . . . . . . . . . 4-62
Using the Restrictive-Filter Option . . . . . . . . . . . . . . . . . . . . . . . . 4-63
Show Command Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-63
Reauthenticating a MAC-Auth Client . . . . . . . . . . . . . . . . . . . . . . . 4-63
Configuring the Registration Server URL . . . . . . . . . . . . . . . . . . . 4-64
Unconfiguring a MAC-Auth Registration Server . . . . . . . . . . . . . 4-64
Operating Notes for HTTP Redirect . . . . . . . . . . . . . . . . . . . . . . . 4-64
Show Commands for MAC-Based Authentication . . . . . . . . . . . . . . . 4-65
Client Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-71
5 TACACS+ Authentication
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-1
Terminology Used in TACACS Applications: . . . . . . . . . . . . . . . . . . . . 5-2
General System Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-4
General Authentication Setup Procedure . . . . . . . . . . . . . . . . . . . . . . . 5-4
Configuring TACACS+ on the Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-7
Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-7
CLI Commands Described in this Section . . . . . . . . . . . . . . . . . . . . . . . 5-8
Viewing the Switch’s Current Authentication Configuration . . . . . . . 5-8
Viewing the Switch’s Current TACACS+
Server Contact Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-9
Configuring the Switch’s Authentication Methods . . . . . . . . . . . . . . . 5-10
Using the Privilege-Mode Option for Login . . . . . . . . . . . . . . . . . 5-10
Authentication Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-12
x
Configuring the TACACS+ Server for Single Login . . . . . . . . . . . . . . 5-12
Configuring the Switch’s TACACS+ Server Access . . . . . . . . . . . . . . 5-17
How Authentication Operates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-24
General Authentication Process Using a TACACS+ Server . . . . . . . . 5-24
Local Authentication Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-25
Using the Encryption Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
General Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
Encryption Options in the Switch . . . . . . . . . . . . . . . . . . . . . . . . . 5-27
Controlling WebAgent Access When
Using TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-28
Messages Related to TACACS+ Operation . . . . . . . . . . . . . . . . . . . . . 5-29
Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-30
6 RADIUS Authentication, Authorization, and Accounting
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-1
Authentication Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-1
Accounting Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-2
RADIUS-Administered CoS and Rate-Limiting . . . . . . . . . . . . . . . . . . . 6-2
RADIUS-Administered Commands Authorization . . . . . . . . . . . . . . . . 6-2
SNMP Access to the Switch’s Authentication Configuration MIB . . . 6-3
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-4
Switch Operating Rules for RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5
General RADIUS Setup Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-6
Configuring the Switch for RADIUS Authentication . . . . . . . . . . . . . 6-7
Outline of the Steps for Configuring RADIUS Authentication . . . . . . 6-8
1. Configure Authentication for the Access Methods
You Want RADIUS To Protect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-10
2. Enable the (Optional) Access Privilege Option . . . . . . . . . . . . . . . . 6-13
3. Configure the Switch To Access a RADIUS Server . . . . . . . . . . . . 6-15
4. Configure the Switch’s Global RADIUS Parameters . . . . . . . . . . . 6-18
Using Multiple RADIUS Server Groups . . . . . . . . . . . . . . . . . . . . . . . . 6-23
Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-23
Enhanced Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-24
Displaying the RADIUS Server Group Information . . . . . . . . . . . 6-26
xi
Cached Reauthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-28
Timing Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-29
Using SNMP To View and Configure
Switch Authentication Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-32
Changing and Viewing the SNMP Access Configuration . . . . . . . . . . 6-33
Local Authentication Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-36
Controlling WebAgent Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-37
Commands Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-38
Enabling Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-39
Displaying Authorization Information . . . . . . . . . . . . . . . . . . . . . . . . . 6-40
Configuring Commands Authorization on a RADIUS Server . . . . . . 6-40
Using Vendor Specific Attributes (VSAs) . . . . . . . . . . . . . . . . . . . 6-40
Example Configuration on Cisco Secure ACS for MS Windows 6-43
Example Configuration Using FreeRADIUS . . . . . . . . . . . . . . . . . 6-46
VLAN Assignment in an Authentication Session . . . . . . . . . . . . . . . . 6-47
Tagged and Untagged VLAN Attributes . . . . . . . . . . . . . . . . . . . . . . . . 6-47
Additional RADIUS Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-48
MAC-Based VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-51
Accounting Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-52
Accounting Service Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-52
Operating Rules for RADIUS Accounting . . . . . . . . . . . . . . . . . . . . . . 6-53
Acct-Session-ID Options in a Management Session . . . . . . . . . . . . . . 6-54
Unique Acct-Session-ID Operation . . . . . . . . . . . . . . . . . . . . . . . . 6-54
Common Acct-Session-ID Operation . . . . . . . . . . . . . . . . . . . . . . . 6-56
Configuring RADIUS Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-57
Steps for Configuring RADIUS Accounting . . . . . . . . . . . . . . . . . . . . . 6-57
1. Configure the Switch To Access a RADIUS Server . . . . . . . . . 6-58
2. (Optional) Reconfigure the Acct-Session-ID Operation . . . . . 6-60
3. Configure Accounting Types and the Controls for Sending
Reports to the RADIUS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-61
4. (Optional) Configure Session Blocking and Interim
Updating Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-66
Viewing RADIUS Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-67
General RADIUS Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-67
xii
RADIUS Authentication Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-69
RADIUS Accounting Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-71
Changing RADIUS-Server Access Order . . . . . . . . . . . . . . . . . . . . . . . 6-72
Creating Local Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-75
Configuring Groups for Local Authorization . . . . . . . . . . . . . . . . . . . . 6-76
Configuring a Local User for a Group . . . . . . . . . . . . . . . . . . . . . . . . . . 6-77
Displaying Command Authorization Information . . . . . . . . . . . . . . . . 6-79
Dynamic Removal of Authentication
Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-80
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-80
Configuring the RADIUS VSAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-80
Displaying the Port-access Information . . . . . . . . . . . . . . . . . . . . . . . . 6-82
Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-83
Messages Related to RADIUS Operation . . . . . . . . . . . . . . . . . . . . . . . 6-84
7 Configuring RADIUS Server Support for Switch Services
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-1
RADIUS Client and Server Requirements . . . . . . . . . . . . . . . . . . . . 7-1
Optional HP PCM+ and IDM Network
Management Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-2
RADIUS Server Configuration for CoS
(802.1p Priority) and Rate-Limiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-3
Applied Rates for RADIUS-Assigned Rate Limits . . . . . . . . . . . . . . . . . 7-5
Viewing the Currently Active Per-Port CoS and Rate-Limiting
Configuration Specified by a RADIUS Server . . . . . . . . . . . . . . . . . . . . 7-7
Configuring and Using Dynamic
(RADIUS-Assigned) Access Control Lists . . . . . . . . . . . . . . . . . . . . . . 7-11
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-11
Overview of RADIUS-Assigned, Dynamic ACLs . . . . . . . . . . . . . . . . . 7-15
Traffic Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-15
Contrasting RADIUS-Assigned and Static ACLs . . . . . . . . . . . . . . . . . 7-17
How a RADIUS Server Applies a RADIUS-Assigned ACL
to a Client on a Switch Port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-19
General ACL Features, Planning, and Configuration . . . . . . . . . . . . . 7-20
xiii
The Packet-filtering Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-21
Operating Rules for RADIUS-Assigned ACLs . . . . . . . . . . . . . . . . . . . 7-21
Configuring an ACL in a RADIUS Server . . . . . . . . . . . . . . . . . . . . . . . 7-23
Nas-Filter-Rule-Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-24
ACE Syntax in RADIUS Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-26
Example Using the Standard Attribute (92) In an IPv4 ACL . . . 7-28
Example Using HP VSA 63 To Assign IPv6 and/or IPv4 ACLs . . 7-30
Example Using HP VSA 61 To Assign IPv4 ACLs . . . . . . . . . . . . 7-33
Configuration Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-35
Configuring the Switch To Support RADIUS-Assigned
ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-36
Displaying the Current RADIUS-Assigned ACL Activity
on the Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-38
Event Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-43
Causes of Client Deauthentication Immediately
After Authenticating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-43
Monitoring Shared Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-43
8 Configuring Secure Shell (SSH)
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-1
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
Prerequisite for Using SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Public Key Formats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Steps for Configuring and Using SSH
for Switch and Client Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-5
General Operating Rules and Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7
Configuring the Switch for SSH Operation . . . . . . . . . . . . . . . . . . . . . . 8-8
1. Assigning a Local Login (Operator) and
Enable (Manager) Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9
2. Generating the Switch’s Public and Private Key Pair . . . . . . . . . . . 8-9
Configuring Key Lengths . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-12
3. Providing the Switch’s Public Key to Clients . . . . . . . . . . . . . . . . . . 8-13
4. Enabling SSH on the Switch and Anticipating SSH
Client Contact Behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-15
5. Configuring the Switch for SSH Authentication . . . . . . . . . . . . . . . 8-20
xiv
6. Use an SSH Client To Access the Switch . . . . . . . . . . . . . . . . . . . . . 8-24
Further Information on SSH Client Public-Key Authentication . 8-25
SSH Client and Secure Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-31
Opening a Secure Session to an HP Switch . . . . . . . . . . . . . . . . . . . . . 8-32
Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-32
Copying Client Key Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-33
Copying the SSH-Client-Known-Hosts File . . . . . . . . . . . . . . . . . . . . . 8-34
Replacing or Appending the SSH-Client-Known-Hosts File . . . . 8-34
Copying the SSH Client Known Hosts File to
Another Location . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-35
Copying the Host Public Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-36
Removing the SSH Client Key Pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-36
Removing the SSH Client Known Hosts File . . . . . . . . . . . . . . . . . . . . 8-37
Displaying Open Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-37
Messages Related to SSH Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-39
Logging Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-40
Debug Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-40
9 Configuring Secure Socket Layer (SSL)
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-1
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-3
Prerequisite for Using SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4
Steps for Configuring and Using SSL for Switch and Client
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4
General Operating Rules and Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-5
Configuring the Switch for SSL Operation . . . . . . . . . . . . . . . . . . . . . . 9-6
1. Assigning a Local Login (Operator) and
Enabling (Manager) Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-6
2. Generating the Switch’s Server Host Certificate . . . . . . . . . . . . . . . 9-6
To Generate or Erase the Switch’s Server Certificate
with the CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-7
Comments on Certificate Fields. . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-8
Generate a Self-Signed Host Certificate with the WebAgent . . . 9-12
xv
Generate a CA-Signed server host certificate with the
WebAgent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-13
3. Enabling SSL on the Switch and Anticipating SSL
Browser Contact Behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-15
Using the CLI Interface to Enable SSL . . . . . . . . . . . . . . . . . . . . . 9-16
Using the WebAgent to Enable SSL . . . . . . . . . . . . . . . . . . . . . . . . 9-16
Common Errors in SSL Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-18
10 IPv4 Access Control Lists (ACLs)
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-1
Overview of Options for Applying IPv4 ACLs on the Switch . . . . . 10-3
Static ACLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-3
RADIUS-Assigned ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-3
Command Summary for Standard IPv4 ACLs . . . . . . . . . . . . . . . . . . . 10-5
Command Summary for IPv4 Extended ACLs . . . . . . . . . . . . . . . . . . 10-6
Command Summary for Enabling, Disabling, and
Displaying ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-7
Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-8
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-13
Types of IPv4 ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-13
ACL Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-13
RACL Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-14
VACL Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-16
Static Port ACL and RADIUS-Assigned ACL Applications . . . . 10-16
RADIUS-Assigned (Dynamic) Port ACL Applications . . . . . . . . 10-17
Multiple ACLs on an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-19
Features Common to All ACL Applications . . . . . . . . . . . . . . . . . . . . 10-22
General Steps for Planning and Configuring ACLs . . . . . . . . . . . . . . 10-23
IPv4 Static ACL Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-25
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-25
The Packet-filtering Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-26
Planning an ACL Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-29
IPv4 Traffic Management and Improved Network Performance . . 10-29
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-31
xvi
Guidelines for Planning the Structure of a Static ACL . . . . . . . . . . . 10-31
IPv4 ACL Configuration and Operating Rules . . . . . . . . . . . . . . . . . . 10-32
How an ACE Uses a Mask To Screen Packets for Matches . . . . . . . 10-35
What Is the Difference Between Network (or Subnet)
Masks and the Masks Used with ACLs? . . . . . . . . . . . . . . . . . . . 10-35
Rules for Defining a Match Between a Packet and an
Access Control Entry (ACE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-36
Configuring and Assigning an IPv4 ACL . . . . . . . . . . . . . . . . . . . . . . 10-40
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-40
General Steps for Implementing ACLs . . . . . . . . . . . . . . . . . . . . 10-40
Options for Permit/Deny Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-41
ACL Configuration Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-41
Standard ACL Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-42
Extended ACL Configuration Structure . . . . . . . . . . . . . . . . . . . 10-43
ACL Configuration Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-45
The Sequence of Entries in an ACL Is Significant . . . . . . . . . . . 10-45
Allowing for the Implied Deny Function . . . . . . . . . . . . . . . . . . . 10-47
A Configured ACL Has No Effect Until You Apply It
to an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-47
You Can Assign an ACL Name or Number to an Interface
Even if the ACL Does Not Exist in the Switch’s Configuration 10-47
Using the CLI To Create an ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-48
General ACE Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-48
Using CIDR Notation To Enter the IPv4 ACL Mask . . . . . . . . . 10-49
Configuring Standard ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-50
Command Summary for Standard ACLs . . . . . . . . . . . . . . . . . . . . . . 10-50
Configuring Named, Standard ACLs . . . . . . . . . . . . . . . . . . . . . . 10-52
Creating Numbered, Standard ACLs . . . . . . . . . . . . . . . . . . . . . . 10-55
Configuring Extended ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-59
Command Summary for Extended ACLs . . . . . . . . . . . . . . . . . . . . . . 10-59
Configuring Named, Extended ACLs . . . . . . . . . . . . . . . . . . . . . . 10-61
Configuring Numbered, Extended ACLs . . . . . . . . . . . . . . . . . . . 10-74
Adding or Removing an ACL Assignment On an Interface . . . . . . 10-81
Filtering Routed IPv4 Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-81
Filtering IPv4 Traffic Inbound on a VLAN . . . . . . . . . . . . . . . . . . . . . 10-82
xvii
Filtering Inbound IPv4 Traffic Per Port . . . . . . . . . . . . . . . . . . . . . . . 10-83
Classifier-Based Rate-Limiting with RL-PACLs . . . . . . . . . . . . . . . . . 10-84
Deleting an ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-85
Editing an Existing ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-86
Using the CLI To Edit ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-86
General Editing Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-86
Sequence Numbering in ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-87
Inserting an ACE in an Existing ACL . . . . . . . . . . . . . . . . . . . . . . 10-88
Deleting an ACE from an Existing ACL . . . . . . . . . . . . . . . . . . . 10-90
Resequencing the ACEs in an ACL . . . . . . . . . . . . . . . . . . . . . . . 10-91
Attaching a Remark to an ACE . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-92
Operating Notes for Remarks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-95
Displaying ACL Configuration Data . . . . . . . . . . . . . . . . . . . . . . . . . . 10-97
Display an ACL Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-98
Display the Content of All ACLs on the Switch . . . . . . . . . . . . . . . . . 10-99
Display the RACL and VACL Assignments for a VLAN . . . . . . . . . 10-100
Display Static Port (and Trunk) ACL Assignments . . . . . . . . . . . . . 10-101
Displaying the Content of a Specific ACL . . . . . . . . . . . . . . . . . . . . 10-103
Display All ACLs and Their Assignments in the Routing
Switch Startup-Config File and Running-Config File . . . . . . . . . . . 10-106
Creating or Editing ACLs Offline . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-107
Creating or Editing an ACL Offline . . . . . . . . . . . . . . . . . . . . . . . . . . 10-107
The Offline Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-107
Example of Using the Offline Process . . . . . . . . . . . . . . . . . . . . 10-108
Enable ACL “Deny” Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-112
Requirements for Using ACL Logging . . . . . . . . . . . . . . . . . . . . . . . . 10-112
ACL Logging Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-113
Enabling ACL Logging on the Switch . . . . . . . . . . . . . . . . . . . . . . . . 10-114
Configuring the Logging Timer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-116
Monitoring Static ACL Performance . . . . . . . . . . . . . . . . . . . . . . . . . 10-117
Example of ACL Performance Monitoring . . . . . . . . . . . . . . . . 10-119
Example of Resetting ACE Hit Counters to Zero . . . . . . . . . . . 10-121
IPv6 Counter Operation with Multiple Interface
Assignments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-122
xviii
IPv4 Counter Operation with Multiple Interface
Assignments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-124
General ACL Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-128
11 Configuring Advanced Threat Protection
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-1
DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-4
Enabling DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-5
Enabling DHCP Snooping on VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . 11-7
Configuring DHCP Snooping Trusted Ports . . . . . . . . . . . . . . . . . . . . 11-7
Configuring Authorized Server Addresses . . . . . . . . . . . . . . . . . . . . . . 11-8
Using DHCP Snooping with Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . 11-9
Changing the Remote-id from a MAC to an IP Address . . . . . . 11-11
Disabling the MAC Address Check . . . . . . . . . . . . . . . . . . . . . . . 11-11
The DHCP Binding Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-12
Operational Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-13
Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-14
Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-16
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-16
Enabling Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-18
Configuring Trusted Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-18
Adding an IP-to-MAC Binding to the DHCP Database . . . . . . . . . . . 11-20
Configuring Additional Validation Checks on ARP Packets . . . . . . 11-21
Verifying the Configuration of Dynamic ARP Protection . . . . . . . . 11-21
Displaying ARP Packet Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-22
Monitoring Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . 11-23
Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-23
Protection Against IP Source Address Spoofing . . . . . . . . . . . . . . . . 11-24
Prerequisite: DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-24
Filtering IP and MAC Addresses Per-Port and Per-VLAN . . . . . . . . 11-25
Enabling Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-26
Operating Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-26
Adding an IP-to-MAC Binding to the DHCP Binding Database . . . . 11-28
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51
  • Page 52 52
  • Page 53 53
  • Page 54 54
  • Page 55 55
  • Page 56 56
  • Page 57 57
  • Page 58 58
  • Page 59 59
  • Page 60 60
  • Page 61 61
  • Page 62 62
  • Page 63 63
  • Page 64 64
  • Page 65 65
  • Page 66 66
  • Page 67 67
  • Page 68 68
  • Page 69 69
  • Page 70 70
  • Page 71 71
  • Page 72 72
  • Page 73 73
  • Page 74 74
  • Page 75 75
  • Page 76 76
  • Page 77 77
  • Page 78 78
  • Page 79 79
  • Page 80 80
  • Page 81 81
  • Page 82 82
  • Page 83 83
  • Page 84 84
  • Page 85 85
  • Page 86 86
  • Page 87 87
  • Page 88 88
  • Page 89 89
  • Page 90 90
  • Page 91 91
  • Page 92 92
  • Page 93 93
  • Page 94 94
  • Page 95 95
  • Page 96 96
  • Page 97 97
  • Page 98 98
  • Page 99 99
  • Page 100 100
  • Page 101 101
  • Page 102 102
  • Page 103 103
  • Page 104 104
  • Page 105 105
  • Page 106 106
  • Page 107 107
  • Page 108 108
  • Page 109 109
  • Page 110 110
  • Page 111 111
  • Page 112 112
  • Page 113 113
  • Page 114 114
  • Page 115 115
  • Page 116 116
  • Page 117 117
  • Page 118 118
  • Page 119 119
  • Page 120 120
  • Page 121 121
  • Page 122 122
  • Page 123 123
  • Page 124 124
  • Page 125 125
  • Page 126 126
  • Page 127 127
  • Page 128 128
  • Page 129 129
  • Page 130 130
  • Page 131 131
  • Page 132 132
  • Page 133 133
  • Page 134 134
  • Page 135 135
  • Page 136 136
  • Page 137 137
  • Page 138 138
  • Page 139 139
  • Page 140 140
  • Page 141 141
  • Page 142 142
  • Page 143 143
  • Page 144 144
  • Page 145 145
  • Page 146 146
  • Page 147 147
  • Page 148 148
  • Page 149 149
  • Page 150 150
  • Page 151 151
  • Page 152 152
  • Page 153 153
  • Page 154 154
  • Page 155 155
  • Page 156 156
  • Page 157 157
  • Page 158 158
  • Page 159 159
  • Page 160 160
  • Page 161 161
  • Page 162 162
  • Page 163 163
  • Page 164 164
  • Page 165 165
  • Page 166 166
  • Page 167 167
  • Page 168 168
  • Page 169 169
  • Page 170 170
  • Page 171 171
  • Page 172 172
  • Page 173 173
  • Page 174 174
  • Page 175 175
  • Page 176 176
  • Page 177 177
  • Page 178 178
  • Page 179 179
  • Page 180 180
  • Page 181 181
  • Page 182 182
  • Page 183 183
  • Page 184 184
  • Page 185 185
  • Page 186 186
  • Page 187 187
  • Page 188 188
  • Page 189 189
  • Page 190 190
  • Page 191 191
  • Page 192 192
  • Page 193 193
  • Page 194 194
  • Page 195 195
  • Page 196 196
  • Page 197 197
  • Page 198 198
  • Page 199 199
  • Page 200 200
  • Page 201 201
  • Page 202 202
  • Page 203 203
  • Page 204 204
  • Page 205 205
  • Page 206 206
  • Page 207 207
  • Page 208 208
  • Page 209 209
  • Page 210 210
  • Page 211 211
  • Page 212 212
  • Page 213 213
  • Page 214 214
  • Page 215 215
  • Page 216 216
  • Page 217 217
  • Page 218 218
  • Page 219 219
  • Page 220 220
  • Page 221 221
  • Page 222 222
  • Page 223 223
  • Page 224 224
  • Page 225 225
  • Page 226 226
  • Page 227 227
  • Page 228 228
  • Page 229 229
  • Page 230 230
  • Page 231 231
  • Page 232 232
  • Page 233 233
  • Page 234 234
  • Page 235 235
  • Page 236 236
  • Page 237 237
  • Page 238 238
  • Page 239 239
  • Page 240 240
  • Page 241 241
  • Page 242 242
  • Page 243 243
  • Page 244 244
  • Page 245 245
  • Page 246 246
  • Page 247 247
  • Page 248 248
  • Page 249 249
  • Page 250 250
  • Page 251 251
  • Page 252 252
  • Page 253 253
  • Page 254 254
  • Page 255 255
  • Page 256 256
  • Page 257 257
  • Page 258 258
  • Page 259 259
  • Page 260 260
  • Page 261 261
  • Page 262 262
  • Page 263 263
  • Page 264 264
  • Page 265 265
  • Page 266 266
  • Page 267 267
  • Page 268 268
  • Page 269 269
  • Page 270 270
  • Page 271 271
  • Page 272 272
  • Page 273 273
  • Page 274 274
  • Page 275 275
  • Page 276 276
  • Page 277 277
  • Page 278 278
  • Page 279 279
  • Page 280 280
  • Page 281 281
  • Page 282 282
  • Page 283 283
  • Page 284 284
  • Page 285 285
  • Page 286 286
  • Page 287 287
  • Page 288 288
  • Page 289 289
  • Page 290 290
  • Page 291 291
  • Page 292 292
  • Page 293 293
  • Page 294 294
  • Page 295 295
  • Page 296 296
  • Page 297 297
  • Page 298 298
  • Page 299 299
  • Page 300 300
  • Page 301 301
  • Page 302 302
  • Page 303 303
  • Page 304 304
  • Page 305 305
  • Page 306 306
  • Page 307 307
  • Page 308 308
  • Page 309 309
  • Page 310 310
  • Page 311 311
  • Page 312 312
  • Page 313 313
  • Page 314 314
  • Page 315 315
  • Page 316 316
  • Page 317 317
  • Page 318 318
  • Page 319 319
  • Page 320 320
  • Page 321 321
  • Page 322 322
  • Page 323 323
  • Page 324 324
  • Page 325 325
  • Page 326 326
  • Page 327 327
  • Page 328 328
  • Page 329 329
  • Page 330 330
  • Page 331 331
  • Page 332 332
  • Page 333 333
  • Page 334 334
  • Page 335 335
  • Page 336 336
  • Page 337 337
  • Page 338 338
  • Page 339 339
  • Page 340 340
  • Page 341 341
  • Page 342 342
  • Page 343 343
  • Page 344 344
  • Page 345 345
  • Page 346 346
  • Page 347 347
  • Page 348 348
  • Page 349 349
  • Page 350 350
  • Page 351 351
  • Page 352 352
  • Page 353 353
  • Page 354 354
  • Page 355 355
  • Page 356 356
  • Page 357 357
  • Page 358 358
  • Page 359 359
  • Page 360 360
  • Page 361 361
  • Page 362 362
  • Page 363 363
  • Page 364 364
  • Page 365 365
  • Page 366 366
  • Page 367 367
  • Page 368 368
  • Page 369 369
  • Page 370 370
  • Page 371 371
  • Page 372 372
  • Page 373 373
  • Page 374 374
  • Page 375 375
  • Page 376 376
  • Page 377 377
  • Page 378 378
  • Page 379 379
  • Page 380 380
  • Page 381 381
  • Page 382 382
  • Page 383 383
  • Page 384 384
  • Page 385 385
  • Page 386 386
  • Page 387 387
  • Page 388 388
  • Page 389 389
  • Page 390 390
  • Page 391 391
  • Page 392 392
  • Page 393 393
  • Page 394 394
  • Page 395 395
  • Page 396 396
  • Page 397 397
  • Page 398 398
  • Page 399 399
  • Page 400 400
  • Page 401 401
  • Page 402 402
  • Page 403 403
  • Page 404 404
  • Page 405 405
  • Page 406 406
  • Page 407 407
  • Page 408 408
  • Page 409 409
  • Page 410 410
  • Page 411 411
  • Page 412 412
  • Page 413 413
  • Page 414 414
  • Page 415 415
  • Page 416 416
  • Page 417 417
  • Page 418 418
  • Page 419 419
  • Page 420 420
  • Page 421 421
  • Page 422 422
  • Page 423 423
  • Page 424 424
  • Page 425 425
  • Page 426 426
  • Page 427 427
  • Page 428 428
  • Page 429 429
  • Page 430 430
  • Page 431 431
  • Page 432 432
  • Page 433 433
  • Page 434 434
  • Page 435 435
  • Page 436 436
  • Page 437 437
  • Page 438 438
  • Page 439 439
  • Page 440 440
  • Page 441 441
  • Page 442 442
  • Page 443 443
  • Page 444 444
  • Page 445 445
  • Page 446 446
  • Page 447 447
  • Page 448 448
  • Page 449 449
  • Page 450 450
  • Page 451 451
  • Page 452 452
  • Page 453 453
  • Page 454 454
  • Page 455 455
  • Page 456 456
  • Page 457 457
  • Page 458 458
  • Page 459 459
  • Page 460 460
  • Page 461 461
  • Page 462 462
  • Page 463 463
  • Page 464 464
  • Page 465 465
  • Page 466 466
  • Page 467 467
  • Page 468 468
  • Page 469 469
  • Page 470 470
  • Page 471 471
  • Page 472 472
  • Page 473 473
  • Page 474 474
  • Page 475 475
  • Page 476 476
  • Page 477 477
  • Page 478 478
  • Page 479 479
  • Page 480 480
  • Page 481 481
  • Page 482 482
  • Page 483 483
  • Page 484 484
  • Page 485 485
  • Page 486 486
  • Page 487 487
  • Page 488 488
  • Page 489 489
  • Page 490 490
  • Page 491 491
  • Page 492 492
  • Page 493 493
  • Page 494 494
  • Page 495 495
  • Page 496 496
  • Page 497 497
  • Page 498 498
  • Page 499 499
  • Page 500 500
  • Page 501 501
  • Page 502 502
  • Page 503 503
  • Page 504 504
  • Page 505 505
  • Page 506 506
  • Page 507 507
  • Page 508 508
  • Page 509 509
  • Page 510 510
  • Page 511 511
  • Page 512 512
  • Page 513 513
  • Page 514 514
  • Page 515 515
  • Page 516 516
  • Page 517 517
  • Page 518 518
  • Page 519 519
  • Page 520 520
  • Page 521 521
  • Page 522 522
  • Page 523 523
  • Page 524 524
  • Page 525 525
  • Page 526 526
  • Page 527 527
  • Page 528 528
  • Page 529 529
  • Page 530 530
  • Page 531 531
  • Page 532 532
  • Page 533 533
  • Page 534 534
  • Page 535 535
  • Page 536 536
  • Page 537 537
  • Page 538 538
  • Page 539 539
  • Page 540 540
  • Page 541 541
  • Page 542 542
  • Page 543 543
  • Page 544 544
  • Page 545 545
  • Page 546 546
  • Page 547 547
  • Page 548 548
  • Page 549 549
  • Page 550 550
  • Page 551 551
  • Page 552 552
  • Page 553 553
  • Page 554 554
  • Page 555 555
  • Page 556 556
  • Page 557 557
  • Page 558 558
  • Page 559 559
  • Page 560 560
  • Page 561 561
  • Page 562 562
  • Page 563 563
  • Page 564 564
  • Page 565 565
  • Page 566 566
  • Page 567 567
  • Page 568 568
  • Page 569 569
  • Page 570 570
  • Page 571 571
  • Page 572 572
  • Page 573 573
  • Page 574 574
  • Page 575 575
  • Page 576 576
  • Page 577 577
  • Page 578 578
  • Page 579 579
  • Page 580 580
  • Page 581 581
  • Page 582 582
  • Page 583 583
  • Page 584 584
  • Page 585 585
  • Page 586 586
  • Page 587 587
  • Page 588 588
  • Page 589 589
  • Page 590 590
  • Page 591 591
  • Page 592 592
  • Page 593 593
  • Page 594 594
  • Page 595 595
  • Page 596 596
  • Page 597 597
  • Page 598 598
  • Page 599 599
  • Page 600 600
  • Page 601 601
  • Page 602 602
  • Page 603 603
  • Page 604 604
  • Page 605 605
  • Page 606 606
  • Page 607 607
  • Page 608 608
  • Page 609 609
  • Page 610 610
  • Page 611 611
  • Page 612 612
  • Page 613 613
  • Page 614 614
  • Page 615 615
  • Page 616 616
  • Page 617 617
  • Page 618 618
  • Page 619 619
  • Page 620 620
  • Page 621 621
  • Page 622 622
  • Page 623 623
  • Page 624 624
  • Page 625 625
  • Page 626 626
  • Page 627 627
  • Page 628 628
  • Page 629 629
  • Page 630 630
  • Page 631 631
  • Page 632 632
  • Page 633 633
  • Page 634 634
  • Page 635 635
  • Page 636 636
  • Page 637 637
  • Page 638 638
  • Page 639 639
  • Page 640 640
  • Page 641 641
  • Page 642 642
  • Page 643 643
  • Page 644 644
  • Page 645 645
  • Page 646 646
  • Page 647 647
  • Page 648 648
  • Page 649 649
  • Page 650 650
  • Page 651 651
  • Page 652 652
  • Page 653 653
  • Page 654 654
  • Page 655 655
  • Page 656 656
  • Page 657 657
  • Page 658 658
  • Page 659 659
  • Page 660 660
  • Page 661 661
  • Page 662 662
  • Page 663 663
  • Page 664 664
  • Page 665 665
  • Page 666 666
  • Page 667 667
  • Page 668 668
  • Page 669 669
  • Page 670 670
  • Page 671 671
  • Page 672 672
  • Page 673 673
  • Page 674 674
  • Page 675 675
  • Page 676 676
  • Page 677 677
  • Page 678 678
  • Page 679 679
  • Page 680 680
  • Page 681 681
  • Page 682 682
  • Page 683 683
  • Page 684 684
  • Page 685 685
  • Page 686 686
  • Page 687 687
  • Page 688 688
  • Page 689 689
  • Page 690 690
  • Page 691 691
  • Page 692 692
  • Page 693 693
  • Page 694 694
  • Page 695 695
  • Page 696 696
  • Page 697 697
  • Page 698 698
  • Page 699 699
  • Page 700 700
  • Page 701 701
  • Page 702 702
  • Page 703 703
  • Page 704 704
  • Page 705 705
  • Page 706 706
  • Page 707 707
  • Page 708 708
  • Page 709 709
  • Page 710 710
  • Page 711 711
  • Page 712 712
  • Page 713 713
  • Page 714 714
  • Page 715 715
  • Page 716 716
  • Page 717 717
  • Page 718 718
  • Page 719 719
  • Page 720 720
  • Page 721 721
  • Page 722 722
  • Page 723 723
  • Page 724 724
  • Page 725 725
  • Page 726 726
  • Page 727 727
  • Page 728 728
  • Page 729 729
  • Page 730 730
  • Page 731 731
  • Page 732 732
  • Page 733 733
  • Page 734 734
  • Page 735 735
  • Page 736 736
  • Page 737 737
  • Page 738 738
  • Page 739 739
  • Page 740 740
  • Page 741 741
  • Page 742 742
  • Page 743 743
  • Page 744 744
  • Page 745 745
  • Page 746 746
  • Page 747 747
  • Page 748 748
  • Page 749 749
  • Page 750 750
  • Page 751 751
  • Page 752 752
  • Page 753 753
  • Page 754 754
  • Page 755 755
  • Page 756 756
  • Page 757 757
  • Page 758 758
  • Page 759 759
  • Page 760 760
  • Page 761 761
  • Page 762 762
  • Page 763 763
  • Page 764 764
  • Page 765 765
  • Page 766 766
  • Page 767 767
  • Page 768 768
  • Page 769 769
  • Page 770 770
  • Page 771 771
  • Page 772 772
  • Page 773 773
  • Page 774 774
  • Page 775 775
  • Page 776 776
  • Page 777 777
  • Page 778 778

HP ProCurve 3500yl Series Access Security Manual

Category
Software
Type
Access Security Manual

Ask a question and I''ll find the answer in the document

Finding information in a document is now easier with AI