最需要了解的H3C交換機端口安全模式

發(fā)布時間：2012-10-25 16:16:08 作者：佚名

用戶的網(wǎng)絡(luò)訪問控制方面，最直接、最簡單的方法就是配置基于端口的安全模式，不僅Cisco交換機如此，H3C交換機也有類似的功能，而且看起來功能更加強大

用戶網(wǎng)絡(luò)訪問控制是我們在進行網(wǎng)絡(luò)管理和網(wǎng)絡(luò)設(shè)備配置時經(jīng)常要用到一項網(wǎng)絡(luò)技術(shù)應(yīng)用。許多讀者朋友往往遇到這類應(yīng)用需求時無從下手，其實在用戶的網(wǎng)絡(luò)訪問控制方面，最直接、最簡單的方法就是配置基于端口的安全模式，不僅Cisco交換機如此，H3C交換機也有類似的功能，而且看起來功能更加強大。

在H3C以太網(wǎng)交換機上可配置的端口安全模式總體來說是可分為兩大類：控制MAC地址學(xué)習類和認證類?？刂芃AC地址學(xué)習類無需對接入用戶進行認證，但是可以允許或者禁止自動學(xué)習指定用戶MAC地址，也就是允許或者禁止把對應(yīng)MAC地址添加到本地交換機的MAC地址表中，通過這種方法就可以實現(xiàn)用戶網(wǎng)絡(luò)訪問的控制。認證類則是利用MAC地址認證或IEEE 802.1X認證機制，或者同時結(jié)合這兩種認證來實現(xiàn)對接入用戶的網(wǎng)絡(luò)訪問控制。

配置了安全模式的H3C以太網(wǎng)交換機端口，在收到用戶發(fā)送數(shù)據(jù)報文后，首先在本地MAC地址表中查找對應(yīng)用戶的MAC地址。如果該報文的源MAC地址已經(jīng)在本地交換機中的MAC地址表中則直接轉(zhuǎn)發(fā)該報文，否則根據(jù)端口所在安全模式進行相應(yīng)的處理，并在發(fā)現(xiàn)非法報文后觸發(fā)端口執(zhí)行相應(yīng)的安全防護特性。

在H3C以太網(wǎng)交換機中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式與secure模式

在autoLearn（自動學(xué)習）端口安全模式下，可通過手工配置，或動態(tài)學(xué)習MAC地址，此時得到的MAC地址稱為Secure MAC（安全MAC地址）。在這種模式下，只有源MAC為Secure MAC的報文才能通過該端口；但在端口下的Secure MAC地址表項數(shù)超過端口允許學(xué)習的最大安全MAC地址數(shù)后，該端口也不會再添加新的Secure MAC，并且端口會自動轉(zhuǎn)變?yōu)镾ecure模式。

如果直接將端口安全模式設(shè)置為Secure模式，則將立即禁止端口學(xué)習新的MAC地址，只有源MAC地址是原來已在交換機上靜態(tài)配置，或者已動態(tài)學(xué)習到的MAC地址的報文才能通過該端口轉(zhuǎn)發(fā)。

根據(jù)以上描述，可以得出在autoLearn和secure模式下報文處理流程如圖19-1所示。

圖19-1 autoLearn和secure端口安全模式報文處理流程圖

2. 單一IEEE 802.1X認證模式

采用單一IEEE 802.1x認證方式的端口安全模式又包括以下幾種：

l userlogin：對接入用戶采用基于端口的IEEE 802.1x認證，僅允許通過認證的用戶接入。

l userLoginSecure：對接入用戶采用基于用戶MAC地址的IEEE 802.1x認證（也就是Cisco IOS交換機中所說的MAB）。僅接收源MAC地址為交換機的MAC地址的數(shù)據(jù)包，但也僅允許802.1x認證成功的用戶數(shù)據(jù)報文通過。此模式下，端口最多只允許接入一個經(jīng)過802.1x認證的用戶（即IEEE 802.1X單主機模式）。

l userLoginSecureExt：與userLoginSecure類似，但端口下的802.1x認證用戶可以有多個（即IEEE 802.1X多主機模式）。

l userLoginWithOUI：與userLoginSecure類似，端口最多只允許一個802.1x認證用戶，但該用戶的數(shù)據(jù)包中還必須包含一個允許的OUI（組織唯一標志符）。

因為H3C以太網(wǎng)交換機的IEEE 802.1X認證將在本書第21章專門介紹，故在此不再贅述。

3. MAC地址認證模式

MAC地址認證安全模式即macAddressWithRadius模式。MAC地址認證是一種基于端口和用戶MAC地址的網(wǎng)絡(luò)訪問控制方法，它不需要用戶安裝任何客戶端軟件。交換機在啟用了MAC地址認證的端口上首次檢測到用戶的MAC地址以后，即啟動對該用戶的認證操作。認證過程中，不需要用戶手動輸入用戶名或者密碼，因為這是基于用戶MAC地址進行的認證。如果該用戶認證成功，則允許其通過端口訪問網(wǎng)絡(luò)資源，否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時間內(nèi)（可通過靜默定時器配置），來自此MAC地址的用戶報文到達時直接做丟棄處理，以防止非法MAC短時間內(nèi)的重復(fù)認證。

目前H3C以太網(wǎng)交換機支持“本地認證”和“RADIUS遠程認證”這兩種MAC地址認證方式。有關(guān)H3C以太網(wǎng)交換機的RADIUS服務(wù)器認證配置方法將在本書第20章專門介紹；有關(guān)MAC地址認證的配置方法將在本章19.5節(jié)介紹。

4. and模式

“and”是“和”的意思，就是要求同時滿足所有的條件。and端口安全模式包括以下兩種子模式：

l macAddressAndUserLoginSecure：當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，接入用戶首先進行MAC地址認證，當MAC地址認證成功后再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下，才允許該用戶接入網(wǎng)絡(luò)。此模式下，端口最多只允許一個用戶接入網(wǎng)絡(luò)，也就是最先通過全部這兩種認證的用戶。

l macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類似。但此模式下，端口允許接入網(wǎng)絡(luò)的用戶可以有多個。

根據(jù)以上描述得出以上這兩種and端口安全子模式的報文處理流程如圖19-2所示。

圖19-2 and端口安全模式的報文處理流程圖

5. else模式

“else”是“另外”的意思，就是一種認證通不過后還可以嘗試其它的認證方式。else端口安全模式包括以下兩個子模式：

l macAddressElseUserLoginSecure：當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，對接入用戶首先進行MAC地址認證，如果認證成功則直接通過，如果MAC地址認證失敗再嘗試進行802.1x認證。此模式下，端口下可以有多個用戶通過MAC地址認證，但端口僅允許接入一個用戶經(jīng)過802.1x認證，也就是最先通過802.1x認證的用戶。

l macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類似。但此模式下，端口允許經(jīng)過多個用戶通過IEEE 802.1X認證。

根據(jù)以上描述得出以上這兩種else端口安全子模式的報文處理流程如圖19-3所示。

圖19-3 else端口安全模式報文處理流程圖

6. or模式

“or”是“或者”的意思，也就是可以任選其中一種認證方式。or端口安全模式包括以下兩個子模式：

l macAddressOrUserLoginSecure：當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，接入用戶通過MAC地址認證后，仍然可以進行IEEE 802.1x認證；但接入用戶通過IEEE 802.1x認證后，不再進行MAC地址認證。此模式下，可以有多個經(jīng)過基于MAC地址認證的用戶，但端口僅允許接入一個經(jīng)過認證的802.1x用戶，也就是最先通過802.1x認證的用戶。

l macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的用戶。

根據(jù)以上描述得出以上這兩種or端口安全子模式的報文處理流程如圖19-4所示。