- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
l 禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文;
l 端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文;
l 未通过认证的用户发送的报文。
NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
对于端口安全模式的具体描述,请参见表1。
安全模式类型 | 描述 | 特性说明 |
noRestrictions | 表示端口的安全功能关闭,端口处于无限制状态 | 此时NeedToKnow特性和入侵检测特性无效 |
autoLearn | 此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中; 当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口 | 在这两种模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性 autoLearn模式下,禁止学习动态MAC地址 |
secure | 禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口 | |
userLogin | 对接入用户采用基于端口的802.1X认证 此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 | 此模式下NeedToKnow特性和入侵检测特性不会被触发 |
userLoginSecure | 端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过; 此模式下,端口最多只允许一个802.1X认证用户接入 | 在左侧列出的模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性 |
userLoginWithOUI | 与userLoginSecure模式类似,端口最多只允许一个802.1X认证用户接入 l 在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过; l 在用户接入方式为无线的情况下,端口首先对报文进行OUI检查,OUI检查失败后再进行802.1X认证 | |
macAddressWithRadius | 对接入用户采用MAC地址认证 | |
macAddressOrUserLoginSecure | 端口同时处于userLoginSecure模式和macAddressWithRadius模式,但802.1X认证优先级大于MAC地址认证 l 在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证。对于802.1X报文直接进行802.1X认证; l 在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 | |
macAddressElseUserLoginSecure | 端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证; 对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 | |
userLoginSecureExt | 对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 | |
macAddressOrUserLoginSecureExt | 与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 | |
macAddressElseUserLoginSecureExt | 与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
& 说明:
l 目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。
l 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:
l “userLogin”表示基于端口的802.1X认证;
l “macAddress”表示MAC地址认证;
l “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。
l “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;
l 携带“Secure”的userLogin表示基于MAC地址的802.1X认证。
l 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功。
端口安全针对WLAN(Wireless Local Area Network,无线局域网)类型的接口,在原有安全模式的基础上增加psk、macAddressAndPsk、userlLoginSecureExtOrPsk和WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)四种安全模式,实现了访问无线接入设备的链路层安全机制。其中WAPI模式主要是对未通过WAPI鉴别的无线用户进行访问限制:
l 当用户鉴别失败后,不允许该用户访问任何网络资源;
l 当用户鉴别成功后,开启该用户访问网络资源的权限。
表2 端口安全支持WLAN模式描述表
安全模式类型 | 描述 | 特性说明 |
psk | 接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 | 当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性 |
macAddressAndPsk | 接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 | |
userLoginSecureExtOrPsk | 接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商 | |
WAPI | 对接入用户采用WAPI认证 | NeedToKnow特性和入侵检测特性在此类型下无效 |
& 说明:
l 新增的模式目前只适用于无线产品接口类型。
l PSK用户是指通过psk安全模式认证上线的用户。系统最大PSK用户数由无线接口可支持的最大用户数决定。
l 对于psk模式,用户总数不能超过系统最大PSK用户数;单个端口上的用户数不能超过每端口最大PSK用户数。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。
l 对于macAddressAndPsk模式,用户总数及单个端口上的用户数受到MAC地址认证的限制。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。
l 对于userLoginSecureExtOrPsk模式,允许的PSK协商用户总数不能超过系统最大PSK用户数,单个端口上允许的PSK用户数不能超过每端口最大PSK用户数;允许的802.1X认证用户总数及单个端口上的用户数受到802.1X认证接入用户数的限制;此外,如果设置了每端口最大安全MAC地址数,则允许的PSK协商用户及802.1X认证用户之和不能超过该限制。
注意:
在无线接入的情况下,若802.1X或MAC地址认证用户的MAC地址及所属的VLAN与配置的安全MAC地址或静态MAC及所属的VLAN相同,则由于无线链路无法建立,会导致用户不能接入无线网络。
802.1X认证的Guest VLAN是指允许用户在未认证的情况下,可以访问的指定VLAN。802.1X的Auth-Fail VLAN与MAC地址认证的Guest VLAN是指允许用户在认证失败的情况下,可以访问的指定VLAN。
l 对于支持802.1X认证的安全模式来说,可配置基于MAC地址的Guest VLAN和基于MAC地址的Auth-Fail VLAN,分别简称为MGV和MAFV。
l 对于支持MAC地址认证的安全模式来说,可配置基于MAC地址的Guest VLAN,简称为MGV。
& 说明:
若端口上同时配置了802.1X认证的MAFV与MAC地址认证的MGV,则后生成的MAFV表项会覆盖先生成的MGV表项,但后生成的MGV表项不能覆盖先生成的MAFV表项。
售前咨询
售后咨询
人工在线咨询
