• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

端口安全技术介绍


端口安全

端口安全简介

概述

端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:

l              禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文;

l              端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文;

l              未通过认证的用户发送的报文。

端口安全的特性

1. NeedToKnow特性

NeedToKnow特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。

2. 入侵检测(IntrusionProtection)特性

入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。

3. Trap特性

Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。

端口安全模式

对于端口安全模式的具体描述,请参见1

表1 端口安全模式描述表

安全模式类型

描述

特性说明

noRestrictions

表示端口的安全功能关闭,端口处于无限制状态

此时NeedToKnow特性和入侵检测特性无效

autoLearn

此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中;

当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口

在这两种模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

autoLearn模式下,禁止学习动态MAC地址

secure

禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口

userLogin

对接入用户采用基于端口的802.1X认证

此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

此模式下NeedToKnow特性和入侵检测特性不会被触发

userLoginSecure

端口必须通过802.1X认证才能开启,且只允许认证成功的用户报文通过;

此模式下,端口最多只允许一个802.1X认证用户接入

在左侧列出的模式下,当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

userLoginWithOUI

userLoginSecure模式类似,端口最多只允许一个802.1X认证用户接入

l      在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过;

l      在用户接入方式为无线的情况下,端口首先对报文进行OUI检查,OUI检查失败后再进行802.1X认证

macAddressWithRadius

对接入用户采用MAC地址认证

macAddressOrUserLoginSecure

端口同时处于userLoginSecure模式和macAddressWithRadius模式,但802.1X认证优先级大于MAC地址认证

l      在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证。对于802.1X报文直接进行802.1X认证;

l      在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证

macAddressElseUserLoginSecure

端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证;

对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证

userLoginSecureExt

对接入用户采用基于MAC802.1X认证,且允许端口下有多个802.1X用户

macAddressOrUserLoginSecureExt

macAddressOrUserLoginSecure类似,但允许端口下有多个802.1XMAC地址认证用户

macAddressElseUserLoginSecureExt

macAddressElseUserLoginSecure类似,但允许端口下有多个802.1XMAC地址认证用户

 

&  说明:

l      目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。

l      当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。

 

由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:

l      userLogin”表示基于端口的802.1X认证;

l      macAddress”表示MAC地址认证;

l      Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。

l      Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;

l      携带“Secure”的userLogin表示基于MAC地址的802.1X认证。

l      携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功。

 

端口安全对WLAN的支持

端口安全针对WLANWireless Local Area Network,无线局域网)类型的接口,在原有安全模式的基础上增加pskmacAddressAndPskuserlLoginSecureExtOrPskWAPIWLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)四种安全模式,实现了访问无线接入设备的链路层安全机制。其中WAPI模式主要是对未通过WAPI鉴别的无线用户进行访问限制:

l              当用户鉴别失败后,不允许该用户访问任何网络资源;

l              当用户鉴别成功后,开启该用户访问网络资源的权限。

表2 端口安全支持WLAN模式描述表

安全模式类型

描述

特性说明

psk

接入用户必须使用设备上预先配置的静态密钥,即PSKPre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

当设备发现非法报文后,将触发NeedToKnow特性和入侵检测特性

macAddressAndPsk

接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

userLoginSecureExtOrPsk

接入用户与设备进行交互,选择进行基于MACmacbased)的802.1X认证或者仅进行预共享密钥协商

WAPI

对接入用户采用WAPI认证

NeedToKnow特性和入侵检测特性在此类型下无效

 

&  说明:

l      新增的模式目前只适用于无线产品接口类型。

l      PSK用户是指通过psk安全模式认证上线的用户。系统最大PSK用户数由无线接口可支持的最大用户数决定。

l      对于psk模式,用户总数不能超过系统最大PSK用户数;单个端口上的用户数不能超过每端口最大PSK用户数。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。

l      对于macAddressAndPsk模式,用户总数及单个端口上的用户数受到MAC地址认证的限制。如果设置了每端口最大安全MAC地址数,单个端口上的用户数也不能超过该限制。

l      对于userLoginSecureExtOrPsk模式,允许的PSK协商用户总数不能超过系统最大PSK用户数,单个端口上允许的PSK用户数不能超过每端口最大PSK用户数;允许的802.1X认证用户总数及单个端口上的用户数受到802.1X认证接入用户数的限制;此外,如果设置了每端口最大安全MAC地址数,则允许的PSK协商用户及802.1X认证用户之和不能超过该限制。

 

  注意:

在无线接入的情况下,若802.1XMAC地址认证用户的MAC地址及所属的VLAN与配置的安全MAC地址或静态MAC及所属的VLAN相同,则由于无线链路无法建立,会导致用户不能接入无线网络。

 

端口安全对Guest VLANAuth-Fail VLAN的支持

802.1X认证的Guest VLAN是指允许用户在未认证的情况下,可以访问的指定VLAN802.1XAuth-Fail VLANMAC地址认证的Guest VLAN是指允许用户在认证失败的情况下,可以访问的指定VLAN

l              对于支持802.1X认证的安全模式来说,可配置基于MAC地址的Guest VLAN和基于MAC地址的Auth-Fail VLAN,分别简称为MGVMAFV

l              对于支持MAC地址认证的安全模式来说,可配置基于MAC地址的Guest VLAN,简称为MGV

&  说明:

若端口上同时配置了802.1X认证的MAFVMAC地址认证的MGV,则后生成的MAFV表项会覆盖先生成的MGV表项,但后生成的MGV表项不能覆盖先生成的MAFV表项。

 

附件下载

新华三官网
联系我们