40-端口安全
本章节下载: 40-端口安全 (388.77 KB)
目 录
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· 禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文。
· 端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文。
· 未通过认证的用户发送的报文。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“Web配置手册 802.1X”和“Web配置手册 MAC认证”。
出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
端口安全包括基本控制和高级控制两种模式:
· 基本控制模式:此模式下,端口通过配置或学习到的安全MAC地址被保存在安全MAC地址表项中。当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后,禁止端口学习MAC地址,只有源MAC地址为安全MAC地址、已配置的静态MAC地址的报文,才能通过该端口。此模式下,禁止学习动态MAC地址。
· 高级控制模式:此模式包括多种安全模式,具体描述如表1-1所示。
高级控制模式类型 |
描述 |
MAC-Auth |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
802.1X Port Based |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其他用户无须认证就可接入 需要注意的是,此模式下出方向报文控制特性和报文入侵控制特性不会被触发 |
802.1X Single Host |
对接入用户采用基于MAC的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
802.1X MAC Based |
对接入用户采用基于MAC的802.1X认证, 此模式下,端口允许多个802.1X认证用户接入 |
802.1X MAC Based Or OUI |
与802.1X Single Host模式类似,端口最多只允许一个802.1X认证用户接入 在用户接入方式为有线的情况下,端口还允许一个指定OUI的源MAC地址的报文认证通过 |
MAC-Auth Or 802.1X Single Host |
端口同时处于802.1X Single Host模式和MAC-Auth模式,但802.1X认证优先级大于MAC地址认证 在用户接入方式为有线的情况下,对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先直接进行802.1X认证 |
MAC-Auth Or 802.1X MAC Based |
与MAC-Auth Or 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
MAC-Auth Else 802.1X Single Host |
端口同时处于MAC-Auth模式和802.1X Single Host模式,但MAC地址认证优先级大于802.1X认证 对于非802.1X报文直接进行MAC地址认证;对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 |
MAC-Auth Else 802.1X MAC Based |
与MAC-Auth Else 802.1X Single Host类似,但允许端口下有多个802.1X和MAC地址认证用户 |
· 目前端口安全特性对用户的认证主要有两种方式:MAC地址认证和802.1X认证,不同的安全模式对应不同的认证方式或认证方式组合。
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,802.1X MAC Based模式下,端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
· 在配置端口安全之前,需要关闭全局的802.1X和MAC地址认证功能
· 一个端口只能选择配置基本控制模式和高级控制模式中的一种。已进行了基本控制模式配置的端口,不能再配置为高级控制模式;反之亦然。
基本控制模式端口安全配置的推荐步骤如表1-2所示。
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口采用基本控制模式和端口的最大安全MAC数、报文入侵控制、出方向报文控制特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 安全MAC地址是一种特殊的MAC地址,不会被老化,保存后重启设备,不会丢失。在同一个VLAN内,一个安全MAC地址只能被添加到一个端口上,利用该特点,可以实现同一VLAN内MAC地址与端口的绑定 安全MAC地址可以由使能端口安全基本控制功能的端口自动学习,也可以通过Web手动配置 当端口下的安全MAC地址数目超过端口允许学习的最大安全MAC地址数后,该端口不会再添加新的安全MAC地址,仅接收并允许数据帧中的源MAC地址为安全MAC地址的报文访问网络设备 缺省情况下,没有配置安全MAC地址 |
高级控制模式端口安全配置的推荐步骤如表1-3所示。
步骤 |
配置任务 |
说明 |
1 |
必选 在全局启用端口安全功能,并配置高级参数 缺省情况下,全局的端口安全处于关闭状态 |
|
2 |
必选 配置端口的高级控制模式和报文入侵控制、出方向报文控制、忽略授权信息特性 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
|
3 |
可选 授权OUI只对安全模式配置为802.1X MAC Based Or OUI的端口有效。在端口安全模式为802.1X MAC Based Or OUI时,端口除了可以允许一个802.1x的接入用户通过认证之外,还可以允许一个指定OUI值的源MAC地址的用户通过认证 可以配置多个允许通过认证的用户OUI值,最多可以配置16个 缺省情况下,没有配置允许通过认证的用户OUI值 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图1-1所示的页面。
(2) “端口安全设置”中可以显示和配置全局端口安全功能的启用状态。单击“高级设置”前的扩展按钮可以显示和配置全局端口安全的高级参数信息,如图1-2所示。
(3) 配置全局端口安全,详细配置如表1-4所示。
(4) 单击<确定>按钮完成操作。
配置项 |
说明 |
|
启用端口安全 |
设置是否启用全局的端口安全功能 缺省情况下,全局的端口安全处于关闭状态 |
|
高级设置 |
暂时关闭端口时间 |
设置系统暂时关闭端口连接的时间 |
Trap信息发送 |
设置打开指定Trap信息的发送开关 Trap信息发送特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控 Trap信息的发送开关包括: · 学到新安全MAC · 802.1X认证失败 · 802.1X用户下线 · 802.1X用户上线 · 报文入侵 · MAC地址认证失败 · MAC地址认证用户下线 · MAC地址认证用户上线 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图1-1所示的页面。
(2) “配置端口安全功能和安全MAC表项”中的上半部分显示端口安全功能的信息,如图1-3所示。
(3) 单击<新建>按钮,进入新启用端口安全功能的配置页面,如图1-4所示。
(4) 配置端口的安全功能,详细配置如表1-5所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全基本控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
最大安全MAC数 |
设置端口允许的最大安全MAC地址数 端口安全允许某个端口下有多个用户通过认证,但是允许的用户数不能超过规定的最大值。配置最大安全MAC数有两个作用: · 控制能够通过某端口接入网络的最大用户数 · 控制端口安全能够添加的安全MAC地址数 该配置与MAC地址管理中配置的端口最多可以学习到的MAC地址数无关 |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“1.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图1-1所示的页面。
(2) 在“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,展开如图1-5所示的页面,显示所有自动学习到的和手动配置的安全MAC地址。
(3) 单击<新建>按钮,进入新建安全MAC表项的配置页面,如图1-6所示。
(4) 配置安全MAC表项,详细配置如表1-6所示。
(5) 单击<确定>按钮完成操作。
表1-6 安全MAC表项的详细配置
配置项 |
说明 |
端口 |
设置要配置安全MAC表项的端口 |
安全MAC地址 |
设置安全MAC地址 |
VLAN ID |
设置安全MAC地址所属的VLAN 指定的VLAN必须为该端口允许的VLAN |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图1-1所示的页面。
(2) 在“高级控制设置”中单击“高级控制端口”前的扩展按钮,展开如图1-7所示的页面,显示高级控制端口的信息。
(3) 单击<新建>按钮,进入新启用高级控制端口的配置页面,如图1-8所示。
(4) 配置高级控制端口,详细配置如表1-7所示。
(5) 单击<确定>按钮完成操作。
配置项 |
说明 |
端口 |
设置要启用端口安全高级控制的端口 缺省情况下,端口的安全功能关闭,端口处于无限制状态 |
安全模式 |
设置端口安全高级控制模式 可选的模式及其具体描述请参见表1-1 |
启用报文入侵控制 |
设置启用报文入侵控制特性,并指定对接收非法报文的端口所采取的安全策略 报文入侵控制特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞MAC地址(默认3分钟,不可配),以保证端口的安全性 · 暂时关闭端口:表示将收到非法报文的端口暂时关闭一段时间,关闭时长在“1.2.2 配置全局的端口安全”中配置 · 永久关闭端口:表示将收到非法报文的端口永久关闭 · 阻塞MAC地址:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常 |
启用出方向报文控制 |
设置启用出方向报文控制特性,并指定控制方式 出方向报文控制特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据 出方向报文控制方式包括: · 仅允许已知MAC单播报文:表示仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过 · 仅允许广播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过 · 仅允许广播组播和已知MAC单播报文:表示允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过 |
忽略授权信息 |
设置端口不应用RADIUS服务器下发的授权信息 802.1x用户或MAC地址认证用户在RADIUS服务器上通过认证时,服务器会把授权信息下发给设备端。通过此配置可实现基于端口是否忽略RADIUS服务器下发的授权信息 |
(1) 在导航栏中选择“认证 > 端口安全”,进入如图1-1所示的页面。
(2) 在“高级控制设置”中单击“授权OUI列表”前的扩展按钮,展开如图1-9所示的页面,显示授权OUI的信息。
(3) 配置授权OUI值。在“OUI值”文本框中输入格式为H-H-H的48位MAC地址。
(4) 单击<添加>按钮完成操作,系统会自动取输入MAC地址的前24位做为OUI值,忽略后24位。
在交换机的端口GigabitEthernet1/0/1上对接入用户做如下的限制:
· 允许3个用户自由接入,不进行认证,将学习到的用户MAC地址添加为安全MAC地址。
· 当安全MAC地址数量达到3后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。
图1-10 端口安全基本控制模式配置组网图
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中进行如下配置,如图1-11所示。
· 选中“启用端口安全”前的复选框。
· 单击“高级设置”前的扩展按钮。
· 输入暂时关闭端口时间为“30”秒。
· 选中Trap信息发送“报文入侵”前的复选框。
步骤3:单击<确定>按钮完成操作。
步骤4:单击“配置端口安全功能和安全MAC表项”中的<新建>按钮,进入对应的配置页面。
步骤5:进行如下配置,如图1-12所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 输入最大安全MAC数为“3”。
· 选中“启用报文入侵控制”前的复选框,选择控制方式为“暂时关闭端口”。
步骤6:单击<确定>按钮完成操作。
配置完成后,在Web上可以查看学习到的MAC地址。如学习到3个,那么存储的安全MAC地址数就为3,在端口安全页面的“配置端口安全功能和安全MAC表项”中单击“安全MAC列表”前的扩展按钮,查看到如图1-13所示的信息。
当学习到的MAC地址数达到3后,再有新的MAC地址到达将触发入侵保护,可以通过在导航栏中选择“设备 > 端口管理”,单击“详情”页签,选中端口GigabitEthernet1/0/1,看到端口安全使此端口不可用,如图1-14所示。
图1-14 端口管理——端口关闭
30秒后再次选中端口GigabitEthernet1/0/1刷新页面,可以看到端口恢复为可用,如图1-15所示。
此时,如手动删除几条安全MAC地址后,可以继续学习MAC地址。
客户端通过端口GigabitEthernet1/0/1连接到交换机上,交换机通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2的RADIUS服务器作为主认证/主计费服务器。认证共享密钥为abc,计费共享密钥为abc。
· 所有接入用户都使用ISP域system的缺省认证/授权/计费方案。
· 系统向RADIUS服务器发送的用户名不带域名。
交换机的管理者希望对接入用户的端口GigabitEthernet1/0/1做如下限制:
· 允许一个802.1x用户上线。
· 还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图1-16 端口安全高级控制模式配置组网图
接入用户和RADIUS服务器上的配置略。
(1) 配置RADIUS方案system。
步骤1:在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面。
步骤2:进行RADIUS认证服务器配置,如图1-17所示。
· 输入主服务器IP地址为“192.168.1.2”。
· 输入主UDP端口号为“1812”。。
· 选择主服务器状态为“active”。
步骤3:单击<确定>按钮完成操作。
图1-17 配置RADIUS认证服务器
步骤4:进行RADIUS计费服务器配置,如图1-18所示。
图1-18 配置RADIUS计费服务器
· 选择服务器类型为“计费服务器”。
· 输入主服务器IP地址为“192.168.1.2”。
· 输入主UDP端口为“1813”。
· 选择住服务器状态为“active”。
步骤5:单击<确定>按钮完成操作。
步骤6:单击“RADIUS服务器参数设置”页签,进行如下配置,如图1-19所示。
· 选择服务器类型为“extended”。
· 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“abc”。
· 输入确认认证密钥为“abc”。
· 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“abc”。
· 输入确认计费密钥为“abc”。
· 选择用户名格式为“without-domain”。
步骤7:单击<确定>按钮完成操作。
图1-19 配置设备与RADIUS服务器交互的方案
(2) 配置缺省ISP域system的AAA认证方案。
步骤1:在导航栏中选择“认证 > AAA”。
步骤2:单击“认证”页签,进入AAA认证方案的配置页面方案。
步骤3:进行如下配置,如图1-20所示。
· 选择域名为“system”。
· 选中“Default认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“system”。
图1-20 配置缺省ISP域system的AAA认证方案
步骤4:单击<应用>按钮,弹出配置进度对话框,如图1-21所示。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(3) 配置缺省ISP域system的AAA授权方案。
步骤1:单击“授权”页签,进入AAA授权方案的配置页面。
步骤2:进行如下配置,如图1-22所示。
· 选择域名为“system”。
· 选中“Default授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-22 配置缺省ISP域system的AAA授权方案
(4) 配置缺省ISP域system的AAA计费方案。
步骤1:单击“计费”页签,进入AAA计费方案的配置页面。
步骤2:进行如下配置,如图1-23所示。
· 选择域名为“system”。
· 选中“Default计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“system”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
图1-23 配置缺省ISP域system的AAA计费方案
(5) 配置全局的端口安全。
步骤1:在导航栏中选择“认证 > 端口安全”,进入端口安全的配置页面。
步骤2:在“端口安全设置”中选中“启用端口安全”前的复选框,如图1-24所示。
步骤3:单击<确定>按钮完成操作。
(6) 配置端口GigabitEthernet1/0/1的高级控制功能。
步骤1:在“高级控制设置”中单击“高级控制端口”前的扩展按钮。
步骤2:单击展开的列表下的<新建>按钮,进入新启用高级控制端口的配置页面。
步骤3:进行如下配置,如图1-25所示。
· 选择端口为“GigabitEthernet1/0/1”。
· 选择安全模式为“802.1X MAC Based Or OUI”。
步骤4:单击<确定>按钮完成操作。
图1-25 配置端口GigabitEthernet1/0/1的高级控制功能
(7) 配置3个授权OUI。
步骤1:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤2:输入OUI值为“1234-0100-0000”,如图1-26所示。
步骤3:单击<添加>按钮完成操作。
步骤4:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤5:输入OUI值为“1234-0200-0000”。
步骤6:单击<添加>按钮完成操作。
步骤7:在“高级控制设置”中单击“授权OUI列表”前的扩展按钮。
步骤8:输入OUI值为“1234-0300-0000”。
步骤9:单击<添加>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!