- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-端口安全配置
本章节下载: 05-端口安全配置 (164.25 KB)
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文;
· 未通过认证的用户报文。
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。而在仅需要802.1X、MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用相关特性。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证或被端口学习到的MAC所属的设备或主机上,从而防止非法设备窃听网络数据。
入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。
端口安全模式可大致分为两大类:控制MAC学习类和认证类。
· 控制MAC学习类:无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。
· 认证类:利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所采用的安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)或发送Trap告警。缺省情况下,端口出方向的报文转发不受端口安全限制,若触发了端口Need To Know,则才受相应限制。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表1-1。
|
安全模式 |
工作机制 |
NTK/入侵检测 |
||
|
缺省情况 |
noRestrictions |
表示端口的安全功能关闭,端口处于无限制状态 |
无效 |
|
|
端口控制MAC地址学习 |
autoLearn |
端口可通过手工配置或自动学习MAC地址,这些地址将被添加到安全MAC地址表中,称之为安全MAC地址 当端口下的安全MAC地址数超过端口安全允许学习的最大安全MAC地址数后,端口模式会自动转变为secure模式。之后,该端口停止添加新的安全MAC,只有源MAC地址为安全MAC地址、通过命令mac-address dynamic或mac-address static手工配置的MAC地址的报文,才能通过该端口 该模式下,端口不会将自动学习到的MAC地址添加为MAC地址表中的动态MAC地址 |
可触发 |
|
|
secure |
禁止端口学习MAC地址,只有源MAC地址为端口上的安全MAC地址、手工配置的MAC地址的报文,才能通过该端口 |
|||
|
端口采用802.1X认证 |
userLogin |
对接入用户采用基于端口的802.1X认证 此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
无效 |
|
|
userLoginSecure |
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
可触发 |
||
|
userLoginWithOUI |
该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 此模式下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
|||
|
userLoginSecureExt |
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|||
|
端口采用MAC地址认证 |
macAddressWithRadius |
对接入用户采用MAC地址认证 此模式下,端口允许多个用户接入 |
可触发 |
|
|
端口采用802.1X和MAC地址认证组合认证 |
macAddressOrUserLoginSecure |
端口同时处于userLoginSecure模式和macAddressWithRadius模式,且允许一个802.1X认证用户及多个MAC地址认证用户接入 此模式下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
可触发 |
|
|
macAddressElseUserLoginSecure |
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证。允许端口下一个802.1X认证用户及多个MAC地址认证用户接入 非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证 |
|||
|
macAddressOrUserLoginSecureExt |
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
|
macAddressElseUserLoginSecureExt |
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
|||
· 当多个用户通过认证时,端口下所允许的最大用户数与端口安全模式相关,取端口安全所允许的最大安全MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全所允许的最大安全MAC地址数与802.1X认证所允许的最大用户数的最小值。
· 手工配置MAC地址的具体介绍请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
由于安全模式种类较多,为便于记忆,部分端口安全模式的名称可按如下规则理解:
· “userLogin”表示基于端口的802.1X认证。userLogin之后,若携带“Secure”,则表示基于MAC地址的802.1X认证;若携带“Ext”,则示可允许多个802.1X用户认证成功,否则表示仅允许一个802.1X用户认证成功。
· “macAddress”表示MAC地址认证;
· “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。
· “Or”之后的认证方式先被采用,失败后转为“Or”之前的认证方式。
表1-2 端口安全配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置端口安全模式 |
必选 |
· 在端口安全未使能的情况下,端口安全模式可以进行配置但不会生效。
· 端口上有用户在线的情况下,改变端口的安全模式会导致在线用户会下线。
在配置端口安全模式之前,端口上首先需要满足以下条件:
· 802.1X认证关闭。
· MAC地址认证关闭。
· 端口未加入聚合组或业务环回组。
如果端口上已经配置了端口安全模式,则不允许开启802.1X认证和MAC地址认证。
表1-3 配置端口安全安全模式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
(可选)配置允许通过认证的用户OUI值 |
port-security oui index index-value mac-address oui-value |
该命令仅在配置userlogin-withoui安全模式时必选 缺省情况下,不存在允许通过认证的用户OUI值 允许通过认证的用户OUI值可以配置多个,但在端口安全模式为userLoginWithOUI时,端口除了可以允许一个802.1X的接入用户通过认证之外,仅允许一个与某OUI值匹配的用户通过认证 |
OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
