溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
我們在《Cisco交換機配置與管理完全手冊》(第二版)第21章中介紹了Cisco IOS交換機系統中的“端口安全”功能,允許通過配置靜態安全MAC地址實現僅允許固定設備連接,也允許在一個端口上配置一個最大的安全MAC地址數,僅允許在此數之前識別到的設備連接在該端口上。當超過了所設置的最大安全端口數,將觸發一個安全違例事件,在端口上配置的一個基于違例行為模式的違例行為將被執行。如果在某個端口上配置的最大安全MAC地址數為1,則設備上的該安全端口僅允許與固定設備連接。
但H3C交換機中的“端口安全”(Port Security)與Cisco設備中的“端口安全”功能并不完全一樣,它是一種對網絡接入進行控制的安全機制(防止非法接入),是對已有的IEEE 802.1x認證和MAC地址認證的擴充。H3C交換機中的端口安全主要功能就是用戶通過定義各種安全模式,來控制端口上的MAC地址學習或對用戶進行認證,從而讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。在H3C交換機上啟用了端口安全功能之后,對于交換機不能通過安全模式學習到其源MAC地址的報文,系統將視為非法報文;對于不能通過IEEE 802.1x認證或MAC地址認證的事件,將被視為非法事件。當發現非法報文或非法事件后,系統將觸發相應特性,并按照預先指定的方式自動進行處理,減少了用戶的維護工作量,極大地提高了系統的安全性和可管理性。
H3C以太網交換機的基本端口安全模式可分為兩大類:控制MAC學習類和認證類。控制MAC學習類無需認證,包括端口自動學習MAC地址和禁止MAC地址學習兩種模式;認證類則是利用MAC地址認證或IEEE 802.1x認證機制來實現,包括單獨認證和組合認證等多種模式。
配置了安全模式的端口上收到用戶報文后,首先查找MAC地址表,如果該報文的源MAC地址已經存在于MAC地址表中,則端口轉發該報文,否則根據端口所在安全模式進行相應的處理(學習、認證),并在發現非法報文后觸發端口執行以下相應的安全防護特性:
l Need To Know(NTK)
Need To Know(需要知道)特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀只能被發送到已經通過認證或被端口學習到的MAC地址所屬的設備或主機上,從而防止非法設備竊聽網絡數據。
l Intrusion Protection(***防御)
***防御特性指通過檢測從端口上接收到的數據幀的源MAC地址,對接收非法源MAC地址的報文的端口將采取相應的安全策略,包括端口被暫時斷開連接、永久斷開連接或MAC地址被過濾(默認3分鐘,不可配置),以保證端口的安全性。
l Trap警告
Trap警告特性是指在端口有特定的數據包(非法***,或有用戶上、下線)傳送時,確定設備是否發送Trap信息,便于網絡管理員對這些特殊的行為進行監控。
H3C以太網交換機可用的端口安全模式說明如表17-1所示,不同模式有不同的工作機制和特性支持。但要注意,并不是每款機型都支持端口安全配置,也不是每款機型都支持表中全部的端口安全模式。如S3610、S5510、S7500、S9500、S9500E等系列不支持端口安全配置;也有一些H3C以太網交換機并不支持表17-1中的全部端口安全模式,具體將在表中注明。主要支持端口安全配置的系列包括:S3600、S5600、S5510-SI/EI、S58、S7500E等系列。
表17-1 端口安全模式描述表
安全模式 | 特性支持<span "="" > | |
默認模式 | noRestrictions | 表示端口的安全功能關閉,訪問不受限制 | 不支持 |
端口控制MAC地址學習情形下的安全模式 | autoLearn | 端口可通過手工配置或自動學習安全MAC地址,然后被添加到安全MAC地址表中。只有源MAC地址為安全MAC地址、手工配置的MAC地址的報文,才能通過該端口。當端口下的安全MAC地址數超過端口允許學習的最大安全MAC地址數后,端口模式會自動轉變為secure模式,停止添加新的安全MAC地址,這與Cisco IOS交換機的端口安全功能是一樣的 | 當設備發現非法報文后,將觸發NTK特性和***防御特性 |
secure | 禁止端口動態學習新的MAC地址,只有源MAC地址為端口上原有的安全MAC地址、手工配置的MAC地址的報文才能通過該端口 | ||
端口采用IEEE 802.1x認證情形下的安全模式 | userLogin | 對接入用戶采用基于端口的IEEE 802.1x認證。此模式下,端口下的第一個IEEE 802.1x用戶認證成功后,其他用戶無須認證就可接入,有關H3C以太網交換機的IEEE 802.1x認證相關知識和配置將在本書第21章介紹 | 不支持 |
userLoginSecure | 對接入用戶采用基于MAC地址的IEEE 802.1x認證(相當于在《Cisco交換機配置與管理完全手冊》第23章介紹的Cisco IOS交換機IEEE 802.1x認證中的旁路MAC地址認證(MAB))。此模式下,端口最多只允許一個IEEE 802.1x認證用戶接入(也就是在Cisco IOS交換機中所說的IEEE 802.1x單主機模式) | 當設備發現非法報文后,將觸發NTK特性和***防御特性 | |
userLoginWithOUI | 該模式與userLoginSecure模式類似,但端口上除了允許一個IEEE 802.1x認證用戶接入之外,還額外允許一個特殊用戶接入,該用戶報文的源MAC地址的OUI(Organizationally Unique Identifier,全球唯一標示符,是MAC地址的前24位)與設備上配置的OUI值相符。在用戶接入方式為有線的情況下,對IEEE 802.1x報文進行IEEE 802.1x認證,對非802.1x報文直接進行OUI匹配,IEEE 802.1x認證成功和OUI匹配成功的報文都允許通過端口 | ||
userLoginSecureExt | 與userLoginSecure模式類似,但端口下的IEEE 802.1x認證用戶可以有多個(也就是在Cisco IOS交換機中所說的IEEE 802.1x多主機模式) | ||
端口采用MAC地址認證情形下的安全模式 | macAddressWithRadius | 對接入用戶采用MAC地址認證,允許多個用戶接入 | |
端口采用IEEE 802.1x | macAddressOrUserLoginSecure | MAC地址認證和IEEE 802.1x認證可以同時共存,但IEEE 802.1x認證優先級大于MAC地址認證;接入用戶通過MAC地址認證后,仍然可以進行IEEE 802.1x認證;接入用戶通過IEEE 802.1x認證后,不再進行MAC地址認證。 此模式下,端口最多只允許接入一個經過認證的IEEE 802.1x用戶,但端口下經過認證的MAC地址認證用戶可以有多個 | |
macAddressElseUserLoginSecure | 接入用戶可以進行MAC地址認證或IEEE 802.1x認證,當其中一種方式認證成功則表明認證通過。 此模式下,端口最多只允許接入一個經過認證的IEEE 802.1x用戶,但端口下經過認證的MAC地址認證用戶可以有多個 | ||
macAddressOrUserLoginSecureExt | 與macAddressOrUserLoginSecure安全模式類似,但允許端口下有多個IEEE 802.1x和MAC地址認證用戶 | ||
macAddressElseUserLoginSecureExt | 與macAddressElseUserLoginSecure安全模式類似,但允許端口下有多個IEEE 802.1x和MAC地址認證用戶 | ||
macAddressAndUserLoginSecure(僅S3100、S5510-SI/EI和S5600系列支持) | 對接入用戶先進行MAC地址認證,當MAC地址認證成功后,再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下,才允許該用戶接入網絡;此模式下,端口最多只允許一個用戶接入網絡 | ||
macAddressAndUserLoginSecureExt (僅S3100、S5510-SI/EI和S5600系列支持) | 與macAddressAndUserLoginSecure模式類似。但此模式下,端口允許接入網絡的用戶可以有多個 |
由于安全模式種類較多,為便于記憶,可對表17-1中的部分端口安全模式名稱的構成按如下規則理解(或者說是對這些安全模式進行宏觀分類):
l 帶有“userLogin”的模式表示支持基于端口的IEEE 802.1x認證;帶有“macAddress”的模式表示支持基于MAC地址認證;帶有“Secure”的userLogin模式表示支持基于MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的IEEE 802.1x旁路MAC地址認證)。
l 帶有“Else”的模式中,“Else”之前的認證模式先被采用,失敗后根據請求認證的報文協議類型決定是否轉為“Else”之后的認證方式;帶有“Or”的模式中,“Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式。
l 帶有“Ext”表示可允許多個IEEE 802.1x用戶認證成功(也就是支持IEEE 802.1x多主機認證模式),不攜帶則表示僅允許一個IEEE 802.1x用戶認證成功(也就是僅支持IEEE 802.1x單主機認證模式)。
l 當多個用戶通過認證時,端口下所允許的最大用戶數根據不同的端口安全模式,取配置的最大安全MAC地址數與相應模式下允許認證用戶數兩者之中的最小值。例如,userLoginSecureExt模式下端口下所允許的最大用戶為所配置的最大安全MAC地址數與IEEE 802.1x認證所允許的最大用戶數的最小值。
l 在userlogin安全模式下,NTK特性和Intrusion Protection特性不會被觸發。其他模式下,當設備發現非法報文或非法事件后,將觸發NTK特性和Intrusion Protection特性。
l 當端口工作在userLoginWithOUI模式下時,即使OUI地址不匹配,也不會觸發Intrusion Protection特性。
macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口,對于同一個報文只有在MAC地址認證和IEEE 802.1x認證均失敗后,才會觸發Intrusion Protection特性。在上節的表17-1中介紹了H3C以太網交換機中各種環境下的多種端口安全模式,本節具體介紹這些安全模式的工作原理。
在autoLearn(自動學習)模式下,可通過手工配置或通過動態進行MAC學習,此時得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下,只有源MAC為Secure MAC的報文才能通過該端口;但當端口下的Secure MAC地址表項數超過端口允許學習的最大安全MAC地址數后,該端口不會再添加新的Secure MAC,并且端口模式會自動轉變為secure。
如果直接將端口安全模式設置為secure模式,則將禁止端口學習新的MAC地址,只有已配置的靜態或動態MAC的報文才能通過該端口。
根據以上描述,可以得出在autoLearn和secure模式下報文處理流程如圖17-1所示。
從表17-1可以看出,采用單一IEEE 802.1x認證方式的端口安全模式包括以下幾種:
l userLogin:對接入用戶采用基于端口的IEEE 802.1x認證。
l userLoginSecure:對接入用戶采用基于用戶MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的MAB),認證成功后端口開啟,但也只允許認證成功的用戶報文通過。此模式下,端口最多只允許接入一個經過IEEE 802.1x認證的用戶(即IEEE 802.1x單主機模式)。
l userLoginSecureExt:與userLoginSecure類似,但端口下的IEEE 802.1x認證用戶可以有多個(即IEEE 802.1x多主機模式)。
l userLoginWithOUI:與userLoginSecure類似,端口最多只允許一個IEEE 802.1x認證用戶,但同時端口還允許一個OUI地址的報文通過。
因為H3C以太網交換機的IEEE 802.1x認證將在本書第21章專門介紹,故在此不再贅述。
在表17-1中支持MAC地址認證的端口安全模式為macAddressWithRadius。它可對接入用戶采用MAC地址的認證。
MAC地址認證是一種基于端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以后,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼。如果該用戶認證成功,則允許其通過端口訪問網絡資源,否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時,設備直接做丟棄處理,以防止非法MAC短時間內的重復認證。
目前AH3C設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關H3C以太網交換機的RADIUS服務器認證方式將在本書第18章專門介紹;有關MAC地址認證將在本章17.5節介紹。
在表17-1中所列的端口安全模式中,采用and方式(也就是同時采用)的端口安全模式包括以下兩個:
l macAddressAndUserLoginSecure:接入用戶首先進行MAC地址認證,當MAC地址認證成功后再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下,才允許該用戶接入網絡。此模式下,端口最多只允許一個用戶接入網絡。
l macAddressAndUserLoginSecureExt:與macAddressAndUserLoginSecure類似。但此模式下,端口允許接入網絡的用戶可以有多個。
根據以上描述得出這兩種and方式的端口安全模式的報文處理流程如圖17-2所示。
在表17-1中所列的端口安全模式中,采用else方式(也就是多選一方式)的端口安全模式包括以下兩個:
l macAddressElseUserLoginSecure:對接入用戶首先進行MAC地址認證,如果成功則表明認證通過,如果失敗再進行IEEE 802.1x認證。此模式下,端口最多只允許接入一個用戶經過IEEE 802.1x認證,但端口下可以有多個通過MAC地址認證。
l macAddressElseUserLoginSecureExt:與macAddressElseUserLoginSecure類似。但此模式下,端口允許多個用戶通過IEEE 802.1x認證。
根據以上描述得出這兩種else方式的端口安全模式的報文處理流程如圖17-3所示。
在表17-1中所列的端口安全模式中,采用or方式(也就是多選方式)的端口安全模式包括以下兩個:
l macAddressOrUserLoginSecure:接入用戶通過MAC地址認證后,仍然可以進行IEEE 802.1x認證;但接入用戶通過IEEE 802.1x認證后,不再進行MAC地址認證。此模式下,端口最多只允許接入一個經過認證的IEEE 802.1x用戶,但可以有多個經過基于MAC地址認證的用戶。
l macAddressOrUserLoginSecureExt:與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的用戶。
根據以上描述得出這兩種or方式的端口安全模式的報文處理流程如圖17-4所示。
圖17-4 or方式下端口安全模式的報文處理流程圖
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
