詳解H3C交換機“埠安全”功能
以下內容摘自正在全面熱銷的最新網路裝置圖書“豪華四件套”之一——《H3C交換機配置與管理完全手冊》(第二版)(其餘三本分別是:《Cisco交換機配置與管理完全手冊》(第二版)、《Cisco路由器配置與管理完全手冊》(第二版)和《H3C路由器配置與管理完全手冊》(第二版) )。目前在京東網、噹噹網、卓越網、互動出版網等書店全面熱銷中,購買該套裝將直減30元,詳情點選:
http://book.dangdang.com/20130730_aife
http://item.jd.com/11299332.html
http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801
17.1 H3C交換機埠安全基礎
我們在《Cisco交換機配置與管理完全手冊》(第二版)第21章中介紹了Cisco IOS交換機系統中的“埠安全”功能,允許通過配置靜態安全MAC地址實現僅允許固定裝置連線,也允許在一個埠上配置一個最大的安全MAC地址數,僅允許在此數之前識別到的裝置連線在該埠上。當超過了所設定的最大安全埠數,將觸發一個安全違例事件,在埠上配置的一個基於違例行為模式的違例行為將被執行。如果在某個埠上配置的最大安全MAC地址數為1,則裝置上的該安全埠僅允許與固定裝置連線。
但H3C交換機中的“埠安全”(Port Security)與Cisco裝置中的“埠安全”功能並不完全一樣,它是一種對網路接入進行控制的安全機制(防止非法接入),是對已有的IEEE 802.1x認證和MAC地址認證的擴充。H3C交換機中的埠安全主要功能就是使用者通過定義各種安全模式,來控制埠上的MAC地址學習或對使用者進行認證,從而讓裝置學習到合法的源MAC地址,以達到相應的網路管理效果。在H3C交換機上啟用了埠安全功能之後,對於交換機不能通過安全模式學習到其源MAC地址的報文,系統將視為非法報文;對於不能通過IEEE 802.1x認證或MAC地址認證的事件,將被視為非法事件。當發現非法報文或非法事件後,系統將觸發相應特性,並按照預先指定的方式自動進行處理,減少了使用者的維護工作量,極大地提高了系統的安全性和可管理性。
17.1.1 H3C交換機埠安全特性和模式
H3C乙太網交換機的基本埠安全模式可分為兩大類:控制MAC學習類和認證類。控制MAC學習類無需認證,包括埠自動學習MAC地址和禁止MAC地址學習兩種模式;認證類則是利用MAC地址認證或IEEE 802.1x認證機制來實現,包括單獨認證和組合認證等多種模式。
配置了安全模式的埠上收到使用者報文後,首先查詢MAC地址表,如果該報文的源MAC地址已經存在於MAC地址表中,則埠轉發該報文,否則根據埠所在安全模式進行相應的處理(學習、認證),並在發現非法報文後觸發埠執行以下相應的安全防護特性:
l Need To Know(NTK)
Need To Know(需要知道)特性通過檢測從埠發出的資料幀的目的MAC地址,保證資料幀只能被髮送到已經通過認證或被埠學習到的MAC地址所屬的裝置或主機上,從而防止非法裝置竊聽網路資料。
l Intrusion Protection(入侵防禦)
入侵防禦特性指通過檢測從埠上接收到的資料幀的源MAC地址,對接收非法源MAC地址的報文的埠將採取相應的安全策略,包括埠被暫時斷開連線、永久斷開連線或MAC地址被過濾(預設3分鐘,不可配置),以保證埠的安全性。
l Trap警告
Trap警告特性是指在埠有特定的資料包(非法入侵,或有使用者上、下線)傳送時,確定裝置是否傳送Trap資訊,便於網路管理員對這些特殊的行為進行監控。
H3C乙太網交換機可用的埠安全模式說明如表17-1所示,不同模式有不同的工作機制和特性支援。但要注意,並不是每款機型都支援埠安全配置,也不是每款機型都支援表中全部的埠安全模式。如S3610、S5510、S7500、S9500、S9500E等系列不支援埠安全配置;也有一些H3C乙太網交換機並不支援表17-1中的全部埠安全模式,具體將在表中註明。主要支援埠安全配置的系列包括:S3600、S5600、S5510-SI/EI、S58、S7500E等系列。
|
安全模式 |
特性支援<span “=”” style=”word-wrap: break-word;”> |
|
|
預設模式 |
noRestrictions |
表示埠的安全功能關閉,訪問不受限制 |
不支援 |
|
埠控制MAC地址學習情形下的安全模式 |
autoLearn |
埠可通過手工配置或自動學習安全MAC地址,然後被新增到安全MAC地址表中。只有源MAC地址為安全MAC地址、手工配置的MAC地址的報文,才能通過該埠。當埠下的安全MAC地址數超過埠允許學習的最大安全MAC地址數後,埠模式會自動轉變為secure模式,停止新增新的安全MAC地址,這與Cisco IOS交換機的埠安全功能是一樣的 |
當裝置發現非法報文後,將觸發NTK特性和入侵防禦特性 |
|
secure |
禁止埠動態學習新的MAC地址,只有源MAC地址為埠上原有的安全MAC地址、手工配置的MAC地址的報文才能通過該埠 |
||
|
埠採用IEEE 802.1x認證情形下的安全模式 |
userLogin |
對接入使用者採用基於埠的IEEE 802.1x認證。此模式下,埠下的第一個IEEE 802.1x使用者認證成功後,其他使用者無須認證就可接入,有關H3C乙太網交換機的IEEE 802.1x認證相關知識和配置將在本書第21章介紹 |
不支援 |
|
userLoginSecure |
對接入使用者採用基於MAC地址的IEEE 802.1x認證(相當於在《Cisco交換機配置與管理完全手冊》第23章介紹的Cisco IOS交換機IEEE 802.1x認證中的旁路MAC地址認證(MAB))。此模式下,埠最多隻允許一個IEEE 802.1x認證使用者接入(也就是在Cisco IOS交換機中所說的IEEE 802.1x單主機模式) |
當裝置發現非法報文後,將觸發NTK特性和入侵防禦特性 |
|
|
userLoginWithOUI |
該模式與userLoginSecure模式類似,但埠上除了允許一個IEEE 802.1x認證使用者接入之外,還額外允許一個特殊使用者接入,該使用者報文的源MAC地址的OUI(Organizationally Unique Identifier,全球唯一標示符,是MAC地址的前24位)與裝置上配置的OUI值相符。在使用者接入方式為有線的情況下,對IEEE 802.1x報文進行IEEE 802.1x認證,對非802.1x報文直接進行OUI匹配,IEEE802.1x認證成功和OUI匹配成功的報文都允許通過埠 |
||
|
userLoginSecureExt |
與userLoginSecure模式類似,但埠下的IEEE 802.1x認證使用者可以有多個(也就是在Cisco IOS交換機中所說的IEEE 802.1x多主機模式) |
||
|
埠採用MAC地址認證情形下的安全模式 |
macAddressWithRadius |
對接入使用者採用MAC地址認證,允許多個使用者接入 |
|
|
埠採用IEEE 802.1x |
macAddressOrUserLoginSecure |
MAC地址認證和IEEE 802.1x認證可以同時共存,但IEEE 802.1x認證優先順序大於MAC地址認證;接入使用者通過MAC地址認證後,仍然可以進行IEEE 802.1x認證;接入使用者通過IEEE 802.1x認證後,不再進行MAC地址認證。 此模式下,埠最多隻允許接入一個經過認證的IEEE 802.1x使用者,但埠下經過認證的MAC地址認證使用者可以有多個 |
|
|
macAddressElseUserLoginSecure |
接入使用者可以進行MAC地址認證或IEEE 802.1x認證,當其中一種方式認證成功則表明認證通過。 此模式下,埠最多隻允許接入一個經過認證的IEEE 802.1x使用者,但埠下經過認證的MAC地址認證使用者可以有多個 |
||
|
macAddressOrUserLoginSecureExt |
與macAddressOrUserLoginSecure安全模式類似,但允許埠下有多個IEEE 802.1x和MAC地址認證使用者 |
||
|
macAddressElseUserLoginSecureExt |
與macAddressElseUserLoginSecure安全模式類似,但允許埠下有多個IEEE 802.1x和MAC地址認證使用者 |
||
|
macAddressAndUserLoginSecure(僅S3100、S5510-SI/EI和S5600系列支援) |
對接入使用者先進行MAC地址認證,當MAC地址認證成功後,再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下,才允許該使用者接入網路;此模式下,埠最多隻允許一個使用者接入網路 |
||
|
macAddressAndUserLoginSecureExt (僅S3100、S5510-SI/EI和S5600系列支援) |
與macAddressAndUserLoginSecure模式類似。但此模式下,埠允許接入網路的使用者可以有多個 |
由於安全模式種類較多,為便於記憶,可對錶17-1中的部分埠安全模式名稱的構成按如下規則理解(或者說是對這些安全模式進行巨集觀分類):
l 帶有“userLogin”的模式表示支援基於埠的IEEE 802.1x認證;帶有“macAddress”的模式表示支援基於MAC地址認證;帶有“Secure”的userLogin模式表示支援基於MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的IEEE 802.1x旁路MAC地址認證)。
l 帶有“Else”的模式中,“Else”之前的認證模式先被採用,失敗後根據請求認證的報文協議型別決定是否轉為“Else”之後的認證方式;帶有“Or”的模式中,“Or”連線的兩種認證方式無固定生效順序,裝置根據請求認證的報文協議型別決定認證方式。
l 帶有“Ext”表示可允許多個IEEE 802.1x使用者認證成功(也就是支援IEEE 802.1x多主機認證模式),不攜帶則表示僅允許一個IEEE 802.1x使用者認證成功(也就是僅支援IEEE 802.1x單主機認證模式)。
l 當多個使用者通過認證時,埠下所允許的最大使用者數根據不同的埠安全模式,取配置的最大安全MAC地址數與相應模式下允許認證使用者數兩者之中的最小值。例如,userLoginSecureExt模式下埠下所允許的最大使用者為所配置的最大安全MAC地址數與IEEE 802.1x認證所允許的最大使用者數的最小值。
l 在userlogin安全模式下,NTK特性和Intrusion Protection特性不會被觸發。其他模式下,當裝置發現非法報文或非法事件後,將觸發NTK特性和Intrusion Protection特性。
l 當埠工作在userLoginWithOUI模式下時,即使OUI地址不匹配,也不會觸發Intrusion Protection特性。
macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的埠,對於同一個報文只有在MAC地址認證和IEEE 802.1x認證均失敗後,才會觸發Intrusion Protection特性。
17.1.2 詳解埠安全模式工作原理
在上節的表17-1中介紹了H3C乙太網交換機中各種環境下的多種埠安全模式,本節具體介紹這些安全模式的工作原理。
1.autoLearn模式與secure模式
在autoLearn(自動學習)模式下,可通過手工配置或通過動態進行MAC學習,此時得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下,只有源MAC為Secure MAC的報文才能通過該埠;但當埠下的Secure MAC地址表項數超過埠允許學習的最大安全MAC地址數後,該埠不會再新增新的Secure MAC,並且埠模式會自動轉變為secure。
如果直接將埠安全模式設定為secure模式,則將禁止埠學習新的MAC地址,只有已配置的靜態或動態MAC的報文才能通過該埠。
根據以上描述,可以得出在autoLearn和secure模式下報文處理流程如圖17-1所示。
2.單一IEEE 802.1x認證方式
從表17-1可以看出,採用單一IEEE 802.1x認證方式的埠安全模式包括以下幾種:
l userLogin:對接入使用者採用基於埠的IEEE 802.1x認證。
l userLoginSecure:對接入使用者採用基於使用者MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的MAB),認證成功後埠開啟,但也只允許認證成功的使用者報文通過。此模式下,埠最多隻允許接入一個經過IEEE 802.1x認證的使用者(即IEEE 802.1x單主機模式)。
l userLoginSecureExt:與userLoginSecure類似,但埠下的IEEE 802.1x認證使用者可以有多個(即IEEE 802.1x多主機模式)。
l userLoginWithOUI:與userLoginSecure類似,埠最多隻允許一個IEEE 802.1x認證使用者,但同時埠還允許一個OUI地址的報文通過。
因為H3C乙太網交換機的IEEE 802.1x認證將在本書第21章專門介紹,故在此不再贅述。
3.MAC地址認證
在表17-1中支援MAC地址認證的埠安全模式為macAddressWithRadius。它可對接入使用者採用MAC地址的認證。
MAC地址認證是一種基於埠和MAC地址對使用者的網路訪問許可權進行控制的認證方法,它不需要使用者安裝任何客戶端軟體。裝置在啟動了MAC地址認證的埠上首次檢測到使用者的MAC地址以後,即啟動對該使用者的認證操作。認證過程中,不需要使用者手動輸入使用者名稱或者密碼。如果該使用者認證成功,則允許其通過埠訪問網路資源,否則該使用者的MAC地址就被新增為靜默MAC。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的使用者報文到達時,裝置直接做丟棄處理,以防止非法MAC短時間內的重複認證。
目前AH3C裝置支援兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠端認證撥號使用者服務)伺服器進行遠端認證和在接入裝置上進行本地認證。有關H3C乙太網交換機的RADIUS伺服器認證方式將在本書第18章專門介紹;有關MAC地址認證將在本章17.5節介紹。
4.and方式
在表17-1中所列的埠安全模式中,採用and方式(也就是同時採用)的埠安全模式包括以下兩個:
l macAddressAndUserLoginSecure:接入使用者首先進行MAC地址認證,當MAC地址認證成功後再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下,才允許該使用者接入網路。此模式下,埠最多隻允許一個使用者接入網路。
l macAddressAndUserLoginSecureExt:與macAddressAndUserLoginSecure類似。但此模式下,埠允許接入網路的使用者可以有多個。
根據以上描述得出這兩種and方式的埠安全模式的報文處理流程如圖17-2所示。
5.else方式
在表17-1中所列的埠安全模式中,採用else方式(也就是多選一方式)的埠安全模式包括以下兩個:
l macAddressElseUserLoginSecure:對接入使用者首先進行MAC地址認證,如果成功則表明認證通過,如果失敗再進行IEEE 802.1x認證。此模式下,埠最多隻允許接入一個使用者經過IEEE 802.1x認證,但埠下可以有多個通過MAC地址認證。
l macAddressElseUserLoginSecureExt:與macAddressElseUserLoginSecure類似。但此模式下,埠允許多個使用者通過IEEE 802.1x認證。
根據以上描述得出這兩種else方式的埠安全模式的報文處理流程如圖17-3所示。
6.or方式
在表17-1中所列的埠安全模式中,採用or方式(也就是多選方式)的埠安全模式包括以下兩個:
l macAddressOrUserLoginSecure:接入使用者通過MAC地址認證後,仍然可以進行IEEE 802.1x認證;但接入使用者通過IEEE 802.1x認證後,不再進行MAC地址認證。此模式下,埠最多隻允許接入一個經過認證的IEEE 802.1x使用者,但可以有多個經過基於MAC地址認證的使用者。
l macAddressOrUserLoginSecureExt:與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的使用者。
根據以上描述得出這兩種or方式的埠安全模式的報文處理流程如圖17-4所示。
圖17-4 or方式下埠安全模式的報文處理流程圖
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/1309444如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- 華為交換機埠安全詳解--埠隔離、環路檢測與埠安全
- 你最需要了解的H3C交換機埠安全模式模式
- 交換機埠安全總結
- CISCO交換機,埠安全配置例項。
- 交換機的作用、功能和工作原理詳解
- 核心交換機的TRUNK配置功能詳細講解(轉)
- H3C交換機配置命令大全
- H3C三層交換機操作
- 交換機埠總結
- HUAWEI交換機埠映象
- 實戰演練!CISCO交換機埠安全一點通
- 各種交換機埠安全總結(配置例項)(轉)
- 華為交換機和銳捷交換機埠隔離
- 交換機ARP代理詳解
- 二層交換機埠模式模式
- 華為交換機埠映象配置
- 思科、華為、H3C交換機命名規則
- STM32 串列埠功能詳解串列埠
- H3C交換機常用命令彙總
- 交換機M:N埠映象配置
- 思科3560交換機埠限速
- 解決交換機埠出現err-disabled現象
- 網路交換機功能和原理的詳細說明
- 核心交換機的TRUNK配置功能詳細講解 ( 到底什麼是TRUNK呢?)
- 快速查詢交換機埠的VLAN ID
- Cisco交換機配置新手篇-埠配置(一)
- 乙太網交換機埠型別有哪些?型別
- H3C交換機IPv6無狀態地址自動配置
- 深耕企業組網 H3C企業主網交換機評測
- 華為 H3C 路由器 交換機 QoS錯誤碼對應表路由器
- 用netstat -ano檢視本機埠詳解
- 交換機中網路環路常見問題詳解
- 瞭解交換機原理 詳解廣播風暴成因(轉)
- 《Cisco/H3C交換機高階配置與管理技術手冊》目錄
- 記近日各型別交換機MAC與埠繫結配置型別Mac
- 談談IP、MAC與交換機埠繫結的方法Mac
- 華為S2300交換機埠映象配置
- 核心交換機光纖埠級連線方式與型別型別