你最需要了解的H3C交換機埠安全模式

   以下內容摘自正在全國熱銷的《Cisco/H3C交換機高階配置與管理技術手冊》一書（暢銷經典——《Cisco/H3C交換機配置與管理完全手冊》（第二版）的配套姊妹篇）。目前京東網和卓越網上都有“滿150元減50元，滿300元減100元”的十分給力活動哦。

    使用者網路訪問控制是我們在進行網路管理和網路裝置配置時經常要用到一項網路技術應用。許多讀者朋友往往遇到這類應用需求時無從下手，其實在使用者的網路訪問控制方面，最直接、最簡單的方法就是配置基於埠的安全模式，不僅Cisco交換機如此，H3C交換機也有類似的功能，而且看起來功能更加強大。

    在H3C乙太網交換機上可配置的埠安全模式總體來說是可分為兩大類：控制MAC地址學習類和認證類。控制MAC地址學習類無需對接入使用者進行認證，但是可以允許或者禁止自動學習指定使用者MAC地址，也就是允許或者禁止把對應MAC地址新增到本地交換機的MAC地址表中，通過這種方法就可以實現使用者網路訪問的控制。認證類則是利用MAC地址認證或IEEE 802.1X認證機制，或者同時結合這兩種認證來實現對接入使用者的網路訪問控制。

    配置了安全模式的H3C乙太網交換機埠，在收到使用者傳送資料包文後，首先在本地MAC地址表中查詢對應使用者的MAC地址。如果該報文的源MAC地址已經在本地交換機中的MAC地址表中則直接轉發該報文，否則根據埠所在安全模式進行相應的處理，並在發現非法報文後觸發埠執行相應的安全防護特性。

    在H3C乙太網交換機中可配置的埠安全模式及各自的工作原理如下。

1. autoLearn模式與secure模式

    在autoLearn（自動學習）埠安全模式下，可通過手工配置，或動態學習MAC地址，此時得到的MAC地址稱為Secure MAC（安全MAC地址）。在這種模式下，只有源MAC為Secure MAC的報文才能通過該埠；但在埠下的Secure MAC地址表項數超過埠允許學習的最大安全MAC地址數後，該埠也不會再新增新的Secure MAC，並且埠會自動轉變為Secure模式。

    如果直接將埠安全模式設定為Secure模式，則將立即禁止埠學習新的MAC地址，只有源MAC地址是原來已在交換機上靜態配置，或者已動態學習到的MAC地址的報文才能通過該埠轉發。

    根據以上描述，可以得出在autoLearn和secure模式下報文處理流程如圖19-1所示。

圖19-1 autoLearn和secure埠安全模式報文處理流程圖

2. 單一IEEE 802.1X認證方式

   採用單一IEEE 802.1x認證方式的埠安全模式又包括以下幾種：

l  userlogin：對接入使用者採用基於埠的IEEE 802.1x認證，僅允許通過認證的使用者接入。

l  userLoginSecure：對接入使用者採用基於使用者MAC地址的IEEE 802.1x認證（也就是Cisco IOS交換機中所說的MAB）。僅接收源MAC地址為交換機的MAC地址的資料包，但也僅允許802.1x認證成功的使用者資料包文通過。此模式下，埠最多隻允許接入一個經過802.1x認證的使用者（即IEEE 802.1X單主機模式）。

l  userLoginSecureExt：與userLoginSecure類似，但埠下的802.1x認證使用者可以有多個（即IEEE 802.1X多主機模式）。

l  userLoginWithOUI：與userLoginSecure類似，埠最多隻允許一個802.1x認證使用者，但該使用者的資料包中還必須包含一個允許的OUI（組織唯一標誌符）。

    因為H3C乙太網交換機的IEEE 802.1X認證將在本書第21章專門介紹，故在此不再贅述。

3. MAC地址認證

    MAC地址認證安全模式即macAddressWithRadius模式。MAC地址認證是一種基於埠和使用者MAC地址的網路訪問控制方法，它不需要使用者安裝任何客戶端軟體。交換機在啟用了MAC地址認證的埠上首次檢測到使用者的MAC地址以後，即啟動對該使用者的認證操作。認證過程中，不需要使用者手動輸入使用者名稱或者密碼，因為這是基於使用者MAC地址進行的認證。如果該使用者認證成功，則允許其通過埠訪問網路資源，否則該使用者的MAC地址就被新增為“靜默MAC”。在靜默時間內（可通過靜默定時器配置），來自此MAC地址的使用者報文到達時直接做丟棄處理，以防止非法MAC短時間內的重複認證。

    目前H3C乙太網交換機支援“本地認證”和“RADIUS遠端認證”這兩種MAC地址認證方式。有關H3C乙太網交換機的RADIUS伺服器認證配置方法將在本書第20章專門介紹；有關MAC地址認證的配置方法將在本章19.5節介紹。

4. and方式

    “and”是“和”的意思，就是要求同時滿足所有的條件。and埠安全模式包括以下兩種子模式：

l  macAddressAndUserLoginSecure：當使用者的MAC地址不在轉發表中時，接入使用者首先進行MAC地址認證，當MAC地址認證成功後再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下，才允許該使用者接入網路。此模式下，埠最多隻允許一個使用者接入網路，也就是最先通過全部這兩種認證的使用者。

l  macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類似。但此模式下，埠允許接入網路的使用者可以有多個。

    根據以上描述得出以上這兩種and埠安全子模式的報文處理流程如圖19-2所示。

圖19-2  and埠安全模式的報文處理流程圖

5. else方式

    “else”是“另外”的意思，就是一種認證通不過後還可以嘗試其它的認證方式。else埠安全模式包括以下兩個子模式：

l  macAddressElseUserLoginSecure：當使用者的MAC地址不在轉發表中時，對接入使用者首先進行MAC地址認證，如果認證成功則直接通過，如果MAC地址認證失敗再嘗試進行802.1x認證。此模式下，埠下可以有多個使用者通過MAC地址認證，但埠僅允許接入一個使用者經過802.1x認證，也就是最先通過802.1x認證的使用者。

l  macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類似。但此模式下，埠允許經過多個使用者通過IEEE 802.1X認證。

    根據以上描述得出以上這兩種else埠安全子模式的報文處理流程如圖19-3所示。

圖19-3 else埠安全模式報文處理流程圖

6. or方式

“or”是“或者”的意思，也就是可以任選其中一種認證方式。or埠安全模式包括以下兩個子模式：

l  macAddressOrUserLoginSecure：當使用者的MAC地址不在轉發表中時，接入使用者通過MAC地址認證後，仍然可以進行IEEE 802.1x認證；但接入使用者通過IEEE 802.1x認證後，不再進行MAC地址認證。此模式下，可以有多個經過基於MAC地址認證的使用者，但埠僅允許接入一個經過認證的802.1x使用者，也就是最先通過802.1x認證的使用者。

l  macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的使用者。

根據以上描述得出以上這兩種or埠安全子模式的報文處理流程如圖19-4所示。

圖19-4  or埠安全模式報文處理流程圖

本文轉自王達部落格51CTO部落格，原文連結http://blog.51cto.com/winda/1031237如需轉載請自行聯絡原作者

茶鄉浪子