- 相關(guān)推薦
H3C交換機(jī)端口安全模式配置
用戶網(wǎng)絡(luò)訪問控制是我們?cè)谶M(jìn)行網(wǎng)絡(luò)管理和網(wǎng)絡(luò)設(shè)備配置時(shí)經(jīng)常要用到一項(xiàng)網(wǎng)絡(luò)技術(shù)應(yīng)用。其實(shí)在用戶的網(wǎng)絡(luò)訪問控制方面,最直接、最簡(jiǎn)單的方法就是配置基于端口的安全模式,不僅Cisco交換機(jī)如此,H3C交換機(jī)也有類似的功能,而且看起來功能更加強(qiáng)大。下面跟yjbys小編一起來學(xué)習(xí)一下H3C以太網(wǎng)交換機(jī)端口安全模式配置方法!
在H3C以太網(wǎng)交換機(jī)上可配置的端口安全模式總體來說是可分為兩大類:控制MAC地址學(xué)習(xí)類和認(rèn)證類。控制MAC地址學(xué)習(xí)類無需對(duì)接入用戶進(jìn)行認(rèn)證,但是可以允許或者禁止自動(dòng)學(xué)習(xí)指定用戶MAC地址,也就是允許或者禁止把對(duì)應(yīng)MAC地址添加到本地交換機(jī)的MAC地址表中,通過這種方法就可以實(shí)現(xiàn)用戶網(wǎng)絡(luò)訪問的控制。認(rèn)證類則是利用MAC地址認(rèn)證或IEEE 802.1X認(rèn)證機(jī)制,或者同時(shí)結(jié)合這兩種認(rèn)證來實(shí)現(xiàn)對(duì)接入用戶的網(wǎng)絡(luò)訪問控制。
配置了安全模式的H3C以太網(wǎng)交換機(jī)端口,在收到用戶發(fā)送數(shù)據(jù)報(bào)文后,首先在本地MAC地址表中查找對(duì)應(yīng)用戶的MAC地址。如果該報(bào)文的源MAC地址已經(jīng)在本地交換機(jī)中的MAC地址表中則直接轉(zhuǎn)發(fā)該報(bào)文,否則根據(jù)端口所在安全模式進(jìn)行相應(yīng)的處理,并在發(fā)現(xiàn)非法報(bào)文后觸發(fā)端口執(zhí)行相應(yīng)的安全防護(hù)特性。
在H3C以太網(wǎng)交換機(jī)中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式與secure模式
在autoLearn(自動(dòng)學(xué)習(xí))端口安全模式下,可通過手工配置,或動(dòng)態(tài)學(xué)習(xí)MAC地址,此時(shí)得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下,只有源MAC為Secure MAC的報(bào)文才能通過該端口;但在端口下的Secure MAC地址表項(xiàng)數(shù)超過端口允許學(xué)習(xí)的最大安全MAC地址數(shù)后,該端口也不會(huì)再添加新的Secure MAC,并且端口會(huì)自動(dòng)轉(zhuǎn)變?yōu)镾ecure模式。
如果直接將端口安全模式設(shè)置為Secure模式,則將立即禁止端口學(xué)習(xí)新的MAC地址,只有源MAC地址是原來已在交換機(jī)上靜態(tài)配置,或者已動(dòng)態(tài)學(xué)習(xí)到的MAC地址的報(bào)文才能通過該端口轉(zhuǎn)發(fā)。
根據(jù)以上描述,可以得出在autoLearn和secure模式下報(bào)文處理流程如圖19-1所示。
圖19-1 autoLearn和secure端口安全模式報(bào)文處理流程圖
2. 單一IEEE 802.1X認(rèn)證模式
采用單一IEEE 802.1x認(rèn)證方式的端口安全模式又包括以下幾種:
l userlogin:對(duì)接入用戶采用基于端口的IEEE 802.1x認(rèn)證,僅允許通過認(rèn)證的用戶接入。
l userLoginSecure:對(duì)接入用戶采用基于用戶MAC地址的IEEE 802.1x認(rèn)證(也就是Cisco IOS交換機(jī)中所說的MAB)。僅接收源MAC地址為交換機(jī)的MAC地址的數(shù)據(jù)包,但也僅允許802.1x認(rèn)證成功的用戶數(shù)據(jù)報(bào)文通過。此模式下,端口最多只允許接入一個(gè)經(jīng)過802.1x認(rèn)證的用戶(即IEEE 802.1X單主機(jī)模式)。
l userLoginSecureExt:與userLoginSecure類似,但端口下的802.1x認(rèn)證用戶可以有多個(gè)(即IEEE 802.1X多主機(jī)模式)。
l userLoginWithOUI:與userLoginSecure類似,端口最多只允許一個(gè)802.1x認(rèn)證用戶,但該用戶的數(shù)據(jù)包中還必須包含一個(gè)允許的OUI(組織唯一標(biāo)志符)。
因?yàn)镠3C以太網(wǎng)交換機(jī)的IEEE 802.1X認(rèn)證將在本書第21章專門介紹,故在此不再贅述。
3. MAC地址認(rèn)證模式
MAC地址認(rèn)證安全模式即macAddressWithRadius模式。MAC地址認(rèn)證是一種基于端口和用戶MAC地址的網(wǎng)絡(luò)訪問控制方法,它不需要用戶安裝任何客戶端軟件。交換機(jī)在啟用了MAC地址認(rèn)證的端口上首次檢測(cè)到用戶的MAC地址以后,即啟動(dòng)對(duì)該用戶的認(rèn)證操作。認(rèn)證過程中,不需要用戶手動(dòng)輸入用戶名或者密碼,因?yàn)檫@是基于用戶MAC地址進(jìn)行的認(rèn)證。如果該用戶認(rèn)證成功,則允許其通過端口訪問網(wǎng)絡(luò)資源,否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時(shí)間內(nèi)(可通過靜默定時(shí)器配置),來自此MAC地址的用戶報(bào)文到達(dá)時(shí)直接做丟棄處理,以防止非法MAC短時(shí)間內(nèi)的重復(fù)認(rèn)證。
目前H3C以太網(wǎng)交換機(jī)支持“本地認(rèn)證”和“RADIUS遠(yuǎn)程認(rèn)證”這兩種MAC地址認(rèn)證方式。有關(guān)H3C以太網(wǎng)交換機(jī)的RADIUS服務(wù)器認(rèn)證配置方法將在本書第20章專門介紹;有關(guān)MAC地址認(rèn)證的配置方法將在本章19.5節(jié)介紹。
4. and模式
“and”是“和”的意思,就是要求同時(shí)滿足所有的條件。and端口安全模式包括以下兩種子模式:
l macAddressAndUserLoginSecure:當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí),接入用戶首先進(jìn)行MAC地址認(rèn)證,當(dāng)MAC地址認(rèn)證成功后再進(jìn)行IEEE 802.1x認(rèn)證。只有在這兩種認(rèn)證都成功的情況下,才允許該用戶接入網(wǎng)絡(luò)。此模式下,端口最多只允許一個(gè)用戶接入網(wǎng)絡(luò),也就是最先通過全部這兩種認(rèn)證的用戶。
l macAddressAndUserLoginSecureExt:與macAddressAndUserLoginSecure類似。但此模式下,端口允許接入網(wǎng)絡(luò)的用戶可以有多個(gè)。
根據(jù)以上描述得出以上這兩種and端口安全子模式的報(bào)文處理流程如圖19-2所示。
圖19-2 and端口安全模式的報(bào)文處理流程圖
5. else模式
“else”是“另外”的意思,就是一種認(rèn)證通不過后還可以嘗試其它的認(rèn)證方式。else端口安全模式包括以下兩個(gè)子模式:
l macAddressElseUserLoginSecure:當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí),對(duì)接入用戶首先進(jìn)行MAC地址認(rèn)證,如果認(rèn)證成功則直接通過,如果MAC地址認(rèn)證失敗再嘗試進(jìn)行802.1x認(rèn)證。此模式下,端口下可以有多個(gè)用戶通過MAC地址認(rèn)證,但端口僅允許接入一個(gè)用戶經(jīng)過802.1x認(rèn)證,也就是最先通過802.1x認(rèn)證的用戶。
l macAddressElseUserLoginSecureExt:與macAddressElseUserLoginSecure類似。但此模式下,端口允許經(jīng)過多個(gè)用戶通過IEEE 802.1X認(rèn)證。
根據(jù)以上描述得出以上這兩種else端口安全子模式的報(bào)文處理流程如圖19-3所示。
圖19-3 else端口安全模式報(bào)文處理流程圖
6. or模式
“or”是“或者”的意思,也就是可以任選其中一種認(rèn)證方式。or端口安全模式包括以下兩個(gè)子模式:
l macAddressOrUserLoginSecure:當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時(shí),接入用戶通過MAC地址認(rèn)證后,仍然可以進(jìn)行IEEE 802.1x認(rèn)證;但接入用戶通過IEEE 802.1x認(rèn)證后,不再進(jìn)行MAC地址認(rèn)證。此模式下,可以有多個(gè)經(jīng)過基于MAC地址認(rèn)證的用戶,但端口僅允許接入一個(gè)經(jīng)過認(rèn)證的802.1x用戶,也就是最先通過802.1x認(rèn)證的用戶。
l macAddressOrUserLoginSecureExt:與macAddressOrUserLoginSecure類似。但此模式下可以允許多個(gè)通過IEEE 802.1x認(rèn)證的用戶。
根據(jù)以上描述得出以上這兩種or端口安全子模式的報(bào)文處理流程如圖19-4所示。
圖19-4 or端口安全模式報(bào)文處理流程圖
【H3C交換機(jī)端口安全模式配置】相關(guān)文章:
H3C交換機(jī)端口安全模式05-24
H3C交換機(jī)的端口限速基本配置09-15
H3C華為交換機(jī)端口綁定基本配置09-25
H3C交換機(jī)端口鏡像配置的方法10-19
H3C交換機(jī)端口鏡像配置方法10-26
交換機(jī)Trunk端口配置「案例」08-30
華為交換機(jī)端口的批量配置命令05-20
H3C交換機(jī)有哪幾種配置模式08-26
h3c交換機(jī)配置09-30