H3C交換機端口安全模式配置

　　用戶(hù)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制是我們在進(jìn)行網(wǎng)絡(luò )管理和網(wǎng)絡(luò )設備配置時(shí)經(jīng)常要用到一項網(wǎng)絡(luò )技術(shù)應用。其實(shí)在用戶(hù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制方面，最直接、最簡(jiǎn)單的方法就是配置基于端口的安全模式，不僅Cisco交換機如此，H3C交換機也有類(lèi)似的功能，而且看起來(lái)功能更加強大。下面跟yjbys小編一起來(lái)學(xué)習一下H3C以太網(wǎng)交換機端口安全模式配置方法！

　　在H3C以太網(wǎng)交換機上可配置的端口安全模式總體來(lái)說(shuō)是可分為兩大類(lèi)：控制MAC地址學(xué)習類(lèi)和認證類(lèi)�？刂芃AC地址學(xué)習類(lèi)無(wú)需對接入用戶(hù)進(jìn)行認證，但是可以允許或者禁止自動(dòng)學(xué)習指定用戶(hù)MAC地址，也就是允許或者禁止把對應MAC地址添加到本地交換機的MAC地址表中，通過(guò)這種方法就可以實(shí)現用戶(hù)網(wǎng)絡(luò )訪(fǎng)問(wèn)的控制。認證類(lèi)則是利用MAC地址認證或IEEE 802.1X認證機制，或者同時(shí)結合這兩種認證來(lái)實(shí)現對接入用戶(hù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制。

　　配置了安全模式的H3C以太網(wǎng)交換機端口，在收到用戶(hù)發(fā)送數據報文后，首先在本地MAC地址表中查找對應用戶(hù)的MAC地址。如果該報文的源MAC地址已經(jīng)在本地交換機中的MAC地址表中則直接轉發(fā)該報文，否則根據端口所在安全模式進(jìn)行相應的處理，并在發(fā)現非法報文后觸發(fā)端口執行相應的安全防護特性。

　　在H3C以太網(wǎng)交換機中可配置的端口安全模式及各自的工作原理如下。

　　1. autoLearn模式與secure模式

　　在autoLearn(自動(dòng)學(xué)習)端口安全模式下，可通過(guò)手工配置，或動(dòng)態(tài)學(xué)習MAC地址，此時(shí)得到的MAC地址稱(chēng)為Secure MAC(安全MAC地址)。在這種模式下，只有源MAC為Secure MAC的報文才能通過(guò)該端口;但在端口下的Secure MAC地址表項數超過(guò)端口允許學(xué)習的最大安全MAC地址數后，該端口也不會(huì )再添加新的Secure MAC，并且端口會(huì )自動(dòng)轉變?yōu)镾ecure模式。

　　如果直接將端口安全模式設置為Secure模式，則將立即禁止端口學(xué)習新的MAC地址，只有源MAC地址是原來(lái)已在交換機上靜態(tài)配置，或者已動(dòng)態(tài)學(xué)習到的MAC地址的報文才能通過(guò)該端口轉發(fā)。

　　根據以上描述，可以得出在autoLearn和secure模式下報文處理流程如圖19-1所示。

　　圖19-1 autoLearn和secure端口安全模式報文處理流程圖

　　2. 單一IEEE 802.1X認證模式

　　采用單一IEEE 802.1x認證方式的端口安全模式又包括以下幾種：

　　l userlogin：對接入用戶(hù)采用基于端口的IEEE 802.1x認證，僅允許通過(guò)認證的用戶(hù)接入。

　　l userLoginSecure：對接入用戶(hù)采用基于用戶(hù)MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說(shuō)的MAB)。僅接收源MAC地址為交換機的MAC地址的數據包，但也僅允許802.1x認證成功的用戶(hù)數據報文通過(guò)。此模式下，端口最多只允許接入一個(gè)經(jīng)過(guò)802.1x認證的用戶(hù)(即IEEE 802.1X單主機模式)。

　　l userLoginSecureExt：與userLoginSecure類(lèi)似，但端口下的802.1x認證用戶(hù)可以有多個(gè)(即IEEE 802.1X多主機模式)。

　　l userLoginWithOUI：與userLoginSecure類(lèi)似，端口最多只允許一個(gè)802.1x認證用戶(hù)，但該用戶(hù)的數據包中還必須包含一個(gè)允許的OUI(組織唯一標志符)。

　　因為H3C以太網(wǎng)交換機的IEEE 802.1X認證將在本書(shū)第21章專(zhuān)門(mén)介紹，故在此不再贅述。

　　3. MAC地址認證模式

　　MAC地址認證安全模式即macAddressWithRadius模式。MAC地址認證是一種基于端口和用戶(hù)MAC地址的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制方法，它不需要用戶(hù)安裝任何客戶(hù)端軟件。交換機在啟用了MAC地址認證的端口上首次檢測到用戶(hù)的MAC地址以后，即啟動(dòng)對該用戶(hù)的認證操作。認證過(guò)程中，不需要用戶(hù)手動(dòng)輸入用戶(hù)名或者密碼，因為這是基于用戶(hù)MAC地址進(jìn)行的認證。如果該用戶(hù)認證成功，則允許其通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，否則該用戶(hù)的MAC地址就被添加為“靜默MAC”。在靜默時(shí)間內(可通過(guò)靜默定時(shí)器配置)，來(lái)自此MAC地址的用戶(hù)報文到達時(shí)直接做丟棄處理，以防止非法MAC短時(shí)間內的重復認證。

　　目前H3C以太網(wǎng)交換機支持“本地認證”和“RADIUS遠程認證”這兩種MAC地址認證方式。有關(guān)H3C以太網(wǎng)交換機的RADIUS服務(wù)器認證配置方法將在本書(shū)第20章專(zhuān)門(mén)介紹;有關(guān)MAC地址認證的配置方法將在本章19.5節介紹。

　　4. and模式

　　“and”是“和”的意思，就是要求同時(shí)滿(mǎn)足所有的條件。and端口安全模式包括以下兩種子模式：

　　l macAddressAndUserLoginSecure：當用戶(hù)的MAC地址不在轉發(fā)表中時(shí)，接入用戶(hù)首先進(jìn)行MAC地址認證，當MAC地址認證成功后再進(jìn)行IEEE 802.1x認證。只有在這兩種認證都成功的情況下，才允許該用戶(hù)接入網(wǎng)絡(luò )。此模式下，端口最多只允許一個(gè)用戶(hù)接入網(wǎng)絡(luò )，也就是最先通過(guò)全部這兩種認證的用戶(hù)。

　　l macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類(lèi)似。但此模式下，端口允許接入網(wǎng)絡(luò )的用戶(hù)可以有多個(gè)。

　　根據以上描述得出以上這兩種and端口安全子模式的報文處理流程如圖19-2所示。

　　圖19-2 and端口安全模式的報文處理流程圖

　　5. else模式

　　“else”是“另外”的意思，就是一種認證通不過(guò)后還可以嘗試其它的認證方式。else端口安全模式包括以下兩個(gè)子模式：

　　l macAddressElseUserLoginSecure：當用戶(hù)的MAC地址不在轉發(fā)表中時(shí)，對接入用戶(hù)首先進(jìn)行MAC地址認證，如果認證成功則直接通過(guò)，如果MAC地址認證失敗再?lài)L試進(jìn)行802.1x認證。此模式下，端口下可以有多個(gè)用戶(hù)通過(guò)MAC地址認證，但端口僅允許接入一個(gè)用戶(hù)經(jīng)過(guò)802.1x認證，也就是最先通過(guò)802.1x認證的用戶(hù)。

　　l macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類(lèi)似。但此模式下，端口允許經(jīng)過(guò)多個(gè)用戶(hù)通過(guò)IEEE 802.1X認證。

　　根據以上描述得出以上這兩種else端口安全子模式的報文處理流程如圖19-3所示。

　　圖19-3 else端口安全模式報文處理流程圖

　　6. or模式

　　“or”是“或者”的意思，也就是可以任選其中一種認證方式。or端口安全模式包括以下兩個(gè)子模式：

　　l macAddressOrUserLoginSecure：當用戶(hù)的MAC地址不在轉發(fā)表中時(shí)，接入用戶(hù)通過(guò)MAC地址認證后，仍然可以進(jìn)行IEEE 802.1x認證;但接入用戶(hù)通過(guò)IEEE 802.1x認證后，不再進(jìn)行MAC地址認證。此模式下，可以有多個(gè)經(jīng)過(guò)基于MAC地址認證的用戶(hù)，但端口僅允許接入一個(gè)經(jīng)過(guò)認證的802.1x用戶(hù)，也就是最先通過(guò)802.1x認證的用戶(hù)。

　　l macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類(lèi)似。但此模式下可以允許多個(gè)通過(guò)IEEE 802.1x認證的用戶(hù)。

　　根據以上描述得出以上這兩種or端口安全子模式的報文處理流程如圖19-4所示。

　　圖19-4 or端口安全模式報文處理流程圖

【H3C交換機端口安全模式配置】相關(guān)文章：

H3C交換機端口安全模式05-24

H3C交換機的端口限速基本配置09-15

H3C華為交換機端口綁定基本配置09-25

H3C交換機端口鏡像配置的方法10-19

H3C交換機端口鏡像配置方法10-26

交換機Trunk端口配置「案例」08-30

華為交換機端口的批量配置命令05-20

H3C交換機有哪幾種配置模式08-26

h3c交換機配置09-30

h3c交換機配置telnet配置教程07-31