㈠ H3C交換機埠安全模式配置
H3C交換機埠安全模式配置
用戶網路訪問控制是我們在進行網路管理和網路設備配置時經常要用到一項網路技術應用。其實在用戶的網路訪問控制方面,最直接、最簡單的方法就是配置基於埠的安全模式,不僅Cisco交換機如此,H3C交換機也有類似的功能,而且看起來功能更加強大。下面跟我一起來學習一下H3C乙太網交換機埠安全模式配置方法!
在H3C乙太網交換機上可配置的埠安全模式總體來說是可分為兩大類:控制MAC地址學習類和認證類。控制MAC地址學習類無需對接入用戶進行認證,但是可以允許或者禁止自動學習指定用戶MAC地址,也就是允許或者禁止把對應MAC地址添加到本地交換機的MAC地址表中,通過這種方法就可以實現用戶網路訪問的控制。認證類則是利用MAC地址認證或IEEE 802.1X認證機制,或者同時結合這兩種認證來實現對接入用戶的網路訪問控制。
配置了安全模式的H3C乙太網交換機埠,在收到用戶發送數據報文後,首先在本地MAC地址表中查找對應用戶的MAC地址。如果該報文的源MAC地址已經在本地交換機中的MAC地址表中則直接轉發該報文,否則根據埠所在安全模式進行相應的處理,並在發現非法報文後觸發埠執行相應的安全防護特性。
在H3C乙太網交換機中可配置的埠安全模式及各自的工作原理如下。
1. autoLearn模式與secure模式
在autoLearn(自動學習)埠安全模式下,可通過手工配置,或動態學習MAC地址,此時得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下,只有源MAC為Secure MAC的報文才能通過該埠;但在埠下的Secure MAC地址表項數超過埠允許學習的最大安全MAC地址數後,該埠也不會再添加新的Secure MAC,並且埠會自動轉變為Secure模式。
如果直接將埠安全模式設置為Secure模式,則將立即禁止埠學習新的MAC地址,只有源MAC地址是原來已在交換機上靜態配置,或者已動態學習到的MAC地址的報文才能通過該埠轉發。
根據以上描述,可以得出在autoLearn和secure模式下報文處理流程如圖19-1所示。
圖19-1 autoLearn和secure埠安全模式報文處理流程圖
2. 單一IEEE 802.1X認證模式
採用單一IEEE 802.1x認證方式的埠安全模式又包括以下幾種:
l userlogin:對接入用戶採用基於埠的IEEE 802.1x認證,僅允許通過認證的用戶接入。
l userLoginSecure:對接入用戶採用基於用戶MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的MAB)。僅接收源MAC地址為交換機的MAC地址的數據包,但也僅允許802.1x認證成功的用戶數據報文通過。此模式下,埠最多隻允許接入一個經過802.1x認證的用戶(即IEEE 802.1X單主機模式)。
l userLoginSecureExt:與userLoginSecure類似,但埠下的802.1x認證用戶可以有多個(即IEEE 802.1X多主機模式)。
l userLoginWithOUI:與userLoginSecure類似,埠最多隻允許一個802.1x認證用戶,但該用戶的數據包中還必須包含一個允許的OUI(組織唯一標志符)。
因為H3C乙太網交換機的IEEE 802.1X認證將在本書第21章專門介紹,故在此不再贅述。
3. MAC地址認證模式
MAC地址認證安全模式即macAddressWithRadius模式。MAC地址認證是一種基於埠和用戶MAC地址的網路訪問控制方法,它不需要用戶安裝任何客戶端軟體。交換機在啟用了MAC地址認證的埠上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼,因為這是基於用戶MAC地址進行的認證。如果該用戶認證成功,則允許其通過埠訪問網路資源,否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時間內(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時直接做丟棄處理,以防止非法MAC短時間內的重復認證。
目前H3C乙太網交換機支持“本地認證”和“RADIUS遠程認證”這兩種MAC地址認證方式。有關H3C乙太網交換機的RADIUS伺服器認證配置方法將在本書第20章專門介紹;有關MAC地址認證的配置方法將在本章19.5節介紹。
4. and模式
“and”是“和”的意思,就是要求同時滿足所有的條件。and埠安全模式包括以下兩種子模式:
l macAddressAndUserLoginSecure:當用戶的MAC地址不在轉發表中時,接入用戶首先進行MAC地址認證,當MAC地址認證成功後再進行IEEE 802.1x認證。只有在這兩種認證都成功的`情況下,才允許該用戶接入網路。此模式下,埠最多隻允許一個用戶接入網路,也就是最先通過全部這兩種認證的用戶。
l :與macAddressAndUserLoginSecure類似。但此模式下,埠允許接入網路的用戶可以有多個。
根據以上描述得出以上這兩種and埠安全子模式的報文處理流程如圖19-2所示。
圖19-2 and埠安全模式的報文處理流程圖
5. else模式
“else”是“另外”的意思,就是一種認證通不過後還可以嘗試其它的認證方式。else埠安全模式包括以下兩個子模式:
l macAddressElseUserLoginSecure:當用戶的MAC地址不在轉發表中時,對接入用戶首先進行MAC地址認證,如果認證成功則直接通過,如果MAC地址認證失敗再嘗試進行802.1x認證。此模式下,埠下可以有多個用戶通過MAC地址認證,但埠僅允許接入一個用戶經過802.1x認證,也就是最先通過802.1x認證的用戶。
l :與macAddressElseUserLoginSecure類似。但此模式下,埠允許經過多個用戶通過IEEE 802.1X認證。
根據以上描述得出以上這兩種else埠安全子模式的報文處理流程如圖19-3所示。
圖19-3 else埠安全模式報文處理流程圖
6. or模式
“or”是“或者”的意思,也就是可以任選其中一種認證方式。or埠安全模式包括以下兩個子模式:
l macAddressOrUserLoginSecure:當用戶的MAC地址不在轉發表中時,接入用戶通過MAC地址認證後,仍然可以進行IEEE 802.1x認證;但接入用戶通過IEEE 802.1x認證後,不再進行MAC地址認證。此模式下,可以有多個經過基於MAC地址認證的用戶,但埠僅允許接入一個經過認證的802.1x用戶,也就是最先通過802.1x認證的用戶。
l :與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的用戶。
根據以上描述得出以上這兩種or埠安全子模式的報文處理流程如圖19-4所示。
圖19-4 or埠安全模式報文處理流程圖
;