詳解H3C交換機(jī)“端口安全”功能

以下內(nèi)容摘自正在全面熱銷(xiāo)的最新網(wǎng)絡(luò)設(shè)備圖書(shū)“豪華四件套”之一——《H3C交換機(jī)配置與管理完全手冊(cè)》（第二版）（其余三本分別是：《Cisco交換機(jī)配置與管理完全手冊(cè)》（第二版）、《Cisco路由器配置與管理完全手冊(cè)》（第二版）和《H3C路由器配置與管理完全手冊(cè)》（第二版） )。目前在京東網(wǎng)、當(dāng)當(dāng)網(wǎng)、卓越網(wǎng)、互動(dòng)出版網(wǎng)等書(shū)店全面熱銷(xiāo)中，購(gòu)買(mǎi)該套裝將直減30元，詳情點(diǎn)擊：

http://book.dangdang.com/20130730_aife

http://item.jd.com/11299332.html

http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801

17.1 H3C交換機(jī)端口安全基礎(chǔ)

我們?cè)凇?span>Cisco交換機(jī)配置與管理完全手冊(cè)》（第二版）第21章中介紹了Cisco IOS交換機(jī)系統(tǒng)中的“端口安全”功能，允許通過(guò)配置靜態(tài)安全MAC地址實(shí)現(xiàn)僅允許固定設(shè)備連接，也允許在一個(gè)端口上配置一個(gè)最大的安全MAC地址數(shù)，僅允許在此數(shù)之前識(shí)別到的設(shè)備連接在該端口上。當(dāng)超過(guò)了所設(shè)置的最大安全端口數(shù)，將觸發(fā)一個(gè)安全違例事件，在端口上配置的一個(gè)基于違例行為模式的違例行為將被執(zhí)行。如果在某個(gè)端口上配置的最大安全MAC地址數(shù)為1，則設(shè)備上的該安全端口僅允許與固定設(shè)備連接。

但H3C交換機(jī)中的“端口安全”（Port Security）與Cisco設(shè)備中的“端口安全”功能并不完全一樣，它是一種對(duì)網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制（防止非法接入），是對(duì)已有的IEEE 802.1x認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。H3C交換機(jī)中的端口安全主要功能就是用戶(hù)通過(guò)定義各種安全模式，來(lái)控制端口上的MAC地址學(xué)習(xí)或?qū)τ脩?hù)進(jìn)行認(rèn)證，從而讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。在H3C交換機(jī)上啟用了端口安全功能之后，對(duì)于交換機(jī)不能通過(guò)安全模式學(xué)習(xí)到其源MAC地址的報(bào)文，系統(tǒng)將視為非法報(bào)文；對(duì)于不能通過(guò)IEEE 802.1x認(rèn)證或MAC地址認(rèn)證的事件，將被視為非法事件。當(dāng)發(fā)現(xiàn)非法報(bào)文或非法事件后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶(hù)的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。

17.1.1 H3C交換機(jī)端口安全特性和模式

H3C以太網(wǎng)交換機(jī)的基本端口安全模式可分為兩大類(lèi)：控制MAC學(xué)習(xí)類(lèi)和認(rèn)證類(lèi)?？刂?span>MAC學(xué)習(xí)類(lèi)無(wú)需認(rèn)證，包括端口自動(dòng)學(xué)習(xí)MAC地址和禁止MAC地址學(xué)習(xí)兩種模式；認(rèn)證類(lèi)則是利用MAC地址認(rèn)證或IEEE 802.1x認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)，包括單獨(dú)認(rèn)證和組合認(rèn)證等多種模式。

配置了安全模式的端口上收到用戶(hù)報(bào)文后，首先查找MAC地址表，如果該報(bào)文的源MAC地址已經(jīng)存在于MAC地址表中，則端口轉(zhuǎn)發(fā)該報(bào)文，否則根據(jù)端口所在安全模式進(jìn)行相應(yīng)的處理（學(xué)習(xí)、認(rèn)證），并在發(fā)現(xiàn)非法報(bào)文后觸發(fā)端口執(zhí)行以下相應(yīng)的安全防護(hù)特性：

l Need To Know（NTK）

Need To Know（需要知道）特性通過(guò)檢測(cè)從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過(guò)認(rèn)證或被端口學(xué)習(xí)到的MAC地址所屬的設(shè)備或主機(jī)上，從而防止非法設(shè)備竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)。

l Intrusion Protection（***防御）

***防御特性指通過(guò)檢測(cè)從端口上接收到的數(shù)據(jù)幀的源MAC地址，對(duì)接收非法源MAC地址的報(bào)文的端口將采取相應(yīng)的安全策略，包括端口被暫時(shí)斷開(kāi)連接、永久斷開(kāi)連接或MAC地址被過(guò)濾（默認(rèn)3分鐘，不可配置），以保證端口的安全性。

l Trap警告

Trap警告特性是指在端口有特定的數(shù)據(jù)包（非法***，或有用戶(hù)上、下線(xiàn)）傳送時(shí)，確定設(shè)備是否發(fā)送Trap信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。

H3C以太網(wǎng)交換機(jī)可用的端口安全模式說(shuō)明如表17-1所示，不同模式有不同的工作機(jī)制和特性支持。但要注意，并不是每款機(jī)型都支持端口安全配置，也不是每款機(jī)型都支持表中全部的端口安全模式。如S3610、S5510、S7500、S9500、S9500E等系列不支持端口安全配置；也有一些H3C以太網(wǎng)交換機(jī)并不支持表17-1中的全部端口安全模式，具體將在表中注明。主要支持端口安全配置的系列包括：S3600、S5600、S5510-SI/EI、S58、S7500E等系列。

表17-1 端口安全模式描述表

由于安全模式種類(lèi)較多，為便于記憶，可對(duì)表17-1中的部分端口安全模式名稱(chēng)的構(gòu)成按如下規(guī)則理解（或者說(shuō)是對(duì)這些安全模式進(jìn)行宏觀分類(lèi)）：

l 帶有“userLogin”的模式表示支持基于端口的IEEE 802.1x認(rèn)證；帶有“macAddress”的模式表示支持基于MAC地址認(rèn)證；帶有“Secure”的userLogin模式表示支持基于MAC地址的IEEE 802.1x認(rèn)證（也就是Cisco IOS交換機(jī)中所說(shuō)的IEEE 802.1x旁路MAC地址認(rèn)證）。

l 帶有“Else”的模式中，“Else”之前的認(rèn)證模式先被采用，失敗后根據(jù)請(qǐng)求認(rèn)證的報(bào)文協(xié)議類(lèi)型決定是否轉(zhuǎn)為“Else”之后的認(rèn)證方式；帶有“Or”的模式中，“Or”連接的兩種認(rèn)證方式無(wú)固定生效順序，設(shè)備根據(jù)請(qǐng)求認(rèn)證的報(bào)文協(xié)議類(lèi)型決定認(rèn)證方式。

l 帶有“Ext”表示可允許多個(gè)IEEE 802.1x用戶(hù)認(rèn)證成功（也就是支持IEEE 802.1x多主機(jī)認(rèn)證模式），不攜帶則表示僅允許一個(gè)IEEE 802.1x用戶(hù)認(rèn)證成功（也就是僅支持IEEE 802.1x單主機(jī)認(rèn)證模式）。

l 當(dāng)多個(gè)用戶(hù)通過(guò)認(rèn)證時(shí)，端口下所允許的最大用戶(hù)數(shù)根據(jù)不同的端口安全模式，取配置的最大安全MAC地址數(shù)與相應(yīng)模式下允許認(rèn)證用戶(hù)數(shù)兩者之中的最小值。例如，userLoginSecureExt模式下端口下所允許的最大用戶(hù)為所配置的最大安全MAC地址數(shù)與IEEE 802.1x認(rèn)證所允許的最大用戶(hù)數(shù)的最小值。

l 在userlogin安全模式下，NTK特性和Intrusion Protection特性不會(huì)被觸發(fā)。其他模式下，當(dāng)設(shè)備發(fā)現(xiàn)非法報(bào)文或非法事件后，將觸發(fā)NTK特性和Intrusion Protection特性。

l 當(dāng)端口工作在userLoginWithOUI模式下時(shí)，即使OUI地址不匹配，也不會(huì)觸發(fā)Intrusion Protection特性。

17.1.2 詳解端口安全模式工作原理

在上節(jié)的表17-1中介紹了H3C以太網(wǎng)交換機(jī)中各種環(huán)境下的多種端口安全模式，本節(jié)具體介紹這些安全模式的工作原理。

1．autoLearn模式與secure模式

在autoLearn（自動(dòng)學(xué)習(xí)）模式下，可通過(guò)手工配置或通過(guò)動(dòng)態(tài)進(jìn)行MAC學(xué)習(xí)，此時(shí)得到的MAC地址稱(chēng)為Secure MAC（安全MAC地址）。在這種模式下，只有源MAC為Secure MAC的報(bào)文才能通過(guò)該端口；但當(dāng)端口下的Secure MAC地址表項(xiàng)數(shù)超過(guò)端口允許學(xué)習(xí)的最大安全MAC地址數(shù)后，該端口不會(huì)再添加新的Secure MAC，并且端口模式會(huì)自動(dòng)轉(zhuǎn)變?yōu)?/span>secure。

如果直接將端口安全模式設(shè)置為secure模式，則將禁止端口學(xué)習(xí)新的MAC地址，只有已配置的靜態(tài)或動(dòng)態(tài)MAC的報(bào)文才能通過(guò)該端口。

根據(jù)以上描述，可以得出在autoLearn和secure模式下報(bào)文處理流程如圖17-1所示。

2．單一IEEE 802.1x認(rèn)證方式

從表17-1可以看出，采用單一IEEE 802.1x認(rèn)證方式的端口安全模式包括以下幾種：

l userLogin：對(duì)接入用戶(hù)采用基于端口的IEEE 802.1x認(rèn)證。

l userLoginSecure：對(duì)接入用戶(hù)采用基于用戶(hù)MAC地址的IEEE 802.1x認(rèn)證（也就是Cisco IOS交換機(jī)中所說(shuō)的MAB），認(rèn)證成功后端口開(kāi)啟，但也只允許認(rèn)證成功的用戶(hù)報(bào)文通過(guò)。此模式下，端口最多只允許接入一個(gè)經(jīng)過(guò)IEEE 802.1x認(rèn)證的用戶(hù)（即IEEE 802.1x單主機(jī)模式）。

l userLoginSecureExt：與userLoginSecure類(lèi)似，但端口下的IEEE 802.1x認(rèn)證用戶(hù)可以有多個(gè)（即IEEE 802.1x多主機(jī)模式）。

l userLoginWithOUI：與userLoginSecure類(lèi)似，端口最多只允許一個(gè)IEEE 802.1x認(rèn)證用戶(hù)，但同時(shí)端口還允許一個(gè)OUI地址的報(bào)文通過(guò)。

因?yàn)?/span>H3C以太網(wǎng)交換機(jī)的IEEE 802.1x認(rèn)證將在本書(shū)第21章專(zhuān)門(mén)介紹，故在此不再贅述。

3．MAC地址認(rèn)證

在表17-1中支持MAC地址認(rèn)證的端口安全模式為macAddressWithRadius。它可對(duì)接入用戶(hù)采用MAC地址的認(rèn)證。

MAC地址認(rèn)證是一種基于端口和MAC地址對(duì)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶(hù)安裝任何客戶(hù)端軟件。設(shè)備在啟動(dòng)了MAC地址認(rèn)證的端口上首次檢測(cè)到用戶(hù)的MAC地址以后，即啟動(dòng)對(duì)該用戶(hù)的認(rèn)證操作。認(rèn)證過(guò)程中，不需要用戶(hù)手動(dòng)輸入用戶(hù)名或者密碼。如果該用戶(hù)認(rèn)證成功，則允許其通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，否則該用戶(hù)的MAC地址就被添加為靜默MAC。在靜默時(shí)間內(nèi)（可通過(guò)靜默定時(shí)器配置），來(lái)自此MAC地址的用戶(hù)報(bào)文到達(dá)時(shí)，設(shè)備直接做丟棄處理，以防止非法MAC短時(shí)間內(nèi)的重復(fù)認(rèn)證。

目前AH3C設(shè)備支持兩種方式的MAC地址認(rèn)證，通過(guò)RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)）服務(wù)器進(jìn)行遠(yuǎn)程認(rèn)證和在接入設(shè)備上進(jìn)行本地認(rèn)證。有關(guān)H3C以太網(wǎng)交換機(jī)的RADIUS服務(wù)器認(rèn)證方式將在本書(shū)第18章專(zhuān)門(mén)介紹；有關(guān)MAC地址認(rèn)證將在本章17.5節(jié)介紹。

4．and方式

在表17-1中所列的端口安全模式中，采用and方式（也就是同時(shí)采用）的端口安全模式包括以下兩個(gè)：

l macAddressAndUserLoginSecure：接入用戶(hù)首先進(jìn)行MAC地址認(rèn)證，當(dāng)MAC地址認(rèn)證成功后再進(jìn)行IEEE 802.1x認(rèn)證。只有在這兩種認(rèn)證都成功的情況下，才允許該用戶(hù)接入網(wǎng)絡(luò)。此模式下，端口最多只允許一個(gè)用戶(hù)接入網(wǎng)絡(luò)。

l macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類(lèi)似。但此模式下，端口允許接入網(wǎng)絡(luò)的用戶(hù)可以有多個(gè)。

根據(jù)以上描述得出這兩種and方式的端口安全模式的報(bào)文處理流程如圖17-2所示。

5．else方式

在表17-1中所列的端口安全模式中，采用else方式（也就是多選一方式）的端口安全模式包括以下兩個(gè)：

l macAddressElseUserLoginSecure：對(duì)接入用戶(hù)首先進(jìn)行MAC地址認(rèn)證，如果成功則表明認(rèn)證通過(guò)，如果失敗再進(jìn)行IEEE 802.1x認(rèn)證。此模式下，端口最多只允許接入一個(gè)用戶(hù)經(jīng)過(guò)IEEE 802.1x認(rèn)證，但端口下可以有多個(gè)通過(guò)MAC地址認(rèn)證。

l macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類(lèi)似。但此模式下，端口允許多個(gè)用戶(hù)通過(guò)IEEE 802.1x認(rèn)證。

根據(jù)以上描述得出這兩種else方式的端口安全模式的報(bào)文處理流程如圖17-3所示。

6．or方式

在表17-1中所列的端口安全模式中，采用or方式（也就是多選方式）的端口安全模式包括以下兩個(gè)：

l macAddressOrUserLoginSecure：接入用戶(hù)通過(guò)MAC地址認(rèn)證后，仍然可以進(jìn)行IEEE 802.1x認(rèn)證；但接入用戶(hù)通過(guò)IEEE 802.1x認(rèn)證后，不再進(jìn)行MAC地址認(rèn)證。此模式下，端口最多只允許接入一個(gè)經(jīng)過(guò)認(rèn)證的IEEE 802.1x用戶(hù)，但可以有多個(gè)經(jīng)過(guò)基于MAC地址認(rèn)證的用戶(hù)。

l macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類(lèi)似。但此模式下可以允許多個(gè)通過(guò)IEEE 802.1x認(rèn)證的用戶(hù)。

根據(jù)以上描述得出這兩種or方式的端口安全模式的報(bào)文處理流程如圖17-4所示。

圖17-4 or方式下端口安全模式的報(bào)文處理流程圖