你最需要了解的H3C交换机端口安全模式
以下内容摘自正在全国热销的《Cisco/H3C交换机高级配置与管理技术手册》一书(畅销经典——《Cisco/H3C交换机配置与管理完全手册》(第二版)的配套姊妹篇)。目前京东网和卓越网上都有“满150元减50元,满300元减100元”的十分给力活动哦。
用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。许多读者朋友往往遇到这类应用需求时无从下手,其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。
在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式
在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
根据以上描述,可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。
图19-1 autoLearn和secure端口安全模式报文处理流程图
2. 单一IEEE 802.1X认证方式
采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种:
l userlogin:对接入用户采用基于端口的IEEE 802.1x认证,仅允许通过认证的用户接入。
l userLoginSecure:对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包,但也仅允许802.1x认证成功的用户数据报文通过。此模式下,端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。
l userLoginSecureExt:与userLoginSecure类似,但端口下的802.1x认证用户可以有多个(即IEEE 802.1X多主机模式)。
l userLoginWithOUI:与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。
因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍,故在此不再赘述。
3. MAC地址认证
MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法,它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码,因为这是基于用户MAC地址进行的认证。如果该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时直接做丢弃处理,以防止非法MAC短时间内的重复认证。
目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章19.5节介绍。
4. and方式
“and”是“和”的意思,就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式:
l macAddressAndUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户首先进行MAC地址认证,当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的情况下,才允许该用户接入网络。此模式下,端口最多只允许一个用户接入网络,也就是最先通过全部这两种认证的用户。
l macAddressAndUserLoginSecureExt:与macAddressAndUserLoginSecure类似。但此模式下,端口允许接入网络的用户可以有多个。
根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。
图19-2 and端口安全模式的报文处理流程图
5. else方式
“else”是“另外”的意思,就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式:
l macAddressElseUserLoginSecure:当用户的MAC地址不在转发表中时,对接入用户首先进行MAC地址认证,如果认证成功则直接通过,如果MAC地址认证失败再尝试进行802.1x认证。此模式下,端口下可以有多个用户通过MAC地址认证,但端口仅允许接入一个用户经过802.1x认证,也就是最先通过802.1x认证的用户。
l macAddressElseUserLoginSecureExt:与macAddressElseUserLoginSecure类似。但此模式下,端口允许经过多个用户通过IEEE 802.1X认证。
根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。
图19-3 else端口安全模式报文处理流程图
6. or方式
“or”是“或者”的意思,也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式:
l macAddressOrUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户通过MAC地址认证后,仍然可以进行IEEE 802.1x认证;但接入用户通过IEEE 802.1x认证后,不再进行MAC地址认证。此模式下,可以有多个经过基于MAC地址认证的用户,但端口仅允许接入一个经过认证的802.1x用户,也就是最先通过802.1x认证的用户。
l macAddressOrUserLoginSecureExt:与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。
根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。
图19-4 or端口安全模式报文处理流程图
转载于:https://blog.51cto.com/winda/1031237
你最需要了解的H3C交换机端口安全模式相关推荐
- 详解H3C交换机“端口安全”功能
以下内容摘自正在全面热销的最新网络设备图书"豪华四件套"之一--<H3C交换机配置与管理完全手册>(第二版)(其余三本分别是:<Cisco交换机配置与管理完全手册 ...
- H3C交换机端口镜像原理
以下内容摘自今年4月全新上市的<Cisco/H3C交换机高级配置与管理技术手册>,其姊妹篇--<Cisco/H3C交换机配置与管理完全手册>(第2版)也正在全国热销中. 18. ...
- 利用SNMP获取H3C交换机端口信息
利用SNMP获取H3C交换机端口信息 1.什么是Snmp SNMP是英文"Simple Network Management Protocol"的缩写,中文意思是"简单网 ...
- h3c交换机端口加入vlan命令_[转载]H3C交换机端口VLAN操作
H3C交换机端口VLAN操作 邓奕志 2011-6-2 华为H3C交换机端口VLAN操作可以使用下面的命令来把Access/Trunk类型的端口加入到指定的VLAN中. 表2-9 配置Access端口 ...
- 华为交换机与h3c交换机端口聚合
华为交换机配置: interface Eth-Trunk2 #创建聚合接口,注意要使用默认的manual模式 port link-type trunk ...
- h3c交换机端口加入vlan命令_H3C交换机基于端口VLAN的配置实例
华为交换机怎么在基于端口VLAN做好配置呢?下面跟yjbys小编看看H3C交换机基于端口VLAN的配置实例,希望对大家学习华为有帮助! 现假设要在一个H3C系列交换机上创建VLAN2.VLAN3,并指 ...
- HP服务器和H3C交换机端口绑定
一. 惠普服务器配置 1.开始〉控制面板〉HP网络 2.选中两块网卡,点击 Team 3.点击属性 4.选择switch开头 5.负载均衡,选择Auto 二. H3C交换机配置 &l ...
- H3C交换机端口聚合
1.组网需求 四台服务器1.2.3.4做好端口聚合,并接入堆叠交换机,堆叠交换机再连接外网核心交换机聚合端口.服务器都配置属于vlan 83,接入交换机与核心交换机端口都配置Trunk口,核心和接入都 ...
- H3C交换机端口隔离
端口隔离可以实现二层数据隔离,某种情况下会需要.如防arp攻击.H3C的端口隔离非常简单: [SW]port-isolate group 1 #创建隔离组1 [SW]interface ra ...
最新文章
- 7、Altiris cms 7.0 软件管理 下
- python重复元素判定编程_从零开始学Python编程四:条件判断与循环
- phpcms调用栏目描述_phpcms标签整理_当前栏目调用
- struct2利用相关的Aware接口
- oracle索引机制
- list循环赋值_Python之 for循环
- Swift:如何判断一个对象是否是某个类(或其子类)的实例
- 教你十分钟构建好 SpringBoot + SSM 框架
- 2010年安大计算机录取名单,2021安徽大学考研拟录取名单已公布
- 足球预测_预测足球热
- flink java生成流式数据
- 矩阵sum_Matlab-sum与cumsum函数
- python游戏服务器搭建教程_游戏服务端pomelo安装配置
- asp.net 缓存Cache的使用总结
- Pytorch简单使用MINIST数据集
- 4招教你们怎么做海报,想要宣传推广就来这
- python 多行注释 unicode error 问题
- html 渐变背景色,渐变文字颜色
- 服务器怎么安装php文档,php在云服务器端的安装教程
- Download: Microsoft Access Database Engine 2010 Redistributable
热门文章
- 网吧电影客户端Realplayer的装配问题
- .NET企业级应用架构设计系列之应用服务器
- SoJpt Boot 2.3-3.8 发布,Spring Boot 使用 Jfinal 特性极速开发
- Java并发 -- JMM
- 利用TensorFlow实现多元线性回归
- 凯文凯利:未来世界发展七大趋势
- TFS数据迁移之sync_by_blk
- [转]MCC(移动国家码)和 MNC(移动网络码)
- 参考框架 系统 基准_带有基准的前端框架的真实比较(2018更新)
- Xiki:一个开发人员寻求增强命令行界面的能力