- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
端口安全是一種基於MAC地址對網絡接入進行控製的安全機製,是對已有的802.1X認證和MAC地址認證的擴充。這種機製通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備對網絡的訪問,通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
端口安全的主要功能是通過定義各種端口安全模式,讓設備學習到合法的源MAC地址,以達到相應的網絡管理效果。啟動了端口安全功能之後,當發現非法報文時,係統將觸發相應特性,並按照預先指定的方式進行處理,既方便用戶的管理又提高了係統的安全性。這裏的非法報文是指:
l 禁止MAC地址學習時,收到的源MAC地址為未知MAC的報文;
l 端口學習到的MAC地址達到端口所允許的最大MAC地址數後,收到的源MAC地址為未知MAC的報文;
l 未通過認證的用戶發送的報文。
NeedToKnow特性通過檢測從端口發出的數據幀的目的MAC地址,保證數據幀隻能被發送到已經通過認證的設備上,從而防止非法設備竊聽網絡數據。
入侵檢測特性指通過檢測從端口收到的數據幀的源MAC地址,對接收非法報文的端口采取相應的安全策略,包括端口被暫時斷開連接、永久斷開連接或MAC地址被過濾(默認3分鍾,不可配),以保證端口的安全性。
Trap特性是指當端口有特定的數據包(由非法入侵,用戶上下線等原因引起)傳送時,設備將會發送Trap信息,便於網絡管理員對這些特殊的行為進行監控。
對於端口安全模式的具體描述,請參見表1。
安全模式類型 | 描述 | 特性說明 |
noRestrictions | 表示端口的安全功能關閉,端口處於無限製狀態 | 此時NeedToKnow特性和入侵檢測特性無效 |
autoLearn | 此模式下,端口通過配置或學習到的安全MAC地址被保存在安全MAC地址表項中; 當端口下的安全MAC地址數超過端口允許學習的最大安全MAC地址數後,端口模式會自動轉變為secure模式。之後,該端口停止添加新的安全MAC,隻有源MAC地址為安全MAC地址、已配置的靜態MAC地址的報文,才能通過該端口 | 在這兩種模式下,當設備發現非法報文後,將觸發NeedToKnow特性和入侵檢測特性 autoLearn模式下,禁止學習動態MAC地址 |
secure | 禁止端口學習MAC地址,隻有源MAC地址為端口上的安全MAC地址、已配置的靜態MAC地址的報文,才能通過該端口 | |
userLogin | 對接入用戶采用基於端口的802.1X認證 此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 | 此模式下NeedToKnow特性和入侵檢測特性不會被觸發 |
userLoginSecure | 端口必須通過802.1X認證才能開啟,且隻允許認證成功的用戶報文通過; 此模式下,端口最多隻允許一個802.1X認證用戶接入 | 在左側列出的模式下,當設備發現非法報文後,將觸發NeedToKnow特性和入侵檢測特性 |
userLoginWithOUI | 與userLoginSecure模式類似,端口最多隻允許一個802.1X認證用戶接入 l 在用戶接入方式為有線的情況下,端口還允許一個指定OUI的源MAC地址的報文認證通過; l 在用戶接入方式為無線的情況下,端口首先對報文進行OUI檢查,OUI檢查失敗後再進行802.1X認證 | |
macAddressWithRadius | 對接入用戶采用MAC地址認證 | |
macAddressOrUserLoginSecure | 端口同時處於userLoginSecure模式和macAddressWithRadius模式,但802.1X認證優先級大於MAC地址認證 l 在用戶接入方式為有線的情況下,對於非802.1X報文直接進行MAC地址認證。對於802.1X報文直接進行802.1X認證; l 在用戶接入方式為無線的情況下,報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 | |
macAddressElseUserLoginSecure | 端口同時處於macAddressWithRadius模式和userLoginSecure模式,但MAC地址認證優先級大於802.1X認證; 對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 | |
userLoginSecureExt | 對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 | |
macAddressOrUserLoginSecureExt | 與macAddressOrUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 | |
macAddressElseUserLoginSecureExt | 與macAddressElseUserLoginSecure類似,但允許端口下有多個802.1X和MAC地址認證用戶 |
& 說明:
l 目前端口安全特性對用戶的認證主要有兩種方式:MAC地址認證和802.1X認證,不同的安全模式對應不同的認證方式或認證方式組合。
l 當多個用戶通過認證時,端口下所允許的最大用戶數根據不同的端口安全模式,取最大安全MAC地址數與相應模式下允許認證用戶數的最小值。例如,userLoginSecureExt模式下,端口下所允許的最大用戶為配置的最大安全MAC地址數與802.1X認證所允許的最大用戶數的最小值。
由於安全模式種類較多,為便於記憶,部分端口安全模式名稱的構成可按如下規則理解:
l “userLogin”表示基於端口的802.1X認證;
l “macAddress”表示MAC地址認證;
l “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式。
l “Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式,但無線接入的用戶先采用802.1X認證方式;
l 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證。
l 攜帶“Ext”表示可允許多個802.1X用戶認證成功,不攜帶則表示僅允許一個802.1X用戶認證成功。
端口安全針對WLAN(Wireless Local Area Network,無線局域網)類型的接口,在原有安全模式的基礎上增加psk、macAddressAndPsk、userlLoginSecureExtOrPsk和WAPI(WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基礎結構)四種安全模式,實現了訪問無線接入設備的鏈路層安全機製。其中WAPI模式主要是對未通過WAPI鑒別的無線用戶進行訪問限製:
l 當用戶鑒別失敗後,不允許該用戶訪問任何網絡資源;
l 當用戶鑒別成功後,開啟該用戶訪問網絡資源的權限。
表2 端口安全支持WLAN模式描述表
安全模式類型 | 描述 | 特性說明 |
psk | 接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 | 當設備發現非法報文後,將觸發NeedToKnow特性和入侵檢測特性 |
macAddressAndPsk | 接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 | |
userLoginSecureExtOrPsk | 接入用戶與設備進行交互,選擇進行基於MAC(macbased)的802.1X認證或者僅進行預共享密鑰協商 | |
WAPI | 對接入用戶采用WAPI認證 | NeedToKnow特性和入侵檢測特性在此類型下無效 |
& 說明:
l 新增的模式目前隻適用於無線產品接口類型。
l PSK用戶是指通過psk安全模式認證上線的用戶。係統最大PSK用戶數由無線接口可支持的最大用戶數決定。
l 對於psk模式,用戶總數不能超過係統最大PSK用戶數;單個端口上的用戶數不能超過每端口最大PSK用戶數。如果設置了每端口最大安全MAC地址數,單個端口上的用戶數也不能超過該限製。
l 對於macAddressAndPsk模式,用戶總數及單個端口上的用戶數受到MAC地址認證的限製。如果設置了每端口最大安全MAC地址數,單個端口上的用戶數也不能超過該限製。
l 對於userLoginSecureExtOrPsk模式,允許的PSK協商用戶總數不能超過係統最大PSK用戶數,單個端口上允許的PSK用戶數不能超過每端口最大PSK用戶數;允許的802.1X認證用戶總數及單個端口上的用戶數受到802.1X認證接入用戶數的限製;此外,如果設置了每端口最大安全MAC地址數,則允許的PSK協商用戶及802.1X認證用戶之和不能超過該限製。
注意:
在無線接入的情況下,若802.1X或MAC地址認證用戶的MAC地址及所屬的VLAN與配置的安全MAC地址或靜態MAC及所屬的VLAN相同,則由於無線鏈路無法建立,會導致用戶不能接入無線網絡。
802.1X認證的Guest VLAN是指允許用戶在未認證的情況下,可以訪問的指定VLAN。802.1X的Auth-Fail VLAN與MAC地址認證的Guest VLAN是指允許用戶在認證失敗的情況下,可以訪問的指定VLAN。
l 對於支持802.1X認證的安全模式來說,可配置基於MAC地址的Guest VLAN和基於MAC地址的Auth-Fail VLAN,分別簡稱為MGV和MAFV。
l 對於支持MAC地址認證的安全模式來說,可配置基於MAC地址的Guest VLAN,簡稱為MGV。
& 說明:
若端口上同時配置了802.1X認證的MAFV與MAC地址認證的MGV,則後生成的MAFV表項會覆蓋先生成的MGV表項,但後生成的MGV表項不能覆蓋先生成的MAFV表項。
售前谘詢
售後谘詢
人工在線谘詢
