H3C 端口安全概述
2014-11-18 13:51
183 查看
端口安全简介
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
・ 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文。
・ 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源 MAC 地址为未知MAC 的报文。
・ 未通过认证的用户发送的报文。
说明:由于端口安全特性通过多种安全模式提供了 802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要 802.1X、 MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。
端口安全的特性
1. 出方向报文控制特性
出方向报文控制特性通过检测从端口发出的数据帧的目的 MAC 地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
2. 报文入侵控制特性
报文入侵控制特性指通过检测从端口收到的数据帧的源 MAC 地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞 MAC 地址(默认 3 分钟,不可配),以保证端口的安全性。
3. Trap特性
Trap 特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送 Trap 信息,便于网络管理员对这些特殊的行为进行监控。
端口安全模式
端口安全包括基本控制和高级控制两种模式:
・ 基本控制模式:此模式下,端口通过配置或学习到的安全 MAC 地址被保存在安全 MAC 地址表项中。当端口下的安全 MAC 地址数超过端口允许学习的最大安全 MAC 地址数后,禁止端口学习 MAC 地址,只有源 MAC 地址为安全 MAC 地址、已配置的静态 MAC 地址的报文,才能通过该端口。此模式下,禁止学习动态 MAC 地址。
・ 高级控制模式:此模式包括多种安全模式,具体描述如 表 41-1 所示。
说明:
・ 目前端口安全特性对用户的认证主要有两种方式: MAC 地址认证和 802.1X 认证,不同的安全模式对应不同的认证方式或认证方式组合。
・ 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC 地址数与相应模式下允许认证用户数的最小值。例如, 802.1X MAC Based 模式下,端口下所允许的最大用户为配置的最大安全 MAC 地址数与 802.1X 认证所允许的最大用户数的最小值。
・ OUI( Organizationally Unique Identifier)是 MAC 地址的前 24 位(二进制),是 IEEE(Instituteof Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
・ 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文。
・ 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源 MAC 地址为未知MAC 的报文。
・ 未通过认证的用户发送的报文。
说明:由于端口安全特性通过多种安全模式提供了 802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要 802.1X、 MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。
端口安全的特性
1. 出方向报文控制特性
出方向报文控制特性通过检测从端口发出的数据帧的目的 MAC 地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
2. 报文入侵控制特性
报文入侵控制特性指通过检测从端口收到的数据帧的源 MAC 地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞 MAC 地址(默认 3 分钟,不可配),以保证端口的安全性。
3. Trap特性
Trap 特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送 Trap 信息,便于网络管理员对这些特殊的行为进行监控。
端口安全模式
端口安全包括基本控制和高级控制两种模式:
・ 基本控制模式:此模式下,端口通过配置或学习到的安全 MAC 地址被保存在安全 MAC 地址表项中。当端口下的安全 MAC 地址数超过端口允许学习的最大安全 MAC 地址数后,禁止端口学习 MAC 地址,只有源 MAC 地址为安全 MAC 地址、已配置的静态 MAC 地址的报文,才能通过该端口。此模式下,禁止学习动态 MAC 地址。
・ 高级控制模式:此模式包括多种安全模式,具体描述如 表 41-1 所示。
说明:
・ 目前端口安全特性对用户的认证主要有两种方式: MAC 地址认证和 802.1X 认证,不同的安全模式对应不同的认证方式或认证方式组合。
・ 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC 地址数与相应模式下允许认证用户数的最小值。例如, 802.1X MAC Based 模式下,端口下所允许的最大用户为配置的最大安全 MAC 地址数与 802.1X 认证所允许的最大用户数的最小值。
・ OUI( Organizationally Unique Identifier)是 MAC 地址的前 24 位(二进制),是 IEEE(Instituteof Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
相关文章推荐
- H3C端口安全技术
- H3C交换设备am user-bind实现端口安全
- H3C设备之端口安全技术
- H3C 交换机 安全——RSPAN(远程交换端口分析)
- windows网络端口安全
- H3C IPsec概述
- Android 安全概述
- 企业网的安全接入-----端口绑定
- 实战练习:CISCO交换机端口安全一点通
- 华为交换机端口安全
- 利用IP安全策略关闭危险端口
- H3C各种型号交换机端口镜像配置方法总结
- 安全配置交换机端口提高网络安全性
- cisco 端口安全应对arp措施
- 使用Cisco Packet Tracer之交换机端口安全之MAC地址洪泛攻击
- 端口安全PortSecurity
- Flash Socket通信的安全策略问题 843端口
- Linux VPS安全设置之一 修改SSH端口(CentOS/Debian)
- 源代码防泄密-DSA数据安全隔离概述
- Web安全漏洞之:JDK1.5环境下扫描远程调试端口导致JVM崩溃【JDWP exit error JVMTI_ERROR_NONE(0)】