H3C端口安全详细介绍

小乔

概述
端口安全是一种基于MAC 地址对网络接入进行控制的安全机制，是对已有的802.1X 认证和MAC 地址认证的扩充。这种机制通过检测端口收到的数据帧中的源
MAC 地址来控制非授权设备对网络的访问，通过检测从端口发出的数据帧中的目的MAC 地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，当发现非法报文时，
系统将触发相应特性，并按照预先指定的方式进行处理，既方便用户的管理又提高了系统的安全性。这里的非法报文是指：
#禁止 MAC 地址学习时，收到的源MAC 地址为未知MAC 的报文；
# 端口学习到的MAC 地址达到端口所允许的最大MAC 地址数后，收到的源MAC 地址为未知MAC 的报文；
#未通过认证的用户发送的报文。

端口安全的特性
1. NeedToKnow 特性
NeedToKnow 特性通过检测从端口发出的数据帧的目的MAC 地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。
2. 入侵检测（IntrusionProtection）特性
入侵检测特性指通过检测从端口收到的数据帧的源 MAC 地址，对接收非法报文的端口采取相应的安全策略，包括端口被暂时断开连接、永久断开连接或MAC 地址
被过滤（默认3 分钟，不可配），以保证端口的安全性。
3. Trap 特性
Trap 特性是指当端口有特定的数据包（由非法入侵，用户上下线等原因引起）传送时，设备将会发送Trap 信息，便于网络管理员对这些特殊的行为进行监控。

端口安全模式
对于端口安全模式的具体描述，请参见表


说明：
#目前端口安全特性对用户的认证主要有两种方式：MAC地址认证和802.1X 认证，不同的安全模式对应不同的认证方式或认证方式组合。
#当多个用户通过认证时，端口下所允许的最大用户数根据不同的端口安全模式，取最大安全MAC 地址数与相应模式下允许认证用户数的最小值。例如，
userLoginSecureExt 模式下，端口下所允许的最大用户为配置的最大安全MAC地址数与802.1X 认证所允许的最大用户数的最小值。
窍门：
由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解：
#“userLogin”表示基于端口的802.1X 认证；
#“macAddress”表示MAC 地址认证；
#“Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。
# “Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式，但无线接入的用户先采用802.1X 认证方式；
# 携带“Secure”的userLogin 表示基于MAC 地址的802.1X 认证。
#携带“Ext”表示可允许多个802.1X 用户认证成功，不携带则表示仅允许一个802.1X 用户认证成功

端口安全对 WLAN 的支持
端口安全针对 WLAN（Wireless Local Area Network，无线局域网）类型的接口，在原有安全模式的基础上增加psk 、macAddressAndPsk 、userlLoginSecureExtOrPsk 和WAPI （ WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）四种安全模式，实现了访问无线接入设备的链路层安全机制。其中WAPI 模式主要是对未通过WAPI 鉴别的无线用
户进行访问限制：
#当用户鉴别失败后，不允许该用户访问任何网络资源；
#当用户鉴别成功后，开启该用户访问网络资源的权限。


说明：
#新增的模式目前只适用于无线产品接口类型。
#PSK 用户是指通过psk 安全模式认证上线的用户。系统最大PSK 用户数由无线接口可支持的最大用户数决定。
#对于 psk 模式，用户总数不能超过系统最大PSK 用户数；单个端口上的用户数不能超过每端口最大PSK 用户数。如果设置了每端口最大安全MAC 地址数，单个端口上的用户数也不能超过该限制。
#对于 macAddressAndPsk 模式，用户总数及单个端口上的用户数受到MAC 地址认证的限制。如果设置了每端口最大安全MAC 地址数，单个端口上的用户数也不能超过该限制。
#对于 userLoginSecureExtOrPsk 模式，允许的PSK 协商用户总数不能超过系统最大PSK 用户数，单个端口上允许的PSK 用户数不能超过每端口最大PSK 用户数；允许的802.1X 认证用户总数及单个端口上的用户数受到802.1X 认证接入用户数的限制；此外，如果设置了每端口最大安全MAC 地址数，则允许的PSK协商用户及802.1X 认证用户之和不能超过该限制。
注意：
在无线接入的情况下，若802.1X 或MAC 地址认证用户的MAC 地址及所属的VLAN与配置的安全MAC 地址或静态MAC 及所属的VLAN 相同，则由于无线链路无法建立，会导致用户不能接入无线网络。

端口安全对 Guest VLAN 和Auth-Fail VLAN 的支持
802.1X 认证的Guest VLAN 是指允许用户在未认证的情况下，可以访问的指定VLAN。802.1X 的Auth-Fail VLAN 与MAC 地址认证的Guest VLAN 是指允许用户在认证失败的情况下，可以访问的指定VLAN。
# 对于支持 802.1X 认证的安全模式来说，可配置基于MAC 地址的Guest VLAN和基于MAC 地址的Auth-Fail VLAN，分别简称为MGV 和MAFV。
#对于支持 MAC 地址认证的安全模式来说，可配置基于MAC 地址的Guest VLAN，简称为MGV。
说明：。
若端口上同时配置了 802.1X 认证的MAFV 与MAC 地址认证的MGV，则后生成的MAFV 表项会覆盖先生成的MGV 表项，但后生成的MGV 表项不能覆盖先生成的MAFV 表项。