H3C交換機端口安全模式原理是什么
交換機的主要功能包括物理編址、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、錯誤校驗、幀序列以及流控。交換機還具備了一些新的功能,如對VLAN(虛擬局域網(wǎng))的支持、對鏈路匯聚的支持,甚至有的還具有防火墻的功能。其中配置基于端口的安全模式經(jīng)常會用到,也很重要,不僅Cisco交換機如此,H3C交換機也有類似的功能,而且看起來功能更加強大。
在H3C以太網(wǎng)交換機中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式與secure模式
在autoLearn(自動學習)端口安全模式下,可通過手工配置,或動態(tài)學習MAC地址,此時得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下,只有源MAC為Secure MAC的報文才能通過該端口;但在端口下的Secure MAC地址表項數(shù)超過端口允許學習的最大安全MAC地址數(shù)后,該端口也不會再添加新的Secure MAC,并且端口會自動轉(zhuǎn)變?yōu)镾ecure模式。
如果直接將端口安全模式設(shè)置為Secure模式,則將立即禁止端口學習新的MAC地址,只有源MAC地址是原來已在交換機上靜態(tài)配置,或者已動態(tài)學習到的MAC地址的報文才能通過該端口轉(zhuǎn)發(fā)。
2. 單一IEEE 802.1X認證模式
采用單一IEEE 802.1x認證方式的端口安全模式又包括以下幾種:
l userlogin:對接入用戶采用基于端口的IEEE 802.1x認證,僅允許通過認證的用戶接入。
l userLoginSecure:對接入用戶采用基于用戶MAC地址的IEEE 802.1x認證(也就是Cisco IOS交換機中所說的MAB)。僅接收源MAC地址為交換機的MAC地址的數(shù)據(jù)包,但也僅允許802.1x認證成功的用戶數(shù)據(jù)報文通過。此模式下,端口最多只允許接入一個經(jīng)過802.1x認證的用戶(即IEEE 802.1X單主機模式)。
l userLoginSecureExt:與userLoginSecure類似,但端口下的802.1x認證用戶可以有多個(即IEEE 802.1X多主機模式)。
l userLoginWithOUI:與userLoginSecure類似,端口最多只允許一個802.1x認證用戶,但該用戶的數(shù)據(jù)包中還必須包含一個允許的OUI(組織唯一標志符)。
因為H3C以太網(wǎng)交換機的IEEE 802.1X認證將在本書第21章專門介紹,故在此不再贅述。
3. MAC地址認證模式
MAC地址認證安全模式即macAddressWithRadius模式。MAC地址認證是一種基于端口和用戶MAC地址的網(wǎng)絡(luò)訪問控制方法,它不需要用戶安裝任何客戶端軟件。交換機在啟用了MAC地址認證的端口上首次檢測到用戶的MAC地址以后,即啟動對該用戶的認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼,因為這是基于用戶MAC地址進行的認證。如果該用戶認證成功,則允許其通過端口訪問網(wǎng)絡(luò)資源,否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時間內(nèi)(可通過靜默定時器配置),來自此MAC地址的用戶報文到達時直接做丟棄處理,以防止非法MAC短時間內(nèi)的重復(fù)認證。
目前H3C以太網(wǎng)交換機支持“本地認證”和“RADIUS遠程認證”這兩種MAC地址認證方式。有關(guān)H3C以太網(wǎng)交換機的RADIUS服務(wù)器認證配置方法將在本書第20章專門介紹;有關(guān)MAC地址認證的配置方法將在本章19.5節(jié)介紹。
4. and模式
“and”是“和”的意思,就是要求同時滿足所有的條件。and端口安全模式包括以下兩種子模式:
l macAddressAndUserLoginSecure:當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時,接入用戶首先進行MAC地址認證,當MAC地址認證成功后再進行IEEE 802.1x認證。只有在這兩種認證都成功的情況下,才允許該用戶接入網(wǎng)絡(luò)。此模式下,端口最多只允許一個用戶接入網(wǎng)絡(luò),也就是最先通過全部這兩種認證的用戶。
l macAddressAndUserLoginSecureExt:與macAddressAndUserLoginSecure類似。但此模式下,端口允許接入網(wǎng)絡(luò)的用戶可以有多個。
根據(jù)以上描述得出以上這兩種and端口安全子模式的報文處理流程如圖19-2所示。
5. else模式
“else”是“另外”的意思,就是一種認證通不過后還可以嘗試其它的認證方式。else端口安全模式包括以下兩個子模式:
l macAddressElseUserLoginSecure:當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時,對接入用戶首先進行MAC地址認證,如果認證成功則直接通過,如果MAC地址認證失敗再嘗試進行802.1x認證。此模式下,端口下可以有多個用戶通過MAC地址認證,但端口僅允許接入一個用戶經(jīng)過802.1x認證,也就是最先通過802.1x認證的用戶。
l macAddressElseUserLoginSecureExt:與macAddressElseUserLoginSecure類似。但此模式下,端口允許經(jīng)過多個用戶通過IEEE 802.1X認證。
根據(jù)以上描述得出以上這兩種else端口安全子模式的報文處理流程如圖19-3所示。
6. or模式
“or”是“或者”的意思,也就是可以任選其中一種認證方式。or端口安全模式包括以下兩個子模式:
l macAddressOrUserLoginSecure:當用戶的MAC地址不在轉(zhuǎn)發(fā)表中時,接入用戶通過MAC地址認證后,仍然可以進行IEEE 802.1x認證;但接入用戶通過IEEE 802.1x認證后,不再進行MAC地址認證。此模式下,可以有多個經(jīng)過基于MAC地址認證的用戶,但端口僅允許接入一個經(jīng)過認證的802.1x用戶,也就是最先通過802.1x認證的用戶。
l macAddressOrUserLoginSecureExt:與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認證的用戶。
補充:交換機常見故障解決
通過觀察初步定為故障,一般如果設(shè)備正常,而且線路連接也正常,則交換機指示燈會亮綠色并且一閃一閃的。如果發(fā)現(xiàn)交換機指示燈不亮則首先檢查線路連接,如果一直亮著不閃,則檢查交換機等設(shè)備!
通過電腦直接連接交換機查看是否能夠自動獲取IP地址和網(wǎng)關(guān),如下面示意圖連接電腦之后,將電腦TCP/IP協(xié)議設(shè)置為DHCP動態(tài)獲取模式,然后運行命令行輸入ipconfig查看電腦是否能夠獲取到交換機分配的ip地址和網(wǎng)關(guān)。
如果交換機未配置,則需通過終端配置交換機,使用配置電纜的 DB-9 孔式插頭接到要對交換機進行配置的 PC 或終端的串口上,將配置電纜的 RJ-45 一端連到交換機的配置口(Console)上。
在 Console 口與本地電腦連接之后,在PC短通過終端與交換機建立連接,連接過程中要求,波特率為 9600,數(shù)據(jù)位為 8,奇偶校驗為無,停止位為 1,流量控制為無,選擇終端仿真為 VT100。
通過超級終端登陸交換機之后,檢查端口是否被shutdown,并通過display interface brief 命令,查看端口顯示信息的速率與雙工是否與對端一致。若不一致,請通過 speed 命令和 duplex 命令配置端口的速率和雙工模式。
(4)確認網(wǎng)線質(zhì)量或光口的光模塊類型及其波長是否匹配
更換網(wǎng)線插入端口,查看端口是否 UP,端口物理連接是否暢通,端口是否被shutdown,檢查端口連接,undo shutdown端口,檢查網(wǎng)線是否正常。
相關(guān)閱讀:交換機的基本功能:
1. 像集線器一樣,交換機提供了大量可供線纜連接的端口,這樣可以采用星型拓撲布線。
2. 像中繼器、集線器和網(wǎng)橋那樣,當它轉(zhuǎn)發(fā)幀時,交換機會重新產(chǎn)生一個不失真的方形電信號。
3. 像網(wǎng)橋那樣,交換機在每個端口上都使用相同的轉(zhuǎn)發(fā)或過濾邏輯。
4. 像網(wǎng)橋那樣,交換機將局域網(wǎng)分為多個沖突域,每個沖突域都是有獨立的寬帶,因此大大提高了局域網(wǎng)的帶寬。
5. 除了具有網(wǎng)橋、集線器和中繼器的功能以外,交換機還提供了更先進的功能,如虛擬局域網(wǎng)(VLAN)和更高的性能。
H3C交換機端口安全模式相關(guān)文章: