端口安全简介
端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文。
· 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源 MAC 地址为未知MAC 的报文。
· 未通过认证的用户发送的报文。
说明:由于端口安全特性通过多种安全模式提供了 802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。而在仅需要 802.1X、 MAC地址认证特性来完成接入控制的组网环境下,推荐单独使用以上两个特性,配置过程简洁明了。
端口安全的特性
1. 出方向报文控制特性
出方向报文控制特性通过检测从端口发出的数据帧的目的 MAC 地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
2. 报文入侵控制特性
报文入侵控制特性指通过检测从端口收到的数据帧的源 MAC 地址,对接收非法报文的端口采取相应的安全策略,包括暂时关闭端口、永久关闭端口或阻塞 MAC 地址(默认 3 分钟,不可配),以保证端口的安全性。
3. Trap特性
Trap 特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送 Trap 信息,便于网络管理员对这些特殊的行为进行监控。
端口安全模式
端口安全包括基本控制和高级控制两种模式:
· 基本控制模式:此模式下,端口通过配置或学习到的安全 MAC 地址被保存在安全 MAC 地址表项中。当端口下的安全 MAC 地址数超过端口允许学习的最大安全 MAC 地址数后,禁止端口学习 MAC 地址,只有源 MAC 地址为安全 MAC 地址、已配置的静态 MAC 地址的报文,才能通过该端口。此模式下,禁止学习动态 MAC 地址。
· 高级控制模式:此模式包括多种安全模式,具体描述如 表 41-1 所示。
说明:
· 目前端口安全特性对用户的认证主要有两种方式: MAC 地址认证和 802.1X 认证,不同的安全模式对应不同的认证方式或认证方式组合。
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取最大安全MAC 地址数与相应模式下允许认证用户数的最小值。例如, 802.1X MAC Based 模式下,端口下所允许的最大用户为配置的最大安全 MAC 地址数与 802.1X 认证所允许的最大用户数的最小值。
· OUI( Organizationally Unique Identifier)是 MAC 地址的前 24 位(二进制),是 IEEE(Instituteof Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
