学习啦>学习电脑>电脑硬件知识>硬件知识>

H3C交换机端口安全模式原理是什么

加城分享

  交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。其中配置基于端口的安全模式经常会用到,也很重要,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。

  在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

  1. autoLearn模式与secure模式

  在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。

  如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。

  2. 单一IEEE 802.1X认证模式

  采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种:

  l userlogin:对接入用户采用基于端口的IEEE 802.1x认证,仅允许通过认证的用户接入。

  l userLoginSecure:对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包,但也仅允许802.1x认证成功的用户数据报文通过。此模式下,端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。

  l userLoginSecureExt:与userLoginSecure类似,但端口下的802.1x认证用户可以有多个(即IEEE 802.1X多主机模式)。

  l userLoginWithOUI:与userLoginSecure类似,端口最多只允许一个802.1x认证用户,但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。

  因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍,故在此不再赘述。

  3. MAC地址认证模式

  MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法,它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码,因为这是基于用户MAC地址进行的认证。如果该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时直接做丢弃处理,以防止非法MAC短时间内的重复认证。

  目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章19.5节介绍。

  4. and模式

  “and”是“和”的意思,就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式:

  l macAddressAndUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户首先进行MAC地址认证,当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的情况下,才允许该用户接入网络。此模式下,端口最多只允许一个用户接入网络,也就是最先通过全部这两种认证的用户。

  l macAddressAndUserLoginSecureExt:与macAddressAndUserLoginSecure类似。但此模式下,端口允许接入网络的用户可以有多个。

  根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。

  5. else模式

  “else”是“另外”的意思,就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式:

  l macAddressElseUserLoginSecure:当用户的MAC地址不在转发表中时,对接入用户首先进行MAC地址认证,如果认证成功则直接通过,如果MAC地址认证失败再尝试进行802.1x认证。此模式下,端口下可以有多个用户通过MAC地址认证,但端口仅允许接入一个用户经过802.1x认证,也就是最先通过802.1x认证的用户。

  l macAddressElseUserLoginSecureExt:与macAddressElseUserLoginSecure类似。但此模式下,端口允许经过多个用户通过IEEE 802.1X认证。

  根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。

  6. or模式

  “or”是“或者”的意思,也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式:

  l macAddressOrUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户通过MAC地址认证后,仍然可以进行IEEE 802.1x认证;但接入用户通过IEEE 802.1x认证后,不再进行MAC地址认证。此模式下,可以有多个经过基于MAC地址认证的用户,但端口仅允许接入一个经过认证的802.1x用户,也就是最先通过802.1x认证的用户。

  l macAddressOrUserLoginSecureExt:与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。

  补充:交换机常见故障解决

  通过观察初步定为故障,一般如果设备正常,而且线路连接也正常,则交换机指示灯会亮绿色并且一闪一闪的。如果发现交换机指示灯不亮则首先检查线路连接,如果一直亮着不闪,则检查交换机等设备!

  通过电脑直接连接交换机查看是否能够自动获取IP地址和网关,如下面示意图连接电脑之后,将电脑TCP/IP协议设置为DHCP动态获取模式,然后运行命令行输入ipconfig查看电脑是否能够获取到交换机分配的ip地址和网关。

  如果交换机未配置,则需通过终端配置交换机,使用配置电缆的 DB-9 孔式插头接到要对交换机进行配置的 PC 或终端的串口上,将配置电缆的 RJ-45 一端连到交换机的配置口(Console)上。

  在 Console 口与本地电脑连接之后,在PC短通过终端与交换机建立连接,连接过程中要求,波特率为 9600,数据位为 8,奇偶校验为无,停止位为 1,流量控制为无,选择终端仿真为 VT100。

  通过超级终端登陆交换机之后,检查端口是否被shutdown,并通过display interface brief 命令,查看端口显示信息的速率与双工是否与对端一致。若不一致,请通过 speed 命令和 duplex 命令配置端口的速率和双工模式。

  (4)确认网线质量或光口的光模块类型及其波长是否匹配

  更换网线插入端口,查看端口是否 UP,端口物理连接是否畅通,端口是否被shutdown,检查端口连接,undo shutdown端口,检查网线是否正常。

  相关阅读:交换机的基本功能:

  1. 像集线器一样,交换机提供了大量可供线缆连接的端口,这样可以采用星型拓扑布线。

  2. 像中继器、集线器和网桥那样,当它转发帧时,交换机会重新产生一个不失真的方形电信号。

  3. 像网桥那样,交换机在每个端口上都使用相同的转发或过滤逻辑。

  4. 像网桥那样,交换机将局域网分为多个冲突域,每个冲突域都是有独立的宽带,因此大大提高了局域网的带宽。

  5. 除了具有网桥、集线器和中继器的功能以外,交换机还提供了更先进的功能,如虚拟局域网(VLAN)和更高的性能。


H3C交换机端口安全模式相关文章:

1.H3C交换机有几种配置模式

2.H3C交换机如何配置VLAN

3.h3c交换机如何配置DHCP服务

4.H3C交换机配置本地登录和远程登录的用户名和密码教程

5.H3C交换机怎么划分VLAN

    4018535