扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
3. 端口安全
端口安全(Port Security)的主要功能就是通过定义各种安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x
当发现非法报文后,系统将触发相应特性,并按照预先指定的方式自动进行处理,减少了用户的维护工作量,极大地提高了系统的安全性和可管理性。
端口安全的特性包括:
NTK:NTK(Need To Know)特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证的设备上,从而防止非法设备窃听网络数据。
Intrusion Protection:该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码,发现非法报文或非法事件,并采取相应的动作,包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文,保证了端口的安全性。
Device Tracking:该特性是指当端口有特定的数据包(由非法入侵,用户不正常上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
表2 端口的安全模式:
安全模式类型 |
描述 |
特性说明 |
secure |
禁止端口学习MAC地址,只有源MAC为端口上已经配置的静态MAC的报文,才能通过该端口 |
在左侧列出的模式下,当设备发现非法报文后,将触发NTK特性和Intrusion Protection特性 |
userlogin |
对接入用户采用基于端口的802.1x认证 |
此模式下NTK特性和Intrusion Protection特性不会被触发 |
userlogin-secure |
接入用户必须先通过802.1x认证,认证成功后端口开启,但也只允许认证成功的用户报文通过; 此模式下,端口最多只允许接入一个经过802.1x认证的用户; 当端口从正常模式进入此安全模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 |
在左侧列出的模式下,当设备发现非法报文后,将触发Need To Know特性和Intrusion Protection特性 |
userlogin-withoui |
与userlogin-secure类似,端口最多只允许一个802.1x认证用户,但同时,端口还允许一个oui地址的报文通过; 当用户从端口的正常模式进入此模式时,端口下原有的动态MAC地址表项和已认证的MAC地址表项将被自动删除 | |
mac-authentication |
基于MAC地址对接入用户进行认证 | |
userlogin-secure-or-mac |
表示mac-authentication和userlogin-secure模式下的认证可以同时进行,如果都认证通过的话,userlogin-secure的优先级高于mac-authentication模式 | |
userlogin-secure-else-mac |
表示先进行mac-authentication认证,如果成功则表明认证通过,如果失败则再进行userlogin-secure认证 | |
userlogin-secure-ext |
与userlogin-secure类似,但端口下的802.1x认证用户可以有多个 | |
userlogin-secure-or-mac-ext |
与userlogin-secure-or-mac类似,但端口下的802.1x认证用户可以有多个 | |
userlogin-secure-else-mac-ext |
与mac-else-userlogin-secure类似,但端口下的802.1x认证用户可以有多个 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。