H3C 端口安全概述

端口安全简介

    端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制，是对已有的 802.1X 认证和 MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问，通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访问。

    端口安全的主要功能是通过定义各种端口安全模式，让设备学习到合法的源 MAC 地址，以达到相应的网络管理效果。启动了端口安全功能之后，当发现非法报文时，系统将触发相应特性，并按照预先指定的方式进行处理，既方便用户的管理又提高了系统的安全性。这里的非法报文是指：

   ・ 禁止 MAC 地址学习时，收到的源 MAC 地址为未知 MAC 的报文。

   ・ 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后，收到的源 MAC 地址为未知MAC 的报文。

   ・ 未通过认证的用户发送的报文。

    说明：由于端口安全特性通过多种安全模式提供了 802.1X和MAC地址认证的扩展和组合应用，因此在需要灵活使用以上两种认证方式的组网环境下，推荐使用端口安全特性。而在仅需要 802.1X、 MAC地址认证特性来完成接入控制的组网环境下，推荐单独使用以上两个特性，配置过程简洁明了。

端口安全的特性

    1. 出方向报文控制特性

    出方向报文控制特性通过检测从端口发出的数据帧的目的 MAC 地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。

    2. 报文入侵控制特性

    报文入侵控制特性指通过检测从端口收到的数据帧的源 MAC 地址，对接收非法报文的端口采取相应的安全策略，包括暂时关闭端口、永久关闭端口或阻塞 MAC 地址（默认 3 分钟，不可配），以保证端口的安全性。

    3. Trap特性

    Trap 特性是指当端口有特定的数据包（由非法入侵，用户上下线等原因引起）传送时，设备将会发送 Trap 信息，便于网络管理员对这些特殊的行为进行监控。

端口安全模式

    端口安全包括基本控制和高级控制两种模式：

   ・ 基本控制模式：此模式下，端口通过配置或学习到的安全 MAC 地址被保存在安全 MAC 地址表项中。当端口下的安全 MAC 地址数超过端口允许学习的最大安全 MAC 地址数后，禁止端口学习 MAC 地址，只有源 MAC 地址为安全 MAC 地址、已配置的静态 MAC 地址的报文，才能通过该端口。此模式下，禁止学习动态 MAC 地址。

   ・ 高级控制模式：此模式包括多种安全模式，具体描述如 表 41-1 所示。

说明：

   ・ 目前端口安全特性对用户的认证主要有两种方式： MAC 地址认证和 802.1X 认证，不同的安全模式对应不同的认证方式或认证方式组合。

   ・ 当多个用户通过认证时，端口下所允许的最大用户数根据不同的端口安全模式，取最大安全MAC 地址数与相应模式下允许认证用户数的最小值。例如， 802.1X MAC Based 模式下，端口下所允许的最大用户为配置的最大安全 MAC 地址数与 802.1X 认证所允许的最大用户数的最小值。

   ・ OUI（ Organizationally Unique Identifier）是 MAC 地址的前 24 位（二进制），是 IEEE（Instituteof Electrical and Electronics Engineers，电气和电子工程师学会）为不同设备供应商分配的一个全球唯一的标识符。