H3C交换机端口安全模式配置

H3C交换机端口安全模式配置

用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法！

在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 8021X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1 autoLearn模式与secure模式

在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

根据以上描述，可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。

图19-1 autoLearn和secure端口安全模式报文处理流程图

2 单一IEEE 8021X认证模式

采用单一IEEE 8021x认证方式的端口安全模式又包括以下几种：

l userlogin：对接入用户采用基于端口的IEEE 8021x认证，仅允许通过认证的用户接入。

l userLoginSecure：对接入用户采用基于用户MAC地址的IEEE 8021x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包，但也仅允许8021x认证成功的用户数据报文通过。此模式下，端口最多只允许接入一个经过8021x认证的用户(即IEEE 8021X单主机模式)。

l userLoginSecureExt：与userLoginSecure类似，但端口下的8021x认证用户可以有多个(即IEEE 8021X多主机模式)。

l userLoginWithOUI：与userLoginSecure类似，端口最多只允许一个8021x认证用户，但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。

因为H3C以太网交换机的IEEE 8021X认证将在本书第21章专门介绍，故在此不再赘述。

3 MAC地址认证模式

MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法，它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证 *** 作。认证过程中，不需要用户手动输入用户名或者密码，因为这是基于用户MAC地址进行的认证。如果该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置)，来自此MAC地址的用户报文到达时直接做丢弃处理，以防止非法MAC短时间内的重复认证。

目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章195节介绍。

4 and模式

“and”是“和”的意思，就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式：

l macAddressAndUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户首先进行MAC地址认证，当MAC地址认证成功后再进行IEEE 8021x认证。只有在这两种认证都成功的`情况下，才允许该用户接入网络。此模式下，端口最多只允许一个用户接入网络，也就是最先通过全部这两种认证的用户。

l macAddressAndUserLoginSecureExt：与macAddressAndUserLoginSecure类似。但此模式下，端口允许接入网络的用户可以有多个。

根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。

图19-2 and端口安全模式的报文处理流程图

5 else模式

“else”是“另外”的意思，就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式：

l macAddressElseUserLoginSecure：当用户的MAC地址不在转发表中时，对接入用户首先进行MAC地址认证，如果认证成功则直接通过，如果MAC地址认证失败再尝试进行8021x认证。此模式下，端口下可以有多个用户通过MAC地址认证，但端口仅允许接入一个用户经过8021x认证，也就是最先通过8021x认证的用户。

l macAddressElseUserLoginSecureExt：与macAddressElseUserLoginSecure类似。但此模式下，端口允许经过多个用户通过IEEE 8021X认证。

根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。

图19-3 else端口安全模式报文处理流程图

6 or模式

“or”是“或者”的意思，也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式：

l macAddressOrUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户通过MAC地址认证后，仍然可以进行IEEE 8021x认证;但接入用户通过IEEE 8021x认证后，不再进行MAC地址认证。此模式下，可以有多个经过基于MAC地址认证的用户，但端口仅允许接入一个经过认证的8021x用户，也就是最先通过8021x认证的用户。

l macAddressOrUserLoginSecureExt：与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 8021x认证的用户。

根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。

图19-4 or端口安全模式报文处理流程图

;

H3C交换机怎么设置呢交换机比较常见的设置是跨网段管理问题通常有如下几种：跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等)，跨网段绑定电脑IP和MAC地址，防止电脑修改IP地址等行为。

那么，如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢 可以通过以下两种方法来实现：

第一、通过三层交换机自带的'网管功能来实现控制多网段电脑网速、跨网段限制电脑上网行为以及跨网段实现交换机端口限速、跨网段实现三层交换机固定IP上网。

两种设置IP地址的命令：一种直接在物理端口上设置IP地址，设置过程比较简单。如三层交换机上配置端口1/0/1为路由端口，IP地址为1721610，OSPF采用点到点类型，配置过程如下：

#interface Ethernet 1/1

#port link-mode route

#ip address 1721610 2552552550

#ospf networt-type p2p

第二种IP地址配置方式是通过逻辑VLAN设置IP地址，需先给VLAN设置IP地址，然后将物理端口配置在VLAN下。为了保证IP地址和物理端口一一对应的关系。例如在和上面一样的三层交换机上要配置端口1/0/1为路由端口，并配置端口的VLAN ID为101，VLAN 101 IP地址为1721611，OSPF采用点到点类型，配置过程如下：

#interface Vlan-interface 101

#ip address 1721610 2552552550

#ospf network-type p2p

#interface Ethernet 1/0/1

#port link-mode route

#port access Vlan 101

以上两种方法都能为交换机端口设置IP地址，从 *** 作步骤上看，第一种方法比较简单，第二种方法需要先将端口和VLAN对应起来再设置IP地址。而且第2种方法在配置IP地址时还需同时使用对应的VLAN，过多使用VLAN号后可能会给日后的运行维护带来了不便。

1、华三的盒式交换机，一般情况，第一个数字都是1，所以9口一般都是1/0/9,14口一般都是1/0/14，至于是G还是E，那么就取决于你的交换机是百兆还是千兆了，如果是百兆，那么就是E，如果是千兆，那么就是G；
2、G代表的是千兆口，E代表的是百兆口，至于FE跟E一样，GE跟G一样；
3、G2/0/14，分别代表：2代表是2号槽位，0一般没有实际意义，14代表第14号端口，华三的盒式交换机，默认一般槽位都是以1命名，所以盒式交换机你一般是不可能见着2开头的端口的，除非你是做了虚拟化或者用命令行改过。而华为的一般都是以0开始的，所以华为的端口一般都是、0/0/1等。至于那个14，我说的是第14号端口，并不是第14个端口，因为有些交换机是从0开始的，所以14就是第十五个口。但是盒式交换机很少有这种情况是从0开始的，一般出现在框式交换机上。
普通盒式交换机，默认面板上面看见的端口就是在一个槽位上的，你看见的那些端口就是一个槽位。当然，如果是可以扩展板卡的交换机，那个槽位一般是在交换机背面，那种型号一般都带C的，比如华为的5720-36C-EI-AC，那个36C中的C就是代表可以扩展，但是盒式的交换机多数是只能扩展4个端口。也就是说，主要看型号，凡是不带C的，就是只有一个槽位（框式交换机除外），带C的，就有2个或者更多槽位。也有特殊的型号，比如华三的5800系列有些型号可以扩展几个槽位。

---