安全與VPN-端口安全技術(shù)介紹-D

1、技術(shù)介紹安全和 VPN 業(yè)務(wù)目 錄i目 錄 HYPERLINK l _bookmark0 端口安全 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口安全簡(jiǎn)介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口安全的特性 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 端口安全模式 HYPERLINK l _bookmark0 1 HYPERLIN

2、K l _bookmark2 端口安全對(duì)WLAN的支持 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 端口安全對(duì)Guest VLAN和Auth-Fail VLAN的支持 HYPERLINK l _bookmark3 5技術(shù)介紹安全和 VPN 業(yè)務(wù)端口安全 PAGE 5端口安全端口安全簡(jiǎn)介概述端口安全是一種基于 MAC 地址對(duì)網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制，是對(duì)已有的802.1X 認(rèn)證和 MAC 地址認(rèn)證的擴(kuò)充。這種機(jī)制通過檢測(cè)端口收到的數(shù)據(jù)幀中的源MAC 地址來控制非授權(quán)設(shè)備對(duì)網(wǎng)絡(luò)的訪問，通過檢測(cè)從端口發(fā)出的數(shù)據(jù)幀中的目的MAC 地址來控制對(duì)非授權(quán)

3、設(shè)備的訪問。端口安全的主要功能是通過定義各種端口安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。啟動(dòng)了端口安全功能之后，當(dāng)發(fā)現(xiàn)非法報(bào)文時(shí)， 系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式進(jìn)行處理，既方便用戶的管理又提高了系統(tǒng)的安全性。這里的非法報(bào)文是指：禁止 MAC 地址學(xué)習(xí)時(shí)，收到的源 MAC 地址為未知 MAC 的報(bào)文；端口學(xué)習(xí)到的 MAC 地址達(dá)到端口所允許的最大 MAC 地址數(shù)后，收到的源MAC 地址為未知 MAC 的報(bào)文；未通過認(rèn)證的用戶發(fā)送的報(bào)文。端口安全的特性NeedToKnow 特性NeedToKnow 特性通過檢測(cè)從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證

4、數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。入侵檢測(cè)（IntrusionProtection）特性入侵檢測(cè)特性指通過檢測(cè)從端口收到的數(shù)據(jù)幀的源 MAC 地址，對(duì)接收非法報(bào)文的端口采取相應(yīng)的安全策略，包括端口被暫時(shí)斷開連接、永久斷開連接或 MAC 地址被過濾（默認(rèn) 3 分鐘，不可配），以保證端口的安全性。Trap 特性Trap 特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶上下線等原因引起）傳送時(shí)，設(shè)備將會(huì)發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。端口安全模式對(duì)于端口安全模式的具體描述，請(qǐng)參見 HYPERLINK l _bookmark1 表 1。表

5、1 端口安全模式描述表安全模式類型描述特性說明noRestrictions表示端口的安全功能關(guān)閉，端口處于無限制狀態(tài)此時(shí) NeedToKnow 特性和入侵檢測(cè)特性無效此模式下，端口通過配置或?qū)W習(xí)到的安全 MAC地址被保存在安全 MAC 地址表項(xiàng)中；autoLearn當(dāng)端口下的安全 MAC 地址數(shù)超過端口允許學(xué)習(xí)的最大安全 MAC 地址數(shù)后，端口模式會(huì)自動(dòng)轉(zhuǎn)變?yōu)?secure 模式。之后，該端口停止添加新的安全 MAC，只有源 MAC 地址為安全 MAC 地址、已配置的靜態(tài) MAC 地址的報(bào)文，才能通過該端口在這兩種模式下，當(dāng)設(shè)備發(fā)現(xiàn)非法報(bào)文后，將觸發(fā)NeedToKnow 特性和入侵檢測(cè)特性au

6、toLearn 模式下， 禁止學(xué)習(xí)動(dòng)態(tài) MAC 地址secure禁止端口學(xué)習(xí) MAC 地址，只有源 MAC 地址為端口上的安全 MAC 地址、已配置的靜態(tài) MAC 地址的報(bào)文，才能通過該端口userLogin對(duì)接入用戶采用基于端口的 802.1X 認(rèn)證此模式下，端口允許多個(gè) 802.1X 認(rèn)證用戶接入， 但只有一個(gè)用戶在線此模式下NeedToKnow 特性和入侵檢測(cè)特性不會(huì)被觸發(fā)端口必須通過 802.1X 認(rèn)證才能開啟，且只允許認(rèn)在左側(cè)列出的模式userLoginSecure證成功的用戶報(bào)文通過；此模式下，端口最多只允許一個(gè) 802.1X 認(rèn)證用戶接入下，當(dāng)設(shè)備發(fā)現(xiàn)非法報(bào)文后，將觸發(fā)NeedT

7、oKnow 特性和入侵檢測(cè)特性與 userLoginSecure 模式類似，端口最多只允許一個(gè) 802.1X 認(rèn)證用戶接入在用戶接入方式為有線的情況下，端口還允許userLoginWithOUI一個(gè)指定 OUI 的源 MAC 地址的報(bào)文認(rèn)證通過；在用戶接入方式為無線的情況下，端口首先對(duì)報(bào)文進(jìn)行 OUI 檢查，OUI 檢查失敗后再進(jìn)行802.1X 認(rèn)證macAddressWithR adius對(duì)接入用戶采用 MAC 地址認(rèn)證端口同時(shí)處于userLoginSecure 模式和macAddressWithRadius 模式，但 802.1X 認(rèn)證優(yōu)先級(jí)大于 MAC 地址認(rèn)證macAddressOrU

8、se rLoginSecure在用戶接入方式為有線的情況下，對(duì)于非802.1X 報(bào)文直接進(jìn)行 MAC 地址認(rèn)證。對(duì)于802.1X 報(bào)文直接進(jìn)行 802.1X 認(rèn)證；在用戶接入方式為無線的情況下，報(bào)文首先進(jìn)行 802.1X 認(rèn)證，如果 802.1X 認(rèn)證失敗再進(jìn)行 MAC 地址認(rèn)證安全模式類型描述特性說明端口同時(shí)處于 macAddressWithRadius 模式和userLoginSecure 模式，但 MAC 地址認(rèn)證優(yōu)先級(jí)macAddressElseU serLoginSecure大于 802.1X 認(rèn)證；對(duì)于非 802.1X 報(bào)文直接進(jìn)行 MAC 地址認(rèn)證。對(duì)于 802.1X 報(bào)文先進(jìn)行

9、 MAC 地址認(rèn)證，如果 MAC地址認(rèn)證失敗進(jìn)行 802.1X 認(rèn)證userLoginSecureE xt對(duì)接入用戶采用基于 MAC 的 802.1X 認(rèn)證，且允許端口下有多個(gè) 802.1X 用戶macAddressOrUse rLoginSecureExt與 macAddressOrUserLoginSecure 類似，但允許端口下有多個(gè) 802.1X 和MAC 地址認(rèn)證用戶macAddressElseU serLoginSecureExt與 macAddressElseUserLoginSecure 類似，但允許端口下有多個(gè) 802.1X 和 MAC 地址認(rèn)證用戶 說明：目前端口安全特性對(duì)

10、用戶的認(rèn)證主要有兩種方式：MAC 地址認(rèn)證和802.1X 認(rèn)證，不同的安全模式對(duì)應(yīng)不同的認(rèn)證方式或認(rèn)證方式組合。當(dāng)多個(gè)用戶通過認(rèn)證時(shí)，端口下所允許的最大用戶數(shù)根據(jù)不同的端口安全模式， 取最大安全 MAC 地址數(shù)與相應(yīng)模式下允許認(rèn)證用戶數(shù)的最小值。例如， userLoginSecureExt 模式下，端口下所允許的最大用戶為配置的最大安全 MAC 地址數(shù)與 802.1X 認(rèn)證所允許的最大用戶數(shù)的最小值。由于安全模式種類較多，為便于記憶，部分端口安全模式名稱的構(gòu)成可按如下規(guī)則理解：“userLogin”表示基于端口的 802.1X 認(rèn)證；“macAddress”表示 MAC 地址認(rèn)證；“Else”

11、之前的認(rèn)證方式先被采用，失敗后根據(jù)請(qǐng)求認(rèn)證的報(bào)文協(xié)議類型決定是否轉(zhuǎn)為“Else”之后的認(rèn)證方式。“Or”連接的兩種認(rèn)證方式無固定生效順序，設(shè)備根據(jù)請(qǐng)求認(rèn)證的報(bào)文協(xié)議類型決定認(rèn)證方式，但無線接入的用戶先采用 802.1X 認(rèn)證方式；攜帶“Secure”的 userLogin 表示基于 MAC 地址的 802.1X 認(rèn)證。攜帶“Ext”表示可允許多個(gè) 802.1X 用戶認(rèn)證成功，不攜帶則表示僅允許一個(gè)802.1X 用戶認(rèn)證成功。端口安全對(duì) WLAN 的支持端口安全針對(duì) WLAN（Wireless Local Area Network，無線局域網(wǎng)）類型的接口， 在 原 有 安 全 模 式 的 基 礎(chǔ)

12、 上 增 加psk 、 macAddressAndPsk 、userlLoginSecureExtOrPsk 和 WAPI （ WLAN Authentication and Privacy Infrastructure，無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）四種安全模式，實(shí)現(xiàn)了訪問無線接入設(shè)備的鏈路層安全機(jī)制。其中 WAPI 模式主要是對(duì)未通過 WAPI 鑒別的無線用戶進(jìn)行訪問限制：當(dāng)用戶鑒別失敗后，不允許該用戶訪問任何網(wǎng)絡(luò)資源；當(dāng)用戶鑒別成功后，開啟該用戶訪問網(wǎng)絡(luò)資源的權(quán)限。表2 端口安全支持WLAN 模式描述表安全模式類型描述特性說明接入用戶必須使用設(shè)備上預(yù)先配置的靜態(tài)密鑰，即pskPSK（Pr

13、e-Shared Key，預(yù)共享密鑰）與設(shè)備進(jìn)行協(xié)商，協(xié)商成功后可訪問端口當(dāng)設(shè)備發(fā)現(xiàn)非法macAddressAnd Psk接入用戶必須先進(jìn)行 MAC 地址認(rèn)證，通過認(rèn)證后使用預(yù)先配置的預(yù)共享密鑰與設(shè)備協(xié)商，協(xié)商成功后可訪問端口報(bào)文后，將觸發(fā)NeedToKnow 特性和入侵檢測(cè)特性u(píng)serLoginSecure ExtOrPsk接入用戶與設(shè)備進(jìn)行交互，選擇進(jìn)行基于 MAC（macbased）的 802.1X 認(rèn)證或者僅進(jìn)行預(yù)共享密鑰協(xié)商WAPI對(duì)接入用戶采用WAPI 認(rèn)證NeedToKnow 特性和入侵檢測(cè)特性在此類型下無效 說明：新增的模式目前只適用于無線產(chǎn)品接口類型。PSK 用戶是指通過 p

14、sk 安全模式認(rèn)證上線的用戶。系統(tǒng)最大 PSK 用戶數(shù)由無線接口可支持的最大用戶數(shù)決定。對(duì)于 psk 模式，用戶總數(shù)不能超過系統(tǒng)最大 PSK 用戶數(shù)；單個(gè)端口上的用戶數(shù)不能超過每端口最大 PSK 用戶數(shù)。如果設(shè)置了每端口最大安全 MAC 地址數(shù)，單個(gè)端口上的用戶數(shù)也不能超過該限制。對(duì)于 macAddressAndPsk 模式，用戶總數(shù)及單個(gè)端口上的用戶數(shù)受到 MAC 地址認(rèn)證的限制。如果設(shè)置了每端口最大安全 MAC 地址數(shù)，單個(gè)端口上的用戶數(shù)也不能超過該限制。對(duì)于 userLoginSecureExtOrPsk 模式，允許的 PSK 協(xié)商用戶總數(shù)不能超過系統(tǒng)最大 PSK 用戶數(shù)，單個(gè)端口上允許

15、的 PSK 用戶數(shù)不能超過每端口最大 PSK 用戶數(shù)；允許的 802.1X 認(rèn)證用戶總數(shù)及單個(gè)端口上的用戶數(shù)受到 802.1X 認(rèn)證接入用戶數(shù)的限制；此外，如果設(shè)置了每端口最大安全 MAC 地址數(shù)，則允許的 PSK 協(xié)商用戶及 802.1X 認(rèn)證用戶之和不能超過該限制。注意：在無線接入的情況下，若 802.1X 或 MAC 地址認(rèn)證用戶的MAC 地址及所屬的VLAN 與配置的安全 MAC 地址或靜態(tài) MAC 及所屬的 VLAN 相同，則由于無線鏈路無法建立，會(huì)導(dǎo)致用戶不能接入無線網(wǎng)絡(luò)。端口安全對(duì) Guest VLAN 和 Auth-Fail VLAN 的支持802.1X 認(rèn)證的 Guest VLAN 是指允許用戶在未認(rèn)證的情況下，可以訪問的指定VLAN。802.1X 的 Auth-Fail VLAN 與MAC 地址認(rèn)證的 Guest VLAN 是指允許用戶在認(rèn)證失敗的情況下，可以訪問的指定 VLAN。對(duì)于支持 8