Настройка безопасности порта Huawei

Обновлено: 21.11.2024

Безопасность портов сочетает и расширяет аутентификацию 802.1X и MAC для обеспечения контроля доступа к сети на основе MAC-адресов. Эта функция применяется к сетям, в которых требуются разные методы аутентификации для разных пользователей порта.

Защита порта обеспечивает следующие функции:

· Предотвращает несанкционированный доступ к сети, проверяя исходный MAC-адрес входящего трафика.

· Предотвращает доступ к неавторизованным устройствам или хостам, проверяя MAC-адрес назначения исходящего трафика.

· Управляет изучением MAC-адресов и аутентификацией на порту, чтобы убедиться, что порт изучает только исходные доверенные MAC-адреса.

Кадр является недопустимым, если его исходный MAC-адрес не может быть получен в режиме безопасности порта или если он получен от клиента, не прошедшего проверку подлинности 802.1X или MAC. Функция безопасности порта автоматически выполняет предопределенное действие в отношении недопустимых кадров. Этот автоматический механизм повышает безопасность сети и снижает вмешательство человека.

Функции безопасности порта

Функция необходимости знать (NTK) предотвращает перехват трафика, проверяя MAC-адрес назначения в исходящих кадрах. Эта функция гарантирует, что кадры отправляются только на следующие хосты:

· Хосты, прошедшие аутентификацию.

· Хосты, чьи MAC-адреса были изучены или настроены на устройстве доступа.

Защита от вторжений

Функция защиты от вторжений проверяет исходный MAC-адрес во входящих кадрах на наличие недопустимых кадров и предпринимает заранее определенные действия для каждого обнаруженного недопустимого кадра. Действие может заключаться в временном отключении порта, постоянном отключении порта или блокировке кадров с недопустимого MAC-адреса на период, установленный таймером блокировки MAC-адресов.

Режимы безопасности порта

Безопасность портов поддерживает следующие категории режимов безопасности:

· Управление обучением MAC — включает два режима: автоматическое обучение и безопасный режим. Изучение MAC-адресов разрешено для порта в режиме автоматического обучения и отключено в безопасном режиме.

· Аутентификация — режимы безопасности в этой категории реализуют аутентификацию MAC, аутентификацию 802.1X или комбинацию этих двух методов аутентификации.

После получения кадра порт в режиме безопасности ищет в таблице MAC-адресов исходный MAC-адрес. Если совпадение найдено, порт пересылает кадр. Если совпадений не найдено, порт запоминает MAC-адрес или выполняет аутентификацию, в зависимости от режима безопасности. Если кадр является недопустимым, порт выполняет предопределенное действие NTK или защиты от вторжений или отправляет уведомления SNMP. Исходящие кадры не ограничиваются действием NTK защиты порта, если только они не активируют функцию NTK.

Максимальное количество пользователей, поддерживаемых портом, равно наименьшему из следующих значений:

· Максимальное количество защищенных MAC-адресов, разрешенное безопасностью порта.

· Максимальное количество одновременных пользователей, допускаемое используемым режимом аутентификации.

Например, если 802.1X допускает одновременное использование большего количества пользователей, чем ограничение безопасности порта на количество MAC-адресов на порту в режиме userLoginSecureExt, вступает в силу ограничение безопасности порта.

В таблице 1 описаны режимы безопасности порта и функции безопасности.

Функции, которые можно активировать

Отключение функции безопасности порта

без ограничений (режим по умолчанию)

В этом режиме защита порта отключена для порта, и доступ к порту не ограничен.

Безопасность порта изменяет динамические MAC-адреса, полученные на интерфейсе, в безопасные MAC-адреса (включая динамические и статические безопасные MAC-адреса и фиксированные MAC-адреса). Эта функция предотвращает взаимодействие неавторизованных пользователей с коммутатором через этот интерфейс. Как правило, безопасность портов настраивается на устройствах доступа для привязки пользователей к интерфейсам и управления доступом пользователей к интерфейсам.

По сравнению со статическим вводом MAC-адреса и привязкой пользователя, которые используются для статической привязки пользователей, безопасность портов динамически привязывает пользователей к интерфейсам.

По сравнению с отслеживанием DHCP, которое также динамически привязывает пользователей к интерфейсу, настроить безопасность портов проще. Кроме того, безопасность порта может ограничивать количество пользователей доступа.

Примечания по настройке

• После того как на интерфейсе настроено ограничение MAC-адресов, безопасность портов нельзя настроить на этом интерфейсе.
• Этот пример применим ко всем версиям всех коммутаторов серии S.

Требования к сети

Как показано на рис. 3-247, ПК1, ПК2 и ПК3 подключаются к сети компании через коммутатор. Для повышения безопасности доступа пользователей на интерфейсе коммутатора включена защита портов, поэтому внешние пользователи не могут использовать свои ПК для доступа к сети компании.

Дорожная карта конфигурации

Дорожная карта конфигурации выглядит следующим образом:

Создайте VLAN для реализации переадресации уровня 2.

Настройте безопасность порта и включите функцию закрепления MAC-адресов, чтобы записи MAC-адресов не терялись после сохранения конфигурации устройства и перезапуска устройства.

Процедура

1. Создайте VLAN на коммутаторе и добавьте в нее интерфейсы. Конфигурации GE 1/0/2 и GE 1/0/3 аналогичны конфигурации 1/0/1 и здесь не упоминаются.

• По умолчанию интерфейс может запоминать только одну запись безопасного MAC-адреса. Если несколько ПК подключаются к сети компании через один интерфейс, выполните команду port-security max-mac-num, чтобы изменить максимальное количество безопасных MAC-адресов.
• Если ПК подключается к коммутатору с помощью IP-телефона, установите максимальное количество безопасных MAC-адресов равным 3, поскольку IP-телефон занимает две записи MAC-адреса, а ПК занимает одну запись MAC-адреса. Идентификаторы VLAN в двух записях MAC-адресов, используемых IP-телефоном, различаются. Две VLAN используются для передачи голосовых пакетов и пакетов данных соответственно.

Если ПК1, ПК2 и ПК3 заменены другими ПК, ПК не могут получить доступ к сети компании.

В этом примере настройки безопасности портов Huawei мы настроим безопасность портов на коммутаторе Huawei. Для нашей конфигурации безопасности портов Huawei мы будем использовать приведенную ниже топологию, состоящую из одного коммутатора, одного концентратора и четырех ПК. Вы также можете просмотреть урок по настройке безопасности портов Cisco.

Наши шаги по настройке безопасности портов Huawei будут такими, как показано ниже:

<р>1. Мы настроим интерфейс Gigabitethernet 0/0/1 коммутатора для безопасности портов.

– мы включим защиту порта,
– мы определим максимально допустимый MAC-адрес на этом порту,
– мы установим динамическое изучение MAC-адреса (липкое),
– мы определим Действие по нарушению (защите)

<р>2. Во-первых, мы проверим действие Защиты «Выключение».

– Мы установим действие защиты безопасности порта как «Выключение»,
– Мы подключим ПК3.
– Отправьте эхо-запрос с ПК3 на ПК1. (Добавить в таблицу MAC-адресов)
– Мы проверим таблицу MAC-адресов и увидим PC3 в таблице MAC-адресов.
– Ошибки не будет.
– После этого мы добавим PC4.
– Отправьте эхо-запрос с ПК4 на ПК1. (Добавить в таблицу MAC-адресов)
– После этого добавления произойдет ошибка, и наш порт будет отключен.
– И в таблице MAC не будет ПК4, как и ожидалось.

<р>3. Затем мы проверим действие Защиты «Ограничить».

– Мы удалим связь между ПК4 и коммутатором.
– Мы не будем «закрывать» интерфейс.
– Мы установим действие защиты безопасности порта как «Ограничение».
– Подключим ПК4.
– Отправьте эхо-запрос с ПК4 на ПК1. (Добавить в таблицу MAC-адресов)
– Будет ошибка о защитном действии.
– Мы проверим таблицу MAC, чтобы там не было PC4.

<р>4. После этого проверим действие Защиты «Защитить».

– Мы снова удалим связь между ПК4 и коммутатором.
– Мы установим действие защиты безопасности порта как «Защитить».
– Подключим ПК4.
– Отправьте эхо-запрос с ПК4 на ПК1. (Для добавления в таблицу MAC-адресов)
– Не будет ошибки о действии защиты.
– Мы проверим таблицу MAC, чтобы там не было PC4.

Теперь давайте настроим все эти шаги один за другим.

Безопасность портов с функцией Protect Action Shutdown

Вначале к концентратору будут подключены только два ПК.

Здесь, во-первых, мы включим Port Security для интерфейса GigabitEthernet0/0/1. Затем мы установим действие защиты как «Завершение работы». После этого мы установим максимально допустимое количество MAC-адресов в этом порту. Наконец, мы включим динамическое изучение MAC-адресов на интерфейсе с ключевым словом «sticky» для этого примера конфигурации безопасности портов Huawei.

system-view
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] порт -security protect-action shutdown
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 3
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

Теперь давайте проверим наш интерфейс GigabitEthernet0/0/1 с помощью команды «display interface Brief».

краткое описание интерфейса отображения
PHY: физический
*down: административно отключен
(l): loopback
(s): спуфинг
(b): BFD down
(e): ETHOAM не работает
(dl): DLDP не работает
(d): демпфирование подавлено
InUti/OutUti: утилита ввода/вывода
Протокол интерфейса PHY InUti OutUti inErrors outErrors
GigabitEthernet0/0/1 вверх вверх 0% 0% 0 0
GigabitEthernet0/0/2 *вниз вниз 0% 0% 0 0
GigabitEthernet0/0/3 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/4 отключено 0% 0% 0 0
GigabitEthernet0/0/5 отключено 0% 0% 0 0
GigabitEthernet0/0/6 отключено вниз 0% 0% 0 0
GigabitEthernet0/0/7 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/8 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/9 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/10 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/11 вниз вниз 0% 0% 0 0
GigabitEthernet0/0/ 12 вниз вниз 0% 0% 0 0
….

Затем мы отправим пинг с ПК1 на ПК2. С помощью этого эхо-запроса MAC-адреса этих двух ПК будут записаны в таблицу MAC-адресов коммутатора.

Мы можем проверить таблицу MAC-адресов коммутатора с помощью команды «display mac-address».

отобразить mac-адрес
Таблица MAC-адресов слота 0:
————————————————————————— < br />MAC-адрес VLAN/ PEVLAN CEVLAN Тип порта LSP/LSR-ID
VSI/SI MAC-туннель
——————————————————— ——————-
5489-988a-1211 1 – – GE0/0/1 липкий –
5489-987d-46bb 1 – – GE0/0/1 липкий –
— ————————————————————————-
Всего отображаемых совпадающих элементов в слоте 0 = 2

Как видно выше, MAC-адреса этих двух подключенных компьютеров находятся в таблице MAC-адресов коммутатора.

Теперь давайте подключим третий компьютер, PC3, к коммутатору. После этого подключения, когда мы отправим пинг с ПК3 на ПК1, MAC-адрес ПК3 будет записан в таблицу MAC-адресов коммутатора. Потому что максимально допустимый MAC-адрес для безопасности портов на этом порту равен 3, и тем не менее он не нарушается.

Теперь пора действовать! Подключим PC4 к выключателю. После подключения ПК4 к коммутатору, когда мы отправим пинг с ПК4 на один из других ПК, например ПК1, наш порт выйдет из строя. Это связано с тем, что максимально допустимый номер MAC-адреса для безопасности портов равен 3, а с четвертым ПК он нарушается. И наше действие по нарушению — «Выключение». Другими словами, мы говорим о переключении, «если более 3 MAC-адресов пытаются подключиться к этому порту, отключайтесь!»

И на экране переключения мы увидим приведенную ниже ошибку нарушения для этого случая. Эта ошибка говорит о том, что порт вышел из строя из-за нарушения безопасности порта.

7 апреля 2019 г. 17:03:43-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1
.2011.5.25.42.2.1.7.6 Количество MAC-адресов на интерфейсе (6/ 6) GigabitEthern
et0/0/1 достигает предела, и состояние порта: 3. (1:restrict;2:protect;3:s
hutdown)
7 апреля 2019 г. 17 :03:43-08:00 Huawei %%01PHY/1/PHY(l)[57]: GigabitEthernet0/0/1:
изменить статус на нерабочий
7 апреля 2019 г. 17:03:43- 08:00 Huawei %%01IFNET/4/IF_STATE(l)[58]:Интерфейс Vlanif1
перешел в состояние DOWN.

И в таблице MAC-адресов коммутатора будет отметка о PC4. Он не записывается в таблицу MAC-адресов коммутатора.

Как запретить неавторизованным пользователям подключать свои ПК к корпоративной сети? Как запретить сотрудникам подключать несанкционированные устройства к локальной сети или перемещать свои компьютеры без разрешения?

Безопасность портов — это функция уровня 2, которую можно включить на интерфейсе, чтобы предотвратить доступ устройств с ненадежным MAC-адресом к интерфейсу коммутатора. Когда этот параметр включен, MAC-адрес устройства, подключенного к порту, динамически запоминается коммутатором и сохраняется в памяти (по умолчанию он не устаревает). Только этот MAC-адрес может пересылать трафик через порт коммутатора (по умолчанию разрешен только один доверенный MAC-адрес). Каждый другой MAC-адрес приведет к тому, что порт перейдет в одно из следующих состояний:

• Защитить — пакеты, поступающие с ненадежного MAC-адреса, будут отброшены.
• Ограничить — пакеты, поступающие с ненадежного MAC-адреса, будут отбрасываться, и будет генерироваться сообщение-ловушка SNMP (поведение по умолчанию),
• Shutdown — порт будет переведен в состояние отключения.

Давайте настроим функцию port security на порту коммутатора и посмотрим, как она работает.

Сгенерируйте некоторый трафик с вашего ПК, чтобы коммутатор мог узнать MAC-адрес ПК. Как видите, MAC-адрес моего ПК aabb-ccdd-eeff был получен динамически и назначен порту GigabitEthernet 0/0/1.

Давайте посмотрим, что произойдет, если к одному и тому же порту будут подключены разные ПК с разными MAC-адресами.

Весь трафик, поступающий с разных компьютеров, отбрасывается коммутатором. Порт GigabitEthernet 0/0/1 изменил свой статус на restrict, только MAC-адрес aabb-ccdd-eeff может отправлять трафик через этот порт. Весь остальной трафик будет отброшен, и будет сгенерировано сообщение SNMP.

Если мы хотим, чтобы наш порт перешел в состояние, отличное от состояния ограничения по умолчанию, мы можем использовать следующие параметры:

Важно отметить, что этот защищенный MAC-адрес, полученный коммутатором динамически, хранится в памяти коммутатора и не устареет, но в случае перезагрузки коммутатора исчезнет из памяти. Чтобы избежать этого, можно настроить закрепление MAC-адреса. Эта опция указывает нашему коммутатору сохранить этот MAC-адрес в файле конфигурации.

Закрепленный MAC-адрес имеет возможность определить MAC-адрес вручную. Эту опцию можно использовать в том случае, если ПК фактически не подключен к порту коммутатора и его MAC-адрес нельзя узнать динамически:

Если мы хотим определить более одного безопасного MAC-адреса (это поведение по умолчанию), мы можем использовать следующую команду:

Теперь я могу добавить второй безопасный MAC-адрес:

Последний параметр функции Безопасность портов – время устаревания. По умолчанию каждый MAC-адрес, полученный динамически и сохраненный в памяти коммутатора как безопасный MAC-адрес, не устареет. Это поведение по умолчанию можно изменить и установить время устаревания с помощью следующей команды.

Читайте также:

  
• Обновите WhatsApp на Huawei в галерее приложений
  
• Как настроить карту памяти в телефоне Honor
  
• Обзор базуки Msi mag b560m
  
• Hp prodesk 600 не включается
  
• Обзор Lenovo Preferred Pro II