銳捷端口安全技術(shù)白皮書 銳捷網(wǎng)絡(luò) 網(wǎng)絡(luò)解決方案第一品牌公司

銳捷端口安全技術(shù)白皮書摘要端口安全是一種基于二層地址或三層地址對網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制，因此安全地址可以是僅MAC的，僅IP的，也可以是IP+MAC的。在端口打開端口安全功能后,該端口除了源地址為安全地址之外的報(bào)文都不允許通過。安全地址可以動(dòng)態(tài)學(xué)習(xí)，也可以靜態(tài)配置，同時(shí)，還可以限制端口的最大安全地址個(gè)數(shù)，以及配置安全地址的老化功能。當(dāng)安全端口的安全地址達(dá)到最大限制數(shù)之后，如果該端口還收到一個(gè)非安全地址報(bào)文時(shí)，則安全端口會(huì)產(chǎn)生違例事件，違例的處理模式有三種，分別為：Protect:：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄非安全地址的所有報(bào)文；Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知；Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。本技術(shù)白皮書針對我司所有交換機(jī)設(shè)備的端口安全進(jìn)行說明，包括S20系列，S21系列，S23系列，S26系列，S29系列，S32系列，S3750系列，S3760系列，S5750系列，S5760系列，S76系列，S86系列以及S96系列。關(guān)鍵詞端口安全安全地址安全端口違例技術(shù)白皮書修訂記錄日期修訂版本修改章節(jié)修改描述作者2001.00目錄摘要1關(guān)鍵詞11縮略語22概述32.1端口安全的提出32.2我們的現(xiàn)狀32.3端口安全的術(shù)語概述4安全端口4安全地址42.4產(chǎn)品支持43技術(shù)介紹43.1原理4二層安全地址5三層安全地址74銳捷端口安全技術(shù)特點(diǎn)84.1各款交換機(jī)的安全地址參數(shù)比較84.2實(shí)時(shí)響應(yīng)，生效迅速，性能穩(wěn)定94.3端口安全功能限制94.4方便易用的端口安全104.5其他注意事項(xiàng)12端口安全的默認(rèn)配置12信息的提示12容量計(jì)算12端口安全與其他安全功能的關(guān)系144.6典型應(yīng)用165結(jié)束語17縮略語防網(wǎng)關(guān)arp欺騙：端口上檢查arp報(bào)文的源ip是否是配置的網(wǎng)關(guān)ip，如果是，則將該報(bào)文丟棄，防止非法用戶冒充網(wǎng)關(guān)進(jìn)行ARP欺騙。過濾地址：用戶配置需過濾的MAC地址，如果收到的報(bào)文二層MAC地址與該MAC地址匹配，則該報(bào)文被過濾掉。靜態(tài)地址：靜態(tài)綁定到端口的MAC。如果收到該MAC的報(bào)文，則直接轉(zhuǎn)發(fā)到綁定端口。ACLs：即接入控制列表(AccessControlLists)，俗稱為防火墻，在有的文檔中還稱之為包過濾。ACLs通過定義一些規(guī)則對網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)報(bào)文進(jìn)行控制：允許通過或丟棄。按照其使用的范圍，可以分為安全ACLs和QoSACLs。安全通道：安全通道也是一個(gè)訪問控制鏈表，安全通道可以基于全局安裝和接口安裝，它與一般ACL的不同體現(xiàn)在優(yōu)先級上，安全通道的優(yōu)先級比端口安全，802.1X和安全ACL高，即進(jìn)入交換機(jī)的報(bào)文如果匹配上了安全通道的ACL表項(xiàng)就允許通過了，而不再匹配802.1X，安全ACL和端口安全的條件；如果報(bào)文流不匹配安全通道的ACL表項(xiàng)，則再去匹配端口安全、802.1X和安全ACL的條件。PBR：即策略路由，是一種比基于目標(biāo)網(wǎng)絡(luò)進(jìn)行路由更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。應(yīng)用了策略路由，設(shè)備將通過路由圖決定如何對需要路由的數(shù)據(jù)包進(jìn)行處理，路由圖決定了一個(gè)數(shù)據(jù)包的下一跳轉(zhuǎn)發(fā)設(shè)備。DOT1X：即符合IEEE802

1x標(biāo)準(zhǔn)，是一種基于端口的網(wǎng)絡(luò)存取控制標(biāo)準(zhǔn)，為LAN提供點(diǎn)對點(diǎn)式的安全接入。DHCPsnooping：DHCPSnooping就是DHCP窺探，通過對Client和服務(wù)器之間的DHCP交互報(bào)文進(jìn)行窺探，實(shí)現(xiàn)對用戶的監(jiān)控，同時(shí)DHCPSnooping起到一個(gè)DHCP報(bào)文過濾的功能，通過合理的配置實(shí)現(xiàn)對非法服務(wù)器的過濾。GSN：即銳捷全局安全方案，由四個(gè)元素組成，包括銳捷安全策略管理平臺(tái)（RGSecuritypolicyManagementPlatform）；銳捷安全客戶端（RGSecurityAgent）；銳捷安全修復(fù)系統(tǒng)（RGRestoreSystem）；銳捷安全設(shè)備（RGSecuritySwitch）。概述端口安全的提出端口安全是在交換機(jī)內(nèi)建立MAC，IP，或MAC+IP與端口的對應(yīng)關(guān)系表，用以對該端口收到的報(bào)文進(jìn)行控制。當(dāng)該端口收到符合對應(yīng)關(guān)系的報(bào)文時(shí)，進(jìn)行正常轉(zhuǎn)發(fā)，當(dāng)收到的不符合該對應(yīng)關(guān)系的報(bào)文則丟棄，通過在端口綁定地址的方法來限制端口的接入訪問。端口安全可實(shí)現(xiàn)基于二層和三層的接入控制。二層的端口安全即把MAC地址與端口進(jìn)行綁定，三層的端口安全既可把IP與端口綁定，也可把IP和MAC與端口進(jìn)行綁定。這樣，對于交換機(jī)端口下接的計(jì)算機(jī)，只有地址被綁定到端口的計(jì)算機(jī)才能訪問網(wǎng)絡(luò)，其他的都會(huì)被視為非法。二層端口安全能對非法用戶做出相應(yīng)的對策，可以向管理員發(fā)送通告，也可以斷開端口。我們的現(xiàn)狀根據(jù)目前市場需求，并結(jié)合我司設(shè)備的主要應(yīng)用領(lǐng)域及硬件特性，我司設(shè)備支持的端口安全情況為：S20系列僅支持二層端口安全，其他交換機(jī)系列既支持二層端口安全，也支持三層端口安全。通過端口安全來控制接入用戶的訪問，保證合法用戶數(shù)據(jù)的有效轉(zhuǎn)發(fā)，限制和隔離非法用戶，最大程度保障網(wǎng)絡(luò)安全。端口安全綁定地址的方式有靜態(tài)綁定和動(dòng)態(tài)綁定兩種，兩種方式下都可以配置最大的安全地址限制個(gè)數(shù)。靜態(tài)綁定方式在接口配置模式下通過手工命令添加安全地址，配置的方式可以是二層安全地址和三層安全地址。動(dòng)態(tài)綁定方式只在二層端口安全支持。當(dāng)一個(gè)端口配置的最大安全地址個(gè)數(shù)為1時(shí)，則合法用戶可以獨(dú)立占用該端口的全部帶寬。對于所有的安全地址，可以配置安全地址的老化功能，當(dāng)安全地址達(dá)到老化時(shí)間后，安全地址將會(huì)老化掉，并可以重新進(jìn)行學(xué)習(xí)或配置。當(dāng)端口的安全地址達(dá)到最大安全地址個(gè)數(shù)時(shí)，如果該端口這時(shí)再收到一個(gè)非安全地址的報(bào)文，則端口產(chǎn)生一個(gè)違例，我司設(shè)備對違例的處理有以下三種模式：(1)protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址的任何一個(gè)）的報(bào)文。該處理模式為默認(rèn)的對違例的處理模式。(2)restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。(3)shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。端口安全的術(shù)語概述安全端口配置了端口安全功能的端口稱之為安全端口，目前我司設(shè)備只有access端口支持端口安全，并且不能是鏡像的目的端口。安全地址在安全端口上綁定的地址為安全地址，安全地址可以是二層地址，即MAC地址，也可以是三層地址，即IP或IP+MAC。產(chǎn)品支持我司交換機(jī)系列中，S20系列只支持二層端口安全，其他產(chǎn)品，包括S21系列，S23系列，S26系列，S29系列，S32系列，S3750系列，S5750系列，S3760系列，S5760系列，S76系列，S86系列，S96系列，既支持二層端口安全，也支持三層端口安全。技術(shù)介紹原理從上面的介始可以看出，端口安全是一種基于二層或三層地址進(jìn)行接入控制的安全機(jī)制，具備限制端口用戶數(shù)，轉(zhuǎn)發(fā)合法用戶報(bào)文，隔離非法用戶報(bào)文的作用。圖1如上圖，端口收到數(shù)據(jù)流時(shí)，會(huì)對數(shù)據(jù)的報(bào)文地址進(jìn)行解析，當(dāng)發(fā)現(xiàn)地址已經(jīng)是該端口綁定的安全地址時(shí)，則認(rèn)為是合法用戶，報(bào)文正常轉(zhuǎn)發(fā)。當(dāng)發(fā)現(xiàn)地址不在綁定列表中時(shí)，這時(shí)會(huì)根據(jù)不同配置進(jìn)行操作。如果綁定地址中存在三層安全地址，則報(bào)文為非法報(bào)文，丟棄；如果端口只存在二層安全地址，還需要檢查是否已經(jīng)達(dá)到配置的最大限制數(shù)，如果未達(dá)到，則交換機(jī)自動(dòng)進(jìn)行動(dòng)態(tài)地址綁定，即把該報(bào)文地址與端口進(jìn)行綁定，變?yōu)槎影踩刂?；如果已?jīng)達(dá)到配置的最大限制數(shù)，則該報(bào)文為非法報(bào)文，丟棄，并會(huì)根據(jù)違例處理模式進(jìn)行相應(yīng)的違例警告。二層安全地址二層安全地址也即基于MAC的安全地址，是在端口只綁定MAC的方式。綁定方式分為靜態(tài)綁定與動(dòng)態(tài)綁定。靜態(tài)綁定也即通過命令配置綁定，動(dòng)態(tài)綁定即端口自動(dòng)解析報(bào)文進(jìn)行綁定。對于只綁定二層安全地址的端口，交換機(jī)可以動(dòng)態(tài)進(jìn)行綁定。對于端口收到的報(bào)文，則先解析報(bào)文的二層地址，如果源地址在安全地址列表中，則認(rèn)為是合法報(bào)文，如果不在安全地址列表，檢查已經(jīng)綁定的二層安全地址個(gè)數(shù)是否達(dá)到限制，如果未達(dá)到限制，則把該地址在端口進(jìn)行動(dòng)態(tài)綁定，變?yōu)樵摱丝诘亩影踩刂?；如果已?jīng)達(dá)到限制，認(rèn)為發(fā)現(xiàn)非法報(bào)文，進(jìn)行違例處理。同時(shí)對于只綁定二層安全地址的端口，可以配置安全地址老化。因此對于已經(jīng)綁定的二層安全地址，不論是靜態(tài)綁定還是動(dòng)態(tài)綁定，都需要檢查是否到達(dá)老化時(shí)間。如果安全地址到達(dá)老化時(shí)間，則需要進(jìn)行老化處理，即解除該地址綁定，如果已經(jīng)發(fā)生了違例處理，則還需對違例進(jìn)行恢復(fù)。靜態(tài)綁定靜態(tài)綁定也即手工命令進(jìn)行綁定。如先在端口打開端口安全，配置允許最大安全地址個(gè)數(shù)為1，并且把地址0000.0000.0001配置為安全地址，添加到該端口的安全地址列表中，與該端口進(jìn)行綁定，端口的安全地址計(jì)數(shù)加1。當(dāng)端口收到源地址為0000.0000.0001的報(bào)文時(shí)，在端口的安全地址列表中可以查詢到該地址，因而判斷為安全地址，報(bào)文正常轉(zhuǎn)發(fā)，端口安全邏輯結(jié)束。當(dāng)收到其他地址的報(bào)文時(shí)，交換機(jī)先在安全地址列表中查詢，沒有查到后再繼續(xù)判斷綁定的安全地址是否已經(jīng)達(dá)到最大允許個(gè)數(shù)，此處已經(jīng)達(dá)到最大個(gè)數(shù)1，因此端口安全邏輯認(rèn)為該地址為非法地址，丟棄，并通告產(chǎn)生違例事件。對于配置了靜態(tài)安全地址老化功能的安全端口，配置了安全地址后便開始對該地址計(jì)時(shí)，當(dāng)計(jì)時(shí)到達(dá)時(shí)，該安全地址被老化，從端口的安全地址列表中刪除，解除與該端口的綁定，端口的安全地址計(jì)數(shù)減1。如果之前安全端口已經(jīng)產(chǎn)生違例，并且安全地址個(gè)數(shù)已經(jīng)小于了配置的最大安全地址允許個(gè)數(shù)，則對之前產(chǎn)生的違例進(jìn)行恢復(fù)。動(dòng)態(tài)綁定動(dòng)態(tài)綁定是讓交換機(jī)自動(dòng)學(xué)習(xí)地址，并把學(xué)習(xí)到的地址轉(zhuǎn)化為安全地址的方式。對于上述靜態(tài)綁定的例子，修改最大安全地址個(gè)數(shù)為2，且已綁定0000.0000.0001靜態(tài)安全地址。當(dāng)該端口收到地址為0000.0000.0002的報(bào)文時(shí)，交換機(jī)在安全地址列表中查找失敗，檢查最大允許個(gè)數(shù)后發(fā)現(xiàn)沒有達(dá)到，交換機(jī)便自動(dòng)把該地址添加到安全地址列表，端口的安全地址個(gè)數(shù)加1。這時(shí)候端口安全邏輯便完成了動(dòng)態(tài)安全地址的綁定。綁定之后的邏輯與靜態(tài)綁定相同，這里不再贅述。三層安全地址三層安全地址有只綁定IP和綁定IP+MAC兩種方式，并且只支持靜態(tài)綁定，不能動(dòng)態(tài)學(xué)習(xí)綁定。對于靜態(tài)綁定的三層安全地址，也支持老化時(shí)間的設(shè)置。當(dāng)三層安全端口收到報(bào)文時(shí)，需要解析二層地址和三層地址。只有已經(jīng)綁定地址的報(bào)文才是合法報(bào)文，否則認(rèn)為是非法報(bào)文，丟棄，但不能產(chǎn)生違例通告。對于三層安全地址，也進(jìn)行老化檢測。對于已經(jīng)綁定的地址，當(dāng)?shù)竭_(dá)老化時(shí)間時(shí)，也會(huì)被老化掉，解除綁定。IP報(bào)文和ARP報(bào)文都有攜帶三層地址信息，當(dāng)端口的arpcheck功能（即對ARP報(bào)文進(jìn)行過濾檢測）打開時(shí)，則對于ARP報(bào)文也會(huì)進(jìn)行安全地址解析，并且只有匹配綁定地址的報(bào)文才認(rèn)為是合法報(bào)文，否則認(rèn)為是非法報(bào)文，丟棄。同樣安全地址也支持對IPV6報(bào)文進(jìn)行檢測，因此，端口安全對于IPV6報(bào)文同樣生效。IPV6的配置模式主要有三種，寬松模式(loose)，兼容模式(compatible)以及嚴(yán)格模式(strict)。寬松模式：寬松模式下不限制IPV6報(bào)文，這種模式下不會(huì)對IPV6報(bào)文進(jìn)行安全地址檢測，即安全地址對于IPV6報(bào)文不生效。兼容模式：兼容模式下表示端口安全與IPV6保持兼容，即端口對于收到的IPV6報(bào)文也會(huì)進(jìn)行安全地址檢測，如果是合法報(bào)文則轉(zhuǎn)發(fā)，否則丟棄。嚴(yán)格模式：嚴(yán)格模式下限制任何IPV6報(bào)文，即安全端口不管有沒有綁定地址都認(rèn)為IPV6報(bào)文是非法報(bào)文，丟棄。例如在安全端口配置IP為192.168.193.83，MAC為0000.0000.0001的安全地址，并且在該端口打開arpcheck，配置當(dāng)前的IPV6模式為兼容模式，這時(shí)候交換機(jī)會(huì)把該地址添加到該端口的安全地址列表，綁定到該端口，綁定的安全地址對于IP報(bào)文，ARP報(bào)文，IPV6報(bào)文都生效，端口的安全地址個(gè)數(shù)加1。當(dāng)端口收到IP或ARP報(bào)文時(shí)，提取報(bào)文的IP地址和MAC地址，如果在安全地址列表中找到匹配表項(xiàng)，則為合法報(bào)文，正常轉(zhuǎn)發(fā)，否則被丟棄；對于IPV6報(bào)文，只需提取報(bào)文的MAC地址，當(dāng)MAC地址與安全地址列表中的MAC匹配時(shí)，即認(rèn)為是合法報(bào)文，否則被丟棄。由于三層端口安全不存在動(dòng)態(tài)學(xué)習(xí)的方式，因此對于收到報(bào)文后只需判斷是否合法，無法去判斷是否已經(jīng)達(dá)到最大安全地址個(gè)數(shù)，因此不能產(chǎn)生違例通告。銳捷端口安全技術(shù)特點(diǎn)在銳捷交換機(jī)中，由于各種設(shè)備的硬件不同，因此端口安全容量也不盡相同，但都具有實(shí)時(shí)響應(yīng)，功能齊全的特性，能最大程度保證網(wǎng)絡(luò)安全。各款交換機(jī)的安全地址參數(shù)比較指標(biāo)參數(shù)比較表涵蓋的產(chǎn)品S2126G、S2150GS2026G、S2052G、S2338G、S2352GS2628G、S2652GS3250-24、S3250P-24、S3250-48S3750-48、S3750-24、S3750E-24S5750-24SFP/12GT、S5750-24GT/12SFP、S5750-48GT/4SFP、S5750S-24GT/12SFP、S5750S-48GT/4SFP、S5750P-24GT/12SFP二層端口安全支持支持支持支持支持支持三層端口安全支持S20不支持，S23支持支持支持支持支持動(dòng)態(tài)學(xué)習(xí)只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址老化功能支持支持支持支持支持支持支持的端口Access端口Access端口Access端口Access端口Access端口Access端口違例處理支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown指標(biāo)參數(shù)比較表（cont.）涵蓋的產(chǎn)品S2924S292S2951GS3760-12S3760-24S3760-51S5760-24S5760-48S7604S7606S7610S8606S8610S9610S9620二層端口安全支持支持支持支持支持支持三層端口安全支持支持支持支持支持支持動(dòng)態(tài)學(xué)習(xí)只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址只支持二層安全地址老化功能支持支持支持支持支持支持支持的端口Access端口Access端口Access端口Access端口Access端口Access端口違例處理支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown實(shí)時(shí)響應(yīng)，生效迅速，性能穩(wěn)定因?yàn)槎丝诎踩捎布?shí)現(xiàn)，因此生效時(shí)間快，能及時(shí)響應(yīng)，達(dá)到迅速限制與隔離非法用戶，同時(shí)任何時(shí)候能保證合法用戶報(bào)文的快速穩(wěn)定轉(zhuǎn)發(fā)，而且支持ARP,IPV6報(bào)文的檢測，保證網(wǎng)絡(luò)接入的全面安全。端口安全功能限制配置端口安全時(shí)有如下一些限制：安全端口不能是一個(gè)AggregatePort，鏡像的目的端口，trunkport，或三層端口，而只能是一個(gè)AccessPort。802.1x認(rèn)證功能和端口安全功能互斥使能。802.1x認(rèn)證功能和端口安全功能都可以保證網(wǎng)絡(luò)使用者的合法性，使能其一就可以達(dá)到控制端口接入的目的。三層安全地址與ACLs共享系統(tǒng)的硬件資源，因此當(dāng)安全端口上應(yīng)用了ACLs時(shí)，則該端口上所能設(shè)置的三層安全地址個(gè)數(shù)將會(huì)減少。要求一個(gè)安全端口上的安全地址的格式保持一致，即一個(gè)端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是不綁定IP地址的安全地址，也就是一個(gè)安全端口只能配置成二層安全端口或三層安全端口。如果一個(gè)安全端口同時(shí)包含這兩種格式的安全地址，則不綁定IP地址的安全地址將失效(綁定IP地址的安全地址優(yōu)先級更高)。例如端口下首先配置二層安全地址MAC=0000.0000.0001,然后再配置三層安全地址IP=192.168.193.83,MAC=0000.0000.0002,這時(shí)二層安全地址不生效，即目前的安全地址列表中只存在三層安全地址。則這時(shí)如果收到MAC=0000.0000.0001報(bào)文，交換機(jī)也會(huì)認(rèn)為是非法報(bào)文，丟棄。方便易用的端口安全配置端口安全比較方便，可以通過命令配置靜態(tài)地址，動(dòng)態(tài)地址的老化時(shí)間，最大安全地址個(gè)數(shù)等，如下：（1）打開端口安全Ruijie(config-if)#switchportport-security通地該命令，就可以在端口上打開端口安全。（2）配置最大安全地址個(gè)數(shù)Ruijie(config-if)#switchportport-securitymaximumvalue該命令中，可配置的安全地址個(gè)數(shù)范圍為1-1000，其中默認(rèn)值為128。（3）配置違例處理模式Ruijie(config-if)#switchportport-securityviolation{protect|restrict|shutdown}可配置三種違例處理模式。（4）配置安全地址Ruijie(config-if)#switchportport-securitymac-addressmac-address[ip-addressip-address]可配置的方式有僅MAC，僅IP，或者IP+MAC。（5）配置安全地址的老化時(shí)間Ruijie(config-if)#switchportport-securityaging{static|timetime}該命令中，可設(shè)置的時(shí)間范圍為：0-1440分鐘，如果加上static，則對于手工配置的靜態(tài)安全地址，該老化功能也生效。（6）查看端口安全信息Ruijie#showport-securityinterfacegigabitethernet0/3Interface:Gi0/3PortSecurity:EnabledPortstatus:downViolationmode:ShutdownMaximumMACAddresses:8TotalMACAddresses:0ConfiguredMACAddresses:0Agingtime:8minsSecureStaticaddressaging:Enabled以上命令顯示端口安全的配置。Ruijie#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)100d0.f800.073c192.168.12.202ConfiguredGi0/38100d0.f800.3cc9192.168.12.5ConfiguredGi0/17以上命令顯示系統(tǒng)中所有的安全地址。Ruijie#showport-securitySecurePortMaxSecureAddr(count)CurrentAddr(count)SecurityActionGi0/11281RestrictGi0/21280RestrictGi0/381Protect以上命令顯示端口安全的統(tǒng)計(jì)信息。其他注意事項(xiàng)端口安全的默認(rèn)配置以下是端口安全的默認(rèn)配置：內(nèi)容缺省設(shè)置端口安全開關(guān)所有端口均關(guān)閉端口安全功能最大安全地址個(gè)數(shù)128安全地址無違例處理方式保護(hù)(protect)Trap信息的提示對于二層端口安全，只有在首次端口違例產(chǎn)生時(shí)才會(huì)發(fā)出trap及l(fā)og信息。而對于三層端口安全，由于對于非法報(bào)文直接丟棄，因此無法產(chǎn)生違例及trap信息。容量計(jì)算銳捷交換機(jī)每款產(chǎn)品采用的芯片不同，因此硬件支持的地址綁定個(gè)數(shù)也不同。對于二層端口安全，支持的二層安全地址最大容量都是1000。而三層端口安全各款產(chǎn)品都不相同。同時(shí)對于arpcheck功能的打開與關(guān)閉，及IPV6模式的不同，對于容量也是有影響的，下面進(jìn)行對比說明。以下參數(shù)只是在無其他任何配置下的整機(jī)最大容量，由于其他ACLs共用硬件表項(xiàng)，因此其他應(yīng)用配置時(shí)會(huì)影響有效的端口安全地址綁定個(gè)數(shù)，S20系列只支持二層端口安全，因此在表中不例出。說明：（1）下表中，arpcheck=on，表示該端口打開arpcheck功能，arpcheck=off，則表示arpcheck功能關(guān)閉。同樣，ipv6=loose，則表示IPV6模式配置為loose模式，ipv6=compatible，表示IPV6模式配置為compatible模式，ipv6=strict，表示IPV6配置模式為strict模式。中間的“&&”符號則表示并且的關(guān)系。如Arpcheck=on&&ipv6=loose，則表示arpcheck功能打開，并且IPV6配置模式為loose模式。（2）對于S21系列，S32系列和S37系列，容量按百兆口和千兆口區(qū)分。對于千兆口容量是基于端口計(jì)算的，而百兆口按8個(gè)端口劃分，如端口1-8為一組，端口9-16為一組，依此類推，因此對于百兆端口容量是基于8個(gè)端口計(jì)算的。因此該系列交換機(jī)的整機(jī)容量計(jì)算方法為：千兆端口容量值乘以千兆端口個(gè)數(shù)然后再加上百兆端口容量值乘以百兆端口的組數(shù)。例如對于S3250-24，千兆端口個(gè)數(shù)為2，百兆端口組數(shù)為3，則在arpcheck功能關(guān)閉且IPV6模式為loose時(shí)，整機(jī)容量值計(jì)算為：121*2+249*3=989。（3）對于S29系列，S3760系列和S5760系列，容量值還與安全端口個(gè)數(shù)，arpcheck功能以及IPV6模式有關(guān)。表中的數(shù)據(jù)是僅有一個(gè)安全端口時(shí)的最大容量，因此實(shí)際中如果存在多個(gè)安全端口，容量的計(jì)算方法如下：（A-（a+b+1）*（安全端口數(shù)–1））/（a+c+1）；（說明：值A(chǔ)對于S29系列及S5760系列為500，對于S3760系列為1000；當(dāng)arpcheck=on時(shí)，a=1，否則a=0；當(dāng)ipv6=compatible或ipv6=strict時(shí)，b=1，否則b=0；當(dāng)ipv6=compatible時(shí)，c=1,否則c=0）。例如對于S5760-24，當(dāng)存在24個(gè)安全端口，且在arpcheck功能關(guān)閉，IPV6模式為loose時(shí)，整機(jī)的容量值計(jì)算方法為：（500–(0+0+1)*（24-1））/(0+0+1)=476；當(dāng)arpcheck功能打開，IPV6模式為compatible時(shí)，整機(jī)的容量值計(jì)算方法為：（500–(1+1+1)*（24-1））/(1+1+1)=143。（4）對于S29系列中的S2951G，S3760系列中的S3760-51，S5750系列中的S5750-48GT/4SFP和S5750S-48GT/4SFP，S5760系列中的S5760-48設(shè)備，由于硬件的擴(kuò)展，因此容量也有所擴(kuò)展。對于這幾款設(shè)備，實(shí)際容量值是表中數(shù)據(jù)的兩倍。容量參數(shù)比較表涵蓋的產(chǎn)品S2126GS2150GS2338GS2352GS2628GS2652GS3250-24S3250P-24S3250-48S3750-48S3750-24S3750E-24S5750-24SFP/12GTS5750-24GT/12SFPS5750-48GT/4SFPS5750S-24GT/12SFPS5750S-48GT/4SFPS5750P-24GT/12SFPArpcheck=off&&ipv6=loose百兆口：249千兆口：121127766百兆口：249千兆口：121百兆口：249千兆口：121前三款：1532后三款：766Arpcheck=off&&ipv6=compatible百兆口：124千兆口：6063382百兆口：124千兆口：60百兆口：124千兆口：60前三款：764后三款：382Arpcheck=off&&ipv6=strict百兆口：248千兆口：120126765百兆口：248千兆口：120百兆口：248千兆口：120前三款：1530后三款：765Arpcheck=on&&ipv6=loose百兆口：124千兆口：60126382百兆口：124千兆口：60百兆口：124千兆口：60前三款：764后三款：382Arpcheck=on&&ipv6=compatible百兆口：82千兆口：3963255百兆口：82千兆口：39百兆口：82千兆口：39前三款：510后三款：255Arpcheck=on&&ipv6=strict百兆口：123千兆口：59126382百兆口：123千兆口：59百兆口：123千兆口：59前三款：764后三款：382容量參數(shù)比較表（cont.）涵蓋的產(chǎn)品S2924S292S2951GS3760-12S3760-24S3760-51S5760-24S5760-48S7604S7606S7610S8606S8610S9610S9620Arpcheck=off&&ipv6=loose500100050076617911791Arpcheck=off&&ipv6=compatible250500250382895895Arpcheck=off&&ipv6=strict500100050076517911791Arpcheck=on&&ipv6=loose250500250382895895Arpcheck=on&&ipv6=compatible166333166255596596Arpcheck=on&&ipv6=strict250333250382895895端口安全與其他安全功能的關(guān)系端口安全與其他安全功能共用時(shí)，存在優(yōu)先級，兼容以及互斥關(guān)系，下面優(yōu)先級說明是針對兩者同時(shí)匹配時(shí)產(chǎn)生的優(yōu)先級關(guān)系，列表如下：防網(wǎng)關(guān)arp欺騙絕對優(yōu)先防網(wǎng)關(guān)arp欺騙的優(yōu)先級比端口安全高，兩者同時(shí)匹配時(shí)，防網(wǎng)關(guān)arp欺騙生效，端口安全不生效。過濾地址（MAC）絕對優(yōu)先過濾地址的優(yōu)先級比端口安全高，兩者同時(shí)匹配時(shí)，過濾地址生效，端口安全不生效。靜態(tài)地址（MAC）絕對優(yōu)先靜態(tài)地址的優(yōu)先級比端口安全高，兩者同時(shí)匹配時(shí)，靜態(tài)地址生效，端口安全不生效。如果非安全地址為靜態(tài)地址，則端口安全不生效，直接轉(zhuǎn)發(fā)。安全通道絕對優(yōu)先安全通道優(yōu)先級比端口安全高，兩者同時(shí)匹配時(shí)，安全通道生效，端口安全不生效。安全通道與二層端口安全功能互斥，當(dāng)打開全局安全通道或在安全端口打開安全通道時(shí)，該端口的二層端口安全功能將失效安全acl絕對次后安全ACL優(yōu)先級比三層端口安全低，兩者同時(shí)匹配時(shí)，安全ACL不生效，端口安全生效。安全ACL與二層端口安全同時(shí)生效，兩者都匹配時(shí)，同時(shí)生效，但如果兩者執(zhí)行動(dòng)作沖突時(shí)，安全ACL生效。QoSacl同時(shí)生效兩者匹配域存在交集時(shí)，同時(shí)生效，即端口安全允許的報(bào)文如果也匹配QOSACL，則報(bào)文會(huì)被QOS限速。PBR同時(shí)生效兩者匹配域存在交集時(shí)，同時(shí)生效，即