交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯誤校驗、幀序列以及流控。交換機(jī)還具備了一些新的功能，如對VLAN(虛擬局域網(wǎng))的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能。其中配置基于端口的安全模式經(jīng)常會用到，也很重要，不僅Cisco交換機(jī)如此，H3C交換機(jī)也有類似的功能，而且看起來功能更加強(qiáng)大。

　　在H3C以太網(wǎng)交換機(jī)中可配置的端口安全模式及各自的工作原理如下。

　　1. autoLearn模式與secure模式

　　在autoLearn(自動學(xué)習(xí))端口安全模式下，可通過手工配置，或動態(tài)學(xué)習(xí)MAC地址，此時得到的MAC地址稱為Secure MAC(安全MAC地址)。在這種模式下，只有源MAC為Secure MAC的報文才能通過該端口;但在端口下的Secure MAC地址表項數(shù)超過端口允許學(xué)習(xí)的最大安全MAC地址數(shù)后，該端口也不會再添加新的Secure MAC，并且端口會自動轉(zhuǎn)變?yōu)镾ecure模式。

　　如果直接將端口安全模式設(shè)置為Secure模式，則將立即禁止端口學(xué)習(xí)新的MAC地址，只有源MAC地址是原來已在交換機(jī)上靜態(tài)配置，或者已動態(tài)學(xué)習(xí)到的MAC地址的報文才能通過該端口轉(zhuǎn)發(fā)。

　　2. 單一IEEE 802.1X認(rèn)證模式

　　采用單一IEEE 802.1x認(rèn)證方式的端口安全模式又包括以下幾種：

　　l userlogin：對接入用戶采用基于端口的IEEE 802.1x認(rèn)證，僅允許通過認(rèn)證的用戶接入。

　　l userLoginSecure：對接入用戶采用基于用戶MAC地址的IEEE 802.1x認(rèn)證(也就是Cisco IOS交換機(jī)中所說的MAB)。僅接收源MAC地址為交換機(jī)的MAC地址的數(shù)據(jù)包，但也僅允許802.1x認(rèn)證成功的用戶數(shù)據(jù)報文通過。此模式下，端口最多只允許接入一個經(jīng)過802.1x認(rèn)證的用戶(即IEEE 802.1X單主機(jī)模式)。

　　l userLoginSecureExt：與userLoginSecure類似，但端口下的802.1x認(rèn)證用戶可以有多個(即IEEE 802.1X多主機(jī)模式)。

　　l userLoginWithOUI：與userLoginSecure類似，端口最多只允許一個802.1x認(rèn)證用戶，但該用戶的數(shù)據(jù)包中還必須包含一個允許的OUI(組織唯一標(biāo)志符)。

　　因為H3C以太網(wǎng)交換機(jī)的IEEE 802.1X認(rèn)證將在本書第21章專門介紹，故在此不再贅述。

　　3. MAC地址認(rèn)證模式

　　MAC地址認(rèn)證安全模式即macAddressWithRadius模式。MAC地址認(rèn)證是一種基于端口和用戶MAC地址的網(wǎng)絡(luò)訪問控制方法，它不需要用戶安裝任何客戶端軟件。交換機(jī)在啟用了MAC地址認(rèn)證的端口上首次檢測到用戶的MAC地址以后，即啟動對該用戶的認(rèn)證操作。認(rèn)證過程中，不需要用戶手動輸入用戶名或者密碼，因為這是基于用戶MAC地址進(jìn)行的認(rèn)證。如果該用戶認(rèn)證成功，則允許其通過端口訪問網(wǎng)絡(luò)資源，否則該用戶的MAC地址就被添加為“靜默MAC”。在靜默時間內(nèi)(可通過靜默定時器配置)，來自此MAC地址的用戶報文到達(dá)時直接做丟棄處理，以防止非法MAC短時間內(nèi)的重復(fù)認(rèn)證。

　　目前H3C以太網(wǎng)交換機(jī)支持“本地認(rèn)證”和“RADIUS遠(yuǎn)程認(rèn)證”這兩種MAC地址認(rèn)證方式。有關(guān)H3C以太網(wǎng)交換機(jī)的RADIUS服務(wù)器認(rèn)證配置方法將在本書第20章專門介紹;有關(guān)MAC地址認(rèn)證的配置方法將在本章19.5節(jié)介紹。

　　4. and模式

　　“and”是“和”的意思，就是要求同時滿足所有的條件。and端口安全模式包括以下兩種子模式：

　　l macAddressAndUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，接入用戶首先進(jìn)行MAC地址認(rèn)證，當(dāng)MAC地址認(rèn)證成功后再進(jìn)行IEEE 802.1x認(rèn)證。只有在這兩種認(rèn)證都成功的情況下，才允許該用戶接入網(wǎng)絡(luò)。此模式下，端口最多只允許一個用戶接入網(wǎng)絡(luò)，也就是最先通過全部這兩種認(rèn)證的用戶。

　　l macAddressAndUserLoginSecureExt：與macAddressAndUserLoginSecure類似。但此模式下，端口允許接入網(wǎng)絡(luò)的用戶可以有多個。

　　根據(jù)以上描述得出以上這兩種and端口安全子模式的報文處理流程如圖19-2所示。

　　5. else模式

　　“else”是“另外”的意思，就是一種認(rèn)證通不過后還可以嘗試其它的認(rèn)證方式。else端口安全模式包括以下兩個子模式：

　　l macAddressElseUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，對接入用戶首先進(jìn)行MAC地址認(rèn)證，如果認(rèn)證成功則直接通過，如果MAC地址認(rèn)證失敗再嘗試進(jìn)行802.1x認(rèn)證。此模式下，端口下可以有多個用戶通過MAC地址認(rèn)證，但端口僅允許接入一個用戶經(jīng)過802.1x認(rèn)證，也就是最先通過802.1x認(rèn)證的用戶。

　　l macAddressElseUserLoginSecureExt：與macAddressElseUserLoginSecure類似。但此模式下，端口允許經(jīng)過多個用戶通過IEEE 802.1X認(rèn)證。

　　根據(jù)以上描述得出以上這兩種else端口安全子模式的報文處理流程如圖19-3所示。

　　6. or模式

　　“or”是“或者”的意思，也就是可以任選其中一種認(rèn)證方式。or端口安全模式包括以下兩個子模式：

　　l macAddressOrUserLoginSecure：當(dāng)用戶的MAC地址不在轉(zhuǎn)發(fā)表中時，接入用戶通過MAC地址認(rèn)證后，仍然可以進(jìn)行IEEE 802.1x認(rèn)證;但接入用戶通過IEEE 802.1x認(rèn)證后，不再進(jìn)行MAC地址認(rèn)證。此模式下，可以有多個經(jīng)過基于MAC地址認(rèn)證的用戶，但端口僅允許接入一個經(jīng)過認(rèn)證的802.1x用戶，也就是最先通過802.1x認(rèn)證的用戶。

　　l macAddressOrUserLoginSecureExt：與macAddressOrUserLoginSecure類似。但此模式下可以允許多個通過IEEE 802.1x認(rèn)證的用戶。

　　補(bǔ)充：交換機(jī)常見故障解決

　　通過觀察初步定為故障，一般如果設(shè)備正常，而且線路連接也正常，則交換機(jī)指示燈會亮綠色并且一閃一閃的。如果發(fā)現(xiàn)交換機(jī)指示燈不亮則首先檢查線路連接，如果一直亮著不閃，則檢查交換機(jī)等設(shè)備!

　　通過電腦直接連接交換機(jī)查看是否能夠自動獲取IP地址和網(wǎng)關(guān)，如下面示意圖連接電腦之后，將電腦TCP/IP協(xié)議設(shè)置為DHCP動態(tài)獲取模式，然后運(yùn)行命令行輸入ipconfig查看電腦是否能夠獲取到交換機(jī)分配的ip地址和網(wǎng)關(guān)。

　　如果交換機(jī)未配置，則需通過終端配置交換機(jī)，使用配置電纜的 DB-9 孔式插頭接到要對交換機(jī)進(jìn)行配置的 PC 或終端的串口上，將配置電纜的 RJ-45 一端連到交換機(jī)的配置口(Console)上。

　　在 Console 口與本地電腦連接之后，在PC短通過終端與交換機(jī)建立連接，連接過程中要求，波特率為 9600，數(shù)據(jù)位為 8，奇偶校驗為無，停止位為 1，流量控制為無，選擇終端仿真為 VT100。

　　通過超級終端登陸交換機(jī)之后，檢查端口是否被shutdown，并通過display interface brief 命令，查看端口顯示信息的速率與雙工是否與對端一致。若不一致，請通過 speed 命令和 duplex 命令配置端口的速率和雙工模式。

　　(4)確認(rèn)網(wǎng)線質(zhì)量或光口的光模塊類型及其波長是否匹配

　　更換網(wǎng)線插入端口，查看端口是否 UP，端口物理連接是否暢通，端口是否被shutdown，檢查端口連接，undo shutdown端口，檢查網(wǎng)線是否正常。

　　相關(guān)閱讀：交換機(jī)的基本功能：

　　1. 像集線器一樣，交換機(jī)提供了大量可供線纜連接的端口，這樣可以采用星型拓?fù)洳季€。

　　2. 像中繼器、集線器和網(wǎng)橋那樣，當(dāng)它轉(zhuǎn)發(fā)幀時，交換機(jī)會重新產(chǎn)生一個不失真的方形電信號。

　　3. 像網(wǎng)橋那樣，交換機(jī)在每個端口上都使用相同的轉(zhuǎn)發(fā)或過濾邏輯。

　　4. 像網(wǎng)橋那樣，交換機(jī)將局域網(wǎng)分為多個沖突域，每個沖突域都是有獨(dú)立的寬帶，因此大大提高了局域網(wǎng)的帶寬。

　　5. 除了具有網(wǎng)橋、集線器和中繼器的功能以外，交換機(jī)還提供了更先進(jìn)的功能，如虛擬局域網(wǎng)(VLAN)和更高的性能。

H3C交換機(jī)端口安全模式相關(guān)文章：

1.H3C交換機(jī)有幾種配置模式

2.H3C交換機(jī)如何配置VLAN

3.h3c交換機(jī)如何配置DHCP服務(wù)

4.H3C交換機(jī)配置本地登錄和遠(yuǎn)程登錄的用戶名和密碼教程

5.H3C交換機(jī)怎么劃分VLAN