VLAN 分配选项 对 VLAN分配有多种选项。 • 基于端口的 VLAN 为设备的每个端口分配一个 VLAN ID。可在“第 2 层 > VLAN >基于端口的 VLAN”(Layer 2 > VLAN > Port-based VLAN) (页 842)中组态基于端口的 VLAN。 • 基于协议的 VLAN 为设备的每个端口分配一个协议组。 • 基于子网的 VLAN 为设备的 IP地址分配一个 VLAN ID。 用四个字节扩展以太网帧 对于 CoS(Class of Service,服务等级,即帧优先级)和VLAN(虚拟网络),IEEE 802.1Q 标准规定可通过添加 VLAN 标记来扩展以太网帧。 说明 VLAN标记将帧允许的总长度从 1518 字节增加到 1522 字节。必须对网络上的终端节点进行检查,以确定它们是否能处理此长度/帧类型。如果不能处理, 则仅可向这些节点发送标准长度的帧。 附加的 4个字节在以太网帧头中,位于源地址和以太网类型/长度字段之间: 附加字节中包含 Tag Protocol Identifier(TPID) 和 Tag Control Information (TCI)。Canonical Format Identifier(CFI) CFI 用于表示以太网与令牌环之间的兼容性。 其值的含义如下: 值 含义 0 MAC 地址格式符合规范。以规范形式表示MAC 地址时,先传送Zui低有效位。以太 网交换机的标准设置。 1 MAC 地址格式不符合规范。 VLAN ID 在 12位数据字段中,Zui多可构成 4096 个 VLAN ID。存在以下惯例: VLAN ID 含义 0帧中仅包含优先级信息(标记有优先级的帧),不包含任何有效的 VLAN 标识符。 1- 4094 有效 VLAN 标识符,该帧被分配给某VLAN 并且也可以包含优先级信息。 4095 预留 SNMP SNMP 简介 借助 Simple NetworkManagement Protocol (SNMP),可以监视和控制中央站中的网络元 件,例如路由器或交换机。SNMP控制被监视设备与监视站之间的通信。 SNMP 的任务: • 监视网络组件 • 远程控制网络组件,以及远程为网络组件分配参数 •错误检测和错误通知 版本 v1 和 v2c 的 SNMP 没有安全机制。网络中的所有用户都可以访问数据,还可使用适当的软件来更改参数分配。如果只需对访问权限进行简单控制而无需考虑安全性,则可使用团体字符串。团体字符串与查询一起传送。如果团体字符串正确,SNMP代理将做出响应并发送所请求的 数据。如果团体字符串不正确,SNMP 代理将放弃查询。可以为读取和写入权限定义不同的团体字符串。团体字符串以明文形式传送。 团体字符串的标准值: • public 具有只读权限 • private 具有读写权限 说明由于 SNMP 团体字符串用于访问保护,请勿使用标准值“public”或“private”。请在初始调 试之后更改这些值。设备级的更多简单保护机制: • Allowed Host 被监视系统知道监视系统的 IP 地址。 • Read Only如果为被监视设备指定“Read Only”,则监视站只能读取数据,但无法更改。 SNMP 数据包未加密,其他用户可轻松读取。中央站也称为管理站。SNMP 代理安装在与管理站交换数据的被监视设备上。 管理站发送以下类型的数据包: • GET 向 SNMP代理请求数据记录 • GETNEXT 调用下一条数据记录。 • GETBULK (自 SNMPv2c 起可用)每次请求多条数据记录,例如,表中的多行。 • SET 包含相关设备的参数分配数据。
SNMP代理发送以下类型的数据包: • RESPONSE SNMP 代理返回管理器请求的数据。 • TRAP 如果发生特定事件,SNMP代理将发送陷阱。 • INFORM 像一个陷阱,只是它会被接收方确认。 SNMPv1/v2c/v3 使用 UDP(UserDatagram Protocol,用户数据包协议)并使用 UDP 端口 161 和 162。管理信息库 (ManagementInformation Base, MIB) 对该数据进行了介绍。 SNMPv3 与先前版本 SNMPv1 和 SNMPv2c比较,SNMPv3 引入了广义的安全概念。 SNMPv3 支持: • 完全加密的用户验证 • 对全部数据通信进行加密 •在用户/组级别对 MIB 对象进行访问控制 引入 SNMPv3 后,不使用特殊操作(如加载组态文件)的情况下,无法再将用户组态传送至其它设备。 依据标准,SNMPv3 协议使用唯一的 SNMP 引擎 ID 作为 SNMP 代理的内部标识符。此 ID 在网络中必须是唯一的。用于验证 SNMPv3 用户的访问数据并对其进行加密。 根据“SNMPv3 UserMigration”功能的启用情况,会以不同方式生成 SNMP 引擎 ID。 使用该功能时的限制 仅可在更换设备时使用“SNMPv3User Migration”功能将组态的 SNMPv3 用户传送到替代设备。 请勿使用该功能将组态的 SNMPv3用户传送到多个设备。如果将具有已创建的 SNMPv3 用 户的组态加载到多个设备,则这些设备会使用相同的 SNMP 引擎ID。如果在同一网络中使 用这些设备,则组态会与 SNMP 标准相矛盾。 与旧产品的兼容性如果您已将用户创建为可移植用户,则可以将已组态的 SNMPv3 用户传送至不同的设备。为 创建可移植用户,创建时必须激活“SNMPv3User Migration”功能。安全功能 用户管理(WBM 或 CLI) 用户管理概述通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有 适当权限的角色。用户的身份验证可在本地由设备执行,也可由外部 RADIUS 服务器执行。可在“Security > AAA >常规”(Security > AAA > General) 页面中组态验证的处理方式。 本地登录用户本地登录时设备的工作方式如下: 1. 用户通过用户名和密码在设备上登录。 2. 设备检查是否存在该用户的条目。 →如果存在条目,该用户成功登录并具有所关联角色的权限。 → 如果不存在相应的条目,则拒绝该用户登录。 通过外部 RADIUS 服务器登录RADIUS (Remote Authentication Dial-In User Service)是通过集中存储用户数据的服务器来 验证用户和为用户授权的协议。 根据您在“安全 > AAA > RADIUS客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS验证模式,设备可评估 RADIUS 服务器的不同信息。RADIUS 身份验证模式“Standard”如果已设置身份验证模式“conventional”,则用户在 RADIUS 服务器上的身份验证将按如下方 式运行: 1.用户通过用户名和密码在设备上登录。 2. 设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。 3. RADIUS服务器执行检查并将结果发送回设备。 – RADIUS 服务器报告身份验证成功,并向设备的属性“Service Type”返回值“Administrative User”。 → 用户登录并带有管理员权限。 – RADIUS服务器会报告身份验证成功,并会向设备的属性“Service Type”返回差异或甚 至是无值。 → 用户登录并具有读取权限。 –RADIUS 服务器向设备报告身份验证失败: → 用户被拒绝访问。 RADIUS 模式“SiemensVSA” 要求 对于RADIUS 验证模式“Siemens VSA”,需要在 RADIUS 服务器上设置以下需求: • 制造商代码:4196 •属性编号:1 • 属性格式:字符型字符串(组名称)
如果已设置身份验证模式“SiemensVSA”,则用户在 RADIUS 服务器上的身份验证将按如下方 式运行: 1.用户通过用户名和密码在设备上登录。 2. 设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。 3. RADIUS服务器执行检查并将结果发送回设备。 情况 A:RADIUS 服务器报告身份验证成功,并向设备返回已为用户分配的组。 –组已在设备中已知,但用户并未在表“外部用户帐户”中输入。 → 用户将登录并具有所分配组的权限。 –组已在设备中已知,且用户并已在表“外部用户帐户”中输入。 → 已为用户分配了更高的权限,用户会登录并拥有这些权限。 –组已在设备中未知,且用户并已在表“外部用户帐户”中输入。 → 用户将登录并具有已链接到用户帐户的角色所对应的权限。 –组已在设备中未知,但用户并未已在表“外部用户帐户”中输入。 → 用户将登录并具有“Default”角色的权限。 情况 B:RADIUS服务器会报告身份验证成功,但不会向设备返回一个组。 – 用户已在“外部用户帐户”表中输入: → 用户将登录并具有所链接角色的权限。 –用户未在“外部用户帐户”表中输入: → 用户将登录并具有“Default”角色的权限。 情况 C:RADIUS服务器向设备报告身份验证失败: – 用户被拒绝访问。 防火墙 防火墙设备的安全功能中包括状态检查防火墙。这是一种对数据包进行过滤或检查的方法。 IP 数据包检查基于指定以下内容的防火墙规则: •允许的协议 • 允许源的 IP 地址和端口 • 允许目标的 IP 地址和端口 如果 IP数据包与指定参数匹配,则允许其通过防火墙。规则还指定如何处理不允许通过防 火墙的 IP 数据包。简单的数据滤器技术中每个连接需要两条防火墙规则。 • 一条规则用于从源到目标的查询方向。 •另一条规则用于从目标到源的响应方向。