接入交換機(jī)是用戶進(jìn)入網(wǎng)絡(luò)的入口，所謂“病從口入”，接入交換機(jī)的安全控制，是全網(wǎng)安全控制的核心。

接入安全的原則是：以報(bào)文的特征（IP /MAC），而不是人的特征（用戶名/密碼）進(jìn)行安全控制。1x認(rèn)證的結(jié)果是為交換機(jī)提供合法的報(bào)文的特征（IP /MAC）記錄。相關(guān)接入安全功能根據(jù)該原則展開，區(qū)別為對不同報(bào)文的識(shí)別和識(shí)別深入程度。

RG-S2900-E系列作為全千兆接入設(shè)備，如下圖所示，提供從端口安全到防ARP欺騙，到ACL各個(gè)層面的安全控制。確保接入安全。

具體處理流程如下：

1、報(bào)文進(jìn)入交換機(jī)以后，先進(jìn)行端口保護(hù)處理，如果是保護(hù)口之間二層報(bào)文，則直接丟棄，其他報(bào)文進(jìn)入下一個(gè)流程；

2、靜態(tài)地址、過濾地址、端口安全（基于MAC）三個(gè)功能對報(bào)文的源MAC/目的MAC進(jìn)行判斷，如果處理結(jié)果是丟棄，則直接丟棄，否則進(jìn)入下一個(gè)流程；

3、進(jìn)行防DHCP SERVER欺騙判斷，如果確定是偽造的DHCP SERVER報(bào)文，直接丟棄，否則進(jìn)入下一個(gè)流程；

4、如果開啟安全通道，匹配安全通道丟棄策略的報(bào)文直接丟棄，匹配安全通道轉(zhuǎn)發(fā)策略的報(bào)文合并QoS策略后直接轉(zhuǎn)發(fā)；

5、進(jìn)行防網(wǎng)關(guān)ARP欺騙判斷，如果確定是偽造的網(wǎng)關(guān)ARP報(bào)文，直接丟棄，否則進(jìn)入下一個(gè)流程；

6、dot1x開啟mac授權(quán)等同于開啟1x身份認(rèn)證，不同于端口安全（基于MAC），其優(yōu)先級(jí)低于安全通道，沒有通過1x身份認(rèn)證獲得MAC授權(quán)的報(bào)文直接丟棄，通過1x身份認(rèn)證獲得MAC授權(quán)的報(bào)文進(jìn)入下一個(gè)流程；

7、arp–check/DAI功能對 ARP 報(bào)文進(jìn)行判斷，沒有綁定IP或IP+MAC表項(xiàng)的ARP報(bào)文直接丟棄，有綁定IP或IP+MAC表項(xiàng)的ARP報(bào)文合并QoS策略后直接轉(zhuǎn)發(fā)；

8、進(jìn)行IP防掃描策略判斷，如果匹配隔離策略，報(bào)文直接丟棄，否則轉(zhuǎn)到下一個(gè)流程處理；

9、安全ACL策略判斷，如果丟棄，則直接丟棄，否則轉(zhuǎn)到下一個(gè)流程處理；

10、QoS策略判斷，如果丟棄，則直接丟棄，否則轉(zhuǎn)到下一個(gè)流程處理；

11、安全ACL策略判斷，如果允許轉(zhuǎn)發(fā)，則合并QoS策略后直接轉(zhuǎn)發(fā)。