接入交換機是用戶進入網(wǎng)絡(luò)的入口，所謂“病從口入”，接入交換機的安全控制，是全網(wǎng)安全控制的核心。

接入安全的原則是：以報文的特征（IP /MAC），而不是人的特征（用戶名/密碼）進行安全控制。1x認證的結(jié)果是為交換機提供合法的報文的特征（IP /MAC）記錄。相關(guān)接入安全功能根據(jù)該原則展開，區(qū)別為對不同報文的識別和識別深入程度。

RG-S2900-E系列作為全千兆接入設(shè)備，如下圖所示，提供從端口安全到防ARP欺騙，到ACL各個層面的安全控制。確保接入安全。

具體處理流程如下：

1、報文進入交換機以后，先進行端口保護處理，如果是保護口之間二層報文，則直接丟棄，其他報文進入下一個流程；

2、靜態(tài)地址、過濾地址、端口安全（基于MAC）三個功能對報文的源MAC/目的MAC進行判斷，如果處理結(jié)果是丟棄，則直接丟棄，否則進入下一個流程；

3、進行防DHCP SERVER欺騙判斷，如果確定是偽造的DHCP SERVER報文，直接丟棄，否則進入下一個流程；

4、如果開啟安全通道，匹配安全通道丟棄策略的報文直接丟棄，匹配安全通道轉(zhuǎn)發(fā)策略的報文合并QoS策略后直接轉(zhuǎn)發(fā)；

5、進行防網(wǎng)關(guān)ARP欺騙判斷，如果確定是偽造的網(wǎng)關(guān)ARP報文，直接丟棄，否則進入下一個流程；

6、dot1x開啟mac授權(quán)等同于開啟1x身份認證，不同于端口安全（基于MAC），其優(yōu)先級低于安全通道，沒有通過1x身份認證獲得MAC授權(quán)的報文直接丟棄，通過1x身份認證獲得MAC授權(quán)的報文進入下一個流程；

7、arp–check/DAI功能對 ARP 報文進行判斷，沒有綁定IP或IP+MAC表項的ARP報文直接丟棄，有綁定IP或IP+MAC表項的ARP報文合并QoS策略后直接轉(zhuǎn)發(fā)；

8、進行IP防掃描策略判斷，如果匹配隔離策略，報文直接丟棄，否則轉(zhuǎn)到下一個流程處理；

9、安全ACL策略判斷，如果丟棄，則直接丟棄，否則轉(zhuǎn)到下一個流程處理；

10、QoS策略判斷，如果丟棄，則直接丟棄，否則轉(zhuǎn)到下一個流程處理；

11、安全ACL策略判斷，如果允許轉(zhuǎn)發(fā)，則合并QoS策略后直接轉(zhuǎn)發(fā)。