实验四 交换机端口安全技术

交换机端口安全技术
24.1 实验内容与目标
完成本实验，应该能够达到以下目标。

● 掌握802.1x 的基本配置
● 掌握端口隔离基本配置
● 掌握端口绑定技术基本配置
24.2 实验组网图
本实验按照实验图24-1进行组网。

PCA
PCB
SWA
实验图24-1 实验组网图 24.3 实验设备与版本
本实验所需之主要设备器材如实验表24-1所示。

实验表 24-1 实验设备器材
24.4 实验过程
实验任务一 配置802.1x
本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经
过认证后才能访问网络资源。

通过本实验，掌握802.1x认证的基本
原理和802.1x本地认证的基本配置。

步骤一：建立物理连接并初始化交换机配置。

按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。

如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：检查互通性。

分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。

配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。

步骤三：配置802.1x协议。

实现在交换机SWA上启动802.1x协议，过程如下：
首先需要分别在和开启802.1x认证功能，在
下面的空格中补充完整的命令。

[SWA]
[SWA]dot1x
其次在SWA上创建本地802.1x用户，用户名为abcde，密码为
明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。

步骤四：802.1x验证。

配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。

导致如上结果的原因是交换机上开启了802.1x认证，需要在客
户端配置802.1x认证相关属性。

PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。

在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。

再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退
出。

实验图 24-2 配置本地连接属性
实验图 24-3 启用802.1x验证
等待几秒种后，屏幕右下角会自动弹出要求认证的相应提示，如实验图24-4所示。

按实验图24-4所示的提示要求单击，系统弹出对话框，要求输入用户名和密码，如实验图24-5所示。

实验图 24-4 802.1x验证提示
实验图 24-5 输入用户名和密码
在对话框输入用户名abcde和密码12345后，单击“确定”按钮，系统提示通过验证。

在PCA与PCB都通过验证后，在PCA上用ping命令来测试到PCB 的互通性。

结果是。

注意：如果Windows系统长时间没有自动弹出要求认证提示，或认证失败需要重新认证，可以将电缆断开再连接，以重新触发802.1x认证过程。

实验任务二配置端口隔离
本实验通过在交换机上配置端口隔离，使处于隔离组内的两台
PC不能互相访问，但PC能够访问上行端口的PC。

通过本实验，掌握端口隔离的基本原理和配置。

步骤一：建立物理连接并运行超级终端。

按实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。

如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：检查互通性。

分别配置PCA和PCB的IP地址为172.16.0.1/24、172.16.0.2/24。

配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。

步骤三：配置端口隔离。

在交换机上启用端口隔离，设置端口Ethernet1/0/1、
Ethernet1/0/2为隔离组的普遍端口，端口Ethernet1/0/24为隔离组的上行端口。

配置SWA过程如下：
[SWA]interface Ethernet1/0/1
[SWA-Ethernet1/0/1]
[SWA]interface Ethernet1/0/2
[SWA-Ethernet1/0/2]
[SWA]interface Ethernet1/0/24
[SWA-Ethernet1/0/24]
配置完成后，通过命令查看隔离组的信息。

步骤四：端口隔离验证。

在PCA上用ping命令测试到PCB的互通性，其结果是。

然后将PCB从端口Ethernet1/0/2断开，把PCB连接到Ethernet1/0/24上，再用ping命令测试，其结果是。

实验任务三配置端口绑定
本实验通过在交换机上配置端口绑定，使交换机上的绑定端口只能让特定用户接入。

通过本实验，掌握端口绑定的基本应用和配置。

步骤一：建立物理连接并初始化交换机配置。

根据实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。

如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：配置端口绑定。

配置PCA的IP地址为172.16.0.1/24，PCB的IP地址为
172.16.0.2/24。

分别查看并记录PCA和PCB的MAC地址。

之后再交换机SWA上启用端口绑定，设置端口Ethernet1/0/1与PCA的MAC地址绑定，端口Ethernet1/0/2与PCB的MAC地址绑定，在如下空格中补充完整的命令。

[SWA]interface Ethernet 1/0/1
[SWA-Ethernet1/0/1]user-bind
[SWA]interface Ethernet 1/0/2
[SWA-Ethernet1/0/2]
配置完成后，通过执行命令查看已设置绑定的信息。

步骤三：端口绑定验证。

在PCA上用ping命令来测试到PCB的互通性，其结果是。

断开PC与交换机之间的连接，然后将PCA连接到端口
Ethernet1/0/2，PCB连接到端口Ethernet1/0/1，再重新用ping命令来测试PCA到PCB的互通性，其结果是。

注意：未配置端口绑定的端口允许所有报文通过。

24.5 实验中的命令列表
本实验所使用的命令如实验表24-2所示。

实验表24-2 实验命令列表
24.6 思考题
在实验任务一中，使用交换机内置本地服务器对用户进行了本地认证。

可不可以不在交换机上配置用户名、密码等信息，而对用户进行认证？。