交换机端口安全技术

交换机端口安全技术

24.1 实验内容与目标

完成本实验，应该能够达到以下目标。

● 掌握802.1x 的基本配置

● 掌握端口隔离基本配置

● 掌握端口绑定技术基本配置

24.2 实验组网图

本实验按照实验图24-1进行组网。

PCA

PCB

SWA

实验图24-1 实验组网图 24.3 实验设备与版本

本实验所需之主要设备器材如实验表24-1所示。

实验表 24-1 实验设备器材

24.4 实验过程

实验任务一配置802.1x

本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本

原理和802.1x本地认证的基本配置。

步骤一：建立物理连接并初始化交换机配置。

按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：检查互通性。

分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果

是PCA和PCB能够互通。

步骤三：配置802.1x协议。

实现在交换机SWA上启动802.1x协议，过程如下：

首先需要分别在全局和端口开启802.1x认证功能，在下面的空

格中补充完整的命令。

[SWA]dot1x

[SWA]dot1xinterface e1/0/1 e1/0/2

其次在SWA上创建本地802.1x用户，用户名为abcde，密码为

明文格式的12345，该用户的服务类型server-type是lan-access，在如下的空格中完成该本地用户的配置命令。

[SWA]local-user abcde

[SWA-luser-h3c]service-type lan-access

[SWA-luser-h3c]password simple 123456

步骤四：802.1x验证。

配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB不能够互通。

导致如上结果的原因是交换机上开启了802.1x认证，需要在客

户端配置802.1x认证相关属性。

PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。

在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。

再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验

证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退出。

实验图 24-2 配置本地连接属性

实验图 24-3 启用802.1x验证

等待几秒种后，屏幕右下角会自动弹出要求认证的相应提示，如实验图24-4所示。

按实验图24-4所示的提示要求单击，系统弹出对话框，要求输入用户名和密码，如实验图24-5所示。

实验图 24-4 802.1x验证提示

实验图 24-5输入用户名和密码

在对话框输入用户名abcde和密码12345后，单击“确定”按钮，系统提示通过验证。

在PCA与PCB都通过验证后，在PCA上用ping命令来测试到PCB 的互通性。结果是PCA与PCB能够互通。

注意：如果Windows系统长时间没有自动弹出要求认证提示，或认证失败需要重新认证，可以将电缆断开再连接，以重新触发802.1x认证过程。

实验任务二配置端口隔离

本实验通过在交换机上配置端口隔离，使处于隔离组内的两台

PC不能互相访问，但PC能够访问上行端口的PC。通过本实验，掌握端口隔离的基本原理和配置。

步骤一：建立物理连接并运行超级终端。

按实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：检查互通性。

分别配置PCA和PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果

是PCA与PCB不能够互通。

步骤三：配置端口隔离。

在交换机上启用端口隔离，设置端口Ethernet1/0/1、

Ethernet1/0/2为隔离组的普遍端口，端口Ethernet1/0/24为隔离组的上行端口。

配置SWA过程如下：

[SWA]interface Ethernet1/0/1

[SWA-Ethernet1/0/1]port-isolate enable

[SWA]interface Ethernet1/0/2

[SWA-Ethernet1/0/2]port-isolate enable

[SWA]interface Ethernet1/0/24

[SWA-Ethernet1/0/24]port-islate uplink-port

配置完成后，通过display port-isolate group命令查看隔离组的信息。

步骤四：端口隔离验证。

在PCA上用ping命令测试到PCB的互通性，其结果是PCA与PCB 不能互通。

然后将PCB从端口Ethernet1/0/2断开，把PCB连接到Ethernet1/0/24上，再用ping命令测试，其结果是PCA与PCB能够互通。

实验任务三配置端口绑定

本实验通过在交换机上配置端口绑定，使交换机上的绑定端口只能让特定用户接入。通过本实验，掌握端口绑定的基本应用和配置。

步骤一：建立物理连接并初始化交换机配置。

根据实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二：配置端口绑定。

配置PCA的IP地址为172.16.0.1/24，PCB的IP地址为

172.16.0.2/24。

分别查看并记录PCA和PCB的MAC地址。之后再交换机SWA上启用端口绑定，设置端口Ethernet1/0/1与PCA的MAC地址绑定，端口Ethernet1/0/2与PCB的MAC地址绑定，在如下空格中补充完整的命令。

[SWA]interfaceEthernet 1/0/1