交换机端口安全技术课件

1、交换机端口安全技术1 交换机端口安全技术交换机端口安全技术 ISSUE 1.0 日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 交换机端口安全技术2 n 掌握掌握802.1X基本原理及其配置基本原理及其配置 n 掌握端口隔离技术及其配置掌握端口隔离技术及其配置 n 掌握端口绑定技术及其配置掌握端口绑定技术及其配置 课程目标课程目标 学习完本课程，您应该能够：学习完本课程，您应该能够： 交换机端口安全技术3 n 802.1X基本原理及其配置基本原理及其配置 n 端口隔离技术及其配置端口隔离技术及其配置 n 端口绑定技术及其配置端口绑定技术及其配置 目录目录 交换机端口安全技术

2、4 802.1X技术简介技术简介 802.1X协议起源于标准的无线局域网协议协议起源于标准的无线局域网协议802.11。主要目的是。主要目的是 为了解决有线局域网用户的接入认证问题。为了解决有线局域网用户的接入认证问题。 Internet 802.11802.1X 交换机端口安全技术5 客户端设备端认证服务 器端 本地认证本地认证 由设备端内置本地服务器对客户端进行认证 远程集中认证远程集中认证 由远程的认证服务器对客户端进行认证 802.1X的体系结构的体系结构 交换机端口安全技术6 端口接入控制方式端口接入控制方式 MAC-basedPort-based Hub 基于端口的认证方式基于端口

3、的认证方式 基于基于MAC的认证方式的认证方式 Switch 交换机端口安全技术7 802.1X基本配置基本配置 Switch dot1x l开启全局的开启全局的802.1X特性特性 l开启端口的开启端口的802.1X特性特性 l添加本地接入用户并设置相关参数添加本地接入用户并设置相关参数 Switch dot1x interface interface interface-list Switch local-userlocal-user user-name Switch-luser-localuserSwitch-luser-localuser service-type lan-access

4、service-type lan-access Switch-luser-localuser password cipher | Switch-luser-localuser password cipher | simple simple password 交换机端口安全技术8 802.1X典型配置举例典型配置举例 SWAdot1x SWAdot1x interface ethernet1/0/1 SWAlocal-user localuser SWA-luser-localuserpassword simple hello SWA-luser-localuserservice-type la

5、n-access PC SWA E1/0/1 交换机端口安全技术9 n 802.1X的基本原理和配置的基本原理和配置 n 端口隔离技术及其配置端口隔离技术及其配置 n 端口绑定技术及其配置端口绑定技术及其配置 目录目录 交换机端口安全技术10 端口隔离简介端口隔离简介 Port-isolate Group VLAN1 Switch VLAN2VLAN3 Switch 端口隔离用于在端口隔离用于在VLAN内隔离以太网端口内隔离以太网端口 Uplink-port 交换机端口安全技术11 Switch-Ethernet1/0/1 port-isolate enable l将指定端口加入到隔离组中，端

6、口成为将指定端口加入到隔离组中，端口成为 隔离组的普通端口隔离组的普通端口 l将指定端口加入到隔离组中，端口成为将指定端口加入到隔离组中，端口成为 隔离组的上行端口隔离组的上行端口 端口隔离基本配置端口隔离基本配置 Switch-Ethernet1/0/2 port-isolate uplink-port 交换机端口安全技术12 端口隔离配置举例端口隔离配置举例 E1/0/2 E1/0/1 E1/0/3 E1/0/4 Uplink-port PCAPCBPCC SWAinterface ethernet1/0/2 SWA-Ethernet1/0/2 port-isolate enable SW

7、Ainterface ethernet1/0/3 SWA-Ethernet1/0/3 port-isolate enable SWAinterface ethernet1/0/4 SWA-Ethernet1/0/4 port-isolate enable SWAinterface ethernet1/0/1 SWA-Ethernet1/0/1 port-isolate uplink-port Server 交换机端口安全技术13 n 802.1X的基本原理和配置的基本原理和配置 n 端口隔离技术及其配置端口隔离技术及其配置 n 端口绑定技术及其配置端口绑定技术及其配置 目录目录 交换机端口安全

8、技术14 端口绑定技术简介端口绑定技术简介 通过通过“MAC+IP+端口端口”绑定功能，可以实现设备对转发报文的绑定功能，可以实现设备对转发报文的 过滤控制，提高了安全性。过滤控制，提高了安全性。 MAC:0001-0201-2123 IP:10.1.1.1/24 MAC:0001-0401-2126 IP:10.2.1.1/24 MAC:0002-0261-2562 IP:10.3.1.1/24 E1/0/2 E1/0/1 E1/0/3 E1/0/4 PCAPCBPCC MACIPPort 0001-0201-000010.1.1.1E1/0/2 0001-0401-212610.2.1.1

9、E1/0/3 0001-0401-212610.3.1.2E1/0/4 交换机端口安全技术15 Switch-Ethernet1/0/1 user-bind ip-address ip- address mac-address mac-address l配置静态绑定表项配置静态绑定表项 端口绑定基本配置端口绑定基本配置 交换机端口安全技术16 端口绑定典型配置举例端口绑定典型配置举例 MAC:0001-0201-2123 IP:10.1.1.1/24 MAC:0001-0401-2126 IP:10.2.1.1/24 MAC:0002-0261-2562 IP:10.3.1.1/24 E1/0

10、/2 E1/0/1 E1/0/3 E1/0/4 PCAPCBPCC SWAinterface ethernet1/0/2 SWA-Ethernet1/0/2 user-bind ip-address 10.1.1.1 mac-address 0001-0201-2123 SWAinterface ethernet1/0/3 SWA-Ethernet1/0/3 user-bind ip-address 10.2.1.1 mac-address 0001-0401-2126 SWAinterface ethernet1/0/4 SWA-Ethernet1/0/4 user-bind ip-address 10.3.1.1 mac-address 0002-0261-2562 交换机端口安全技术