l实验5交换机端口安全技术

1、实验5 交换机端口安全技术5.1 实验内容与目标完成本实验，您应该能够：掌握 802.1X 的基本配置掌握端口基本配置掌握端口绑定技术基本配置5.2 实验组网图5.4 实验过程实验任务一：配置 802.1X本实验通过在交换机上配置 802.1X 协议，使接入交换机的 PC 经过认证后才能网络资源。通过本实验，学员能够掌握 802.1X 认证的基本原理和 802.1X 本地认证的基本配置。步骤立物理连接按照图 5-1 进行连接，并检查设备的版本及配置信息，确保各设备版本符合要求，所有配置为初始状态。如果配置不符合要求，请读者在用户模式下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数

2、进行初始化。以上步骤可能会用到以下命令： display ver reset saved-configuration reboot步骤二：配置 802.1X 协议在交换机上启用 802.1X 协议并创建本地用户。配置 SWA：SWAdot1x SWAdot1xerface e1/0/1 e1/0/2SWAlocal-user abcdeSWA-luser-h3cservice-type lan-acs SWA-luser-h3cpassword simple 12345步骤三：802.1X 验证表5-2 IP 地址列表在 PCA 和 PCB 上配置 IP 地址，如上表所示。配置完成后，在 PC

3、A 上用命令来测试到 PCB 的互通性。因为交换机上启用了 802.1X认证，所以结果应该是 PCA 与 PCB 不能够互通。如下所示：C:s and SettingsAdministrator172.16.0.2ing 172.16.0.2 with 32 bytes of data:Request timed out. Request timed out. Request timed out.设备名称IP 地址网关PCA172.16.0.1/24-PCB172.16.0.2/24-PC 可以使用 802.1X 客户端或Windows 系统自带客户端接入交换机。本实验以Windows 系统自

4、带客户端为例说明如何进行设置。在 Windows 操作系统的【控制面板】中选择【网络和中的【本地连接】，点击【属性】，如下所示：ernet 连接】，选取【网络连接】再选取【验证】，并勾选【启用此网络的 IEEE802.1x 验证】，如下所示：然后点击【确定】，保存退出。等待几秒钟后，屏幕右下角会自动弹出要求认证的相应提示，如下所示：按提示要求点击，系统弹出框，要求输入用户名和，如下所示：在框中输入用户名 abcde 和12345 后，系统提示通过验证。在 PCA 与 PCB 都通过验证后，在 PCA 上用该是 PCA 与 PCB 能够互通。如下所示：命令来测试到 PCB 的互通性。结果应C:s

5、 and SettingsAdministrator172.16.0.2ing 172.16.0.2 with 32 bytes of data:Reply from 172.16.0.2: bytes=32 time1ms TTL=128 Reply from 172.16.0.2: bytes=32 time1ms TTL=128 Reply from 172.16.0.2: bytes=32 time1ms TTL=128.注意：如果 Windows 系统长时间没有自动弹出要求认证提示，或认证失败需要重新认证，可以将电缆断开再连接，以重新触发 802.1X 认证过程。实验任务二：配置端口

6、，使处于组内的两台 PC 不能互相，但 PC本实验通过在交换机上配置端口能够上行端口的 PC。通过本实验，使学员能够掌握端口的基本原理和配置。步骤立物理连接按照图 5-1 进行连接，并检查设备的版本及配置信息，确保各设备版本符合要求，所有配置为初始状态。如果配置不符合要求，请读者在用户模式下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。以上步骤可能会用到以下命令： display ver reset saved-configuration reboot步骤二：配置端口在交换机上启用端口，设置端口 Ethernet1/0/1、Ethernet1/0/2 为端口 Ethe

7、rnet1/0/24 为组的上行端口。组的普通端口，配置 SWA：SWAerface Ethernet 1/0/1SWA-Ethernet1/0/1 port-isolateenableSWAerface Ethernet 1/0/2SWA-Ethernet1/0/2 port-isolateenableSWAerface Ethernet 1/0/24SWA-Ethernet1/0/2 port-isolateuplink-port配置完成后，用以下命令显示组的信息： display port-isolate group Port-isolate group information: Upl

8、ink port support: YESGrou: 1Uplink port: Ethernet1/0/24Ethernet1/0/1Ethernet1/0/2步骤三：端口验证表5-3 IP 地址列表在 PCA 和 PCB 上配置 IP 地址，如上表所示。配置完成后，在 PCA 上用不能够互通。如下所示：命令来测试到 PCB 的互通性。其结果应该是 PCA 与 PCBC:s and SettingsAdministrator172.16.0.2ing 172.16.0.2 with 32 bytes of data:Request timed out. Request timed out.

9、Request timed out.设备名称IP 地址网关PCA172.16.0.1/24-PCB172.16.0.2/24-然后将 PCB 从端口 Ethernet1/0/2 断开，连接到组的上行端口 Ethernet1/0/24 上，再命令测试，其结果应该是能够互通。如下所示：用C:s and SettingsAdministrator172.16.0.2ing 172.16.0.2 with 32 bytes of data:Reply from 172.16.0.2: bytes=32 time1ms TTL=128 Reply from 172.16.0.2: bytes=32 ti

10、me1ms TTL=128 Reply from 172.16.0.2: bytes=32 time1ms TTL=128.实验任务三：配置端口绑定本实验通过在交换机上配置端口绑定，使交换机上的绑定端口只能让特定用户接入。通过本实验，学员能够掌握端口绑定的基本应用和配置。步骤立物理连接按照图 5-1 进行连接，并检查设备的版本及配置信息，确保各设备版本符合要求，所有配置为初始状态。如果配置不符合要求，请读者在用户模式下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化。以上步骤可能会用到以下命令： display ver reset saved-configuration

11、reboot步骤二：配置端口绑定表5-4 MAC 地址列表在交换机上启用端口绑定。设置端口 Ethernet1/0/1 与 PCA 的 MAC 地址绑定，端口Ethernet1/0/2 与 PCB 的MAC 地址绑定。配置 SWA：SWAerface ethernet 1/0/1SWA-Ethernet1/0/1 user-bind mac-addr 001C-233D-5695 ip-addr 172.16.0.1SWAerface ethernet 1/0/2SWA-Ethernet1/0/2 user-bind mac-addr 0013-728E-4751 ip-addr 172.16

12、.0.2配置完成后，用以下命令显示已设置绑定的信息：SWAdisplay user-bindThe Following User address bind have been configured:Mac001c-233d-56950013-728e-4751IP172.16.0.1172.16.0.2PortEthernet1/0/1 Ethernet1/0/2-2 bind entries queried, 2 listed-设备名称IP 地址MAC 地址所连接交换机端口PCA172.16.0.1/2400-1C-23-3D-56-95Ethernet1/0/1PCB172.16.0.2/

13、2400-13-72-8E-47-51Ethernet1/0/2步骤三：端口绑定验证在 PCA 上用命令来测试到 PCB 的互通性。其结果应该是能够互通。如下所示：C:s and SettingsAdministrator172.16.0.2ing 172.16.0.2 with 32 bytes of data:Reply from 172.16.0.2: bytes=32 time1ms TTL=128 Reply from 172.16.0.2: bytes=32 time1ms TTL=128 Reply from 172.16.0.2: bytes=32 time172.16.0.2

14、ing 172.16.0.2 with 32 bytes of data:Request timed out. Request timed out. Request timed out.以上结果说明端口绑定起了作用。注意：未配置端口绑定的端口允许所有报文通过。5.5 实验中令列表表5-5 实验命令列表命令描述dot1x开启全局的802.1X特性dot1xerfaceerface-list开启端口的802.1X特性port-isolate enable将指定端口加入到组中作为组的普通端口port-isolate uplink-port将指定端口加入到组中作为组的上行端口display port-

15、isolate group显示端口组信息user-bind mac-addr mac-addressip-addr ip-address配置当前端口与相应MAC、IP地址进行绑定display user-bind显示端口绑定信息5.6 思考题1.在实验任务一中，使用交换机内置本地服务器对用户进行了本地认证。可不可以不在交换机上配置用户名、等信息，而对用户进行认证？答：可以，但需要在网络中增加一台认证服务器。通过交换机与认证服务器协同工作，由交换机把用户名、等到服务器而完成认证过程。实验 5 交换机端口安全技术.- 47 -5.1 实验内容与目标. - 47 -5.2 实验组网图. - 47 -5.3 实验设备与版本. - 47 -5.4 实验过程. - 48 -实验任务一： 配置 802.1X .- 48 -步