EqLlyHJ5w6,694hQRgLWm

华三实验大全之端口安全技术



华三实验大全之端口安全技术



目录

实验一.802.1X基本原理及其配置

[H3C]dot1x

[H3C]dot1x int e1/0/6

[H3C]local-user wnt

[H3C-luser-wnt]password simple wnt

[H3C-luser-wnt]service-type lan-access

实验二.端口隔离技术及其配置

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]port isolate

实验三.端口绑定技术及其配置

[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66  2种方式



实验一.802.1X配置

实现802.1x的方式

1.基于端口的认证方式

只要该端口的第一个用户认证成功后,其它接入用户无须认证就可以使用网络资源;当第一个用户下线后,其它用户也会被拒绝使用网络。


2.基于MAC的认证方式

该端口下的所有接入用户均需要单独认证,当某个用户下线时,不影响其它用户使用网络资源。

默认的接入控制方式为基于MAC的认证。


我们一基于端口的认证为例

实验拓扑


实验配置

[H3C]dot1x                  

802.1X is enabled globally.

[H3C]dot1x int e1/0/6                  //必须开启全局和端口的dot1.x

802.1X is enabled on port Ethernet1/0/6.

[H3C]dot1x int e1/0/8

802.1X is enabled on port Ethernet1/0/8.

[H3C]dot1x int e1/0/10

802.1X is enabled on port Ethernet1/0/10.

[H3C]local-user wnt                   //需要创建本地用户来实现认证登录

New local user added.

[H3C-luser-wnt]password simple wnt

[H3C-luser-wnt]service-type lan-access   //服务类型是局域网接入


实验结果

让pc1和pc3进行身份认证。看两着能否通信




另外需要注意的问题



实验二.端口隔离技术及其配置


隔离组中的端口分为  普通端口

                   上行端口:在h3c中没有加入隔离组的默认是上行链路,   与华为的不同

实验拓扑



让pc1和pc3在vlan2中但是他们之间不能通信,却pc1、pc3可以和pc2通信


[H3C]vlan 2

[H3C-vlan2]port e1/0/6

[H3C-vlan2]port e1/0/8

[H3C-vlan2]port e1/0/10


[H3C]int e1/0/6

[H3C-Ethernet1/0/6]port isolate


[H3C]int e1/0/8

[H3C-Ethernet1/0/8]port isolate


[H3C]dis isolate port

Isolated port(s) on UNIT 1:

Ethernet1/0/6, Ethernet1/0/8


此时pc1和pc3之间是不能通信的。

但是pc1和pc3可以与pc2通信


需要注意的问题


低端设备上只有一个隔离组,用户不可以创建、删除

高端设备上可以创建多个隔离组,隔离组与隔离组成员可以通信




实验三.端口绑定技术及其配置

基本描述:

通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提高了安全性

实验拓扑



把e1/0/6与pc3的MAC+IP地址绑定

[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6

[H3C]dis am user-bind

Following User address bind have been configured:

 Mac                   IP                    Port

 20cf-3000-476a        192.168.1.177         Ethernet1/0/6    

Unit 1:Total 1 found, 1 listed.


Total: 1 found.


我们再把e1/0/6与pc1的MAC+IP地址绑定

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66  2种方式

[H3C]display am user-bind

Following User address bind have been configured:

 Mac                   IP                    Port

 20cf-3000-476a        192.168.1.177         Ethernet1/0/6

 e0cb-4e99-8978        192.168.1.66          Ethernet1/0/6

Unit 1:Total 2 found, 2 listed.


Total: 2 found.



注意的问题

对同一个 MAC 地址和IP 地址,系统只允许在端口上进行一次绑定操作

对于一个借口,可以绑定多个借口

EqLlyHJ5w6