EqLlyHJ5w6,694hQRgLWm
华三实验大全之端口安全技术华三实验大全之端口安全技术 目录 实验一.802.1X基本原理及其配置 [H3C]dot1x [H3C]dot1x int e1/0/6 [H3C]local-user wnt [H3C-luser-wnt]password simple wnt [H3C-luser-wnt]service-type lan-access 实验二.端口隔离技术及其配置 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]port isolate 实验三.端口绑定技术及其配置 [H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66 2种方式 实验一.802.1X配置 实现802.1x的方式 1.基于端口的认证方式 只要该端口的第一个用户认证成功后,其它接入用户无须认证就可以使用网络资源;当第一个用户下线后,其它用户也会被拒绝使用网络。 2.基于MAC的认证方式 该端口下的所有接入用户均需要单独认证,当某个用户下线时,不影响其它用户使用网络资源。 默认的接入控制方式为基于MAC的认证。 我们一基于端口的认证为例 实验拓扑 实验配置 [H3C]dot1x 802.1X is enabled globally. [H3C]dot1x int e1/0/6 //必须开启全局和端口的dot1.x 802.1X is enabled on port Ethernet1/0/6. [H3C]dot1x int e1/0/8 802.1X is enabled on port Ethernet1/0/8. [H3C]dot1x int e1/0/10 802.1X is enabled on port Ethernet1/0/10. [H3C]local-user wnt //需要创建本地用户来实现认证登录 New local user added. [H3C-luser-wnt]password simple wnt [H3C-luser-wnt]service-type lan-access //服务类型是局域网接入 实验结果 让pc1和pc3进行身份认证。看两着能否通信 另外需要注意的问题 实验二.端口隔离技术及其配置 隔离组中的端口分为 普通端口 上行端口:在h3c中没有加入隔离组的默认是上行链路, 与华为的不同 实验拓扑 让pc1和pc3在vlan2中但是他们之间不能通信,却pc1、pc3可以和pc2通信 [H3C]vlan 2 [H3C-vlan2]port e1/0/6 [H3C-vlan2]port e1/0/8 [H3C-vlan2]port e1/0/10 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]port isolate [H3C]int e1/0/8 [H3C-Ethernet1/0/8]port isolate [H3C]dis isolate port Isolated port(s) on UNIT 1: Ethernet1/0/6, Ethernet1/0/8 此时pc1和pc3之间是不能通信的。 但是pc1和pc3可以与pc2通信 需要注意的问题 低端设备上只有一个隔离组,用户不可以创建、删除 高端设备上可以创建多个隔离组,隔离组与隔离组成员可以通信 实验三.端口绑定技术及其配置 基本描述: 通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提高了安全性 实验拓扑 把e1/0/6与pc3的MAC+IP地址绑定 [H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6 [H3C]dis am user-bind Following User address bind have been configured: Mac IP Port 20cf-3000-476a 192.168.1.177 Ethernet1/0/6 Unit 1:Total 1 found, 1 listed. Total: 1 found. 我们再把e1/0/6与pc1的MAC+IP地址绑定 [H3C]int e1/0/6 [H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66 2种方式 [H3C]display am user-bind Following User address bind have been configured: Mac IP Port 20cf-3000-476a 192.168.1.177 Ethernet1/0/6 e0cb-4e99-8978 192.168.1.66 Ethernet1/0/6 Unit 1:Total 2 found, 2 listed. Total: 2 found. 注意的问题 对同一个 MAC 地址和IP 地址,系统只允许在端口上进行一次绑定操作 对于一个借口,可以绑定多个借口
|