《交换机端口安全技术精编》由会员分享,可在线阅读,更多相关《交换机端口安全技术精编(8页珍藏版)》请在金锄头文库上搜索。
1、交换机端口安全技术 交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 掌握802.1x 的基本配置 掌握端口隔离基本配置 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经 过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地
2、认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果 是PCA和PCB能够互通。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在全局和端口开启802
3、.1x认证功能,在下面的空 格中补充完整的命令。 SWAdot1x SWAdot1xinterface e1/0/1 e1/0/2 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是lan-access,在如下的空格中完成该本地用户的配置命令。 SWAlocal-user abcde SWA-luser-h3cservice-type lan-access SWA-luser-h3cpassword simple 123456 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通
4、性,其结果是PCA与PCB不能够互通。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验 证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存
5、退出。 实验图 24-2 配置本地连接属性 实验图 24-3 启用802.1x验证 等待几秒种后,屏幕右下角会自动弹出要求认证的相应提示,如实验图24-4所示。 按实验图24-4所示的提示要求单击,系统弹出对话框,要求输入用户名和密码,如实验图24-5所示。 实验图 24-4 802.1x验证提示 实验图 24-5输入用户名和密码 在对话框输入用户名abcde和密码12345后,单击“确定”按钮,系统提示通过验证。 在PCA与PCB都通过验证后,在PCA上用ping命令来测试到PCB 的互通性。结果是PCA与PCB能够互通。 注意:如果Windows系统长时间没有自动弹出要求认证提示,或认证失
6、败需要重新认证,可以将电缆断开再连接,以重新触发802.1x认证过程。 实验任务二配置端口隔离 本实验通过在交换机上配置端口隔离,使处于隔离组内的两台 PC不能互相访问,但PC能够访问上行端口的PC。通过本实验,掌握端口隔离的基本原理和配置。 步骤一:建立物理连接并运行超级终端。 按实验图24-1进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA和PCB的IP地址为172.16.0.1/24、172.16.0.
7、2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果 是PCA与PCB不能够互通。 步骤三:配置端口隔离。 在交换机上启用端口隔离,设置端口Ethernet1/0/1、 Ethernet1/0/2为隔离组的普遍端口,端口Ethernet1/0/24为隔离组的上行端口。 配置SWA过程如下: SWAinterface Ethernet1/0/1 SWA-Ethernet1/0/1port-isolate enable SWAinterface Ethernet1/0/2 SWA-Ethernet1/0/2port-isolate enable SWAinterface E
8、thernet1/0/24 SWA-Ethernet1/0/24port-islate uplink-port 配置完成后,通过display port-isolate group命令查看隔离组的信息。 步骤四:端口隔离验证。 在PCA上用ping命令测试到PCB的互通性,其结果是PCA与PCB 不能互通。 然后将PCB从端口Ethernet1/0/2断开,把PCB连接到Ethernet1/0/24上,再用ping命令测试,其结果是PCA与PCB能够互通。 实验任务三配置端口绑定 本实验通过在交换机上配置端口绑定,使交换机上的绑定端口只能让特定用户接入。通过本实验,掌握端口绑定的基本应用和配置
9、。 步骤一:建立物理连接并初始化交换机配置。 根据实验图24-1进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:配置端口绑定。 配置PCA的IP地址为172.16.0.1/24,PCB的IP地址为 172.16.0.2/24。 分别查看并记录PCA和PCB的MAC地址。之后再交换机SWA上启用端口绑定,设置端口Ethernet1/0/1与PCA的MAC地址绑定,端口Ethernet1/0/2与PCB的MAC地址绑定,在如下空格中补充完整
10、的命令。 SWAinterfaceEthernet 1/0/1 SWA-Ethernet1/0/1user-bindmac-addr 001C-233D-5695 SWAinterfaceEthernet 1/0/2 SWA-Ethernet1/0/2mac-addr 0013-728E-4751 配置完成后,通过执行display user-bind命令查看已设置绑定的信息。 步骤三:端口绑定验证。 在PCA上用ping命令来测试到PCB的互通性,其结果是PCA与PCB能够互通。 断开PC与交换机之间的连接,然后将PCA连接到端口Ethernet1/0/2,PCB连接到端口Ethernet1/0/1,再重新用ping命令来测试PCA到PCB的互通性,其结果是PCA与PCB不能够互通。 注意:未配置端口绑定的端口允许所有报文通过。 24.5 实验中的命令列表 本实验所使用的命令如实验表24-2所示。 实验表24-2 实验命令列表 24.6 思考题 在实验任务一中,使用交换机内置本地服务器对用户进行了本地认证。可不可以不在交换机上配置用户名、密码等信息,而对用户进行认证?
