交换机端口安全技术

交换机端口安全技术24.1实验内容与目标完成本实验，应该能够达到以下目标。掌握802.1x的基本配置掌握端口隔离基本配置掌握端口绑定技术基本配置24.2实验组网图本实验按照实验图24-1进行组网。PCAPCBSWAE1/0/1E1/0/2实验图24-1实验组网图24.3实验设备与版本本实验所需之主要设备器材如实验表24-1所示。实验表24-1实验设备器材名称和型号版本数量描述S3610CMW5.20-R53601PCWindowsXPSP22Console串口线1第五类UTP以太网连接线224.4实验过程实验任务一配置802.1x本实验通过在交换机上配置802.1x协议，使接入交换机的PC经过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本原理和802.1x本地认证的基本配置。步骤一：建立物理连接并初始化交换机配置。按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。步骤二：检查互通性。分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是PCA和PCB能够互通。步骤三：配置802.1x协议。实现在交换机SWA上启动802.1x协议，过程如下：首先需要分别在全局和端口开启802.1x认证功能，在下面的空格中补充完整的命令。[SWA]dot1x[SWA]dot1xinterfacee1/0/1e1/0/2其次在SWA上创建本地802.1x用户，用户名为abcde，密码为明文格式的12345，该用户的服务类型server-type是lan-access，在如下的空格中完成该本地用户的配置命令。[SWA]local-userabcde[SWA-luser-h3c]service-typelan-access[SWA-luser-h3c]passwordsimple123456步骤四：802.1x验证。配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB不能够互通。导致如上结果的原因是交换机上开启了802.1x认证，需要在客户端配置802.1x认证相关属性。PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。在Windows操作系统的“控制面板”窗口中双击“网络和Internet连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退出。实验图24-2配置本地连接属性实验图24-3启用802.1x验证等待几秒种后，屏幕右下角会自动弹出要求认证的相应提示，如实验图24-4所示。按实验图24-4所示的提示要求单击，系统弹出对话框，要求输入用户名和密码，如实验图24-5所示。实验图24-4802.1x验证提示实验图24-5输入用户名和密码在对话框输入用户名abcde和密码12345后，单击“确定”按钮，系统提示通过验证。在PCA与PCB都通过验证后，在PCA上用ping命令来测试到PCB的互通性。结果是PCA与PCB能够互通。注意：如果Windows系统长时间没有自动弹出要求认证提示，或认证失败需要重新认证，可以将电缆断开再连接，以重新触发802.1x认证过程。实验任务二配置端口隔离本实验通过在交换机上配置端口隔离，使处于隔离组内的两台PC不能互相访问，但PC能够访问上行端口的PC。通过本实验，掌握端口隔离的基本原理和配置。步骤一：建立物理连接并运行超级终端。按实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。步骤二：检查互通性。分别配置PCA和PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB不能够互通。步骤三：配置端口隔离。在交换机上启用端口隔离，设置端口Ethernet1/0/1、Ethernet1/0/2为隔离组的普遍端口，端口Ethernet1/0/24为隔离组的上行端口。配置SWA过程如下：[SWA]interfaceEthernet1/0/1[SWA-Ethernet1/0/1]port-isolateenable[SWA]interfaceEthernet1/0/2[SWA-Ethernet1/0/2]port-isolateenable[SWA]interfaceEthernet1/0/24[SWA-Ethernet1/0/24]port-islateuplink-port配置完成后，通过displayport-isolategroup命令查看隔离组的信息。步骤四：端口隔离验证。在PCA上用ping命令测试到PCB的互通性，其结果是PCA与PCB不能互通。然后将PCB从端口Ethernet1/0/2断开，把PCB连接到Ethernet1/0/24上，再用ping命令测试，其结果是PCA与PCB能够互通。实验任务三配置端口绑定本实验通过在交换机上配置端口绑定，使交换机上的绑定端口只能让特定用户接入。通过本实验，掌握端口绑定的基本应用和配置。步骤一：建立物理连接并初始化交换机配置。根据实验图24-1进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。步骤二：配置端口绑定。配置PCA的IP地址为172.16.0.1/24，PCB的IP地址为172.16.0.2/24。分别查看并记录PCA和PCB的MAC地址。之后再交换机SWA上启用端口绑定，设置端口Ethernet1/0/1与PCA的MAC地址绑定，端口Ethernet1/0/2与PCB的MAC地址绑定，在如下空格中补充完整的命令。[SWA]interfaceEthernet1/0/1[SWA-Ethernet1/0/1]user-bindmac-addr001C-233D-5695[SWA]interfaceEthernet1/0/2[SWA-Ethernet1/0/2]mac-addr0013-728E-4751配置完成后，通过执行displayuser-bind命令查看已设置绑定的信息。步骤三：端口绑定验证。在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB能够互通。断开PC与交换机之间的连接，然后将PCA连接到端口Ethernet1/0/2，PCB连接到端口Ethernet1/0/1，再重新用ping命令来测试PCA到PCB的互通性，其结果是PCA与PCB不能够互通。注意：未配置端口绑定的端口允许所有报文通过。24.5实验中的命令列表本实验所使用的命令如实验表24-2所示。实验表24-2实验命令列表命令描述dot1x开启全局的802.1x特性dot1xinterfaceinterface-list开启端口的802.1x特性port-isolateenable将指定端口加入到隔离组中做为隔离组的普通端口port-isolateuplink-port将指定端口加入到隔离组中做为隔离组的上行端口displayport-isolategroup显示端口隔离组信息user-bindmac-addrmac-addressip-addrip-address配置当前端口与相应MAC、IP地址绑定displayuser-bind显示端口绑定信息24.6思考题在实验任务一中，使用交换机内置本地服务器对用户进行了本地认证。可不可以不在交换机上配置用户名、密码等信息，而对用户进行认证？