交换机端口安全实验

原创

网络技术联盟站 2020-12-06 20:43:34 ©著作权

文章标签 java 文章分类 Java 后端开发

©著作权归作者所有：来自51CTO博客作者网络技术联盟站的原创作品，请联系作者获取转载授权，否则将追究法律责任

交换机端口安全实验

实验拓扑图 1-1

注：如无特别说明，描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备，R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备，以此类推

实验需求

按照图示配置 IP 地址在 SW1 所有连接 PC 的接口上配置开启 802.1X 验证，使接入的终端需要进行身份验证创建一个用户身份验证的用户。用户名为 wangdaye ，密码为 123456 创建一个端口隔离组，实现三台 PC 无法互相访问

实验解法

1 、PC 配置 IP 地址部分略在 SW1 上开启 802.1X 身份验证

分析：开启 802.1X 验证需要首先在系统视图下开启全局 802.1X ，再到接口视图下开启 802.1X

步骤 1：在 SW1 的系统视图下开启全局 802.1X


[SW1]dot1x

步骤 2 ：分别在三个连接 PC 的接口上开启 802.1X

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]dot1x
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]dot1x
[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]dot1x

2、创建一个用户身份验证的用户。用户名为 wangdaye ，密码为 123456

分析：用于 802.1X 验证的用户类型必须是 network ，且服务类型为 lan-access ，否则将无法用于 802.1X 验证。用于身份验证的用户无需配置身份权限


[SW1]local-user wangdaye class network
New local user added.
[SW1-luser-network-wangdaye]password simple 123456
[SW1-luser-network-wangdaye]service-type lan-access

由于 802.1X 的验证无法在模拟器环境中实现，所以这里不做实验效果测试3、创建一个端口隔离组，实现三台 PC 无法互相访问

分析：端口隔离组用于同 vlan 内部的端口隔离，属于同一个隔离组的接口无法互相访问，不同隔离组的接口才可以互相访问，所以需要把 SW1 的三个接口都加入到同一个隔离组

步骤 1 ：在 SW1 上创建编号为 1 号的隔离组

[SW1]port-isolate group 1

步骤 2 ：把 g1/0/1 、 g1/0/2 、 g1/0/3 接口都加入到该隔离组

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]port-isolate enable group 1
[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]port-isolate enable group 1

由于端口隔离的验证无法在模拟器环境中实现，所以这里不做实验效果测试