H3CNE交换机端口安全配置8021x 端口隔离 端口绑定 交换机端口绑定与端口安全.docx
- 文档编号:23690161
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:8
- 大小:394.54KB
H3CNE交换机端口安全配置8021x 端口隔离 端口绑定 交换机端口绑定与端口安全.docx
《H3CNE交换机端口安全配置8021x 端口隔离 端口绑定 交换机端口绑定与端口安全.docx》由会员分享,可在线阅读,更多相关《H3CNE交换机端口安全配置8021x 端口隔离 端口绑定 交换机端口绑定与端口安全.docx(8页珍藏版)》请在冰豆网上搜索。
H3CNE交换机端口安全配置8021x端口隔离端口绑定交换机端口绑定与端口安全
H3C端口绑定与端口安全
端口安全:
1.启用端口安全功能
[H3C]port-securityenable
2.配置端口允许接入的最大MAC地址数
[H3C-Ethernet1/0/3]port-securitymax-mac-countcount-value
缺省情况下,最大数不受限制为0
3.配置端口安全模式
[H3C-Ethernet1/0/3]port-securityport-mode {autolearn|noRestriction… }
4.手动添加SecureMAC地址表项
[H3C-Ethernet1/0/3]mac-addresssecurity mac-address vlan vlan-id
5.配置IntrusionProtection(IntrusionProtection被触发后,设置交换机采取的动作)
[H3C-Ethernet1/0/3]port-securityintrusion-mode {blockmac | disableport |disableport-temporarily }
验证命令:
displayport-security [ interface interface-list ]显示端口安全配置的相关信息
displaymac-addresssecurity [ interfaceinterface-type interface-number ][ vlan vlan-id ]
显示SecureMAC地址的配置信息
端口+IP+MAC绑定
方法一:
[H3C]amuser-bindmac-addrB888-E37B-CE2Cip-addr192.168.1.106interfaceEthernet1/0/3
方法二:
[H3C-Ethernet1/0/3]amuser-bindmac-addrB888-E37B-CE2Cip-addr192.168.1.106
验证命令:
[H3C]displayamuser-bind 显示端口绑定的配置信息
端口+IP绑定
[H3C-Ethernet1/0/3]amuser-bindip-addr192.168.1.106
注:
交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。
选用交换机时应该注意交换机所支持的最大ARP表项的数目。
H3CNE交换机端口安全配置(802.1x端口隔离端口绑定)
实验5交换机端口安全技术
实验任务一:
配置802.1X
步骤一:
建立物理连接并初始化交换机配置
步骤二:
检查互通性
步骤三:
配置802.1X协议
实现在交换机SWA上启动802.1X协议:
首先需要分别在全局和端口开启802.1X认证功能,请在下面的空格中补充完整的命令:
[SWA]dot1x
[SWA]dot1xinterfacee1/0/1e1/0/2
其次在SWA上创建本地802.1X用户,用户名为abcde”,密码为明文格式的12345,该用户的服务类型service-type是lan-access。
请在如下的空格中完成该本地用户的配置命令:
[SWA]local-userabcde
[SWA-luser-h3c]service-typelan-access
[SWA-luser-h3c]passwordsimple12345
步骤四:
802.1X验证
配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是PCA与PCB不能够互通。
导致如上结果的原因是交换机上开启了802.1X认证,需要在客户端配置802.1X认证相关属性。
PC可以使用802.1X客户端软件或Windows系统自带客户端接入交换机。
本实验以Windows系统自带客户端为例说明如何进行设置。
在Windows操作系统的【控制面板】中选择【网络和Internet连接】,选取【网络连接】中的【本地连接】,点击【属性】,如下所示:
再选取【验证】,并勾选【启用此网络的IEEE802.1x验证】,如下所示:
然后点击【确定】,保存退出。
等待几秒钟后,屏幕右下角会自动弹出要求认证的相应提示,如下所示:
在对话框中输入用户名abcde和密码12345后,点击【确定】,系统提示通过验证。
在PCA与PCB都通过验证后,在PCA上用ping命令来测试到PCB的互通性。
结果是PCA与PCB能够互通
注意:
如果Windows系统长时间没有自动弹出要求认证提示,或认证失败需要重新认证,可以将电缆断开再连接,以重新触发802.1X认证过程
实验任务二:
配置端口隔离
步骤一:
建立物理连接并初始化交换机配置
步骤二:
检查互通性
步骤三:
配置端口隔离
在交换机上启用端口隔离,设置端口Ethernet1/0/1、Ethernet1/0/2为隔离组的普通端口,端口Ethernet1/0/24为隔离组的上行端口。
配置SWA:
[SWA]interfaceEthernet1/0/1
[SWA-Ethernet1/0/1]port-isolateenable
[SWA]interfaceEthernet1/0/2
[SWA-Ethernet1/0/2]port-isolateenable
[SWA]interfaceEthernet1/0/24
[SWA-Ethernet1/0/2]port-isolateuplink-port
配置完成后,通过displayport-isolategroup命令查看显示隔离组的信息。
.
步骤四:
端口隔离验证
配置完成后,再次在PCA上用ping命令测试到PCB得互通性,其结果是PCA与PCB不能互通
然后将PCB从端口Ethernet1/0/2断开,把PCB连接到隔离组的上行端口Ethernet1/0/24上,再用ping命令测试,其结果是PCA与PCB可以互通
实验任务三:
配置端口绑定
步骤一:
建立物理连接并初始化路由器配置
步骤二:
配置端口绑定
配置PCA的IP地址为172.16.0.1/24,PCB的IP地址为172.16.0.2/24
分别查看并记录PCA和PCB的MAC地址,
之后在交换机SWA上启用端口绑定,设置端口Ethernet1/0/1与PCA的MAC地址绑定,端口Ethernet1/0/2与PCB的MAC地址绑定,请在如下空格中补充完整的命令:
[SWA]interfaceethernet1/0/1
[SWA-Ethernet1/0/1]user-bindmac-addr001C-233D-5695
[SWA]interfaceethernet1/0/2
[SWA-Ethernet1/0/2]user-bindmac-addr0013-728E-4751
配置完成后,通过执行displayuser-bind命令查看已设置绑定的信息。
步骤三:
端口绑定验证
在PCA上用ping命令来测试到PCB的互通性,其结果是PCA与PCB可以互通
断开PC与交换机间的连接,然后将PCA连接到端口Ethernet1/0/2,PCB连接到端口Ethernet1/0/1。
再重新用ping命令来测试PCA到PCB的互通性。
其结果是PCA与PCB不能互通
注意:
未配置端口绑定的端口允许所有报文通过。
步骤二中的MAC地址以学员实际操作的PC的MAC地址为准。
H3C交换机端口安全
一、开启端口安全
[switch]port-securityenable
二、配置端口安全允许的最大安全MAC地址数
[switch] interface interface-type interface-number //进入端口
[switch-interface]port-securitymax-mac-count count-value
三、配置端口安全模式-自动学习
[switch-interface] port-securityport-modeautolearn
四、配置端口安全的特性
[switch-interface]port-securityntk-mode {ntk-withbroadcasts| ntk-withmulticasts |ntkonly}
注:
ntkonly:
仅允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文通过。
• ntk-withbroadcasts:
允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文或广播地址
的报文通过。
• ntk-withmulticasts:
允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文,广播地址
或组播地址的报文通过。
五、配置***检测特性
[switch-interface]port-securityintrusion-mode {blockmac| disableport|disableport-temporarily}
注:
blockmac:
表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞
MAC地址的报文将被丢弃。
此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
•disableport:
表示将收到非法报文的端口永久关闭。
•disableport-temporarily:
表示将收到非法报文的端口暂时关闭一段时间。
关闭时长可通过port-securitytimerdisableport命令配置。
基本配置已完成,下面的是可选项
六、配置系统暂时关闭端口的时间(可选)
[switch]port-securitytimerdisableporttime-valu
七、手动配置MAC安全地址(可选)
[switch]port-securitymac-addresssecurity[sticky]mac-addressinterfaceinterface-typeinterface-numbervlanvlan-id
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3CNE交换机端口安全配置8021x 端口隔离 端口绑定 交换机端口绑定与端口安全 H3CNE 交换机 端口 安全 配置 8021 隔离 绑定