資源描述:
《交換機端口安全技術》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫。
1、交換機端口安全技術ISSUE1.0日期:杭州華三通信技術有限公司版權所有,未經(jīng)授權不得使用與傳播掌握802.1X基本原理及其配置掌握端口隔離技術及其配置掌握端口綁定技術及其配置課程目標學習完本課程,您應該能夠:802.1X基本原理及其配置端口隔離技術及其配置端口綁定技術及其配置目錄802.1X技術簡介802.1X協(xié)議起源于標準的無線局域網(wǎng)協(xié)議802.11。主要目的是為了解決有線局域網(wǎng)用戶的接入認證問題。Internet802.11802.1X客戶端設備端認證服務器端本地認證由設備端內(nèi)置本地服務器對客戶端進行認證遠程集中認證由遠程
2、的認證服務器對客戶端進行認證802.1X的體系結構端口接入控制方式MAC-basedPort-basedHub基于端口的認證方式基于MAC的認證方式Switch802.1X基本配置[Switch]dot1x開啟全局的802.1X特性開啟端口的802.1X特性添加本地接入用戶并設置相關參數(shù)[Switch]dot1xinterfaceinterface-list[Switch]local-useruser-name[Switch-luser-localuser]service-typelan-access[Switch-luser-
3、localuser]password{cipher
4、simple}password802.1X典型配置舉例[SWA]dot1x[SWA]dot1xinterfaceethernet1/0/1[SWA]local-userlocaluser[SWA-luser-localuser]passwordsimplehello[SWA-luser-localuser]service-typelan-accessPCSWAE1/0/1802.1X的基本原理和配置端口隔離技術及其配置端口綁定技術及其配置目錄端口隔離簡介Port-isolate
5、GroupVLAN1SwitchVLAN2VLAN3Switch端口隔離用于在VLAN內(nèi)隔離以太網(wǎng)端口Uplink-port[Switch-Ethernet1/0/1]port-isolateenable將指定端口加入到隔離組中,端口成為隔離組的普通端口將指定端口加入到隔離組中,端口成為隔離組的上行端口端口隔離基本配置[Switch-Ethernet1/0/2]port-isolateuplink-port端口隔離配置舉例E1/0/2E1/0/1E1/0/3E1/0/4Uplink-portPCAPCBPCC[SWA]inter
6、faceethernet1/0/2[SWA-Ethernet1/0/2]port-isolateenable[SWA]interfaceethernet1/0/3[SWA-Ethernet1/0/3]port-isolateenable[SWA]interfaceethernet1/0/4[SWA-Ethernet1/0/4]port-isolateenable[SWA]interfaceethernet1/0/1[SWA-Ethernet1/0/1]port-isolateuplink-portServer802.1X的基本原
7、理和配置端口隔離技術及其配置端口綁定技術及其配置目錄端口綁定技術簡介通過“MAC+IP+端口”綁定功能,可以實現(xiàn)設備對轉(zhuǎn)發(fā)報文的過濾控制,提高了安全性。MAC:0001-0201-2123IP:10.1.1.1/24MAC:0001-0401-2126IP:10.2.1.1/24MAC:0002-0261-2562IP:10.3.1.1/24E1/0/2E1/0/1E1/0/3E1/0/4PCAPCBPCCMACIPPort0001-0201-000010.1.1.1E1/0/20001-0401-212610.2.1.1E1/
8、0/30001-0401-212610.3.1.2E1/0/4[Switch-Ethernet1/0/1]user-bindip-addressip-address[mac-addressmac-address]配置靜態(tài)綁定表項端口綁定基本配置端口綁定典型配置舉例MAC:0001-0201-2123IP:10.1.1.1/24MAC:0001-0401-2126IP:10.2.1.1/24MAC:0002-0261-2562IP:10.3.1.1/24E1/0/2E1/0/1E1/0/3E1/0/4PCAPCBPCC[SWA]i
9、nterfaceethernet1/0/2[SWA-Ethernet1/0/2]user-bindip-address10.1.1.1mac-address0001-0201-2123[SWA]interfaceethernet1/0/3[SWA-Etherne