交换机端口安全实验
随着以太网应用的日益普及,以太网安全成为日益迫切的需求。在没有安全技术应用的以太网中,用户只要能连接到交换机的物理端口,就可以访问网络中的所有资源,局域网的安全无法得到保证。以太网交换机针对网络安全问题提供了多种安全机制,包括地址绑定、端口隔离、接入认证等技术。本实验将以配置802.1X验证授权访问的实验内容来展示交换机端口安全机制。
实验拓扑
注:如无特别说明,描述中的R1或SW1对应拓扑中设备名称末尾数字为1的设备,R2或SW2对应拓扑中设备名称末尾数字为2的设备,以此类推
实验目的
- 掌握802.1X基本原理及其配置
- 掌握端口隔离技术及其配置
实验需求
- 按照图示配置IP地址
- 在SW1所有连接PC的接口上配置开启802.1X验证,使接入的终端需要进行身份验证
- 创建一个用户身份验证的用户。用户名为
zhangsan
,密码为admin12345
- 创建一个端口隔离组,实现三台PC无法互相访问
实验解法
- PC配置IP部分省略,参考前期实验。
- 在SW1上开启802.1X身份验证
ps:开启802.1X验证需要首先在系统视图下开启全局802.1X,再到接口视图下开启802.1X
2.1、在SW1的系统视图下开启全局802.1X
[SW1]dot1x
2.2、分别在三个连接PC的接口上开启802.1X
[SW1]int g1/0/1
[SW1-GigabitEthernet1/0/1]dot1x
[SW1-GigabitEthernet1/0/1]int g1/0/2
[SW1-GigabitEthernet1/0/2]dot1x
[SW1-GigabitEthernet1/0/2]int g1/0/3
[SW1-GigabitEthernet1/0/3]dot1x
[SW1-GigabitEthernet1/0/3]
- 创建一个用户身份验证的用户。用户名为
zhangsan
,密码为admin12345
ps:用于802.1X验证的用户类型必须是network,且服务类型为lan-access,否则将无法用于802.1X验证。用于身份验证的用户无需配置身份权限
[SW1]local-user zhangsan class network
New local user added.
[SW1-luser-network-zhangsan]password simple admin12345
[SW1-luser-network-zhangsan]service-type lan-access
[SW1-luser-network-zhangsan]
由于802.1X的验证无法在模拟器环境中实现,所以这里不做实验效果测试
配置完成后PC接口为Down状态
- 创建一个端口隔离组,实现三台PC无法互相访问
ps:端口隔离组用于同vlan内部的端口隔离,属于同一个隔离组的接口无法互相访问,不同隔离组的接口才可以互相访问,所以需要把SW1的三个接口都加入到同一个隔离组
4.1、在SW1上创建编号为1号的隔离组
[SW1]port-isolate group 1
4.2、把g1/0/1、g1/0/2、g1/0/3接口都加入到该隔离组
[SW1]int g1/0/1
[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
[SW1-GigabitEthernet1/0/1]int g1/0/2
[SW1-GigabitEthernet1/0/2]port-isolate enable group 1
[SW1-GigabitEthernet1/0/2]int g1/0/3
[SW1-GigabitEthernet1/0/3]port-isolate enable group 1
[SW1-GigabitEthernet1/0/3]
由于端口隔离的验证无法在模拟器环境中实现,所以这里不做实验效果测试