当前位置:文档之家 › 实验四 交换机端口安全技术

实验四 交换机端口安全技术

  • 格式:docx
  • 大小:148.99 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

计算机网络实验报告-交换机端口隔离和端口安全

计算机网络实验报告-交换机端口隔离和端口安全

第 1 页 共 6 页
计算机网络实验
交换机端口隔离和端口安全
一、实验内容
通过划分port vlan 实现本交换端口隔离
二、实验设备与网络拓扑结构
三、实验目的及要求
目的:理解port vlan 的配置与端口安全的配置
四、实验步骤与结果
开始可以互相ping 通:
建立vlan
将端口0/5划分到vlan10:
查看vlan:
互相ping不通:
第3 页共6 页
配置交换机安全管理策略:
因为交换机在前面步骤学习到了另一台pc的mac地址,所以配置最大连接数时需要配置为2.
查看本机IP与MAC地址:
交换机端口地址绑定:
查看交换机的端口安全配置信息:
F0/1:
F0/5:
第5 页共6 页
查看安全地址信息:
……五、分析与讨论
1、
2、
3、。

交换机端口安全配置(共10张PPT)

交换机端口安全配置(共10张PPT)
配 Pr置ote交ct换当机安端全口地的址地S个址数w绑满定i后t,c安h全(端c口o将n丢f弃ig未知-i名f地-r址a的n包ge)#switchport port-security ! 开启交换机的端口安全功能 Switch(config-if)#switchport port-secruity mac-address 0006.
配置了交换机的端口安全功能后,当实际应用超出配置的要求, 将产生一个安全违例,产生安全违例的处理方式有3种:
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包 Restrict 当违例产生时,将发送一个Trap通知。 Shutdown 当违例产生时,将关闭端口并发送一个Trap通知。
当端口因违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。
计算机网络工程
计算机网络工程实验
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接 例如:某员工分配的IP地址是172.
Protect 当安全地址个数满后,安全端口将丢弃未知名地址的包
验证测试:查看交换机安全绑定配置
switch#show port-security address
switchonfig-if-range)#switchport port-security violation shutdown !配置安全违例的处理方式为 shutdown
验证测试:查看交换机的端口安全配置
Switch#show port-security
2、掌握交换机的端口安全功能,控制用户的安全接入。
该配主置机 交连换接机在端口1台的2最1s2大6wG连上接i。t数c限h制(config)#interface range fastethernet 0/1-23 进入一组端口配置模式 交换机端口安全配置步骤

端口安全实验

端口安全实验

实验一实验名称:交换机的端口安全配置。

实验目的:掌握交换机的端口安全功能。

技术原理:利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。

如MAC 地址攻击、ARP 攻击、IP/MAC 地址欺骗等。

交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能实现功能:查看交换机的各项参数。

实验设备: S2126G 一台,主机一台,直连网线一根。

实验拓朴:实验步骤:1.配置交换机端口最大连接数限制。

Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置。

Switch(config-if-range)# switchport port-security ! 开放交换机端口的安全功能。

Switch(config-if-range)#switchport port-security maximum 1 ! 配置端口的最大连接数为1。

Switch(config-if-range)#switchport port-security violation shutdown ! 配置安全违例的处理方式为shutdown.Switch#show port-security !查看交换机端口的安全配置。

Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action ------------ -------------------- ------------------ ---------------- Fa0/1 1 0 ShutdownFa0/2 1 0 ShutdownFa0/3 1 0 ShutdownFa0/4 1 0 Shutdown Fa0/5 1 0 Shutdown S2126C o n s o l eF 0/5 c o m 1N I CFa0/6 1 0 ShutdownFa0/7 1 0 ShutdownFa0/8 1 0 ShutdownFa0/9 1 0 ShutdownFa0/10 1 0 ShutdownFa0/11 1 0 ShutdownFa0/12 1 0 ShutdownFa0/13 1 0 ShutdownFa0/14 1 0 ShutdownFa0/15 1 0 ShutdownFa0/16 1 0 ShutdownFa0/17 1 0 ShutdownFa0/18 1 0 ShutdownFa0/19 1 0 ShutdownFa0/20 1 0 ShutdownFa0/21 1 0 ShutdownFa0/22 1 0 ShutdownFa0/23 1 0 Shutdown2.配置交换机端口的地址绑定。

交换机端口的安全管理技术-最新文档

交换机端口的安全管理技术-最新文档

交换机端口的安全管理技术1 端口管理的现状端口管理在早期以太网络中并没有得到重视,从hub到交换机,由于硬件的局限性,一直以来,网络设备都是即插即用,对交换机来说,端口都是开放的,只要支持二层网络协议的相关互联内容就可以了。

随着科技的进步,由于网络的范围逐步扩展,中型、大型网络不断出现,交换机的端口管理就必然出现,主要的几种方法都围绕着分割、互联、隔离、安全认证来进行。

2 端口管理的必要性交换机的端口的即插即用虽然很方便,但是也带来一系列问题,在ARP病毒泛滥的时期,由于ARP协议的自身缺陷,对冒充网关的MAC地址欺骗,交换机没有办法辨别,造成网络嗅探、网络中断频发;由于在企业信息网络中,基于安全考虑,并不希望在链路层即插即用,这样的话,就需要对接入的网络设备有一个辨别、认可的过程。

另外大型网络中一个广播域中的互相影响也很严重。

这些方面的问题,对网络管理人员提出了新的要求,那就是有必要实行严格的网络交换机端口管理。

现代的交换机性能在不断加强,主要表现在背板带宽上,端口速率上也从10M半双工发展到现在的千兆、万兆速率,同步的交换机的管理技术也有日新月异的发展。

3 端口管理的几种方法3.1 LAN传统的以太网是一个平面网络,网络中的所有主机通过HUB 或交换机相连,处在同一个广播域中。

HUB是物理层设备,没有交换功能,接收的报文会向所有端口转发;交换机是链路层设备,具备根据报文的目的MAC地址进行转发的能力,但在收到广播报文或未知单播报文(报文的目的MAC地址不在交换机MAC地址表中)时,也会向除报文入端口之外的所有端口转发。

上述情况使网络中的主机会收到大量并非以自身为目的地的报文,在浪费大量带宽资源的同时,也造成了严重的安全隐患。

隔离广播域的传统方法是使用路由器,但是路由器成本较高,而且端口较少,无法划分细致的网络。

交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。

通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。

交换机端口安全功能配置

交换机端口安全功能配置

172.16.1.55
!配置IP地址与 MAC地址的绑定
○ 验证测试:查看交换机安全绑定配置 ○ switch#show port-security address
步骤2.配置交换机端口的地址绑定
交换机端口安全配置注意事项
交换机端口安 全功能只能在 ACCESS接口 进行配置
交换机最大连 接数限制取值 范围是1~128, 默认是128.
交换机最大连 接数限制默认 的处理方式是 protect。
Protect 当安全地址个数满后,安全端口将丢弃未 知名地址的包
Restrict 当违例产生时,将发送一个Trap通知。
Shutdown 当违例产生时,将关闭端口并发送一 个 Tr a p 通 知 。 ○ 当端口因违例而被关闭后,在全局配置模式下使 用命令errdisable recovery来将接口从错误状 态恢复过来。
【实验设备】
S2126(1台)、直连线(1条)、PC(1 台)
交换机端口安全配置
01
01
01
交换机端口安全功能, 是指针对交换机的端口 进行安全属性的配置, 从而控制用户的安全接 入。交换机端口安全主 要有两种类型:一是限 制交换机端口的最大连 接数,二是针对交换机 端口进行MAC地址、 IP地址的绑定。
限制交换机端口的最大 连接数可以控制交换机 端口下连的主机数,并 防止用户进行恶意ARP 欺骗。
交换机端口的地址绑定, 可以针对IP地址、 MAC地址、IP+MAC 进行灵活的绑定。可以 实现对用户进行严格的 控制。保证用户的安全 接入和防止常见的内网 的网络攻击。
技术原理
交换机端 口安全配 置
配置了交换机的端口安全功能后,当实际应用超出 配置的要求,将产生一个安全违例,产生安全违例 的处理方式有3种:

交换机端口安全性

交换机端口安全性

交换机端口安全性交换机端口安全性【实验名称】交换机端口安全性【实验目的】理解什么是交换机的端口安全性,如何配置端口安全性。

【背景描述】从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。

现在要通过在交换机上做适当配置来实现这一目标。

本实验以一台S2126G交换机为例,交换机名为SwitchA。

一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。

假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。

【实现功能】通过在交换机上设置端口安全性来实现对网络访问的控制。

【实验拓扑】F0/1ConsoleNIC ComPC【实验设备】S2126G(1台)【实验步骤】第一步:在交换机上配置管理接口IP地址SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址SwitchA(config-if))# no shutdown !开启交换机管理接口验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1Description : Vlan 1OperStatus : upManagementStatus : EnabledPrimary Internet address: 192.168.0.138/24Broadcast address : 255.255.255.255PhysAddress : 00d0.f8ef.9d08SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性Sending 5, 100-byte ICMP Echos to 192.168.0.137,timeout is 2000 milliseconds.Success rate is 100 percent (5/5)Minimum = 1ms Maximum = 3ms, Average = 1ms第二步:打开交换机上fastethernet 0/1接口的端口安全功能SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access 模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能验证测试:验证已开启fastethernet 0/1接口的端口安全功能SwitchA#show port-security interface fastethernet 0/1Interface : Fa0/1Port Security : EnabledPort status : upViolation mode : ProtectMaximum MAC Addresses : 128Total MAC Addresses : 0Configured MAC Addresses : 0Aging time : 0 minsSecure static address aging : Disabled第三步:配置安全端口上的安全地址(可选)SwitchA(config)# interface fastethernet 0/1SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137! 手工配置接口上的安全地址验证测试:验证已配置了安全地址SwitchA#show port-security addresslan Mac Address IP Address Type Port Remaining Age(mins)---- --------------- --------------- ---------- -------- ------------------- 1 00e0.9823.9526 192.168.0.137 Configured Fa0/1第四步:验证这台PC机可以通过fastethernet 0/1端口访问交换机,而其它计算机不能通过fastethernet 0/1端口访问该交换机C:\>ping 192.168.0.138 ! 验证这台PC机可以通过fastethernet 0/1端口访问交换机现在拔下网线,将另一台计算机连接到交换机的fastethernet 0/1端口上C:\>ping 192.168.0.138 ! 验证这台PC机不能通过fastethernet 0/1端口访问交换机【注意事项】●安全地址设置是可选的;●如果交换机端口所连接的计算机网卡或IP地址发生改变,则必须在交换机上做相应的改变。

交换机端口的安全设置

交换机端口的安全设置
MAC地址欺骗
攻击者可能会伪造MAC地址,绕过交换机的安全限制,从而非 法接入网络。
IP地址冲突
非法用户可能会盗用合法的IP地址,导致IP地址冲突,影响网络 的正常运行。
端口安全的基本原则
01
最小权限原则
只给需要的用户或设备分配必要 的网络权限,避免过度分配导致 安全漏洞。
加密传输
0203定期审计来自端口镜像技术01
端口镜像技术是指将一个端口 的流量复制到另一个端口进行 分析和监控。
02
通过端口镜像技术,可以将交 换机端口的入方向或出方向流 量复制到监控端口,供网络管 理员进行分析和故障排除。
03
端口镜像技术可以帮助管理员 实时监控网络流量,发现异常 行为和潜在的安全威胁。
04 交换机端口安全加固措施
对敏感数据进行加密传输,防止 数据在传输过程中被窃取或篡改。
定期对交换机的端口安全配置进 行审计,确保配置的正确性和有 效性。
02 交换机端口安全配置
CHAPTER
端口隔离
将交换机的物理端口划分为不同的逻 辑端口组,使同一组内的端口之间无 法直接通信,从而隔离不同用户之间 的网络。
端口隔离可以防止网络中的潜在威胁 和攻击,提高网络安全性和稳定性。
将同一VLAN内的端口进行 逻辑隔离,防止广播风暴 和恶意攻击。
通过绑定IP地址和MAC地 址,防止IP地址欺骗和 MAC地址泛洪攻击。
限制特定MAC地址的设备 连接,防止未经授权的设 备接入网络。
校园网中的交换机端口安全配置案例
01 校园网络架构
02 安全配置
03 • 划分VLAN
04
05
• 实施访问控制列 • 绑定IP地址和
交换机端口的安全设置

实验四交换机端口的绑定配置

实验四交换机端口的绑定配置

实验四交换机端⼝的绑定配置实验三交换机端⼝的绑定配置当⽹络部署完毕后,任何⽤户在⽹络的任何位置只要插上⽹线就能够上⽹。

当机器中毒⽽引发⼤量发送⼴播包时,⽹络管理员应尽快将该机器从⽹络中清除出去。

为了能够快速定位主机并清除,需要将交换机的端⼝与主机的MAC地址绑定,即该主机只能通过特定的端⼝传送数据,如果交换机端⼝上更换了主机,则该主机不能连接到⽹络上,从⽽保证⽹络的安全性。

⼀、实验⽬的1.掌握对交换机端⼝进⾏配置的命令。

2.掌握配置交换机端⼝安全性的命令。

3.掌握测试交换机端⼝安全性的⽅法。

⼆、原理概述交换机端⼝安全性,是指配置交换机某端⼝能够连接的终端数量,当超过该数量时且连接的计算机不是指定的计算机时,该端⼝按照安全性指定违反操作进⾏⼯作。

三、实验内容1.掌握以太⽹交换机单个端⼝和多个端⼝的配置命令。

2.掌握交换机MAC地址表的显⽰和操作命令。

3.掌握交换机的端⼝安全性配置命令。

4.掌握交换机配置⽂件保存命令四、实验环境1.⽤于配置和测试的三台计算机(安装Windows 操作系统);2.交换机⼀台(本实验中采⽤华为的“S5700-28C-HI”系列的交换机);3.直连⽹线若⼲根;4.CTL串⾏通信线⼀根。

实验拓扑结构如图6-5所⽰。

图6- 1 实验拓扑五、实验步骤1. 将交换机的GE0/0/2、GE0/0/3 和GE0/0/4分别连接主机PC1、PC2和PC3。

并且将PC1、PC2和PC3的IP地址分别设置为192.168.0.2,192.168.0.3和192.168.0.4,⼦⽹掩码分别配置为:255.255.255.0,默认⽹关的地址为:192.168.0.1,DNS的地址为192.168.0.254。

2. 配置交换机的密码⑴利⽤PC1的超级终端,进⼊交换机,使⽤命令system-view ,进⼊到交换机的系统视图。

⑵使⽤super password cipher 456 ,设置交换机的⽤户super密码为456⑶使⽤quit ,退出系统视图。

实点四网口交换机安全操作及保养规程

实点四网口交换机安全操作及保养规程

实点四网口交换机安全操作及保养规程实点四网口交换机(S3210-28T4FP)是一款功能强大的网络设备,为公司或机构的网络连接提供高效且稳定的支持。

然而,使用网络设备涉及到一些基本的操作和保养,以确保设备的正常运行并确保网络安全。

本文将就实点四网口交换机的安全操作和保养规程进行详细说明。

安全操作规程1.设备安装前需确认电源稳定,并确保良好的接地,以避免电气击穿及设备损坏。

2.进行设备开垦连接时,需在安装地点放置适合的消防器械和防静电工具以避免因静电或火源引起设备受损。

3.成功启动实点四网口交换机后,需及时修改设备登录密码并妥善保管,避免被他人非法盗用。

4.对于需要进行远程连接的设备,应设置访问控制,只允许设备合法的访问,避免被未授权的人员访问,保障公司或机构的网络安全。

5.如需更新设备固件,应从正规官方渠道下载升级包,并在升级时做好备份工作,同时对设备升级过程进行记录,以备对升级结果进行核查。

6.实点四网口交换机为网络设备,独立传输宽带线路信号,故在使用过程中需注意其环境和温度监测,确保其周围环境平稳和温度适宜。

保养规程1.实点四网口交换机应放置于明火远离的干燥、通风、无尘、无腐蚀气体环境中,避免水潮、直射阳光、磁场影响或与电气设备同时工作。

2.使用过程中,应及时查看网络设备的各种指示灯,留心设备是否存在口粘、线路故障和信号断点等情况,避免影响设备稳定性和安全性,并对问题进行及时处理。

3.为确保设备的良好运行,应定期检查设备的通风系统,确保设备的散热工作正常,以避免设备内部自燃,影响整个网络的运作。

4.路由器安装位置需要远离磁场干扰源,路由器开施使用也可对设备进行定期的自检与清理,以保证设备正常的运行和使用寿命的延长。

系统清理后需对路由器的固定螺丝进行更换,并对设备进行磨洁处理。

5.使用实点四网口交换机后,应及时更新设备存储的日志,以及将日志和网络融入整体安全管理体系,定期对保障所做的工作进行回顾,防止以后出现类似问题。

交换机端口安全配置(共10张PPT)

交换机端口安全配置(共10张PPT)

5交5换机端口!安配全置配IP地置了址步与骤防M止AC地公址司的绑内定 部用户的IP地址冲突,防止公司内部的网络攻击
计算机网络工程
IP 为交每换一 机位端员口工安分全配功了能和固配定置破的坏IP地行址,为并且。限制为只允每许公一司位员工员主机工可以分使用配网络了,不固得定随意的连接其他地主机址。 ,并且限制只
计算机网络工程实用教程
交换机端口安全配置
第1页,共10页。
计算机网络工程
计算机网络工程实验
实验目的
交换机端口安全功能配置
➢ 1、理解什么是交换机的端口安全性; ➢ 2、掌握交换机的端口安全功能,控制用户的安全接入。
第2页,共10页。
计算机网络工程实验
交换机端口安全配置
【背景描述】
配置交换机端口➢的最你大连是接一数限个制 公司的网络管理员,公司要求对网络进行严格控制。为
213、b配4 i置p-交ad换dr机es端s 1口7配2最. 大置连接,数限从制 而控制用户的安全接入。交换机端口安全主要有两种
类型:一是限制交换机端口的最大连接数,二是针对交换机端 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意ARP欺骗。
限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意ARP欺骗。
在主机上打开CMD命令窗口,执行ipconfig/all命令查看IP和MAC地址信息。
Trap通知。
为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。
验证测试:查看交换S机h的u端td口安o全w配n置 当违例产生时,将关闭端口并发送一个Trap通知。
在主机上打开CMD命令窗口,执行ipconfig/all命令查看IP和MAC地址信息。

交换机端口安全实验

交换机端口安全实验

网络生产实习报告
专业:
姓名:
学号:
指导教师:
实验日期:
交换机端口安全
一、实验要求
配置端口安全,验证端口安全性
二、实验内容(拓扑)
三、实验结果与分析(包括截图)
Switch的f/1与R1的f0/1相连,在Switch的f/1上做端口安全Switch#confit terminal
Switch (config)#int f0/1
Switch (config-if)#switchport mode access
Switch (config-if)#switchport port-security (打开端口安全)
Switch (config-if)#switchport port-security maximum 1 (接口最大mac 地址数量为1)
Switch (config-if)#switchport port-security mac-address aaaa.aaaa.aaaa (规定安全mac地址)
下面阐述三种惩罚机制的现象
(1)shudown
Switch (config-if)#switchport port-security violation shudown
因为R1的接口地址不是aaaa.aaaa.aaaa,启用安全特性后会将Switch 的f0/1置为err-disable状态
(2)protect
SW2(config-if)#switchport port-security violation protect
(3)restrict
会一直出现报警信息。

实验环境搭建和交换机端口安全配置

实验环境搭建和交换机端口安全配置

实验环境搭建:
1. 准备两台计算机,一台作为服务器,另一台作为客户端。

2. 在服务器上安装操作系统(如Windows Server 2016或Linux)。

3. 在客户端上安装操作系统(如Windows 10或Linux)。

4. 在服务器和客户端之间建立网络连接,可以使用网线或无线网络。

5. 配置IP地址、子网掩码、网关等网络参数,确保两台计算机可以互相访问。

交换机端口安全配置:
1. 登录交换机管理界面,进入端口安全配置页面。

2. 选择需要配置的端口,设置安全模式(如静态安全、动态安全等)。

3. 设置最大连接数,限制同一端口上的设备数量。

4. 启用MAC地址过滤,只允许指定的MAC地址通过该端口。

5. 设置端口速率限制,防止恶意设备占用大量带宽。

6. 启用802.1X认证,要求用户输入用户名和密码才能访问网络。

7. 保存配置并重启交换机,使配置生效。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

交换机端口安全技术
24.1 实验内容与目标
完成本实验,应该能够达到以下目标。

● 掌握802.1x 的基本配置
● 掌握端口隔离基本配置
● 掌握端口绑定技术基本配置
24.2 实验组网图
本实验按照实验图24-1进行组网。

PCA
PCB
SWA
实验图24-1 实验组网图 24.3 实验设备与版本
本实验所需之主要设备器材如实验表24-1所示。

实验表 24-1 实验设备器材
24.4 实验过程
实验任务一 配置802.1x
本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。

通过本实验,掌握802.1x认证的基本
原理和802.1x本地认证的基本配置。

步骤一:建立物理连接并初始化交换机配置。

按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。

如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二:检查互通性。

分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。

配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。

步骤三:配置802.1x协议。

实现在交换机SWA上启动802.1x协议,过程如下:
首先需要分别在和开启802.1x认证功能,在
下面的空格中补充完整的命令。

[SWA]
[SWA]dot1x
其次在SWA上创建本地802.1x用户,用户名为abcde,密码为
明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。

步骤四:802.1x验证。

配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。

导致如上结果的原因是交换机上开启了802.1x认证,需要在客
户端配置802.1x认证相关属性。

PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。

在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。

再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
出。

实验图 24-2 配置本地连接属性
实验图 24-3 启用802.1x验证
等待几秒种后,屏幕右下角会自动弹出要求认证的相应提示,如实验图24-4所示。

按实验图24-4所示的提示要求单击,系统弹出对话框,要求输入用户名和密码,如实验图24-5所示。

实验图 24-4 802.1x验证提示
实验图 24-5 输入用户名和密码
在对话框输入用户名abcde和密码12345后,单击“确定”按钮,系统提示通过验证。

在PCA与PCB都通过验证后,在PCA上用ping命令来测试到PCB 的互通性。

结果是。

注意:如果Windows系统长时间没有自动弹出要求认证提示,或认证失败需要重新认证,可以将电缆断开再连接,以重新触发802.1x认证过程。

实验任务二配置端口隔离
本实验通过在交换机上配置端口隔离,使处于隔离组内的两台
PC不能互相访问,但PC能够访问上行端口的PC。

通过本实验,掌握端口隔离的基本原理和配置。

步骤一:建立物理连接并运行超级终端。

按实验图24-1进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。

如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二:检查互通性。

分别配置PCA和PCB的IP地址为172.16.0.1/24、172.16.0.2/24。

配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。

步骤三:配置端口隔离。

在交换机上启用端口隔离,设置端口Ethernet1/0/1、
Ethernet1/0/2为隔离组的普遍端口,端口Ethernet1/0/24为隔离组的上行端口。

配置SWA过程如下:
[SWA]interface Ethernet1/0/1
[SWA-Ethernet1/0/1]
[SWA]interface Ethernet1/0/2
[SWA-Ethernet1/0/2]
[SWA]interface Ethernet1/0/24
[SWA-Ethernet1/0/24]
配置完成后,通过命令查看隔离组的信息。

步骤四:端口隔离验证。

在PCA上用ping命令测试到PCB的互通性,其结果是。

然后将PCB从端口Ethernet1/0/2断开,把PCB连接到Ethernet1/0/24上,再用ping命令测试,其结果是。

实验任务三配置端口绑定
本实验通过在交换机上配置端口绑定,使交换机上的绑定端口只能让特定用户接入。

通过本实验,掌握端口绑定的基本应用和配置。

步骤一:建立物理连接并初始化交换机配置。

根据实验图24-1进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。

如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。

步骤二:配置端口绑定。

配置PCA的IP地址为172.16.0.1/24,PCB的IP地址为
172.16.0.2/24。

分别查看并记录PCA和PCB的MAC地址。

之后再交换机SWA上启用端口绑定,设置端口Ethernet1/0/1与PCA的MAC地址绑定,端口Ethernet1/0/2与PCB的MAC地址绑定,在如下空格中补充完整的命令。

[SWA]interface Ethernet 1/0/1
[SWA-Ethernet1/0/1]user-bind
[SWA]interface Ethernet 1/0/2
[SWA-Ethernet1/0/2]
配置完成后,通过执行命令查看已设置绑定的信息。

步骤三:端口绑定验证。

在PCA上用ping命令来测试到PCB的互通性,其结果是。

断开PC与交换机之间的连接,然后将PCA连接到端口
Ethernet1/0/2,PCB连接到端口Ethernet1/0/1,再重新用ping命令来测试PCA到PCB的互通性,其结果是。

注意:未配置端口绑定的端口允许所有报文通过。

24.5 实验中的命令列表
本实验所使用的命令如实验表24-2所示。

实验表24-2 实验命令列表
24.6 思考题
在实验任务一中,使用交换机内置本地服务器对用户进行了本地认证。

可不可以不在交换机上配置用户名、密码等信息,而对用户进行认证?。