标签:H3C int Ethernet1 端口 安全 e1 port
目录
实验一.802.1X基本原理及其配置
[H3C]dot1x
[H3C]dot1x int e1/0/6
[H3C]local-user wnt
[H3C-luser-wnt]password simple wnt
[H3C-luser-wnt]service-type lan-access
实验二.端口隔离技术及其配置
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]port isolate
实验三.端口绑定技术及其配置
[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66 2种方式
实验一.802.1X配置
实现802.1x的方式
1.基于端口的认证方式
只要该端口的第一个用户认证成功后,其它接入用户无须认证就可以使用网络资源;当第一个用户下线后,其它用户也会被拒绝使用网络。
2.基于MAC的认证方式
该端口下的所有接入用户均需要单独认证,当某个用户下线时,不影响其它用户使用网络资源。
默认的接入控制方式为基于MAC的认证。
我们一基于端口的认证为例
实验拓扑
实验配置
[H3C]dot1x[高1]
802.1X is enabled globally.
[H3C]dot1x int e1/0/6 //必须开启全局和端口的dot1.x
802.1X is enabled on port Ethernet1/0/6.
[H3C]dot1x int e1/0/8
802.1X is enabled on port Ethernet1/0/8.
[H3C]dot1x int e1/0/10
802.1X is enabled on port Ethernet1/0/10.
[H3C]local-user wnt //需要创建本地用户来实现认证登录
New local user added.
[H3C-luser-wnt]password simple wnt
[H3C-luser-wnt]service-type lan-access //服务类型是局域网接入
实验结果
让pc1和pc3进行身份认证。看两着能否通信
另外需要注意的问题
实验二.端口隔离技术及其配置
隔离组中的端口分为 普通端口
上行端口:在h3c中没有加入隔离组的默认是上行链路, 与华为的不同
实验拓扑
让pc1和pc3在vlan2中但是他们之间不能通信,却pc1、pc3可以和pc2通信
[H3C]vlan 2
[H3C-vlan2]port e1/0/6
[H3C-vlan2]port e1/0/8
[H3C-vlan2]port e1/0/10
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]port isolate[高2]
[H3C]int e1/0/8
[H3C-Ethernet1/0/8]port isolate
[H3C]dis isolate por[高3] t
Isolated port(s) on UNIT 1:
Ethernet1/0/6, Ethernet1/0/8
此时pc1和pc3之间是不能通信的。
但是pc1和pc3可以与pc2通信
需要注意的问题
低端设备上只有一个隔离组,用户不可以创建、删除
高端设备上可以创建多个隔离组,隔离组与隔离组成员可以通信
实验三.端口绑定技术及其配置
基本描述:
通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提高了安全性
实验拓扑
把e1/0/6与pc3的MAC+IP地址绑定
[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6
[H3C]dis am user-bind
Following User address bind have been configured:
Mac IP Port
20cf-3000-476a 192.168.1.177 Ethernet1/0/6
Unit 1:Total 1 found, 1 listed.
Total: 1 found.
我们再把e1/0/6与pc1的MAC+IP地址绑定
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66 2种方式
[H3C]display am user-bind
Following User address bind have been configured:
Mac IP Port
20cf-3000-476a 192.168.1.177 Ethernet1/0/6
e0cb-4e99-8978 192.168.1.66 Ethernet1/0/6
Unit 1:Total 2 found, 2 listed.
Total: 2 found.
注意的问题
对同一个 MAC 地址和IP 地址,系统只允许在端口上进行一次绑定操作
对于一个借口,可以绑定多个借口
dot1x 命令用来开启指定端口上或全局(即当前设备)的802.1x 特性
进入接口只需开启端口隔离
查看被隔离的用户
标签:H3C,int,Ethernet1,端口,安全,e1,port 来源: https://www.cnblogs.com/niezhongle/p/11213274.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。