H3C 端口安全技术

 

 

目录

实验一.802.1X基本原理及其配置

[H3C]dot1x

[H3C]dot1x int e1/0/6

[H3C]local-user wnt

[H3C-luser-wnt]password simple wnt

[H3C-luser-wnt]service-type lan-access

实验二.端口隔离技术及其配置

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]port isolate

实验三.端口绑定技术及其配置

[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66  2种方式

 

 

实验一.802.1X配置

实现802.1x的方式

1.基于端口的认证方式

只要该端口的第一个用户认证成功后，其它接入用户无须认证就可以使用网络资源；当第一个用户下线后，其它用户也会被拒绝使用网络。

 

2.基于MAC的认证方式

该端口下的所有接入用户均需要单独认证，当某个用户下线时，不影响其它用户使用网络资源。

默认的接入控制方式为基于MAC的认证。

 

我们一基于端口的认证为例

实验拓扑

实验配置

[H3C]dot1x[高1]                  

 802.1X is enabled globally.

[H3C]dot1x int e1/0/6                   //必须开启全局和端口的dot1.x

 802.1X is enabled on port Ethernet1/0/6.

[H3C]dot1x int e1/0/8

 802.1X is enabled on port Ethernet1/0/8.

[H3C]dot1x int e1/0/10

 802.1X is enabled on port Ethernet1/0/10.

[H3C]local-user wnt                    //需要创建本地用户来实现认证登录

New local user added.

[H3C-luser-wnt]password simple wnt

[H3C-luser-wnt]service-type lan-access    //服务类型是局域网接入

实验结果

让pc1和pc3进行身份认证。看两着能否通信

 

另外需要注意的问题

 

实验二.端口隔离技术及其配置

 

隔离组中的端口分为  普通端口

                    上行端口：在h3c中没有加入隔离组的默认是上行链路，                                                         与华为的不同

实验拓扑

 

让pc1和pc3在vlan2中但是他们之间不能通信，却pc1、pc3可以和pc2通信

 

[H3C]vlan 2

[H3C-vlan2]port e1/0/6

[H3C-vlan2]port e1/0/8

[H3C-vlan2]port e1/0/10

 

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]port isolate[高2] 

 

[H3C]int e1/0/8

[H3C-Ethernet1/0/8]port isolate

 

[H3C]dis isolate por[高3] t

 Isolated port(s) on UNIT 1:

 Ethernet1/0/6, Ethernet1/0/8

 

此时pc1和pc3之间是不能通信的。

但是pc1和pc3可以与pc2通信

 

需要注意的问题

低端设备上只有一个隔离组，用户不可以创建、删除

高端设备上可以创建多个隔离组，隔离组与隔离组成员可以通信

实验三.端口绑定技术及其配置

基本描述：

通过“MAC+IP+端口”绑定功能，可以实现设备对转发报文的过滤控制，提高了安全性

实验拓扑

把e1/0/6与pc3的MAC+IP地址绑定

[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6

[H3C]dis am user-bind

Following User address bind have been configured:

  Mac                   IP                    Port

  20cf-3000-476a        192.168.1.177         Ethernet1/0/6    

 Unit 1:Total 1 found, 1 listed.

 

 Total: 1 found.

 

我们再把e1/0/6与pc1的MAC+IP地址绑定

[H3C]int e1/0/6

[H3C-Ethernet1/0/6]am user-bind mac-addr e0cb-4e99-8978 ip-addr 192.168.1.66  2种方式

[H3C]display am user-bind

Following User address bind have been configured:

  Mac                   IP                    Port

  20cf-3000-476a        192.168.1.177         Ethernet1/0/6

  e0cb-4e99-8978        192.168.1.66          Ethernet1/0/6

 Unit 1:Total 2 found, 2 listed.

 

 Total: 2 found.

注意的问题

对同一个 MAC 地址和IP 地址，系统只允许在端口上进行一次绑定操作

对于一个借口，可以绑定多个借口

---

 

dot1x 命令用来开启指定端口上或全局（即当前设备）的802.1x 特性

进入接口只需开启端口隔离

查看被隔离的用户