版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、H3C 端口绑定与端口安全端口安全:启用端口安全功能H3Cport-security enable配置端口允许接入的最大 MAC 地址数H3C-Ethernet1/0/3port-security max-mac-count count-value 缺省情况下,最大数不受限制为0配置端口安全模式H3C-Ethernet1/O/3port-security port-mode autolearn I noRestrietior手动添加 Secure MAC 地址表项H3C-Ethernet1/O/3 mac-address security mac-address vlan vlan-id配置
2、Intrusion Protection(Intrusion Protection 被触发后,设置交换机采取的动作) H3C-Ethernet1/O/3port-security intrusion-mode blockmac | disableport | disableport-temporarily 验证命令:display port-security interface interface-list 显示端口安全配置的相关信息display mac-address security interface interface-type interface-number vlan vlan-
3、id 显示Secure MAC地址的配置信息端口 +IP+MAC绑定方法一:H3Cam user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet1/0/3方法二:H3C-Ethernet1/0/3 am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106显示端口绑定的配置信息验证命令:显示端口绑定的配置信息H3Cdisplay am user-bind端口 +IP绑定H3C-Ethernet1/0/3 am user-bind ip-addr
4、192.168.1.106注:交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换 机时应该注意交换机所支持的最大ARP表项的数目。11H3CNE交换机端口安全配置(8021x端口隔离端口11绑定)实验5交换机端口安全技术实验任务一:配置802.1XSiffA?C1PC2步骤一:建立物理连接并初始化交换机配置步骤二:检查互通性步骤三:配置8021X协议实现在交换机SWA上启动802.1X协议:首先需要分别在全局和端口开启802.1X认证功能,请在下面的空格中补充完整的命令:SWA dotlxSWAdot1x interface e1/0/1 e1/0/2其次在SWA上创
5、建本地802.1X用户,用户名为abcde”,密码为明文格式的12345,该用户的服务类型service-type是lan-access。请在如下的空格中完成该本地用户的配置命令:SWAlocal-user abcdeSWA-luser-h3cservice-type lan-access SWA-luser-h3cpassword simple 12345步骤四:802.1X验证配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是PCA与PCB不能够互 通。导致如上结果的原因是交换机上开启了 802.1X认证,需要在客户端配置802.1X认证相关属性。PC可以使用802.
6、1X客户端软件或Windows系统自带客户端接入交换机。本实验以Windows系 统自带客户端为例说明如何进行设置。在Windows操作系统的【控制面板】中选择【网络和Internet连接】,选取【网络连接】中的【本 地连接】,点击【属性】,如下所示:is印载迸)常规验还 證検辰性等待几秒钟后,屏幕右下角会自动弹出要求认证的相应提示,如下所示:5S按时法用:此理接曼用下列顼目y Mi ci-o=ot网络客戸端7 Microzoft网谿的文件和打用机柴厚 Z舅血3数据包计划程序亘 VIntfrnot 协眾(TCF/IP)is印载迸)常规验还 證検辰性等待几秒钟后,屏幕右下角会自动弹出要求认证的相
7、应提示,如下所示:5S按时法用:此理接曼用下列顼目y Mi ci-o=ot网络客戸端7 Microzoft网谿的文件和打用机柴厚 Z舅血3数据包计划程序亘 VIntfrnot 协眾(TCF/IP)说明允许酗计包杠访问NiCroSoft网络上的資涼0洼按后在逋知区亦显気图毎適 回址连抿複限制或无连接时通虫俄(U)证】,如下所示屈性再选取【验证】,并勾选【启用此网络的IEEE802.1X验远挥此选坝u提供访问以衣网所需的验证底追月.就瞬的.飓卫层丄二.验证丄愛FAF娄型):矶!:-负泡0当计算机偿息即用阿脸证対计算肛当用户或计算杭信息不可用吋验劭菲宾然后点击【确定】,保存退出。丄丰地遂接届性W寻
8、Broadcom BeiXtrene 57sx Gi gali安装画.配置)按提示要+爲轟齐存苍rr驚名和密码如下换在对话框中输入用户名abcde和密码12345后,点击【确定】,系统提示通过验证。在PCA与PCB都通过验证后,在PCA上用ping命令来测试到PCB的互通性。结果是PCA与PCB 能够互通注意: 如果Windows系统长时间没有自动弹出要求认证提示,或认证失败需要重新认证,可以将电缆断 开再连接,以重新触发8021X认证过程实验任务二:配置端口隔离步骤一:建立物理连接并初始化交换机配置 步骤二:检查互通性 步骤三:配置端口隔离Ethernet1/0/24为隔离组的上行端口。配置
9、SWA : SWA interface Ethernet 1/0/1 SWA-Ethernet1/0/1 port-isolate enable SWA interface Ethernet 1/0/2 SWA-Ethernet1/0/2 port-isolate enable SWA interface Ethernet 1/0/24 SWA-Ethernet1/0/2 port-isolate uplink-port配置完成后,通过display port-isolate group命令查看显示隔离组的信息。步骤四:端口隔离验证配置完成后,再次在PCA上用ping命令测试到PCB得互通性,
10、其结果是PCA与PCB不能互通 然后将PCB从端口 Ethernet1/0/2断开,把PCB连接到隔离组的上行端口 Ethernet1/0/24上,再用ping命令测试,其结果是PCA与PCB可以互通 实验任务三:配置端口绑定步骤一:建立物理连接并初始化路由器配置 步骤二:配置端口绑定配置 PCA 的 IP 地址为 172.16.0.1/24 , PCB 的 IP 地址为 172.16.0.2/24分别查看并记录PCA和PCB的MAC地址,之后在交换机SWA上启用端口绑定,设置端口 Ethernet1/0/1与PCA的MAC地址绑定,端口Ethernet1/0/2与PCB的MAC地址绑定,请在
11、如下空格中补充完整的命令: SWA interface ethernet 1/0/1SWA-Ethernet1/0/1 user-b ind mac-addr 001C-233D-5695SWA interface ethernet 1/0/2 SWA-Ethernet1/0/2 user-b ind mac-addr 0013-728E-4751配置完成后,通过执行display user-bind命令查看已设置绑定的信息。步骤三:端口绑定验证在PCA上用ping命令来测试到PCB的互通性,其结果是PCA与PCB可以互通断开PC与交换机间的连接 然后将PCA连接到端口 Ethernet1/0
12、/2 PCB连接到端口 Ethernet1/0/1。再重新用ping命令来测试PCA到PCB的互通性。其结果是PCA与PCB不能互通注意:未配置端口绑定的端口允许所有报文通过。步骤二中的MAC地址以学员实际操作的PC的MAC地址为准。H3C 交换机端口安全一、开启端口安全switch port-security enable二、配置端口安全允许的最大安全 MAC 地址数sw it ch int erface interface-type interface-number /进入端口switch-interface port-security max-mac-count count-value三
13、、配置端口安全模式-自动学习switch-interface port-security port-mode autolearn四、配置端口安全的特性switch-interface port-security ntk-mode ntk-withbroadcasts |ntk- withmulticasts | ntkonly 注:ntkonly:仅允许目的 MAC地址为已通过认证的 MAC地址的单播报文通过。ntk-withbroadcasts:允许目的 MAC地址为已通过认证的 MAC地址的单播报文或广播地址 的报文通过。ntk-withmulticasts:允许目的 MAC地址为已通过认
14、证的 MAC地址的单播报文,广播地址 或组播地址的报文通过。五、配置*检测特性switch-interface port-security intrusion-mode blockmac | disablepo rt | disableport-temporarily 注:blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC 地址为阻塞MAC 地址的报文将被丢弃。此 MAC 地址在被阻塞 3 分钟(系统默认,不可配)后 恢复正常。disablepor t:表示将收到非法报文的端口永久关闭。disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭 时长可通过 port-security timer disablepo
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 旅游设施施工合同备案说明
- 园林绿化施工管理合同样本
- 教育公益捐赠管理办法
- 环保设施清洁施工合同建筑膜
- 体育馆化粪池建设协议
- 汽车销售欠款清欠管理办法
- 木工承包合同书范本
- 权利义务合同模板
- 临时航空乘务员聘用协议
- 电力设备保理融资指南
- 变应性支气管肺曲霉病诊治专家-共识(2022年修订版)解读
- 2021年主题公园研究-环球影城
- 学校消防安全工作领导小组职责及具体分工
- 上海市徐汇区上海小学小学语文五年级上册期末试卷(含答案)
- 小学音乐-铃儿响叮当教学设计学情分析教材分析课后反思
- 建筑施工现场生活住宿区安全检查表
- 国家开放大学《政治学原理》章节自检自测题参考答案
- 《演讲与口才》(双色2版)-课程标准
- 产品召回追溯演练记录和报告
- 九年级英语月考试卷分析
- 外研版八年级英语上册期中测试卷附答案
评论
0/150
提交评论