H3CNE交换机端口安全配置 交换机

1、H3C 端口绑定与端口安全端口安全：启用端口安全功能H3Cport-security enable配置端口允许接入的最大 MAC 地址数H3C-Ethernet1/0/3port-security max-mac-count count-value 缺省情况下，最大数不受限制为0配置端口安全模式H3C-Ethernet1/O/3port-security port-mode autolearn I noRestrietior手动添加 Secure MAC 地址表项H3C-Ethernet1/O/3 mac-address security mac-address vlan vlan-id配置

2、Intrusion Protection（Intrusion Protection 被触发后，设置交换机采取的动作） H3C-Ethernet1/O/3port-security intrusion-mode blockmac | disableport | disableport-temporarily 验证命令：display port-security interface interface-list 显示端口安全配置的相关信息display mac-address security interface interface-type interface-number vlan vlan-

3、id 显示Secure MAC地址的配置信息端口 +IP+MAC绑定方法一：H3Cam user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet1/0/3方法二：H3C-Ethernet1/0/3 am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106显示端口绑定的配置信息验证命令：显示端口绑定的配置信息H3Cdisplay am user-bind端口 +IP绑定H3C-Ethernet1/0/3 am user-bind ip-addr

4、192.168.1.106注：交换机只要接收一个3层表项，交换机使用动态ARP产生一条arp条目。选用交换 机时应该注意交换机所支持的最大ARP表项的数目。11H3CNE交换机端口安全配置（8021x端口隔离端口11绑定）实验5交换机端口安全技术实验任务一：配置802.1XSiffA?C1PC2步骤一：建立物理连接并初始化交换机配置步骤二：检查互通性步骤三：配置8021X协议实现在交换机SWA上启动802.1X协议：首先需要分别在全局和端口开启802.1X认证功能，请在下面的空格中补充完整的命令：SWA dotlxSWAdot1x interface e1/0/1 e1/0/2其次在SWA上创

5、建本地802.1X用户，用户名为abcde”，密码为明文格式的12345，该用户的服务类型service-type是lan-access。请在如下的空格中完成该本地用户的配置命令：SWAlocal-user abcdeSWA-luser-h3cservice-type lan-access SWA-luser-h3cpassword simple 12345步骤四：802.1X验证配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB不能够互 通。导致如上结果的原因是交换机上开启了 802.1X认证，需要在客户端配置802.1X认证相关属性。PC可以使用802.

6、1X客户端软件或Windows系统自带客户端接入交换机。本实验以Windows系 统自带客户端为例说明如何进行设置。在Windows操作系统的【控制面板】中选择【网络和Internet连接】，选取【网络连接】中的【本 地连接】，点击【属性】，如下所示：is印载迸）常规验还 證検辰性等待几秒钟后，屏幕右下角会自动弹出要求认证的相应提示，如下所示:5S按时法用:此理接曼用下列顼目y Mi ci-o=ot网络客戸端7 Microzoft网谿的文件和打用机柴厚 Z舅血3数据包计划程序亘 VIntfrnot 协眾（TCF/IP）is印载迸）常规验还 證検辰性等待几秒钟后，屏幕右下角会自动弹出要求认证的相

7、应提示，如下所示:5S按时法用:此理接曼用下列顼目y Mi ci-o=ot网络客戸端7 Microzoft网谿的文件和打用机柴厚 Z舅血3数据包计划程序亘 VIntfrnot 协眾（TCF/IP）说明允许酗计包杠访问NiCroSoft网络上的資涼0洼按后在逋知区亦显気图毎適 回址连抿複限制或无连接时通虫俄（U）证】，如下所示屈性再选取【验证】，并勾选【启用此网络的IEEE802.1X验远挥此选坝u提供访问以衣网所需的验证底追月.就瞬的.飓卫层丄二.验证丄愛FAF娄型）：矶!：-负泡0当计算机偿息即用阿脸证対计算肛当用户或计算杭信息不可用吋验劭菲宾然后点击【确定】，保存退出。丄丰地遂接届性W寻

8、Broadcom BeiXtrene 57sx Gi gali安装画.配置）按提示要+爲轟齐存苍rr驚名和密码如下换在对话框中输入用户名abcde和密码12345后，点击【确定】，系统提示通过验证。在PCA与PCB都通过验证后，在PCA上用ping命令来测试到PCB的互通性。结果是PCA与PCB 能够互通注意: 如果Windows系统长时间没有自动弹出要求认证提示，或认证失败需要重新认证，可以将电缆断 开再连接，以重新触发8021X认证过程实验任务二：配置端口隔离步骤一：建立物理连接并初始化交换机配置 步骤二：检查互通性 步骤三：配置端口隔离Ethernet1/0/24为隔离组的上行端口。配置

9、SWA : SWA interface Ethernet 1/0/1 SWA-Ethernet1/0/1 port-isolate enable SWA interface Ethernet 1/0/2 SWA-Ethernet1/0/2 port-isolate enable SWA interface Ethernet 1/0/24 SWA-Ethernet1/0/2 port-isolate uplink-port配置完成后，通过display port-isolate group命令查看显示隔离组的信息。步骤四：端口隔离验证配置完成后，再次在PCA上用ping命令测试到PCB得互通性，

10、其结果是PCA与PCB不能互通 然后将PCB从端口 Ethernet1/0/2断开，把PCB连接到隔离组的上行端口 Ethernet1/0/24上，再用ping命令测试，其结果是PCA与PCB可以互通 实验任务三：配置端口绑定步骤一：建立物理连接并初始化路由器配置 步骤二：配置端口绑定配置 PCA 的 IP 地址为 172.16.0.1/24 , PCB 的 IP 地址为 172.16.0.2/24分别查看并记录PCA和PCB的MAC地址，之后在交换机SWA上启用端口绑定，设置端口 Ethernet1/0/1与PCA的MAC地址绑定，端口Ethernet1/0/2与PCB的MAC地址绑定，请在

11、如下空格中补充完整的命令： SWA interface ethernet 1/0/1SWA-Ethernet1/0/1 user-b ind mac-addr 001C-233D-5695SWA interface ethernet 1/0/2 SWA-Ethernet1/0/2 user-b ind mac-addr 0013-728E-4751配置完成后，通过执行display user-bind命令查看已设置绑定的信息。步骤三：端口绑定验证在PCA上用ping命令来测试到PCB的互通性，其结果是PCA与PCB可以互通断开PC与交换机间的连接 然后将PCA连接到端口 Ethernet1/0

12、/2 PCB连接到端口 Ethernet1/0/1。再重新用ping命令来测试PCA到PCB的互通性。其结果是PCA与PCB不能互通注意：未配置端口绑定的端口允许所有报文通过。步骤二中的MAC地址以学员实际操作的PC的MAC地址为准。H3C 交换机端口安全一、开启端口安全switch port-security enable二、配置端口安全允许的最大安全 MAC 地址数sw it ch int erface interface-type interface-number /进入端口switch-interface port-security max-mac-count count-value三

13、、配置端口安全模式-自动学习switch-interface port-security port-mode autolearn四、配置端口安全的特性switch-interface port-security ntk-mode ntk-withbroadcasts |ntk- withmulticasts | ntkonly 注：ntkonly：仅允许目的 MAC地址为已通过认证的 MAC地址的单播报文通过。ntk-withbroadcasts:允许目的 MAC地址为已通过认证的 MAC地址的单播报文或广播地址 的报文通过。ntk-withmulticasts:允许目的 MAC地址为已通过认

14、证的 MAC地址的单播报文，广播地址 或组播地址的报文通过。五、配置*检测特性switch-interface port-security intrusion-mode blockmac | disablepo rt | disableport-temporarily 注：blockmac：表示将非法报文的源MAC地址加入阻塞MAC地址列表中，源MAC 地址为阻塞MAC 地址的报文将被丢弃。此 MAC 地址在被阻塞 3 分钟（系统默认，不可配）后 恢复正常。disablepor t：表示将收到非法报文的端口永久关闭。disableport-temporarily：表示将收到非法报文的端口暂时关闭一段时间。关闭 时长可通过 port-security timer disablepo