首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >交换机端口安全实验

交换机端口安全实验

作者头像
网络技术联盟站
发布2020-08-04 15:18:20
7310
发布2020-08-04 15:18:20
举报

实验拓扑

图 1-1

注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推

实验需求

  1. 按照图示配置 IP 地址
  2. 在 SW1 所有连接 PC 的接口上配置开启 802.1X 验证,使接入的终端需要进行身份验证
  3. 创建一个用户身份验证的用户。用户名为 wangdaye ,密码为 123456
  4. 创建一个端口隔离组,实现三台 PC 无法互相访问

实验解法

1 、PC 配置 IP 地址部分略在 SW1 上开启 802.1X 身份验证

分析:开启 802.1X 验证需要首先在系统视图下开启全局 802.1X ,再到接口视图下开启 802.1X

步骤 1:在 SW1 的系统视图下开启全局 802.1X

[SW1]dot1x

步骤 2 :分别在三个连接 PC 的接口上开启 802.1X

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]dot1x
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]dot1x
[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]dot1x

2、创建一个用户身份验证的用户。用户名为 wangdaye ,密码为 123456

分析:用于 802.1X 验证的用户类型必须是 network ,且服务类型为 lan-access ,否则将 无法用于 802.1X 验证。用于身份验证的用户无需配置身份权限

[SW1]local-user wangdaye class network
New local user added.
[SW1-luser-network-wangdaye]password simple 123456
[SW1-luser-network-wangdaye]service-type lan-access

由于 802.1X 的验证无法在模拟器环境中实现,所以这里不做实验效果测试3、创建一个端口隔离组,实现三台 PC 无法互相访问

分析:端口隔离组用于同 vlan 内部的端口隔离,属于同一个隔离组的接口无法互相访问,不同隔离组的接口才可以互相访问,所以需要把 SW1 的三个接口都加入到同一个隔离组

步骤 1 :在 SW1 上创建编号为 1 号的隔离组

[SW1]port-isolate group 1

步骤 2 :把 g1/0/1 、 g1/0/2 、 g1/0/3 接口都加入到该隔离组

[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]port-isolate enable group 1
[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]port-isolate enable group 1

由于端口隔离的验证无法在模拟器环境中实现,所以这里不做实验效果测试

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-07-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 网络技术联盟站 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 实验拓扑
  • 实验需求
  • 实验解法
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档