H3CNE交換機(jī)端口安全配置 交換機(jī)

1、H3C 端口綁定與端口安全端口安全：啟用端口安全功能H3Cport-security enable配置端口允許接入的最大 MAC 地址數(shù)H3C-Ethernet1/0/3port-security max-mac-count count-value 缺省情況下，最大數(shù)不受限制為0配置端口安全模式H3C-Ethernet1/O/3port-security port-mode autolearn I noRestrietior手動(dòng)添加 Secure MAC 地址表項(xiàng)H3C-Ethernet1/O/3 mac-address security mac-address vlan vlan-id配置

2、Intrusion Protection（Intrusion Protection 被觸發(fā)后，設(shè)置交換機(jī)采取的動(dòng)作） H3C-Ethernet1/O/3port-security intrusion-mode blockmac | disableport | disableport-temporarily 驗(yàn)證命令：display port-security interface interface-list 顯示端口安全配置的相關(guān)信息display mac-address security interface interface-type interface-number vlan vlan-

3、id 顯示Secure MAC地址的配置信息端口 +IP+MAC綁定方法一：H3Cam user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet1/0/3方法二：H3C-Ethernet1/0/3 am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106顯示端口綁定的配置信息驗(yàn)證命令：顯示端口綁定的配置信息H3Cdisplay am user-bind端口 +IP綁定H3C-Ethernet1/0/3 am user-bind ip-addr

4、192.168.1.106注：交換機(jī)只要接收一個(gè)3層表項(xiàng)，交換機(jī)使用動(dòng)態(tài)ARP產(chǎn)生一條arp條目。選用交換 機(jī)時(shí)應(yīng)該注意交換機(jī)所支持的最大ARP表項(xiàng)的數(shù)目。11H3CNE交換機(jī)端口安全配置（8021x端口隔離端口11綁定）實(shí)驗(yàn)5交換機(jī)端口安全技術(shù)實(shí)驗(yàn)任務(wù)一：配置802.1XSiffA?C1PC2步驟一：建立物理連接并初始化交換機(jī)配置步驟二：檢查互通性步驟三：配置8021X協(xié)議實(shí)現(xiàn)在交換機(jī)SWA上啟動(dòng)802.1X協(xié)議：首先需要分別在全局和端口開啟802.1X認(rèn)證功能，請?jiān)谙旅娴目崭裰醒a(bǔ)充完整的命令：SWA dotlxSWAdot1x interface e1/0/1 e1/0/2其次在SWA上創(chuàng)

5、建本地802.1X用戶，用戶名為abcde”，密碼為明文格式的12345，該用戶的服務(wù)類型service-type是lan-access。請?jiān)谌缦碌目崭裰型瓿稍摫镜赜脩舻呐渲妹睿篠WAlocal-user abcdeSWA-luser-h3cservice-type lan-access SWA-luser-h3cpassword simple 12345步驟四：802.1X驗(yàn)證配置完成后，再次在PCA上用ping命令來測試到PCB的互通性，其結(jié)果是PCA與PCB不能夠互 通。導(dǎo)致如上結(jié)果的原因是交換機(jī)上開啟了 802.1X認(rèn)證，需要在客戶端配置802.1X認(rèn)證相關(guān)屬性。PC可以使用802.

6、1X客戶端軟件或Windows系統(tǒng)自帶客戶端接入交換機(jī)。本實(shí)驗(yàn)以Windows系 統(tǒng)自帶客戶端為例說明如何進(jìn)行設(shè)置。在Windows操作系統(tǒng)的【控制面板】中選擇【網(wǎng)絡(luò)和Internet連接】，選取【網(wǎng)絡(luò)連接】中的【本 地連接】，點(diǎn)擊【屬性】，如下所示：is印載迸）常規(guī)驗(yàn)還 證検辰性等待幾秒鐘后，屏幕右下角會(huì)自動(dòng)彈出要求認(rèn)證的相應(yīng)提示，如下所示:5S按時(shí)法用:此理接曼用下列頊目y Mi ci-o=ot網(wǎng)絡(luò)客戸端7 Microzoft網(wǎng)谿的文件和打用機(jī)柴厚 Z舅血3數(shù)據(jù)包計(jì)劃程序亙 VIntfrnot 協(xié)眾（TCF/IP）is印載迸）常規(guī)驗(yàn)還 證検辰性等待幾秒鐘后，屏幕右下角會(huì)自動(dòng)彈出要求認(rèn)證的相

7、應(yīng)提示，如下所示:5S按時(shí)法用:此理接曼用下列頊目y Mi ci-o=ot網(wǎng)絡(luò)客戸端7 Microzoft網(wǎng)谿的文件和打用機(jī)柴厚 Z舅血3數(shù)據(jù)包計(jì)劃程序亙 VIntfrnot 協(xié)眾（TCF/IP）說明允許酗計(jì)包杠訪問NiCroSoft網(wǎng)絡(luò)上的資涼0洼按后在逋知區(qū)亦顯気圖毎適 回址連抿複限制或無連接時(shí)通蟲俄（U）證】，如下所示屈性再選取【驗(yàn)證】，并勾選【啟用此網(wǎng)絡(luò)的IEEE802.1X驗(yàn)遠(yuǎn)揮此選壩u提供訪問以衣網(wǎng)所需的驗(yàn)證底追月.就瞬的.颶衛(wèi)層丄二.驗(yàn)證丄愛FAF婁型）：磯!：-負(fù)泡0當(dāng)計(jì)算機(jī)償息即用阿臉證対計(jì)算肛當(dāng)用戶或計(jì)算杭信息不可用吋驗(yàn)劭菲賓然后點(diǎn)擊【確定】，保存退出。丄豐地遂接屆性W尋

8、Broadcom BeiXtrene 57sx Gi gali安裝畫.配置）按提示要+爲(wèi)轟齊存蒼rr驚名和密碼如下?lián)Q在對話框中輸入用戶名abcde和密碼12345后，點(diǎn)擊【確定】，系統(tǒng)提示通過驗(yàn)證。在PCA與PCB都通過驗(yàn)證后，在PCA上用ping命令來測試到PCB的互通性。結(jié)果是PCA與PCB 能夠互通注意: 如果Windows系統(tǒng)長時(shí)間沒有自動(dòng)彈出要求認(rèn)證提示，或認(rèn)證失敗需要重新認(rèn)證，可以將電纜斷 開再連接，以重新觸發(fā)8021X認(rèn)證過程實(shí)驗(yàn)任務(wù)二：配置端口隔離步驟一：建立物理連接并初始化交換機(jī)配置 步驟二：檢查互通性 步驟三：配置端口隔離Ethernet1/0/24為隔離組的上行端口。配置

9、SWA : SWA interface Ethernet 1/0/1 SWA-Ethernet1/0/1 port-isolate enable SWA interface Ethernet 1/0/2 SWA-Ethernet1/0/2 port-isolate enable SWA interface Ethernet 1/0/24 SWA-Ethernet1/0/2 port-isolate uplink-port配置完成后，通過display port-isolate group命令查看顯示隔離組的信息。步驟四：端口隔離驗(yàn)證配置完成后，再次在PCA上用ping命令測試到PCB得互通性，

10、其結(jié)果是PCA與PCB不能互通 然后將PCB從端口 Ethernet1/0/2斷開，把PCB連接到隔離組的上行端口 Ethernet1/0/24上，再用ping命令測試，其結(jié)果是PCA與PCB可以互通 實(shí)驗(yàn)任務(wù)三：配置端口綁定步驟一：建立物理連接并初始化路由器配置 步驟二：配置端口綁定配置 PCA 的 IP 地址為 172.16.0.1/24 , PCB 的 IP 地址為 172.16.0.2/24分別查看并記錄PCA和PCB的MAC地址，之后在交換機(jī)SWA上啟用端口綁定，設(shè)置端口 Ethernet1/0/1與PCA的MAC地址綁定，端口Ethernet1/0/2與PCB的MAC地址綁定，請?jiān)?/p>

11、如下空格中補(bǔ)充完整的命令： SWA interface ethernet 1/0/1SWA-Ethernet1/0/1 user-b ind mac-addr 001C-233D-5695SWA interface ethernet 1/0/2 SWA-Ethernet1/0/2 user-b ind mac-addr 0013-728E-4751配置完成后，通過執(zhí)行display user-bind命令查看已設(shè)置綁定的信息。步驟三：端口綁定驗(yàn)證在PCA上用ping命令來測試到PCB的互通性，其結(jié)果是PCA與PCB可以互通斷開PC與交換機(jī)間的連接 然后將PCA連接到端口 Ethernet1/0

12、/2 PCB連接到端口 Ethernet1/0/1。再重新用ping命令來測試PCA到PCB的互通性。其結(jié)果是PCA與PCB不能互通注意：未配置端口綁定的端口允許所有報(bào)文通過。步驟二中的MAC地址以學(xué)員實(shí)際操作的PC的MAC地址為準(zhǔn)。H3C 交換機(jī)端口安全一、開啟端口安全switch port-security enable二、配置端口安全允許的最大安全 MAC 地址數(shù)sw it ch int erface interface-type interface-number /進(jìn)入端口switch-interface port-security max-mac-count count-value三

13、、配置端口安全模式-自動(dòng)學(xué)習(xí)switch-interface port-security port-mode autolearn四、配置端口安全的特性switch-interface port-security ntk-mode ntk-withbroadcasts |ntk- withmulticasts | ntkonly 注：ntkonly：僅允許目的 MAC地址為已通過認(rèn)證的 MAC地址的單播報(bào)文通過。ntk-withbroadcasts:允許目的 MAC地址為已通過認(rèn)證的 MAC地址的單播報(bào)文或廣播地址 的報(bào)文通過。ntk-withmulticasts:允許目的 MAC地址為已通過認(rèn)

14、證的 MAC地址的單播報(bào)文，廣播地址 或組播地址的報(bào)文通過。五、配置*檢測特性switch-interface port-security intrusion-mode blockmac | disablepo rt | disableport-temporarily 注：blockmac：表示將非法報(bào)文的源MAC地址加入阻塞MAC地址列表中，源MAC 地址為阻塞MAC 地址的報(bào)文將被丟棄。此 MAC 地址在被阻塞 3 分鐘（系統(tǒng)默認(rèn)，不可配）后 恢復(fù)正常。disablepor t：表示將收到非法報(bào)文的端口永久關(guān)閉。disableport-temporarily：表示將收到非法報(bào)文的端口暫時(shí)關(guān)閉一段時(shí)間。關(guān)閉 時(shí)長可通過 port-security timer disablepo