交换机端口安全实验

## 实验拓扑

![图1-1][1]

### 实验需求

1. 按照图示配置IP地址
2. 在asw01所有连接PC的接口上配置开启802.1X验证，使接入的终端需要进行身份验证
3. 创建一个用户身份验证的用户。用户名为`wangdaye`，密码为`123456`
4. 创建一个端口隔离组，实现三台PC无法互相访问

---

### 实验解法

1. **PC配置IP地址部分略**
2. **在asw01上开启802.1X身份验证**

*分析：开启802.1X验证需要首先在系统视图下开启全局802.1X，再到接口视图下开启802.1X*

*步骤1：在asw01的系统视图下开启全局802.1X*

```
[asw01]dot1x
```

*步骤2：分别在三个连接PC的接口上开启802.1X*

```
[asw01]interface GigabitEthernet 1/0/1
[asw01-GigabitEthernet1/0/1]dot1x
```

```
[asw01]interface GigabitEthernet 1/0/2
[asw01-GigabitEthernet1/0/2]dot1x
```

```
[asw01]interface GigabitEthernet 1/0/3
[asw01-GigabitEthernet1/0/3]dot1x
```

3.**创建一个用户身份验证的用户。用户名为`wangdaye`，密码为`123456`**

*分析：用于802.1X验证的用户类型必须是<code>network</code>，且服务类型为<code>lan-access</code>，否则将无法用于802.1X验证。用于身份验证的用户无需配置身份权限*

```
[asw01]local-user wangdaye class network 
New local user added.
[asw01-luser-network-wangdaye]password simple 123456
[asw01-luser-network-wangdaye]service-type lan-access
```

```
由于802.1X的验证无法在模拟器环境中实现，所以这里不做实验效果测试
```

4.**创建一个端口隔离组，实现三台PC无法互相访问**

分析：端口隔离组用于同vlan内部的端口隔离，属于同一个隔离组的接口无法互相访问，不同隔离组的接口才可以互相访问，所以需要把asw01的三个接口都加入到同一个隔离组

*步骤1：在asw01上创建编号为`1`号的隔离组*

```
[asw01]port-isolate group 1
```

*步骤2：把GE_1/0/1、GE_1/0/2、GE_1/0/3接口都加入到该隔离组*

```
[asw01]interface GigabitEthernet 1/0/1
[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
```

```
[asw01]interface GigabitEthernet 1/0/2
[asw01-GigabitEthernet1/0/2]port-isolate enable group 1
```

```
[asw01]interface GigabitEthernet 1/0/3
[asw01-GigabitEthernet1/0/3]port-isolate enable group 1
```

```
由于端口隔离的验证无法在模拟器环境中实现，所以这里不做实验效果测试
```

[1]: /img/802.1X_top.png

最后修改：2022 年 05 月 11 日

如果觉得我的文章对你有用，请随意赞赏

交换机端口安全实验

阿勇 • 2021 年 10 月 12 日

交换机端口安全实验

IP和TCP抓包分析实验

OSPF实验

RIP实验

Telnet配置实验

Vlan和Trunk实验

Windown/Linux如何安装MySQL数据库

Telnet配置实验

DRNI 实验

BGP 基础配置实验

HCIA-数通通信网络基础_笔记

交换机端口安全实验