Ŀ¼
实验一.802.1X基本原理及其配置
[H3C]dot1x
[H3C]dot1x int e1/0/6
[H3C]local-user wnt
[H3C-luser-wnt]password simple wnt
[H3C-luser-wnt]service-type lan-access
实验二.端口隔离技术及其配置
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]port isolate
实验三.端口绑定技术及其配置
[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6
[H3C]int e1/0/6
实验一.802.1X配置
实现802.1x的方式
1.基于端口的认证方式
只要该端口的第一个用户认证成功后,其它接入用户无须认证就可以使用网络资源;当第一个用户下线后,其它用户也会被拒绝使用网络。
2.基于MAC的认证方式
该端口下的所有接入用户均需要单独认证,当某个用户下线时,不影响其它用户使用网络资源。
默认的接入控制方式为基于MAC的认证。
我们一基于端口的认证为例
实验拓扑
实验配置
必须开启全局和端口的dot1.x
[H3C]dot1x int e1/0/8
[H3C]dot1x int e1/0/10
需要创建本地用户来实现认证登录
New local user added.
[H3C-luser-wnt]password simple wnt
服务类型是局域网接入
实验结果
让pc1和pc3进行身份认证。看两着能否通信
另外需要注意的问题
实验二.端口隔离技术及其配置
隔离组中的端口分为普通端口
上行端口:
实验拓扑
让pc1和pc3在vlan2中但是他们之间不能通信,却pc1、pc3可以和pc2通信
[H3C]vlan 2
[H3C-vlan2]port e1/0/6
[H3C-vlan2]port e1/0/8
[H3C-vlan2]port e1/0/10
[H3C]int e1/0/6
[H3C-Ethernet1/0/6]port isolate
[H3C]int e1/0/8
[H3C-Ethernet1/0/8]port isolate
此时pc1和pc3之间是不能通信的。
但是pc1和pc3可以与pc2通信
需要注意的问题
低端设备上只有一个隔离组,用户不可以创建、删除
高端设备上可以创建多个隔离组,隔离组与隔离组成员可以通信
实验三.端口绑定技术及其配置
基本描述:
通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提高了安全性
实验拓扑
把e1/0/6与pc3的MAC+IP地址绑定
[H3C]am user-bind mac-addr 20cf-3000-476a ip-addr 192.168.1.177 interface e1/0/6
[H3C]dis am user-bind
Following User address bind have been configured:
我们再把e1/0/6与pc1的MAC+IP地址绑定
[H3C]int e1/0/6
种方式
[H3C]display am user-bind
Following User address bind have been configured:
注意的问题
对同一个 MAC 地址和IP 地址,系统只允许在端口上进行一次绑定操作
对于一个借口,可以绑定多个借口
dot1x 命令用来开启指定端口上或全局(即当前设备)的802.1x 特性
进入接口只需开启端口隔离
查看被隔离的用户