# 交换机端口安全实验
# 一、实验拓扑
注:如无特别说明,描述中的R1或SW1对应拓扑中设备名称末尾数字为1的设备,R2或SW2对应拓扑中设备名称末尾数字为2的设备,以此类推
# 二、实验需求
- 按照图示配置IP地址
- 在SW1所有连接PC的接口上配置开启802.1X验证,使接入的终端需要进行身份验证
- 创建一个用户身份验证的用户。用户名为zx,密码为123456
- 创建一个端口隔离组,实现三台PC无法互相访问
# 三、实验解法
1.按照图示配置IP地址略
2.在SW1所有连接PC的接口上配置开启802.1X验证
步骤一:在SW1上开启全局802.1x
[SW1]dot1x
步骤二:在连接PC的端口分别开启802.1x
[SW1]int g1/0/1
[SW1-GigabitEthernet1/0/1]dot1x
[SW1]int g1/0/2
[SW1-GigabitEthernet1/0/2]dot1x
[SW1]int g1/0/3
[SW1-GigabitEthernet1/0/3]dot1x
3.创建一个用户身份验证,用户名 zx ,密码 123456
注意:用于802.1x验证的用户类型必须是 network,且服务类型为 lan-acces 否则将无法用于802.1X验证。用于身份验证的用户无需配置身份权限
[SW1]local-user zx class network
New local user added.
[SW1-luser-network-wangdaye]password simple 123456
[SW1-luser-network-wangdaye]service-type lan-access
由于802.1X的验证无法在模拟器环境中实现,所以这里不做实验效果测试
4. 创建一个端口隔离组,实现三台PC无法互相访问
注意:端口隔离组用于同vlan内部的端口隔离,属于同一个隔离组的接口无法互相访问,不同隔离组的接口才可以互相访问,所以需要把SW1的三个接口都加入到同一个隔离组
步骤一:在SW1上创建编号为1号的隔离组
[SW1]port-isolate group 1
步骤二:把SW1连接PC的接口分别加入到隔离组1中
[SW1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
[SW1]interface g1/0/2
[SW1-GigabitEthernet1/0/2]port-isolate enable group 1
[SW1]interface g1/0/3
[SW1-GigabitEthernet1/0/3]port-isolate enable group 1
由于端口隔离验证无法在模拟器环境中实现,所以这里不做实验效果测试