802.1x端口认证
所谓的端口认证:把3A认证和端口保护相结合
在交换机和3A服务器认证之前,基本上不准许有任何流量
要求:1 交换机设备和PC设备都必须支持802.1x
      2 EAPOL局域网上的可扩展身份协议
初始状态:未授权状态
 在交换机上配置802.1x端口认证
1启用认证,授权和审计
switch(config)#aaa new-model
2创建方式列表
switch(config)#aaa authentication dot1x default [list]
3全局启用802.1x端口认证
switch(config)#dot1x system-auth-control
4确定要参与802.1x的端口
switch(config)#interface {interface}
5启用802.1x认证
switch(config)#dot1x port-control auto
(auto 自动模式 协商成功后,端口状态从未授权到授权)
(force-authorized强制授权)
(force-unauthorized强制未授权)
端口安全
基于MAC地址来做策略
配置端口安全特性的步骤如下:
1启用端口安全特性
switch(config-if)#switchport port-security
2限制被准许访问的MAC地址最大数目
switch(config-if)#switchport port-security maximum {number}
3静态定义MAC地址,可以设置一个或多个MAC地址:
switch(config-if)#switchport port-security mac-address {mac-address}
4定义当收到带有违法MAC地址信息的帧的时候,端口所采取的动作
switch(config-if)#switchport port-security violation {protect保护 restrict限制 shutdown关闭}
验证端口安全
show port-security