【交换机端口安全技术 】

一、交换机端口安全技术
1、802.1X的基本原理和配置
IEEE 802.1X 标准（以下简称 802.1X）是一种基于端口的网络接入控制（Port Based
Network Access Control）协议，IEEE 于 2001 年颁布该标准文本并建议业界厂商使用其中的
协议作为局域网用户接入认证的标准协议。

2、802.1X的体系结构
 本地认证
由设备端内置本地服务器对客户端进行认证

 远程集中认证
由远程的认证服务器对客户端进行认证

使用 802.1X 的系统为典型的客户端/服务器体系结构，包括三个实体，如上图所示分别为：
客户端（Supplicant System）、设备端（Authenticator System）以及认证服务器（Authentication
Server System）。

 客户端：安装有 802.1X 客户端软件的用户终端设备。用户通过客户端软件发起 802.1X
认证。客户端必须支持 EAPOL（Extensible Authentication Protocol over LANs，局
域网上的可扩展认证协议）。

 设备端：通常为支持 802.1X 协议的网络设备，它为客户端提供接入局域网的端口，
如支持 802.1X 协议的交换机。认证通过后，设备端开放端口，客户端能够访问网络。

 认证服务器：能够对用户实现进行认证、授权和计费功能。

认证服务器可分为本地认证服务器和远程集中认证服务器，分别适用于不同场合：
 本地认证服务器通常集成在设备端上。设备端内置的认证服务器对客户端进行认证，
认证通过后开放端口。本地认证方式适用于网络规模小，客户端数量不多的情况下；
但用户信息数据库分散在设备本地上，维护管理不便。

 远程集中认证服务器通常是一台专门的认证服务器。设备端把客户端信息发送到远程
认证服务器，由服务器查找用户信息数据库后返回消息给设备端。在远程集中认证方
式下，用户信息数据库能够集中管理，维护管理方便，适用于较大规模网络中。

3、端口接入控制方式
 基于端口的认证方式
采用基于端口方式时，只要该端口下的第一个用户认证成功后，其它接入用户无须认证就
可使用网络资源，但是当第一个用户下线后，其它用户也会被拒绝使用网络。

 基于MAC的认证方式
当采用基于 MAC 方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，
也只有该用户无法使用网络。
默认情况下，802.1X 在端口上进行接入控制方式为基于 MAC 地址的认证方式。

基本配置

[Switch] dot1x   			开启全局的802.1X特性

[Switch-Ten-GigabitEthernet1/0/1] dot1x开启端口的802.1X特性

[Switch] local-user user-name class network
[Switch- luser-network-localuser] service-type lanaccess
[Switch-luser-network-localuser] password { 
cipher | simple } password添加本地接入用户并设置相关参数

802.1X典型配置举例


在上图中，PC 连接到交换机的端口 E1/0/1 上。交换机启用 802.1X 来对 PC 接入进行认
证，认证方式为本地认证。

配置 SWA： 
[SWA]dot1x 
[SWA]interface GigabitEthernet 1/0/1 
[SWA-GigabitEthernet1/0/1]dot1x 
[SWA]local-user localuser class network 
[SWA-luser-network-localuser]password simple hello 
[SWA-luser-network-localuser]service-type lan-access

配置完成后，在 PC 上打开 802.1X 认证客户端软件，按照提示输入用户名 localuser 和密
码 hello 后，PC 就能够接入网络了。

端口隔离技术及其配置
1、端口隔离简介
 端口隔离用于在VLAN内隔离以太网端口

为了实现报文之间的二层隔离，可以将不同的端口加入不同的 VLAN，但会浪费有限的
VLAN 的资源。采用端口隔离特性，可以实现同一 VLAN 内端口之间的隔离。用户只需要将端
口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供
了更安全、更灵活的组网方案。

用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组内端口之间二层数据的
隔离。

端口隔离基本配置

[switch]port-isolate group 1         创建隔离组
[Switch-Ethernet1/0/1] port-isolate enable group 1	 将指定端口加入到隔离组中，端口成为
隔离组的普通端口

端口隔离配置举例

图中网络中，PCA、PCB、PCC 分别与交换机的端口 Ethernet1/0/2、Ethernet1/0/3、
Ethernet1/0/4 相连，服务器与端口 Ethernet1/0/1 相连。在交换机配置端口隔离。

配置交换机： 
[SWA] port-isolate group 2 
[SWA]interface ethernet1/0/2 
[SWA-Ethernet1/0/2] port-isolate enable group 2 
[SWA]interface ethernet1/0/3 
[SWA-Ethernet1/0/3] port-isolate enable group 2 
[SWA]interface ethernet1/0/4 
[SWA-Ethernet1/0/4] port-isolate enable group 2

配置完成后，网络中 PCA、PCB、PCC 之间被隔离，不能互相访问；但所有的 PC 都能
够访问服务器