1、H3C 端口綁定與端口安全端口安全：啟用端口安全功能H3Cport-security enable配置端口允許接入的最大 MAC 地址數H3C-Ethernet1/0/3port-security max-mac-count count-value 缺省情況下，最大數不受限制為0配置端口安全模式H3C-Ethernet1/O/3port-security port-mode autolearn I noRestrietior手動添加 Secure MAC 地址表項H3C-Ethernet1/O/3 mac-address security mac-address vlan vlan-id配置

2、Intrusion Protection（Intrusion Protection 被觸發后，設置交換機采取的動作） H3C-Ethernet1/O/3port-security intrusion-mode blockmac | disableport | disableport-temporarily 驗證命令：display port-security interface interface-list 顯示端口安全配置的相關信息display mac-address security interface interface-type interface-number vlan vlan-

3、id 顯示Secure MAC地址的配置信息端口 +IP+MAC綁定方法一：H3Cam user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet1/0/3方法二：H3C-Ethernet1/0/3 am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106顯示端口綁定的配置信息驗證命令：顯示端口綁定的配置信息H3Cdisplay am user-bind端口 +IP綁定H3C-Ethernet1/0/3 am user-bind ip-addr

4、192.168.1.106注：交換機只要接收一個3層表項，交換機使用動態ARP產生一條arp條目。選用交換 機時應該注意交換機所支持的最大ARP表項的數目。11H3CNE交換機端口安全配置（8021x端口隔離端口11綁定）實驗5交換機端口安全技術實驗任務一：配置802.1XSiffA?C1PC2步驟一：建立物理連接并初始化交換機配置步驟二：檢查互通性步驟三：配置8021X協議實現在交換機SWA上啟動802.1X協議：首先需要分別在全局和端口開啟802.1X認證功能，請在下面的空格中補充完整的命令：SWA dotlxSWAdot1x interface e1/0/1 e1/0/2其次在SWA上創

5、建本地802.1X用戶，用戶名為abcde”，密碼為明文格式的12345，該用戶的服務類型service-type是lan-access。請在如下的空格中完成該本地用戶的配置命令：SWAlocal-user abcdeSWA-luser-h3cservice-type lan-access SWA-luser-h3cpassword simple 12345步驟四：802.1X驗證配置完成后，再次在PCA上用ping命令來測試到PCB的互通性，其結果是PCA與PCB不能夠互 通。導致如上結果的原因是交換機上開啟了 802.1X認證，需要在客戶端配置802.1X認證相關屬性。PC可以使用802.

6、1X客戶端軟件或Windows系統自帶客戶端接入交換機。本實驗以Windows系 統自帶客戶端為例說明如何進行設置。在Windows操作系統的【控制面板】中選擇【網絡和Internet連接】，選取【網絡連接】中的【本 地連接】，點擊【屬性】，如下所示：is印載迸）常規驗還 證検辰性等待幾秒鐘后，屏幕右下角會自動彈出要求認證的相應提示，如下所示:5S按時法用:此理接曼用下列頊目y Mi ci-o=ot網絡客戸端7 Microzoft網谿的文件和打用機柴厚 Z舅血3數據包計劃程序亙 VIntfrnot 協眾（TCF/IP）is印載迸）常規驗還 證検辰性等待幾秒鐘后，屏幕右下角會自動彈出要求認證的相

7、應提示，如下所示:5S按時法用:此理接曼用下列頊目y Mi ci-o=ot網絡客戸端7 Microzoft網谿的文件和打用機柴厚 Z舅血3數據包計劃程序亙 VIntfrnot 協眾（TCF/IP）說明允許酗計包杠訪問NiCroSoft網絡上的資涼0洼按后在逋知區亦顯気圖毎適 回址連抿複限制或無連接時通蟲俄（U）證】，如下所示屈性再選取【驗證】，并勾選【啟用此網絡的IEEE802.1X驗遠揮此選壩u提供訪問以衣網所需的驗證底追月.就瞬的.颶衛層丄二.驗證丄愛FAF婁型）：磯!：-負泡0當計算機償息即用阿臉證対計算肛當用戶或計算杭信息不可用吋驗劭菲賓然后點擊【確定】，保存退出。丄豐地遂接屆性W尋

8、Broadcom BeiXtrene 57sx Gi gali安裝畫.配置）按提示要+爲轟齊存蒼rr驚名和密碼如下換在對話框中輸入用戶名abcde和密碼12345后，點擊【確定】，系統提示通過驗證。在PCA與PCB都通過驗證后，在PCA上用ping命令來測試到PCB的互通性。結果是PCA與PCB 能夠互通注意: 如果Windows系統長時間沒有自動彈出要求認證提示，或認證失敗需要重新認證，可以將電纜斷 開再連接，以重新觸發8021X認證過程實驗任務二：配置端口隔離步驟一：建立物理連接并初始化交換機配置 步驟二：檢查互通性 步驟三：配置端口隔離Ethernet1/0/24為隔離組的上行端口。配置

9、SWA : SWA interface Ethernet 1/0/1 SWA-Ethernet1/0/1 port-isolate enable SWA interface Ethernet 1/0/2 SWA-Ethernet1/0/2 port-isolate enable SWA interface Ethernet 1/0/24 SWA-Ethernet1/0/2 port-isolate uplink-port配置完成后，通過display port-isolate group命令查看顯示隔離組的信息。步驟四：端口隔離驗證配置完成后，再次在PCA上用ping命令測試到PCB得互通性，

10、其結果是PCA與PCB不能互通 然后將PCB從端口 Ethernet1/0/2斷開，把PCB連接到隔離組的上行端口 Ethernet1/0/24上，再用ping命令測試，其結果是PCA與PCB可以互通 實驗任務三：配置端口綁定步驟一：建立物理連接并初始化路由器配置 步驟二：配置端口綁定配置 PCA 的 IP 地址為 172.16.0.1/24 , PCB 的 IP 地址為 172.16.0.2/24分別查看并記錄PCA和PCB的MAC地址，之后在交換機SWA上啟用端口綁定，設置端口 Ethernet1/0/1與PCA的MAC地址綁定，端口Ethernet1/0/2與PCB的MAC地址綁定，請在

11、如下空格中補充完整的命令： SWA interface ethernet 1/0/1SWA-Ethernet1/0/1 user-b ind mac-addr 001C-233D-5695SWA interface ethernet 1/0/2 SWA-Ethernet1/0/2 user-b ind mac-addr 0013-728E-4751配置完成后，通過執行display user-bind命令查看已設置綁定的信息。步驟三：端口綁定驗證在PCA上用ping命令來測試到PCB的互通性，其結果是PCA與PCB可以互通斷開PC與交換機間的連接 然后將PCA連接到端口 Ethernet1/0

12、/2 PCB連接到端口 Ethernet1/0/1。再重新用ping命令來測試PCA到PCB的互通性。其結果是PCA與PCB不能互通注意：未配置端口綁定的端口允許所有報文通過。步驟二中的MAC地址以學員實際操作的PC的MAC地址為準。H3C 交換機端口安全一、開啟端口安全switch port-security enable二、配置端口安全允許的最大安全 MAC 地址數sw it ch int erface interface-type interface-number /進入端口switch-interface port-security max-mac-count count-value三

13、、配置端口安全模式-自動學習switch-interface port-security port-mode autolearn四、配置端口安全的特性switch-interface port-security ntk-mode ntk-withbroadcasts |ntk- withmulticasts | ntkonly 注：ntkonly：僅允許目的 MAC地址為已通過認證的 MAC地址的單播報文通過。ntk-withbroadcasts:允許目的 MAC地址為已通過認證的 MAC地址的單播報文或廣播地址 的報文通過。ntk-withmulticasts:允許目的 MAC地址為已通過認

14、證的 MAC地址的單播報文，廣播地址 或組播地址的報文通過。五、配置*檢測特性switch-interface port-security intrusion-mode blockmac | disablepo rt | disableport-temporarily 注：blockmac：表示將非法報文的源MAC地址加入阻塞MAC地址列表中，源MAC 地址為阻塞MAC 地址的報文將被丟棄。此 MAC 地址在被阻塞 3 分鐘（系統默認，不可配）后 恢復正常。disablepor t：表示將收到非法報文的端口永久關閉。disableport-temporarily：表示將收到非法報文的端口暫時關閉一段時間。關閉 時長可通過 port-security timer disablepo