最後說一下802.1x的相關概念和配置。
802.1x身份驗證協議最初使用於無線網路,後來才在普通交換機和路由器等網路裝置上使用。它可基於埠來對使用者身份進行認證,即當使用者的資料流量企圖通過配置過802.
1x協議的埠時,必須進行身份的驗證,合法則允許其訪問網路。這樣的做的好處就是可以對內網的使用者進行認證,並且簡化配置,在一定的程度上可以取代windows 的ad。
配置802.1x身份驗證協議,首先得全域性啟用aaa認證,這個和在網路邊界上使用aaa認證沒有太多的區別,只不過認證的協議是802.1x;其次則需要在相應的介面上啟用802.
1x身份驗證。(建議在所有的埠上啟用802.1x身份驗證,並且使用radius伺服器來管理使用者名稱和密碼)
下面的配置aaa認證所使用的為本地的使用者名稱和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用aaa認證。
3550-1(config)#aaa authentication dot1x default local /全域性啟用802.1x協議認證,並使用本地使用者名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1x身份驗證。
後記通過mac位址來控制網路的流量既可以通過上面的配置來實現,也可以通過訪問控制列表來實現,比如在cata3550上可通過700-799號的訪問控制列表可實現mac位址過濾。但是利用訪問控制列表來控制流量比較麻煩,似乎用的也比較少,這裡就不多介紹了。
通過mac位址繫結雖然在一定程度上可保證內網安全,但效果並不是很好,建議使用802.1x身份驗證協議。在可控性,可管理性上802.1x都是不錯的選擇。
交換機埠安全策略配置
首先按照下圖的配置連線好這些裝置,並記下三颱pc機的mac位址 pc0 pc1 pc2 然後為這三颱pc機配置ip位址 然後用pc2分別ping pc0和pc1,在交換機的cli介面鍵入show mac address table 得到如下內容 然後設定交換機埠1的安全功能 之後再ping pc1,...
Cisco交換機配置DHCP例項
cisco 3550 48交換機配置dhcp例項 2009 12 11 11 43作者 tsingfu 51cto 一 catalyst 3550 48配置成dhcp中繼 一次公司開會,需要臨時組建乙個區域網進行交流,要求與會者自帶電腦。計畫使用一台tp link tl wr541g無線寬頻路由器進...
CISCO交換機配置命令大全總結
全新的cisco配置命令 配置使能密碼enable secret ciscolab 以cicsolab 為例 switch enable switch c onfigure terminal switch conf hostname aptch2950 aptech2950 conf enable ...