实验拓扑
图 1-1
注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推
实验需求
- 按照图示配置 IP 地址
- 在 SW1 所有连接 PC 的接口上配置开启 802.1X 验证,使接入的终端需要进行身份验证
- 创建一个用户身份验证的用户。用户名为
wangdaye,密码为123456 - 创建一个端口隔离组,实现三台 PC 无法互相访问
实验解法
PC 配置 IP 地址部分略
在 SW1 上开启 802.1X 身份验证
分析:开启 802.1X 验证需要首先在系统视图下开启全局 802.1X,再到接口视图下开启 802.1X
步骤 1:在 SW1 的系统视图下开启全局 802.1X[SW1]dot1x
步骤 2:分别在三个连接 PC 的接口上开启 802.1X
[SW1]interface g1/0/1[SW1-GigabitEthernet1/0/1]dot1x
[SW1]interface g1/0/2[SW1-GigabitEthernet1/0/2]dot1x
[SW1]interface g1/0/3[SW1-GigabitEthernet1/0/3]dot1x
- 创建一个用户身份验证的用户。用户名为
wangdaye,密码为123456
分析:用于 802.1X 验证的用户类型必须是network,且服务类型为lan-access,否则将无法用于 802.1X 验证。用于身份验证的用户无需配置身份权限[SW1]local-user wangdaye class networkNew local user added.[SW1-luser-network-wangdaye]password simple 123456[SW1-luser-network-wangdaye]service-type lan-access
由于 802.1X 的验证无法在模拟器环境中实现,所以这里不做实验效果测试
- 创建一个端口隔离组,实现三台 PC 无法互相访问
分析:端口隔离组用于同 vlan 内部的端口隔离,属于同一个隔离组的接口无法互相访问,不同隔离组的接口才可以互相访问,所以需要把 SW1 的三个接口都加入到同一个隔离组
步骤 1:在 SW1 上创建编号为1号的隔离组[SW1]port-isolate group 1
步骤 2:把 g1/0/1、g1/0/2、g1/0/3 接口都加入到该隔离组
[SW1]interface g1/0/1[SW1-GigabitEthernet1/0/1]port-isolate enable group 1
[SW1]interface g1/0/2[SW1-GigabitEthernet1/0/2]port-isolate enable group 1
[SW1]interface g1/0/3[SW1-GigabitEthernet1/0/3]port-isolate enable group 1
由于端口隔离的验证无法在模拟器环境中实现,所以这里不做实验效果测试
http://www.dengfm.com/15217173546729.html
若有收获,就点个赞吧
0 人点赞
