1、無線校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)無線校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì) 姓姓 名名: : 覃美玲覃美玲 指導(dǎo)教師：周指導(dǎo)教師：周 躍躍本課題設(shè)計(jì)目的本課題設(shè)計(jì)目的u 近年來，隨著校園信息化環(huán)境的日益成熟，學(xué)校的筆記本電腦的近年來，隨著校園信息化環(huán)境的日益成熟，學(xué)校的筆記本電腦的普及率不斷上升，師生們對(duì)無線網(wǎng)絡(luò)的呼聲也日益增高，普遍希普及率不斷上升，師生們對(duì)無線網(wǎng)絡(luò)的呼聲也日益增高，普遍希望能夠盡早擺脫網(wǎng)線的限制，可以隨時(shí)隨地上網(wǎng)，隨時(shí)隨地投入望能夠盡早擺脫網(wǎng)線的限制，可以隨時(shí)隨地上網(wǎng)，隨時(shí)隨地投入教與學(xué)。教與學(xué)。u 與有線網(wǎng)絡(luò)相比與有線網(wǎng)絡(luò)相比, 無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴(yán)重。無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴(yán)重。

2、 1所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無線網(wǎng)絡(luò)中；線網(wǎng)絡(luò)中； 2 外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻, 對(duì)專用網(wǎng)絡(luò)進(jìn)行非對(duì)專用網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問；授權(quán)訪問； 3無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入；無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入； 4無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊(DoS)和干擾；和干擾； 本課題設(shè)計(jì)目的本課題設(shè)計(jì)目的 5內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對(duì)端模式與外部員工直接連接。內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對(duì)端模式與外部員工直接連接。 此外此外, 無線網(wǎng)絡(luò)

3、的安全技術(shù)相對(duì)比較新無線網(wǎng)絡(luò)的安全技術(shù)相對(duì)比較新, 安全產(chǎn)品還比較少。以安全產(chǎn)品還比較少。以無線局域網(wǎng)無線局域網(wǎng)(WLAN)為例為例, 移動(dòng)節(jié)點(diǎn)、移動(dòng)節(jié)點(diǎn)、AP等每一個(gè)實(shí)體都有可能是等每一個(gè)實(shí)體都有可能是攻擊對(duì)象或攻擊者。由于無線網(wǎng)絡(luò)在移動(dòng)設(shè)備和傳輸媒介方面的特殊攻擊對(duì)象或攻擊者。由于無線網(wǎng)絡(luò)在移動(dòng)設(shè)備和傳輸媒介方面的特殊性性, 使得一些攻擊更容易實(shí)施使得一些攻擊更容易實(shí)施, 對(duì)無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)對(duì)無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)絡(luò)的限制更多絡(luò)的限制更多, 難度更大。難度更大。 本課題研究意義本課題研究意義u現(xiàn)在無線網(wǎng)絡(luò)的需求越來越大，通信安全性越現(xiàn)在無線網(wǎng)絡(luò)的需求越來越大，通信安全

4、性越來越重要，現(xiàn)有的無線局域網(wǎng)安全機(jī)制已無法來越重要，現(xiàn)有的無線局域網(wǎng)安全機(jī)制已無法滿足我們對(duì)通信安全的需求，解決無線網(wǎng)絡(luò)安滿足我們對(duì)通信安全的需求，解決無線網(wǎng)絡(luò)安全問題就顯得特別重要。全問題就顯得特別重要。本課題實(shí)現(xiàn)功能本課題實(shí)現(xiàn)功能校園無線網(wǎng)絡(luò)部分拓?fù)鋱D校園無線網(wǎng)絡(luò)部分拓?fù)鋱D校園校園ip地址分配地址分配校園申請(qǐng)公用校園申請(qǐng)公用服務(wù)器服務(wù)器server1的的IP地址：地址：實(shí)現(xiàn)實(shí)現(xiàn)NAT地址轉(zhuǎn)換功能地址轉(zhuǎn)換功能 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種將私有地址轉(zhuǎn)化為合法是一種將私有地址轉(zhuǎn)化為合法IP地址的地址的轉(zhuǎn)換技術(shù)，主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能轉(zhuǎn)換技術(shù)，主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公

5、共網(wǎng)絡(luò)的功能 。NAT不不僅完美地解決了僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 本課題是實(shí)現(xiàn)將內(nèi)部的本課題是實(shí)現(xiàn)將內(nèi)部的IP地址和轉(zhuǎn)換成外部合法地址和轉(zhuǎn)換成外部合法IP地址跟地址跟實(shí)現(xiàn)核心匯聚功能實(shí)現(xiàn)核心匯聚功能u三層交換機(jī)作為校園網(wǎng)絡(luò)的核心層，三層交換機(jī)就是三層交換機(jī)作為校園網(wǎng)絡(luò)的核心層，三層交換機(jī)就是具有部分路由器功能的交換機(jī)，三層交換機(jī)的最重要具有部分路由器功能的交換機(jī)，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換目的是加快大型局域網(wǎng)

6、內(nèi)部的數(shù)據(jù)交換 ，既可實(shí)現(xiàn)網(wǎng)，既可實(shí)現(xiàn)網(wǎng)絡(luò)路由功能，又可根據(jù)不同網(wǎng)絡(luò)狀況做到最優(yōu)網(wǎng)絡(luò)性絡(luò)路由功能，又可根據(jù)不同網(wǎng)絡(luò)狀況做到最優(yōu)網(wǎng)絡(luò)性能。能。實(shí)現(xiàn)的認(rèn)證實(shí)現(xiàn)的認(rèn)證u 在無線控制器在無線控制器AC上的配置實(shí)現(xiàn)的認(rèn)證上的配置實(shí)現(xiàn)的認(rèn)證 啟用啟用DHCP功能并配置地址池功能并配置地址池 dhcp enable dhcp server ip-pool pool1 配置配置AP wlan ap 123 model xxx serial-id xxx 配置認(rèn)證的無線接口配置認(rèn)證的無線接口 dot1x authentication-method eap port-security port-mode user

7、login-secure-ext port-security tx-key-type 11key port-security enable 配置無線服務(wù)模板配置無線服務(wù)模板 wlan service-template 7 crypto/創(chuàng)建創(chuàng)建crypto類型的服務(wù)類型的服務(wù)模板模板1。 cipher-suite tkip/使能使能tkip加密套件加密套件 security-ie wpa/配置信標(biāo)和探查幀攜帶配置信標(biāo)和探查幀攜帶wpa信息信息 service-template enable 配置無線射頻配置無線射頻 radio 7 type 11g/設(shè)置設(shè)置radio1的射頻類型為的射頻類型為

8、802.11g serivce-template 1/crypto類型的服務(wù)模板類型的服務(wù)模板2與射頻與射頻1進(jìn)行關(guān)進(jìn)行關(guān)聯(lián)聯(lián) radio enable配置配置Radius radius scheme 1 key authentication h3c key accounting h3c配置域配置域 domain isp authentication lan-access radius-scheme 1 accounting lan-access radius-scheme 1 authorization lan-access radius-scheme 1 domain default enable ispRadius認(rèn)證服務(wù)器的安裝認(rèn)證服務(wù)器的安裝交換機(jī)和交換機(jī)和RADIUS服務(wù)器的共享密服務(wù)器的共享密碼碼 添加用戶并設(shè)置其密碼添加用戶并設(shè)置其密碼 AP安全設(shè)置安全設(shè)置u 在在AP上進(jìn)行上進(jìn)行WEB界面設(shè)置界面設(shè)置圖1 AP上的SSID設(shè)置 SNMP協(xié)議配置協(xié)議配置SNMP使用DES算