实验5.2--安全可靠的FAT-AP无线局域网实验课件

XXX,实验5.2安全可靠的FATAP无线局域网实验,实验背景,随着科技时代的发展，越来越多的无线产品正在投入使用，根据中国互联网络信息中心（CNNIC）公布的数据，截至2014年12月底，我国网民规模达6.49亿，其中手机网民达5.27亿，较2013年年底增加3117万人，网民中使用手机上网的人群占比提升至83.4%，中国也真正地步入网络时代。其中WLAN在提高企业效率、降低企业成本、提高用户满意度等方面有着突出的作用。无线安全的概念也不是风声大雨点小，不论是咖啡店、机场的无线网络，还是自家用的无线路由都已经成为黑客进攻的目标，目前业界解决无线网络部署的技术主要是FAT(胖)AP解决方案和FIT(瘦)AP解决方案，而适用于家庭应用的是FATAP独立部署方式，因此架设一个安全可靠的无线家庭网络成为网民必然要考虑的问题。,实验目的与内容,【实验目的】(1)掌握无线网络中接入控制的实现技术。(2)掌握无线网络中控制用户接入数量的实现技术。(3)掌握无线网络中射频资源管理的实现技术。(4)掌握无线网络中用户安全访问的实现技术。【实验内容】(1)无线网络中接入控制。(2)无线网络中控制用户接入数量。(3)无线网络中射频资源管理。(4)无线网络中用户安全访问。,实验设备,三个AP，两个带有无线网卡的计算机，一个交换机，一个RadiusServer，一个通用服务器或计算机，一根配置线和三根双绞线。网络拓扑结构如图5.2所示。图5.2基于FATAP的安全可靠的无线网络实验拓扑图,实验步骤,（1）组建点对点无线桥接网。本实验拓扑结构简单，假设只要图5.2中的APB和APC两个无线接入点。使能端口安全。system-viewH3CsysnameAPBAPBport-securityenable创建WLA-Mesh1接口，设置预共享密钥的方式（密钥为68686868），并使能11key类型的密钥协商功能。APBinterfacewlan-mesh1APB-wlan-mesh1port-securityport-modepskAPB-wlan-mesh1port-securitypreshared-keypass-phrase68686868APB-wlan-mesh1port-securitytx-key-type11keyAPB-wlan-mesh1quit设置MeshProfile并指定当前MeshProfile的MeshID为jsjxy，将WLAN-Mesh1接口绑定到服务模板，使能当前MeshProfile。APBwlanmesh-profile1APB-wlan-mshp-1mesh-idjsjxyAPB-wlan-mshp-1bindwlan-mesh1APB-wlan-mshp-1mesh-profileenableAPB-wlan-mshp-1quit,实验步骤,设置射频接口，指定工作信道为10，设置Mesh邻居（即APC）的射频接口的MAC地址，绑定MP策略APBinterfacewlan-radio1/0/2APB-WLAN-Radio1/0/2radio-typedot11gAPB-WLAN-Radio1/0/2channel10APB-WLAN-Radio1/0/2meshpeer-mac-address1a1a-3c3c-5e5eAPB-WLAN-Radio1/0/2mesh-profile1按照同样的方法设置APC，配置几乎和APB一样，只是APCMesh邻居的射频接口的MAC地址应为APB的射频接口的MAC地址，且APB和APC的信道要保持一致。（2）组建点对多点无线桥接网。设置APA的WDS，首先创建VLAN，并设置相应接口的参数。system-viewH3CsysnameAPAAPAvlan2to3APAinterfaceethernet1/0/1APA-Ethernet1/0/1portlink-typetrunkAPA-Ethernet1/0/1porttrunkpermitvlanallAPA-Ethernet1/0/1quit,实验步骤,APAinterfacevlan-interface1APA-vlan-interface1ipaddress172.16.0.1255.255.255.0APA-vlan-interface1quit在WDS设备上使能接口安全并设置Mesh接口。APAport-securityenableAPAinterfacewlan-mesh1APA-wlan-mesh1port-securityportmodepskAPA-wlan-mesh1port-securitytx-key-type11keyAPA-wlan-mesh1port-securitypreshared-keypass-phrase68686868APA-wlan-mesh1portlink-typehybridAPA-wlan-mesh1porthybridvlan2to3taggedAPA-wlan-mesh1quit在WDS设备上设置MP-Policy和Mesh-Profile。APAwlanmp-policy1APA-wlan-mp-policy1link-maximum-numberAPA-wlan-mp-policy1quitAPAwlanmesh-profile1APA-wlan-mshp-1mesh-idjsjzxAPA-wlan-mshp-1bindwlan-mesh1,实验步骤,APA-wlan-mshp-1mesh-profileenableAPA-wlan-mshp-1quit在WLAN-Radio接口上应用MP-Policy、Mesh-Profile，00aa-11bb-22cc是APB11aRadio接口的MAC地址，aa00-bb11-cc22是APC11aRadio接口的MAC地址。APAinterfaceWLAN-Radio1/0/1APA-WLAN-Radio1/0/1channel123APA-WLAN-Radio1/0/1mp-policy1APA-WLAN-Radio1/0/1mesh-profile1APA-WLAN-Radio1/0/1meshpeer-mac-address00aa-11bb-22ccAPA-WLAN-Radio1/0/1meshpeer-mac-addressaa00-bb11-cc22接入点APB和APC的WDS设置。APB和APC的WDS设置与APA类似，只是APB和APC的peer-mac-address指向的都是APA11aRadio的MAC地址1a1a-3c3c-5e5e。而APA要配置两个peer-mac-address分别指向APB11aRadio的MAC地址和APC11aRadio的MAC地址，并且要注意的是，WDS链路两端的WDS设备上设置的Preshared-key必须保持一致，WDS链路两端的WDS设备上设置的Mesh-ID也必须保持一致。,实验步骤,接入点APB的无线接入功能设置。首先在接入点APB上创建两个不加密的服务模板。system-viewH3CsysnameAPBAPBwlanservice-template1clearAPB-wlan-st-1ssidjsjzxAAPB-wlan-st-1service-templateenableAPB-wlan-st-1quitAPBwlanservice-template2clearAPB-wlan-st-2ssidjsjzxBAPB-wlan-st-2service-templateenableAPB-wlan-st-2quit创建两个WLAN-BSS接口，分别属于VLAN1和VLAN2。APBinterfacewlan-bss1APB-wlan-bss1portaccessvlan1APB-wlan-bss1quit,实验步骤,APBinterfacewlan-bss2APB-wlan-bss2portaccessvlan2APB-wlan-bss2quit在11gRadio上绑定两个服务模板。APBinterfacewlan-radio1/0/1APB-WLAN-Radio1/0/1service-template1interfacewlan-bss1APB-WLAN-Radio1/0/1service-template2interfacewlan-bss2APB-WLAN-Radio1/0/1quit设置接入点APC的无线接入功能，其设置和APB类似。（3）开启上行链路检测确保AP通信的连续，如图5.2所示。当APA检测到上行链路有故障时，可以关联到其他正在正常工作的AP，进而再接入上行网络。APAwlanuplink-interfaceethernet1/0/1（4）接入控制与隔离控制.拓扑结构如图5.2所示。,实验步骤,接入控制。APBwlanidsAPB-WLAN-IDSstatic-blacklistmac-addressmac-add1/mac-add1为黑名单MAC地址APB-WLAN-IDSwhitelistmac-addressmac-add2/mac-add2为白名单MAC地址APB-WLAN-IDSdynamic-blacklistenableAPB-WLAN-IDSdynamic-blacklistlifetime500APB-WLAN-IDSattack-detectionenableallAPB-WLAN-IDSquit隔离控制。APBl2fwwlan-client-isolationenable若仅对某VLAN2的用户实施隔离，命令应为：APBuser-isolationvlan2enableAPBuser-isolationvlan2permit-macinterface-vlan2-mac-address/interface-vlan2-mac-address为虚接口2的MAC（5）对接入用户进行服务质量控制。设置用于流分类的访问控制列表。APBaclnumber4076APB-acl-ethernetframe-4076rulepermitsource-mac0123-4567-89abffff-ffff-ffff,实验步骤,APB-acl-ethernetframe-4076rulepermitdest-mac0123-4567-89abffff-ffff-ffffAPB-acl-ethernetframe-4076ruledenyAPB-acl-ethernetframe-4076quit设置流分类和流行为。APBtrafficclassifiercaAPB-classifier-caif-matchacl4076APB-classifier-caquitAPBtrafficbehavioracAPB-behavior-accarcir5000/承诺信息速率5000Kb/sAPB-behavior-acquit设置QOS策略，并在WLAN-BSS1接口上应用QOS策略。APBqospolicyclientpolicyAPB-qospolicy-clientpolicyclassifiercabehavioracAPB-qospolicy-clientpolicyquitAPBinterfaceWLAN-BSS1APB-WLAN-BSS1qosapplypolicyclientpolicyinbound,实验步骤,APB-WLAN-BSS1qosapplypolicyclientpolicyoutboundAPB-WLAN-BSS1quit（6）限制AP接入用户数。如果要限制某个AP的接入用户数，需要做如下设置：APBwlanradio-policy1APB-wlan-rp-1clientmax-count30APB-wlan-rp-1quitAPBwlanapa1APB-wlan-ap-a1radio1APB-wlan-ap-a1-radio1radio-policy1如果要限制某个AP某SSID的接入用户数，需要做如下设置：APBwlanservice-template1clearAPB-wlan-st-1ssidjsjxyAPB-wlan-st-1clientmax-count10APB-wlan-st-1service-templateenable,实验步骤,APB-wlan-st-1quitAPBinterfaceWLAN-Radio1/0/1APB-WLAN-Radio1/0/1service-template1interfaceWLAN-BSS1APB-WLAN-Radio1/0/1radioenableAPB-WLAN-Radio1/0/1quit（7）射频资源管理。设置射频速率命令，不同的标准命令不同，具体介绍如下：APBwlanrrmAPB-wlan-rrmdot11amandatory-rate|supported-rate|disable-raterate-value/强制速率：6，12，24；支持速率：9，18，36，48，54；禁用速率：无；单位：Mb/sAPB-wlan-rrmdot11bmandatory-rate|supported-rate|disable-raterate-value/强制速率：1，2；支持速率：5.5，11；禁用速率：无；单位：Mb/sAPB-wlan-rrmdot11gmandatory-rate|supported-rate|disable-raterate-value/强制速率：1，2，5.5，11；支持速率：6，9，12，18，24，36，48，54；禁用速率：无；单位：Mb/s,实验步骤,APB-wlan-rrmdot11nmandatorymaximum-mcxindex/如果用户在Radio接口下配置使能clientdot11n-only命令，必须配置该基本MCS集APB-wlan-rrmdot11nsupportmaximum-mcxindex设置射频功率。APB-wlan-rrmspectrum-managementenable/使能802.11a频段的频谱管理APB-wlan-rrmpower-constraintpower-constraint/配置所有802.11a射频的功率限制扫描非dot11h信道。APB-wlan-rrmautochannel-setavoid-dot11h使能dot11g保护。APB-wlan-rrmdot11gprotectionenable/默认是关闭的（8）本地MAC地址接入控制。启用端口安全。APBport-securityenable设置MAC认证域为system域并设置本地MAC认证用户。APBmac-authenticationdomainsystemAPBlocal-user11aa22bb33cc/11aa22bb33cc为本地客户端的MAC地址APB-luser-11aa22bb33ccpasswordsimple11aa22bb33cc,实验步骤,APB-luser-11aa22bb33ccservice-typelan-accessAPB-luser-11aa22bb33ccquit设置无线服务模板。APBwlanservice-template1clearAPB-wlan-st-1ssidjsjxyAPB-wlan-st-1authentication-methodopen-systemAPB-wlan-st-1service-templateenableAPB-wlan-st-1quit设置无线接口并启用端口安全。APBinterfacewlan-bss1APB-wlan-bss1port-securityport-modemac-authenticationAPB-wlan-bss1quit将无线服务模板和无线接口绑定到射频接口。APBinterfacewlan-radio1/0/1APB-wlan-radio1/0/1service-template1interfacewlan-bss1APB-wlan-radio1/0/1quit,实验步骤,设置虚接口。APBinterfacevlan-interface1APB-vlan-interface1ipaddress192.168.10.99255.255.255.0APB-vlan-interface1quit设置默认路由。APBiproute-static0.0.0.00.0.0.0192.168.254（9）远程本地MAC地址接入控制。将本地MAC地址接入控制中的第步更改为如下配置：APBradiusschemejsjzxAPB-radius-jsjzxservice-typeextendedAPB-radius-jsjzxprimaryauthentication192.168.10.10/认证/授权服务器APB-radius-jsjzxprimaryaccounting192.168.10.10/计费服务器APB-radius-jsjzxkeyauthentication10101010APB-radius-jsjzxkeyaccounting10101010APB-radius-jsjzxtimerrealtime-accounting5/实时计费时间间隔为5分钟APB-radius-jsjzxuser-name-formatwithout-domain,实验步骤,APB-radius-jsjzxundostop-accounting-bufferenable/禁止缓存没有得到响应的停止计费请求报文APB-radius-jsjzxaccounting-onenableAPB-radius-jsjzxdomainjsjxyAPB-radius-jsjzxauthenticationdefaultradius-schemejsjzxAPB-radius-jsjzxauthorizationdefaultradius-schemejsjzxAPB-radius-jsjzxaccountingdefaultradius-schemejsjzxAPB-radius-jsjzxquitAPBmac-authenticationdomainjsjxy按照本地MAC地址认证的其他配置一样继续配置APB。在CAMS配置MAC认证项，依次按照图5.3图5.6所示进行系统配置、计费策略、服务策略和用户账号等相关信息的设置。,实验步骤,图5.3系统配置示意图,实验步骤,图5.4计费策略配置示意图,实验步骤,图5.5服务策略配置示意图,实验步骤,图5.6用户账号配置示意图,实验步骤,注意：在配置Radius时，service-type、primaryauthentication、primaryaccounting、key要配置正确并和Radius服务器一致，相应MAC用户的密码形式应和用户名形式一致，且必须是小写。（10）PSK接入控制。将本地MAC地址接入控制中的第步更改为如下配置，其他的配置和本地MAC地址认证的配置一样即可。APBinterfacewlan-bss1APB-wlan-bss1port-securityport-modepskAPB-wlan-bss1port-securitytx-key-type11keyAPB-wlan-bss1port-securitypreshared-keypass-phrase68686868APB-wlan-bss1quitAPBwlanservice-template1cryptoAPB-wlan-st-1ssidjsjxyAPB-wlan-st-1authentication-methodopen-systemAPB-wlan-st-1cipher-suitetkipAPB-wlan-st-1security-iewpaAPB-wlan-st-1service-templateenableAPB-wlan-st-1quit,实验步骤,（11）WPA加密、802.1x和IAS结合接入控制。开启端口安全并设置802.1x认证方式为EAP。APBport-securityenableAPBdot1xauthentication-methodeap设置认证策略和认证域。APBradiusschemejsjzxAPB-radius-jsjzxservice-typeextendedAPB-radius-jsjzxprimaryauthentication192.168.10.10/认证/授权服务器APB-radius-jsjzxprimaryaccounting192.168.10.10/计费服务器APB-radius-jsjzxkeyauthentication10101010APB-radius-jsjzxkeyaccounting10101010APB-radius-jsjzxtimerrealtime-accounting5/实时计费时间间隔为5分钟APB-radius-jsjzxuser-name-formatwithout-domainAPB-radius-jsjzxundostop-accounting-bufferenable/禁止缓存没有得到响应的停止计费请求报文APB-radius-jsjzxaccounting-onenable,实验步骤,APB-radius-jsjzxdomainjsjxyAPB-radius-jsjzxauthenticationlan-acces