校园无线网络安全策略规划与设计课件

1、校园无线网络安全策略规划与设计1 无线校园网络的规划与设计无线校园网络的规划与设计 姓姓 名名: : 覃美玲覃美玲 指导教师：周指导教师：周 跃跃 校园无线网络安全策略规划与设计2 本课题设计目的本课题设计目的 u 近年来，随着校园信息化环境的日益成熟，学校的笔记本电脑的近年来，随着校园信息化环境的日益成熟，学校的笔记本电脑的 普及率不断上升，师生们对无线网络的呼声也日益增高，普遍希普及率不断上升，师生们对无线网络的呼声也日益增高，普遍希 望能够尽早摆脱网线的限制，可以随时随地上网，随时随地投入望能够尽早摆脱网线的限制，可以随时随地上网，随时随地投入 教与学。教与学。 u 与有线网络相比与有线

2、网络相比, , 无线网络所面临的安全威胁更加严重。无线网络所面临的安全威胁更加严重。 1 1所有常规有线网络中存在的安全威胁和隐患都依然存在于无所有常规有线网络中存在的安全威胁和隐患都依然存在于无 线网络中；线网络中； 2 2 外部人员可以通过无线网络绕过防火墙外部人员可以通过无线网络绕过防火墙, , 对专用网络进行非对专用网络进行非 授权访问；授权访问； 3 3无线网络传输的信息容易被窃取、篡改和插入；无线网络传输的信息容易被窃取、篡改和插入； 4 4无线网络容易受到拒绝服务攻击无线网络容易受到拒绝服务攻击(DoS)(DoS)和干扰；和干扰； 校园无线网络安全策略规划与设计3 本课题设计目的

3、本课题设计目的 5内部员工可以设置无线网卡以端对端模式与外部员工直接连接。内部员工可以设置无线网卡以端对端模式与外部员工直接连接。 此外此外, 无线网络的安全技术相对比较新无线网络的安全技术相对比较新, 安全产品还比较少。以安全产品还比较少。以 无线局域网无线局域网(WLAN)为例为例, 移动节点、移动节点、AP等每一个实体都有可能是等每一个实体都有可能是 攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊 性性, 使得一些攻击更容易实施使得一些攻击更容易实施, 对无线网络安全技术的研究比有线网对无线网络安全技术的研究比有线

4、网 络的限制更多络的限制更多, 难度更大。难度更大。 校园无线网络安全策略规划与设计4 本课题研究意义本课题研究意义 u 现在无线网络的需求越来越大，通信安全性越现在无线网络的需求越来越大，通信安全性越 来越重要，现有的无线局域网安全机制已无法来越重要，现有的无线局域网安全机制已无法 满足我们对通信安全的需求，解决无线网络安满足我们对通信安全的需求，解决无线网络安 全问题就显得特别重要。全问题就显得特别重要。 校园无线网络安全策略规划与设计5 本课题实现功能本课题实现功能 校园无线网络部分拓扑图校园无线网络部分拓扑图 校园无线网络安全策略规划与设计6 校园校园ipip地址分配地址分配 校园申请

5、公用校园申请公用IPIP地址为地址为12.1.1.3 12.1.1.3 ，12.1.1.412.1.1.4 校园内部地址为校园内部地址为vlan1vlan1：10.0.0.x10.0.0.x vlan2 vlan2：10.0.1.x10.0.1.x 服务器服务器server1server1的的IPIP地址：地址：10.0.2.1010.0.2.10 路由器路由器R0R0端口端口s2/0s2/0的的IPIP地址：地址：12.1.1.112.1.1.1 路由器路由器R1R1端口端口s2/0s2/0的的IPIP地址：地址：12.1.1.212.1.1.2 校园无线网络安全策略规划与设计7 实现实现N

6、ATNAT地址转换功能地址转换功能 网络地址转换网络地址转换NATNAT是一种将私有地址转化为合法是一种将私有地址转化为合法IPIP地址的转地址的转 换技术，主要用于实现私有网络访问公共网络的功能换技术，主要用于实现私有网络访问公共网络的功能 。NATNAT不仅不仅 完美地解决了完美地解决了IPIP地址不足的问题，而且还能够有效地避免来自网地址不足的问题，而且还能够有效地避免来自网 络外部的攻击，隐藏并保护网络内部的计算机。络外部的攻击，隐藏并保护网络内部的计算机。 本课题是实现将内部的本课题是实现将内部的IPIP地址地址10.0.0.x10.0.0.x和和10.0.1.x10.0.1.x转换

7、成外转换成外 部合法部合法IPIP地址地址12.1.1.312.1.1.3跟跟12.1.1.412.1.1.4 校园无线网络安全策略规划与设计8 实现核心汇聚功能实现核心汇聚功能 u 三层交换机作为校园网络的核心层，三层交换机就是三层交换机作为校园网络的核心层，三层交换机就是 具有部分路由器功能的交换机，三层交换机的最重要具有部分路由器功能的交换机，三层交换机的最重要 目的是加快大型局域网内部的数据交换目的是加快大型局域网内部的数据交换 ，既可实现网，既可实现网 络路由功能，又可根据不同网络状况做到最优网络性络路由功能，又可根据不同网络状况做到最优网络性 能。能。 校园无线网络安全策略规划与设

8、计9 实现实现802.1x802.1x的认证的认证 u 在无线控制器在无线控制器ACAC上的配置实现上的配置实现802.1x802.1x的认证的认证 启用启用DHCPDHCP功能并配置地址池功能并配置地址池 dhcp enable dhcp enable dhcp server ip-pool pool1 dhcp server ip-pool pool1 配置配置APAP wlan ap 123 model xxx serial-id xxx wlan ap 123 model xxx serial-id xxx 配置配置802.1x802.1x认证的无线接口认证的无线接口 dot1x au

9、thentication-method eapdot1x authentication-method eap port-security port-mode userlogin-secure-ext port-security port-mode userlogin-secure-ext port-security tx-key-type 11key port-security tx-key-type 11key port-security enable port-security enable 校园无线网络安全策略规划与设计10 配置无线服务模板配置无线服务模板 wlan service-t

10、emplate 7 crypto/创建创建cryptocrypto类型的服务模类型的服务模 板板1 1。 cipher-suite tkip/使能使能tkiptkip加密套件加密套件 security-ie wpa/配置信标和探查帧携带配置信标和探查帧携带wpawpa信息信息 service-template enable 配置无线射频配置无线射频 radio 7 type 11g/设置设置radio1radio1的射频类型为的射频类型为802.11g 802.11g serivce-template 1/crypto1/crypto类型的服务模板类型的服务模板2 2与射频与射频1 1进行关联

11、进行关联 radio enable 校园无线网络安全策略规划与设计11 配置配置RadiusRadius radius scheme 1 radius scheme 1 primary authentication 10.0.2.10 primary authentication 10.0.2.10 primary accounting 10.0.2.10 primary accounting 10.0.2.10 key authentication h3c key authentication h3c key accounting h3c key accounting h3c nas-ip

12、10.0.0.100 nas-ip 10.0.0.100 校园无线网络安全策略规划与设计12 配置域配置域 domain isp domain isp authentication lan-access radius-scheme 1 authentication lan-access radius-scheme 1 accounting lan-access radius-scheme 1 accounting lan-access radius-scheme 1 authorization lan-access radius-scheme 1 authorization lan-acces

13、s radius-scheme 1 domain default enable isp domain default enable isp 校园无线网络安全策略规划与设计13 RadiusRadius认证服务器的安装认证服务器的安装 校园无线网络安全策略规划与设计14 交换机和交换机和RADIUSRADIUS服务器的共享密码服务器的共享密码 校园无线网络安全策略规划与设计15 添加用户并设置其密码添加用户并设置其密码 校园无线网络安全策略规划与设计16 APAP安全设置安全设置 u 在在APAP上进行上进行WEBWEB界面设置界面设置 图1 AP上的SSID设置 校园无线网络安全策略规划与设计17 SNMP协议配置协议配置 SNMP使用DES算法加密数据通信；SNMP还使用MD5和