工作任务使用二层隔离保护无线网络

1、工作任务10：使用(shyng)二层隔离保护无线网络无线网络组建(z jin)项目教程中国水利水电出版社共七十五页项目学习(xux)目标知识(zh shi)目标了解无线网络的安全措施掌握无线网络中的WEP加密了解基于端口的访问控制标准IEEE 802.1x，理解远程验证拨号用户服务（RADIUS）掌握无线网络中EAP（可扩展验证协议）应用掌握无线网络中WPA（Wi-Fi保护访问）应用了解WPA2标准掌握无线网络故障检查基本方法掌握无线网络故障分析共七十五页项目(xingm)学习目标技能目标(mbio)能根据用户的需求进行网络状况的安全分析能够在中小型企业网中进行安全的部署无线网络掌握中小型企业

2、无线网络故障排除的方法共七十五页项目(xingm)学习目标素质目标形成良好的合作观念，会进行(jnxng)业务洽谈形成严格按操作规范进行操作的习惯形成严谨细致的工作态度和追求完美的工作精神学会自我展示的能力和查阅资料的能力共七十五页项目(xingm)描述某IT集成公司经常为其客户建设无线网络项目，其系统集成部无线网络工程师小赵需要根据不同项目、不同客户需求构建安全的无线网络。小赵经常根据不同的需求分别(fnbi)采用无线二层隔离、基于MAC的认证、WEB认证、802.1x认证及采用WEP加密，保障无线网络的安全，具体拓扑图如下所示：共七十五页任务(rn wu)准备-WLAN安全标准WLAN基本

3、的安全概念(ginin)有哪些认证 （Authenticity）：确保访问网络资源的用户身份是合法的；加密 （Confidentiality）：确保所传递的信息即使被截获了，截获者也无法获得原始的数据；完整性 （Integrity）：如果所传递的信息被篡改，接收者能够检测到共七十五页任务准备(zhnbi)-WLAN安全标准IEEE 802.11-1999安全标准(biozhn)IEEE802.11-1999把WEP机制作为安全的核心内容，包括了：身份认证采用了Open system认证和共享密钥认证数据加密采用RC4算法完整性校验采用了ICV密钥管理不支持动态协商，密钥只能静态配置，完全不适合

4、在企业等大规模部署场景。共七十五页任务准备(zhnbi)-WLAN安全标准IEEE 802.11i标准IEEE802.11i工作组针对802.11标准的安全缺陷，进行了如下的改进：认证基于成熟的802.1x、Radius体系其他部分在IEEE802.11i协议中进行了定义，包括了：数据加密采用TKIP和AES-CCM完整性校验采用了Michael和CBC算法。基于4次握手过程实现了密钥的动态(dngti)协商。共七十五页任务准备-WLAN安全(nqun)标准中国WAPI安全标准WAPI是中国制定自己的WLAN安全标准。与其它WLAN安全体制相比，WAPI认证的优越性集中体现在以下几个方面：支持

5、双向鉴别使用数字证书从认证等方面看，WAPI标准主要内容包括：认证基于WAPI独有的WAI协议，使用证书作为身份凭证；数据加密采用SMS4算法(sun f)；完整性校验采用了SMS4算法；基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。共七十五页任务(rn wu)准备-有效等效加密(WEP)无线网络通信架构有线等效加密（Wired Equivalent Privacy），又称无线加密协议（Wireless Encryption Protocol），简称WEP，是个保护无线网络（Wi-Fi)信息安全的体制。WEP 是1999年9月通过(tnggu)的 IEEE 802.11标准的

6、一部分，使用 RC4 (Rivest Cipher) 串流加密技术达到机密性，并使用 CRC-32 验和达到资料正确性。对WEP安全问题最广为推荐的解法是换到WPA或WPA2，不论哪个都比WEP安全。有些古老的WiFi取用点(access point)可能需要汰换或是把它们内存中的操作系统升级才行，不过替换费用相对而言并不贵。另一种方案是用某种穿隧协定，如IPsec。共七十五页任务准备-有效等效(dn xio)加密(WEP)Wi-Fi保护接入(WPA)WPA全名为Wi-Fi Protected Access，有WPA和WPA2两个标准，是一种保护无线计算机网络（Wi-Fi）安全的系统，它是应研

7、究者在前一代的系统有线等效(dn xio)加密（WEP）中找到的几个严重的弱点而产生的。共七十五页任务准备-有效(yuxio)等效加密(WEP)802.1X协议802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口级别(jbi)对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问局域网中的资源。共七十五页任务准备(zhnbi)-有效等效加

8、密(WEP)802.1x认证(rnzhng)体系IEEE 802.1x标准定义了一个Client/Server（客户端/服务器）的体系结构，用来防止非授权的设备接入到局域网中。802.1x体系结构中包括三个组件：恳求者系统（Supplicant System）、认证系统（Authenticator System）和认证服务器系统（Authentication Server System）。共七十五页任务(rn wu)准备-有效等效加密(WEP)802.1x工作机制802.1x认证(rnzhng)使用了EAP协议在恳求者与认证服务器之间交互身份认证信息。在客户端与交换机之间，EAP协议报文直接被

9、封装到LAN协议中（如Ethernet），即EAPoL报文如图共七十五页任务准备-有效等效(dn xio)加密(WEP)802.1x工作机制在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文。此外，在交换机与RADIUS服务器之间还可以使用RADIUS协议交互PAP和CHAP报文。交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成。RADIUS可以使用不同的认证方式对客户端进行认证，例如EAP-MD5、PAP、CHAP、EAP-TLS、LEAP、PEAP等。当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或

10、拒绝）返回给交换机，交换机根据认证结果决定(judng)受控端口的状态共七十五页任务准备(zhnbi)-有效等效加密(WEP)802.1x认证过程802.1x支持两种认证模式，EAP中继模式和EAP终结模式，两种模式的报文交互过程略有不同。EAP中继模式的认证方式EAP-MD5EAP-TLS（Transport Layer Security，传输层安全）EAP-TTLS（EAP-Tunneled TLS扩展认证协议-隧道(sudo)传输层安全）PEAP（Protected EAP，受保护的EAP）共七十五页任务准备(zhnbi)-有效等效加密(WEP)802.1x认证(rnzhng)过程EAP

11、中继模式的EAP-MD5认证过程共七十五页任务(rn wu)准备-有效等效加密(WEP)802.1x认证(rnzhng)过程EAP中继模式的EAP-MD5认证过程客户端启动802.1x客户端程序，向交换机发送一个EAPoL报文，表示开始进行802.1x接入认证。如果交换机端口启用了802.1x认证，将向客户端发送EAP-Request/Identity报文，要求客户端发送其使用的用户名（ID信息）。客户端响应交换机发送的请求，向交换机发送EAP-Response/Identity报文，报文中包含客户端使用的用户名。共七十五页任务准备(zhnbi)-有效等效加密(WEP)802.1x认证过程EA

12、P中继模式的EAP-MD5认证过程交换机将EAP-Response/Identity报文封装到RADIUS 的Access-Request报文中，通过网络发送给RADIUS服务器。RADIUS服务器收到交换机发送的RADIUS报文后，使用报文中的用户名信息在本地用户数据库中查找到对应的密码后，用随机生成的挑战值（MD5 Challenge）与密码进行(jnxng)MD5运算，产生一个128bit的散列值。同时RADIUS服务器也将此挑战值通过RADIUS的Access-Challenge报文发送给交换机。交换机从RADIUS报文中提取出EAP信息（其中包括挑战值），封装到EAP-Request

13、/MD5 Challenge报文中发送给客户端。共七十五页任务准备-有效(yuxio)等效加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程客户端使用报文中的挑战值与本地的密码也进行MD5运算，产生一个128bit的散列值，封装到EAP-Response/MD5 Challenge报文中发送给交换机。交换机将EAP-Response/MD5 Challenge信息(xnx)封装到RADIUS Access-Request报文中发送给RADIUS服务器。RADIUS通过将收到的客户端的散列值与自己计算的散列值进行比较，如果相同则表示用户合法，认证通过，并返回RADIUS A

14、ccept报文，其中包含EAP-Success信息。共七十五页任务准备-有效等效(dn xio)加密(WEP)802.1x认证过程EAP中继模式的EAP-MD5认证过程交换机收到认证通过的信息后，将连接客户端的端口“开放”，并发送EAP-Success报文给客户端，以通知(tngzh)客户端验证通过。客户端可以通过发送EAP-Logoff报文通知交换机主动下线，终止认证状态。交换机收到EAP-Logoff报文后将端口“关闭”。从EAP中继模式的认证过程可以看出，交换机在整个认证中扮演着一个中间人的较色，对EAP报文进行透传共七十五页任务准备-有效等效(dn xio)加密(WEP)802.1x认

15、证过程EAP终结模式EAP终结模式即交换机将EAP信息终结，交换机与RADIUS服务器之间无需交互EAP信息，也就是说RADIUS服务器无需支持EAP属性。如果网络中的RADIUS服务器不支持EAP属性，可以使用这种认证模式。在EAP终结模式中可以使用PAP与CHAP认证方式，并且(bngqi)推荐使用CHAP认证方式，因为PAP使用明文传送用户名和密码信息共七十五页任务准备-有效(yuxio)等效加密(WEP)802.1x认证过程EAP终结模式从上图中可以看出在EAP终结模式中，MD5挑战值是由交换机生成的，随后交换机会将客户端的用户名、MD5挑战值和客户端计算(j sun)的散列值一同发送

16、给RADIUS服务器，再由RADIUS服务器进行认证。对于EAP终结模式，交换机与RADIUS服务器之间只交换两条消息，减少了其之间的信息交互量，减轻了RADIUS服务器的压力。共七十五页任务(rn wu)准备-WAPI技术WAPI技术产生背景WLAN技术已经广泛地应用于企业和运营商网络。由于无线通信使用开放性的无线信道资源作为传输媒质，导致非法用户很容易发起对WLAN网络的攻击或窃取用户的机密信息。如何保证WLAN网络的安全性一直是WLAN技术应用所面临的最大难点之一。IEEE标准组织及Wi-Fi联盟为此一直在进行着努力，先后推出了WEP、802.11i(WPA、WPA2)等安全标准，逐步(

17、zhb)实现了WLAN网络安全性的提升。但802.11i并不是WLAN安全标准的终极，针对802.11i标准的不完善之处，比如缺少对WLAN设备身份的安全认证，中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(Wireless Area Network Authentication and Privacy Infrastructure)安全机制来实现无线局域网的安全。共七十五页任务(rn wu)准备-WAPI技术技术优势WAPI采用了国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于无线设备的数字证书、证书鉴别

18、、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态(zhungti)下的加密保护。与其他无线局域网安全机制（如802.11i）相比，WAPI 的优越性集中体现在以下几个方面：双向身份鉴别基于数字证书确保安全性完善的鉴别协议共七十五页任务(rn wu)准备-WAPI技术 WAPI基本功能无线客户端首先和WLAN设备(shbi)进行802.11链路协商WLAN设备触发对无线客户端的鉴别处理鉴别服务器进行证书鉴别无线客户端和WLAN设备进行密钥协商共七十五页任务准备(zhnbi)-WAPI技术 WAPI基本功能完整的WAPI鉴别协议(xiy)交互过程共七

19、十五页任务准备(zhnbi)-WLAN 认证链路认证(rnzhng)开放系统认证（Open system authentication）共享密钥认证（Shared key authentication）共七十五页任务准备(zhnbi)-WLAN 认证用户(yngh)接入认证PSK认证MAC接入认证共七十五页任务准备(zhnbi)-WLAN 认证用户(yngh)接入认证802.1x认证共七十五页任务(rn wu)准备-WLAN IDSWLAN IDS简介WIDS（Wireless Intrusion Detection System）可以对有恶意( y)的用户攻击和入侵行为进行早期检测，保护企业

20、网络和用户不被无线网络上未经授权的设备访问。WIDS可以在不影响网络性能的情况下对无线网络进行监测，从而提供对各种攻击的实时防范。共七十五页任务(rn wu)准备-WLAN IDSWLAN IDS简介WLAN IDS涉及的常用术语Rogue AP：网络中未经授权或者有恶意的AP，它可以是私自(sz)接入到网络中的AP、未配置的AP、邻居AP或者攻击者操作的AP。如果在这些AP上存在安全漏洞，黑客就有机会危害无线网络安全。Rogue Client：非法客户端，网络中未经授权或者有恶意的客户端，类似于Rogue AP。Rogue Wireless Bridge：非法无线网桥，网络中未经授权或者有恶

21、意的网桥。Monitor AP：这种AP在无线网络中通过扫描或监听无线介质，检测无线网络中的Rogue设备。一个AP可以同时做接入AP和Monitor AP，也可以只做Monitor AP。Ad-hoc mode：把无线客户端的工作模式设置为Ad-hoc模式，Ad-hoc终端可以不需要任何设备支持而直接进行通讯。共七十五页任务(rn wu)准备-WLAN QoSWLAN QoS简介802.11网络提供了基于竞争的无线接入服务，但是不同的应用(yngyng)需求对于网络的要求是不同的，而原始的网络不能为不同的应用(yngyng)提供不同质量的接入服务，所以已经不能满足实际应用(yngyng)的需

22、要。IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS特性，这个协议的标准化时间很长，在这个过程中，Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通，定义了WMM（Wi-Fi Multimedia，Wi-Fi多媒体）标准。WMM标准使WLAN网络具备了提供QoS服务的能力。共七十五页任务(rn wu)准备-WLAN 排错WLAN 排错原则当一个(y )无线网络发生问题时，应该首先从几个关键问题入手进行排错。射频环境AP、无线客户端配置硬件共七十五页任务(rn wu)准备-WLAN 排错无线客户端检测不到(b do)信号拍错当无线客户端无法检测到信号共七十

23、五页任务(rn wu)准备-WLAN 排错无线客户端检测不到信号排错排错思路：单个用户(yngh)报错查看报错无线客户端处是否有无线信号。可使用一些专业的器材或软件。批量用户报错查看报错无线客户端处是否有无线信号。可使用一些专业的器材。检查相关软硬件是否正确安装。包括AP电源、网卡、驱动等。共七十五页任务(rn wu)准备-WLAN 排错无线客户端检测不到信号排错解决方案：确认报错无线客户端网卡是否正确安装，包括有无适配的驱动程序。可以使用Network Stumbler等软件或专业的信号强度测试(csh)仪器查看报错无线客户端周围是否有无线信号，并将无线客户端放置到WLAN信号较好处。注意家

24、具的移动，金属文件柜的移动，微波炉的安装或其它使用无线的家电出现。 共七十五页任务(rn wu)准备-WLAN 排错无线客户端检测不到信号排错解决方案：靠近AP，并使用Network Stumbler等软件或专业的信号强度测试仪器确定(qudng)AP在正常工作。如果在AP周围查看到的信号强度较弱，可查看天线安装是否正确。如果在AP周围没有查看到信号，可先查看AP是否正常启动，如电源是否安装、无线接口是否正常工作等。如AP工作正常，可查看天线安装是否正确。可尝试将AP回复出厂配置后再次配置或重启AP。共七十五页任务(rn wu)准备-WLAN 排错有信号无法连接(linji)上AP解决方案：当

25、客户端检测到无线信号，但无法连接到AP上共七十五页任务(rn wu)准备-WLAN 排错有信号无法连接上AP解决方案：排错思路单个用户报错查看无线客户端检测到的WLAN信号强度。可通过查看无线客户端自带的信号强度查看程序。查看无线客户端是否做出相应配置。如是否配置SSID、认证加密方式是否正确。查看无线客户端处是否有干扰。可通过专业(zhuny)器材或软件查看。批量用户报错查看无线客户端处是否有干扰。可通过专业器材或软件查看。查看AP是否工作正常。可通过专业器材或软件查看附近是否有“非法”AP。共七十五页任务(rn wu)准备-WLAN 排错有信号无法连接上AP解决方案：解决方案确认报错无线客

26、户端网卡是否正确安装，包括有无适配的驱动程序。可以使用Network Stumbler等软件或专业的信号强度测试仪器查看(chkn)报错无线客户端周围信号强度是否足够。可以使用Network Stumbler等软件或专业的信号强度测试仪器查看报错无线客户端周围是否有ISM设备的射频干扰。如相邻WLAN设备、微波炉、对讲机等。检查报错无线客户端是否配置正确的SSID信息和认证加密方式。如果此处配置与欲连接AP配置不符，无法进行连接。测试从AP上是否可以与网关通信。可尝试将AP回复出厂配置后再次配置或重启AP。查找出是否有“非法”AP配置与“合法”AP相同的SSID。共七十五页任务(rn wu)准

27、备-WLAN 排错连接上后无线客户端无法(wf)正常工作当客户端能连接到AP上，但客户端无法正常工作共七十五页任务(rn wu)准备-WLAN 排错连接上后无线客户端无法正常工作排错思路：单个用户(yngh)报错查看无线客户端检测到的WLAN信号强度，并做评估。可通过查看无线客户端自带的信号强度查看程序。查看无线客户端是否做出相应配置。如认证加密方式是否正确。查看无线客户端处是否有干扰。可通过专业器材或软件查看。客户端是否配置静态IP地址，此静态IP地址是否合法。共七十五页任务(rn wu)准备-WLAN 排错连接上后无线客户端无法正常工作批量用户报错查看无线客户端处是否有干扰。可通过专业器材

28、或软件查看。查看AP是否工作正常。主网络的DHCP等功能是否工作正常。AP是否开启用户隔离功能。是否有很多用户连接在同一AP上。是否用用户在使用P2P等会占用(zhn yn)大量带宽的应用程序。是否有网络病毒或黑客攻击。可通过专业器材或软件查看附近是否有“非法”AP。共七十五页任务(rn wu)准备-WLAN 排错连接上后无线客户端无法正常工作解决方案确认无线客户端是否获得正确的IP地址。如没有，可查看主网络DHCP等功能是否工作正常或无线客户端设置的静态IP地址是否正确。查看无线客户端所检测到的WLAN信号强弱，如较弱，可将无线客户端放置到WLAN信号较好处。查看无线客户端认证加密方法是否与

29、AP匹配。查看AP是否配置了用户隔离功能。可尝试将AP回复出厂配置后再次配置或重启AP。查找出是否有“非法”AP配置与“合法(hf)”AP相同的SSID。共七十五页工作任务(rn wu)10：利用二层隔离保护企业无线网络任务分析无线网络工程师小赵在所建设的无线网络项目中，进行无线网络试运行测试(csh)时，有企业员工反应无线网络的速度非常慢，然后小赵就在网管上查看，发现无线网络内的流量很大，而企业网出口的流量不是很大，据此小赵推断是有些员工在利用无线网络相互之间传输大量的数据。为了增加无线网络的利用率，减少无线网络带宽在局域网内的浪费，小赵决定把无线网络内的用户做个二层隔离。那么如何降低无线局

30、域网内无线带宽的浪费，小赵采用智能无线局域网的二层隔离功能将用户隔离开，不允许无线网用户使用无线网络互相访问和传输数据。共七十五页工作(gngzu)任务10：利用二层隔离保护企业无线网络项目设备2台安装(nzhung)Windows XP系统的电脑、1块RG-WG54U无线网卡、1台智能无线AP、1台智能无线交换机、RingMaster服务器1台。共七十五页工作任务10：利用(lyng)二层隔离保护企业无线网络网络拓扑共七十五页任务(rn wu)实施配置无线交换机的基本参数无线交换机的默认(mrn)IP地址是/24，因此将STA-1的IP地址配置为/24，并打开浏览器登陆到，弹出以下界面：选择

31、“是”。共七十五页任务(rn wu)实施配置无线交换机的基本参数系统的默认(mrn)管理用户名是admin，密码为空。共七十五页任务(rn wu)实施配置无线交换机的基本参数输入用户名和密码后就进入了无线交换机的web配置页面，点击“start”，进入快速(kui s)配置指南。共七十五页任务(rn wu)实施配置无线交换机的基本参数选择(xunz)管理无线交换机的工具-“RingMaster”。 共七十五页任务(rn wu)实施配置(pizh)无线交换机的基本参数配置无线交换机的IP地址，子网掩码以及默认网关。共七十五页任务(rn wu)实施配置(pizh)无线交换机的基本参数设置系统的管理

32、密码。共七十五页任务(rn wu)实施配置(pizh)无线交换机的基本参数设置系统的时间以及时区。共七十五页任务(rn wu)实施配置无线交换机的基本参数确认(qurn)无线交换机的基本配置。完成无线交换机的基本配置。共七十五页任务(rn wu)实施配置无线AP进入(jnr)“wireless”-“Access Point”选项，添加AP。共七十五页任务(rn wu)实施配置无线AP为添加的AP进行命名，并选择连接(linji)方式，默认使用“Distributed”模式。共七十五页任务(rn wu)实施配置无线AP将需要(xyo)添加的AP机身后面的SN号输入对话框，用于AP与无线交换机的注

33、册过程共七十五页任务(rn wu)实施配置无线AP选择(xunz)添加AP的具体型号和传输协议，完成AP添加。共七十五页任务(rn wu)实施配置(pizh)无线交换机的DHCP服务器进入“Syestem”-“VLANS”选项，选择“default”vlan，进入属性配置。在。 共七十五页任务(rn wu)实施配置无线交换机的DHCP服务器进入“Properties”“DHCP Server”选项，激活DHCP服务器，设置(shzh)地址池和DNS，并保存。在。 共七十五页任务(rn wu)实施配置(pizh)无线交换机的DHCP服务器进入“System”“Port”选项，将无线交换机的端口P

34、OE打开，并保存。在。 共七十五页任务(rn wu)实施配置(pizh)网管软件的二层隔离功能打开无线网管软件的“Configuration”“system”“VLANs”。在。 共七十五页任务(rn wu)实施配置(pizh)网管软件的二层隔离功能进入“Properties”“VLAN L2 Restriction”选项，激活该选项，在方框内打上对勾。在。 共七十五页任务(rn wu)实施配置网管软件的二层隔离(gl)功能添加VLAN内用户网关设备的MAC地址点击上图的“Create”键。在。 共七十五页任务(rn wu)实施配置网管软件的二层隔离(gl)功能添加网关的MACA地址，点击“Finish”完成添加。在。 共七十五页任务(rn wu)实施配置网管软件的二层隔离功能添加网关的MACA地址，点击“Finish”完成添加。点击“OK”，完成操作(cozu)；把设置应用到无线交换机上在。 共七十五页任务(rn wu)实施使两台客户端都连接上“test”的SSID，并获得地址(dzh)查看两台电脑的地址。STA1:在。 共七十五页任务(rn