《无线局域网应用技术 （第4版）》课件 项目9 银行无线网络的安全管理

项目9银行无线网络的安全管理项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述某银行的无线网络使用WPA2加密方式部署。在网络运行一段时间后，发现无线用户数持续增加，但银行内部员工数并未增长。网络工程师通过分析接入用户数据，发现增长的用户基本属于银行外部人员（如外来访客、周边人员等）。这些外部用户的接入不仅占用大量带宽，导致银行员工办理业务时（如柜台终端联网、移动办公设备操作）的接入带宽下降，影响业务办理效率；更严重的是，外部人员未经合规认证接入内网，可能引发客户信息泄露、交易数据被窃取等安全隐患，违背金融行业数据安全合规要求。​为解决这一问题，该银行要求Jan16公司对当前无线网络进行接入认证的升级改造，把原有的统一密码认证升级为实名认证——即每位银行员工都有唯一的账号与密码，且账号与员工个人信息（如工号、姓名、所属部门）一一对应。这样既能避免员工将统一密码分享、泄露给外部人员，又能通过身份绑定实现接入溯源，大幅提高网络接入安全性与合规性。无线网络采用WPA2统一密码认证接入方式，仅适用于用户规模小、安全需求低的场景。所有用户通过相同密码接入，密码不具备个体辨识性，无法追溯接入用户身份，极易因密码扩散引发安全风险。要解决银行员工泄露密码、外部人员非法接入的问题，需实现无线认证与员工个人信息强绑定，做到“一人一证、实名接入”。目前，业界金融机构普遍采用成熟的Web认证技术解决此类安全认证需求，该技术兼具安全性与便捷性，符合金融行业合规标准。​项目描述无线AC内置Web认证功能，相当于在网络中部署一台本地化认证服务器，所有用户接入无线网络时，均需通过该服务器完成身份识别。验证通过后才可正常访问网络，未通过验证则被拒绝接入。因此，本项目可通过在无线AC上启用本地认证，实现银行员工无线上网的统一身份认证，彻底消除无线网络接入安全困扰，具体涉及以下两个工作任务：​（1）基础网络配置​：配置银行内网的有线网络（如柜台终端、服务器链路）与无线网络（各区域AP），确保有线用户与无线用户能稳定连通内网核心业务系统，同时隔绝外部非法接入链路，保障基础网络连通性与安全性。​无线认证配置：在无线AC上录入银行所有员工的认证设备信息（如办公手机、笔记本MAC地址）与个人用户信息（工号、姓名、专属密码），配置本地Web认证流程（如接入时弹出认证页面、输入账号密码验证、登录日志记录），实现员工“实名、实人、实设备”的安全接入认证，同时支持接入日志追溯，满足金融行业合规审计要求。项目相关知识9.1AAA的基本概念AAA是认证（Authentication）、授权（Authorization）和记账（Accounting）的简称，它提供了认证、授权、记账3种安全功能，是网络安全的一种管理机制。（1）认证：验证用户的身份和可使用的网络服务。（2）授权：依据认证结果开放网络服务给用户。（3）记账：记录用户对各种网络服务的用量，并提供记账系统，也对网络起到监视作用。AAA采用客户端/服务器结构，AAA客户端运行在接入设备上，负责验证接入网络的用户身份与管理用户接入；AAA服务器包含认证服务器、授权服务器和计费服务器，负责集中管理用户信息，如图9-1所示。图9-1AAA结构9.2Web认证Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器就可以进行身份认证。未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点，也就是Web认证服务器，通常称为Portal服务器。用户无须认证即可享受Portal服务器上的服务，比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的网络资源时，就必须通过浏览器在Portal服务器上进行身份认证，认证的用户信息保存在AAA服务器上，由AAA服务器来判断用户是否通过身份认证，只有认证通过后才可以使用认证服务器以外的网络资源，它的组网结构如图9-2所示。图9-2Portal组网结构9.2Web认证Portal服务器支持两种认证协议：Portal协议和HTTP/HTTPS协议。（1）Portal协议：负责Portal服务器与接入设备之间的认证信息交互。（2）HTTP/HTTPS协议：负责客户端与接入设备之间的认证信息交互。除了认证上的便利性之外，由于Portal服务器和用户的浏览器有界面交互，可以利用这个特性在Portal服务器界面放置一些广告、通知、业务链接等个性化的服务，因此具有很好的应用前景。9.3本地认证Web认证采用本地认证。AC内置了Web认证所需的Portal、AAA等功能，可以将AC作为AAA服务器，AC设备此时被称为本地AAA服务器。本地AAA服务器支持对用户进行认证和授权，不支持对用户进行记账。本地AAA服务器需要配置本地用户的用户名、密码、授权信息等。使用本地AAA服务器进行认证和授权比使用远端AAA服务器的速度快，可以降低运营成本，但是存储信息量受设备硬件条件限制。用户接入网络后，向AC发送HTTP连接请求，然后在认证页面输入用户名和密码，发送Portal认证请求给到AC，AC收到后将信息中的用户名和密码，与本地AAA服务器中的信息进行比对，然后返回Portal认证结果给用户。本地认证的过程如图9-3所示。图9-3本地认证过程项目规划设计项目拓扑银行的AP连接在接入交换机（L2SW），核心交换机（L3SW）作为银行网络的中心节点，AC和接入交换机都连接在核心交换机上，其网络拓扑如图9-4所示。图9-4高校无线网络的安全管理的网络拓扑项目规划根据图9-4所示网络拓扑和项目描述进行项目的业务规划，项目9的VLAN规划、设备管理规划、端口互联规划、IP规划、WLAN规划、AP组规划、AP规划见表9-1~表9-7。表9-1VLAN规划VLAN-IDVLAN命名网段用途VLAN10User-Wifi/24无线用户网段VLAN99AP-Guanli/24AP管理网段VLAN200SW-Guanli/24L2SW管理网段VLAN100Link--AC-vlan100--/24L3SW与AC互联网段表9-2设备管理规划设备类型型号设备命名用户名密码无线接入点AP7050DNGX-AP7050DN-1N/AN/AGX-AP7050DN-2N/AN/A无线控制器AC6005AC1adminHuawei@123AC6005AC2adminHuawei@123接入交换机S3700L2SWadminHuawei@123核心交换机S5700L3SWadminHuawei@123项目规划根据图9-4所示网络拓扑和项目描述进行项目的业务规划，项目9的VLAN规划、设备管理规划、端口互联规划、IP规划、WLAN规划、AP组规划、AP规划见表9-1~表9-7。本端设备本端端口端口配置对端设备对端端口GX-AP7050DN-1G0/0/0N/AL2SWG0/0/1GX-AP7050DN-2G0/0/0N/AL2SWG0/0/2L2SWG0/0/1trunkGX-AP7050DN-1G0/0/0L2SWG0/0/2trunkGX-AP7050DN-2G0/0/0L2SWG0/0/24trunkL3SWG0/0/1L3SWG0/0/1trunkL2SWG0/0/24L3SWG0/0/24trunkACG0/0/1AC1G0/0/1trunkL2SWG0/0/24AC2G0/0/1trunkL3SWG0/0/23表9-3端口互联规划项目规划根据图9-4所示网络拓扑和项目描述进行项目的业务规划，项目9的VLAN规划、设备管理规划、端口互联规划、IP规划、WLAN规划、AP组规划、AP规划见表9-1~表9-7。设备接口IP地址用途AC1VLANIF99/24CAPWAP隧道源地址VLANIF100/24与L3SW互联地址AC2VLANIF99/24CAPWAP隧道源地址VLANIF100/24与L3SW互联地址L3SWVLANIF1054/24无线用户网关~53DHCP分配VLANIF9954/24AP管理地址网关~53DHCP分配VLANIF20054/24L2SW管理地址网关VLANIF1001/24与AC互联地址L2SWVLANIF200/24L2SW管理地址GX-AP7050DN-1VLANIF99DHCPAP管理地址GX-AP7050DN-2VLANIF99DHCPAP管理地址表9-4IP地址规划项目规划根据图9-4所示网络拓扑和项目描述进行项目的业务规划，项目9的VLAN规划、设备管理规划、端口互联规划、IP规划、WLAN规划、AP组规划、AP规划见表9-1~表9-7。VAPVLANSSID加密方式是否广播vap10Bank否是表9-6

AP组规划AP-GROUPVAPWLAN-IDRADIO-IDGXvap10GXvap11表9-5VAP规划表9-7AP规划AP名称MAC地址AP-GROUP频率与信道功率GX-AP7050DN-1c4b8-b469-3a40GX2.4GHz,默认100%5GHz,默认100%GX-AP7050DN-2c4b8-b469-33e0GX2.4GHz,默认100%5GHz,默认100%项目实践任务9-1银行无线Portal服务器的配置任务描述本任务中，两台AC的配置一致，银行无线Portal服务器的配置包括以下内容。（1）配置SSL策略：配置公钥模板，将公钥模板关联到SSL策略，并配置HTTP服务启用SSL策略。（2）Portal配置：开启内置Portal服务器功能。（3）AAA配置：开启AAA功能，创建本地认证方案，配置本地用户的用户名、密码和服务类型；用户使用创建的本地用户名及密码进行认证。任务9-1公司无线Portal服务器的配置任务操作1.配置SSL策略在AC上创建公钥模板，将公钥模板关联到SSL策略，并配置SSL策略使用的协议版本及加密算法，配置HTTP服务启用SSL策略并开启HTTP服务。[AC1]pkirealmBank//创建公钥模板，名为Bank[AC1-pki-realm-Bank]quit

[AC1]pkiimport-certificatelocalrealmBankpemfilename.pem//导入证书文件[AC1]pkiimport-certificatecarealmBankpemfilename_root.pem

[AC1]pkiimportrsa-key-pairkey1pem.keypasswordYsHsjx_202206

[AC1]sslpolicyBank-ssltypeserver//配置SSL策略模板[AC1-ssl-policy-Bank-ssl]pki-realmBank//配置SSL策略关联公钥模板[AC1-ssl-policy-Bank-ssl]versiontls1.2//配置SSL协议版本[AC1-ssl-policy-Bank-ssl]ciphersuiteecdhe_rsa_aes128_gcm_sha256ecdhe_rsa_aes256_gcm_sha384//配置SSL协议支持的加密算法[AC1-ssl-policy-Bank-ssl]quit任务9-1公司无线Portal服务器的配置2.Portal配置开启内置Portal服务器功能。3.AAA配置创建本地认证方案“Jan16”，并配置本地用户的用户名、密码和服务类型。[AC1]interfaceloopback0

[AC1-LoopBack1]ipaddress24//配置IP地址[AC1-LoopBack1]quit

[AC1]portallocal-serverip//配置内置Portal认证服务器IP[AC1]portallocal-serverhttpsssl-policyBank-sslport20000//配置内置Portal认证协议及端口号[AC1]aaa//进入AAA视图[AC1-aaa]authentication-schemeBank-scheme//创建本地认证方案模板[AC-aaa-authen-Bank-scheme]authentication-modelocal

[AC1-aaa-authen-Bank-scheme]quit//退出[AC1-aaa]local-usertestpasswordcipherHuawei@123//创建test用户并配置密码Huawei@123[AC1-aaa]local-usertestservice-typeweb//服务类型为Web[AC1-aaa]quit//退出任务9-1公司无线Portal服务器的配置任务验证（1）在AC1上使用”displaycurrent-configuration”命令，确认已完成配置，如下所示。[AC1]displaycurrent-configuration...portallocal-serveripportallocal-serverhttpsssl-policyBank-sslport20000…pkirealmBankcertificate-checknone...sslpolicyBank-ssltypeserverpki-realmBankversiontls1.2ciphersuiteecdhe_rsa_aes128_gcm_sha256ecdhe_rsa_aes256_gcm_sha384...aaaauthentication-schemeBank-schemeauthentication-modelocal...local-usertestpasswordcipher%^%#`[2&%`({0-I3+'$.SE|:otXiE(LT@E1)'_U5PK>K%^%#local-usertestprivilegelevel0local-usertestservice-typeweb任务9-2银行无线Portal认证的配置任务描述本任务中，两台AC的配置一致，银行无线Portal认证的配置包括以下内容。（4）接入模板配置：创建接入模板，配置内置Portal服务器。（5）认证方案配置：配置认证模板，在认证模板中绑定接入模板和本地认证方案模板。（6）Web认证配置：在wlan中启用Web认证，配置Web认证使用的认证方案。任务操作1.接入模板配置创建Portal接入模板“Bank-access”，并配置其使用内置Portal服务器。[AC1]portal-access-profilenameBank-access//创建Portal接入模板[AC1-portal-access-profile-Bank-access]portallocal-serverenable//打开内置Portal服务器[AC1-portal-access-profile-Bank-access]quit//退出任务9-2公司无线Portal认证的配置2.认证模板配置配置认证模板“Bank-portal”。3.Web认证配置启用Web认证配置。[AC1]authentication-profilenameBank-portal//创建认证模板[AC1-authentication-profile-Bank-portal]portal-access-profileJan16-access//绑定Portal接入模板[AC1-authentication-profile-Bank-portal]authentication-schemeBank-scheme//绑定本地认证方案模板[AC1-authentication-profile-Bank-portal]quit//退出[AC1]wlan//进入WLAN视图[AC1-wlan-view]vap-profilenamevap//进入VAP模板[AC1-wlan-vap-prof-vap]authentication-profileBank-portal//引用认证模板[AC1-wlan-vap-prof-vap]quit//退出任务9-2公司无线Portal认证的配置任务验证（1）在AC1上使用”displaycurrent-configuration”命令，确认已完成配置，如下所示。[AC1]displaycurrent-configuration...authentication-profilenameBank-portalportal-access-profileBank-accessauthentication-schemeBank-scheme...portal-access-profilenameBank-accessportallocal-serverenable...wlan…vap-profilenamevapforward-modetunnelservice-vlanvlan-id10ssid-profileBankauthentication-profileBank-portal...项目验证项目验证（1）在PC上搜索无线信号Bank，单击“连接”按钮，连接SSID成功，可以正常接入，如图9-5所示。图9-5

连接SSID成功项目验证（2）在PC上按【Windows+X】组合键，在弹出的菜单中选择“WindowsPowerShell”选项，打开“WidnowsPowerShell”窗口，使用“ipconfig”命令查看IP地址信息，如图9-6所示。可以看到获取了/24网段的IP地址。图9-6

查看IP地址C:\Users\admin>ipconfig

WindowsIP