校园无线网络安全策略规划与设计.ppt

无线校园网络的规划与设计无线校园网络的规划与设计 姓姓 名名:覃美玲覃美玲 指导教师：周指导教师：周 跃跃本本课题设计目的目的u近年来，随着校园信息化近年来，随着校园信息化环境的日益成熟，学校的笔境的日益成熟，学校的笔记本本电脑的的普及率不断上升，普及率不断上升，师生生们对无无线网网络的呼声也日益增高，普遍希的呼声也日益增高，普遍希望能望能够尽早尽早摆脱网脱网线的限制，可以随的限制，可以随时随地上网，随随地上网，随时随地投入随地投入教与学。教与学。u与有与有线网网络相比相比,无无线网网络所面所面临的安全威的安全威胁更加更加严重。重。1所有常所有常规有有线网网络中存在的安全威中存在的安全威胁和和隐患都依然存在于无患都依然存在于无线网网络中；中；2 外部人外部人员可以通可以通过无无线网网络绕过防火防火墙,对专用网用网络进行非行非授授权访问；3无无线网网络传输的信息容易被窃取、的信息容易被窃取、篡改和插入；改和插入；4无无线网网络容易受到拒容易受到拒绝服服务攻攻击(DoS)和干和干扰；本本课题设计目的目的 5内部内部员工可以工可以设置无置无线网卡以端网卡以端对端模式与外部端模式与外部员工直接工直接连接。接。此外此外,无无线网网络的安全技的安全技术相相对比比较新新,安全安全产品品还比比较少。以少。以无无线局域网局域网(WLAN)为例例,移移动节点、点、AP等每一个等每一个实体都有可能是攻体都有可能是攻击对象或攻象或攻击者。由于无者。由于无线网网络在移在移动设备和和传输媒介方面的特殊性媒介方面的特殊性,使得一些攻使得一些攻击更容易更容易实施施,对无无线网网络安全技安全技术的研究比有的研究比有线网网络的的限制更多限制更多,难度更大。度更大。本本课题研究意研究意义u现在无在无线网网络的需求越来越大，通信安全性越的需求越来越大，通信安全性越来越重要，来越重要，现有的无有的无线局域网安全机制已无法局域网安全机制已无法满足我足我们对通信安全的需求，解决无通信安全的需求，解决无线网网络安安全全问题就就显得特得特别重要。重要。本本课题实现功能功能校园无校园无线网网络部分拓扑部分拓扑图校园校园ip地址分配地址分配校园申校园申请公用公用服服务器器server1的的IP地址：地址：实现NAT地址地址转换功能功能 网网络地址地址转换NAT是一种将私有地址是一种将私有地址转化化为合法合法IP地址的地址的转换技技术，主要用于，主要用于实现私有网私有网络访问公共网公共网络的功能的功能。NAT不不仅完美地解决了完美地解决了IP地址不足的地址不足的问题，而且，而且还能能够有效地避免来自有效地避免来自网网络外部的攻外部的攻击，隐藏并保藏并保护网网络内部的内部的计算机。算机。本本课题是是实现将内部的将内部的IP地址和地址和转换成外部合法成外部合法IP地址跟地址跟实现核心核心汇聚功能聚功能u三三层交交换机作机作为校园网校园网络的核心的核心层，三，三层交交换机就是具机就是具有部分路由器功能的交有部分路由器功能的交换机，三机，三层交交换机的最重要目的机的最重要目的是加快大型局域网内部的数据交是加快大型局域网内部的数据交换，既可，既可实现网网络路路由功能，又可根据不同网由功能，又可根据不同网络状况做到最状况做到最优网网络性能。性能。实现802.1x的的认证u在无在无线控制器控制器AC上的配置上的配置实现802.1x的的认证 启用启用DHCP功能并配置地址池功能并配置地址池 dhcp enable dhcp server ip-pool pool1 配置配置AP wlan ap 123 model xxx serial-id xxx 配置配置802.1x认证的无的无线接口接口 dot1x authentication-method eap port-security port-mode userlogin-secure-ext port-security tx-key-type 11key port-security enable 配置无配置无线服服务模板模板 wlan service-template 7 crypto/创创建建crypto类类型的服型的服务务模板模板1。cipher-suite tkip/使能使能tkip加密套件加密套件 security-ie wpa/配置信配置信标标和探和探查帧查帧携携带带wpa信息信息 service-template enable 配置无配置无线射射频 radio 7 type 11g/设设置置radio1的射的射频类频类型型为为802.11g serivce-template 1/crypto类类型的服型的服务务模板模板2与射与射频频1进进行关行关联联 radio enable配置配置Radius radius scheme 1 key authentication h3c key accounting h3c nas-ip配置域配置域 domain isp authentication lan-access radius-scheme 1 accounting lan-access radius-scheme 1 authorization lan-access radius-scheme 1 domain default enable ispRadius认证服服务器的安装器的安装交交换机和机和RADIUS服服务器的共享密器的共享密码 添加用添加用户并并设置其密置其密码 AP安全安全设置置u在在AP上上进行行WEB界面界面设置置图1 AP上的SSID设置 SNMP协议配置配置SNMP使用DES算法加密数据通信；SNMP还使用MD5和SHA技术验证节点的标识符，从而防止攻击者冒充管理节点的身份操作网络。QoS的的设置置QoS服务质量，是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。Https的的设置置测试结果果Thank you