【文章內(nèi)容簡介】 stnameSwitchvlan1!endSwitch第三步： SwitchconfigureterminalEnterconfigurationmands,oneperlin(config)!!!設(shè)置交換機(jī)默認(rèn)網(wǎng)關(guān)，實現(xiàn)跨網(wǎng)段管理交換機(jī) Switch(config)interfacevlan1Switch(configif)ipaddress192.(config)exitSwitch(config)radius!!!指定 RADIUS服務(wù)器的地址及 UDP 認(rèn)證端口 Switch(config)!!!指定記賬服務(wù)器的地址 Switch(config)aaaaccountingaccport1813 !!!指定記賬服務(wù)器的 UDP端口 Switch(config)aaaauthenticationdot1x !!! 開啟 AAA 功 能 中 的 認(rèn) 證 功 能Switch(config)aaaaccounting !!! 開啟 AAA 功能中的記賬功能Switch(config)radiusserverkeystar !!! 設(shè)置 RADIUS 服 務(wù) 器 認(rèn) 證 字Switch(config)snmpservermunitypublicrw !!!為通過簡單網(wǎng)絡(luò)管理協(xié)議訪問交換機(jī)設(shè)置認(rèn)證名（ public 為缺省認(rèn)證名）并分配讀寫權(quán)限 Switch(config)interfacefastEther0/ 4!!! 實 驗 中 將 在 4 號 接 口 啟 動 的 認(rèn) 證Switch(configif)dot1xportcontrolauto !!! 設(shè) 置 該 接 口 參 與 認(rèn)證Switch(configif)exitSwitch(config)exitSwitchwriteBuildingconfiguration...[OK]Switch 交換機(jī)配置的截圖 安裝 SQLserver 使用軟件 TekRADIUS進(jìn)行用戶名和密碼管理 RadiusServer 維護(hù)了所有用戶的信息：用戶名、密碼、該用戶的授權(quán)信息以及該用戶的記帳信息。所有的用戶集中于 RadiusServer 管理，而不必分散于每臺交換機(jī)，便于管理員對用戶的集中管理。 RadiusServer 端：要注冊一個 RadiusClient。注冊時要告知RadiusServer 交換機(jī)的 IP、認(rèn)證的 UDP 端口若記帳還要添記帳的 UDP端口）、交換機(jī)與 RadiusServer通訊的約定密碼，還要選上對該 Client支持 EAP 擴(kuò)展認(rèn)證方式）。 交換機(jī)端：設(shè)置 RadiusServer 的 IP 地址，認(rèn)證（記帳）的 UDP端口，與服務(wù)器通訊的約定密碼。 【實驗體會】 相比上次實驗，這次實驗更加復(fù)雜。盡管是在小組的互動與合作下，本次實驗還是沒有成功。原因是實驗要求的環(huán)境較多，對 TekRADIUS軟件的使用不是很熟悉短時間內(nèi)無法完全掌握它的原理及應(yīng)用，導(dǎo)致在使用軟件 TekRADIUS 進(jìn)行配置時，創(chuàng)建數(shù)據(jù)庫和表時不成功，最后的 4 步驟“設(shè)置服務(wù)參數(shù)、配置用戶組和用戶、增加 Client 客戶端、安裝證書”無法完成，而且實驗時間也到了，電腦也自動關(guān)機(jī)了，無法再進(jìn)行下去了，我們就這樣 結(jié)束了實驗。從課程的內(nèi)容來看，本次實驗十分重要，獨立完成實驗內(nèi)容是對我們很好的一次鍛煉，沒有全面完成它，但是課后我對 。 一、 協(xié)議起源于 協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議， 協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線 LAN 的接入。為了對端口加以控制，以實現(xiàn)用戶級的接入控制。 就是 IEEE 為了解決基于端口的接入控制（ PortBasedAccessControl）而定義的一個標(biāo) 準(zhǔn)。 首先是一個認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。 是基于端口的認(rèn)證策略（這里的端口可以是一個實實在在的物理端口也可以是一個就像 VLAN 一樣的邏輯端口，對于無線局域網(wǎng)來說個“端口”就是一條信道） 的認(rèn)證的最終目的就是確定一個端口是否可用。對于一個端口，如果認(rèn)證成功那么就“打開”這個端口，允許文所有的報文通過；如果認(rèn)證不成功就使這個端口保持“關(guān)閉”，此時只允許 的認(rèn)證報文 EAPOL（ ExtensibleAuthenticationProtocoloverLAN）通過。 二、 ： SupplicantSystem，客戶端 (PC/網(wǎng)絡(luò)設(shè)備 )AuthenticatorSystem，認(rèn)證系統(tǒng) AuthenticationServerSystem，認(rèn)證服務(wù)器 三、認(rèn)證過程 認(rèn)證通過前，通道的狀態(tài)為 unauthorized，此時只能通過 EAPOL的 ； 認(rèn)證通過時，通道的狀態(tài)切換為 authorized，此時從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來用戶的信息，比如 VLAN、 CAR 參數(shù)、優(yōu)先級、用戶的訪問控制列表等等； 認(rèn)證通過后，用戶的流量就將接受上述參數(shù)的監(jiān)管，此時該通道可以通過任何報文，注意只有認(rèn)證通過后才有 DHCP等過程。 第五篇：網(wǎng)絡(luò)安全實驗報告 實驗一：網(wǎng)絡(luò)掃描實驗 【實驗?zāi)康摹? 了解掃描的基本原理，掌握基本方法，最終鞏固主機(jī)安全 【實驗內(nèi)容】 學(xué)習(xí)使用 Nmap的使用方法 學(xué) 習(xí)使用漏洞掃描工具 【實驗環(huán)境】 硬件 PC機(jī)一臺。 系統(tǒng)配置：操作系統(tǒng) windowsXP以上。 【實驗步驟】 端口掃描 1）解壓并安裝 ，掃描本局域網(wǎng)內(nèi)的主機(jī) 2）解壓，安裝 WinPcap 運行 ，熟悉 nmap 命令 (詳見“ Nmap 詳解 .mht” )。 3）試圖做以下掃描： 掃描局域網(wǎng)內(nèi)存活主機(jī)， 掃描某一臺主機(jī)或某一個網(wǎng)段的開放端口掃描目標(biāo)主機(jī)的操作系統(tǒng) 試圖使用 Nmap的其他掃描方式，偽源地址、隱蔽掃描等 漏洞掃描 解壓 ，運行程序 ，將所有模塊選擇掃描，掃描本機(jī)，或局域網(wǎng)內(nèi)某一臺主機(jī)的漏洞 【實驗背景知識】 掃描及漏洞掃描原理見 第四章黑客攻擊技術(shù) .ppt NMAP使用方法 掃描器是幫助你了解自己系統(tǒng)的絕佳助手。象 Windows2K/XP 這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測 服務(wù)器上運行了哪些服務(wù)和應(yīng)用、向 Inter或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法，不僅速度快，而且效果也很不錯。 Nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運行何種服務(wù)。它支持多種協(xié)議的掃描如 UDP，TCPconnect(),TCPSYN(halfopen),ftpproxy(bounceattack),Reverseident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep, 1 和 Null掃描?？梢詮?SCANTYPES 一節(jié)中察看相關(guān)細(xì)節(jié)。 Nmap還提供一些實用功能如通過 tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的 PING 偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的 RPC 掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。 1）安裝 Nmap Nmap 要用到一個稱為― Windows 包捕獲庫‖的驅(qū)動程序 WinPcap—— 如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉這個驅(qū)動程序—— 某些流媒體電影的地址是加密的，偵測這些電影的真實地址就要用到 WinPcap。 WinPcap 的作 用是幫助調(diào)用程序 (即這里的 Nmap)捕獲通過 網(wǎng) 卡 傳 輸 的 原 始 數(shù) 據(jù) 。 WinPcap 的 最 新 版 本 在 XP/2K/Me/9x 全系列操作系統(tǒng)，下載得到的是一個執(zhí)行文件，雙擊安裝，一路確認(rèn)使用默認(rèn)設(shè)置就可以了，安裝好之后需要重新啟動。 接下來下載 Nmap。下載好之后解開壓縮，不需要安裝。除了執(zhí)行文件 ，它還有下列參考文檔 : ㈠ nmaposfingerprints:列出了 500 多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標(biāo) 識信息。 ㈡ nmapprotocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。 ㈢ nmaprpc:遠(yuǎn)程過程調(diào)用 (RPC)服務(wù)清單， Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。 ㈣ nmapservices:一個 TCP/UDP服務(wù)的清單， Nmap 用它來匹配服務(wù)名稱和端口號。 除了命令行版本之外，還提供了一個帶 GUI 的 Nmap 版本。和其他常見的 Windows 軟件一樣， GUI 版本需要安裝，圖一就是 GUI 版 Nmap的運行界面。 GUI版的功能基本上和命令行版本一樣，鑒于許多人更喜歡用命 令行版本，本文后面的說明就以命令行版本為主。 圖一 2）常用掃描類型 解開 Nmap 命令行版的壓縮包之后，進(jìn)入 Windows 的命令控制臺，再轉(zhuǎn)到安裝 Nmap2 的目錄 (如果經(jīng)常要用 Nmap，最好把它的路徑加入到PATH 環(huán)境變量 )。不帶任何命令行參數(shù)運行 Nmap， Nmap 顯示出命令語法，如圖二所示。 圖二 下面是 Nmap支持的四種最基本的掃描方式 : ⑴ TCPconnect()端口掃描 (sT參數(shù) )。 ⑵ TCP 同步 (SYN)端口掃描 (sS 參數(shù) )。 ⑶ UDP 端口掃描 (sU 參數(shù) )。 ⑷ Ping掃描 (sP 參數(shù) )。 如果要勾畫一個網(wǎng)絡(luò)的整體情況， Ping 掃描和 TCPSYN 掃描最為實用。 Ping 掃描通過發(fā)送 ICMP(InterControlMessageProtocol，Inter 控制消息協(xié)議 )回應(yīng)請求數(shù)據(jù)包和 TCP