【正文】 參考文獻 [1] 張保通 李偉紅 Cisco 網(wǎng)絡互連技術 2021 年 7 月第 9次印刷 [2] 劉瑞挺 網(wǎng)絡安全技術 2021 年 8 月第 4次印刷 。所以組建局域網(wǎng)是十分必要的。 21 第 五 章 總結 致謝 從組建網(wǎng)絡技術上看：現(xiàn)在計算機網(wǎng)絡技術已經(jīng)相當成熟，無論是何種情況，都可以很好的解決。這個解決方案在站點用戶使用 Cisco Airo無線客戶機適配器和訪問點以及 Cisco安全訪問 20 服務器時可以得到。 看起來許多廠商都會在他們的無線 LAN 產(chǎn)品中支持 和 EAP。 EAP 和 在遵循 WEP的基礎上，提供了一個集中管理、基于標準、開放的方法來解決 標準在安全方面的局限。 ? 訪問點利用會話密鑰對廣播密鑰進行加密，把經(jīng)過加密的密鑰送到客戶機，客戶機利用會話密鑰進行解密。然后，客戶機加載密鑰，準備把它應用到登錄會話過程中。一旦 RADIUS 服務器驗證了客戶機的身份，上述過程逆向重復。客戶機利用用戶提供的單向口令散列信息來生成對詢問的響應，并把這個響應送到 RADIUS 服務器。有幾種驗證身份的方法備選。 ? 客戶機上的用戶在網(wǎng)絡登錄對話框或類似功能的對話框中提供用戶名 和口令。如果沒有保護措施，沒有什么能在空氣中暢行無阻、絕對安全地傳播。RADIUS 服務器和客戶機利用客戶機所提供的特定 WEP 密鑰進行登錄對話連接。它的中心問題集中在以下幾個方面： ? 可擴展身份驗證協(xié)議（ EAP），是使無線客戶機適配器與 RADIUS服務器進行通信的遠程訪問撥號用戶服務（ RADIUS）的擴展 ? IEEE ，用于控制端口通信的推薦標準 在使用安全解決方案時，在用戶進行網(wǎng)絡登錄之前，與訪問點通信的無線客戶機并不能獲得網(wǎng)絡訪問權。 完整的安全解決方案 我們所需要的無線 LAN 安全解決方案，應該利用基于標準的和開放的結構，充分利用 安全部件，提供最高級別的可用安全性，實現(xiàn)從一個中央控制點進行有 效的安全管理。為預防此類黑客活動，站點應使用每次會話 WEP 密鑰 。彌補這個安全弱點的途徑之一是定期更換 WEP 密鑰。 其它隱患 標準的 WEP 支持每個信息包加密功能，但是并不支持對每個信息包的驗證。因為客戶機和驗證服務器通過訪問點進行通信，訪問點必須支持雙向的身份驗證方法。如果一個虛假訪問點放置到無線 LAN 中，它可以通過 劫持 合法用戶客戶機來成為發(fā)動拒絕服務攻擊的平臺。 所需要的安全方案 ? 無線 LAN 身份驗證基于設備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 ? 使用由用戶身份驗證動態(tài)產(chǎn)生的 WEP 密鑰，并不是和客戶機物理相關的靜態(tài)密鑰 虛假訪問點 共享密鑰驗證使用單向，非相互的身份驗證方 法。同時，網(wǎng)絡管理員還必須對與丟失或被盜的客戶機密鑰相同的其它客戶機的靜態(tài)密鑰全部進行重新編碼。此時管理員要想檢測網(wǎng)絡的安全性是否被破壞是不可能的；原有的機主應該及時通知網(wǎng)絡管理員。如果多個用戶共用一臺客戶機，這些用戶將有效地共享 MAC 地址和 WEP 密鑰。 硬件被竊 靜態(tài)地指定 WEP 密鑰給一臺客戶機是很常見的方法，密鑰或者存儲在客戶 機的磁盤存儲器中，或者存儲在客戶機的無線 LAN 適配器的內存中。 一些無線 LAN 廠商支持基于客戶機物理地址，或者說基于介質訪問控制（ MAC）地址的身份驗證方法。在共享密鑰的方法中，訪問點發(fā)送給客戶機一個詢問文本信息包，客戶機必須使用正確的 WEP 密鑰對它進行編碼，并且把它返回訪問點。身份驗證必須在每臺客戶機上進行設置，并且這些設置應該能夠與想和客戶機通信的所有訪問點相匹配。 17 身份驗證 一個客戶機在進行身份驗證之前不能接入到無線 LAN 中。這種方案工作起來更為安全，因為擁有密鑰的工作站更少。這種缺省密鑰的問題在于它們越是廣泛地進行分配，也就越有可能暴露。第一種方案中，無線子系統(tǒng)中所有的工作站（包括客戶機和訪問點）共享一套四個缺省的密鑰。有的廠家利用軟件實現(xiàn)加密和解密過程的大量計算，也有的廠家，如 Cisco，利用硬件加速器來保證數(shù)據(jù)流加密和解密過程中的性能損失最小。 WEP 的目標包括： ? 訪問控制：防止沒有正確 WEP 密鑰的非授權用戶獲得網(wǎng)絡的訪問權。 WEP 標準規(guī)定了一種稱為有線等效保密（或稱為 WEP）的可選加密方案，提供了確保無線 LAN數(shù)據(jù)流的機制。 SSID 做為編號來允許 /拒絕訪問是危險的，因為 SSID 的安全性并不好。 SSID 無線 LAN 中經(jīng)常用到的一個特性是稱為 SSID 的命名編號，它提供低級別上的訪問控制。還有一種加密的機制是通過透明運行在無線 LAN 上的虛擬專網(wǎng)（ VPN）來進行的。怎么配置轉換呢？這里使用了其中一種方法，端口復用來實現(xiàn)地址轉換，配置如表 格 35 所示： 表 35 NAT 配置：（采用端口復用） Router(configif)exit Router(config)int f0/0 Router(configif)ip nat inside Router(configif)int s0/0 Router(configif)ip nat outside Router(configif)exit Router(config)accesslist 2 permit any Router(config)ip nat ins Router(config)ip nat inside sou Router(config)ip nat inside source list 2 interface s0/0 overload Router(config)ip route 靜態(tài)路由配置 做 NAT 地址轉換的時候 在內網(wǎng)以默認路 由方式將內部網(wǎng)絡的全部數(shù)據(jù)包發(fā)送到外網(wǎng) 外部網(wǎng)絡要做回路由進行通信。 配置： 如表 34所示： 表 34 Router(config)accesslist 101 deny tcp any host eq 80 Router(config)accesslist 101 permit ip any any Router(config)int fa0/1 Router(configif)ip accessgroup 101 out Router(config)accesslist 102 deny tcp any host eq 23 Router(config)accesslist 102 permit ip any any Router(config)int s0/0 Router(configif)ip accessgroup 102 out NAT 配置 隨著網(wǎng)絡的日益擴大，將要面臨著 IP 地址的缺乏，可網(wǎng)絡用戶不會減少反而大幅度的增加，對于這樣一個問題，在一些單位乃至于學校都要用到一個 NAT地址轉換技術，這是針對地址缺乏而用的。 室內無線 AP 設備選擇： TWL54A 距離為 100 米 170 元 價格估計 170 元 8 第 三 章 進行網(wǎng)絡設備的配置及網(wǎng)絡拓撲圖 對設備按照需求進行配置 Vlan 的劃分 一個學校有很多部分構成 根據(jù)學習的專業(yè)性質不同 分為 機械工程系、電氣工程系、數(shù)控工程系、信息工程系、汽車工程系、人文管理系、基礎教學部、體育教學部，學校有領導 通過領導來管理和下達國家教育廳對大學生的教育；在領導層有教務處、學生處等部門；每個學校都有自己的衛(wèi)生室所謂的校醫(yī)院；為了使每個部門內部可以互相不混亂的進行通訊，根據(jù)每個部門劃分 ，在整個校園網(wǎng)中是以部門為單位的，這樣就簡便了很多；同時無線校園網(wǎng)是覆蓋整個校園的，所以在校園的任何一個角落都要能上網(wǎng)，除了一些教學地方以外，在一些操場、空地之類的 地方都要能上網(wǎng)，為使校園網(wǎng)絡不混亂，將空地、超市、以及大禮堂地理上距離近的作為一個部門來與網(wǎng)絡連接；詳細請見下表 格 31所示： Switchvlan database Switch(vlan)vlan 2 VLAN 2 added: Name: VLAN0002 Switch(vlan)vlan 3 VLAN 3 added: Name: VLAN0003 ?????? Switchvlan database Switch(vlan)vlan 17 VLAN 17 added: Name: VLAN0017 Switch(vlan)vlan 18 VLAN 18 added: Name: VLAN0018 VLAN 劃分表 格 ：