校园无线网络安全策略规划与设计资料讲解

配置无线服务模板
wlan service-template 7 crypto//创建crypto类型的服务 模板1。 cipher-suite tkip//使能tkip加密套件 security-ie wpa//配置信标和探查帧携带wpa信息 service-template enable 配置无线射频
无线校园网络的规划与设计
姓 名: 覃美玲 指导教师：周 跃
本课题设计目的
近年来，随着校园信息化环境的日益成熟，学校的笔记本电脑的 普及率不断上升，师生们对无线网络的呼声也日益增高，普遍希 望能够尽早摆脱网线的限制，可以随时随地上网，随时随地投入 教与学。
与有线网络相比, 无线网络所面临的安全威胁更加严重。 1﹑所有常规有线网络中存在的安全威胁和隐患都依然存在于无 线网络中； 2 ﹑外部人员可以通过无线网络绕过防火墙, 对专用网络进行非 授权访问； 3﹑无线网络传输的信息容易被窃取、篡改和插入； 4﹑无线网络容易受到拒绝服务攻击(DoS)和干扰；
配置域
domain isp authentication lan-access radius-scheme 1 accounting lan-access radius-scheme 1 authorization lan-access radius-scheme 1 domain default enable isp
实现核心汇聚功能
三层交换机作为校园网络的核心层，三层交换机就是 具有部分路由器功能的交换机，三层交换机的最重要 目的是加快大型局域网内部的数据交换 ，既可实现网 络路由功能，又可根据不同网络状况做到最优网络性 能。
实现802.1x的认证
在无线控制器AC上的配置实现802.1x的认证 启用DHCP功能并配置地址池 dhcp enable dhcp server ip-pool pool1 配置AP wlan ap 123 model xxx serial-id xxx 配置802.1x认证的无线接口 dot1x authentication-method eap port-security port-mode userlogin-secure-ext port-security tx-key-type 11key port-security enable
实现NAT地址转换功能
网络地址转换NAT是一种将私有地址转化为合法IP地址 的转换技术，主要用于实现私有网络访问公共网络的功能 。NAT 不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来 自网络外部的攻击，隐藏并保护网络内部的计算机。
本课题是实现将内部的IP地址10.0.0.x和10.0.1.x转换成 外部合法IP地址12.1.1.3跟12.1.1.4
Radius认证服务器的安装
交换机和RADIUS服务器的共享密 码
添加用户并设置其密码
百度文库
AP安全设置
在AP上进行WEB界面设置
图1 AP上的SSID设置
SNMP协议配置
SNMP使用DES算法加密数据通信；SNMP还使用MD5和SHA 技术验证节点的标识符，从而防止攻击者冒充管理节点的身份 操作网络。
radio 7 type 11g//设置radio1的射频类型为802.11g serivce-template 1//crypto类型的服务模板2与射频1进行关 联 radio enable
配置Radius
radius scheme 1 primary authentication 10.0.2.10 primary accounting 10.0.2.10 key authentication h3c key accounting h3c nas-ip 10.0.0.100
QoS的设置
QoS服务质量，是网络的一种安全机制， 是用来解决网络延迟和阻塞等问题的 一种技术。
Https的设置
测试结果
Thank you
本课题设计目的
5﹑内部员工可以设置无线网卡以端对端模式与外部员工直接连接。
此外, 无线网络的安全技术相对比较新, 安全产品还比较少。 以无线局域网(WLAN)为例, 移动节点、AP等每一个实体都有可能 是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特 殊性, 使得一些攻击更容易实施, 对无线网络安全技术的研究比有线 网络的限制更多, 难度更大。
本课题实现功能
校园无线网络部分拓扑图
校园ip地址分配
校园申请公用IP地址为12.1.1.3 ，12.1.1.4 校园内部地址为vlan1：10.0.0.x vlan2：10.0.1.x
服务器server1的IP地址：10.0.2.10 路由器R0端口s2/0的IP地址：12.1.1.1 路由器R1端口s2/0的IP地址：12.1.1.2