第一章企业网路安全架构-云科大计算机网路研究室.pptVIP

實驗 9: 無線安全網路之建設 實驗 9: 無線安全網路之建設 Scenario Cisco WLAN Controller 4402 Cisco WLAN Controller 4402 Cisco WLC LWAP於Switch3560的設定 集中式無線網路架構 LWAPP說明 LWAPP Search Discovery LWAPP Search Discovery 安全的LWAPP Control Plane How to WLC Connect to Network RF管理 RF管理 RF管理 RF管理 RF管理 入侵防護 入侵防護 QoS機制 參考資料 * 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 雲科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用網路資源，並依據使用者所在的群組管理存取控制層級。 本實驗將說明如何建置一有線/無線網路之802.1X認證，所需的網路拓墣建置如下圖。 除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並發佈多個SSID讓使用者自行選擇認證方式。 本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面，我們將採用GUI介紹它的安裝與設定。 控制器在一開始使用之前，需注意裡面設定的國家是否正確，這關係到各國對於開放無線通訊功率問題。 介面上的點選「WIRELESS」?點選「Country」?勾選「TW」?點選「Apply」?點選「Save Configuration」。 若完成設定後，便可在點選「WIRELESS」?點選「Access Points」?點選「All APs」，看到已跟控制器註冊的LWAP。 我們在控制器上設定兩個SSID，分別 es602_web：使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器，在使用者進行認證之前，它將自動傳遞伺服器的憑証給使用者，利用SSL加密的方式，確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言，對使用者極為方便，不需自行安裝其它的憑證。 es602_dot1x：設定安全等級最高的WPA2讓使用者進行認證。在認證之前，使用者的主機需安裝具公信力的認證中心憑證。 在我們的實驗採用Layer 3的方式架設無線網路環境。另外，我們需在Cisco 3560 Switch上，啟用DHCP Server功能。讓輕量型存取點一開機之後，經由DHCP Request/Response的協議之後，取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置)，不需在存取點上做任何的設定，使用相當方便。 我們在網路認證控制器上設定多個VLAN，為了讓多個VLAN能相連通，所以需在Cisco 3560 Switch上Gi0/1設定802.1Q封裝，其switchport模式為truck。 本實驗的網路拓墣大致與第五章相同，若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLAN Controller, WLC)與輕量型無線網路存取點(Light-Weight AP, LWAP)。 Telnet 3560 Configure terminal ip dhcp pool dhcp-vlan-1 network 192.168.1.0 255.255.255.0 dns-server 140.125.252.1 140.125.253.2 option 60 ascii Airespace.AP1200“ option 43 ascii 192.168.1.250“ default-router 192.168.1.254 interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk spanning-tree portfast WLC 無線網路認證控制設備需與多台輕量型無線網路存取點搭配使用，這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式，降低了系統管理者的負擔。 LWAP 也叫做Thin-AP，不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制；它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為「室內型」與「室外型」存取點；天線的功率的選擇更是多樣化。 Light-Weight Access Point Protocol (LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量，一是資料(Data Plane)、二是控制(Cont