学习情境四无线网络安全管理与故障检查.doc

学习指导11 构建MAC地址认证的无线网络 学习情境描述 小张从学校毕业后在某家网络服务商工作，工作第一天就接到一个无线网络规划的任务，需要给某个无线网络设计安全接入策略。小张考虑到该项目是一个酒店的无线接入，用户的网络应用水平普遍不高，应该采用一种简单方便的无线认证方式，于是小张选择了采用 Web 认证的方式。用户需要上网时， 只需要打开浏览器访问任何网页， 浏览器就会弹出需要输入用户名和密码的对话框，用户只需要输入正确的账号和密码就能访问无线网络。 工作任务分析 ( Web方式认证是一个三层的安全特性，在无线客户端输入正确的用户名口令之前，控制器不接受该用户的IP数据（除了DHCP相关的数据包）。通常在部署访客网络时，使用Web方式认证。记住Web方式认证不提供数据加密。 (WLC自带的本地服务器，可通过WLC进行本地Web认证。实现在没有认证服务器的情况下实现 Web认证。 (通过RADIUS服务器实现 Web 认证功能。 (熟悉无线控制器Controller配置界面。 (熟悉思科ACS软件的使用。 相关专业技术知识 1. Web 认证。 2．RADIUS服务器。 3.无线控制器配置。 4．思科4.2版本的ACS软件。 任务实施 参考【工作过程】 工作过程一: 在控制器上配置Web方式认证 1. 使用的设备 4400系列无线局域网控制器，软件版本为 思科4.2版本的ACS软件，安装在微软Windows2003服务器上 思科Aironet 1 思科Aironet 802.11 a/b/g CardBus无线网卡，软件版本为3.6 所有设备都是从默认配置开始配置。 设置无线局域网控制器的IP地址是04 设置ACS服务器的地址是96 2．创建一个VLAN接口 （1）在控制器的主页上，选择最上方的Controller菜单，选择左边的Interfaces 栏，点击窗口右上方的New，如图1所示。本例中设置接口名字是vlan90，VLAN ID是90。 图 1 （2）点击Apply按钮，创建该VLAN接口。 3．在图 2所示的窗口中，填入相关参数信息。 图 2 例如： IP Address： Netmask： (24 bits) Gateway： Port Number：2 Primary DHCP Server：04 注意: 这个参数应该填写DHCP服务器地址。在本例中WLC的管理地址被用来当作DHCP服务器的地址，因为在WLC启用的DHCP功能。 Secondary DHCP Server：0 .0.0.0 注意: 如果你有第二台DHCP服务器，需要在这里填写地址。 ACL Name：None 点击Apply按钮，保存配置。 4．添加WLAN实例 现在一个VLAN接口已经配置好，你需要提供一个WLAN/SSID来支持Web认证的用户。通过以下方式，创建一个新的WLAN/SSID： （1）打开WLC页面，点击最上方WLAN菜单，点击右上方的New。会弹出类似图3的画面。 （2）将类型选为WLAN。为这个WLAN SSID选择一个名字。本例中Profile 和WLAN都是Guest。 （3）点击Apply按钮保存。 图 3 （4）如图4所示在WLAN Edit窗口中设置。 图 4 钩选WLAN的状态栏，激活该WLAN。在接口栏，选择先前创建的VLAN接口。在本例中，接口的名字是vlan90。 注意: 其他参数不做修改，都是初始设置。 （5）点击Security栏。出现图5。通过以下步骤，完成Web认证配置： 图 5 点击Layer 2栏，选择None。 注意: 当某个WLAN的二层安全策略使用802.1x or WPA/WPA2时，你的三层安全策 略不可以配置成web passthrough。关于控制器上二层和三层安全策略的兼容问题，点击Layer 3 栏。如图5所示，钩选Web Policy框，选择Authentication 选项 点击Apply，保存配置。 3）在WLAN概要页面。确认你的Web认证选项在SSID Guest下已经配置。 5．在WLC上配置DHCP及DNS 图 6 （1）完成以下步骤： 1）点击菜单页面上方的Controller 。 2）点击菜单左面的Internal DHCP Server。 3）点击New，创建一个DHCP池。 4）键入你需要分配给客户端的DHCP地址池。如图6所示。 5）点击Apply. （2）出现DHCP Scope Edit窗口。 1）键入地址池的起始及终止地址。本例中，DHCP地址池是从到 0。 2）键入默认网关的地址，是。 3）键入DNS域名和DNS服务器的地址。确认Status是激活的。 4）点击Apply。 图7 （3）重启WLC 由于不能在系统工作的时候完成一个或者更多