试验9无线安全网路之建设.pptVIP

實驗 9: 無線安全網路之建設 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 實驗 9: 無線安全網路之建設 實驗 9: 無線安全網路之建設 * Scenario 雲科大計算機網路實驗室將採取PEAP認證或是網頁認證，通過認證的使用者可以享用網路資源，並依據使用者所在的群組管理存取控制層級。 本實驗將說明如何建置一有線/無線網路之802.1X認證，所需的網路拓墣建置如下圖。 除此之外，我們採取一些無線網路的政策，其中包含RF管理、入侵防護、QoS機制，並發佈多個SSID讓使用者自行選擇認證方式。 實驗 9: 無線安全網路之建設 * Cisco WLAN Controller 4402 本實驗使用的無線網路認證控制器支圖形化介面和命令列介面。讓了展示親善的一面，我們將採用GUI介紹它的安裝與設定。 控制器在一開始使用之前，需注意裡面設定的國家是否正確，這關係到各國對於開放無線通訊功率問題。 介面上的點選「WIRELESS」?點選「Country」?勾選「TW」?點選「Apply」?點選「Save Configuration」。 若完成設定後，便可在點選「WIRELESS」?點選「Access Points」?點選「All APs」，看到已跟控制器註冊的LWAP。 實驗 9: 無線安全網路之建設 * Cisco WLAN Controller 4402 我們在控制器上設定兩個SSID，分別 es602_web：使用瀏覽網頁方式進行認證。Controller內建小型的網頁伺服器，在使用者進行認證之前，它將自動傳遞伺服器的憑証給使用者，利用SSL加密的方式，確保使用者輸入的密碼是經過加密傳送至伺服器。這樣的認證方式而言，對使用者極為方便，不需自行安裝其它的憑證。 es602_dot1x：設定安全等級最高的WPA2讓使用者進行認證。在認證之前，使用者的主機需安裝具公信力的認證中心憑證。 實驗 9: 無線安全網路之建設 * Cisco WLC LWAP於Switch3560的設定 在我們的實驗採用Layer 3的方式架設無線網路環境。另外，我們需在Cisco 3560 Switch上，啟用DHCP Server功能。讓輕量型存取點一開機之後，經由DHCP Request/Response的協議之後，取得與無線網路認證控制器連線的資訊(無線網路認證控制器位置)，不需在存取點上做任何的設定，使用相當方便。 我們在網路認證控制器上設定多個VLAN，為了讓多個VLAN能相連通，所以需在Cisco 3560 Switch上Gi0/1設定802.1Q封裝，其switchport模式為truck。 本實驗的網路拓墣大致與第五章相同，若有設定安裝的問題可以參考第五章。其中增加了無線網路認證控制設備(WLAN Controller, WLC)與輕量型無線網路存取點(Light-Weight AP, LWAP)。 Telnet 3560 Configure terminal ip dhcp pool dhcp-vlan-1 network 192.168.1.0 255.255.255.0 dns-server 140.125.252.1 140.125.253.2 option 60 ascii Airespace.AP1200“ option 43 ascii 192.168.1.250“ default-router 192.168.1.254 interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk spanning-tree portfast 實驗 9: 無線安全網路之建設 * 集中式無線網路架構 WLC 無線網路認證控制設備需與多台輕量型無線網路存取點搭配使用，這樣的組合顛覆了傳統。所有安全政策、頻寬管理、存取控制全由WLC設定。以集中式的管理方式，降低了系統管理者的負擔。 LWAP 也叫做Thin-AP，不同於一般Fat-AP加載了許多安全政策設定、頻寬管理、存取控制；它只有負責RF訊號與WLC資料的傳遞。LWAP又可分為「室內型」與「室外型」存取點；天線的功率的選擇更是多樣化。 Light-Weight Access Point Protocol (LWAPP)是WLC與LWAP建立連線時使用的協定。大致上可以分為兩方面的流量，一是資料(Data Plane)、二是控制(Control Plane) 。 資料流：不做任何的加密。 控制流：採用AES-CCM加密。 Ligh