TCPIP路由交换技术（第二版）课件 项目12 组建安全的无线局域网.pptx

;学习目标;思维导图;了解WLAN安全技术;学习任务12.1;12.1.1WLAN的安全威胁;数据容易被窃取、拦截、篡改;地址欺骗;拒绝服务;WEP秘钥攻击;Rogue设备入侵;12.1.2WLAN的安全措施;;加密技术——WEP加密;加密技术——WPA/WPA2加密;认证机制;系统防护——WIDS;系统防护——WIPS;;;学习任务12.2;开放系统认证;共享密钥认证;MAC认证;IEEE802.1X认证;Portal认证;;;学习任务12.3;12.3.1WEP安全策略;WEP安全特点;WEP安全配置实例;实施步骤;2.AP的配置;3.无线工作站STA和STB的配置;实施步骤;12.3.2WPA/WPA2安全策略;WPA协议是一种保护无线网络(WiFi)安全的系统，它是在前一代有线等效加密(WEP)的基础上产生的，解决了前任WEP的缺陷问题，它使用TKIP(临时密钥完整性)协议，是IEEE802.11i标准中的过渡方案.

WPA采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。它作为WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。;WPA2是WiFi联盟验证过的IEEE802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。而且除了加密和认证机制，WPA/WPA2还提供了其他一些安全功能，例如防止暴力破解攻击和MAC地址过滤等。这些功能可以帮助保护无线网络免受未经授权的访问和攻击;WPA2的配置命令;思政小课堂;;;;;;项目实战任务12.4;你是某公司的网管，由于无线信号没有进行加密，任何人都可以随意接入，对网络带宽和安全造成很大影响，针对此现象，你决定对无线网络进行加密，而且对财务部和销售部采用WPA2安全策略，只有知道这两个部门无线密码的人才能加入该部门的网络。具体任务就是将网络设备按照拓扑图结构进行连接、完成相关IP地址规划、基础配置及无线加密配置、验证无线用户接入需要密码确认;12.4.1实施条件;采用锐捷AP作为无线接入点，AC作为无线控制器集中控制AP和数据转发，交换机SW和POE供电模块为AP进行供电。;12.4.2数据规划;相关IP数据及信息规划如下：

1．Lo0:1.1.1.1/32--AC和AP建立CAPWAP隧道接口；

2．SVI10:192.168.10.1/24--AP管理地址网关；

3．SVI20:192.168.20.1/24--SW管理地址；

4．SVI30:192.168.30.1/24一财务部用户网关地址；

5．SVI40:192.168.40.1/24一销售部用户网关地址；

SVI4000:192.168.1.0/30--SW和AC互联地址段AP、SW和用户的网关均放置于SW上;12.4.3实施步骤;（1）在Poe交换机上配置基本远程管理功能，并创建AP管理VLAN10、Poe交换机管理VLAN20、无线用户VLAN30、40和Poe交换机与AC互联VLAN4000。;（2）将交换机端口Gi0/1设置为access接口属于VLAN10，Gi0/24配置为Trunk接口，并对Trunk接口进行VLAN修剪优化。;（3）在Poe交换机上创建无线用户VLAN、AP管理VLAN、Poe交换机管理VLAN和Poe交换机与AC互联VLAN的SVI地址，并且配置指向AC的loopback接口明细路由。;（4）在交换机上创建无线用户和AP管理的DHCP地址池。;（1）在AC上配置基本远程管理功能，添加无线用户VLAN和与核心互联的VLAN，并创建核心互联VLAN的SVI接口地址和loopback0的接口IP，将AC的G0/1接口配置为Trunk接口，进行VLAN修剪；添加默认路由指向Poe交换机。;（2）AP和AC的版本同步，AP和AC的版本必须一致，否则可能导致CAPWAP隧道异常发生。（注：可以先查看AP和AC的版本，如果AC和AP的版本一致，则不需要此版本同步过程）;（3）在AC上创建无线相关配置，包括WLAN-ID、SSID和ap-group。;（4）将AP加入ap-group，并进行信道规划和命名。;（1）针对财务部无线用户采用WPA2进行加密。;（2）针对销售部无线用户采用WPA2进行加密。;12.4.4项目测试;测试1;测试2;