3.2.2 无线AP的主要配置
(1)配置系统名并分配地址 AP>enable AP>config termainal AP(config)#hostname JF RSB(config)#interface bvi 1
RSB(config-if)#ip address 192.168.1.2 255.255.255.0
(2)配置SSID(一个唯一的标识,允许客户端识别一个接入点) RSB(config)#int dot11radio 0 RSB(config-if)#ssid RSB
RSB(config-if-ssid)#authentication open
3.2.3 接入层交换机的主要配置
在这个方案当中为交换机配置了Trunk链路,其中主要以Switch1进行配置 (1)配置trunk链路 Switch1#config terminal Switch1(config)#int fa0/2
Switch1(config-if)#switchport mode trunk Switch1(config-if)#exit Switch1(config)#int fa0/3
Switch1(config-if)#switchport mode trunk
3.2.4 核心层交换机的主要配置
本方案中需要为核心层交换机做了VTP服务器、Vlan和路由等配置,本节主要以Switch2交换机为例进行说明其配置过程
(1)配置VTP服务器 Switch2#config terminal
Switch2(config)#VTP mode server (2)配置VLAN Switch2#config terminal Switch2(config)#vlan 2
17
Switch2(config-vlan)#name j1jiaoxuelou Switch2(config-vlan)#vlan 3 Switch2(config-vlan)#name jifang Switch2(config-vlan)#exit Switch2(config)#int vlan 2
Switch2(config-if)#ip address 192.168.1.1 255.255.255.0 Switch2(config-if)#int vlan 3
Switch2(config-if)#ip address 192.168.2.1 255.255.255.0 Switch2(config-if)#int vlan 4
Switch2(config-if)#ip address 192.168.3.1 255.255.255.0 Switch2(config-if)#int vlan5
Switch2(config-if)#ip address 192.168.4.1 255.255.255.0 (3)配置trunk链路 Switch2#config terminal
Switch2(config)#int range g0/1 – 2 Switch2(config-if)#switchport mode trunk (4)配置路由 Switch2#config terminal
Switch2(config)#ip route 0.0.0.0 .0.0.0.0 s0/0
Switch2(config)#ip route 192.168.0.0 255.255.248.0 fa0/0
3.2.5 路由器的主要配置
本方案中为路由器配置了访问控制列表与Nat,使用企业能访问外网,本节主要以Router路由器为例进行说明其配置过程。
(1)定义访问控制列表 router#configure terminal
router(config)#access-list | permit ip 192.168.0.0 0.0.7.255 (2)设置nat
router#configure terminal
router(config)#ip nat inside soure list | interface s0/0
18
第四章 企业无线局域网的测试与管理
4.1网络系统测试
4.1.1 使用Ping命令
1.Ping 127.0.0.1 确认本地的TCP/IP工作正常。测试结果得到响应。(如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题或者是网卡损坏)。
2.Ping 本机IP地址 确认网卡和链路工作正常。测试结果得到响应。表明网络适配器(网卡或MODEM)工作正常。(不通则是网络适配器出现故障。出现此问题时,断开网络电缆,然后重新发送该命令。如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址)。
3.Ping 局域网内其他IP。测试结果得到响应。(如果不通,那么表示子网掩码不正确或网卡配置错误或电缆系统有问题)。
4.1.2 使用VLAN、VTP命令
1.Show interface vlan vlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。
2.Show mac-address-table用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所端口、条目类型(静态STATIC、动态DYNAMIC等)以及满足列表条件的MAC地址数目。
3. Show vlan用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息,包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。
4.Show vtp status用于检查VTP配置情况。
4.1.3 使用NAT命令
1.Show ip nat translation用于显示当前正在进行的NAT情况。
2.Show ip nat translation verbose用于显示当前正在进行的NAT更为详细的情况。
3.Show ip nat statistics用于显示NAT运行情况统计。 4.Debug ip nat用于打开对NAT的诊断。
19
4.2 网络系统管理
4.2.1 使用管理主机管理网络
使用管理主机可以非常好的管理网络,其中可以对网络进行各个方面的设置,比如配置各种服务,设置各种安全策略,限制访问数量、优化网络性能等功能。管理主机安装的是服务器版本系列系统,所以在为昌翔股份有限公司设计网络方案时特意加上了一台管理主机,以实现对网络的管理与忧化,提高网络的整体性能。
4.2.2 无线企业网安全 1.非法接入
有线网络能明显地分辨出计算机是否连接在网线上。而无线网络则不同,理论上无线电波范围内的任何一台计算机都可以监听并登录无线网络。并且无线网络的覆盖范围受建筑物和其他因素的影响,具有不确定性。再者,无线电波的频率较为固定。因此非法接入是无线局域网最基本的安全问题。
2.盗用合法计算机或无线网卡
即使在无线企业网中已经采用了一些安全策略,如基于MAC的用户认证,但黑客和非法用户仍可以通过盗用合法计算机或无线网卡的方法通过认证,侵入WLAN,进行破坏或窃取信息。
3.截获用户数据
由于WLAN是开放的系统,黑客可以很轻松的截获附近传输的未加密或加密很弱的数据。一旦重要数据被截获,将会给用户带来巨大的损失。
4.病毒和攻击
WLAN和有线局域网一样,都会遭受病毒和攻击。不同的是WLAN中AP(访问节点,Access Point)一般都没有防病毒和防攻击的功能。一旦黑客知道了某个AP的IP地址,并向其发起DoS(拒绝服务)攻击的话,该AP很快就会瘫痪。
5.用户安全意识不足
即使有合理的安全策略,由于无线网管理人员和无线企业网用户的安全意识不强,也会从内部给无线企业网带来潜在的威胁。
20
4.2.3 无线企业网安全策略
针对以上安全隐患,根据富东电子有限公司的实际情况(多AP模式,如图4-1),采取以下安全控制策略。
图4-1 多AP模式
1. 基本安全策略
包括扩展频谱技术、MAC(物理地址)过滤、SSID (服务区标识符) 匹配和WEP(有线等效保密)。MAC地址过滤和SSID匹配是两项基本的安全技术。
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪音、干扰、阻塞和未授权检测。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。扩频无线传输技术本身使盗听者难以捕捉到有用的数据。由于采用的AP设备支持直接序列,我们把相邻的AP设置成不同的频率。
MAC过滤指在AP中维护一组允许访问的MAC地址列表,实现物理地址过滤。我们通过把固定用户的MAC地址加入所在区域AP的MAC地址列表中,把移动用户的无线网卡MAC地址加入到所有允许访问的AP中这一策略,在一定程度上限制了无线网卡的盗用,而且让移动用户体验到了WLAN的移动性。
SSID匹配则要求无线网用户出示正确的SSID,才能访问AP,因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的无线安全。我们给各个AP所在服务区以不同的SSID,不仅增加了非法用户接入时的难度,同时也方便了我们的管理。
有线等效保密(Wired Equivalent Privacy)用于在无线局域网中保护链路层
21