保证家里和企业中的WIFI安全-附AC与AP组网实验

最新推荐文章于 2024-07-12 11:02:44 发布
最新推荐文章于 2024-07-12 11:02:44 发布
阅读量2.3k 收藏 10
点赞数 1
分类专栏: 网络传输 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41225906/article/details/126069672
版权

目录

一、WLAN安全威胁

在这里插入图片描述

  • WiFi无认证:攻击者可随意连接无线网络,进而对整个网络进行攻击。
  • 无线数据无加密:攻击者可以通过空口抓包对在无线信道中传输的业务进行窃听和篡改。
  • 边界威胁:非法AP与合法AP放出相同的SSID,诱骗用户连接非法AP,截获用户的数据。

二、WLAN安全防御

  • 安全认证:确保只有授权的用户允许连接网络,比如家里的WiFi连接需要密码。
  • 数据加密和完整性:确保数据传输过程中的私密性,使用CRC(循环冗余校验)确保数据完整性。
    • WLAN加密方式: TKIP(临时密钥完整性协议)、CCMP(区块密码锁链-信息真实性检查码协议)
  • WPA采用了TKIP加密算法,提供密钥重置机制,并增强了密钥的有效长度,安全性远大于WEP。
  • WAP2采用CCMP加密机制,该加密机制使用的是AES(高级加密标准),比TKIP更难被破解。
  • WPA和WPA2都可以使用TKIP或AES加密算法。

2.1、WLAN安全策略对比

安全策略链路认证接入认证加密算法使用场景备注
open开放不加密安全性要求极低的网络无线设备无需认证可直接连接
WEP-open开放配套Portal认证或MAC认证不加密或使用RC4商业中心、车站等用户流动性大的场景平时要使用手机输入验证码的就是这种方式
WEP-share-key共享密钥认证RC4安全性要求较低的网络WEP安全性较低,不建议使用
WPA/WPA2-PSK开放PSK认证TKIP或AES家庭用户或中小型企业网络接入时需要输入密码,无需第三方服务器,成本低
WPA/WPA2-802.1x开放802.1认证TKIP或AES网络安全性要求高的网络安全性高,一般需要radius服务器,成本高

2.2、RADIUS概述

在这里插入图片描述

  • RADIUS是实现AAA的一种方式、C/S结构、基于UDP1812、1813端口作为认证和计费端口。

  • 用户首先连接进AP,AP把用户信息传递给AC,AC与RADIUS服务器进行交互,对用户的身份进行验证,这里AC充当了RADIUS客户端的角色。

2.2.1、需要RADIUS服务器的几种认证

802.1x认证
由IEEE制定的关于用户接入网络的认证标准,需要用户输入账号密码进行认证,类似于家里宽带的PPPoE拨号与RADIUS认证上网这种方式。

MAC认证
是基于MAC地址对用户的网络权限进行控制的认证方法,认证过程中不需要用户手动输入用户名和密码,是一种适合打印机这类不容易交互的设备的认证方式。

Portal认证
这种认证的经典应用场景就是在火车站或商场这类人流量很大的地方,连上公共WiFi后就会把页面引导到一个web认证界面,输入手机号获取验证码就可以上网。

MAC优先Portal认证
用户进行Portal认证成功后,在一定时间内断开网络,能够直接通过MAC认证重新接入网络。

三、WLAN安全配置

3.1、配置开放认证

  • 创建安全模板
[AC] wlan
[AC-wlan-view] security-profile name "profile-name"
  • 配置安全策略为开放认证
[AC-wlan-sec-prof-wlan] security open

3.2、配置WEP安全策略

  • 创建安全模板
[AC] wlan
[AC-wlan-view] security-profile name "profile-name"
  • 配置安全策略为WEP
[AC-wlan-sec-prof-wlan] security wep share-key
  • 配置wep共享密钥
[AC-wlan-sec-prof-wlan] wep key "key-id" {wep-40|wep-104|wep-128} pass-phrase "key-value"

3.3、配置WPA/WPA2-PPSK认证

  • 创建安全模板
[AC] wlan
[AC-wlan-view] security-profile name "profile-name"
  • 配置安全策略为WPA/WPA2-PPSK
[AC-wlan-sec-prof-wlan] security {wpa|wpa2|wpa-wpa2} psk pass-phrase "key-value" {aes|tkip|aes-tkip}
  • 配置PPSK关键参数
[AC-wlan-view] ppsk-user psk pass-phrase "key-value" [user-name "user-name"|user-group "user-group"|vlan "vlan-id"|expire-date "expire-date"|max-device "max-device-number"|branch-goup "branch-group"|mac-address "mac-address"] ssid "ssid"

3.4、实验案例

3.4.1、实验拓扑

在这里插入图片描述

3.4.2、实验介绍

  • 业务VLAN ID:10
  • 管理VLAN ID:20
  • AP从AC中自动获取IP地址
  • STA从三层交换机LSW1中自动获取ip地址
  • AR2模拟公网中的路由器,AR1是出口路由器

3.4.3、实验配置

LSW7:
sys
vlan  batch 10 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
port trunk pvid vlan 20

LSW1:
sys
vlan  batch 10 20

int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20
q

int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
q

dhcp enable
ip pool sta
gateway-list 192.168.10.254
network 192.168.10.0 mask 24
dns-lis 8.8.8.8
q

int vlanif 10
ip add 192.168.10.254 24
dhcp select global
q

vlan 30
int vlanif 30
ip add 192.168.30.1 24
q

int g0/0/1
port link-type access
port default vlan 30

ip route-s 0.0.0.0 0 192.168.30.2

AC1:
sys
vlan batch 10 20
dhcp enable

ip pool ap
gateway-list 192.168.20.254
network 192.168.20.0 mask 24
dns-list 8.8.8.8

int vlanif20
ip add 192.168.20.254 24
dhcp select global

int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20

wlan
ap-group name group1
q
regulatory-domain-profile name default
country-code cn
q
ap-group name group1
regulatory-domain-profile  default
选择y

capwap source int vlanif 20

wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 00e0-fca9-1fe0
ap-name ap1
ap-group group1
选择y

security-profile name A //创建安全模板
security wpa2 psk pass-phrase A1234567 aes
q
ssid-profile name test //创建ssid模板
ssid test
q
vap-profile name A //创建vap模板
forward-mode direct-forward 
service-vlan vlan-id 10 //很重要,一定设置成业务VLAN号
security-profile A //绑定安全模板
ssid-profile test //绑定ssid模板
q
ap-group name group1 //把group1组里面的ap根据vap A设置启动
vap-profile A wlan 1 radio all 

AR1:
sys
int g0/0/1
ip add 192.168.30.2 24
q
acl 2000
rule 5 permit
int g0/0/0
ip add 30.30.30.1 24
nat outbound 2000
q
ip route-s 0.0.0.0 0 30.30.30.2
ip route-s 192.168.0.0 16 192.168.30.1

AR2:
sys
int g0/0/0
ip add 30.30.30.2 24

3.4.4、结果验证

  • 查看STA获取到的ip地址,可以看到是192.168.10.253,是属于业务VLAN10。
    在这里插入图片描述
  • 用STAping测试公网地址。
    在这里插入图片描述
  • 在AC上查看AP的信息,可以看到AP已经正常上线,并获取到了管理VLAN20的IP地址。
    在这里插入图片描述

四、总结

service-vlan vlan-id 10 这个很重要,一定设置成业务VLAN号,不然STA就不能正常获取到业务VLAN的IP地址,交换机的端口类型与放行的vlan标签也要仔细设置正确。

微瑟秋风
关注
专栏目录
信息安全WIFI攻击实验
qq_44725217的博客
05-31 1966
利用kali linux 操作系统、VM 虚拟机、无线网卡模拟WIFI攻击实验
信息安全实验:实现一个fake-wifi
zekdot的博客
10-17 2761
一、引言 这是信息安全课上老师讲的一个案例吧,某人创建一个假的热点,然后等待人来连接,然后去获取连接者的数据。 这个实验感觉还是比较有意思的,毕竟以前总听说过假WIFI泄露数据的案例但从来没有亲手实验过,所以这也算是一个比较好的机会吧,更何况交实验报告还能拿分。。 二、开放新的热点: 虽然这个实验名称叫做fake-wifi,但本质上这是一个真正的wifi,只是开放者可以监听到其的数据包而...
无线网络实验之四:无线网络安全设置--WPA
weixin_34186128的博客
03-19 943
WPA简介 Wi-Fi保护接入(WPA)是改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。 WPA的功能是替代现行的WEP(Wired Equivalent Privacy)协议。 过去的无线LAN之所以不×××全,是因为在标准加密技术“WEP”存在一些缺点。 ...
无线网络实验之三:无线网络安全设置--WEP
weixin_34417200的博客
03-19 921
AP的设置 1、更改SSID号和信道: 无线设置---基本设置 客户端重新搜索接入到网络 2、加密: 1)AP无线设置---基本设置 共享 16进制 64位对应10位16进制数或5个ASCII字符 如1234567890 默认 128位对应26位16进制数或13个ASCII字符 如26个1 ...
计算机网络实验:无线局域网的组建
AA_Jun的博客
08-16 4773
计算机网络实验:无线局域网的组建
ensp的AC+AP无线配置小实验
05-29
企业网络模拟平台) 或 ENSP 是华为推出的一款强大的网络仿真工具,它允许用户在虚拟环境配置、管理和测试网络设备,如路由器、交换机以及无线控制器(AC)和接入点(AP)。本实验主要关注使用ENSP进行AC+AP无线...
全屋WiFi方案:Mesh路由器组网AC+AP
热门推荐
houxiaoni01的博客
07-28 2万+
家庭全覆盖组网, Mesh 或 AC+AP 组网的方式,都可以达到满足全屋覆盖、漫游的目的。
AC AP二层组网STA上线(三层旁挂式组网实验手册.docx
04-13
无线网络技术领域,三层旁挂式组网是一种常见的AP(接入点)与AC无线控制器)的部署模式,适用于大型企业或公共场所的无线网络建设。本实验主要目标是让学生掌握AP+AC组网方式以及三层旁挂式组网的配置方法。 ...
基于eNSP加防火墙的千人型校园/企业网络规划与设计(所有配置命令)
06-04
文件包含了基于eNSP加防火墙的千人型校园/企业网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(三层架构,核心层、汇聚层、计入层),并加所有的配置命令(以txt形式在...
华为无线-AC+AP小型无线网络配置实验_v1
IT后院的博客
03-10 8665
【如果在实验有什么疑问,欢迎关注微信公众号“IT后院”给我留言,我会抽空回答你的问题】 网络结构图: 步骤一:配置网络连通性 SW: interface Vlanif100 ip address 192.168.0.1 255.255.255.0 interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 2 to 4094 interface Gigabi
网络安全实验5 无线安全
qq_26103901的博客
07-12 747
(3)点击主机PC0选择配置|接口| Wireless,设置SSID为“E42114xxx”,设置Authentication为“WEP”状态,密码写入刚才为无线路由器配置的十六进制密码,设置Encryption Type状态为“40/64-Bit(10 Hex digit)”,关闭窗口。(2)点击无线路由器选择界面|Wireless,设置网络名称(SSID)为:E42114xxx,设置SSID广播为“禁用”,点击“保存设置”,保存配置后关闭窗口。(2)点击工具栏的“文件分割工具”启动文件分割器。
实验9:WLAN配置管理(课内实验)
符啸九天的博客
05-09 1092
打开这台家用无线路由器的GUI界面,并且按照地址表的信息来修改这台路由器的IP和DHCP 设置。点击Internal DHCP Server-->点击DHCP Serve-->点击new。输入management-->点击Apply--然后再点击management。点击CONTROLLER-->接着点击Interfaces-->点击New。) - -点击PC 无线 --点击连接选项卡。点击WLANs-->然后点击go输入如下所示。接着输入如下图所示--然后点击Apply。(如下图所示进行安全配置)
AP+AC配置,实现无线通信
weixin_50281314的博客
05-29 7617
快速上手AC+AP配置,实现无线通信。
无线局域网的安全配置
weixin_44063278的博客
11-03 2098
@TOC ** 无线局域网的安全配置 ** 第一次写,平时都没有接触过写博客。这是老师布置的作业,在网上买的二手路由器,准备试一下,纯网络新手哈。 无线局域网的安全配置 实验内容(作一次小小的学习记录): 无线宽带路由器的登录: 我的路由器是我的路由器是TP-LINK的,型号为TL-WR886N。登录管理页面的网址为tplogin.cn,192.168.1.1。 1)出现的小问题:一开始我在登录的时候没有那么顺利,一直显示找不到 网络,但是连接路由器可以正常上网。(对了,之前我是登录设置过的所以可以
【WLAN】华为大型AC+AP上线实验
NeverGUM的博客
09-24 1万+
前几个月博客记录了小型AC+AP上线,这次记录下大型AC+AP上线的过程,我会吧最近所学注解在代码,方便自己或者别人查看。 本次实验结合了很多的综合知识,不论是DHCP select relay 获取地址的方式也好,还是改用ospf替代以前的静态路由,或者是改变ap的上线方式(以前是ap-mac上线,本次实验使用ap-sn上线)都是自己再一步步学习,并结合在此次实验的。 当然,依然有许...
最基本WLAN实验
A249633445的博客
11-22 7868
实验目标: 掌握最基础的移动办公需求 业务需求: 某企业网络需要用户通过WLAN接入网络,以满足移动办公的最基本需求 1、S2交换机支持WLAN-AC功能(若实际环境所用交换机不支持,可用普通AC代替),作为AC使用(后面内容AC就是实际的S2交换机) 2、AC采用旁挂组网方式,ACAP处于同一个二层网络 3、AC作为DHCP服务器给AP分配IP地址,S1交换机作为DHCP服务器给接入的STA分配IP地址。 4、业务数据采用直接转发模式 拓扑图: 实验参数规划: ..
WLAN基础实验(详细配置文件已上传)
m0_72427090的博客
07-02 680
wlan基础配置
无线网络怎么设置,更加安全
xiaoweids的博客
07-15 3443
设置完成后,在无线网络联接状态,选择查看无线网络--刷新网络列表,选择搜索到的无线网络,联接即可。首先我们进入路由器设置,选择无线参数,取消允许SSID广播,一般路由器设置的SSID,厂家都会默认使用厂家的标识或机型,因此,如果不想别人猜出无线网络的SSID,我们可手动修改SSID,可指定任意个性化的,但也可不指定,采用默认的SSID。设置完成后,在无线网络联接状态,选择查看无线网络--刷新网络列表,选择搜索到的无线网络,点击联接,此时系统会提示密码确认,由于我们已经设置好密码,直接点击联接即可。...
无线ap安全dhcp服务器,AC+AP时代——办公区内满足安全性又够人性化的WiFi漫游设置攻略...
weixin_30345333的博客
08-10 2032
原标题:AC+AP时代——办公区内满足安全性又够人性化的WiFi漫游设置攻略现在移动设备越来越多,笔记本、智能手机、平板电脑等等不单只是用于玩游戏聊天,在工作也是不可或缺的一员。 现在有个办公区要求部署两台AP,通过AC管理和控制。ACAP和STA动态分配IP地址。办公区内所有用户同属于一个VLAN内,即AP1和AP2采用相同的VLAN。最重要的是用户希望STA从AP1的无线信号覆盖区域移...
如何区分WIFI ACAP无线网络的作用及其配置过程?
最新发布
10-28
它包含详细的组网方案、运营商WIFI网络组网方式和策略,以及运营模式和安全架构等内容。通过学习这份资料,你将能够掌握无线网络的基础知识,并为实际的网络部署打下坚实的基础。 参考资源链接:[wifi(WLAN)快速...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微瑟秋风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值