我们的专家继续介绍有关以Linux为基础建立一个安全的无线局域网的系列讲 座。我们已经介绍了使用VLAN(虚拟局域网)和802.1Q标准进行网络分段以及在Linux和思科IOS操作系统中支持802.1Q接口的问题。今 天,我们将介绍如何使用一台思科1200系列接入点提供三个不同IP网络段的访问。这些网络段都使用VLAN和MSSID(多服务设置标识符)。 上面的图表显示了我们将在本文中介绍的VLAN/MSSID配置。在这个配置中,我们将提供对三个IP网络段的访问,支持三种不同的安全策略: •WPA(WiFi保护访问) •WEB(有线等效协议),以前为无线访问开发的准入控制和数据安全标准。 •OPEN/IPsec,这将使无线网段向任何客户开放,但是,要求使用IPsec客户端访问任何真实的数据。 这些安全配置的话题将是未来文章的主题。这种网络访问模型需要VLAN和MSSID的支持。它将使网络能够分区以便提供独特的3层网络访问和谨慎的 WLAN客户身份识别政策。没有VLAN/MSSID支持,思科接入点只能支持访问单个的3层网络段以及WEP或者WPA等单个的客户身份识别。 经过设置支持访问单个SSID和LAN网段的无线接入点工作起来很像一个以太网集线器。无线以太网使用CSMA/CA(带有避开冲突功能的载波侦听 多路访问协议)管理客户访问收发数据的无线电频率。有线以太网设备使用CSMA/CD管理客户访问收发数据的线路。 有些东西表面上看起来与真实的情况不一样。在现实中,一个无线接入点是一个网络桥。在以太网的环境中,一个网络桥可以是连接在整个广播域中两个或者 更多的以太网媒体冲突域的任何设备。一个以太网冲突域是收发以太网帧的节点共享的物理传输介质,它的访问由CSMA/CD或者CSMA/CA控制。一个广 播域是使用以太网桥或者交换机相互连接的许多的冲突域。 一个VLAN是一个以太网广播域的逻辑的体现,而不是物理的体现。使用VLAN的标记,多个以太网广播域能够使用两个网桥或者交换机之间的相同的物 理连接。在一台以太网交换机(这台以太网交换机仅仅是一台大型多端口网桥,每一个端口是一个单独的冲突域)上使用VLAN能够分割这台交换机的端口密度, 以便支持广播域,每一个端口都是独立工作的。 使广播域如此重要的事情是:连接到这个以太网广播域的每一个节点相对于其它交换机(即使是存在多台交换机的时候)来说都是“本地的”。这就意味者连 接到广播域的全部节点都知道如何直接相互交换以太网帧。一般来说,一个单个的IP网络子网被映射到一个单个的以太网广播域。这样,以太网广播域扩展的这个 逻辑分区可以为3层子网分区。
上述图表描述了以太网集线器的标准安装和一台使用VLAN支持两个2/3层网段的交换机。在2层级的每一个网段都独立地运行;一台路由器或者路由交 换机可以用来连接两个网段并且允许数据在3层交换。使用无线接入点能够支持与此完全一样的配置: 每一个接入点和每一个集线器都作为一个冲突域运行,并且这台以太网交换机把它们“桥接”起来。数据能够在使用一台路由器或者路由交换机的3层的两个 广播域之间交换。 这里是容易搞乱的地方:当你采用VLAN和MSSID支持思科1200接入点的时候,你有效地把一个接入点从标准的两个端口网桥转变成为一台多端口 网桥。现在,多端口网桥这个词汇几乎是交换机的同义词。然而,这个接入点不能成为无线交换机。事实上,发生的市场正好相反。当MSSID提供创建与客户数 量限制和身份识别机制有关的独特的SSID和作为一个“桥接的”冲突域运行的这种功能的时候,仍然只有一台无线电使用一个频率,这个频率的带宽是每个 SSID之间共享的。MSSID采用一个802.1Q干线端口的工作方式对这个无线电进行虚拟化。还有许多不同的网络层要连接到这个端口,但是,最终每一 次只能发送一个数据包。 这种带宽共享在许多情况下不会产生问题,因为大多数802.1Q干线端口都使用千兆以太网设置为互联的媒介。当你使用固定传输范围的无线电做这件事 的时候,你需要记住无线电访问如何与802.11配合工作。这种无线电以客户支持的最低速度工作。因此,如果你有在以每秒54MB的速度运行的 OUTER_SPACE SSID上面有用户,并且有人加入了以每秒11MB的速度运行的INNER_SPACE SSID,那么,每一个人都将以每秒11MB的速度运行。 我强调这个事实是因为在有关WLAN的整个系列的文章中,强调的这部分一直是使用价格便宜的接入点(例如Linksys WAP54G),因为它们的价格便宜并且能够提供与思科1100/1200接入点相同的基本的安全选择(也就是WPA和WEP)。虽然无线客户身份识别是 重要的,但是,我们的安全配置在很大程度上并不依赖于作为思科1100/1200接入点的一部分的增强的支持选择。那么,我们今天为什么要谈思科1200 呢?经过客户最近的体验、读者的反馈意见(我喜欢读者反馈意见)和思科1200增加了支持VLAN/MSSID等功能之后,我认为是该引起注意的时候了。 使用一台思科1200接入点,而不使用三台Linksys WPA54G设备,确实能够在技术支持、可管理性和更好地利用无线电频谱方面提供一些好处。可管理性指的是身份识别、授权和账户支持、命令行接口和标准的 IOS指令支持等。我认为,这些功能使思科1200接入点在某些环境中具有额外的价值。 还有一些支持下列解决方案的提示。首先,设备必须是一台具有802.11g无线电功能的思科1200接入点(型号为C1200-K9W7-M,或者 更新的型号)。第二,设备必须运行思科的互联网操作系统(IOS)。 现在,如果你的1200接入点的无线电仅支持802.11b,或者正在运行VxWorks操作系统,你确实有很多选择。首先,你可以用100美元采购 802.11g升级产品。这对于拥有现有的接入点的企业来说是一个很好的选择。还有一种可能是把操作系统从VX升级到思科的IOS。思科有一个进行这种转 换的程序。但是,这是不可撤销的。一旦你升级到思科的IOS,你就不能回头了。 在接入点上升级IOS的过程与在思科基于IOS的交换机上进行升级的过程是一样的:使用< archive download-sw /overwrite tftp://server_address/tarfile 本文和以后关于1200接入点的文章讨论的这种配置已经使用IOS c1200-k9w7-tar.123-4.JA.tar进行了测试。在以后的代码版本中还有MBSSID和VLAN的支持问题。因此,测试应该在升级到 更新版本的软件之前进行。 使用接入点,最好是从默认的配置开始。要把接入点重新设置为厂商的默认设置,先切断电源,然后按住“模式”按钮重新连接电源,然后按住模式按钮,直 到接入点的中心灯变成琥珀色。当这台设备完成启动周期的时候,它将没有SSID信息,并且这个局域网接口将支持通过DHCP分配的IP地址。(这也是比较 新的接入点的默认设置。有些比较老的设备将把tsunami(海啸)设置为默认的SSID,并且在机器外部启动,非常安全。) 与其它的思科硬件不同,接入点允许你在默认状态下打开一个通向这个设备的telnet进程(或者使用HTTP服务器,也是默认设置启动的)。一旦这 个连接建立起来,你需要输入用户名和口令,这个口令是“Cisco:Cisco”的非常安全的组合。
还有一个默认的口令。我让你猜三次...,放弃了?这个口令就是“Cisco!”现在,你也许感到具有讽刺意味的是没有指向思科。事实是,思科很有 洞察力地预见到世界上会有一些笨蛋不用配置这种设备就可以把一个接入点连接到一个正在使用的网络。这些口令最多是提供一个屏幕门,但是,至少也有一个门。 这里的信息是:不要把任何接入点连接到一个正在使用的网络。 </
archive download-sw /overwrite tftp://server_address/tarfile 本文和以后关于1200接入点的文章讨论的这种配置已经使用IOS c1200-k9w7-tar.123-4.JA.tar进行了测试。在以后的代码版本中还有MBSSID和VLAN的支持问题。因此,测试应该在升级到 更新版本的软件之前进行。 使用接入点,最好是从默认的配置开始。要把接入点重新设置为厂商的默认设置,先切断电源,然后按住“模式”按钮重新连接电源,然后按住模式按钮,直 到接入点的中心灯变成琥珀色。当这台设备完成启动周期的时候,它将没有SSID信息,并且这个局域网接口将支持通过DHCP分配的IP地址。(这也是比较 新的接入点的默认设置。有些比较老的设备将把tsunami(海啸)设置为默认的SSID,并且在机器外部启动,非常安全。) 与其它的思科硬件不同,接入点允许你在默认状态下打开一个通向这个设备的telnet进程(或者使用HTTP服务器,也是默认设置启动的)。一旦这 个连接建立起来,你需要输入用户名和口令,这个口令是“Cisco:Cisco”的非常安全的组合。
还有一个默认的口令。我让你猜三次...,放弃了?这个口令就是“Cisco!”现在,你也许感到具有讽刺意味的是没有指向思科。事实是,思科很有 洞察力地预见到世界上会有一些笨蛋不用配置这种设备就可以把一个接入点连接到一个正在使用的网络。这些口令最多是提供一个屏幕门,但是,至少也有一个门。 这里的信息是:不要把任何接入点连接到一个正在使用的网络。 |
时间:2010-05-13 10:06
来源:未知
作者:admin
点击:次
我们的专家继续介绍有关以Linux为基础建立一个安全的无线局域网的系列讲 座。我们已经介绍了使用VLAN(虚拟局域网)和802.1Q标准进行网络分段以及在Linux和思科IOS操作系统中支持802.1Q接口的问题。今 天,我们将介绍如何使用一台思科1200系列接入点提供三个不
转载于:https://www.cnblogs.com/cinray/archive/2011/10/08/2202005.html