实验三 无线局域网安全实验

实验内容

完成无线局域网 WPA2-PSK 安全机制的配置以及 WPA2 的身份鉴别机制的应用。

实验目的

  1. 验证 AP 和终端实现 WEP 安全机制相关参数的配置过程
  2. 验证 AP 和终端实现 WPA2-PSK 安全机制相关参数的配置过程
  3. 验证 终端 与 AP 之间建立关联的过程
  4. 验证属于不同 BSS 的终端之间的通信过程
  5. 验证 AAA 服务器的配置过程
  6. 验证注册用户通过接入终端实现网络资源访问的过程

实验原理

随着移动终端的普及,无线局域网日益成为适用最广泛的局域网。无线局域网的无线传输特性,要求 AP 和 无线路由器必须对需要与其建立关联的终端进行身份鉴别,同时需要加密终端与 AP 和无线路由器之间传输的数据。因此,正确配置无线局域网的安全机制是安全使用无线局域网的前提。

WEP 和 WPA2-PSK 实验

image-20210520092740982

AP1 选择 WEP 安全机制,配置共享密钥。终端A 和 终端B 同样选择 WEP 安全机制,配置与 AP1 相同的共享密钥。AP2 选择 WPA2-PSK 安全机制,配置用于导出 PSK 的密钥。终端E 和 终端F 同样选择 WPA2-PSK 安全机制,配置与 AP2 相同的用于导出 PSK 的密钥。

Packet Tracer 中终端支持 Windows 的自动私有IP地址分配(Automatic Private IP Addressing, APIPA)机制,如果终端启动自动获得IP地址方式,但在发送DHCP请求消息后一直没有接受到DHCP服务器发送的响应消息,则Windows自动在微软保留的私有网络地址 169.254.0.0/255.255.0.0 中为终端随机选择一个有效IP地址。因此,如果扩展服务集中的所有终端均采用这一IP地址分配方式,则无须为终端配置IP地址就可实现终端之间的通信过程,安装无线网卡的终端的默认获取IP地址方式就是DHCP方式。

WPA2 实验

image-20210520125803728

每一个用户完成注册后,获得唯一的身份标识信息:用户名和口令,所有注册用户的身份标识信息统一记录在AAA服务器中。每一台无线路由器中需要配置AAA服务器的IP地址和该无线路由器与AAA服务器之间的共享密钥。当无线路由器需要鉴别用户身份时,无线路由器只将用户提供的身份标识信息转发给AAA服务器,由AAA服务器完成身份鉴别过程,并将鉴别结果回送给无线路由器。

实验步骤

WEP 和 WPA2-PSK 实验

  1. 根据如图5.1所示的无线局域网结构放置和连接设备:

    image-20210520100752011

  2. 默认情况下,笔记本计算机安装以太网卡,为了接入无线局域网,需要将笔记本计算机的以太网卡换成无线网卡。单击 Laptop0,弹出 Laptop0 配置界面,选择 Physical 配置选项,弹出安装物理模块界面。关掉主机电源,将原来安装在主机上的以太网卡拖放到左边模块栏中,然后将模块 WPC300N 拖放到主机原来安装以太网卡的位置。模块 WPC300N 是支持 2.4G 频段的 802.11、802.11b 和 802.11g 标准的无线网卡。重新打开主机电源。用同样的方式,将其他笔记本计算机的以太网卡换成无线网卡。

  3. 完成 Access Point0 “Config”–“Port1” 操作过程。Authentication 中勾选 WEP,Encryption Type 选择 40/64-Bits(10 Hex digits),在 WEP Key 框中输入由10个十六进制数字组成的40位密钥。在 SSID 框中输入制定的 SSID。Port Status 勾选 On。

    image-20210520101659620

  4. 完成 Laptop0 “Config”–“Wireless0” 操作过程。在 Authentication 栏中选择 WEP,Encryption Type 选择 40/64-Bits(10 Hex digits),在 WEP Key 框中输入与 Access Point0 相同的由10个十六进制数字组成的40位密钥。在 SSID 框中输入与 Access Point0 相同的 SSID。Port Status 勾选 On。以同样的方式完成 Laptop1 与实现 WEP 安全机制相关参数的配置过程。完成 Access Point0、Laptop0 和 Laptop1 与实现 WEP 安全机制相关参数的配置后,Laptop0 和 Laptop1 与 Access Point0 之间成功建立关联。

    image-20210520105846522

  5. 终端一旦选择 DHCP 方式,启动自动私有IP地址分配(APIPA)机制,在没有 DHCP服务器 为其配置网络信息的前提下,有终端自动在私有网络地址 169.254.0.0/255.255.0.0 中随机选择一个有效IP地址作为其IP地址。DHCP方式是安装无线网卡的笔记本计算机默认的获取网络信息方式。

  6. 完成 Access Point1 “Config”–“Port1” 操作过程。Authentication 中勾选 WPA2-PSK,Encryption Type 选择 AES,导出 PSK 的 Pass Phrase 框中输入由8~63个字符组成的密钥。在 SSID 框中输入制定的 SSID。Port Status 勾选 On。

    image-20210520110700101

  7. 完成 Laptop2 “Config”–“Wireless0” 操作过程。在 Authentication 栏中选择 WPA2-PSK,Encryption Type 选择 AES,在导出 PSK 的 Pass Phrase 框中输入与 Access Point1 相同的由8~63个字符组成的密钥。在 SSID 框中输入与 Access Point1 相同的 SSID。Port Status 勾选 On。以同样的方式完成 Laptop3 与实现 WPA2-PSK 安全机制相关参数的配置过程。完成 Access Point1、Laptop2 和 Laptop3 与实现 WEP 安全机制相关参数的配置后,Laptop2 和 Laptop3 与 Access Point1 之间成功建立关联。

    image-20210520110739168

  8. 完成 PC0 “Desktop”–“IP Configuration” 操作过程。选择 DHCP,由 PC0 自动选择的IP地址如图所示。以同样的方式完成 PC1 获取网络信息过程。

    image-20210520111126682

  9. 通过简单报文工具启动各个终端之间的 ICMP 报文传输过程,验证各个终端之间的连通性。

    image-20210520113354089

    Laptop0的IP地址信息:

    image-20210520113457302

    ping Laptop1:

    image-20210520113807468

    ping Laptop3:

    image-20210520113926688

    ping PC1:

    image-20210520114039489

WPA2 实验

  1. 无线局域网中,终端与无线路由器之间没有物理连接过程,但终端必须位于无线路由器的有效通信范围内,因此,无线局域网需要在物理工作区中确定终端与无线路由器之间的距离。选择物理工作区,单击 NAVIGATION 菜单,选择 Home City,单击 Jump to Selected Location 按钮,物理工作区中出现家园城市界面。

    image-20210520131302882

  2. 在设备类型选择框中选择 Wireless Devices,在设备选择框中选择无线路由器(WRT300N)。将无线路由器拖放到物理工作区中,可以看到无线路由器的有效通信范围。将笔记本计算机放置在无线路由器的有效通信范围内,无线设备选择无线路由器而不是 AP 的原因是 Packet Tracer 中只有无线路由器支持 WPA2。在物理工作区中根据如图5.10所示的无线局域网结构放置和连接设备。

    image-20210520133425074

  3. 切换到逻辑工作区。

    image-20210520133524128

  4. 完成无线路由器 Router1 “Config”–“Wireless” 操作过程。在 Authentication 栏中选择 WPA2。在 RADIUS Server Settings 栏下的 IP Address 框中输入 RADIUS服务器 的IP地址,这里是 192.1.2.7。 在 Shared Secret 框中输入该无线路由器与 AAA服务器 之间的共享密钥,这里是 router1。Encryption Type 选择 AES。在 SSID 框中输入指定的 SSID,这里是 123456。以同样的方式完成无线路由器 Router2 无线接口配置过程。

    image-20210520134120206

  5. 完成无线路由器 Router1 “Config”–“Internet” 操作过程。在 IP Configuration 栏中选择 Static IP 地址配置方式。在 Default Gateway 框中输入路由器 Router 连接交换机 Switch0 的接口的IP地址,这里是192.1.1.254。在 IP Address 框中输入无线路由器 Router1 Internet 接口的IP地址,这里是 192.1.1.1。在 Subnet Mask 框中输入无线路由器 Router1 Internet 接口的子网掩码,这里是 255.255.255.0。以同样的方式完成无线路由器 Router2 Internet 接口配置过程。

    image-20210520135005012

  6. 完成 AAA Server “Desktop”–“IP Configuration” 操作过程。配置的IP地址必须与无线路由器 Router1、Router2 中配置的 RADIUS 服务器地址相同。

    image-20210520143830735

  7. 完成 AAA Server ”Services“–”AAA“ 操作过程。首先建立与路由器 Router1 和 Router2 之间的关联。建立关联过程中,在 Client Name 框中输入设备标识符,如无线路由器 Router2 的设备标识符 Router2。在客户端 Client IP 框中输入无线路由器 Router1 和 Router2 向 AAA 服务器发送 RADIUS 报文时,用于输出 RADIUS 报文的接口的IP地址,即 Router1 和 Router2 Internet 接口的IP地址,如无线路由器 Router2 Internet 接口的IP地址 192.1.1.2。在 Secret 框中输入 Router1 和 Router2 与 AAA 服务器之间的共享密钥,如 Router2 与 AAA 服务器之间的共享密钥 router2。

    然后定义所有的注册用户。定义注册用户过程中,在 Username 框中输入注册用户的用户名,如 aaa3。在 Password 框中输入注册用户的口令,如 bbb3。

    image-20210520140455116

  8. 配置路由器 Router

    image-20210520141939831 image-20210520142011895

  9. 完成 Laptop0 “Config”–“Wireless0” 操作过程。

    image-20210520143951470 image-20210520144308161

  10. 通过简单报文工具,验证 Laptop* 与 Web服务器之间的连通性。

    image-20210520145058291

实验总结

熟悉了Pocket Tracer平台的相关操作,完成并理解了无线局域网 WPA2-PSK 安全机制的配置以及 WPA2 的身份鉴别机制的应用。