无线局域网应用技术（微课版）（微课版）（第2版）项目6 微企业无线局域网的安全配置

项目6微企业无线局域网的安全配置知识目标：理解WLAN存在的安全问题理解WEP协议的特点理解WPA/WPA2协议的特点技能目标：掌握局域网交换机的基础配置掌握基于WPA的FAT无线局域网的安全配置素质拓展目标：了解无线网络安全对国家政治和经济发展的影响为协助需要，开通了远程登录账户，完成工作后，应及时注销账户信息，确保信息安全企业遵守国家或国际制定的网络信息安全法则，员工恪守公司规定，遵守国家法律法规学习目标项目背景Jan16公司满足了内部员工的移动办公需求，但为了方便员工使用，在网络建设完成初期并没有对网络进行接入控制，这导致非公司内部员工不需要输入用户名和密码就可以接入网络，进而接入公司内部网络。外来人员接入公司内部网络给公司的信息安全带来了隐患，同时随着接入人数的增加，公司无线网络的传输速率也变得越来越慢。为了解决以上问题，公司要求网络管理员加强对无线网络的安全管理，仅允许内部员工访问。项目背景微型企业无线网络通常仅使用FatAP进行组网，这种组网方式可以通过以下几种方式来构建一个安全的无线网络。（1）对公司无线网络实施安全加密认证，内部员工访问公司无线网络需要输入密码才可以关联无线SSID。（2）为了避免所有人都可以搜索到公司的无线SSID信号，对无线网络实施隐藏SSID功能，防止无线信号外泄。（3）为了防止非本公司的无线终端访问公司内部网络从而造成信息泄露，对现有无线网络配置白名单，仅允许已注册的无线终端接入网络。WLAN安全威胁WLAN以无线信道作为传输媒介，利用电磁波在空气中传播数据，从而实现了传统有线局域网的功能。与传统的有线接入方式相比，WLAN部署相对简单，维护成本也相对低廉，因此应用前景十分广阔。然而由于WLAN传输媒介的特殊性和其固有的安全缺陷，用户的数据面临被窃听和篡改的威胁，因此WLAN的安全问题成为制约其推广的重要问题。WLAN常见的安全威胁有以下几个方面。

WLAN安全威胁

1.未经授权使用网络服务最常见的WLAN安全威胁就是未经授权的非法用户使用WLAN。非法用户未经授权使用WLAN，同合法用户共享带宽，会影响合法用户的使用体验，甚至可能泄露合法用户的用户信息。2.非法AP非法AP是未经授权部署在企业WLAN里，且干扰网络正常运行的AP。如果该非法AP配置了正确的有线等效保密（WiredEquivalentPrivacy，WEP）密钥，还可以捕获客户端数据。经过配置后，非法AP可为未授权用户提供接入服务，可让未授权用户捕获和伪装数据报，最糟糕的是允许未授权用户访问服务器和文件。WLAN安全威胁3.数据安全相对于以前的有线局域网，WLAN采用无线通信技术，用户的各类信息在无线网络中传输会更容易被窃听、获取。4.拒绝服务攻击这种攻击方式不以获取信息为目的，入侵者只是想让目标机器停止提供服务。因为WLAN采用电磁波传输数据，理论上只要在有信号的范围内攻击者就可以发起攻击。这种攻击方式隐蔽性好，实现容易，防范困难，是终极攻击方式之一。WLAN认证技术802.11无线网络一般作为连接802.3有线网络的入口。为保护入口的安全，确保只有授权用户才能通过无线AP访问网络资源，必须采用有效的认证解决方案。认证是验证用户身份与资格的过程，用户必须表明自己的身份并提供可以证实自己身份的凭证。安全性较高的认证系统通常采用多要素认证，用户必须提供至少两种不同的身份凭证。WLAN主要的认证技术如下。WLAN认证技术1.开放系统认证开放系统认证不对用户身份做任何验证，在整个认证过程中，通信双方仅需交换两个认证帧：Sta向AP发送一个认证帧，AP以此帧的源MAC地址作为发送端的身份证明，AP随即返回一个认证帧，并建立AP和Sta的连接。因此，开放系统认证不要求用户提供任何身份凭证，通过这种简单的认证后就能与AP建立关联，进而获得访问网络资源的权限。

WLAN认证技术

开放系统认证是唯一的802.11要求必备的认证方法，是最简单的认证方式。对于需要允许设备快速进入网络的场景，可以使用开放系统认证。开放系统认证主要用于在公共区域或热点区域（如机场、酒店等）为用户提供无线接入服务，适合用户众多的运营商部署大规模的WLAN。

WLAN认证技术

2.共享密钥认证共享密钥认证要求Sta必须支持WEP，Sta与AP必须配置匹配的静态WEP密钥。如果双方的静态WEP密钥不匹配，Sta就无法通过认证。共享密钥认证过程中，采用共享密钥认证的无线接口之间需要交换质询消息，通信双方总共需要交换4个认证帧，如图所示。WLAN认证技术（1）Sta向AP发送认证请求认证帧。（2）AP向Sta返回包含明文质询消息的第2个认证帧，质询消息长度为128字节，由WEP密钥流生成器利用随机密钥和初始向量产生。（3）Sta使用静态WEP密钥将质询消息加密，并通过认证帧发给AP，即第3个认证帧。（4）AP收到第3个认证帧后，将使用静态WEP密钥对其中的质询消息进行解密，并与原始质询消息进行比较。若两者匹配，AP将会向Sta发送第4个也是最后一个认证帧，确认Sta成功通过认证；若两者不匹配或AP无法解密质询消息，AP将拒绝Sta的认证请求。WLAN认证技术Sta成功通过共享密钥认证后，将采用同一静态WEP密钥加密随后的802.11数据帧与AP通信。共享密钥认证看似安全性比开放系统认证要高，但是实际上存在着巨大的安全漏洞。如果入侵者截获AP发送的明文质询消息以及Sta返回的加密质询消息，就可能从中提取出静态WEP密钥。入侵者一旦掌握静态WEP密钥，就可以解密所有数据帧，网络对入侵者将再无秘密可言。因此，WEP共享密钥认证方式难以为企业WLAN提供有效保护。WLAN认证技术3.SSID隐藏SSID隐藏可将无线网络的逻辑名隐藏起来。AP启用SSID隐藏后，Sta扫描SSID时将无法获得SSID信息。因此，Sta必须手动设置与AP相同的SSID才能与AP进行关联。如果Sta出示的SSID与AP的SSID不同，那么AP将拒绝Sta接入。SSID隐藏适用于某些企业或机构需要支持大量访客接入的场景。企业园区无线网络可能存在多个SSID，如员工、访客等。为尽量避免访客连错网络的问题，园区通常会隐藏员工的SSID，同时广播访客SSID。此时访客尝试连接无线网络时只能看到访客SSID，从而减少访客了连接到员工网络的情况。尽管SSID隐藏可以在一定程度上防止普通用户搜索到无线网络，但只要入侵者使用二层无线协议分析软件拦截到任何合法Sta发送的帧，就能获得以明文形式传输的SSID。因此，只使用SSID隐藏策略来保证无线局域网安全是不行的。WLAN认证技术4.黑白名单认证（MAC地址认证）白名单的概念与“黑名单”相对应。黑名单启用后，被列入黑名单的Sta不能通过。如果设立了白名单，则在白名单中的Sta会允许通过，没有在白名单列出的Sta将被拒绝访问。WLAN认证技术黑白名单认证是一种基于端口和MAC地址对Sta的网络访问权限进行控制的认证方法，不需要Sta安装任何客户端软件。802.11设备都具有唯一的MAC地址，因此可以通过检验802.11设备数据分组的源MAC地址来判断其合法性，过滤不合法的MAC地址，仅允许特定的Sta发送的数据分组通过。MAC地址过滤要求预先在AP中输入合法的MAC地址列表，只有当Sta的MAC地址和合法MAC地址列表中的地址匹配时，AP才允许用户设备与之通信，实现MAC地址过滤。MAC地址认证如图6-2所示，Sta1的MAC地址不在AP的合法MAC地址列表中，因而不能接入AP；而Sta2和Sta3的MAC地址分别与合法MAC地址列表中的第4个、第3个MAC地址完全匹配，因而可以接入AP。WLAN认证技术WLAN认证技术然而，由于很多无线网卡支持重新配置MAC地址，MAC地址很容易被伪造或复制。只要将MAC地址伪装成某个出现在允许列表中的Sta的MAC地址，就能轻易绕过MAC地址过滤。为所有Sta配置MAC地址过滤的工作量较大，而MAC地址又易于伪造，因此MAC地址过滤无法成为一种可靠的无线安全解决方案。WLAN认证技术5.PSK认证预共享密钥（Pre-SharedKey，PSK）认证是Wi-Fi保护接入(Wi-FiProtectedAccess,WPA)使用的认证方式，要求用户使用一个简单的ASCII字符串（长度为8～63个字符，称为密码短语）作为密钥。Sta和AP通过能否成功解密“协商”的消息来确定Sta配置的预共享密钥是否与AP配置的预共享密钥相同，从而完成AP和Sta的相互认证。WLAN认证技术PSK认证有很多别称，如WPA/WPA2口令（WPA/WPA2Passphrase）和WPA/WPA2预共享密钥（WPA/WPA2PSK）等。WPA/WPA2定义的PSK认证方法是一种弱认证方法，很容易受到暴力字典(通过大量猜测和穷举的方式来尝试获取用户口令的攻击方式)的攻击。虽然这种简单的PSK认证是为小型无线网络设计的，但实际上很多企业也使用WPA/WPA2。由于所有Sta上的PSK都是相同的，如果用户不小心将PSK泄露，WLAN的安全性将受到威胁。为保证安全，所有Sta就必须重新配置一个新的PSK。WLAN加密技术在WLAN用户通过认证并被赋予访问权限后，网络必须保护用户所传送的数据不被泄露，其主要方法是对数据报文进行加密。WLAN采用的加密技术主要有：WEP加密、TKIP（TemporalKeyIntegrityProtocol，临时密钥完整性协议）加密和CCMP（CounterModewithCipher-BlockChainingMessageAuthenticationCodeProtocol，计数器模式密码块链信息认证码协议）加密等。项目规划设计公司原有网络是通过DHCP管理客户端IP地址的，网关和DHCP地址池都放置于核心交换机中，因IP地址需统一管理，公司网络管理员需要将无线用户的网关和DHCP地址池也配置在核心交换机上。同时，需要在Ap上配置WLAN加密、隐藏SSID、全局白名单等功能，以提高网络的安全性。项目规划设计1、VLAN规划2、设备管理规划VLAN-IDVLAN命名网段用途VLAN10user192.168.10.0/24无线用户网段VLAN99mgmt192.168.99.0/24设备管理网段设备类型型号设备命名console密码用户名密码无线接入点AP4050DNAPHuawei@123adminHuawei@123交换机S5700SWHuawei@123adminHuawei@123项目规划设计3、端口互联规划4、IP规划本端设备本端端口端口配置对端设备对端端口APG0/0/0trunkpvidvlan99SWG0/0/1SWG0/0/1trunkpvidvlan99AP1G0/0/0设备接口IP地址用途SWVLAN10192.168.10.1-253/24DHCP分配给无线用户192.168.10.254/24无线用户网段网关VLAN99192.168.99.254/24设备管理网关APVLAN99192.168.99.1AP管理地址项目规划设计5、VAP规划6、Radio规划VAPVLANSSID加密方式是否广播VAP110Huawei12345678否AP名称WLAN-RadioVAPWLAN-ID频率与信道功率AP0/0/0VAP112.4G:1100%AP0/0/1VAP115.8G:149100%任务1交换机的配置任务描述交换机的配置包括交换机的远程管理配置、VLAN和IP地址配置、端口配置和DHCP服务配置。任务1交换机的配置1、配置远程登录和管理密码<Quidway>system-view进入系统视图[Quidway]sysnameSW配置设备名称[SW]user-interfacevty04进入虚拟链路[SW-ui-vty0-4]protocolinboundtelnet配置协议为telnet[SW-ui-vty0-4]authentication-modeaaa配置认证模式为aaa[SW-ui-vty0-4]quit退出[SW]aaa进入aaa视图[SW-aaa]local-useradminpasswordirreversible-cipherHuawei@123创建admin用户并配置密码Huawei@123[SW-aaa]local-useradminservice-typetelnet配置用户类型为telnet用户[SW-aaa]local-useradminprivilegelevel15配置用户等级为15[SW-aaa]quit退出任务1交换机的配置2、创建各部门使用的VLAN，配置设备的IP地址，即用户的网关地址[SW]vlan10创建VLAN10[SW-vlan10]nameUSERVLAN命名为USER[SW-vlan10]quit退出[SW]vlan99创建VLAN99[SW-vlan99]nameMgmtVLAN命名为Mgmt[SW-vlan99]quit退出[SW]interfaceVlanif10进入vlanif10接口[SW-Vlanif10]ipaddress192.168.10.25424配置IP地址[SW-Vlanif10]quit退出[SW]interfaceVlanif99进入vlanif99接口[SW-Vlanif99]ipaddress192.168.99.25424配置IP地址[SW-Vlanif99]quit退出任务1交换机的配置3、配置与AP互联接口；[SW]interfaceGigabitEthernet0/0/1进入G0/0/1接口视图[SW-GigabitEthernet0/0/1]portlink-typetrunk配置接口类型为trunk[SW-GigabitEthernet0/0/1]porttrunkpvidvlan99配置接口默认VLAN[SW-GigabitEthernet0/0/1]porttrunkallow-passvlan1099配置接口放行VLAN列表[SW-port-group]quit退出任务1交换机的配置4、开启核心设备的DHCP服务功能，创建用户的DHCP地址池；[SW]dhcpenable开启DHCP服务[SW]ippoolvlan10创建vlan10的地址池[SW-ip-pool-vlan10]network192.168.10.0mask24配置分配的IP地址段[SW-ip-pool-vlan10]gateway-list192.168.10.254配置分配的网关地址[SW-ip-pool-vlan10]dns-list8.8.8.8配置分配的DNS地址[SW-ip-pool-vlan10]quit退出[SW]interfaceVlanif10进入vlanif10接口[SW-Vlanif10]dhcpselectglobalDHCP选择全局配置[SW-Vlanif10]quit退出任务1交换机的配置任务验证1、在交换机上使用displayipinterfacebrief，查看交换机的IP地址信息，如图所示；<SW>displayipinterfacebrief*down:administrativelydown^down:standby(l):loopback(s):spoofing(E):E-TrunkdownThenumberofinterfacethatisUPinPhysicalis4ThenumberofinterfacethatisDOWNinPhysicalis1ThenumberofinterfacethatisUPinProtocolis4ThenumberofinterfacethatisDOWNinProtocolis1

Interface IPAddress/Mask Physic ProtocolMEth0/0/1 unassigned down downNULL0 unassigned up up(s)Vlanif10 192.168.10.254/24 up upVlanif99 192.168.99.254/24 up up图6-2displayipinterfacebrief任务1交换机的配置2、在交换机上使用displayportvlan，查看接口的VLAN信息，如图所示。<SW>displayportvlanPort LinkType PVID TrunkVLANList-------------------------------------------------------------------------------GigabitEthernet0/0/1 trunk 99 1102099GigabitEthernet0/0/2 desirable 1 1-4094GigabitEthernet0/0/3 desirable 1 1-4094GigabitEthernet0/0/4 desirable 1 1-4094任务2AP的配置任务描述AP的配置包括远程管理、VLAN和IP地址配置、端口配置、WLAN配置、天线配置、无线配置等内容。任务2AP的配置1、使用console登录AP，并配置远程登录和管理密码<Huawei>system-view进入系统视图[Huawei]sysnameAP1配置设备名称[AP]user-interfacevty04进入虚拟链路[AP-ui-vty0-4]protocolinboundtelnet配置协议为telnet[AP-ui-vty0-4]authentication-modeaaa配置认证模式为aaa[AP-ui-vty0-4]quit退出[AP]aaa进入aaa视图[AP-aaa]local-useradminpasswordirreversible-cipherHuawei@123创建admin用户并配置密码Huawei@123[AP-aaa]local-useradminservice-typetelnet配置用户类型为telnet用户[AP-aaa]local-useradminprivilegelevel15配置用户等级为15[AP-aaa]quit退出任务2AP的配置2、配置VLAN和IP地址[AP1]vlan10创建VLAN10[AP1-vlan10]nameUSERVLAN命名为USER[AP1-vlan10]quit退出[AP1]vlan99创建VLAN99[AP1-vlan99]nameMgmtVLAN命名为Mgmt[AP1-vlan99]quit退出[AP1]interfaceVlanif99进入VLANif99接口[AP1-Vlanif99]ipaddress192.168.99.124配置IP地址[AP1-Vlanif99]quit退出[AP]iproute-static0.0.0.00192.168.99.254配置默认路由任务2AP的配置3、配置与上联交换机互联的以太网物理接口为Trunk模式[AP1]interfaceGigabitEthernet0/0/0进入G0/0/0接口视图[AP1-GigabitEthernet0/0/0]portlink-typetrunk配置接口类型为trunk[AP1-GigabitEthernet0/0/0]porttrunkpvidvlan99配置接口默认VLAN[AP1-GigabitEthernet0/0/0]porttrunkallow-passvlan1099配置接口放行VLAN列表[AP1-GigabitEthernet0/0/0]quit退出任务2AP的配置4、定义SSID；[AP1]wlan进入WLAN视图[AP1-wlan-view]ssid-profilenameSSID1创建SSID配置文件[AP1-wlan-ssid-prof-SSID1]ssidHuawei定义SSID[AP1-wlan-ssid-prof-SSID1]quit退出[AP1-wlan-view]vap-profilenameVAP1创建VAP配置文件[AP1-wlan-vap-prof-VAP1]service-vlanvlan-id10配置VAP关联VLAN[AP1-wlan-vap-prof-VAP1]ssid-profileSSID1配置VAP关联SSID1文件[AP1-wlan-vap-prof-VAP1]quit退出到WLAN视图[AP1-wlan-view]quit退出到系统视图任务2AP的配置5、创建射频卡子接口并关联SSID；[AP]interfaceWlan-Radio0/0/0进入无线射频卡接口0/0/0[AP-Wlan-Radio0/0/0]undovap-profiledefault-ssidwlan1取消WLAN1默认绑定的VAP文件[AP-Wlan-Radio0/0/0]vap-profileVAP1wlan1WLAN1绑定VAP文件[AP-Wlan-Radio0/0/0]quit退出[AP]interfaceWlan-Radio0/0/1进入无线射频卡接口0/0/1[AP-Wlan-Radio0/0/1]undovap-profiledefault-ssidwlan1取消WLAN1默认绑定的VAP文件[AP-Wlan-Radio0/0/1]vap-profileVAP1wlan1WLAN1绑定VAP文件[AP-Wlan-Radio0/0/1]quit退出任务2AP的配置任务验证1、在AP上使用displayvapall，查看所有VAP信息，如图所示。[AP]displayvapallInfo:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID----------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID----------------------------------------------------------------------------c4b8-b469-32e001C4B8-B469-32E0ONOpen0Huaweic4b8-b469-32e011C4B8-B469-32F0ONOpen0Huawei----------------------------------------------------------------------------Total:2任务3无线安全配置任务描述无线安全的配置包括对WLAN开启WPA2加密，设置预共享密钥，将SSID设置为隐藏，并配置白名单允许合法用户接入和配置黑名单禁止非法用户接入。任务3无线安全配置1、开启加密功能和设置密码；[AP]wlan进入WALN视图[AP-wlan-view]security-profilenamewpa2创建安全加密配置文件[AP-wlan-sec-prof-wpa2]securitywpa2pskpass-phrase12345678aes认证协议wpa2，密码为12345678，加密方式为高级加密标准（AdvancedEncryptionStandard,AES）[AP-wlan-vap-prof-wpa2]quit退出[AP-wlan-view]vap-profilenameVAP1进入VAP配置文件[AP-wlan-vap-prof-VAP1]security-profilewpa2配置VAP关联安全加密文件[AP-wlan-vap-prof-VAP1]quit退出任务3无线安全配置2、将无线SSID调整为非广播模式；[AP-wlan-view]ssid-profilenameSSID1进入SSID1配置文件[AP-wlan-ssid-prof-SSID1]ssid-hideenable配置SSID隐藏[AP-wlan-ssid-prof-SSID1]quit退出任务3无线安全配置3、配置全局白名单；[AP-wlan-view]sta-whitelist-profilenamewhitelist创建白名单配置文件[AP-wlan-whitelist-prof-whitelist]sta-mac0C82-680C-E699绑定STA的MAC地址[AP-wlan-whitelist-prof-whitelist]quit退出[AP-wlan-view]vap-profilenameVAP1进入VAP1配置文件[AP-wlan-vap-prof-VAP1]sta-access-modewhitelistwhitelist指定STA连接模式为白名单，选择白名单文件[AP-wlan-vap-prof-VAP1]quit退出任务3无线安全配置任务验证1、在AP上使用displayvapall，查看所有VAP信息，如图所示；[AP]disvapallInfo:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID--------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID--------------------------------------------------------------------------c4b8-b469-32e001C4B8-B469-32E0ONWPA2-PSK0Huaweic4b8-b469-32e011C4B8-B469-32F0ONWPA2-PSK0Huawei--------------------------------------------------------------------------Total:2任务3无线安全配置2、在AP上使用displayssidnameSSID1查看SSID1配置文件信息，如图所示；[AP]disssidnameSSID1-------------------------------------------------------------------ProfileID :2SSID :HuaweiSSIDhide :enableAssociationtimeout(min) :5MaxSTAnumber :64ReachmaxSTASSIDhide :enableLegacystation :enableDTIMinterval :1Beacon2.4Grate(Mbps) :1Beacon