270 likes | 428 Views
IEEE802.11 无线局域网组网. 6. 无线局域网的安全措施. 在现有安全措施中,主要从两个方面进行考虑: 对接入的用户进行认证 对传输的数据进行加密。 相应地,在配置无线网络时,需要考虑两方面的问题: 采用什么样的验证方式 使用什么加密算法和使用多少位的密钥长度. 目前无线局域网的主要安全措施. ( 1 )服务集标识( Service Set Identifier , SSID ) ( 2 )有线对等保密( Wired Equivalent Privacy , WEP )
E N D
6. 无线局域网的安全措施 • 在现有安全措施中,主要从两个方面进行考虑: • 对接入的用户进行认证 • 对传输的数据进行加密。 • 相应地,在配置无线网络时,需要考虑两方面的问题: • 采用什么样的验证方式 • 使用什么加密算法和使用多少位的密钥长度
目前无线局域网的主要安全措施 (1)服务集标识(Service Set Identifier,SSID) (2)有线对等保密(Wired Equivalent Privacy,WEP) (3)Wi-Fi保护接入(Wi-Fi Protected Access, WPA),含 WPA 和 WPA2
SSID • SSID用来标识不同的服务集(基本服务集或扩展服务集),无线工作站要与某个AP建立连接时,必须出示正确的SSID。 • 如果区域内有多个无线AP,通过在每个AP上设置不同的SSID,就可以控制不同的用户组接入,并对访问资源的权限进行区别限制。因此,可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么就仅仅能够起到标识的作用。
WEP • WEP是在链路层采用RC4的对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源 • 缺陷: • 一个服务区内的所有用户只能共享同一个密钥; • 秘钥是静态的,要手工维护,扩展能力差。
WEP密钥机制 • 主要两种密钥长度:64位(40位)和128位(104位) 但不管使用哪种密钥长度,其中24位的初始化向量都由系统生成,即用户设定值要减去24位。 • 两种输入方式: • 十六进制数 • ASCII字符 • 举例: • 40位:10个十六进制数或5个ASCII字符 • 104位:26个十六进制数或13个ASCII字符
WPA • WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。 • 其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥,然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。 • 追加了防止数据中途被篡改的数据完整性校验功能和认证功能。
WPA的不同版本与加密方式 • WPA的两个版本 • WPA • WPA2(802.11i),有些设备还不支持 • WPA支持两种认证方式 • 802.1x+EPA(企业用) • Pre-shared Key(WPA-PSK,个人用) • PSK密码长度:8-63个ASCII字符 • WPA支持两种加密类型: • AES • TKIP
实验9 IEEE 802.11无线局域网组网 实 验 目 的 • 进一步理解IEEE 802.11无线局域网的相关概念 • 掌握WLAN的两种组网模式:基础设施模式(Infrastructure Mode)和自组织模式(Ad-Hoc Mode) • 了解无线接入点(AP)的安装与配置方法 • 掌握在Windows XP系统上配置无线工作站的方法,了解用无线网络适配器厂家提供的工具配置无线网络的方法。
实验9 IEEE 802.11无线局域网组网 实 验 内 容 1.Infrastructure模式组网:通过一台AP将若干台无线工作站联通,并接入有线以太网。具体包括: (1)无线接入点(AP)的安装与配置; (2)通过AP组建WLAN时无线工作站的配置。 2.Ad-Hoc模式组网:在没有AP的情况下,将两台无线工作站点对点联通。 3.利用无线网卡光盘自带的管理和配置工具配置无线网络(选作)。
1.无线AP的安装与配置 (1)认识Cisco Aironet 1130AG无线AP
1.无线AP的安装与配置 (2) 连接电源和设备 • 有两种获得电力的方式: • 随设备提供的交流电源适配器 • 以太网线供电器 • Cisco Aironet 1130AG的配置方式 • Console • Telnet • HTTP • SNMP
1.无线AP的安装与配置 (3)初始配置——为AP配置IP地址 • BVI是桥接虚拟接口(Bridge Virtual Interface,BVI)的意思,是由AP自动生成的,AP的IP地址必须配置给该虚拟接口,其目的是使得有线以太网接口和无线接口都能使用同一个IP地址 将AP的IP地址配置为实验室联网实际可用的IP,如:10.0.9.200
初始密码:Cisco 1.无线AP的安装与配置 (4)用浏览器访问AP的配置页面 • 将计算机通过以太网方式和AP联通,硬件连接有两种方式: • 用一条交叉双绞线跳线直接将计算机和AP的以太网端口连接起来; • 计算机和AP都用平行线连接到交换机上。本实验采用这一种,并连接到实验室的公共交换机上,以便学生机访问 • 连接好后,将计算机的IP地址设置为与AP的IP地址在同一个IP子网。
1.无线AP的安装与配置 (5)查看(修改)AP的基本设置 (6)配置AP的无线安全参数 (7)激活AP的无线端口 (演示)
天线 Power 指示灯 指示灯 Link USB 线缆接口 2.无线工作站的配置与使用 (1)认识LinkSys USB无线网络适配器
2.无线工作站的配置与使用 (2)安装无线网络适配器及驱动程序 • 用随设备的USB电缆将无线网络适配器和计算机连接起来(如果使用上面配置AP时用的同一台计算机,请同时断开其以太网连接)。 (3)设置无线网络连接的IP参数 • 与有线以太网连接的设置方法相同 • 注意:无线网络连接的IP地址要与AP在同一个子网内。
2.无线工作站的配置与使用 (4)查看无线网络连接
2.无线工作站的配置与使用 (5)连接无线网络
3.组建Ad-Hoc无线网络 • 需要为每一台计算机上的无线网络连接设置IP参数,并注意IP地址要在同一个IP网络内。 • 在每一台计算机上手动添加“首选网络”,并使用相同的SSID和无线网络密钥
4.在Windows 2000上使用Linksys USB无线网络适配器的配置工具(选作)
基本实验 • 按照下图构建实验拓扑(注意为笔记本添加无线网卡),并配置计算机的IP地址和子网掩码(自行设计),测试连通性; • 修改AP的SSID和认证方式及密码,测试三台计算机之间的连通性。通吗?为什么? • 修改笔记本上的无线参数与AP一致,再次测试连通性。
实验拓展 • 将AP换成无线宽带路由器,如下图所示,并将无线宽带路由器的Internet口与交换机相连,重复上述过程,发现有什么不同?要想使PC机和两台笔记本相同,IP地址必须怎样设置?为什么?