计算机网络交换机实验.docx
- 文档编号:6679959
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:31
- 大小:1.63MB
计算机网络交换机实验.docx
《计算机网络交换机实验.docx》由会员分享,可在线阅读,更多相关《计算机网络交换机实验.docx(31页珍藏版)》请在冰豆网上搜索。
计算机网络交换机实验
课程设计报告
课程名称计算机网络
课题名称基于园区网络的802.1x认证设计与实现
专业
班级
学号
姓名
指导教师
2012年12月8日
湖南工程学院
课程设计任务书
课程名称计算机网络
课题基于园区网络的
802.1x认证设计与实现
专业班级
学生姓名
学号
指导老师
审批
任务书下达日期2012年12月8日
任务完成日期2012年12月23日
1.课程设计的性质和任务
通过课程设计,培养学生独立思考、综合分析与动手的能力;验证理论和加深对概念的理解,熟练掌握网络安装及调试技术,并能综合运用知识进行网络设计,解决实际问题。
2.设计内容
2.1课程设计题目
课题2:
基于园区网络的802.1x认证设计与实现
园区网络越来越普及,但是网络中的非法接入会给园区网带来不安全因素。
通过802.1X认证技术,可杜绝网内非法用户。
802.1X认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
一、课题内容:
(1)根据提供的拓扑结构,首先实现非认证条件下的终端上网。
(可访问Internet)
(2)规划Vlan和IP地址,通过DHCP使终端自动获取IP地址
(3)了解Radius协议,并部署Radius服务器,使用AD活动目录创建用户
(4)通过AAA方法实现有线和无线终端的802.1x认证
(5)通过使用Wireshark网络封包分析软件分析整个认证过程,并记录
(6)完成测试并写出详细课设报告
二、拓扑结构:
3设计要求:
3.1课程设计报告规范
(1)课题内容要求分析
a.内容要求分析;
b.效果要求分析;
c.完整性要求。
(2)操作步骤设计
a.任务由哪些步骤完成,每个步骤之间的关系;
b.画出拓扑图和工作原理图(用计算机绘图);
(3)设计效果设计;
(4)使用说明
用户使用手册:
说明如何使用你设计的系统,详细列出每一步的操作步骤。
(5)书写格式
a.设计报告要求用A4纸打印成册:
b.一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
3.2考核方式
指导老师负责验收课题的设计结果,并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。
具体考核标准包含以下几个部分:
(1)平时出勤(占10%)
(2)设计步骤、设计内容、及总体操作过程合理与否(占10%)
(3)步骤是否正确、内容是否完整及设计效果是否符合要求,个人能否独立、熟练地进行操作(占40%)
(4)设计报告(占30%)
注意:
不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分,同一组的同学,设计报告单独完成,不能雷同。
3.3课程验收要求
(1)完整操作所设计的内容。
(2)回答有关问题。
(3)提交课程设计报告。
(5)依操作的熟练程度、内容的创新程度,内容的完善情况打分。
上机安排
时间
8:
00-12:
00
15:
00—18:
00
18:
00-22:
00
12月11日
信管1001
信管1001
12月12日
信管1001
信管1001
12月18日
信管1002
信管1002
12月19日
信管1002
信管1002
1.总体概述和拓扑结构
1.1总体概述
WEB认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
同时WEB认证接入服务器端对用户的时长流量等计费信息进行采集,可以对用户进行计费,适应各种资费策略。
用户认证通过后会弹出一个计时小窗口,供用户观察上网时长,计时小窗口自带注销按钮供用户下网时注销。
WEB认证的页面可以根据用户的需要进行定制,运营商可以定制自己的名字、Logo以及各种通告信息等,方便运营商的运营。
WEB认证接入技术组网方式灵活,客户维护成本低,适应各种资费策略,当它工作在二层时可以实现用户名、IP地址和Mac地址的绑定,非常方便运营商的运营。
NAT:
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
DHCP:
(动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
Radius:
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
是目前应用最广泛的AAA协议。
1.2拓扑图
图1.1总体拓扑图设计
1、DHCP服务器和Radius服务器在VLAN1里面,也就是2626A的1-2端口,2626A的25号端口连接在三层交换机5308的B1端口连接。
2、PC2连接在2626B的3-4号端口上,划分为VLAN4里面,pc3连接在2626B的1-2号端口上面,此两个端口划分在VLAN4里面。
2626B的25号端口连接在5308的C4端口上。
3、无线AP420连接在三层交换机5308的C2端口上面。
4、7102路由器连接在5308的B3端口上面。
5、在5308上分别在每个VLAN里面定义中继端口:
B1,B3,C2,C4。
6、分别设定每个VLAN的IP地址,在eth0/2,eth0/1设置内外网的IP地址,是的能够连通外网。
2.准备过程
2.1CA证书的导入与活动目录创建用户
2.1.1CA安装过程
首先选定证书服务,如下所示:
图2.1选定证书服务
在C盘内的根目录下选定证书的文件,单击右键,选择“安装证书”子菜单
图2.2安装证书
选择证书存储的类型
图2.3存储证书
2.1.2用户新建过程
1、在开始的菜单下点击“管理工具”,然后点击“ActiveDirectory用户和计算机”
图2.4新建用户
2、在活动目录中创建student这个全局组,为student创建五个用户stu1,stu2,stu3,stu4,stu5,创建过程如下图所示
图2.5创建组
图2.6创建组名
图2.7创建用户
图2.8创建用户名
图2.9密码认证
为了实验的方便性,密码统一设置为“procurve”,选中“密码永不过期”选项。
3、点击完成,完成创建。
为了使后面实验中的基于WEB方式的身份认证,我们还需要修改用户的帐户属性,如下图所示,选中“使用可逆的加密保存密码”。
图2.10修改账户属性
4、将用户添加到对应的组
图2.11添加到对应组
选择添加到组“菜单”,弹出如下对话框:
图2.12选择添加到组
在“输入要选择的对象名称”中输入组名称,单击检查名称按钮进行检查,当组名称下出现下划线后,单击确定完成关联。
同理,完成其他用户组与用户的联系。
2.2DHCP服务器的配置
2.2.1配置过程
1.我们需要在DHCP服务器上建立VLAN1,VLAN3.VLAN4三个作用域。
VLAN1:
172.16.9.10——172.16.9.250255.255.255.0
VLAN3:
10.1.10.50——10.1.10.150255.255.255.0
VLAN4:
10.1.20.2——10.1.20.20255.255.255.0
如下图所示:
这是在DHCP中子目录hp-urbnnwecO下建好的三个作用域,是最终配置好的界面
图2.13建好作用域
按照下面的图示来完成DHCP服务器的配置:
(以一个VLAN为例,剩下的同理)
下图2.14是对一个VLAN的IP地址的范围的划分和子网掩码长度的设定:
图2.14ip地址的设定
下图2.15中,这个地址是该作用域的路由器IP地址,在前面就必须要设置,不然完成不了下面连接外网的功能。
图2.15设置路由ip
使用类似的办法在DHCP服务器中创建VLAN1,VLAN3,VLAN4这三个作用域。
2.3Radius服务器的配置
2.3.1创建Radius客户端
下面我们开始创建RADIUS客户端的,在“开始”->“管理工具”中选择“Internet验证服务”。
在创建RADIUS客户前,将IAS注册到域服务器中。
图2.16注册域服务器
按下面的步骤来创建RADIUS客户端
图2.17新建客户端
点击“新建RADIUS客户端”,弹出如下对话框,按照下面的步骤来创建2626B的RADIUS客户端。
新建客户端名称与ip地址:
图2.18客户端的ip设定
客户端共享机密密码:
统一使用“procurve”,点击确定完成创建,用同样的方法为其他的设备创建RADIUS客户端,如下图所示:
图2.19设置密码
最后配置完成的2626B和530的客户端,如下所示:
图2.20完成配置
2.3.2配置访问策略
点击“新建远程访问策略”,将弹出如下对话框,按照下面的步骤来创建student的远程访问策略。
图2.21新建远程访问
进入向导:
图2.22进入向导
选择设置自定义策略,策略名填入“student”,单击下一步:
图2.23设置自定义策略
添加属性,选择“Authencation-Type”,单击添加:
图2.24添加属性
然后选择“EAP”协议,点击确定即可:
图2.25选择“EAP”协议
选择授予远程访问权限,单击下一步:
图2.26授予远程访问
单击编辑配置文件,弹出如下对话框:
图2.27配置文件
在“身份验证”选项中,单击EAP方法,弹出如下对话框:
图2.28身份验证
选择受保护的EAP,单击确定,然后再单击编辑:
图2.29受保护的EAP
检查是否有证书,有则单击“确定“进入下一步,若没有则需要重新启动计算机,然后进行检查。
完成后点击“确定”,然后按照向导完成操作。
在高级选项中添加“Tunnel—Type”、“Tunnel—Mediu—Type”和“Tunnel—Pvt—Group—ID”三个属性,
最后,如果需要的话,可以启用计费策略。
如下图选中远程访问记录:
图2.30计费策略
双击本地文件,将出现如下对话框:
图2.31本地文件
3.无验证动态分配IP地址的实现
3.12626A配置
代码如下:
enable
configure
Runningconfiguration:
;J4900BConfigurationEditor;Createdonrelease#H.10.83
hostname"2626A"
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untagged1-26
ipaddress172.16.9.253255.255.255.0
iphelper-address172.16.9.5
exit
vlan3
name"VLAN3"
tagged25
exit
vlan4
name"VLAN4"
tagged25
exit
3.25308配置
代码如下
Runningconfiguration:
;J4819AConfigurationEditor;Createdonrelease#E.11.03
hostname"ProCurveSwitch5308xl"
module2typeJ4821B
module5typeJ4820B
module3typeJ8161A
module4typeJ8161A
interfaceC1
nolacp
exit
iprouting
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untaggedB1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24
ipaddress172.16.9.254255.255.255.0
taggedB2,C1,C4
exit
vlan2
name"VLAN2"
ipaddress192.168.0.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1,C3
exit
vlan3
name"VLAN3"
ipaddress10.1.10.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1-C4
exit
vlan4
name"VLAN4"
ipaddress10.1.20.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,B4,C1-C4
exit
ipauthorized-managers172.16.9.5255.255.255.0
iproute0.0.0.00.0.0.0172.16.9.10
3.32626B配置
代码如下
enable
configure
vlan1
name"DEFAULT_VLAN"
untagged5-26
ipaddress172.16.9.20255.255.255.0
iphelper-address172.16.9.5
nountagged1-4
exit
vlan3
name"VLAN3"
untagged1-2
ipaddress10.1.10.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
vlan4
name"VLAN4"
untagged3-4
ipaddress10.1.20.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
3.4实现结果
把PC3连入2626B的端口1—4都可行,比如接入到端口3—4时分配的是vlan4的地址,如下图所示:
图3.1NO.2客户机分配到的地址
4.AAA方法实现有线的Web认证
4.1实现代码
首先在2626B输入如下的代码:
aaaauthenticationport-accesseap-radius
radius-serverhost172.16.9.5keyprocurve
aaaport-accessauthenticatoractive
aaaport-access5-6
aaaport-accessweb-based5-6
aaaport-accessweb-based5unauth-vid4
aaaport-accessweb-based6unauth-vid4
aaaport-accessauthenticatoractive
4.2实现结果
认证前的IP地址,是原本VLAN4内的地址,如下图:
图4.1认证ip地址
插到认证端口时,交换机会自动分配一个私有IP地址给客户机,如下图:
图4.2分配ip
认证WEB界面,输入用户名和密钥,如下图所示:
图4.3认证web
认证通过后,radius服务器自动分配一个VLAN3的IP地址给该客户机,如下图所示:
图4.4分配ip
在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。
图4.5查看认证情况
5.路由器7102的配置
5.1实现代码
Buildingconfiguration...
ProCurveSecureRouter7102dlSROSversionJ14.04
BootROMversionJ06.06
Platform:
ProCurveSecureRouter7102dl,partnumberJ8752A
SerialnumberUS520UA100
Flash:
33554432bytesDRAM:
134217727bytes
Date/Time:
ThuMar022000,07:
10:
37GMT+05:
45
hostname"ProCurveSR7102dl"
noenablepassword
clocktimezone+5:
45
ipsubnet-zero
ipclassless
iprouting
event-historyon
nologgingforwarding
nologgingemail
noservicepassword-encryption
ipfirewall
noipfirewallalgmsn
noipfirewallalgmszone
noipfirewallalgh323
noautosynch-mode
nosafe-mode
interfaceeth0/1
ipaddress172.16.9.10255.255.255.0
access-policyNATinside
noshutdown
interfaceeth0/2
ipaddress59.71.15.100255.255.255.128
noshutdown
interfacee11/1
shutdown
ipaccess-liststandardinside
permitany
ippolicy-classNATinside
natsourcelistinsideaddress59.71.15.100overload
iproute0.0.0.00.0.0.059.71.15.1
iproute10.1.0.0255.255.0.0172.16.9.254
iproute172.16.0.0255.255.0.0172.16.9.254
noiptftpserver
noiptftpserveroverwrite
noiphttpserver
noiphttpsecure-server
noipsnmpagent
noipftpserver
ipftpserverdefault-filesystemflash
noipscpserver
noipsntpserver
nosnmp-serverenabletraps
ipsip
noipsipproxytransparent
ipsip
noipsipproxytransparent
linecon0
nologin
linetelnet04
login
noshutdown
linessh04
loginlocal-userlist
noshutdownEnd
5.2连接外网
在此处外网的连接IP为59.71.15.100。
我们在客户机的命令界面ping59.71.15.100
图5.1ping通外网
图示已经Ping通了外网,所以此台客户机已经能够访问外网了。
在内网中,三个VLAN里面的客户机都能互相的平通对方,如下图所示:
图5.2ping10.1.10.1
图5.3ping172.16.9.10
图5.4ping10.1.20.1
6.心得体会
7.附录
7.1参考文献
【1】网络接入控制与免疫(实验室资料)
【2】HP交换机基本命令配置(网络资料)
【3】WEB认证技术白皮书(网络资料)
【4】Wireshark使用教程wireshark抓包教程(网络资料)
【5】Radius认证服务器的配置与应用(网络资料)
【6】
8.计算机与通信学院课程设计评分表
课程名称:
计算机网络
项目
评价
设计方案的合理性与创造性
设计与调试结果
设计说明书的质量
答辩陈述与回答问题情况
课程设计周表现情况
综合成绩
教师签名:
日期:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 交换机 实验