基于园区网络的8021x的认证设计与实现.docx
- 文档编号:26424803
- 上传时间:2023-06-19
- 格式:DOCX
- 页数:26
- 大小:569.83KB
基于园区网络的8021x的认证设计与实现.docx
《基于园区网络的8021x的认证设计与实现.docx》由会员分享,可在线阅读,更多相关《基于园区网络的8021x的认证设计与实现.docx(26页珍藏版)》请在冰豆网上搜索。
基于园区网络的8021x的认证设计与实现
课程名称计算机网络
课题名称基于园区的802.1x认证与实现
专业信息管理与信息系统
班级1001
学号201003110112
姓名杨伟超
指导教师
2012年12月23日
湖南工程学院
课程设计任务书
课程名称计算机网络
课题基于园区的802.1x
认证设计与实现
专业班级信管1001
学生姓名杨伟超
学号201003110112
指导老师
审批
任务书下达日期2012年12月10日
任务完成日期2012年12月23日
1.性质和任务
通过网络实训,培养学生独立思考、综合分析与动手的能力;验证理论和加深对概念的理解,熟练掌握网络安装及调试技术,并能综合运用知识进行网络设计,解决实际问题。
2.设计内容
2.1题目
课题1:
园区网络的设计与实现
通过对园区网络的整体设计,了解和熟悉园区网络的设计理念和方法,并对整个局域网的构成有更深的了解。
一、课题内容:
(1)根据需求分析,设计出园区网络的结构
(2)根据设计的结构,画出网络拓扑结构
(3)学会根据实际情况规划vlan和IP的分配
(4)配制路由器和交换机
(5)完成测试并写出详细报告
二、需求分析:
随着信息时代的到来,园区网络已经成为各单位的必要基础设施,通过单位内部的电脑互联,可为员工内部网上办公提供便捷和效率;通过与Internet的互联,可为员工通过网络与外部进行业务联系并获取互联网上的各种服务。
具体网络需求如下:
(1)一栋3层的办公楼,每层10个网络点
(2)要求采用核心、接入架构。
核心交换机实现冗余热备,并用双链路进行链路绑定(冗余热备用VRRP技术,链路捆绑用Trunk)
(3)接入交换机和核心交换机之间实现链路冗余(利用STP技术)
(4)需要连接Internet(利用NAT技术)
(5)办公楼有3个部门,每个部门单独vlan,并规划好IP地址
(6)终端PC通过DHCP获取IP
(7)部署FTP和DHCP服务器
三、设备提供:
路由器:
HP7102;HP7203
三层交换机:
HP5308
二层交换机:
HP2626
课题2:
基于园区网络的802.1X认证设计与实现
园区网络越来越普及,但是网络中的非法接入会给园区网带来不安全因素。
通过802.1X认证技术,可杜绝网内非法用户。
通过微软操作系统自带的802.1X客户端引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
一、课题内容:
(1)根据提供的拓扑结构,首先实现非认证条件下的终端上网。
(可访问Internet)
(2)规划Vlan和IP地址,通过DHCP使终端自动获取IP地址
(3)了解Radius协议,并部署Radius服务器,使用AD活动目录创建用户
(4)通过AAA方法实现有线和无线终端的802.1X认证
(5)通过使用Wireshark网络封包分析软件分析整个认证过程,并记录
(6)完成测试并写出详细报告
二、拓扑结构:
课题3:
路由协议及防火墙技术的研究与实践
路由协议大致分为动态路由和静态路由两种。
动态路由协议目前园区网应用最广泛的是 RIP和OSPF。
通过路由协议可把不同网络实现互联。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
一、课题内容:
(1)根据拓扑结构,对所有设备进行互联
(2)规划网段及IP地址,实现设备与设备之间的互通
(3)通过RIP和OSPF协议实现各终端之间的互通(如何实现不同路由协议之间的融合)
(4)部署Web服务器,并创建一个简单的网页
(5)在Router2上运用防火墙技术中ACL,实现PC1可ping通Web服务器但不可访问网页,PC2即可ping通也可访问网页。
(6)Router2和Router4之间要运用静态路由技术
(7)查看各路由器的路由表信息,并分析。
(8)完成测试并写出详细报告
二、拓扑结构:
课题4:
服务器应用系统的实践
服务器指一个管理资源并为用户提供服务的计算机软件,通常分为文件服务器、数据库服务器和应用程序服务器。
运行以上软件的计算机或计算机系统也被称为服务器。
一、课题内容:
(1)搭建简单的三层局域网环境
(2)部署Web服务器,并创建简单网页
(3)部署DNS服务器,并对Web服务器做域名解析
(4)部署DHCP服务器,对终端电脑实现动态IP获取
(5)部署FTP服务器,使终端电脑能访问并存储文件
(6)完成测试并写出详细报告
3设计要求:
3.1报告规范
(1)课题内容要求分析
a.内容要求分析;
b.效果要求分析;
c.完整性要求。
(2)操作步骤设计
a.任务由哪些步骤完成,每个步骤之间的关系;
b.画出拓扑图和工作原理图(用计算机绘图);
(3)设计效果设计;
(4)使用说明
用户使用手册:
说明如何使用你设计的系统,详细列出每一步的操作步骤。
(5)书写格式
a.设计报告要求用A4纸打印成册:
b.一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
3.2考核方式
指导老师负责验收课题的设计结果,并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。
具体考核标准包含以下几个部分:
(1)平时出勤(占10%)
(2)设计步骤、设计内容、及总体操作过程合理与否(占10%)
(3)步骤是否正确、内容是否完整及设计效果是否符合要求,个人能否独立、熟练地进行操作(占40%)
(4)设计报告(占30%)
注意:
不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分,同一组的同学,设计报告单独完成,不能雷同。
目录
一.总体概述9
二.实现功能的原理图10
三.主要功能的实现11
1.在活动目录中新建用户11
2.DHCP服务器的配置14
3.Radius服务器的配置15
4.配置访问策略17
四.基于802.1X认证的调试21
五.心得体会22
六.代码(附件)22
七.评分表26
一.总体概述
1)网络安全的描述:
网络迅速发展,使得人们的生活越来越多的依靠网络,这样使得网络安全越来越受到人们的重视。
目前的网络安全措施有数据加密,数字签名,身份认证,防火墙和入侵检测等,通过这些技术,让人们的私人网络免受侵犯。
2)802.1x认证的描述:
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口(accessport)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
3)DHCP:
DHCP的意思就是动态主机配置协议。
在大中型网络中,它可以为每台主机分配一个动态IP地址,该地址在主机使用期间会始终归主机所有,但是一旦释放此地址,那么该地址又会分配给其他主机使用,这样就大大提高了地址的利用率。
4)RADIUS是一种C/S结构的协议,它的客服端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
是目前应用最广泛的AAA协议。
二.实现功能的原理图
图2
三.主要功能的实现
1.在活动目录中新建用户
1)首先创建用户,如图:
图3
2)以“groupX”为姓名来创建用户名,如图:
图4
3)点击“下一步”,将密码统一设置为“521314”,并勾选“密码永不过期”的选项,如图:
图5
4)完成创建后,点击“完成”,如图:
图6
5)为了使后面实验中的基于WEB方式的身份认证,还需要修改用户的帐户属性,选中“使用可逆的加密保存密码”,如图:
图7
2.DHCP服务器的配置
1)在DHCP服务器上建立我们所需要创建的VLAN,如下图为DHCP作用域创建:
图8
2)然后在DHCP安装向导中进行下一步,直到出现IP地址的分配界面,如图进行配置(其他VLAN同理):
图9
3)当DHCP服务器配置完成后,一定要对其进行授权,否则无法提供DHCP服务,在授权后请刷新DHCP服务器,然后即可正常给客户端分发IP地址,如图:
图10
3.Radius服务器的配置
5)创建Radius客户端:
在“开始”->“管理工具”中选择“Internet验证服务”,在创建RADIUS客户前,将IAS注册到域服务器中,如图:
图11
图12
2)点击“新建RADIUS客户端”,弹出如下对话框,按照下面的步骤来创建MSM710的RADIUS客户端。
图13
共享的机密统一使用“procurve”,点击确定完成创建,如图:
图14
用同样的方法为其他的设备创建RADIUS客户端:
图15
4.配置访问策略
1)点击“新建远程访问策略”,将弹出如下对话框,按照下面的步骤来创建Authencation的远程访问策略。
图16
2)选择设置自定义策略,策略名填入“Authencaction”,单击下一步。
图17
3)添加属性,选择“Authencation-Type”,单击添加。
图18
4)然后选择“EAP”协议,点击确定即可。
图19
5)完成后示意图如下,单击下一步继续。
图20
6)选择授予远程访问权限,单击下一步。
图21
7)单击编辑配置文件,弹出如下对话框:
图22
8)在“身份验证”选项中,单击EAP方法,选择受保护的EAP,单击确定,然后点击编辑。
图23
9)检查是否有证书,有则单击“确定”进入下一步,若没有则需要重新启动计算机,然后进行检查。
完成后点击“确定”,然后按照向导完成操作。
图24
四.基于802.1X认证的调试
打开提示的网络连接,输入用户名和密码,如图:
图25
输入登陆凭据后确定,如果认证成功将显示已连接上,否则将显示身份认证失败。
如果失败,请认真检查配置,并查看RADIUS服务器的事件查看器。
经过身份认证后,该PC得到了IP地址,说明验证成功。
五.心得体会
本次网络课程设计让我有一种获益良多的感觉。
当开始拿到这个题目时,真的让我无从下手,因为我们的题目跟其他组的不一样,他们基本上能连通就成功了一大半,可以说他们的任务就是我们的一部分。
但是没办法,再难也得向前冲啊。
第一天我主要就是搜集资料,在网上找,在图书馆也找,最后终于有了比较清晰的理论步骤。
于是,更大的挑战来临了。
首先,我们必须要建立DHCP和Radius服务器,让其能跟CP机连通,从而完成IP的动态分配以及认证。
实验是困难的,不仅课题困难,而且网络中心的硬件设施也有些问题,所以我们迟迟不能连通。
最后还是请教了老师,千辛万苦地终于连通了,此时我们还要继续完成接下来的任务。
我们组不断的摸索,将我们的网络结构构建完成,将网络之间的配置策略设置完成,经过前后几次的实验,终于成功了。
我们的课题基本上算完成了,可能仍然有些问题我们没有解决,但是看着自己的成果也确实让自己有些兴奋。
网络的配置对我们来说有点难,但是很实用,今后我会努力地再去学习。
六.代码(附件)
1.2626A配置
HP2626A>enable
HP2626A#configterminal
HP2626A(config)#vlan1
HP2626A(vlan-1)#untagged1-26
HP2626A(vlan-1)#ipaddress169.254.209.38255.255.255.0
HP2626A(vlan-1)#iphelper-address169.254.209.5
HP2626B(vlan-1)#exit
HP2626B(config)#vlan2
HP2626B(vlan-2)#tagged25
HP2626B(vlan-2)#exit
HP2626B(config)#vlan3
HP2626B(vlan-3)#tagged25
HP2626B(vlan-3)#exit
2.2626B配置
HP2626B>enable
HP2626B#configterminal
HP2626B(config)#vlan1
HP2626B(vlan-1)#untagged5-26
HP2626B(vlan-1)#ipaddress169.254.209.38255.255.255.0
HP2626B(vlan-1)#iphelper-address169.254.209.5
HP2626B(vlan-1)#nountagged1-4
HP2626B(vlan-1)#exit
HP2626B(config)#vlan2
HP2626B(vlan-2)#untagged1-2
HP2626B(vlan-2)#ipaddress10.1.10.2255.255.255.0
HP2626B(vlan-2)#iphelper-address169.254.209.5
HP2626B(vlan-2)#tagged25
HP2626B(vlan-2)#exit
HP2626B(config)#vlan3
HP2626B(vlan-3)#untagged3-4
HP2626B(vlan-3)#ipaddress10.1.20.2255.255.255.0
HP2626B(vlan-3)#iphelper-address169.254.209.5
HP2626B(vlan-3)#tagged25
HP2626B(vlan-3)#exit
3.5308配置
HP5308>enable
HP5308#configterminal
HP5308(config)#vlan1
HP5308(vlan-1)#untaggedB1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24
HP5308(vlan-1)#ipaddress169.254.209.38255.255.255.0
HP5308(vlan-1)#taggedB2,C1,C4
HP5308(vlan-1)#exit
HP5308(config)#vlan2
HP5308(vlan-2)#ipaddress10.1.10.1255.255.255.0
HP5308(vlan-2)#iphelper-address169.254.209.5
HP5308(vlan-2)#taggedB1,C1-C4
HP5308(vlan-2)#exit
HP5308(config)#vlan3
HP5308(vlan-3)#ipaddress10.1.20.1255.255.255.0
HP5308(vlan-3)#iphelper-address169.254.209.5
HP5308(vlan-3)#taggedB1,B4,C1-C4
HP5308(vlan-3)#exit
HP5308(config)#ipauthorized-managers169.254.209.5255.255.255.0
HP5308(config)#iproute0.0.0.00.0.0.0169.254.209.38
HP5308(config)#vlan4
HP5308(config)#ipaddress192.168.0.1255.255.255.0
HP5308(config)#iphelper-address169.254.209.5
HP5308(config)#taggedB1,C1,C3
HP5308(config)#exit
HP5308#end
4.7102配置
HP7102>enable
HP7102#configteeminal
HP7102(config)#noenablepassword
HP7102(config)#ipclassless
HP7102(config)#iprouting
HP7102(config)#nologgingforwarding
HP7102(config)#noservicepassword-encryption
HP7102(config)#ipfirewall
HP7102(config)#noipfirewallalgmsn
HP7102(config)#noipfirewallalgmszone
HP7102(config)#noipfirewallalgh323
HP7102(config)#noautosynch-mode
HP7102(config)#nosafe-mode
HP7102(config)#interfaceeth0/1
HP7102(config-if)#ipaddress169.254.209.233255.255.255.0
HP7102(config-if)#access-policynatinside
HP7102(config-if)#noshutdown
HP7102(config-if)#exit
HP7102(config)#interfaceeth0/2
HP7102(config-if)#ipaddress59.71.15.100255.255.255.128
HP7102(config-if)#noshutdown
HP7102(config-if)#exit
HP7102(config)#interfacee11/1
HP7102(config-if)#shutdown
HP7102(config)#exit
HP7102(config)#ipaccess-liststandardinsidepermitany
HP7102(config)#ippolicy-classnatinsidenatsourcelistinsideaddress59.71.15.100overload
HP7102(config)#iproute0.0.0.00.0.0.059.71.15.1
HP7102(config)#iproute10.1.0.0255.255.0.0169.254.209.38
HP7102(config)#iproute172.16.0.0255.255.0.0169.254.209.38
HP7102(config)#noiptftpserver
HP7102(config)#noiptftpserveroverwrite
HP7102(config)#noiphttpserver
HP7102(config)#noiphttpsecure-server
HP7102(config)#noipsnmpagent
HP7102(config)#noipftpserver
HP7102(config)#ipftpserverdefault-filesystemflash
HP7102(config)#noipscpserver
HP7102(config)#noipsntpserver
HP7102(config)#end
七.评分表
计算机与通信学院课程设计评分表
课程名称:
计算机网络
项目
评价
设计方案的合理性与创造性
设计与调试结果
设计说明书的质量
答辩陈述与回答问题情况
课程设计周表现情况
综合成绩
教师签名:
日期:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 网络 8021 认证 设计 实现