《电子科技大学通信学院综合课程设计实验报告》由会员分享,可在线阅读,更多相关《电子科技大学通信学院综合课程设计实验报告(14页珍藏版)》请在金锄头文库上搜索。
1、综合课程设计实验报告 校园网安全接入专题设计 组员:组员:2701201026 陈欢陈欢 2701201027 魏振海魏振海 2701201028 刘向可刘向可 2701201027 胡金亮胡金亮 2701201009 赵毅龙赵毅龙 2701201010 冷树微冷树微 2701201011 陈哲陈哲 2701201012 杨彬杨彬 2701201031 彭亮彭亮 指导教师:杨宁指导教师:杨宁 一实验室名称:一实验室名称:科研楼 B119 网络工程实验室 二二实验项目名称:实验项目名称:校园网安全接入专题设计 三三实验原理:实验原理: 1.1.802.1x802.1x 认证认证 802.1x 协
2、议是基于 Client/Server 的访问控制和认证协议。它可以限制未经授权的用户/ 设备通过接入端口(access port)访问 LAN/WLAN。在获得交换机或 LAN 提供的各种业务之 前,802.1x 对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x 只允许 EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正 常的数据可以顺利地通过以太网端口。 以太网的每个物理端口被分为受控和不受控的两个逻辑端口, 物理端口收到的每个帧都 被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认证信 息。而受控端口的联通或
3、断开是由该端口的授权状态决定的。认证者的 PAE 根据认证服务 器认证过程的结果,控制“受控端口“的授权/未授权状态。处在未授权状态的控制端口将拒 绝用户/设备的访问。 2.2.VPNVPN (1)站点到站点 VPN(IPSEC) 让站点能够通过公共基础设施(如 Internet)访问内联网或者外联网。办事处、分支机 构和供应商应使用站点到站点 VPN。在站点到站点 VPN 中,主机通过 VPN 网关收发 TCP/IP 数据流, 该网关可以是路由器等设备。VPN 网关负责对来自特定站点的所有数据流进行封装 和加密,然后通过穿越 Internet 的 VPN 隧道将其发送到目标站点的对等 VPN
4、 网关。收到数 据后, 对等 VPN 网关剥除报头, 将内容解密, 然后将分组转发到其私有网络中的目标主机。 “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以 确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。IPSec 是安全联网的长期方向。 它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中, 只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。 IPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性。考虑 认为 IP 地址本身没有必要具有标识
5、, 但 IP 地址后面的系统必须有一个通过身份验证程序 验证过的标识。 只有发送和接收的计算机需要知道通讯是安全的。 每台计算机都假定进行通 讯的媒体不安全, 因此在各自的终端上实施安全设置。 除非两台计算机之间正在进行防火墙 类型的数据包筛选或网络地址转换, 否则仅从源向目标路由数据的计算机不要求支持 IPSec。 (2)远程接入 VPN(PPTP) 移动用户和远程工作人员广泛使用远程接入 VPN。在远程接入 VPN 中,每台主机通常 都安装有 VPN 客户端软件,只要主机发送数据流,VPN 客户端软件便将其封装和加密,然 后通过 Internet 将其发送到目标网络边缘处的 VPN 网关。
6、 收到数据后, VPN 网关像处理来自 站点到站点 VPN 的数据那样对其进行处理。 点对点隧道协议 (PPTP) 是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。 通过该协议,远程用户能够通过 Microsoft Windows NT 工作站、Windows xp 、 Windows 2000 和 windows2003 操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨 号连入本地 ISP,通过 Internet 安全链接到公司网络。 PPTP 协议假定在 PPTP 客户机和 PPTP 服务器之间有连通并且可用的 IP 网络。因此如 果 PPTP 客户机本身已经是 IP
7、网络的组成部分,那么即可通过该 IP 网络与 PPTP 服务器取 得连接;而如果 PPTP 客户机尚未连入网络,譬如在 Internet 拨号用户的情形下,PPTP 客户 机必须首先拨打NAS以建立IP连接。 这里所说的PPTP客户机也就是使用PPTP协议的VPN 客户机,而 PPTP 服务器亦即使用 PPTP 协议的 VPN 服务器。 3.3.DHCPDHCP DHCP 是为提供静态和动态地址分配的动态主机配置协议, 分配可以是人工的或自动的。 它有两个数据库:一个是静态地把物理地址绑定到 IP 地址,另一个是 IP 地址池,用于临时 指派,使 DHCP 成为动态的,例如当一个 DHCP 客
8、户请求临时的 IP 地址时,DHCP 服务器就 查找可用(未使用)IP 地址池,然后指派在可以协商的期间内有效的 IP 地址。 DHCP服务器把IP地址的租用发给客户, 让客户可用使用特定的时间。 当租用时间到了, 客户或者停止使用这个 IP 地址,或者跟新租用。 DHCP 分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定 数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则 会使用从服务器分配下来的 IP 环境数据。 DHCP 客户机与 DHCP 服务器在同一个物理网段,则客户机可以正确地获得动态分配的 ip 地址。如果不在同一个物理网段,
9、则需要 DCHP 中继代理。用 DHCP Relay 代理可以去掉在 每个物理的网段都要有 DHCP 服务器的必要,它可以传递消息到不在同一个物理子网的 DHCP 服务器,也可以将服务器的消息传回给不在同一个物理子网的 DHCP 客户机。 4.4.NATNAT 技术技术 NAT:IP Network Address Translator 网络地址转换,属接入广域网(WAN)技术, 是一种将私有(保留)地址转化为公有(合法)IP地址的转换技术,它被广泛应用于各种类 型 Internet 接入方式和各种类型的网络中。NAT 不仅完美地解决了 lP 地址不足的问 题,而且还能够有效地避免来自网络外部
10、的攻击,隐藏并保护网络内部的计算机。 基本网络地址转换(Basic NAT)是一种将一组 IP 地址映射到另一组 IP 地址 的技术,这对终端用户来说是透明的。网络地址端口转换(NAPT)是一种将群体网 络地址及其对应 TCP/UDP 端口翻译成单个网络地址及其对应 TCP/UDP 端口的 方法。这两种操作,即传统 NAT 提供了一种机制,将只有私有地址的内部领域连接 到有全球唯一注册地址的外部领域。 NAT 的实现方式有三种,即静态转换 Static Nat、动态转换 Dynamic Nat 和 端口多路复用 OverLoad。 静态转换是指将内部网络的私有 IP 地址转换为公有 IP 地址
11、, IP 地址对是一对一 的,是一成不变的,某个私有 IP 地址只转换为某个公有 IP 地址。借助于静态转换, 可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有 IP 地址转换为公用 IP 地址时, IP 地址是不确定 的,是随机的,所有被授权访问上 Internet 的私有 IP 地址可随机转换为任何指定的 合法 IP 地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地 址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。 当 ISP 提供的合法 IP 地址略少于网络内部的计算机数量时。可以采用动态转换的方 式。
12、 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进 行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方 式。内部网络的所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问,从 而可以最大限度地节约 IP 地址资源。同时,又可隐藏网络内部的所有主机,有效避 免来自 internet 的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 四四实验目的实验目的: 使用 802.1x 技术实现对校内用户的安全接入控制,使用 IPsec VPN 技术安全接入校外用户 五五
13、实验内容:实验内容: 1 1、网络拓扑需求、网络拓扑需求 校园网覆盖学校的办公区(A 楼)、教学区(B1、B2 楼)和学生宿舍区(C1、C2、 C3 楼),网络中心位于 D 楼中。由于覆盖范围不大,因此该校园网采用单核心结构,核 心设备为 1 台三层交换机。 办公区和教学区用户的接入交换机经 1 台三层交换机汇聚后接 入核心交换机, 学生宿舍区用户的接入交换机直接接入核心交换机, 网络中心的服务器和网 管机直接接入核心交换机。整个校园网通过核心交换机连接的 1 台支持 NAT 与 VPN 的 远程接入路由器接入 Internet。 2 2、IP IP 编址需求编址需求 考虑到今后的扩充需求和建
14、设成本, 学校仅为远程接入路由器的 Internet 连接接口申 请了 1 个公网 IP 地址 100.100.0.5/30, 校园网内部采用 B 类私有 IP 地址进行 IP 子网划 分,然后通过 NAT 技术访问 Internet。为方便校内 IP 地址的管理与使用,所有校内上网 PC 机的 IP 地址均通过三层核心交换机的 DHCP 服务动态分配。 3 3、802.1x 802.1x 接入认证需求接入认证需求 因为办公区和教学区的用户接入交换机不支持 802.1x,但作为接入汇聚的三层交换机 S3760-24 支持 802.1x,因此这两个区域的用户接入采用基于端口的多用户认证方式,即当
15、 某一端口下有一个用户认证通过, 此端口就成为授权端口, 所有接在该端口下的用户都能接 入网络。为方便管理,学生宿舍区的用户接入交换机 S2328G 支持 802.1x,该区域的用户接 入采用基于端口的单用户认证方式, 即该端口只允许单一用户认证通过。 网络中心因为校园 网的运维管理需求,故对其用户接入不进行 802.1x 认证 4 4、VPN VPN 接入需求接入需求 考虑校内某些服务资源的安全性,因此学校师生在校外需要通过 IPsec VPN 安全访问校 内服务资源,共有两种 VPN 接入方式:站点到站点 VPN远程接入 VPN,其中站点到站点 VPN 是使用 IPsec 方式,而远程接入
16、 VPN 由于设备限制使用的是 PPTP 方式 六六实验器材实验器材(设备,元器件)(设备,元器件) PC 机 8 台,思科 WS-C2912 二层交换机 1 台,锐捷 S2328G 二层 交换机1台, 锐捷S3760-24三层交换机2台, 锐捷RSR20-24,RSR20-14 路由器各一台,思科 2621 路由器 1 台,双绞线若干 注: 在配置注: 在配置 802.1x802.1x 认证时发现原来使用的认证时发现原来使用的 WSWS- -C2912C2912 交换机似乎交换机似乎 无法透传无法透传 802.1x802.1x 认证帧,所以我们将认证帧,所以我们将 WSWS- -C2912C2912 换成了换成了 S2328GS2328G 来做来做 802.1x802.1x 认证的那一部分实验。认证的那一部分实验。 七七实验步骤实验步骤 1.1.拓扑连接拓扑连接 按照拓扑图的要求将对应设备与线缆连接完毕,VPN 部分只暂时只连接为站点至站点方 式,待测试远程接入时再更改连接 2.2.各端口各端口配
