计算机网络实验——无线局域网安全实验
实验1. WEP和WPA2-PSK实验
一、实验目的
- 验证AP和终端与实现WEP安全机制相关的参数的配置过程。
- 验证AP和终端与实现WPA2-PSK安全机制相关的参数的配置过程。
- 验证终端与AP之间建立关联的过程。验证关闭端口的重新开启过程。
- 验证属于不同BSS的终端之间的数据传输过程。
二、实验任务
- 使用自己的语言简述WPA2-PSK安全机制。
WPA2-PSK(Wi-Fi Protected Access 2 - Pre-Shared Key)是一种无线网络安全协议。该协议要求所有连接到网络的设备使用同一个预共享密钥(PSK)进行身份验证,用于确保只有被授权的的用户,使用共享密钥,才能接入网络。在加密方面,WPA2-PSK使用AES-CCMP来加密数据包,确保数据在传输过程中的机密性和完整性。此外,WPA2-PSK通过四次握手过程来建立安全连接,这个过程包括密钥交换和验证,以确保设备之间的通信是安全的。为了防止密钥被长时间利用,WPA2-PSK还会定期更新组密钥,减少密钥被破解的风险。
- 使用自己的语言简述该实验原理。
在如图1所示的网络拓扑中,AP1 设备采用了 WEP 安全机制,并设置了一个共享密钥。终端 A 和终端 B 也都启用了 WEP 安全机制,并且使用了与 AP1 相同的共享密钥进行配置。另一方面,AP2 设备则选择了更安全的 WPA2-PSK 安全机制,并设置了一个用于生成 PSK 的密钥。终端 E 和终端 F 也同样采用了 WPA2-PSK 安全机制,并且配置了与 AP2 相同的密钥来生成 PSK。以此使得各个终端接入相应的AP,实现各个终端之间的通信。
安装无线网卡的终端默认 IP 地址获取方式为DHCP。在模拟实验中,各个终端的IP地址分配采用自动私有IP地址分配方式——如果终端设备开启了自动获取 IP 地址的功能,但是在发送 DHCP 请求后没有收到来自 DHCP 服务器的响应,会从保留的私有地址范围 169.254.0.0/16 中随机选择一个 IP 地址。若扩展服务集中的所有终端设备都使用这种 IP 地址分配方式,那么它们之间可以实现通信,而无需手动配置 IP 地址。
图 1 WEP 和 WPA2-PSK 实验网络拓扑
- 实验步骤
- 搭建如图2所示的网络拓扑图。
图 2 网络拓扑图
- 由于默认情况下,笔记本电脑为以太网卡,需要将以太网卡换成无线网卡,来接入无线局域网。如图3a所示,将Laptop0以太网卡更换成支持4G 频段的 8011、8011b 和8011g 标准的无线网卡WPC300N模块。类似的,将其他笔记本的以太网卡更换为WPC300模块,如图3b、c、d所示。




图 3 为Laptop0~Laptop3更换WPC300模块
- 对Access Point0进行配置,具体配置如图4所示。鉴别机制选择WEP,加密类型选择40/64-Bits(10 Hex digits),WEP密钥为0123456789的是个十六进制组成的40位密钥,共享密钥SSID为123456,打开端口。
图 4 Access Point0的配置
- 对Laptop0进行配置,具体配置如图5a所示。选择与Access point0相同的配置,鉴别机制选择WEP,加密类型选择40/64-Bits(10 Hex digits),WEP密钥为0123456789,一个十六进制组成的40位密钥,共享密钥SSID为123456,打开端口。类似的,对Laptop1进行配置,如图5b所示。
图 5 终端Laptop0与Laptop1的配置
- 此时Laptop0和Laptop1与Access Point0之间成功建立连接,如图6所示。
图 6 Laptop0和Laptop1与Access Point0之间建立连接
- 如图5中所示,在未收到DHCP应答的时候,Laptop0与Laptop1终端自动选择私有网络地址 169.254.0.0/255.255.0.0中随机选择一个有效 IP 地址作为其 IP 地址。
- 对Access Point1进行配置,具体配置如图7所示。鉴别机制选择WPA2-PSK,加密类型选择AES,密钥为qwertyuiop,8~63个字符组成的字符串,共享密钥SSID为123456,打开端口。
图 7 Access Point1的配置
- 对Laptop2进行配置,具体配置如图8a所示。选择与Access point1相同的配置,鉴别机制选择WPA2-PSK,加密类型选择AES,密钥为qwertyuiop,8~63个字符组成的字符串,共享密钥SSID为123456,打开端口。类似的,对Laptop3进行配置,如图8b所示。
图 8 终端Laptop2与Laptop3的配置
- 此时Laptop2和Laptop3与Access Point1之间成功建立连接,如图9所示。
图 9 Laptop2和Laptop3与Access Point1之间建立连接
- 对PC0进行配置,具体配置如图10a所示,在未收到DHCP应答的时候,终端自动选择私有网络地址 169.254.0.0/255.255.0.0中随机选择一个有效 IP 地址作为其 IP 地址。类似的,对PC1进行配置,如图10b所示。
图 10 对PC0与PC1的配置
- 开启简单报文工具,检验各个终端之间的连通性,如图11所示,测试了pc0 与laptop0、pc0 与laptop1、pc0 与laptop2、pc0 与laptop3、laptop3对pc0 和PC1之间的连通性,均成功交换报文。
pc0 对 laptop0和laptop1进行ping操作
pc0 对 laptop2和laptop3进行ping操作
laptop3对pc0 和PC1进行ping操作
图 11 各个终端之间的报文通信
三、思考与总结
- 实验过程中你遇到什么问题,如何解决的?通过该实验有何收获?
没有遇到明显问题
收获:
本次实验通过配置 WEP 和 WPA2-PSK 两种无线安全机制,并验证终端与 AP 之间的关联和数据传输过程,让我深入理解了无线网络安全的基本原理和配置方法。我学会了如何配置 AP 和终端的无线安全参数,包括鉴别机制、加密类型和密钥等,并了解了不同安全机制的优缺点和适用场景。通过本次实验,我不仅提升了实践操作能力,还加深了对无线网络安全知识的理解,为今后学习更复杂的无线网络安全技术打下了坚实的基础。
实验2. WPA2实验
一、实验目的
- 验证无线路由器和终端与实现WPA2安全机制相关参数的配置过程。
- 验证无线路由器与AAA服务器相关参数的配置过程。
- 验证AAA服务器配置过程。
- 验证注册用户通过接入终端与无线路由器建立关联的过程。
- 验证注册用户通过接入终端实现网络资源访问的过程。
二、实验任务
- 使用自己的语言简述无线路由器的配置过程。
在如图12所示的网络拓扑中,采用WPA2安全机制进行无线局域网的连接,此机制基于用户身份鉴别和统一鉴别的方式,在AAA服务器中配置注册用户信息,注册的用户可以介入终端与对应的无线路由器建立关联,进行网络资源的访问。
图 12 WPA2网络拓扑
- 使用自己的语言简述该实验原理。
在AAA服务器中维护用户注册完成后的信息(用户名和口令),并且在无线路由器中配置AAA服务器的IP地址和共享密钥,当用户需要网络服务时,无线路由器将用户的身份标识转发给AAA服务器,AAA服务器完成身份验证后,将鉴别结果返回无线路由器,完成身份鉴别过程。
- 实验步骤
- 在物理工作区中确定终端与无线路由器之间的距离,确保终端在无线路由器的有效通信范围内。如图13所示,选择物理工作区中的Home City,在家园城市界面进行后续配置。
图 13 物理工作区家园城市界面
- 在物理工作区中进行无线路由器等网络拓扑的搭建,放置无线路由器后,根据无线路由器的有效特性范围,将笔记本计算机放置在无线路由器的有效通信范围内,如图14所示。
图 14 在物理工作区进行网络拓扑
- 切换回逻辑界面后,如图15所示。
图 15 在逻辑工作区进行网络拓扑
- 对路由器Router0进行网络信息配置,具体配置如图16所示,Fastethernet0/0端口连接192.1.1.0网段,Fastethernet0/1端口连接192.1.2.0网段,
图 16 路由器Router0的网络信息配置
- 对Web服务器和AAA服务器进行配置,具体配置如图17a、b所示。Web服务器的IP地址和子网掩码为192.1.2.3 /24,AAA服务器的IP地址和子网掩码为192.1.2.7 /24,网关均为192.1.2。254。
(a) (b)
图 17Web服务器和AAA服务器的网络配置
- 对路由器Router1的Wireless接口进行配置,具体配置如图18a所示。鉴别机制选择WPA2,RADIUS服务配置中输入AAA服务器的地址,与AAA服务器共享的密钥设置为router1,加密类型选择AES,在SSID中密钥设置为123456。类似的对Router2进行配置,具体配置如图18b所示。
(a) (b)
图 18 路由器Router1和路由器Router2的Wireless接口配置
- 对路由器Router1的Internet接口进行配置,具体配置如图19a所示。采用静态IP地址配置方式,默认网关为192.1.1.254,无线路由器Internet接口地址与子网掩码为192.1.1.1 /24。类似的对Router2进行配置,具体配置如图19b所示。
(a) (b)
图 19 路由器Router1和路由器Router2的Internet接口配置
- 进一步对AAA服务器进行配置,实现认证功能,具体配置如图20所示。首先与无线路由器Router1和Router2进行关联,设置设备标识符、输出RADIUS 报文的接口的 IP 地址(Router1 和 Router2 Internet 接口的 IP 地址),Router1 和 Router2 与 AAA 服务器之间的共享密钥。
接着在AAA服务器中定义注册用户,记录用户名与口令,分别定义了《a1,b1》~《a4,b4》,4个注册用户。
图 20 AAA服务器Services配置
- 如图21a所示,将笔记本电脑Laptop0的以太网卡换成WPC300模块,如图21a所示。类似的,将其他笔记本的以太网卡更换为WPC300模块,如图21b、c、d所示。
(a) (b)
(c) (d)
图 21 为Laptop0~Laptop3更换WPC300模块
- 对Laptop0进行无线网卡配置,具体配置如图22a所示。鉴别机制选择WPA2,用户名和口令输入注册的用户之一《a1,b1》,加密类型选择AES,在在SSID中密钥设置为123456。类似的,对Laptop1~Laptop3进行配置,具体配置如图22b、c、d所示。
(a) (b)
(c) (d)
图 22 为Laptop0~Laptop3进行无线网卡配置
- 配置成功后,Laptop0~Laptop3与无线路由器Router1和Router2之间成功建立联系,如图23所示。
图 23 Laptop0~Laptop3与无线路由器Router1和Router2之间建立联系
- 如图22中所示,笔记本选择DHCP方式,由已经与其建立关联的无线路由器为其分配网络信息,是安装无线网卡笔记本默认的获取网络信息方式。
- 启动Laptop0~Laptop1与Web服务器之间的简单报文工具,验证Laptop0~Laptop1与Web服务器之间的连通性,如图24所示。报文交换成功,Laptop0~Laptop1与Web服务器之间连通正常。
Laptop0和Laptop1与Web服务器之间的简单报文交换
Laptop2和Laptop3与Web服务器之间的简单报文交换
图 24 Laptop0~Laptop3与Web服务器之间的简单报文交换
三、思考与总结
- 请简述WAP2机制下如何建立终端与网络的关联。
WAP2机制下,终端首先通过无线信号接入网络;然后终端与网络进行认证和加密,确保通信安全;接着,终端向网络发送一个注册请求;然后,网络为终端分配一个IP地址,并建立会话;最后,终端与网络完成握手,建立起稳定的连接,从而实现数据传输与网络资源的访问。
- 实验过程中还遇到什么问题,如何解决的?通过该实验有何收获?
问题1:
如下图所示,在物理工作区切换回逻辑工作区时,设备位置进行了错位。
解决:
排查应该为软件系统问题,重启软件继续实验。
问题2:
如下图所示,出现连接完成后,无法进行网络连接。
解决:
为对中继路由器进行端口配置,对其进行端口配置后解决。
收获:
通过本次WPA2实验,我深刻理解了WPA2安全机制在无线局域网中的应用,并掌握了相关的配置过程。实验过程中,我学习了如何配置无线路由器、AAA服务器和终端设备,以及如何建立终端与网络的关联,实现网络资源访问。
我遇到了设备位置错位和网络连接问题,通过排查和解决这些问题,我提升了故障排除能力。此外,我还学习了使用WPC300模块将笔记本电脑连接到无线网络,并掌握了无线网卡的配置方法。
总而言之,本次实验让我对WPA2安全机制有了更深入的理解,并提升了我的网络配置和故障排除能力,为我以后学习网络安全和无线网络技术打下了坚实的基础。