基于园区网络的Web认证设计与实现课程设计.docx
《基于园区网络的Web认证设计与实现课程设计.docx》由会员分享,可在线阅读,更多相关《基于园区网络的Web认证设计与实现课程设计.docx(41页珍藏版)》请在冰豆网上搜索。
基于园区网络的Web认证设计与实现课程设计
课程设计报告
课程名称网络技术与应用
课题名称基于园区网络的Web认证设计与实现
专业信息管理与信息系统
班级09级1班
学号200903110112
姓名洪俊斌
指导教师余新宇韩宁
2011年12月23日
湖南工程学院
课程设计任务书
课程名称网络技术与应用
课题基于园区网络的
Web认证设计与实现
专业班级信息管理0901班
学生姓名洪俊斌
学号200903110112
指导老师余新宇韩宁
审批
任务书下达日期2011年12月8日
任务完成日期2011年12月23日
1.课程设计的性质和任务
通过课程设计,培养学生独立思考、综合分析与动手的能力;验证理论和加深对概念的理解,熟练掌握网络安装及调试技术,并能综合运用知识进行网络设计,解决实际问题。
2.设计内容
2.1课程设计题目(按学号顺序每班分成三组,每人完成一个题目)
课题2:
基于园区网络的Web认证设计与实现
园区网络越来越普及,但是网络中的非法接入会给园区网带来不安全因素。
通过Web认证技术,可杜绝网内非法用户。
Web认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
一、课题内容:
(1)根据提供的拓扑结构,首先实现非认证条件下的终端上网。
(可访问Internet)
(2)规划Vlan和IP地址,通过DHCP使终端自动获取IP地址
(3)了解Radius协议,并部署Radius服务器,使用AD活动目录创建用户
(4)通过AAA方法实现有线和无线终端的802.1x认证
(5)通过使用Wireshark网络封包分析软件分析整个认证过程,并记录
(6)完成测试并写出详细课设报告
二、拓扑结构:
3设计要求:
3.1课程设计报告规范
(1)课题内容要求分析
a.内容要求分析;
b.效果要求分析;
c.完整性要求。
(2)操作步骤设计
a.任务由哪些步骤完成,每个步骤之间的关系;
b.画出拓扑图和工作原理图(用计算机绘图);
(3)设计效果设计;
(4)使用说明
用户使用手册:
说明如何使用你设计的系统,详细列出每一步的操作步骤。
(5)书写格式
a.设计报告要求用A4纸打印成册:
b.一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
3.2考核方式
指导老师负责验收课题的设计结果,并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。
具体考核标准包含以下几个部分:
(1)平时出勤(占10%)
(2)设计步骤、设计内容、及总体操作过程合理与否(占10%)
(3)步骤是否正确、内容是否完整及设计效果是否符合要求,个人能否独立、熟练地进行操作(占40%)
(4)设计报告(占30%)
注意:
不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分,同一组的同学,设计报告单独完成,不能雷同。
3.3课程验收要求
(1)完整操作所设计的内容。
(2)回答有关问题。
(3)提交课程设计报告。
(5)依操作的熟练程度、内容的创新程度,内容的完善情况打分。
上机安排
时间
8:
00-12:
00
15:
00—18:
00
18:
00-22:
00
12月19日
信管0901
信管0901
12月20日
信管0901
信管0901
12月21日
信管0902
信管0902
12月22日
信管0902
信管0902
附:
课程设计报告装订顺序:
封面、任务书、目录、正文、评分表。
正文的格式:
一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
目录
1总体概述和拓扑结构1
1.1总体概述1
1.2拓扑图2
2准备过程3
2.1CA证书的导入与活动目录创建用户3
2.1.1CA安装过程3
2.1.2用户新建过程4
2.2DHCP服务器的配置7
2.2.1配置过程7
2.3Radius服务器的配置8
2.3.1创建Radius客户端8
2.3.2配置访问策略9
3无验证动态分配IP地址的实现13
3.12626A配置13
3.25308配置13
3.32626B配置14
3.4实现结果15
4AAA方法实现有线的Web认证16
4.1实现代码16
4.2实现结果16
5无线AP420的配置19
5.1无线AP的国家代码修改19
5.2网页配置19
6路由器7102的配置22
6.1实现代码22
6.2功能的完成24
7wireshark抓包的实现26
8心得体会27
9附录29
9.1参考文献29
10计算机与通信学院课程设计评分表30
1总体概述和拓扑结构
1.1总体概述
WEB认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
同时WEB认证接入服务器端对用户的时长流量等计费信息进行采集,可以对用户进行计费,适应各种资费策略。
用户认证通过后会弹出一个计时小窗口,供用户观察上网时长,计时小窗口自带注销按钮供用户下网时注销。
WEB认证的页面可以根据用户的需要进行定制,运营商可以定制自己的名字、Logo以及各种通告信息等,方便运营商的运营。
WEB认证接入技术组网方式灵活,客户维护成本低,适应各种资费策略,当它工作在二层时可以实现用户名、IP地址和Mac地址的绑定,非常方便运营商的运营。
NAT:
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
DHCP:
(动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
Radius:
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
是目前应用最广泛的AAA协议。
1.2拓扑图
图1.1总体拓扑图设计
1、DHCP服务器和Radius服务器在VLAN1里面,也就是2626A的1-2端口,2626A的25号端口连接在三层交换机5308的B1端口连接。
2、PC2连接在2626B的3-4号端口上,划分为VLAN4里面,pc3连接在2626B的1-2号端口上面,此两个端口划分在VLAN4里面。
2626B的25号端口连接在5308的C4端口上。
3、无线AP420连接在三层交换机5308的C2端口上面。
4、7102路由器连接在5308的B3端口上面。
5、在5308上分别在每个VLAN里面定义中继端口:
B1,B3,C2,C4。
6、分别设定每个VLAN的IP地址,在eth0/2,eth0/1设置内外网的IP地址,是的能够连通外网。
2准备过程
2.1CA证书的导入与活动目录创建用户
2.1.1CA安装过程
在C盘内的根目录下选定证书,单击右键,选择“安装证书”子菜单
图2.1.1
图2.1.2
2.1.2用户新建过程
1、在开始的菜单下点击“管理工具”,然后点击“ActiveDirectory用户和计算机”
图2.1.3
2、在活动目录中创建student这个全局组,为student创建五个用户stu1,stu2,stu3,stu4,stu5,创建过程如下图所示
图2.1.4
图2.1.5
图2.1.6
输入用户名,建立这里以stuX。
图2.1.7
为了实验的方便性,密码统一设置为“procurve”,选中“密码永不过期”选项。
3、点击完成,完成创建。
为了使后面实验中的基于WEB方式的身份认证,我们还需要修改用户的帐户属性,如下图所示,选中“使用可逆的加密保存密码”。
图2.1.8
4、将用户添加到对应的组
图2.1.9
选择添加到组“菜单”,弹出如下对话框:
图2.1.10
在“输入要选择的对象名称”中输入组名称,单击检查名称按钮进行检查,当组名称下出现下划线后,单击确定完成关联。
同理,完成其他用户组与用户的联系。
2.2DHCP服务器的配置
2.2.1配置过程
1.我们需要在DHCP服务器上建立VLAN1,VLAN3.VLAN4三个作用域。
VLAN1:
172.16.9.10——172.16.9.250255.255.255.0
VLAN3:
10.1.10.50——10.1.10.150255.255.255.0
VLAN4:
10.1.20.2——10.1.20.20255.255.255.0
按照下面的图示来完成DHCP服务器的配置:
(以一个VLAN为例,剩下的同理)
图2.2.1
下面这个图中,这个地址是该作用域的路由器IP地址,在前面就必须要设置,不然完成不了下面连接外网的功能。
图2.2.2
使用类似的办法在DHCP服务器中创建VLAN1,VLAN4这两个作用域。
2.3Radius服务器的配置
2.3.1创建Radius客户端
下面我们开始创建RADIUS客户端的,在“开始”->“管理工具”中选择“Internet验证服务”。
在创建RADIUS客户前,将IAS注册到域服务器中。
图2.3.1
按下面的步骤来创建RADIUS客户端
图2.3.2
点击“新建RADIUS客户端”,弹出如下对话框,按照下面的步骤来创建2626B的RADIUS客户端。
图2.3.3
图2.3.4
共享的机密统一使用“procurve”,点击确定完成创建,用同样的方法为其他的设备创建RADIUS客户端。
图2.3.5
2.3.2配置访问策略
点击“新建远程访问策略”,将弹出如下对话框,按照下面的步骤来创建student的远程访问策略。
图2.3.6
选择设置自定义策略,策略名填入“student”,单击下一步
图2.3.7
添加属性,选择“Authencation-Type”,单击添加。
图2.3.8
然后选择“EAP”协议,点击确定即可。
图2.3.9
选择授予远程访问权限,单击下一步。
图2.3.10
单击编辑配置文件,弹出如下对话框:
图2.3.11
在“身份验证”选项中,单击EAP方法,弹出如下对话框:
图2.3.12
选择受保护的EAP,单击确定,然后再单击编辑
图2.3.13
检查是否有证书,有则单击“确定“进入下一步,若没有则需要重新启动计算机,然后进行检查。
完成后点击“确定”,然后按照向导完成操作。
在高级选项中添加“Tunnel—Type”、“Tunnel—Mediu—Type”和“Tunnel—Pvt—Group—ID”三个属性,
最后,如果需要的话,可以启用计费策略。
如下图选中远程访问记录:
图2.3.14
双击本地文件,将出现如下对话框:
图2.3.15
3无验证动态分配IP地址的实现
3.12626A配置
代码如下:
enable
configure
Runningconfiguration:
;J4900BConfigurationEditor;Createdonrelease#H.10.83
hostname"2626A"
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untagged1-26
ipaddress172.16.9.253255.255.255.0
iphelper-address172.16.9.5
exit
vlan3
name"VLAN3"
tagged25
exit
vlan4
name"VLAN4"
tagged25
exit
3.25308配置
代码如下
Runningconfiguration:
;J4819AConfigurationEditor;Createdonrelease#E.11.03
hostname"ProCurveSwitch5308xl"
module2typeJ4821B
module5typeJ4820B
module3typeJ8161A
module4typeJ8161A
interfaceC1
nolacp
exit
iprouting
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untaggedB1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24
ipaddress172.16.9.254255.255.255.0
taggedB2,C1,C4
exit
vlan2
name"VLAN2"
ipaddress192.168.0.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1,C3
exit
vlan3
name"VLAN3"
ipaddress10.1.10.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1-C4
exit
vlan4
name"VLAN4"
ipaddress10.1.20.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,B4,C1-C4
exit
ipauthorized-managers172.16.9.5255.255.255.0
iproute0.0.0.00.0.0.0172.16.9.10
3.32626B配置
代码如下
enable
configure
vlan1
name"DEFAULT_VLAN"
untagged5-26
ipaddress172.16.9.20255.255.255.0
iphelper-address172.16.9.5
nountagged1-4
exit
vlan3
name"VLAN3"
untagged1-2
ipaddress10.1.10.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
vlan4
name"VLAN4"
untagged3-4
ipaddress10.1.20.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
3.4实现结果
把PC3连入2626B的端口1—4都可行,比如接入到端口3—4时分配的是vlan4的地址,如下图所示:
图3.4.1NO.2客户机分配到的地址
4AAA方法实现有线的Web认证
4.1实现代码
首先在2626B输入如下的代码:
aaaauthenticationport-accesseap-radius
radius-serverhost172.16.9.5keyprocurve
aaaport-accessauthenticatoractive
aaaport-accessweb-based5-6
aaaport-accessweb-based5unauth-vid4
aaaport-accessweb-based6unauth-vid4
4.2实现结果
认证前的IP地址,是原本VLAN4内的地址,如下图:
图4.2.1
插到认证端口时,交换机会自动分配一个私有IP地址给客户机,如下图:
图4.2.2
认证WEB界面,输入用户名和密钥,如下图所示:
图4.2.3
认证通过后,radius服务器自动分配一个VLAN3的IP地址给该客户机,如下图所示:
图4.2.4
在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。
图4.2.5
5无线AP420的配置
5.1无线AP的国家代码修改
进入管理员执行模式之后,输入命令“country?
”:
ProCurveAP420#country?
ProCurveAP420#countrycn
AP重起之后生效。
保证AP的发送接收频率满足使用国家的许可要求后,AP方可正常工作。
5.2网页配置
把控制主机与AP420调到同一个网段,然后在WEB中输入网页中输入网址,如172.16.9.11
即可进入AP420网页配置的界面,首先就必须开启AP:
图5.2.1
图5.2.2
当Inactive变成Active时,无线AP就开启了,然后进入配置界面,配置一些地址和有关动态分配IP地址的相关配置:
举配置动态分配界面为例,要点击Dynamic才是正确的
图5.2.3
然后在超级终端中打开AP420,查看大体的相关配置:
图5.2.4
设置完成后,将会出现如下提示,点击提示框。
图5.2.5
输入登陆凭据后确定,如果认证成功将显示已连接上,否则将显示身份认证失败。
如果失败,请认真检查配置,并查看RADIUS服务器的事件查看器。
经过身份认证后,该PC得到了IP地址,说明验证成功。
在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。
图5.2.7
6路由器7102的配置
6.1实现代码
Buildingconfiguration...
!
ProCurveSecureRouter7102dlSROSversionJ14.04
!
BootROMversionJ06.06
!
Platform:
ProCurveSecureRouter7102dl,partnumberJ8752A
!
SerialnumberUS520UA100
!
Flash:
33554432bytesDRAM:
134217727bytes
!
Date/Time:
ThuMar022000,07:
10:
37GMT+05:
45
!
hostname"ProCurveSR7102dl"
noenablepassword
!
clocktimezone+5:
45
!
ipsubnet-zero
ipclassless
iprouting
!
event-historyon
nologgingforwarding
nologgingemail
!
noservicepassword-encryption
!
ipfirewall
noipfirewallalgmsn
noipfirewallalgmszone
noipfirewallalgh323
!
noautosynch-mode
nosafe-mode
!
interfaceeth0/1
ipaddress172.16.9.10255.255.255.0
access-policyNATinside
noshutdown
!
interfaceeth0/2
ipaddress59.71.15.100255.255.255.128
noshutdown
interfacee11/1
shutdown
!
ipaccess-liststandardinside
permitany
!
ippolicy-classNATinside
natsourcelistinsideaddress59.71.15.100overload
!
iproute0.0.0.00.0.0.059.71.15.1
iproute10.1.0.0255.255.0.0172.16.9.254
iproute172.16.0.0255.255.0.0172.16.9.254
!
noiptftpserver
noiptftpserveroverwrite
noiphttpserver
noiphttpsecure-server
noipsnmpagent
noipftpserver
ipftpserverdefault-filesystemflash
noipscpserver
noipsntpserver
!
nosnmp-serverenabletraps
!
ipsip
noipsipproxytransparent
!
ipsip
noipsipproxytransparent
!
linecon0
nologin
!
linetelnet04
login
noshutdown
linessh04
loginlocal-userlist
noshutdown
!
End
6.2连接外网
在此处外网的连接IP为59.71.15.100。
我们在客户机的命令界面ping59.71.15.100
图6.2.1
图示已经Ping通了外网,所以此台客户机已经能够访问外网了。
在内网中,三个VL
升级会员 