基于园区网络的Web认证设计与实现课程设计.docx
《基于园区网络的Web认证设计与实现课程设计.docx》由会员分享,可在线阅读,更多相关《基于园区网络的Web认证设计与实现课程设计.docx(32页珍藏版)》请在冰豆网上搜索。
基于园区网络的Web认证设计与实现课程设计
课程设计报告
课程名称网络技术与应用
课题名称基于园区网络的Web认证设计与实现
专业信息管理与信息系统
1.课程设计的性质和任务
通过课程设计,培养学生独立思考、综合分析与动手的能力;验证理论和加深对概念的理解,熟练掌握网络安装及调试技术,并能综合运用知识进行网络设计,解决实际问题。
2.设计内容
2.1课程设计题目(按学号顺序每班分成三组,每人完成一个题目)
课题2:
基于园区网络的Web认证设计与实现
园区网络越来越普及,但是网络中的非法接入会给园区网带来不安全因素。
通过Web认证技术,可杜绝网内非法用户。
Web认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
一、课题内容:
(1)根据提供的拓扑结构,首先实现非认证条件下的终端上网。
(可访问Internet)
(2)规划Vlan和IP地址,通过DHCP使终端自动获取IP地址
(3)了解Radius协议,并部署Radius服务器,使用AD活动目录创建用户
(4)通过AAA方法实现有线和无线终端的802.1x认证
(5)通过使用Wireshark网络封包分析软件分析整个认证过程,并记录
(6)完成测试并写出详细课设报告
二、拓扑结构:
3设计要求:
3.1课程设计报告规范
(1)课题内容要求分析
a.内容要求分析;
b.效果要求分析;
c.完整性要求。
(2)操作步骤设计
a.任务由哪些步骤完成,每个步骤之间的关系;
b.画出拓扑图和工作原理图(用计算机绘图);
(3)设计效果设计;
(4)使用说明
用户使用手册:
说明如何使用你设计的系统,详细列出每一步的操作步骤。
(5)书写格式
a.设计报告要求用A4纸打印成册:
b.一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
3.2考核方式
指导老师负责验收课题的设计结果,并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。
具体考核标准包含以下几个部分:
(1)平时出勤(占10%)
(2)设计步骤、设计内容、及总体操作过程合理与否(占10%)
(3)步骤是否正确、内容是否完整及设计效果是否符合要求,个人能否独立、熟练地进行操作(占40%)
(4)设计报告(占30%)
注意:
不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分,同一组的同学,设计报告单独完成,不能雷同。
3.3课程验收要求
(1)完整操作所设计的内容。
(2)回答有关问题。
(3)提交课程设计报告。
(5)依操作的熟练程度、内容的创新程度,内容的完善情况打分。
上机安排
时间
8:
00-12:
00
15:
00—18:
00
18:
00-22:
00
12月19日
信管0901
信管0901
12月20日
信管0901
信管0901
12月21日
信管0902
信管0902
12月22日
信管0902
信管0902
附:
课程设计报告装订顺序:
封面、任务书、目录、正文、评分表。
正文的格式:
一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。
1总体概述和拓扑结构
1.1总体概述
WEB认证接入方式采用重定向技术,客户端无需安装任何软件,用户只需打开浏览器,输入任意网址就会弹出认证界面,引导用户输入用户名密码进行认证,合法用户认证通过后可以正常访问网络,非法用户的网络访问被拒绝。
同时WEB认证接入服务器端对用户的时长流量等计费信息进行采集,可以对用户进行计费,适应各种资费策略。
用户认证通过后会弹出一个计时小窗口,供用户观察上网时长,计时小窗口自带注销按钮供用户下网时注销。
WEB认证的页面可以根据用户的需要进行定制,运营商可以定制自己的名字、Logo以及各种通告信息等,方便运营商的运营。
WEB认证接入技术组网方式灵活,客户维护成本低,适应各种资费策略,当它工作在二层时可以实现用户名、IP地址和Mac地址的绑定,非常方便运营商的运营。
NAT:
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
DHCP:
(动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
Radius:
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
是目前应用最广泛的AAA协议。
1.2拓扑图
图1.1总体拓扑图设计
1、DHCP服务器和Radius服务器在VLAN1里面,也就是2626A的1-2端口,2626A的25号端口连接在三层交换机5308的B1端口连接。
2、PC2连接在2626B的3-4号端口上,划分为VLAN4里面,pc3连接在2626B的1-2号端口上面,此两个端口划分在VLAN4里面。
2626B的25号端口连接在5308的C4端口上。
3、无线AP420连接在三层交换机5308的C2端口上面。
4、7102路由器连接在5308的B3端口上面。
5、在5308上分别在每个VLAN里面定义中继端口:
B1,B3,C2,C4。
6、分别设定每个VLAN的IP地址,在eth0/2,eth0/1设置内外网的IP地址,是的能够连通外网。
2准备过程
2.1CA证书的导入与活动目录创建用户
2.1.1CA安装过程
在C盘内的根目录下选定证书,单击右键,选择“安装证书”子菜单
图2.1.1
图2.1.2
2.1.2用户新建过程
1、在开始的菜单下点击“管理工具”,然后点击“ActiveDirectory用户和计算机”
图2.1.3
2、在活动目录中创建student这个全局组,为student创建五个用户stu1,stu2,stu3,stu4,stu5,创建过程如下图所示
图2.1.4
图2.1.5
图2.1.6
输入用户名,建立这里以stuX。
图2.1.7
为了实验的方便性,密码统一设置为“procurve”,选中“密码永不过期”选项。
3、点击完成,完成创建。
为了使后面实验中的基于WEB方式的身份认证,我们还需要修改用户的帐户属性,如下图所示,选中“使用可逆的加密保存密码”。
图2.1.8
4、将用户添加到对应的组
图2.1.9
选择添加到组“菜单”,弹出如下对话框:
图2.1.10
在“输入要选择的对象名称”中输入组名称,单击检查名称按钮进行检查,当组名称下出现下划线后,单击确定完成关联。
同理,完成其他用户组与用户的联系。
2.2DHCP服务器的配置
2.2.1配置过程
1.我们需要在DHCP服务器上建立VLAN1,VLAN3.VLAN4三个作用域。
VLAN1:
172.16.9.10——172.16.9.250255.255.255.0
VLAN3:
10.1.10.50——10.1.10.150255.255.255.0
VLAN4:
10.1.20.2——10.1.20.20255.255.255.0
按照下面的图示来完成DHCP服务器的配置:
(以一个VLAN为例,剩下的同理)
图2.2.1
下面这个图中,这个地址是该作用域的路由器IP地址,在前面就必须要设置,不然完成不了下面连接外网的功能。
图2.2.2
使用类似的办法在DHCP服务器中创建VLAN1,VLAN4这两个作用域。
2.3Radius服务器的配置
2.3.1创建Radius客户端
下面我们开始创建RADIUS客户端的,在“开始”->“管理工具”中选择“Internet验证服务”。
在创建RADIUS客户前,将IAS注册到域服务器中。
图2.3.1
按下面的步骤来创建RADIUS客户端
图2.3.2
点击“新建RADIUS客户端”,弹出如下对话框,按照下面的步骤来创建2626B的RADIUS客户端。
图2.3.3
图2.3.4
共享的机密统一使用“procurve”,点击确定完成创建,用同样的方法为其他的设备创建RADIUS客户端。
图2.3.5
2.3.2配置访问策略
点击“新建远程访问策略”,将弹出如下对话框,按照下面的步骤来创建student的远程访问策略。
图2.3.6
选择设置自定义策略,策略名填入“student”,单击下一步
图2.3.7
添加属性,选择“Authencation-Type”,单击添加。
图2.3.8
然后选择“EAP”协议,点击确定即可。
图2.3.9
选择授予远程访问权限,单击下一步。
图2.3.10
单击编辑配置文件,弹出如下对话框:
图2.3.11
在“身份验证”选项中,单击EAP方法,弹出如下对话框:
图2.3.12
选择受保护的EAP,单击确定,然后再单击编辑
图2.3.13
检查是否有证书,有则单击“确定“进入下一步,若没有则需要重新启动计算机,然后进行检查。
完成后点击“确定”,然后按照向导完成操作。
在高级选项中添加“Tunnel—Type”、“Tunnel—Mediu—Type”和“Tunnel—Pvt—Group—ID”三个属性,
最后,如果需要的话,可以启用计费策略。
如下图选中远程访问记录:
图2.3.14
双击本地文件,将出现如下对话框:
图2.3.15
3无验证动态分配IP地址的实现
3.12626A配置
代码如下:
enable
configure
Runningconfiguration:
;J4900BConfigurationEditor;Createdonrelease#H.10.83
hostname"2626A"
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untagged1-26
ipaddress172.16.9.253255.255.255.0
iphelper-address172.16.9.5
exit
vlan3
name"VLAN3"
tagged25
exit
vlan4
name"VLAN4"
tagged25
exit
3.25308配置
代码如下
Runningconfiguration:
;J4819AConfigurationEditor;Createdonrelease#E.11.03
hostname"ProCurveSwitch5308xl"
module2typeJ4821B
module5typeJ4820B
module3typeJ8161A
module4typeJ8161A
interfaceC1
nolacp
exit
iprouting
snmp-servercommunity"public"Unrestricted
vlan1
name"DEFAULT_VLAN"
untaggedB1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24
ipaddress172.16.9.254255.255.255.0
taggedB2,C1,C4
exit
vlan2
name"VLAN2"
ipaddress192.168.0.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1,C3
exit
vlan3
name"VLAN3"
ipaddress10.1.10.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,C1-C4
exit
vlan4
name"VLAN4"
ipaddress10.1.20.1255.255.255.0
iphelper-address172.16.9.5
taggedB1,B4,C1-C4
exit
ipauthorized-managers172.16.9.5255.255.255.0
iproute0.0.0.00.0.0.0172.16.9.10
3.32626B配置
代码如下
enable
configure
vlan1
name"DEFAULT_VLAN"
untagged5-26
ipaddress172.16.9.20255.255.255.0
iphelper-address172.16.9.5
nountagged1-4
exit
vlan3
name"VLAN3"
untagged1-2
ipaddress10.1.10.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
vlan4
name"VLAN4"
untagged3-4
ipaddress10.1.20.2255.255.255.0
iphelper-address172.16.9.5
tagged25
exit
3.4实现结果
把PC3连入2626B的端口1—4都可行,比如接入到端口3—4时分配的是vlan4的地址,如下图所示:
图3.4.1NO.2客户机分配到的地址
4AAA方法实现有线的Web认证
4.1实现代码
首先在2626B输入如下的代码:
aaaauthenticationport-accesseap-radius
radius-serverhost172.16.9.5keyprocurve
aaaport-accessauthenticatoractive
aaaport-accessweb-based5-6
aaaport-accessweb-based5unauth-vid4
aaaport-accessweb-based6unauth-vid4
4.2实现结果
认证前的IP地址,是原本VLAN4内的地址,如下图:
图4.2.1
插到认证端口时,交换机会自动分配一个私有IP地址给客户机,如下图:
图4.2.2
认证WEB界面,输入用户名和密钥,如下图所示:
图4.2.3
认证通过后,radius服务器自动分配一个VLAN3的IP地址给该客户机,如下图所示:
图4.2.4
在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。
图4.2.5
5无线AP420的配置
5.1无线AP的国家代码修改
进入管理员执行模式之后,输入命令“country?
”:
ProCurveAP420#country?
ProCurveAP420#countrycn
AP重起之后生效。
保证AP的发送接收频率满足使用国家的许可要求后,AP方可正常工作。
5.2网页配置
把控制主机与AP420调到同一个网段,然后在WEB中输入网页中输入网址,如172.16.9.11
即可进入AP420网页配置的界面,首先就必须开启AP:
图5.2.1
图5.2.2
当Inactive变成Active时,无线AP就开启了,然后进入配置界面,配置一些地址和有关动态分配IP地址的相关配置:
举配置动态分配界面为例,要点击Dynamic才是正确的
图5.2.3
然后在超级终端中打开AP420,查看大体的相关配置:
图5.2.4
设置完成后,将会出现如下提示,点击提示框。
图5.2.5
输入登陆凭据后确定,如果认证成功将显示已连接上,否则将显示身份认证失败。
如果失败,请认真检查配置,并查看RADIUS服务器的事件查看器。
经过身份认证后,该PC得到了IP地址,说明验证成功。
在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。
图5.2.7
6路由器7102的配置
6.1实现代码
Buildingconfiguration...
!
ProCurveSecureRouter7102dlSROSversionJ14.04
!
BootROMversionJ06.06
!
Platform:
ProCurveSecureRouter7102dl,partnumberJ8752A
!
SerialnumberUS520UA100
!
Flash:
33554432bytesDRAM:
134217727bytes
!
Date/Time:
ThuMar022000,07:
10:
37GMT+05:
45
!
hostname"ProCurveSR7102dl"
noenablepassword
!
clocktimezone+5:
45
!
ipsubnet-zero
ipclassless
iprouting
!
event-historyon
nologgingforwarding
nologgingemail
!
noservicepassword-encryption
!
ipfirewall
noipfirewallalgmsn
noipfirewallalgmszone
noipfirewallalgh323
!
noautosynch-mode
nosafe-mode
!
interfaceeth0/1
ipaddress172.16.9.10255.255.255.0
access-policyNATinside
noshutdown
!
interfaceeth0/2
ipaddress59.71.15.100255.255.255.128
noshutdown
interfacee11/1
shutdown
!
ipaccess-liststandardinside
permitany
!
ippolicy-classNATinside
natsourcelistinsideaddress59.71.15.100overload
!
iproute0.0.0.00.0.0.059.71.15.1
iproute10.1.0.0255.255.0.0172.16.9.254
iproute172.16.0.0255.255.0.0172.16.9.254
!
noiptftpserver
noiptftpserveroverwrite
noiphttpserver
noiphttpsecure-server
noipsnmpagent
noipftpserver
ipftpserverdefault-filesystemflash
noipscpserver
noipsntpserver
!
nosnmp-serverenabletraps
!
ipsip
noipsipproxytransparent
!
ipsip
noipsipproxytransparent
!
linecon0
nologin
!
linetelnet04
login
noshutdown
linessh04
loginlocal-userlist
noshutdown
!
End
6.2连接外网
在此处外网的连接IP为59.71.15.100。
我们在客户机的命令界面ping59.71.15.100
图6.2.1
图示已经Ping通了外网,所以此台客户机已经能够访问外网了。
在内网中,三个VLAN里面的客户机都能互相的平通对方,如下图所示:
图6.2.2
图6.2.3
图6.2.4
7wireshark抓包的实现
如图所示:
图7.1
图7.2
从这个抓包的结果来看,抓到的包有TCP的,也有UDP的,还能抓到上网的账户和密码噢。
升级会员 