基于园区网络的Web认证设计与实现课程设计Word格式.docx

1、 （5）书写格式a. 设计报告要求用A4纸打印成册：b. 一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。3.2 考核方式指导老师负责验收课题的设计结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个部分：（1）平时出勤 （占10%）（2）设计步骤、设计内容、及总体操作过程合理与否（占10%）（3）步骤是否正确、内容是否完整及设计效果是否符合要求，个人能否独立、熟练地进行操作（占40%）（4）设计报告（占30%）注意：不得抄袭他人的报告（或给他人抄袭）

2、，一旦发现，成绩为零分，同一组的同学，设计报告单独完成，不能雷同。3.3 课程验收要求（1）完整操作所设计的内容。（2）回答有关问题。（3）提交课程设计报告。（5）依操作的熟练程度、内容的创新程度，内容的完善情况打分。 上机安排时间8：00-12：0015：0018：18：00-22：12月19日信管090112月20日12月21日信管090212月22日附：课程设计报告装订顺序：封面、任务书、目录、正文、评分表。 正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;1 总体概述和拓扑结构1.1 总体概述WEB 认证接入方式采用重定向技术，客户端无需安装任何软件，用户只需

3、打开浏览器，输入任意网址就会弹出认证界面，引导用户输入用户名密码进行认证，合法用户认证通过后可以正常访问网络，非法用户的网络访问被拒绝。同时 WEB 认证接入服务器端对用户的时长流量等计费信息进行采集，可以对用户进行计费，适应各种资费策略。用户认证通过后会弹出一个计时小窗口，供用户观察上网时长，计时小窗口自带注销按钮供用户下网时注销。WEB 认证的页面可以根据用户的需要进行定制，运营商可以定制自己的名字、Logo 以及各种通告信息等，方便运营商的运营。WEB 认证接入技术组网方式灵活，客户维护成本低，适应各种资费策略，当它工作在二层时可以实现用户名、IP 地址和 Mac 地址的绑定，非常方便运

4、营商的运营。NAT：网络地址转换（NAT,Network Address Translation）属接入广域网（WAN）技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。DHCP：（动态主

5、机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。Radius：RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。是目前应用最广泛的AAA协议。1.2 拓扑图图1.1 总体拓扑图

6、设计1、DHCP服务器和Radius服务器在VLAN 1里面，也就是2626A的1-2端口，2626A的25号端口连接在三层交换机5308的B1端口连接。2、PC2连接在2626B的3-4号端口上，划分为VLAN 4里面，pc3连接在2626B的1-2号端口上面，此两个端口划分在VLAN 4里面。2626B的25号端口连接在5308的C4端口上。3、无线AP420连接在三层交换机5308的C2端口上面。4、7102路由器连接在5308的B3端口上面。5、在5308上分别在每个VLAN里面定义中继端口：B1,B3,C2,C4。6、分别设定每个VLAN的IP地址，在eth0/2,eth0/1设置内

7、外网的IP地址，是的能够连通外网。2 准备过程2.1 CA证书的导入与活动目录创建用户2.1.1 CA安装过程在C盘内的根目录下选定证书，单击右键，选择“安装证书”子菜单图2.1.1 图2.1.22.1.2 用户新建过程 1、在开始的菜单下点击“管理工具”，然后点击“Active Directory 用户和计算机”图2.1.32、在活动目录中创建student这个全局组，为student创建五个用户stu1，stu2，stu3，stu4，stu5，创建过程如下图所示图2.1.4图2.1.5图2.1.6输入用户名，建立这里以stuX。图2.1.7为了实验的方便性，密码统一设置为“procurve

8、”，选中“密码永不过期”选项。 3、点击完成，完成创建。为了使后面实验中的基于WEB方式的身份认证，我们还需要修改用户的帐户属性，如下图所示，选中“使用可逆的加密保存密码”。图2.1.84、将用户添加到对应的组图2.1.9选择添加到组“菜单”，弹出如下对话框：图2.1.10在“输入要选择的对象名称”中输入组名称，单击检查名称按钮进行检查，当组名称下出现下划线后，单击确定完成关联。同理，完成其他用户组与用户的联系。2.2 DHCP服务器的配置2.2.1 配置过程1.我们需要在DHCP服务器上建立VLAN 1,VLAN 3.VLAN 4三个作用域。VLAN 1：172.16.9.10172.16.

9、9.250 255.255.255.0VLAN 3：10.1.10.5010.1.10.150 255.255.255.0VLAN 4：10.1.20.210.1.20.20 255.255.255.0按照下面的图示来完成DHCP服务器的配置：（以一个VLAN为例，剩下的同理）图2.2.1下面这个图中，这个地址是该作用域的路由器IP地址，在前面就必须要设置，不然完成不了下面连接外网的功能。图2.2.2使用类似的办法在DHCP服务器中创建VLAN 1,VLAN 4这两个作用域。2.3 Radius服务器的配置2.3.1 创建Radius客户端下面我们开始创建RADIUS客户端的，在“开始”-“管

10、理工具”中选择“Internet验证服务”。在创建RADIUS客户前，将IAS注册到域服务器中。图2.3.1按下面的步骤来创建RADIUS客户端图2.3.2点击“新建RADIUS客户端”，弹出如下对话框，按照下面的步骤来创建2626B的RADIUS客户端。图2.3.3图2.3.4共享的机密统一使用“procurve”，点击确定完成创建，用同样的方法为其他的设备创建RADIUS客户端。图2.3.52.3.2 配置访问策略点击“新建远程访问策略”，将弹出如下对话框，按照下面的步骤来创建student的远程访问策略。图2.3.6选择设置自定义策略，策略名填入“student”，单击下一步图2.3.7

11、添加属性，选择“Authencation-Type”，单击添加。图2.3.8然后选择“EAP”协议，点击确定即可。图2.3.9选择授予远程访问权限，单击下一步。图2.3.10单击编辑配置文件，弹出如下对话框：图2.3.11在“身份验证”选项中，单击EAP方法，弹出如下对话框：图2.3.12选择受保护的EAP，单击确定，然后再单击编辑图2.3.13检查是否有证书，有则单击“确定“进入下一步，若没有则需要重新启动计算机，然后进行检查。完成后点击“确定”，然后按照向导完成操作。在高级选项中添加“TunnelType”、“TunnelMediuType”和“TunnelPvtGroupID”三个属性，

12、最后，如果需要的话，可以启用计费策略。如下图选中远程访问记录：图2.3.14双击本地文件，将出现如下对话框：图2.3.153 无验证动态分配IP地址的实现3.1 2626A配置代码如下：enableconfigureRunning configuration:; J4900B Configuration Editor; Created on release #H.10.83hostname 2626Asnmp-server community public Unrestrictedvlan 1 name DEFAULT_VLAN untagged 1-26 ip address 172.16.

13、9.253 255.255.255.0 ip helper-address 172.16.9.5 exitvlan 3VLAN3 tagged 25vlan 4VLAN43.2 5308配置代码如下 J4819A Configuration Editor; Created on release #E.11.03ProCurve Switch 5308xlmodule 2 type J4821Bmodule 5 type J4820Bmodule 3 type J8161Amodule 4 type J8161Ainterface C1 no lacpexitip routing untagge

14、d B1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24 ip address 172.16.9.254 255.255.255.0 tagged B2,C1,C4vlan 2VLAN2 ip address 192.168.0.1 255.255.255.0 tagged B1,C1,C3 ip address 10.1.10.1 255.255.255.0 tagged B1,C1-C4 ip address 10.1.20.1 255.255.255.0 tagged B1,B4,C1-C4ip authorized-managers 172.16.9.5 255.25

15、5.255.0ip route 0.0.0.0 0.0.0.0 172.16.9.103.3 2626B配置 enable configure untagged 5-26 ip address 172.16.9.20 255.255.255.0 no untagged 1-4 untagged 1-2ip address 10.1.10.2 255.255.255.0 untagged 3-4 ip address 10.1.20.2 255.255.255.03.4实现结果把PC3连入2626B的端口14都可行，比如接入到端口34时分配的是vlan4的地址，如下图所示：图3.4.1 NO.2

16、客户机分配到的地址4 AAA方法实现有线的Web认证4.1 实现代码首先在2626B输入如下的代码：aaa authentication port-access eap-radiusradius-server host 172.16.9.5 key procurveaaa port-access authenticator activeaaa port-access web-based 5-6aaa port-access web-based 5 unauth-vid 4aaa port-access web-based 6 unauth-vid 44.2 实现结果认证前的IP地址，是原本VL

17、AN 4内的地址，如下图：图4.2.1插到认证端口时，交换机会自动分配一个私有IP地址给客户机，如下图：图4.2.2认证WEB界面，输入用户名和密钥，如下图所示：图4.2.3认证通过后，radius服务器自动分配一个VLAN 3的IP地址给该客户机，如下图所示：图4.2.4在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。图4.2.55 无线AP420的配置5.1 无线AP的国家代码修改进入管理员执行模式之后，输入命令“country ？”：ProCurve AP 420# country ?ProCurve AP 420# country cn AP重起之后生效。保证A

18、P的发送接收频率满足使用国家的许可要求后，AP方可正常工作。5.2 网页配置把控制主机与AP420调到同一个网段，然后在WEB中输入网页中输入网址，如172.16.9.11即可进入AP420网页配置的界面，首先就必须开启AP：图5.2.1图5.2.2当Inactive变成Active时，无线AP就开启了，然后进入配置界面，配置一些地址和有关动态分配IP地址的相关配置：举配置动态分配界面为例，要点击Dynamic才是正确的图5.2.3然后在超级终端中打开AP420，查看大体的相关配置：图5.2.4设置完成后，将会出现如下提示，点击提示框。图5.2.5输入登陆凭据后确定，如果认证成功将显示已连接上

19、，否则将显示身份认证失败。如果失败，请认真检查配置，并查看RADIUS服务器的事件查看器。经过身份认证后，该PC得到了IP地址，说明验证成功。图5.2.76 路由器7102的配置6.1 实现代码Building configuration.! ProCurve Secure Router 7102dl SROS version J14.04 Boot ROM version J06.06 Platform: ProCurve Secure Router 7102dl, part number J8752A Serial number US520UA100 Flash: 33554432 byt

20、es DRAM: 134217727 bytes Date/Time: Thu Mar 02 2000, 07:10:37 GMT+05:45ProCurveSR7102dlno enable passwordclock timezone +5:ip subnet-zeroip classlessevent-history onno logging forwardingno logging emailno service password-encryptionip firewallno ip firewall alg msnno ip firewall alg mszoneno ip fire

21、wall alg h323no autosynch-modeno safe-modeinterface eth 0/1 ip address 172.16.9.10 255.255.255.0 access-policy NATinside no shutdowninterface eth 0/2 ip address 59.71.15.100 255.255.255.128interface e1 1/1 shutdownip access-list standard inside permit anyip policy-class NATinside nat source list ins

22、ide address 59.71.15.100 overloadip route 0.0.0.0 0.0.0.0 59.71.15.1ip route 10.1.0.0 255.255.0.0 172.16.9.254ip route 172.16.0.0 255.255.0.0 172.16.9.254no ip tftp serverno ip tftp server overwriteno ip http serverno ip http secure-serverno ip snmp agentno ip ftp serverip ftp server default-filesys

23、tem flashno ip scp serverno ip sntp serverno snmp-server enable trapsip sipno ip sip proxy transparentline con 0 no loginline telnet 0 4 loginline ssh 0 4 login local-userlistEnd6.2 连接外网在此处外网的连接IP为59.71.15.100。我们在客户机的命令界面ping 59.71.15.100图6.2.1图示已经Ping通了外网，所以此台客户机已经能够访问外网了。在内网中，三个VLAN里面的客户机都能互相的平通对方，如下图所示：图6.2.2图6.2.3图6.2.47 wireshark抓包的实现如图所示：图7.1图7.2从这个抓包的结果来看，抓到的包有TCP的，也有UDP的，还能抓到上网的账户和密码噢。