計算機(jī)網(wǎng)絡(luò)實驗指導(dǎo)書

TOC\o"1-5"\h\z目錄 1實驗一網(wǎng)絡(luò)基本配置 3實驗二 VLAN配置實驗 12實驗三 三層交換配置實驗 21\o"CurrentDocument"實驗四生成樹協(xié)議配置實驗 25\o"CurrentDocument"實驗五路由器的基本配置實驗 30\o"CurrentDocument"實驗六廣域網(wǎng)配置實驗 34\o"CurrentDocument"實驗七RIP協(xié)議配置實驗 38\o"CurrentDocument"實驗八無線網(wǎng)絡(luò)環(huán)境 42\o"CurrentDocument"實驗九安全無線網(wǎng)絡(luò)的設(shè)計和部署 49\o"CurrentDocument"實驗十 802.1X認(rèn)證實驗 73實驗一網(wǎng)絡(luò)基本配置.實驗?zāi)康膶W(xué)習(xí)為交換機(jī)進(jìn)行初始化配置熟悉交換機(jī)各種模式的切換和使用熟悉交換機(jī)的基本配置,熟練使用菜單（menu）模式和網(wǎng)頁（web）模式配置交換機(jī)。.實驗儀器設(shè)備一臺HP2626交換機(jī)，一臺PC機(jī).建議實驗環(huán)境以太網(wǎng)交換機(jī)一臺，以太網(wǎng)的concole口連接電腦的coml口。Console. . 崎機(jī)Com1.實驗內(nèi)容命令行（CLI）模式的使用1.1超級終端的使用：.選擇線纜將計算機(jī)與交換機(jī)相連.啟動超級終端，并配置正確參數(shù)a.連接名稱自行確定b.連接使用COM1口c.每位秒數(shù)設(shè)為9600、數(shù)據(jù)位為8、奇偶校驗無、停止位為1、數(shù)據(jù)流控制無con屬性 2國按ENTER鍵進(jìn)入，顯示交換機(jī)提示符4.1.2用戶模式的選擇用戶EXEC模式——以有限的命令可用性（基本上是簡單的監(jiān)控和故障排除命令）提供對IOS的基本訪問。特權(quán)EXEC模式——提供對IOS的高級別的管理訪問，包括在UserEXEC模式中所有可用的命令。配置模式——允許改變這臺設(shè)備的配置。兩種EXEC模式都是受口令保護(hù)的，從而允許用戶限制能夠訪問其設(shè)備進(jìn)行管理、配置和故障排除任務(wù)的人。步驟1：登陸交換機(jī)，進(jìn)入用戶模式顯示如下：ProCurveSwitch2626>步驟2：進(jìn)入特權(quán)模式輸入命令"enable”，進(jìn)入特權(quán)模式。顯示如下：ProCurveSwitch2626#步驟3：進(jìn)入全局配置模式輸入命令"configureterminalorconfig”進(jìn)入全局配置模式。顯示如下:ProCurveSwitch2626(config)#步驟4：進(jìn)入vlan配置模式輸入命令"vlan1”ProCurveSwitch2626(config)#vlan1ProCurveSwitch2626(vlan-1)#步驟5：退出vlan配置模式輸入命令“exit”ProCurveSwitch2626(vlan-1)#exitProCurveSwitch2626(config)#步驟6：進(jìn)入端口配置模式輸入命令"interface1”ProCurveSwitch2626(config)#interface1ProCurveSwitch2626(eth-1)#步驟7：退出全局配置模式使用命令“end”退出全局配置模式，進(jìn)入特權(quán)模式。也可以使用命令“exit”退出全局配置模式。步驟8：退出特權(quán)模式使用命令“exit”從特權(quán)模式會到用戶模式。步驟9：退出交換機(jī)使用命令“exit”退出交換機(jī)。這個命令可以用來從用戶模式中退出交換機(jī)。4.1.3指定主機(jī)名改變交換機(jī)的名稱主要是為了便于管理，但是要注意的是將交換機(jī)的名稱放在命令的后面，一旦敲入“ENTER”鍵，新的CLI提示符就變得不一樣了，它包含了交換機(jī)的新名稱。例如，改變交換機(jī)的名稱為HP：ProCurveSwitch2626(config)#hostnameHPHP(config)#4.1.4設(shè)置用戶名和密碼交換機(jī)允許用戶設(shè)置口令，以便限制對用戶和特權(quán)EXEC模式的訪問。命令如下：(config)#password(operator/manager)user-nameASCCII-STR例如：設(shè)置用戶名為“user”，密碼為“password”步驟1：選擇對用戶模式設(shè)置用戶名和密碼ProCurveSwitch2626(config)#passwordoperatoruser-nameuserNewpasswordforOperator:********PleaseretypenewpasswordforOperator:********在進(jìn)入用戶模式時就要輸入用戶名和密碼Username:userPassword:ProCurveSwitch2626>注：?輸入密碼時，密碼是不會顯示的，也不會出現(xiàn)“*”?不設(shè)置用戶名，那么登陸時不需要輸入用戶名，只需要輸入密碼?為避免影響其他人使用設(shè)備，請在實驗后清除密碼，命令如下：ProCurveSwitch2626(config)#nopasswordall步驟2：選擇對特權(quán)模式下設(shè)置用戶名和密碼ProCurveSwitch2626(config)#passwordmanageruser-nameuserNewpasswordforManager:********PleaseretypenewpasswordforManager:********在進(jìn)入特權(quán)模式時就要輸入用戶名和密碼ProCurveSwitch2626>enableUsername:userPassword:ProCurveSwitch2626#設(shè)置交換機(jī)IP地址如果想要遠(yuǎn)程管理交換機(jī)，就需要為其指定IP尋址信息。例如，如果想要telnet到這臺交換機(jī)上，從網(wǎng)絡(luò)瀏覽器或SNMP管理中心遠(yuǎn)程的管理它，或者備份和恢復(fù)配置文件或升級這臺交換機(jī)，則需要在這臺交換機(jī)上設(shè)置IP尋址信息。以下命令可設(shè)置IP：(vlan-1)#ipaddressIP-ADDRIP-MASK(config)#ipdefault-gatewayIP-ADDR步驟1：進(jìn)入vlan1配置模式ProCurveSwitch2626(config)#vlan1步驟2：配置IP地址ProCurveSwitch2626(vlan-I)#ipaddress步驟3：配置默認(rèn)網(wǎng)關(guān)ProCurveSwitch2626(config)#ipdefault-gateway查看配置要查看交換機(jī)當(dāng)前的配置，可使用showrunning-conflg命令。例如：ProCurveSwitch2626(config)#showrunning-configRunningconfiguration:;J4900BConfigurationEditor;Createdonrelease#HI.08.86hostnameHProCurveSwitch2626”ipdefault-gatewaysnmp-servercommunity"public1*Unrestrictedvlan1name"DEFAULT_VLANMuntagged1-26ipaddressexitpasswordmanagerpasswordoperator要查看交換機(jī)接口的狀態(tài)，可使用showinterface命令。例如:

ProCurveSwitch2626(config)#showinterfacesStatusandCounters-PortCountersPortTotalBytesTotalFramesErrorsRxDropsRxFlowCtrlBeastLimit10000off020000off030000off040000off050000off060000off070000off080000off090000off0100000off0110000off0120000off0130000off0140000off0150000off0160000off0170000off0180000off0190000off0200000off0210000off0220000off0230000off0240000off0250000off0260000off0注：所有的端口都沒有啟用，故沒有流量。保存配置交換機(jī)啟動后，IOS是從NVRAM中加載配置并將其放入RAM中，所以要將交換機(jī)中RAM當(dāng)前的配置保存到NVRAM中，就要使用writememory這條命令。在這個過程中，NVRAM中的舊的配置文件被覆蓋。例如：ProCurveSwitch2626(config)#writememory刪除配置當(dāng)需要刪除交換機(jī)所有配置時，可使用erasestartup-config命令。這樣交換機(jī)重起后所有配置就恢復(fù)到了出廠狀態(tài)。例如：ProCurveSwitch2626(config)#erasestartup-configConfigurationwillbedeletedanddevicerebooted,continue[y/n]?yRebootingtheSystem注意：在實驗過程中，絕對不要使用eraseflash命令！命令行的基本語法命令的簡寫和完成CLI與允許簡寫命令和參數(shù)，直到最后只剩下它們獨特的字符為止。例如，想要從用戶EXEC轉(zhuǎn)到特權(quán)EXEC模式時，可以鍵入en而不是enable：ProCurveSwitch2626>enProCurveSwitch2626#然而，輸入的字符必須是這條命令唯一的。例如，不能僅僅鍵入字母e,因為還有其他命令是一字母e開頭的，如exit。上下文敏感幫助當(dāng)用戶不能確定需要執(zhí)行哪條命令的時候，可以在提示符后鍵入help或？，這樣這臺設(shè)備就會顯示所在的級別內(nèi)可以執(zhí)行的命令的清單，連同每條命令的簡要描述。ProCurveSwitch2626>?enable EntertheManagerExeccontext.exit Returntothepreviouscontextorterminatecurrentconsole/telnetsessionifyouareintheOperatorcontextlevel.link-test TesttheconnectiontoaMACaddressontheLAN.logout Terminatethisconsole/telnetsession.menu Changeconsoleuserinterfacetomenusystem.

pingshowpingshowtraceroute Sendtraceroutetoadeviceonthenetwork.要得到更詳細(xì)的幫助，可以在一條命令或參數(shù)后鍵入一個空格和一個？。這會使CLI列出這條命令所包括的可用選項和參數(shù)。例如，可以鍵入erase后面加上？以查看erase命令所有可用參數(shù)：ProCurveSwitch2626#erase?flash Erasetheprimaryorsecondaryflashimage.startup-config Eraseconfigurationfile.或者如果不能確定如何拼寫一條命令，則可以輸入前幾個字符，并且直接在這些字符后面鍵入“？”；例如，e?在當(dāng)前模式中列出所有以e開頭的命令：ProCurveSwitch2626#e?enderaseexit4.2菜單（menu）模式的使用HP交換機(jī)中有菜單（menu）配置模式，這樣能很方便的對配置進(jìn)行設(shè)置,操作如下：步驟1：登陸交換機(jī)，進(jìn)入特權(quán)模式步驟2：在特權(quán)模式下輸入“menu”ProCurveSwitch2626#menu步驟3：利用菜單進(jìn)行交換機(jī)配置

ProCurveSwitch2626l-JanT9900:00:301文件9編轉(zhuǎn)⑥查看9呼叫?傳送9裕助QPProCurveSwitch2626l-JanT9900:00:301-CONSOLE-MANAGERMODE-=

MainMenu1.StatusandCounters.2.SwitchConfiguration3.ConsolePasswords...4.EventLog5.CoMMandLine(CLI)6.RebootSwitch7.DownloadOS8.RunSetup9.Stacking...0.LogoutProvidestheMenutodisoldvconfiduration,statusandcounters|Toselectmenuitem,pressitemnunber,orhighlightitemdndpress<Enter>.巳連搜o0111AMSR巳連搜o0111AMSR96008-M-l4.3網(wǎng)頁(web)模式的使用HP交換機(jī)有網(wǎng)頁(web)配置模式，這樣能很直觀的對設(shè)備進(jìn)行配置。步驟1：打開網(wǎng)頁，輸入交換機(jī)IP地址步驟2：利用網(wǎng)頁進(jìn)行交換機(jī)配置Xrt<J><M>Z>-SMwXA<I>0??一wz:/”**?e???/白△0實驗二VLAN配置實驗.實驗?zāi)康?掌握VLAN的配置,包括基于端口對交換機(jī)進(jìn)行vlan劃分，將端口從VLAN中移出和刪除VLAN等配置。?用ping命令測試VLAN網(wǎng)絡(luò)連通性，加深對VLAN的基本原理和特點的認(rèn)識。.實驗設(shè)備二臺HP2626交換機(jī)，四臺PC機(jī).建議實驗環(huán)境①支持VLAN的以太網(wǎng)交換機(jī)兩臺，交換機(jī)間用雙絞線連接至各自的25號端口。在本實驗中，分別為HPProCurve2626A和HPProCurve2626B。②四臺具有以太網(wǎng)接口的PC。每臺PC所連接的交換機(jī)端口如圖所示。.實驗內(nèi)容VLAN的基本知識：VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN的劃分有三種方式：基于端口(Port)、基FMAC地址和基于IP地址。通過劃分虛擬網(wǎng)，可以把廣播限制在各個虛擬網(wǎng)的范圍內(nèi)，從而減少整個網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸，提高了網(wǎng)絡(luò)的傳輸效率；同時各虛擬網(wǎng)之間不能直接進(jìn)行通訊，而必須通過路由器轉(zhuǎn)發(fā)，為高級的安全控制提供了可能，增強(qiáng)了網(wǎng)絡(luò)的安全性。在此實驗中我們基于端口對交換機(jī)進(jìn)行配置。創(chuàng)建vlan步驟1：分別在2626A和2626B上創(chuàng)建vlan2和vlan3使用命令：(config)#vlanvid在2626A中：HP2626A(config)ttvlan2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#exit在2626B中：HP2626B(config)#vlan2HP2626B(vlan-2)#exitHP2626B(config)#vlan3HP2626B(vlan-3)#exit步驟2：查看配置使用命令：(config)#showvlan在2626A中：2626A(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN802.IQVLANID NameStatusVoiceJumbo1DEFAULT,VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo在2626B中:2626B(config)#showvlanStatusandCounters-VLANInformationMaximumVLANstosupport:8PrimaryVLAN:DEFAULT_VLANManagementVLAN:802.IQVLANID NameStatusVoiceJumbo1DEFAULT_VLANPort-basedNoNo2VLAN2Port-basedNoNo3VLAN3Port-basedNoNo4.2為vlan分配端口使用命令：(vlan-vid)#untagged<port-list>步驟1:vlan2分配2號端口，vlan3分配3號端口在2626A中：HP2626A(vlan-2)ttuntagged2HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)ttuntagged3HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)ttuntagged2HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)ttuntagged3HP2626B(vlan-3)#exitHP2626B(config)#步驟2：查看配置使用命令：(config)#showvlanvid在2626A中：HP2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 UntaggedLearn UpHP2626A(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3StatusPortInformationModeUnknownVLANStatus3 UntaggedLearn Up在2626B中：HP2626B(config)ttshowvlan2StatusandCounters-VLANInformation-Ports-VLAN2IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntaggedLearn UpHP2626B(config)ttshowvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3Name:VLAN3Status:PortInformationModeUnknownVLANStatusUntaggedLearn Up4.3給vlan配上中繼端口使用命令:使用命令：(vlan-vid)#tagged<port-list>步驟1：為vlan2和vlan3配置中繼端口25在2626A中：HP2626A(vlan-2)fttagged25HP2626A(vlan-2)#exitHP2626A(config)#vlan3HP2626A(vlan-3)#tagged25HP2626A(vlan-3)#exitHP2626A(config)#在2626B中：HP2626B(vlan-2)#tagged25HP2626B(vlan-2)#exitHP2626B(config)ttvlan3HP2626B(vlan-3)#tagged25HP2626B(vlan-3)#exitHP2626B(config)#步驟2：查看配置使用命令:(config)#showvlanvid在2626A中：2626A(config)#showvlan2StatusandCounters-VLANInformation-Ports-VLAN2802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn Up25 Tagged Learn Up2626A(config)#showvlan3StatusandCounters-VLANInformation-Ports-VLAN3802.IQVLANID:3

Name:VLAN2Status:PortInformationModeUnknownVLANStatusUntagged Learn UpTagged Learn Up在2626B中：2626B(config)#showvlan2StatusandCounters-VLANInformation-Ports-802.IQVLANID:2Name:VLAN2Status:PortInformationModeUnknownVLANStatus2 Untagged Learn Up25 Tagged Learn Up2626B(config)#showvlan3StatusandCounters-VLANInformation-Ports-802.IQVLANID:3Name:VLAN2Status:PortInformationModeUnknownVLANStatusVLAN2VLAN33 Untagged Learn UpVLAN2VLAN325 Tagged Learn Up

4.4驗證配置給每臺PC設(shè)置IP地址，要求同一vlan中PC要設(shè)同一網(wǎng)段的地址。PC編號IP地址子網(wǎng)掩碼PCIPC2PC3PC4用ping命令檢測PC之間的連通性。源地址目的地址是否連通(是/否)4.5端口移出vlan從vlan中移出端口，只要把vlan中的端口分配給其他vlan即可。在此實驗中我們把端口全部移到vlanl中。在2626A中：HP2626A(vlan-l)#untagged1-2在2626B中：HP2626B(vlan-1)#untagged1-24.6刪除VLAN刪除vlan2和vlan3使用命令：(config)#novlanvid在2626A中：HP2626A(config)#novlan2HP2626A(config)#novlan3在2626B中：HP2626B(config)#novlan2HP2626B(config)Unovlan3實驗三三層交換配置實驗.實驗?zāi)康?掌握三層交換的網(wǎng)絡(luò)配置?用ping命令測試VLAN之間網(wǎng)絡(luò)連通性，加深對VLAN間通信的基本原理和特點的認(rèn)識。.實驗設(shè)備一臺HP5308交換機(jī)，二臺HP2626交換機(jī)，四臺PC機(jī).建議實驗環(huán)境①支持VLAN的以太網(wǎng)交換機(jī)三臺，其中一臺為三層交換機(jī)（本例使用HP5308交換機(jī)）。HP2626A的25號端口連接HP5308的B1號端口，HP2626B的25號端口連接5308的B2號端口。②四臺具備以太網(wǎng)接口的PC,分別連接分屬不同VLAN的交換機(jī)端口，具體連接端口參考下圖。.實驗內(nèi)容什么是三層交換?

三層交換(也稱多層交換技術(shù)，或IP交換技術(shù))是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。注意：保持實驗二中的配置。下面在5308上進(jìn)行配置。1創(chuàng)建vlan2和vlan3HP5308(config)#vlan2HP5308(config)#vlan34.2配置VLAN2和VLAN3的IP地址。使用命令：(vlan-vid)#ipaddressIP-ADDRIP-MASK在此實驗中我們定義vlan中的IP地址為:Vlan-vidIp地址子網(wǎng)掩碼VianVian3HP5308(vlan-2)#ipaddressHP5308(vlan-3)#ipaddress查看配置：使用命令：HP5308(config)#showipInternet(IP)ServiceIPRouting:disabledDefaultTTL:64ArpAge :20VLAN|IPConfigIPAddressSubnetMaskProxyARPVLAN|IPConfigIPAddressSubnetMaskProxyARPDEFAULTVLANDisabledVLAN2 Manual NoVLAN3 Manual 10.1.3,1 No3為Vian配上中繼端口HP5308(vlan-2)#taggedB1-B2HP5308(vlan-3)#taggedB1-B2啟動ip路由使用命令：HP5308(config)#iprouting查看配置：使用命令：HP5308(config)#showiprouteIPRouteEntriesDestination/GatewayVLANTypeSub-TypeMetricDist/24VLAN2connected00/24VLAN3connected00/8rejectstatic0250/32lo0connected00驗證配置在vlan2中的PC,IP地址范圍為：-254網(wǎng)關(guān)：在vlan3中的PC,IP地址范圍為：-254網(wǎng)關(guān)：

PC編號IP地址子網(wǎng)掩碼PC1PC2PC3PC4用ping命令檢測PC之間的連通性。源地址目的地址是否連通（是/否）實驗四生成樹協(xié)議配置實驗.實驗?zāi)康恼莆丈蓸鋮f(xié)議的配置方法。檢查協(xié)議生成后，各連接端口的工作狀態(tài)。掌握更改端口狀態(tài)的方法。.實驗設(shè)備一臺HP5308交換機(jī)，二臺HP2626交換機(jī).建議實驗環(huán)境支持生成樹協(xié)議交換機(jī)三臺，HP5308的B1端口連接HP2626A的25號端口，HP5308的B2端口連接HP2626B的25號端口，兩臺HP2626的26號端口互相連接。如下圖所示。72626A 25/26;72626A 25/26;畫一 事第以 4.實驗內(nèi)容2626BSTP(SpanningTreepProtocol)能夠提供路徑冗余，使用STP可以使兩個終端中只有一條有效路徑。STP在大的網(wǎng)絡(luò)中定義了一個樹，并且迫使一定的備份路徑處于備用狀態(tài)。如果生成樹中的網(wǎng)絡(luò)一部分不可達(dá)，或者STP值變化了，生成樹算法會重新計算生成樹拓?fù)洌⑶彝ㄟ^啟動備份路徑來重新建立連接。STP操作對于終端來說是透明的，而不管終端連在LAN的某一部分或者多個部分。當(dāng)創(chuàng)建網(wǎng)絡(luò)時，網(wǎng)絡(luò)中所有節(jié)點存在多條路徑。生成樹中的算法計算出最佳路徑。啟用生成樹協(xié)議交換機(jī)默認(rèn)的情況下，生成樹協(xié)議是禁止的，所以要手動啟用此協(xié)議。使用命令：(config)ttspanningtree在各臺交換機(jī)上啟用生成樹協(xié)議5308(config)^spanningtree2626A(config)ttspanningtree2626B(config)^spanningtree查看生成樹協(xié)議狀態(tài)通過查看我們可以很清楚的知道，哪個端口是轉(zhuǎn)發(fā)狀態(tài)，哪個端口是阻塞狀態(tài)。使用命令：(config)#showspanningtree在5308上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:11TimeSinceLastChange:8minsRootMACAddress:000f20-847d00RootPathCost:0

RootPort:ThisswitchisrootRootPriority:32768PortTypeCostPriorityStateDesignatedBridge——— +—Bl100/1000T20000128Forwarding000f20-847d00B2100/1000T20000128Forwarding,000f20-847d00B3100/1000T20000128DisabledB4100/1000T20000128Disabled在2626A上:RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:7TimeSinceLastChange:7minsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768BPDUPortTypeCostPriorityFilterStateDesignatedBridgePortTypeCostPriorityFilterStateDesignatedBridge1 10/100TX 200000 128 No Disabled2 10/100TX 200000 128 No Disabled |25100/1000T20000 128 No Forwarding|000f20-847d0026100/1000T20000 128 No Blocking|001708-752fc0在2626B上：RapidSpanningTree(RSTP)InformationSTPEnabled:YesForceVersion:RSTP-operationSwitchPriority:32768 HelloTime:2MaxAge:20 ForwardDelay:15TopologyChangeCount:6TimeSinceLastChange:28secsRootMACAddress:000f20-847d00RootPathCost:20000RootPort:25RootPriority:32768PortTypeCostPriorityState|DesignatedBridge1 10/100TX200000 128 Disabled2 10/100TX200000 128 Disabled25 100/1000T20000 128 Forwarding|000f20-847d0026 100/1000T20000 128 Forwarding|001708-752fc0更改生成樹優(yōu)先級通過更改交換機(jī)上的生成樹優(yōu)先級，可以改變端口的狀態(tài)。從而可以自行指定哪個端口轉(zhuǎn)發(fā)，哪個端口阻塞。使用命令：(config)#spanningtreepriority<0-15>0為最高級，15為最低級4查看更改后生成樹協(xié)議狀態(tài)設(shè)備名稱優(yōu)先級端口號端口狀態(tài)實驗五路由器的基本配置實驗.實驗?zāi)康恼莆章酚善鞯幕九渲帽容^路由器和交換機(jī)配置的異同了解路由器的連接方法.實驗設(shè)備兩臺HP7102路由器.建議實驗環(huán)境①兩臺路由器分別通過控制臺端口(ConsoleU)連接PC的Com口。②兩臺HP7102路由器的以太網(wǎng)0/1端口連接起來。如下圖所示。eth0/1eth0/14r:?一 帆方::7102A 7102B4.實驗內(nèi)容路由器的配置和交換機(jī)基本類似，但也有很多不同的地方。1設(shè)置console密碼使用命令：(config)#lineconsole0(config-conO)^passwordLINE(passwordmd5LINE)(config-conO)#login本次試驗中，設(shè)置密碼為：hpPasswordLINE:表示用明文設(shè)置密碼，在查看配置時可顯示。例如： linecon0loginpasswordhpPasswordmd5LINE:表示用md5加密密碼，在查看配置時不能顯示密碼,顯示的是亂碼。例如： !linecon0loginpasswordmd5encryptedd2ccdal0db94c2b5d51beedl0484c025注：當(dāng)兩種密碼同時設(shè)置時，取md5加密密碼。ProCurveSR7102dl(config)#lineconsole0ProCurveSR7102dl(config-conO)ttpasswordmd5hpProCurveSR7102dl(config-conO)ttlogin退出超級終端，重新用超級終端登陸時，Password:**ProCurveSR7102dl>2設(shè)置telnet密碼使用命令：(config)#linetelnet04(config-telnetO-4)#passwordLINE(passwordmd5LINE}(config-conO)Wlogin本次試驗中，設(shè)置密碼為：hppasswordLINE和passwordmd5LINE意義同上。ProCurveSR7102d1(config)#1inetelnet04ProCurveSR7102d1(config-teInetO-4)Spasswordmd5ProCurveSR7102dl(config-conO)Slogin假設(shè)ethO/1端口IP地址為,ethO/1連接PC機(jī)以太網(wǎng)網(wǎng)卡。那么，在命令提不符卜：C:>telnetPassword:**ProCurveSR7102dl>為ethO/1端口配置IP地址分別在兩臺路由器上ethO/1配置IP地址，地址如下:設(shè)備名IP地址子網(wǎng)掩碼7102A7102B在7102A上:7102A(config)ttinterfaceEthernet0/17102A(config-eth0/l)#ipaddress7102A(config-eth0/1)#noshutdown在7102B上:7102B(config)ttinterfaceEthernet0/17102B(config-eth0/1)#ipaddress7102B(config-eth0/1)#noshutdown保存配置保存配置的命令與交換機(jī)的不同使用命令：(config)#dowritememory7102A(config)#dowritememory7102B(config)#dowritememory驗證配置在7102A路由器上ping7102B的ethO/1端口在7102B路由器上ping7102A的ethO/1端口是否連通？［是/否］實驗六廣域網(wǎng)配置實驗.實驗?zāi)康?了解并掌握路由器E1端口?掌握配置PPP協(xié)議.實驗設(shè)備兩臺HP7102路由器.建議實驗環(huán)境兩臺HP7102路由器，用交叉線將兩臺路由器的E1口連接起來，如下圖所示：El E1.實驗內(nèi)容E1接口可有兩種配置：①作為信道化(Channelized)El接口使用。接口在物理上分為31個時隙，可以任意地將全部時隙分成若干組，每組時隙捆綁以后作為一個接口使用，其邏輯特性與同步串口相同，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。②作為非信道化(Unchannelized)El接口使用。接口在物理上作為一個2M速率的G.703同步串口，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。Baettwe在此實驗中，我們用El接口來做廣域網(wǎng)實驗，所用協(xié)議為PPP。4.1配置E1端口使用命令：(config)Sinterfaceel<slot/port>(config-el<slot/port?#tdm-group<1-255>timeslots<timeslotrange>(config-el<slot/port>)#noshutdown在此實驗中我們定義tdm-group為1,timeslots為1-31在7102A上：7102A(config)#interfaceel1/17102A(config-el1/1)#tdm-group1timeslots1-317102A(config-el1/1)#noshutdown在7102B上：7102B(config)#interfaceel1/17102B(config-el1/1)#tdm-group1timeslots1-317102B(config-el1/1)#noshutdown查看配置：ProCurveSR7102dl(config-ell/l)#doshowinterfacesel1/1el1/1isUPReceiverhasnoalarmsElcodingisHDB3,framingisElClocksourceislineNonetworkloopbacksLastclearingofcounters00:05:00lossofframe:0lossofsignal:0AISalarm:0Remotealarm:0TimeslotStatus:01234567890123456789012345678901StatusLegend:'=Timeslotisunallocated'N'=Timeslotisdedicated(nailed)'F'=TimeslotisdedicatedforframingLineStatus:一NoAlarms一5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/secCurrentPerformanceStatistics:0ErroredSeconds,0BurstyErroredSeconds0SeverelyErroredSeconds,0SeverelyErroredFrameSeconds0UnavailableSeconds,0PathCodeViolations0LineCodeViolations,0ControlledSlipSeconds0LineErroredSeconds,0DegradedMinutesTDMgroup1,lineprotocolisnotsetEncapsulationisnotset為El端口配置PPP使用命令：(config)#interfaceppp<l-1024>(config-ppp<l-1024?#ipaddressIP-ADDRIP-MASK(config-ppp<l-1024>)#bind<l_1024>el<slot/port><l-255>ppp<l-1024>說明:在命令bind<l-1024>el<slot/port><l-255>ppp<l-1024>中第一個<1TO24>是bind的序號，<1-255>是tdm-group的序號，最后一個<1-1024>是ppp的序號，命令是用來把物理接口E1和虛擬接口ppp綁定在一起。在7102A中:7102A(config)Sinterfaceppp17102A(config-pppl)#ipaddress7102A(config-pppDttbind1el1/11ppp17102A(config_pppl)#noshutdown在7102B中:7102Bconfig)#interfaceppp17102Bconfig-pppl)#ipaddress7102Bconfig-ppp1)#bind1el1/11ppp17102B(config-pppl)#noshutdown驗證配置在7102A路由器上ping7102B的El1/1端口在7102B路由器上ping7102A的El1/1端口是否連通？［是/否］實驗七 RIP協(xié)議配置實驗.實驗?zāi)康牧私饴酚善髅畹淖饔?。掌握如何配置RIP協(xié)議。測試網(wǎng)絡(luò)連通性.實驗設(shè)備一臺HP7203路由器，兩臺HP7102路由器，兩臺HP2626交換機(jī)，兩臺PC.建議實驗環(huán)境①支持RIP協(xié)議的路由器三臺（本例使用兩臺HP7102路由器和一臺7203路由器）②7102路由器用E1端口連接，7203路由器的兩個以太網(wǎng)口分別連接兩臺7102路由器。③每臺7102路由器下各接一臺2626交換機(jī)。④2626交換機(jī)下接一臺PC。如下圖所示：PC1PC2

PC1PC2按照實驗五和實驗六把路由器的各個端口按以下地址配好。按照實驗一把交換機(jī)的IP地址配好。各端口地址如下：設(shè)備名稱端口號IP地址子網(wǎng)掩碼7203Eth0/7203Eth0/7102AEth0/7102AEth0/7102AEl1/17102BEth0/7102BEth0/7102BEl1/12626AVian2626BVian電腦地址設(shè)置設(shè)備名稱IP地址子網(wǎng)掩碼網(wǎng)關(guān)PCIPC.實驗內(nèi)容什么是rip協(xié)議？RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP),適用于小型同類網(wǎng)絡(luò)，是典型的距離向量協(xié)議。RIP通過廣播UDP報文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個不等速或不同帶寬的路由器，但跳躍計數(shù)相同，則RIP認(rèn)為兩個路由是等距離的。RIP最多支持的跳數(shù)為15,即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15,斟數(shù)16表示不可達(dá)。1按拓?fù)鋱D配置所有路由器和交換機(jī)的網(wǎng)絡(luò)接口IP地址、掩碼地址。驗證連通性。使用ping命令測試路由器互相連接的以太接口之間的連通性啟用RIP協(xié)議：使用命令：(config)#routerrip(config-rip)Sversion<1-2>(config-rip)#networknetworkaddresssubnetmask說明：每臺路由器的ripversion都設(shè)置為2。不同的version會造成實驗的失敗。ripl和rip2的區(qū)別在于：RIPV1采用廣播地址作為來作為通告路由更新信息的目的地地址，而RIPV2采用組播地址作為來作為通告路由更新信息的目的地地址；RIPV1是有類路由協(xié)議，路由更新中沒有子網(wǎng)延碼，自動匯總；RIPV2是無類路由協(xié)議，路由更新中包含子網(wǎng)延碼，可以手動匯總，支持VLSM。在7203上：7203(config)#routerrip7203(config-rip)#version27203(config-rip)#network 10. 1. 1.0 7203(config-rip)#network 10. 1. 2.0 7203(config-rip)#network 10. 1. 3.0 7203(config-rip)ttnetwork 10. 1. 4.0 7203(config-rip)#network在7102A上:7102A(config)ttrouterrip7102A(config)ttrouterrip7102A(config-rip)Aversion7102A(config-rip)#network7102A(config-rip)ftnetwork7102A(config-rip)#network7102A(config-rip)#network7102A(config-rip)Snetwork在7102B上:7102B(config)#routerrip7102B(config-rip)ttversion27102B(config-rip)#network 10. 1. 1. 0 255. 255.255.07102B(config-rip)ttnetwork 10. 1. 2. 0 255. 255.255.07102B(config-rip)#network 10. 1. 3. 0 255. 255.255.07102B(config-rip)Snetwork 10. 1. 4. 0 255. 255.255.07102B(config-rip)Network查看路由表。使用命令：(config)#doshowiproute查看每臺路由器的路由表，并填寫下列表格實驗八無線網(wǎng)絡(luò)環(huán)境.實驗?zāi)康膶W(xué)習(xí)無線網(wǎng)絡(luò)使用環(huán)境熟悉無線設(shè)備基本情況熟悉無線AP的基本配置熟悉使用命令行（CLI）和網(wǎng)頁瀏覽器界面（Web）兩種方式管理AP.實驗設(shè)備?AP420（或者AP530）?一臺有無線網(wǎng)卡（NIC）的PC機(jī).實驗環(huán)境使用一條DB9的線纜連接PC機(jī)的COM1□和AP的console端口。Username:adminC0M1 ConsoleportPassword: .DB9cable AP420圖1配置無線AP.實驗內(nèi)容基本無線網(wǎng)絡(luò)使用環(huán)境和特點

圖2圖2無線網(wǎng)絡(luò)環(huán)境802.11無線網(wǎng)絡(luò)布署有如下兩個基本特點：.依托于現(xiàn)有有線網(wǎng)絡(luò)。.AP作為邊緣接入設(shè)備，控制操作均來自管理中心。AP420和AP530的基本情況特點：■?802.11b/gradio-?8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特點AP420s802.11b/gand802.11a,b/gradio特點：■?802.11b/gradio-?8WLANsWEP,dynamicWEP,WPA/WPA2(802.111)SVPAP530-q、特點AP420s802.11b/gand802.11a,b/gradio16WLANsWEP,dynamicWEP,WPA/WPA2(802.111)InternalRADIUSSVPWMMWirelessbridging(WDS)價格圖3AP420和AP53O比較查看AP420的指示燈了解無線網(wǎng)絡(luò)的工作狀況，具體指示燈含義如下:圖4Ap420指示燈含義無線AP的基本配置我們必須對AP配上相應(yīng)的IP之后，方可使用Telnet、SSH和Web等方式來管理AP,因為這些都是建立在IP網(wǎng)絡(luò)層以上的。在用DB9線纜連接好PC和AP之后，需要建立一個終端連接，其基本配置使用默認(rèn)值：Port:COM-1(standard)Baudrate:9600Databits:8Stopbit:1Parity:NoneFlowcontrol:None之后輸入默認(rèn)的管理員用戶名和密碼，AP420用戶名為admin,密碼為空；AP530用戶名和密碼都為admin。之后就可以進(jìn)入AP的命令行(CLI)配置模式了，AP420的CLI操作系統(tǒng)架構(gòu)如圖示：

usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1usernamepassword /managementEthernetwireessssid[index|name]managerEXECglobalconfigurationconfigure1,interfaceendSSID圖5AP420CL1操作系統(tǒng)架構(gòu)無線AP的國家代碼修改進(jìn)入管理員執(zhí)行模式之后，輸入命令"country?”:ProCurveAP420#country?ProCurveAP420#country<code>AP重起之后生效。保證AP的發(fā)送接收頻率滿足使用國家的許可要求后，AP方可正常工作。無線AP的提示符修改為了對AP進(jìn)行功能上的區(qū)分，需要對AP的提示名進(jìn)行修改，那么經(jīng)過以下命令之后，可以修改AP的名稱為LAB-AP：ProCurveAP420#configureProCurveAP420(config)#promptLAB-AP之后的提示符就是：LAB-AP(config)#管理名用戶名和密碼修改為了保證AP的安全管理，進(jìn)入管理模式后可修改用戶名和密碼，輸入:LAB-AP(config)#managementLAB-AP(config-mgmt)#設(shè)置AP的管理員密碼和用戶名命令如下：LAB-AP(config-mgmt)#password-admin<password>LAB-AP(config-mgmt)#username-admin<name>增加CLI+Web的管理用戶名和密碼命令如下：LAB-AP(config-mgmt)#useraddcli+web<username><password>退出管理員模式：LAB-AP(config-mgmt)#end設(shè)置AP的IP地址為了管理AP和AP之后的工作站，必須為關(guān)掉AP的DHCP功能并為AP指定IP、mask和網(wǎng)關(guān)地址。命令如下：LAB-AP(config)#interfaceethernetLAB-AP(if-ethernet)#noipdhcpLAB-AP(if-ethernet)#ipaddressIP-ADDRIP-MASKIP-Gateway查看AP的配置(1)查看AP的當(dāng)前配置情況：LAB-AP(config)#showrunning-config可以看到剛才配好的AP名稱、IP地址等信息。(2)查看AP的無線接口：LAB-AP#showinterfacewirelessg可看到如F參數(shù)radio的狀態(tài)現(xiàn)有使用的頻道和其他radio的設(shè)置靜態(tài)WEP的密鑰分配(3)查看WLAN的設(shè)置：LAB-AP#showssid[index<number>Iname<ssid>]可看到如下參數(shù)：SSID安全設(shè)置Radius認(rèn)證設(shè)置(4)查看某個SSID下的具體設(shè)置LAB-AP(wireless-g-ssid-l)#show保存和刪除配置LAB-AP#writememoryLAB-AP#erasestartup-config管理無線AP的兩種方式命令行(CLI)和網(wǎng)頁瀏覽器界面(Web)對AP分配好地址之后，你就可以使用與AP用以太網(wǎng)口相連的PC來管理它了。CLITelnet+AP的IP地址進(jìn)行遠(yuǎn)程登錄安全的方式SSH：使用軟件PuTTY來打開一個SSH會話(2)頁面瀏覽器界面在瀏覽器中輸入AP的IP地址安全的方式Https：輸入https://IP-AP兩種安全的方式AP420都必須事先打開相關(guān)功能。之后輸入管理員帳號和密碼即可登錄。Web界面如圖示:

Radio是關(guān)閉的ThankyouforpurchasingthisHPJ8130AWirelessAccessPoint420We'dliketokeepyouuptodateabout?Softwarefeatureupdates?Newproductannouncements?Specialevents圖6Ap420的Web登錄界面按下Identity鍵可以看到基本的系統(tǒng)信息，包括：軟件版本，系統(tǒng)更新時間，IP地址和以太網(wǎng)接口的MAC地址等。實驗九安全無線網(wǎng)絡(luò)的設(shè)計和部署.實驗?zāi)康耐ㄟ^AP420設(shè)計實驗室統(tǒng)一互聯(lián)的無線局域網(wǎng)理解802.11i的相關(guān)安全機(jī)制為該無線局域網(wǎng)部署安全接入和加密方法設(shè)計集中的DHCP和Radius服務(wù)器，來為無線客戶端分配IP和進(jìn)行安全身份認(rèn)證，并制定交換機(jī)端口無線接入和群組策略.實驗設(shè)備6臺AP420(或者AP530)7臺5300x1交換機(jī),一臺Windows2003Server的服務(wù)器和多臺無線接入客戶端計算機(jī)，其中Windows2003Server必須包含如下組件：Internet認(rèn)證服務(wù)(IAS)；2)動態(tài)目錄(ActiveDirectory)3)動態(tài)主機(jī)地址分配協(xié)議(DynamicHostConfigurationProtocol)4)支持Java控件的瀏覽器無線客戶端計算機(jī)為WindowsXPServicePack2并包含無線客戶端配置工具。.實驗環(huán)境考慮到實驗室AP的分配情況,6臺AP420通過6臺5300x1連到中心5300x1交換機(jī)，服務(wù)器與中心交換機(jī)直聯(lián)，我們設(shè)計整個無線局域網(wǎng)連接如圖所示:AP420_l5300xl_lJ-i?2HJ?*?**?AP420_205300xl_35300xl_2AP420_30AP420.40無線客戶端認(rèn)證成

功后動態(tài)分配IP5300xl_4AP420.505300xl_5DHCP和Radius服務(wù)器5300xWindows2003server0AP420_60J-AP420_l5300xl_lJ-i?2HJ?*?**?AP420_205300xl_35300xl_2AP420_30AP420.40無線客戶端認(rèn)證成

功后動態(tài)分配IP5300xl_4AP420.505300xl_5DHCP和Radius服務(wù)器5300xWindows2003server0AP420_60J-5300xl_6圖1實驗室無線局域網(wǎng)連接圖整個實驗中設(shè)備的IP地址分配如表所示設(shè)備IP地址子網(wǎng)掩碼地址分配方式5300x靜態(tài)指定5300xl_l~5300xl_6-靜態(tài)指定AP420_l~AP420_60、0、0、0,0、0靜態(tài)指定Windows2003Server0靜態(tài)指定WindowsXPStation動態(tài)(?54)由DHCP月艮務(wù)器動態(tài)分配表1網(wǎng)絡(luò)交換設(shè)備的IP分配衣.實驗內(nèi)容為所有的AP420和5300x1交換機(jī)設(shè)置VLAN成員按照上圖連接好各網(wǎng)元之后，需要為連接AP420和Windows2003Server的交換機(jī)端口設(shè)置正確的VLAN成員。實驗中主要分了3個不同的VLAN,其中無線客戶端通過VLAN8來獲取動態(tài)IP地址，Windows2003Server放在VLAN10中，為客戶端提供認(rèn)證和DHCP服務(wù)，而所有網(wǎng)元處于VLAN1中分配/25段的IP地址便于進(jìn)行管理。AP420設(shè)置兩個不同SSID的WLAN為用戶和管理員提供不同的VLAN接口。如表所示：設(shè)備VLANID用途中心5300x11管理用途VLAN8無線客戶端所屬的VLAN10Windows2003Server所屬的有線VLAN段5300xl_l~5300xl_61管理用途VLAN8無線流量轉(zhuǎn)發(fā)VLANAP4201SSID為Faculty-X的WLAN專用VLAN8SSID為Admin-X的WLAN專用VLAN表2VLAN成員分配表.配置中心5300x1交換機(jī)a.為VLAN1分配IP地址，作為管理VLAN的網(wǎng)關(guān)，啟用IP路由ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1ipaddressProCurveSwitch(config)#iproutingb.為VLAN8配置六個tagged端口，表示與5300x1」?5300xl_6相連，并設(shè)為VLAN8的網(wǎng)關(guān)IP,并添加DHCP服務(wù)器地址ProCurveSwitch(config)#vlan8tagged<port#>-<port#>ProCurveSwitch(config)#vlan8ipaddressProCurveSwitch(config)#vlan8iphelper-address0c.將Windows2003Server連接的端口設(shè)為untagged,并設(shè)為VLAN10的網(wǎng)關(guān)IPProCurveSwitch(config)#vlan10untagged<port#>ProCurveSwitch(config)#vlan10ipaddressd.保存交換機(jī)配置ProCurveSwitch(config)#writememory.酉己置5300x1」?5300xl_6交換機(jī)a.配置與中心5300x1相連的端口為VLAN1的tagged成員，并添加用于管理的IP地址(見表一)ProCurveSwitch#configureterminalProCurveSwitch(config)#vlan1tagged<port#>ProCurveSwitch(config)#vlan1ipaddress10.1.1.xb.配置與AP相連的端口和與中心5300x1相連的端口為VLAN8的tagged成員，用于無線通信的轉(zhuǎn)發(fā)ProCurveSwitch(config)#vlan8tagged<port#>-<port#>c.保存交換機(jī)配置ProCurveSwitch(config)#writememory.為AP添加管理IP(IP分配如表一)ProCurveAP420#configureProCurveAP420(config)#interfaceethernetProCurveAP420(if-ethernet)#noipdhcpProCurveAP420(if-ethernet)#ipaddress10.1.1.X配置好之后用ping命令檢查各網(wǎng)元的連通性。.2理解802.11i的無線安全機(jī)制并對AP420進(jìn)行無線安全設(shè)置.接入認(rèn)證技術(shù)：802.lx端口控制協(xié)議.1X協(xié)議把交換設(shè)備上的端口分為兩種受控端口(Controlledport)和非受控端口(Uncontrolledport),如圖所示：

PAEPAEStation f^HSESSm鹿麗S畫RADIUS

server圖2802.lx端口控制技術(shù)*PAE=端口訪問實體（portaccessentity）,基于端口實現(xiàn)的802.1x虛擬實體受控端口的作用是：可以通過所有的流量，但未認(rèn)證之前是關(guān)閉的主要用于基于認(rèn)證狀態(tài)的網(wǎng)絡(luò)接入控制非受控端口的作用是：僅僅允許EAP（ExtensibleAuthenticationProtocol擴(kuò)展認(rèn)證協(xié)議）流量通過用于傳送認(rèn)證消息受控端口分為兩種狀態(tài)：當(dāng)連接最開始而且沒有通過認(rèn)證或者終端認(rèn)證失敗時處于禁止?fàn)顟B(tài)；當(dāng)認(rèn)證服務(wù)器返回EAP-Success或者認(rèn)證者假定網(wǎng)絡(luò)沒有啟用802.1X時，該端口處于放行狀態(tài)。而消息是通過EAP（Extensibleauthenticationprotocol擴(kuò)充認(rèn)證協(xié)議）方法來傳送的。圖示是EAP-md5和EAP-GTC兩種方法，并用表將所有EAP方法的安全特性進(jìn)行比較；不安全因素：?不安全因素：?沒有密鑰分配?沒有相互認(rèn)證?用戶名使用明文發(fā)送?MD5一用戶名和哈希后的密碼?GTC一用戶名和計算值來自令牌卡EAPRequest/MD5RADIUSserver（或者密碼）EAPRequest/MD5RADIUSserverStation口）））MySecretHash|3$EAPResponse/MD5Userl3$圖3較常用的兩種EAP方法EAP方法認(rèn)證憑據(jù)密鑰分發(fā)相互認(rèn)證隱藏用戶身份協(xié)議公開性RFC文檔請求者服務(wù)器MD5UsernamePasswordNoneV1321TLSCertificateCertificate7JV2716TTLSUsernamePasswordCertificateVV必需VPEAPUsernamePasswordCertificateVV可選VSIMSIMcardGSM三元組VV可選V(GSM)4186AKAUSIM3rdgenerationAKAJV可選V(UGSM)4187LEAPUsernamePasswordPasswordVVCisco專有SRPUsernamePasswordPasswordVV可選V表3常用EAP方法應(yīng)用和安全比較在微軟的操作系統(tǒng)中應(yīng)用比較廣泛的是EAP-PEAP,本實驗也采用PEAP方法進(jìn)行配置。2.幀加密算法：TKIP和CCMP/AES加密算法無線因為物理層是完全開放，它不同于有線，任何人都可以偵聽空口的數(shù)據(jù)幀，二層加密是必需啟用的。802.11無線最開始使用的是WEP加密算法，是RC4算法的一種應(yīng)用。但隨著應(yīng)用的推廣，它的弱點不斷體現(xiàn)出來，主要是有兩個缺陷：存在弱密鑰，一但某個加密密鑰流中出現(xiàn)了一個弱密鑰，整個完整的密鑰流可以被完全推出來；初始化向量IV過短，重復(fù)的可能非常大，對于抗重放攻擊存在致命弱點。為此，IEEE802.1li標(biāo)準(zhǔn)提出了兩種新的加密算法：TKIP是WEP算法的升級版本，通過密鑰的兩次雜湊過程較好的解決了弱密鑰的問題并且增加了初始化向量的長度降低了重復(fù)的可能，這種方法只要對WEP進(jìn)行簡單的軟件升級就可使用，保證了802.11無線設(shè)備的向下兼容性；CCMP/AES則是來自美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）2000年12月頒布的新一代加密標(biāo)準(zhǔn)算法，它的加密強(qiáng)度更高更可靠。本實驗中選用的組播使用TKIP,單播采用TKIP+AES,下面對TKIP中組

播和單播的密鑰產(chǎn)生過程介紹，實驗中可以比較組播不加密和加密時的性能差別。TKIP通過四次握手來完成單播密鑰的協(xié)商，如圖所示:圖4TKIP的四次握手協(xié)商圖4TKIP的四次握手協(xié)商StationO')))AP-J隨機(jī)擴(kuò)充eGMK用于生成廣播和組播的每幀密鑰Station，))))AP-J隨機(jī)擴(kuò)充eGMK用于生成廣播和組播的每幀密鑰Station，))))圖5無線組播密鑰下發(fā)完成單播密鑰協(xié)商之后，AP負(fù)責(zé)給關(guān)聯(lián)的客戶端下發(fā)組播密鑰，如圖所示:依靠四次握手種產(chǎn)生的KCK和KEK保證組播密鑰分發(fā)的安全性和完整性校驗StationStation 川口)))根據(jù)PTK或GTK中的TK來生成每幀的密鑰包括兩個步驟，如圖所示:每幀密鑰每幀密鑰PairwiseorgroupTKFirst32bitsofIV圖6每幀密鑰生成每幀完整性檢查MIC生成方法如圖所示：HeaderEncryptedDataMIC圖7Mle生成方法接收方通過校驗MIC來判斷數(shù)據(jù)幀中有沒被修改過分析完802.1li的基本框架之后就可以來配置無線AP的安