Transcript 實驗10 無線安全網路之建設 - 雲林科技大學計算機網路研究室

教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗十：無線安全網路之建設
國立雲林科技大學
電腦與通訊工程系
實驗十 無線安全網路之建設

實驗目的



實驗簡介
學習如何架設一個安全的無線網路環境
了解無線網路相關的安全設定
實驗設備




Cisco 1020 Light Weight AP
Cisco WLAN Controller 4402
Cisco Catalyst 3560 Switch
Cisco Router 2600
國立雲林科技大學電腦與通訊工程系
2
實驗十 無線安全網路之建設
實驗場景
Cisco 1020 Light Weight AP
Cisco WLAN Controller 4402
Cisco Catalyst 3560 Switch
Internet
Cisco Router 2600
Vlan 1
Fa0/0
Fa0/1
Fa0/1
FreeRADIUS
140.125.32.6
Realm: cnl.yuntech.edu.tw
Fa0/24
Gi0/1
Fa0/7
1
Vlan 3
User
Vlan 2
Guest

Group Username
guest
guest
user
cnl
VLAN
2
3
上圖為本實驗的實驗場景，接下來我們將介紹Cisco Catalyst 3560 Switch
及Cisco WLAN Controller 4402的設定。
國立雲林科技大學電腦與通訊工程系
3
實驗十 無線安全網路之建設
Cisco Catalyst 3560 Switch的設定

Cisco 1020 Light Weight AP
Internet
Cisco WLAN Controller 4402
Cisco Catalyst 3560 Switch
Fa0/24
Fa0/1
Gi0/1
1
Data Plane
Control Plane
Cisco 1020 Light Weight AP與Cisco WLAN Controller 4402連線示意圖

在 本 實 驗 中 ， 我 們 需 要 在 Cisco
Catalyst 3560 Switch上啟用DHCP
Server的功能，讓輕量型存取點
(Cisco 1020 Light Weight AP)一開
機之後，經由DHCP Server取得
與 無 線 網 路 認 證 控 制 器 (Cisco
WLAN Controller 4402)連線的資
訊(無線網路認證控制器位置)，
這樣一來，我們就不用在存取點
上做任何的設定，使用上相當方
便。
由於我們在無線網路認證控制器
上設定多個VLAN，若要讓多個
VLAN能互相連通，那麼我們就
需要在Cisco Catalyst 3560 Switch
上設定802.1Q封裝，其switchport
模式為truck。
國立雲林科技大學電腦與通訊工程系
4
實驗十 無線安全網路之建設

Cisco Catalyst 3560 Switch的設定
首先需要在DHCP上設定Cisco 1020 Light Weight AP的資訊。
ip dhcp pool dhcp-vlan-1
 option 60 ascii "Airespace.AP1200“
 option 43 ascii "192.168.1.250“

如下圖所示
國立雲林科技大學電腦與通訊工程系
5
實驗十 無線安全網路之建設

Cisco Catalyst 3560 Switch的設定
接下來需要在Switch的Interface上設定802.1Q封裝，其switchport模式為
truck。
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 spanning-tree portfast

如下圖所示
國立雲林科技大學電腦與通訊工程系
6
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402提供二種設定介面



Cisco WLAN Controller 4402的設定
圖形化介面
命令列介面
圖形化介面
命令列介面
國立雲林科技大學電腦與通訊工程系
7
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
在無線網路認證控制器開始使用之前，我們必須注意無線網路認證控制
器裡面設定的國家是否正確，這個設定關係到各國對於開放無線通訊功
率的問題。

在選單上點選「WIRELESS」  「Country」  勾選「TW」  「Apply」
 「Save Configuration」
國立雲林科技大學電腦與通訊工程系
8
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
完成設定後，點選「WIRELESS」  「Access Point」  「All APs」，
便可看到已經跟無線網路認證控制器註冊的AP。
國立雲林科技大學電腦與通訊工程系
9
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
接下來我們可以在無線網路認證控制器上新增新的SSID

點選「WLANs」  「NEW」
國立雲林科技大學電腦與通訊工程系
10
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
接下來設定相關資訊




Type：WLAN
Profile Name：cnl_wep
WLAN SSID：cnl_wep
點選「Apply」
國立雲林科技大學電腦與通訊工程系
11
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
然後會出現關於cnl_wep這個SSID的設定頁面
國立雲林科技大學電腦與通訊工程系
12
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
cnl_wep預為使用WPA2認證，在本實驗中我們將cnl_wep改為使用WEP
認證。
國立雲林科技大學電腦與通訊工程系
13
實驗十 無線安全網路之建設

Cisco WLAN Controller 4402的設定
點選「Security」  「Layer2」





Layer 2 Security：Static WEP
Key Size：40 bits
Encryption Key： e_wep (須5個字)
Allow Shared Key Authentication：勾選Enable
點選「Apply」
國立雲林科技大學電腦與通訊工程系
14
實驗十 無線安全網路之建設

入侵防護
Cisco WLAN Controller 4402內建17組的攻擊特徵

點選「Security 」  「 Wireless Protection Policies」 
Signatures」
國立雲林科技大學電腦與通訊工程系
「 Standard
15
實驗十 無線安全網路之建設

入侵防護
我們可以點擊前面的編號觀看該攻擊的詳細資訊。
國立雲林科技大學電腦與通訊工程系
16
實驗十 無線安全網路之建設
總結

以上所介紹的步驟，為使用無線網路認證控制器設定輕量型存取點的步
驟。

若您想知道更多有關無線網路認證控制器的詳細功能，可參考Cisco所提
供的Cisco 440X Series Wireless LAN Controllers手冊。
國立雲林科技大學電腦與通訊工程系
17
實驗十 無線安全網路之建設
參考資料

「無線網路安全之建設.ppt」。

「 Cisco 440X Series Wireless LAN Controllers Deployment Guide 」。

「 Cisco Wireless LAN Controller Configuration Guide 」。

「無線網路安全白皮書」林秉忠, 陳彥銘。
「 IEEE 802.11i Overview v0.1 」 ， Nancy Cam-Winget, Tim Moore,
Dorothy Stanley, Jesse Walker。
「 無線網路WPA安全機制剖析」，HungLin Chou。
「802.11 完全剖析無線網路技術」，作者：鄭同伯。
「802.11無線網路技術通論」，作者：Matthew S. Gast, 譯者：黃裕彰、
蔣大偉。
「802.11無線區域網路通訊協定及應用」，作者：唐政。
「IEEE 802.11i Standard」，2004。






國立雲林科技大學電腦與通訊工程系
18