计算机网络实验——无线局域网安全实验

实验1. WEP和WPA2-PSK实验

一、实验目的

1. 验证AP和终端与实现WEP安全机制相关的参数的配置过程。
2. 验证AP和终端与实现WPA2-PSK安全机制相关的参数的配置过程。
3. 验证终端与AP之间建立关联的过程。验证关闭端口的重新开启过程。
4. 验证属于不同BSS的终端之间的数据传输过程。

二、实验任务

1. 使用自己的语言简述WPA2-PSK安全机制。

WPA2-PSK（Wi-Fi Protected Access 2 - Pre-Shared Key）是一种无线网络安全协议。该协议要求所有连接到网络的设备使用同一个预共享密钥（PSK）进行身份验证，用于确保只有被授权的的用户，使用共享密钥，才能接入网络。在加密方面，WPA2-PSK使用AES-CCMP来加密数据包，确保数据在传输过程中的机密性和完整性。此外，WPA2-PSK通过四次握手过程来建立安全连接，这个过程包括密钥交换和验证，以确保设备之间的通信是安全的。为了防止密钥被长时间利用，WPA2-PSK还会定期更新组密钥，减少密钥被破解的风险。

1. 使用自己的语言简述该实验原理。

在如图1所示的网络拓扑中，AP1 设备采用了 WEP 安全机制，并设置了一个共享密钥。终端 A 和终端 B 也都启用了 WEP 安全机制，并且使用了与 AP1 相同的共享密钥进行配置。另一方面，AP2 设备则选择了更安全的 WPA2-PSK 安全机制，并设置了一个用于生成 PSK 的密钥。终端 E 和终端 F 也同样采用了 WPA2-PSK 安全机制，并且配置了与 AP2 相同的密钥来生成 PSK。以此使得各个终端接入相应的AP，实现各个终端之间的通信。

安装无线网卡的终端默认 IP 地址获取方式为DHCP。在模拟实验中，各个终端的IP地址分配采用自动私有IP地址分配方式------如果终端设备开启了自动获取 IP 地址的功能，但是在发送 DHCP 请求后没有收到来自 DHCP 服务器的响应，会从保留的私有地址范围 169.254.0.0/16 中随机选择一个 IP 地址。若扩展服务集中的所有终端设备都使用这种 IP 地址分配方式，那么它们之间可以实现通信，而无需手动配置 IP 地址。

图 1 WEP 和 WPA2-PSK 实验网络拓扑

1. 实验步骤

1. 搭建如图2所示的网络拓扑图。

图 2 网络拓扑图

1. 由于默认情况下，笔记本电脑为以太网卡，需要将以太网卡换成无线网卡，来接入无线局域网。如图3a所示，将Laptop0以太网卡更换成支持4G 频段的 8011、8011b 和8011g 标准的无线网卡WPC300N模块。类似的，将其他笔记本的以太网卡更换为WPC300模块，如图3b、c、d所示。

a
b
c
d

图 3 为Laptop0~Laptop3更换WPC300模块

1. 对Access Point0进行配置，具体配置如图4所示。鉴别机制选择WEP，加密类型选择40/64-Bits(10 Hex digits)，WEP密钥为0123456789的是个十六进制组成的40位密钥，共享密钥SSID为123456，打开端口。

图 4 Access Point0的配置

1. 对Laptop0进行配置，具体配置如图5a所示。选择与Access point0相同的配置，鉴别机制选择WEP，加密类型选择40/64-Bits(10 Hex digits)，WEP密钥为0123456789，一个十六进制组成的40位密钥，共享密钥SSID为123456，打开端口。类似的，对Laptop1进行配置，如图5b所示。

图 5 终端Laptop0与Laptop1的配置

1. 此时Laptop0和Laptop1与Access Point0之间成功建立连接，如图6所示。

图 6 Laptop0和Laptop1与Access Point0之间建立连接

1. 如图5中所示，在未收到DHCP应答的时候，Laptop0与Laptop1终端自动选择私有网络地址 169.254.0.0/255.255.0.0中随机选择一个有效 IP 地址作为其 IP 地址。
2. 对Access Point1进行配置，具体配置如图7所示。鉴别机制选择WPA2-PSK，加密类型选择AES，密钥为qwertyuiop，8~63个字符组成的字符串，共享密钥SSID为123456，打开端口。

图 7 Access Point1的配置

1. 对Laptop2进行配置，具体配置如图8a所示。选择与Access point1相同的配置，鉴别机制选择WPA2-PSK，加密类型选择AES，密钥为qwertyuiop，8~63个字符组成的字符串，共享密钥SSID为123456，打开端口。类似的，对Laptop3进行配置，如图8b所示。

图 8 终端Laptop2与Laptop3的配置

1. 此时Laptop2和Laptop3与Access Point1之间成功建立连接，如图9所示。

图 9 Laptop2和Laptop3与Access Point1之间建立连接

1. 对PC0进行配置，具体配置如图10a所示，在未收到DHCP应答的时候，终端自动选择私有网络地址 169.254.0.0/255.255.0.0中随机选择一个有效 IP 地址作为其 IP 地址。类似的，对PC1进行配置，如图10b所示。

图 10 对PC0与PC1的配置

1. 开启简单报文工具，检验各个终端之间的连通性，如图11所示，测试了pc0 与laptop0、pc0 与laptop1、pc0 与laptop2、pc0 与laptop3、laptop3对pc0 和PC1之间的连通性，均成功交换报文。

pc0 对 laptop0和laptop1进行ping操作

pc0 对 laptop2和laptop3进行ping操作

laptop3对pc0 和PC1进行ping操作

图 11 各个终端之间的报文通信

三、思考与总结

1. 实验过程中你遇到什么问题，如何解决的？通过该实验有何收获？

没有遇到明显问题

收获：

本次实验通过配置 WEP 和 WPA2-PSK 两种无线安全机制，并验证终端与 AP 之间的关联和数据传输过程，让我深入理解了无线网络安全的基本原理和配置方法。我学会了如何配置 AP 和终端的无线安全参数，包括鉴别机制、加密类型和密钥等，并了解了不同安全机制的优缺点和适用场景。通过本次实验，我不仅提升了实践操作能力，还加深了对无线网络安全知识的理解，为今后学习更复杂的无线网络安全技术打下了坚实的基础。

实验2. WPA2实验

一、实验目的

1. 验证无线路由器和终端与实现WPA2安全机制相关参数的配置过程。
2. 验证无线路由器与AAA服务器相关参数的配置过程。
3. 验证AAA服务器配置过程。
4. 验证注册用户通过接入终端与无线路由器建立关联的过程。
5. 验证注册用户通过接入终端实现网络资源访问的过程。

二、实验任务

1. 使用自己的语言简述无线路由器的配置过程。

在如图12所示的网络拓扑中，采用WPA2安全机制进行无线局域网的连接，此机制基于用户身份鉴别和统一鉴别的方式，在AAA服务器中配置注册用户信息，注册的用户可以介入终端与对应的无线路由器建立关联，进行网络资源的访问。

图 12 WPA2网络拓扑

1. 使用自己的语言简述该实验原理。

在AAA服务器中维护用户注册完成后的信息（用户名和口令），并且在无线路由器中配置AAA服务器的IP地址和共享密钥，当用户需要网络服务时，无线路由器将用户的身份标识转发给AAA服务器，AAA服务器完成身份验证后，将鉴别结果返回无线路由器，完成身份鉴别过程。

1. 实验步骤

1. 在物理工作区中确定终端与无线路由器之间的距离，确保终端在无线路由器的有效通信范围内。如图13所示，选择物理工作区中的Home City，在家园城市界面进行后续配置。

图 13 物理工作区家园城市界面

1. 在物理工作区中进行无线路由器等网络拓扑的搭建，放置无线路由器后，根据无线路由器的有效特性范围，将笔记本计算机放置在无线路由器的有效通信范围内，如图14所示。

图 14 在物理工作区进行网络拓扑

1. 切换回逻辑界面后，如图15所示。

图 15 在逻辑工作区进行网络拓扑

1. 对路由器Router0进行网络信息配置，具体配置如图16所示，Fastethernet0/0端口连接192.1.1.0网段，Fastethernet0/1端口连接192.1.2.0网段，

图 16 路由器Router0的网络信息配置

1. 对Web服务器和AAA服务器进行配置，具体配置如图17a、b所示。Web服务器的IP地址和子网掩码为192.1.2.3 /24，AAA服务器的IP地址和子网掩码为192.1.2.7 /24，网关均为192.1.2。254。

（a） （b）

图 17Web服务器和AAA服务器的网络配置

1. 对路由器Router1的Wireless接口进行配置，具体配置如图18a所示。鉴别机制选择WPA2，RADIUS服务配置中输入AAA服务器的地址，与AAA服务器共享的密钥设置为router1，加密类型选择AES，在SSID中密钥设置为123456。类似的对Router2进行配置，具体配置如图18b所示。

（a） （b）

图 18 路由器Router1和路由器Router2的Wireless接口配置

1. 对路由器Router1的Internet接口进行配置，具体配置如图19a所示。采用静态IP地址配置方式，默认网关为192.1.1.254，无线路由器Internet接口地址与子网掩码为192.1.1.1 /24。类似的对Router2进行配置，具体配置如图19b所示。

（a） （b）

图 19 路由器Router1和路由器Router2的Internet接口配置

1. 进一步对AAA服务器进行配置，实现认证功能，具体配置如图20所示。首先与无线路由器Router1和Router2进行关联，设置设备标识符、输出RADIUS 报文的接口的 IP 地址（Router1 和 Router2 Internet 接口的 IP 地址），Router1 和 Router2 与 AAA 服务器之间的共享密钥。

接着在AAA服务器中定义注册用户，记录用户名与口令，分别定义了《a1，b1》~《a4，b4》，4个注册用户。

图 20 AAA服务器Services配置

1. 如图21a所示，将笔记本电脑Laptop0的以太网卡换成WPC300模块，如图21a所示。类似的，将其他笔记本的以太网卡更换为WPC300模块，如图21b、c、d所示。

（a） （b）

（c） （d）

图 21 为Laptop0~Laptop3更换WPC300模块

1. 对Laptop0进行无线网卡配置，具体配置如图22a所示。鉴别机制选择WPA2，用户名和口令输入注册的用户之一《a1，b1》，加密类型选择AES，在在SSID中密钥设置为123456。类似的，对Laptop1~Laptop3进行配置，具体配置如图22b、c、d所示。

（a） （b）

（c） （d）

图 22 为Laptop0~Laptop3进行无线网卡配置

1. 配置成功后，Laptop0~Laptop3与无线路由器Router1和Router2之间成功建立联系，如图23所示。

图 23 Laptop0~Laptop3与无线路由器Router1和Router2之间建立联系

1. 如图22中所示，笔记本选择DHCP方式，由已经与其建立关联的无线路由器为其分配网络信息，是安装无线网卡笔记本默认的获取网络信息方式。
2. 启动Laptop0~Laptop1与Web服务器之间的简单报文工具，验证Laptop0~Laptop1与Web服务器之间的连通性，如图24所示。报文交换成功，Laptop0~Laptop1与Web服务器之间连通正常。

Laptop0和Laptop1与Web服务器之间的简单报文交换

Laptop2和Laptop3与Web服务器之间的简单报文交换

图 24 Laptop0~Laptop3与Web服务器之间的简单报文交换

三、思考与总结

1. 请简述WAP2机制下如何建立终端与网络的关联。

WAP2机制下，终端首先通过无线信号接入网络；然后终端与网络进行认证和加密，确保通信安全；接着，终端向网络发送一个注册请求；然后，网络为终端分配一个IP地址，并建立会话；最后，终端与网络完成握手，建立起稳定的连接，从而实现数据传输与网络资源的访问。

1. 实验过程中还遇到什么问题，如何解决的？通过该实验有何收获？

问题1：

如下图所示，在物理工作区切换回逻辑工作区时，设备位置进行了错位。

解决：

排查应该为软件系统问题，重启软件继续实验。

问题2：

如下图所示，出现连接完成后，无法进行网络连接。

解决：

为对中继路由器进行端口配置，对其进行端口配置后解决。

收获：

通过本次WPA2实验，我深刻理解了WPA2安全机制在无线局域网中的应用，并掌握了相关的配置过程。实验过程中，我学习了如何配置无线路由器、AAA服务器和终端设备，以及如何建立终端与网络的关联，实现网络资源访问。

我遇到了设备位置错位和网络连接问题，通过排查和解决这些问题，我提升了故障排除能力。此外，我还学习了使用WPC300模块将笔记本电脑连接到无线网络，并掌握了无线网卡的配置方法。

总而言之，本次实验让我对WPA2安全机制有了更深入的理解，并提升了我的网络配置和故障排除能力，为我以后学习网络安全和无线网络技术打下了坚实的基础。