實驗1. WEP和WPA2-PSK實驗

一、實驗目的

1. 驗證AP和終端與實現WEP安全機制相關的參數的配置過程。
2. 驗證AP和終端與實現WPA2-PSK安全機制相關的參數的配置過程。
3. 驗證終端與AP之間建立關聯的過程。驗證關閉端口的重新開啟過程。
4. 驗證屬于不同BSS的終端之間的數據傳輸過程。

二、實驗任務

1. 使用自己的語言簡述WPA2-PSK安全機制。

WPA2-PSK（Wi-Fi Protected Access 2 - Pre-Shared Key）是一種無線網絡安全協議。該協議要求所有連接到網絡的設備使用同一個預共享密鑰（PSK）進行身份驗證，用于確保只有被授權的的用戶，使用共享密鑰，才能接入網絡。在加密方面，WPA2-PSK使用AES-CCMP來加密數據包，確保數據在傳輸過程中的機密性和完整性。此外，WPA2-PSK通過四次握手過程來建立安全連接，這個過程包括密鑰交換和驗證，以確保設備之間的通信是安全的。為了防止密鑰被長時間利用，WPA2-PSK還會定期更新組密鑰，減少密鑰被破解的風險。

1. 使用自己的語言簡述該實驗原理。

在如圖1所示的網絡拓撲中，AP1 設備采用了 WEP 安全機制，并設置了一個共享密鑰。終端 A 和終端 B 也都啟用了 WEP 安全機制，并且使用了與 AP1 相同的共享密鑰進行配置。另一方面，AP2 設備則選擇了更安全的 WPA2-PSK 安全機制，并設置了一個用于生成 PSK 的密鑰。終端 E 和終端 F 也同樣采用了 WPA2-PSK 安全機制，并且配置了與 AP2 相同的密鑰來生成 PSK。以此使得各個終端接入相應的AP，實現各個終端之間的通信。

安裝無線網卡的終端默認 IP 地址獲取方式為DHCP。在模擬實驗中，各個終端的IP地址分配采用自動私有IP地址分配方式——如果終端設備開啟了自動獲取 IP 地址的功能，但是在發送 DHCP 請求后沒有收到來自 DHCP 服務器的響應，會從保留的私有地址范圍 169.254.0.0/16 中隨機選擇一個 IP 地址。若擴展服務集中的所有終端設備都使用這種 IP 地址分配方式，那么它們之間可以實現通信，而無需手動配置 IP 地址。

圖 1 WEP 和 WPA2-PSK 實驗網絡拓撲

1. 實驗步驟

1. 搭建如圖2所示的網絡拓撲圖。

圖 2 網絡拓撲圖

1. 由于默認情況下，筆記本電腦為以太網卡，需要將以太網卡換成無線網卡，來接入無線局域網。如圖3a所示，將Laptop0以太網卡更換成支持4G 頻段的 8011、8011b 和8011g 標準的無線網卡WPC300N模塊。類似的，將其他筆記本的以太網卡更換為WPC300模塊，如圖3b、c、d所示。

圖 3 為Laptop0~Laptop3更換WPC300模塊

1. 對Access Point0進行配置，具體配置如圖4所示。鑒別機制選擇WEP，加密類型選擇40/64-Bits(10 Hex digits)，WEP密鑰為0123456789的是個十六進制組成的40位密鑰，共享密鑰SSID為123456，打開端口。

圖 4 Access Point0的配置

1. 對Laptop0進行配置，具體配置如圖5a所示。選擇與Access point0相同的配置，鑒別機制選擇WEP，加密類型選擇40/64-Bits(10 Hex digits)，WEP密鑰為0123456789，一個十六進制組成的40位密鑰，共享密鑰SSID為123456，打開端口。類似的，對Laptop1進行配置，如圖5b所示。

?圖 5 終端Laptop0與Laptop1的配置

1. 此時Laptop0和Laptop1與Access Point0之間成功建立連接，如圖6所示。

圖 6 Laptop0和Laptop1與Access Point0之間建立連接

1. 如圖5中所示，在未收到DHCP應答的時候，Laptop0與Laptop1終端自動選擇私有網絡地址 169.254.0.0/255.255.0.0中隨機選擇一個有效 IP 地址作為其 IP 地址。
2. 對Access Point1進行配置，具體配置如圖7所示。鑒別機制選擇WPA2-PSK，加密類型選擇AES，密鑰為qwertyuiop，8~63個字符組成的字符串，共享密鑰SSID為123456，打開端口。

圖 7 Access Point1的配置

1. 對Laptop2進行配置，具體配置如圖8a所示。選擇與Access point1相同的配置，鑒別機制選擇WPA2-PSK，加密類型選擇AES，密鑰為qwertyuiop，8~63個字符組成的字符串，共享密鑰SSID為123456，打開端口。類似的，對Laptop3進行配置，如圖8b所示。

圖 8 終端Laptop2與Laptop3的配置

? ? ? ? ? ? ? ? ? ? ?

1. 此時Laptop2和Laptop3與Access Point1之間成功建立連接，如圖9所示。

圖 9 Laptop2和Laptop3與Access Point1之間建立連接

1. 對PC0進行配置，具體配置如圖10a所示，在未收到DHCP應答的時候，終端自動選擇私有網絡地址 169.254.0.0/255.255.0.0中隨機選擇一個有效 IP 地址作為其 IP 地址。類似的，對PC1進行配置，如圖10b所示。

圖 10 對PC0與PC1的配置

1. 開啟簡單報文工具，檢驗各個終端之間的連通性，如圖11所示，測試了pc0 與laptop0、pc0 與laptop1、pc0 與laptop2、pc0 與laptop3、laptop3對pc0 和PC1之間的連通性，均成功交換報文。

pc0 對 laptop0和laptop1進行ping操作

pc0 對 laptop2和laptop3進行ping操作

?laptop3對pc0 和PC1進行ping操作

圖 11 各個終端之間的報文通信

三、思考與總結

1. 實驗過程中你遇到什么問題，如何解決的？通過該實驗有何收獲？

沒有遇到明顯問題

收獲：

本次實驗通過配置 WEP 和 WPA2-PSK 兩種無線安全機制，并驗證終端與 AP 之間的關聯和數據傳輸過程，讓我深入理解了無線網絡安全的基本原理和配置方法。我學會了如何配置 AP 和終端的無線安全參數，包括鑒別機制、加密類型和密鑰等，并了解了不同安全機制的優缺點和適用場景。通過本次實驗，我不僅提升了實踐操作能力，還加深了對無線網絡安全知識的理解，為今后學習更復雜的無線網絡安全技術打下了堅實的基礎。

實驗2. WPA2實驗

一、實驗目的

1. 驗證無線路由器和終端與實現WPA2安全機制相關參數的配置過程。
2. 驗證無線路由器與AAA服務器相關參數的配置過程。
3. 驗證AAA服務器配置過程。
4. 驗證注冊用戶通過接入終端與無線路由器建立關聯的過程。
5. 驗證注冊用戶通過接入終端實現網絡資源訪問的過程。

二、實驗任務

1. ?使用自己的語言簡述無線路由器的配置過程。

在如圖12所示的網絡拓撲中，采用WPA2安全機制進行無線局域網的連接，此機制基于用戶身份鑒別和統一鑒別的方式，在AAA服務器中配置注冊用戶信息，注冊的用戶可以介入終端與對應的無線路由器建立關聯，進行網絡資源的訪問。

圖 12 WPA2網絡拓撲

1. 使用自己的語言簡述該實驗原理。

在AAA服務器中維護用戶注冊完成后的信息（用戶名和口令），并且在無線路由器中配置AAA服務器的IP地址和共享密鑰，當用戶需要網絡服務時，無線路由器將用戶的身份標識轉發給AAA服務器，AAA服務器完成身份驗證后，將鑒別結果返回無線路由器，完成身份鑒別過程。

1. 實驗步驟

1. 在物理工作區中確定終端與無線路由器之間的距離，確保終端在無線路由器的有效通信范圍內。如圖13所示，選擇物理工作區中的Home City，在家園城市界面進行后續配置。

圖 13 物理工作區家園城市界面

1. 在物理工作區中進行無線路由器等網絡拓撲的搭建，放置無線路由器后，根據無線路由器的有效特性范圍，將筆記本計算機放置在無線路由器的有效通信范圍內，如圖14所示。

圖 14 在物理工作區進行網絡拓撲

1. 切換回邏輯界面后，如圖15所示。

圖 15 在邏輯工作區進行網絡拓撲

1. 對路由器Router0進行網絡信息配置，具體配置如圖16所示，Fastethernet0/0端口連接192.1.1.0網段，Fastethernet0/1端口連接192.1.2.0網段，

圖 16 路由器Router0的網絡信息配置

1. 對Web服務器和AAA服務器進行配置，具體配置如圖17a、b所示。Web服務器的IP地址和子網掩碼為192.1.2.3 /24，AAA服務器的IP地址和子網掩碼為192.1.2.7 /24，網關均為192.1.2。254。

（a）????????????????????????? （b）

圖 17Web服務器和AAA服務器的網絡配置

1. 對路由器Router1的Wireless接口進行配置，具體配置如圖18a所示。鑒別機制選擇WPA2，RADIUS服務配置中輸入AAA服務器的地址，與AAA服務器共享的密鑰設置為router1，加密類型選擇AES，在SSID中密鑰設置為123456。類似的對Router2進行配置，具體配置如圖18b所示。

（a）?????????????????????????? （b）

圖 18 路由器Router1和路由器Router2的Wireless接口配置

1. 對路由器Router1的Internet接口進行配置，具體配置如圖19a所示。采用靜態IP地址配置方式，默認網關為192.1.1.254，無線路由器Internet接口地址與子網掩碼為192.1.1.1 /24。類似的對Router2進行配置，具體配置如圖19b所示。

（a）?????????????????????????? （b）

圖 19 路由器Router1和路由器Router2的Internet接口配置

1. 進一步對AAA服務器進行配置，實現認證功能，具體配置如圖20所示。首先與無線路由器Router1和Router2進行關聯，設置設備標識符、輸出RADIUS 報文的接口的 IP 地址（Router1 和 Router2 Internet 接口的 IP 地址），Router1 和 Router2 與 AAA 服務器之間的共享密鑰。

接著在AAA服務器中定義注冊用戶，記錄用戶名與口令，分別定義了《a1，b1》~《a4，b4》，4個注冊用戶。

圖 20 AAA服務器Services配置

1. 如圖21a所示，將筆記本電腦Laptop0的以太網卡換成WPC300模塊，如圖21a所示。類似的，將其他筆記本的以太網卡更換為WPC300模塊，如圖21b、c、d所示。

????????????????????????????????????????????????????????（a）????????????????????? （b）

（c）????????????????????? （d）

圖 21 為Laptop0~Laptop3更換WPC300模塊

1. 對Laptop0進行無線網卡配置，具體配置如圖22a所示。鑒別機制選擇WPA2，用戶名和口令輸入注冊的用戶之一《a1，b1》，加密類型選擇AES，在在SSID中密鑰設置為123456。類似的，對Laptop1~Laptop3進行配置，具體配置如圖22b、c、d所示。

????????????????????????????????????????????????（a）????????????????????? （b）

（c）????????????????????? （d）

圖 22 為Laptop0~Laptop3進行無線網卡配置

1. 配置成功后，Laptop0~Laptop3與無線路由器Router1和Router2之間成功建立聯系，如圖23所示。

圖 23 Laptop0~Laptop3與無線路由器Router1和Router2之間建立聯系

1. 如圖22中所示，筆記本選擇DHCP方式，由已經與其建立關聯的無線路由器為其分配網絡信息，是安裝無線網卡筆記本默認的獲取網絡信息方式。
2. 啟動Laptop0~Laptop1與Web服務器之間的簡單報文工具，驗證Laptop0~Laptop1與Web服務器之間的連通性，如圖24所示。報文交換成功，Laptop0~Laptop1與Web服務器之間連通正常。

Laptop0和Laptop1與Web服務器之間的簡單報文交換

Laptop2和Laptop3與Web服務器之間的簡單報文交換

圖 24 Laptop0~Laptop3與Web服務器之間的簡單報文交換

三、思考與總結

1. 請簡述WAP2機制下如何建立終端與網絡的關聯。

WAP2機制下，終端首先通過無線信號接入網絡；然后終端與網絡進行認證和加密，確保通信安全；接著，終端向網絡發送一個注冊請求；然后，網絡為終端分配一個IP地址，并建立會話；最后，終端與網絡完成握手，建立起穩定的連接，從而實現數據傳輸與網絡資源的訪問。

1. 實驗過程中還遇到什么問題，如何解決的？通過該實驗有何收獲？

問題1：

如下圖所示，在物理工作區切換回邏輯工作區時，設備位置進行了錯位。

解決：

排查應該為軟件系統問題，重啟軟件繼續實驗。

問題2：

如下圖所示，出現連接完成后，無法進行網絡連接。

解決：

為對中繼路由器進行端口配置，對其進行端口配置后解決。

收獲：

通過本次WPA2實驗，我深刻理解了WPA2安全機制在無線局域網中的應用，并掌握了相關的配置過程。實驗過程中，我學習了如何配置無線路由器、AAA服務器和終端設備，以及如何建立終端與網絡的關聯，實現網絡資源訪問。

我遇到了設備位置錯位和網絡連接問題，通過排查和解決這些問題，我提升了故障排除能力。此外，我還學習了使用WPC300模塊將筆記本電腦連接到無線網絡，并掌握了無線網卡的配置方法。

總而言之，本次實驗讓我對WPA2安全機制有了更深入的理解，并提升了我的網絡配置和故障排除能力，為我以后學習網絡安全和無線網絡技術打下了堅實的基礎。