第一篇:实验二、端口汇聚和镜像配置(范文模版)
试验
二、端口汇聚和镜像
一、端口汇聚实验 功能需求及组网说明
端口汇聚配置
『配置环境参数』
1.交换机SwitchA和SwitchB通过以太网口实现互连。
2.SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。
『组网需求』
增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚。数据配置步骤
『端口汇聚数据转发流程』
如上图,如果在汇聚时配置的是ingress属性,假如PC1的数据包进入SwitchA,假如第一次去PING PC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达Switch2时,此时PC1的MAC也将对应学习到Switch2的逻辑主端口,此时PC2再进行回包主要看PC1的源MAC学习到哪个端口,就会通过哪个端口进行转发,所以ingress是根据流进行转发,如果流是单一的,那么该数据流也将一直走同一个端口,除非该端口故障。
如果在汇聚时配置的是both属性,2个端口汇聚,如PC1的数据包进入SwitchA,假如第一次去PING PC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达Switch2时,此时PC1的MAC也将对应学习到Switch2的逻辑主端口,此时Switch2将根据自己的算法进行选路:将PC1的MAC(二进制)和PC2的MAC(二进制)的最后一位进行与操作,如果与出来的结果为0,将选择主端口;如果与出来的结果为1,将选择备份端口。也就是说如果对于一个单一的数据流(例如固定两台PC)那么它们的数据流将一直在固定某个端口进行转发。
如果是三个或者四个端口进行汇聚,将PC1的MAC和PC2的MAC(二进制)的最后二位进行与操作,一共四种结果,如果与出来的结果为0,将选择主端口;如果与出来的结果为1,选择第一个备份端口,如果与出来的结果为0,再选择第二个备份端口,依此类推。
如果是五个到八个端口进行汇聚,将PC1的MAC和PC2的MAC(二进制)的最后三位进行与操作,一共八种结果,再进行端口选择。汇聚端口越多,算法就越复杂。
【SwitchA交换机配置】
1.进入端口E0/1 [SwitchA]interface Ethernet 0/1 2.汇聚端口必须工作在全双工模式 [SwitchA-Ethernet0/1]duplex full 3.汇聚的端口速率要求相同,但不能是自适应 [SwitchA-Ethernet0/1]speed 100 4.进入端口E0/2 [SwitchA]interface Ethernet 0/2 5.汇聚端口必须工作在全双工模式 [SwitchA-Ethernet0/2]duplex full 6.汇聚的端口速率要求相同,但不能是自适应 [SwitchA-Ethernet0/2]speed 100 7.根据源和目的MAC进行端口选择汇聚
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both 【SwitchA交换机配置】
[SwitchB]interface Ethernet 0/1 [SwitchB-Ethernet0/1]duplex full [SwitchB-Ethernet0/1]speed 100 [SwitchB]interface Ethernet 0/2 [SwitchB-Ethernet0/2]duplex full [SwitchB-Ethernet0/2]speed 100 [SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both 【补充说明】
1.同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口
2、配置端口汇聚的时候可用使用参数ingress或者both,两者的区别是:前者表示端口汇聚组中各成员端口仅根据源MAC地址对出端口的流量进行负荷分担;而后者表示端口汇聚组中各成员端口根据源、目的MAC地址对出端口的流量进行负荷分担。为了保证负荷分担的效果,参与端口汇聚的端口要配置在相同的速率和双工模式下。而且,只有数目较多的主机进行访问时,才能观测出负载的效果。
二、端口镜像实验
1、功能需求及组网说明
端口镜像配置
『环境配置参数』
1.PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2.PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3.E0/24为交换机上行端口
4.Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2.按照镜像的不同方式进行配置:
1)基于端口的镜像 2)基于流的镜像
2、数据配置步骤
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一
1.配置镜像(观测)端口
[SwitchA]monitor-port e0/8 2.配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二
1.可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1.定义一条扩展访问控制列表
[SwitchA]acl num 100 2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址 [SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any 3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32 [SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0 4.将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二层流的镜像〗
1.定义一个ACL [SwitchA]acl num 200 2.定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule 0 permit egress interface Ethernet0/1 3.定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule 1 permit ingress interface Ethernet0/1 4.将符合上述ACL的数据包镜像到E0/8 [SwitchA]mirrored-to link-group 200 interface e0/8
3、测试验证
在观测端口上通过工具软件可以看到被镜像端口的相应的报文,可以进行流量观测或者故障定位。
第二篇:简单网管交换机端口镜像功能设置(范文模版)
简单网管交换机端口镜像功能设置
文档适用产品型号:FS116E,JFS524E,GS105E,GS108Ev1,GS108Ev2,GS108PEv1,GS108PEv2,GS116E,JGS524E,XS708E,GS105PE 端口镜像
端口镜像功能是把交换机一个或多个端口的数据在发出或接收的同时复制一份到指定的镜像端口,以监测进出网络的所有数据包,从而很好的保证网络安全;在网络出现故障时,也能迅速地进行故障定位。简单网管交换机支持一(镜像端口)对多(源端口)的端口镜像。拓扑:
上图中,路由器连接在交换机XS708E的01号端口,监控主机连接在交换机的08号端口。一般所有出口的流量均会通过出口路由器,所以只需监控路由器端口即可收集局域网中所有上网数据。管理软件(ProSafe Plus Utility)版本:V2.2.24 配置:
进入系统>监控>端口镜像,配置界面如下图所示。
端口镜像:默认值为禁用,即未启用此功能,点选启用,启用端口镜像功能; 源端口:此处选择被监控的端口,这里选择连接出口路由器的01号端口; 目标端口:此处选择监控端口,即连接监控服务器的08号端口。
注意:源端口不可作为目标端口,并且源端口或目标端口不可作为LAG成员。点击应用。
第三篇:实验二:交换机硬件配置
e-Bridge 程控实验指导书
CC08实验二
eBridge通信实验指导书
(交换部分)
深圳市讯方通信技术有限公司
二零零八年三月 e-Bridge 程控实验指导书
CC08实验二
实验二
交换机硬件配置实验
一、实验目的
了解程控交换机的硬件结构,按照模块、机框、单板的顺序进行数据的配置。
二、实验器材
1、程控交换机
2、实验用维护终端。
三、实验内容说明
组网情况:板位图说明
本C&C08交换机为一独立模块,一共两个机柜,一个主控柜,一个用户柜。有12个功能框。框编号从0开始。1、0框为BAM框,其实质是一台工控制机,实际实验中,为了操作方便,采用外置BAM。运行WINDOWS 2000操作系统和程控交换机应用软件,用于和交换机主机通信,并完成对交换机的管理。2、1、2框为为主控框,有一块大背母板外加其他功能板件构成,具体如下:
1NOD板:节点板,主要用于MPU和用户/中继之间的通信,起到桥梁的作用,可以○根据实际用户/中继数量的多少进行配置。
2SIG板:信号音板,用于提供交换机接续时所需要的各种信号音。交换机重要 ○部件之一。
3EMA板:双机倒换板,用于监视主备MPU之间的工作状态。○4MPU板:交换机主处理板,是整个交换机的核心部分,对整个交换机进行管理和控○制。
5NET板:中心交换网板,所有信号都在该交换网板进行交换,交换机重要部件之一。○6CKV网络驱动板:为NET板提供信号的硬件驱动。○7LAPA板:NO7号信令链路驱动板,提供4路NO7链路,开NO7中继电路必备板件。○8MFC32板:多频互控板,提供32路双音多频互控信号,开NO1中继电路必备板件。○9ALM板:告警板,为外接告警箱提供信号驱动和连接功能。○10PWC板:二次电源板,为主控框提供+/-12V,+/-5V工作电压。○
3、用户框:10框为用户框(在用户机柜中),为交换机系统提供用户电路接口。(即提供电话接口)
1ASL32板:32路用户电路板,提供32路用户电路接口,其中第16、17路可以提供○反极性信号。
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二 2DRV32板:双音驱动板,提供32路DTMF双音多频信号的收发和解码,并 ○对ASL32板提供驱动电路。
3PWX板:二次电源板,为用户框提供+/-12V,+/-5V工作电压、~75V铃流信号。○④TSS板:测试板,测试用户内外线。
重要:请注意PWX和PWC之间的区别,二者不能混用!!
4、中继框:5框为中继框,为交换机提供中继电路功能。
1DTM板:2M中继电路板,每块DTM板提供2个2M口电路,可以配置成 ○N01中继或者NO7中继电路。
2PWC板:二次电源板,为中继框提供+/-12V,+/-5V 工作电压。○其具体板位如下图所示:
B独主控柜
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
四、实验步骤
1、学生在自己PC中桌面上双击“操作平台,如图
”图标,输入服务器地址,进入Ebridge登陆
2、点击【确认】键进入EB界面模式,如图
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
3、双击【综合通信试验平台】中的【程控CC08】,进入CC08实验模式,如图:
4、单击【清空数据】,提示是否进行数据清空,单击【确定】,如图:
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
5、数据清空完成后,点击【确定】,然后点击【业务操作终端】,出登陆窗口:
用户名:cc08,密码:cc08,局名选LOCAL(IP地址:127.0.0.1),点击【确定】
6、在维护输出窗口会显示登陆成功的相关信息,并自动执行几条系统查询命令:
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
7、点击【系统】-》【执行批命令】,或按CTRL+R
8、选择已调试好的命令文件脚本“”,点击【打开】。
系统会自动执行并在【维护输出】窗口显示执行结果:
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
9、等结果显示处出现“数据格式转换完成”后,在e-bridge系统中点击【开始程控实验】,屏幕上方会显示当前占用服务器席位的客户端,你申请席位的客户端排在第几位,剩余多长时间。然后单击【申请加载数据】-》【确定】,同时数据开始加载。
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
10、服务器会自动进行数据格式转换,并加载到交换机中,单击【确定】,加载完成。
11、点击【业务操作终端】出现登陆窗口:
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
用户名:cc08,密码:cc08,局名:SERVER(IP地址:129.9.0.10)点击【确定】登陆到BAM服务器
12、点击【维护】-》【配置】-》【硬件配置状态面板】,可看到交换机的单板运行状态:
附件:硬件数据配置参考
1、SET FMT: STS=OFF,CONFIRM=Y;
//关闭格式转换。
2、SET CWSON: SWT=OFF,CONFIRM=Y;
//设置当前工作站告警输出为关
3、增加模块
ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//设置B独模块,CKTP= NET:时钟采用NET板的内置时钟。PE=FALSE:程序不可用。DE=FALSE,:数据不可用。DW=TRUE:数据可写。PW=TRUE:程序可写。
4、设置本局信息
SET OFI:
SN1=NAT,SN2=NAT,SN3=NAT,SN4=NAT, LOT=CMPX, NN=TRUE, NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'0532,LNC=K'086;
//(LOT=CMPX:本局类型:长市农合一。NN=TRUE:国内网有效。SN1=NAT:网标识1=国内。SN2=NAT:网标识2=国内SN3=NAT:网标识3=国内。SN4=NAT:网标识4=国内。NNC=“AAAAAA”:国内编码=AAAAAA。NNS=SP24:国内网编码结构:24位编码方式。深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
SCCP=NONE:提供SCCP功能=不提供。TADT=0:传输允许时延=0,, STP=FALSE:STP功能标志=否。LAC=K'532:本地区号=0532。LNC=K'0086:本国代码=0086。)
5、增加机框 5.1增加控制框
ADD CFB: MN=1, F=1, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1;
//增加主控框,。MN=1:模块号=1,F=1:框号=1,PNM=“河工大”:场地名=河工大。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。5.2增加中继框
ADD DTFB: MN=1, F=3, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, BT=BP3, N1=0, N2=1, N3=255, HW1=90, HW2=91, HW3=88, HW4=89, HW5=255;
//增加DTM中继框.,MN=1:模块号=1。F=3:框号=3,PNM=“河工大”:场地名=河工大。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。BT=BP3:板类型为DTM板。N1=0:主节点1=0。N2=1:主节点2=1,N3=255:主节点3以上不配,即其他空槽位不占用主节点,HW1=90, HW2=91, HW3=88, HW4=89,增加2块DTM板,HW资源从88~91,HW5=255:HW5以上不配,其他空槽位不配HW资源。5.3增加32路用户框
ADD USF32: MN=1, F=4, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, N1=19, N2=23,HW1=0, HW2=1, HW3=2, HW4=3, HW5=255, BRDTP=ASL32,CONFIRM=Y;
//增加用户框.: MN=1:模块号=1。F=4:框号=4,PNM=“河工大”:场地名=河工大。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。N1=19:左半框主节点=19。N2=23:右半框主节点=23。HW1=12, HW2=13, HW3=14, HW4=15:HW1、HW2、HW3、HW4分别为12、13、14、15。HW5=255, HW5以上不配,其他空槽位不配HW资源。BRDTP=ASL32;板类型为32路用户板。
6、调整单板配置,因机框配置会默认一些单板起来,我们需要根据我们机器实际配置进行调整。6.1调整用户框单板:3-11,13-23 RMV BRD: MN=1, F=4, S=3;
// RMV BRD:删除单板。MN=1:模块=1。F=4:框号=4。S=3:槽位=3。RMV BRD: MN=1, F=4, S=4;
RMV BRD: MN=1, F=4, S=5;深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
RMV BRD: MN=1, F=4, S=6;RMV BRD: MN=1, F=4, S=7;RMV BRD: MN=1, F=4, S=8;RMV BRD: MN=1, F=4, S=9;RMV BRD: MN=1, F=4, S=10;RMV BRD: MN=1, F=4, S=11;RMV BRD: MN=1, F=4, S=13;RMV BRD: MN=1, F=4, S=14;RMV BRD: MN=1, F=4, S=15;RMV BRD: MN=1, F=4, S=16;RMV BRD: MN=1, F=4, S=17;RMV BRD: MN=1, F=4, S=18;RMV BRD: MN=1, F=4, S=19;RMV BRD: MN=1, F=4, S=20;RMV BRD: MN=1, F=4, S=21;RMV BRD: MN=1, F=4, S=22;RMV BRD: MN=1, F=4, S=23;6.2调整主控框2:4-5,7-8,17-22;1:2-6,10,14,17-22 RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=1, S=2;深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=9;RMV BRD: MN=1, F=1, S=10;RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=1, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7,CONFIRM=Y;ADD BRD: MN=1, F=2, S=18, BT=MFC,CONFIRM=Y;// ADD BRD:增加单板。MN=1:模块=1。F=2:框号=2。S=17:槽位=17。BT=LPN7:板类型=LPN7。
7、加载设置
SET SMSTAT: MN=1, STAT=ACT;//设置模块的后台监控状态。MN=1:模块=1。STAT=ACT:状态=激活。SET FMT: STS=ON;//设置格式转换的状态。STS=ON:状态=开。FMT ALL:;//格式转换。将数据转换成交换机能接收的格式。
将数据转换成交换机能接收的格式;重新启动程控交换机,等待加载数据到AM完成。
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052 e-Bridge 程控实验指导书
CC08实验二
实验报告
一、画图
1、画出硬件配置流程顺序图
答案:配置本局信息-----》配置模块信息-----》配置功能框-----》删除框内多余单板-----》修改新增加的单板。
2、画出交换机数据配置全过程图
答案:启动EB软件程控模块-----》还原数据库-----》启动EB软件里的程控模块里的“业务操作终端”-----》选择登陆LOCAL服务器-----》逐条输入配置命令-----》申请加载数据-----》加载数据-----》退出LOCAL服务器选择登陆SERVER服务器-----》查看交换软件版本-----》查看硬件配置状态面板看交换机运行状况。
二、名词解释
1、格式转换:配置好的交换机数据是以SQL数据库表格形式生成的,要变换成MPU所识别的机器代码文件,这个过程叫格式转换。
三、思考题
1、EB软件里面还原数据库的作用是什么?
答:清空原来数据,为后面数据加载做好准备,否则会数据冲突。
2、为什么加载后要登陆SERVER来查看交换机运行状态?
答:因为客户端软件没有直接连在CC08机上,必须登陆到BAM(即EB服务器)上才能查看数据。
深圳市讯方通信技术有限公司
电话:0755-88860761 传真:0755-86192832 深圳市南山区南海大道西海明珠大厦F712
邮编:518052
第四篇:网络管理—基于端口的认证管理配置 实验报告
网络管理实验报告
—基于端口的认证管理配置
学院:计算机学院
班级:
姓名:
学号:
实验二
基于端口的认证管理配置
【实验目的】
1、熟练掌握IEEE802.1X的工作原理
2、熟悉AAA身份认证机制
3、掌握RADIUS服务器的配置
【预备知识】
1、AAA概念和基本原理
2、IEEE802.1X
3、配置交换机与RADIUS SERVER之间通讯
【实现功能】
实现LAN接入的安全身份认证。
【实验拓扑】
PC1 192.168.0.44/24
RG-S2126G
192.168.0.2/24
RG-SAM Server
192.168.0.185/24
【实验原理】
无线局域网技术标准自1997年公布以来,使人们能更方便、灵活、快捷地访问网络资源,摆脱了传统有线网络的线缆束缚,随时随地的访问使用Internet网络。手机、笔记本电脑等个人无线接入终端设备和无线组网设备因为价格不断下降的大规模普及,越来越多的单位和家庭使用无线局域网进行组网,导致无线网络安全问题日益凸显。早期的无线局域网安全防范仅靠WEP协议[1],即有线等效加密(Wired Equivalent Privacy)保护网络的安全。由于无线电的开放性,以及WEP技术本身的缺陷导致它特别容易被窃听和破解。根据资料显示在一个繁忙的WEP无线网通过嗅探工具可以在短短的数分钟内破解,并且现在大量的破解工具流传于网络并有相关专用设备出售,严重危害无线网络的安全。因此WEP标准在2003年被 Wi-Fi Protected Access(WPA)淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代[2]。无线局域网802.11i标准中使用802.1x认证和密钥管理方式保障无线网络的安全性。尽管802.11i支持预WPA和WPA2加密下的共享密码,但如果只使用预共享密码保障校园网安全,可能面临密码外泄后,知道密码的非授权用户也能使用校园网络的安全隐患。
所以校园无线网建设过程中建立一套安全可靠高效的用户认证机制显得尤为迫切。本文就在Windows系统平台下使用免费Radius软件TekRadius构建基于PEAP技术的Radius认证服务器,保护校园无线局域网的安全进行探讨。802.1X概述
IEEE802.1X[3]是IEEE制定关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”协议,早期802.1x标准仅为有线网设计,并广泛应用于有线以太网中。最新版802.1X协议针对无线局域网的特点进行修订,针对无线局域网的认证方式和认证体系结构进行了相关技术优化。IEEE 802.1X协议在用户接入网络之前运行,运行于网络中的数据链路层,EAP协议RADIUS协议。
无线局域网中802.1X协议的体系结构包括三个重要的部分:客户端系统、认证系统和认证服务器,无线局域网中802.1X的拓扑结构如图1所示。
客户端系统(Supplicant System)通常是一个用户终端系统,在无线局域网中即为支持WiFi的笔记本电脑、手机等终端系统,该系统通常无需安装第三方客户软件,windows XP系统内置了相关模块,能够发起并完成802.1x协议的认证过程。
认证系统(Authenticator System)即认证者,在无线局域网中就是无线接入点AP(Access Point)或路由器,在认证过程中起“转发”作用。认证系统只是把客户端发起的认证信息转发到认证服务器完成相关认证。
认证服务器(Authentication Server System)通常为RADIUS服务器,在该服务器上存储用户名和密码、访问控制列表等相关用户信息。在客户端发起认证时,由认证服务器对客户端用户信息与储存资料进行鉴别验证,该申请者是否为授权用户。PEAP协议
EAP可扩展认证机制(Extensible Authentication Protocol)是一个普遍使用的认证机制,它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。
PEAP受保护的可扩展身份验证协议是由CISCO、微软和RSA Security联合提出的开放标准,是WPA2标准[4]中被正式采纳的7类认证机制之一。并已被广泛的运用在各种产品中,为网络提供安全保障。它在设计上和EAP-TLS相似,但只需要通过服务器端的证书来建立一个安全的传输层安全通道(TLS)以保护用户认证信息的安全。它分两个阶段进行:第一阶段建立单项服务器认证的TLS隧道;第二阶段在该隧道保护下,对客户端进行EAP-MS-CHAPv2等基于EAP的方式认证。与EAP-TLS采用的双向证书验证方式相比,PEAP较好的在保障无线网络安全性和认证系统的布署难度之间找到一个平衡点。在校园无线网络访问控制中应用基于PEAP技术认证802.1X,可以为无线局域网提供安全可靠的授权访问控制解决方案。TekRadius系统安装与配置
TekRADIUS是一个windows下使用的功能强大并免费的RADIUS 服务器软件,使用微软SQL数据库作为支撑数据库,支持EAP-MD5, EAP-MS-CHAP v2, PEAP(PEAPv0-EAP-MS-CHAP v2)等多种接入认证方式。安装平台
1)安装SQL数据库设置sa账户;Radius默认情况下以sa用户访问使用SQL数据库。
2)安装TekRadius软件:从www.xiexiebang.com=Servername /K:1024 /V:365 /S:1 /P:443”产生并获取系统所需数字证书[6],至此Radius服务器的配置完成。无线AP配置步骤
无线AP配置:登录Dlink-615无线路由器,依次点击“安装→无线安装→手动无线因特网安装→设置无线模式为AccessPoint,SSID为WlanTest 安全模式设置为WPA2,密码类型选择AES,设置为EAP模式,802.1X中填写服务器地址、认证端口及通信密码(与Radius服务器相同)”。PC客户端配置
在笔记本上打开无线网卡Atheros客户端程序[7]点击“配置文件管理→新建,填写配置文件名,SSID为Wlan(与AP中相同)→点击安全,设置安全项802.1X,类型设为PEAP(EAP-MSCHAPv2),然后点击配置,选择使用用户名和密码进行连接,设置用于登录的用户名和密码,再点设置设置服务器域名和用户名”,确定完成设置并启用设置文件,笔记本通过验证正常介入并访问使用因特网。讨论
经过上述的配置服务器数据库中的合法用户就可以在连接到无线网络时,在WPA2保护的无线网络中通过PEAP方式进行身份验证,访问使用Internet网络。由于SQL数据库的使用,可以方便的用户数据管理备份等工作提高了管理效率,并解决了WEP保护下的无线网络存在WEP密码被暴力破解带来的安全问题和使用预共享密码接入网络存在的共享密码泄露可能带来的网络安全风险。
较好地解决了校园无线局域网的安全性问题,使得授权用户访问Internet网络应用摆脱线缆的束缚更加方便并阻止非法用户的入侵。由于应用的PEAP认证方式在服务器安装数字证书大大的提高了无线局域网的安全性。
【实验步骤】
1、交换机配置
第一步:查看交换机版本信息 验证测试:
查看交换机版本信息:
Switch>show version System description
: Red-Giant Gigabit Intelligent Switch(S2126G)By
Ruijie Network System uptime
: 0d:0h:8m:40s System hardware version : 3.3 System software version : 1.5(1)Build Mar 3 2005 Temp System BOOT version
: RG-S2126G-BOOT 03-02-02 System CTRL version
: RG-S2126G-CTRL 03-05-02 Running Switching Image : Layer2 Switch> 第二步:初始化交换机配置
所有的交换机在开始进行配置前,必需先进行初始化,清除原有的一切配置,命令如下: Switch> Switch>enable Switch#delete flash:config.text Switch#reload …..!删除配置
Switch#configure terminal!进入配置层 Switch(config)#
验证测试:
使用命令show running-config命令查看配置信息,删除原始配置信息后该命令的打印结果如下:
Switch#show running-config Building configuration...Current configuration : 318 bytes!version 1.0!hostname Switch vlan 1!end Switch# 第三步:
Switch#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1!!设置交换机默认网关,实现跨网段管理交换机
Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.0.2 255.255.255.0 Switch(config)#exit Switch(config)#radius-server host 192.168.0.185 auth-port 1812!!指定RADIUS服务器的地址及UDP认证端口
Switch(config)#aaa accounting server 192.168.0.185!!指定记账服务器的地址
Switch(config)#aaa accounting acc-port 1813
!!指定记账服务器的UDP端口
Switch(config)#aaa authentication dot1x
!!开启AAA功能中的802.1x认证功能 Switch(config)#aaa accounting
!!开启AAA功能中的记账功能 Switch(config)#radius-server key star
!!设置RADIUS服务器认证字 Switch(config)#snmp-server community public rw
!!为通过简单网络管理协议访问交换机设置认证名(public为缺省认证名)并分配读写权限
Switch(config)#interface fastEthernet 0/!!实验中将在4号接口启动802.1x的认证 Switch(config-if)#dot1x port-control auto
!!设置该接口参与802.1x认证 Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...[OK] Switch#
2、交换机配置的截图
2、安装SQL server
3、使用软件TekRADIUS进行用户名和密码管理
Radius Server维护了所有用户的信息:用户名、密码、该用户的授权信息以及该用户的记帐信息。所有的用户集中于 Radius Server管理,而不必分散于每台交换机,便于管理员对用户的集中管理。
Radius Server端:要注册一个Radius Client。注册时要告知Radius Server交换机的IP、认证的UDP端口若记帐还要添记帐的UDP端口)、交换机与Radius Server通讯的约定密码,还要选上对该Client支持EAP扩展认证方式)。
交换机端:设置Radius Server的IP地址,认证(记帐)的UDP端口,与服务器通讯的约定密码。
【实验体会】
相比上次实验,这次实验更加复杂。尽管是在小组的互动与合作下,本次实验还是没有成功。原因是实验要求的环境较多,对 TekRADIUS软件的使用不是很熟悉短时间内无法完全掌握它的原理及应用,导致在使用软件TekRADIUS进行配置时,创建数据库和表时不成功,最后的4步骤“设置服务参数、配置用户组和用户、增加Client客户端、安装证书”无法完成,而且实验时间也到了,电脑也自动关机了,无法再进行下去了,我们就这样结束了实验。从课程的内容来看,本次实验十分重要,独立完成实验内容是对我们很好的一次锻炼,没有全面完成它,但是课后我对802.1X配置的相关知识做了一次更深的了解。
一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:
Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统
Authentication Server System,认证服务器
三、认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;
2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
第五篇:实验二交换机硬件配置
e-Bridge 程控实验指导书
CC08实验二
江苏大学eBridge通信实验指导书
(交换部分)
深圳市讯方通信技术有限公司
二零零七年三月 讯方通信
e-Bridge实验指导书
实验二
交换机硬件配置实验
一、实验目的
了解程控交换机的硬件结构,按照模块、机框、单板的顺序进行数据的配置。
二、实验器材
1、程控交换机
2、实验用维护终端。
三、实验内容说明
组网情况:板位图说明
本C&C08交换机为一独立模块,一共有6个功能框。框编号从0开始。1、0框为BAM框,其实质是一台工控制机,运行WINDOWS 2000操作系统和程控交换机应用软件,用于和交换机主机通信,并完成对交换机的管理。2、1、2框为为主控框,有一块大背母板外加其他功能板件构成,具体如下:
1NOD板:节点板,主要用于MPU和用户/中继之间的通信,起到桥梁的作用,可以○根据实际用户/中继数量的多少进行配置。
2SIG板:信号音板,用于提供交换机接续时所需要的各种信号音。交换机重要 ○部件之一。
3EMA板:双机倒换板,用于监视主备MPU之间的工作状态。○4MPU板:交换机主处理板,是整个交换机的核心部分,对整个交换机进行管理和控○制。
5NET板:中心交换网板,所有信号都在该交换网板进行交换,交换机重要部件之一。○6CKV网络驱动板:为NET板提供信号的硬件驱动。○7LAPA板:NO7号信令链路驱动板,提供4路NO7链路,开NO7中继电路必备板○件。
8MFC32板:多频互控板,提供32路双音多频互控信号,开NO1中继电路必备板件。○9ALM板:告警板,为外接告警箱提供信号驱动和连接功能。○ 讯方通信
e-Bridge实验指导书 10PWC板:二次电源板,为主控框提供+/-12V,+/-5V工作电压。○
3、用户框:5框为用户框(在用户机柜中),为交换机系统提供用户电路接口。(即提供电话接口)
1ASL32板:32路用户电路板,提供32路用户电路接口,其中第16、17路可以提供○反极性信号。
2DRV32板:双音驱动板,提供32路DTMF双音多频信号的收发和解码,并 ○对ASL32板提供驱动电路。
3PWX板:二次电源板,为用户框提供+/-12V,+/-5V工作电压、~75V铃流信号。○重要:请注意PWX和PWC之间的区别,二者不能混用!!
5、中继框:4框为中继框,为交换机提供中继电路功能。
1DTM板:2M中继电路板,每块DTM板提供2个2M口电路,可以配置成 ○N01中继或者NO7中继电路。
2PWC板:二次电源板,为中继框提供+/-12V,+/-5V 工作电压。○其具体板位如下图所示: 讯方通信
e-Bridge实验指导书
(B
独)讯方通信
e-Bridge实验指导书
四、实验步骤
1、运行e-bridge通信实验平台客户端软件
2、点击“业务操作终端”,弹出登陆窗口: 讯方通信
e-Bridge实验指导书
用户名:cc08,密码:cc08,局名选LOCAL(IP地址:127.0.0.1),点击“确定”
3、在维护输出窗口会显示登陆成功的相关信息,并自动执行几条系统查询命令:
4、点击“系统”-》“执行批命令”,或按CTRL+R 讯方通信
e-Bridge实验指导书
5、选择已调试好的命令文件脚本“”,点击“打开”。
系统会自动执行并在【维护输出】窗口显示执行结果:
6、在e-bridge系统中点击“申请加载数据”-》“确定”,屏幕上方会显示当前占用服务器席位的客户端,你申请席位的客户端排在第几位,剩余多长时间。讯方通信
e-Bridge实验指导书
7、当申请到服务器席位时,点击确认,系统自动将本客户端的数据库中的数据传到服务器中: 讯方通信
e-Bridge实验指导书
8、服务器会自动进行数据格式转换,并加载到交换机中。讯方通信
e-Bridge实验指导书
9、点击“业务操作终端”出现登陆窗口: 讯方通信
e-Bridge实验指导书
用户名:cc08,密码:cc08,局名:SERVER(IP地址:129.9.0.10)点击“确定”登陆到BAM服务器
10、点击“维护”-》“配置”-》“硬件配置状态面板”,可看到交换机的单板运行状态:
附件:硬件数据配置参考
1、SET FMT: STS=ON;
//设置格式转换的状态。STS=ON:状态=开。SET CWSON: SWT=OFF,CONFIRM=Y;
//设置当前工作站告警输出为关
2、增加模块
ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//设置B独模块,CKTP= NET:时钟采用NET板的内置时钟。PE=FALSE:程序不可用。DE=FALSE,:数据不可用。DW=TRUE:数据可写。PW=TRUE:程序可写。
3、设置本局信息
SET OFI:
SN1=NAT, LOT=CMPX, NN=TRUE, SN2=NAT, SN3=NAT, SN4=NAT, 讯方通信
e-Bridge实验指导书
NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'025,LNC=K'086;
//(LOT=CMPX:本局类型:长市农合一。NN=TRUE:国内网有效。SN1=NAT:网标识1=国内。SN2=NAT:网标识2=国内SN3=NAT:网标识3=国内。SN4=NAT:网标识4=国内。NNC=“AAAAAA”:国内编码=AAAAAA。NNS=SP24:国内网编码结构:24位编码方式。SCCP=NONE:提供SCCP功能=不提供。TADT=0:传输允许时延=0,, STP=FALSE:STP功能标志=否。LAC=K'025:本地区号=025。LNC=K'0086:本国代码=0086。)
4、增加机框 4.1增加控制框
ADD CFB: MN=1, F=1, LN=1, PNM=“江苏大学”, PN=1, ROW=1, COL=1
//增加主控框,。MN=1:模块号=1,F=1:框号=1,PNM=“江苏大学”:场地名=江苏大学。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。4.2增加中继框 ADD DTFB:MN=1,F=4,LN=1,PNM=“
江
苏
大
学
”,PN=1,ROW=1, COL=1,BT=BP3,N1=0,N2=1,N3=2,N4=3,N5=255,HW1=90,HW2=91,HW3=88,HW4=89,HW5=86,HW6=87,HW7=84,HW8=85,HW9=255,//增加DTM中继框.,MN=1:模块号=1。F=4:框号=4,PNM=“四川师范程大学”:场地名=河北工程大学。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。BT=BP3:板类型为DTM板。N1=0:主节点1=0。N2=1:主节点2=1,主节点3=2,主节点4=3,主节点5=255;主节点5以上不配,即其他空槽位不占用主节点。HW1=90,HW2=91,HW3=88,HW4=89,HW5=86,HW6=87,HW7=84,HW8=85,增加4块DTM板,HW资源从85~91,HW9=255:HW9以上不配,其他空槽位不配HW资源。4.3增加32路用户框
ADD USF32: MN=1, F=5, LN=1, PNM=“江苏大学”, PN=1, ROW=1, COL=1, N1=18, N2=19, HW1=4, HW2=5 , HW3=255, BRDTP=ASL32,CONFIRM=Y;
//增加用户框.: MN=1:模块号=1。F=5:框号=5,PNM=“江苏大学”:场地名=江苏大学。PN=1:场地号=1。, ROW=1:行号=1。COL=1:列号=1。N1=18:左半框主节点=18。N2=19:右半框主节点=19。HW1=0, HW2=1:HW1、HW2分别为4、5。HW3=255, HW3以上不配,其他空槽位不配HW资源。BRDTP=ASL32;板类型为32路用户板。
5、调整单板配置,因机框配置会默认一些单板起来,我们需要根据我们机器实际配置进行调整。讯方通信
e-Bridge实验指导书
5.1调整用户框单板:4-11,13-22 RMV BRD: MN=1, F=5, S=4;// RMV BRD:删除单板。MN=1:模块=1。F=5:框号=5。S=4:槽位=4。RMV BRD: MN=1, F=5, S=5;RMV BRD: MN=1, F=5, S=6;RMV BRD: MN=1, F=5, S=7;RMV BRD: MN=1, F=5, S=8;RMV BRD: MN=1, F=5, S=9;RMV BRD: MN=1, F=5, S=10;RMV BRD: MN=1, F=5, S=11;RMV BRD: MN=1, F=5, S=13;RMV BRD: MN=1, F=5, S=14;RMV BRD: MN=1, F=5, S=15;RMV BRD: MN=1, F=5, S=16;RMV BRD: MN=1, F=5, S=17;RMV BRD: MN=1, F=5, S=18;RMV BRD: MN=1, F=5, S=19;RMV BRD: MN=1, F=5, S=20;RMV BRD: MN=1, F=5, S=21;RMV BRD: MN=1, F=5, S=22;RMV BRD: MN=1, F=5, S=23;5.2调整主控框2: RMV BRD: MN=1, F=1, S=2;RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=10;讯方通信
e-Bridge实验指导书
RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=2, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7;// ADD BRD:增加单板。MN=1:模块=1。F=2:框号=2。S=17:槽位=17。BT=LPN7:板类型=LPN7。
ADD BRD: MN=1, F=2, S=18, BT=MFC;
6、加载设置
SET SMSTAT: MN=1, STAT=ACT;//设置模块的后台监控状态。MN=1:模块=1。STAT=ACT:状态=激活。FMT ALL:;//格式转换。将数据转换成交换机能接收的格式;重新启动程控交换机,等待加载数据到AM完成。讯方通信
e-Bridge实验指导书
实验报告
一、画图
1、画出硬件配置流程顺序图
答案:配置本局信息-----》配置模块信息-----》配置功能框-----》删除框内多余单板-----》修改新增加的单板。
2、画出交换机数据配置全过程图
答案:启动EB软件程控模块-----》还原数据库-----》启动EB软件里的程控模块里的“业务操作终端”-----》选择登陆LOCAL服务器-----》逐条输入配置命令-----》申请加载数据-----》加载数据-----》退出LOCAL服务器选择登陆SERVER服务器-----》查看交换软件版本-----》查看硬件配置状态面板看交换机运行状况。
二、名词解释
1、格式转换:配置好的交换机数据是以SQL数据库表格形式生成的,要变换成MPU所识别的机器代码文件,这个过程叫格式转换。
三、思考题
1、如何理解程控交换机里面的行号、列号?
2、EB软件里面还原数据库的作用是什么?
3、为什么加载后要登陆SERVER来查看交换机运行状态?