基于园区网络的Web认证设计与实现课程设计

课 程 设 计 报 告课程名称 网络技术与应用 课题名称 基于园区网络的Web认证设计与实现 专 业 信息管理与信息系统 班 级 09级1班 学 号 0112 姓 名 洪俊斌 指导教师 余新宇 韩宁 2011年 12 月 23 日湖南工程学院课 程 设 计 任 务 书课程名称 网络技术与应用 课 题 基于园区网络的 Web认证设计与实现 专业班级 信息管理0901班 学生姓名 洪俊斌 学 号 0112 指导老师 余新宇 韩宁 审 批 任务书下达日期 2011 年 12 月 8 日任务完成日期 2011 年 12 月 23 日1.课程设计的性质和任务 通过课程设计，培养学生独立思考、综合分析与动手的能力；验证理论和加深对概念的理解，熟练掌握网络安装及调试技术，并能综合运用知识进行网络设计，解决实际问题。2.设计内容2.1 课程设计题目（按学号顺序每班分成三组，每人完成一个题目）课题2：基于园区网络的Web认证设计与实现 园区网络越来越普及，但是网络中的非法接入会给园区网带来不安全因素。通过Web认证技术，可杜绝网内非法用户。Web认证接入方式采用重定向技术，客户端无需安装任何软件，用户只需打开浏览器，输入任意网址就会弹出认证界面，引导用户输入用户名密码进行认证，合法用户认证通过后可以正常访问网络，非法用户的网络访问被拒绝。一、课题内容：(1) 根据提供的拓扑结构，首先实现非认证条件下的终端上网。(可访问Internet)(2) 规划Vlan和IP地址，通过DHCP使终端自动获取IP地址(3) 了解Radius协议，并部署Radius服务器，使用AD活动目录创建用户(4) 通过AAA方法实现有线和无线终端的802.1x认证(5) 通过使用Wireshark网络封包分析软件分析整个认证过程，并记录(6) 完成测试并写出详细课设报告二、拓扑结构：3设计要求：3.1 课程设计报告规范（1）课题内容要求分析a. 内容要求分析；b. 效果要求分析；c. 完整性要求。（2）操作步骤设计a. 任务由哪些步骤完成，每个步骤之间的关系；b. 画出拓扑图和工作原理图（用计算机绘图）；（3）设计效果设计；（4）使用说明用户使用手册：说明如何使用你设计的系统，详细列出每一步的操作步骤。 （5）书写格式a. 设计报告要求用A4纸打印成册：b. 一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。3.2 考核方式指导老师负责验收课题的设计结果，并结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综合考评，并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核标准包含以下几个部分：（1）平时出勤 （占10%）（2）设计步骤、设计内容、及总体操作过程合理与否（占10%）（3）步骤是否正确、内容是否完整及设计效果是否符合要求，个人能否独立、熟练地进行操作（占40%）（4）设计报告（占30%）注意：不得抄袭他人的报告（或给他人抄袭），一旦发现，成绩为零分，同一组的同学，设计报告单独完成，不能雷同。3.3 课程验收要求（1）完整操作所设计的内容。（2）回答有关问题。（3）提交课程设计报告。（5）依操作的熟练程度、内容的创新程度，内容的完善情况打分。 上机安排时间8：00-12：0015：0018：0018：00-22：0012月19日信管0901信管090112月20日信管0901信管090112月21日信管0902信管090212月22日信管0902信管0902附：课程设计报告装订顺序：封面、任务书、目录、正文、评分表。 正文的格式:一级标题用3号黑体,二级标题用四号宋体加粗,正文用小四号宋体;行距为22。目 录1 总体概述和拓扑结构11.1 总体概述11.2 拓扑图22 准备过程32.1 CA证书的导入与活动目录创建用户32.1.1 CA安装过程32.1.2 用户新建过程42.2 DHCP服务器的配置72.2.1 配置过程72.3 Radius服务器的配置82.3.1 创建Radius客户端82.3.2 配置访问策略93 无验证动态分配IP地址的实现133.1 2626A配置133.2 5308配置133.3 2626B配置143.4实现结果154 AAA方法实现有线的Web认证164.1 实现代码164.2 实现结果165 无线AP420的配置195.1 无线AP的国家代码修改195.2 网页配置196 路由器7102的配置226.1 实现代码226.2 功能的完成247 wireshark抓包的实现268 心得体会279 附录299.1 参考文献2910 计算机与通信学院课程设计评分表301 总体概述和拓扑结构1.1 总体概述WEB 认证接入方式采用重定向技术，客户端无需安装任何软件，用户只需打开浏览器，输入任意网址就会弹出认证界面，引导用户输入用户名密码进行认证，合法用户认证通过后可以正常访问网络，非法用户的网络访问被拒绝。同时 WEB 认证接入服务器端对用户的时长流量等计费信息进行采集，可以对用户进行计费，适应各种资费策略。用户认证通过后会弹出一个计时小窗口，供用户观察上网时长，计时小窗口自带注销按钮供用户下网时注销。WEB 认证的页面可以根据用户的需要进行定制，运营商可以定制自己的名字、Logo 以及各种通告信息等，方便运营商的运营。WEB 认证接入技术组网方式灵活，客户维护成本低，适应各种资费策略，当它工作在二层时可以实现用户名、IP 地址和 Mac 地址的绑定，非常方便运营商的运营。NAT：网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。DHCP：（动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。Radius：RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。是目前应用最广泛的AAA协议。1.2 拓扑图图1.1 总体拓扑图设计1、DHCP服务器和Radius服务器在VLAN 1里面，也就是2626A的1-2端口，2626A的25号端口连接在三层交换机5308的B1端口连接。2、PC2连接在2626B的3-4号端口上，划分为VLAN 4里面，pc3连接在2626B的1-2号端口上面，此两个端口划分在VLAN 4里面。2626B的25号端口连接在5308的C4端口上。3、无线AP420连接在三层交换机5308的C2端口上面。4、7102路由器连接在5308的B3端口上面。5、在5308上分别在每个VLAN里面定义中继端口：B1,B3,C2,C4。6、分别设定每个VLAN的IP地址，在eth0/2,eth0/1设置内外网的IP地址，是的能够连通外网。2 准备过程2.1 CA证书的导入与活动目录创建用户2.1.1 CA安装过程在C盘内的根目录下选定证书，单击右键，选择“安装证书”子菜单图2.1.1 图2.1.22.1.2 用户新建过程 1、在开始的菜单下点击“管理工具”，然后点击“Active Directory 用户和计算机”图2.1.32、在活动目录中创建student这个全局组，为student创建五个用户stu1，stu2，stu3，stu4，stu5，创建过程如下图所示图2.1.4图2.1.5图2.1.6输入用户名，建立这里以stuX。图2.1.7为了实验的方便性，密码统一设置为“procurve”，选中“密码永不过期”选项。 3、点击完成，完成创建。为了使后面实验中的基于WEB方式的身份认证，我们还需要修改用户的帐户属性，如下图所示，选中“使用可逆的加密保存密码”。图2.1.84、将用户添加到对应的组图2.1.9选择添加到组“菜单”，弹出如下对话框：图2.1.10在“输入要选择的对象名称”中输入组名称，单击检查名称按钮进行检查，当组名称下出现下划线后，单击确定完成关联。同理，完成其他用户组与用户的联系。2.2 DHCP服务器的配置2.2.1 配置过程1.我们需要在DHCP服务器上建立VLAN 1,VLAN 3.VLAN 4三个作用域。VLAN 1：172.16.9.10172.16.9.250 255.255.255.0VLAN 3：10.1.10.5010.1.10.150 255.255.255.0VLAN 4：10.1.20.210.1.20.20 255.255.255.0按照下面的图示来完成DHCP服务器的配置：（以一个VLAN为例，剩下的同理） 图2.2.1下面这个图中，这个地址是该作用域的路由器IP地址，在前面就必须要设置，不然完成不了下面连接外网的功能。 图2.2.2使用类似的办法在DHCP服务器中创建VLAN 1,VLAN 4这两个作用域。2.3 Radius服务器的配置2.3.1 创建Radius客户端下面我们开始创建RADIUS客户端的，在“开始”-“管理工具”中选择“Internet验证服务”。在创建RADIUS客户前，将IAS注册到域服务器中。图2.3.1按下面的步骤来创建RADIUS客户端图2.3.2点击“新建RADIUS客户端”，弹出如下对话框，按照下面的步骤来创建2626B的RADIUS客户端。图2.3.3图2.3.4共享的机密统一使用“procurve”，点击确定完成创建，用同样的方法为其他的设备创建RADIUS客户端。图2.3.52.3.2 配置访问策略点击“新建远程访问策略”，将弹出如下对话框，按照下面的步骤来创建student的远程访问策略。图2.3.6选择设置自定义策略，策略名填入“student”，单击下一步 图2.3.7添加属性，选择“Authencation-Type”，单击添加。图2.3.8然后选择“EAP”协议，点击确定即可。图2.3.9选择授予远程访问权限，单击下一步。图2.3.10单击编辑配置文件，弹出如下对话框：图2.3.11在“身份验证”选项中，单击EAP方法，弹出如下对话框：图2.3.12选择受保护的EAP，单击确定，然后再单击编辑图2.3.13检查是否有证书，有则单击“确定“进入下一步，若没有则需要重新启动计算机，然后进行检查。完成后点击“确定”，然后按照向导完成操作。在高级选项中添加“TunnelType”、“TunnelMediuType”和“TunnelPvtGroupID”三个属性，最后，如果需要的话，可以启用计费策略。如下图选中远程访问记录：图2.3.14双击本地文件，将出现如下对话框：图2.3.153 无验证动态分配IP地址的实现3.1 2626A配置代码如下：enableconfigureRunning configuration:; J4900B Configuration Editor; Created on release #H.10.83hostname 2626Asnmp-server community public Unrestrictedvlan 1 name DEFAULT_VLAN untagged 1-26 ip address 172.16.9.253 255.255.255.0 ip helper-address 172.16.9.5 exitvlan 3 name VLAN3 tagged 25 exitvlan 4 name VLAN4 tagged 25 exit3.2 5308配置代码如下Running configuration:; J4819A Configuration Editor; Created on release #E.11.03hostname ProCurve Switch 5308xlmodule 2 type J4821Bmodule 5 type J4820Bmodule 3 type J8161Amodule 4 type J8161Ainterface C1 no lacpexitip routingsnmp-server community public Unrestrictedvlan 1 name DEFAULT_VLAN untagged B1,B3-B4,C2-C3,C5-C24,D1-D24,E1-E24 ip address 172.16.9.254 255.255.255.0 tagged B2,C1,C4 exitvlan 2 name VLAN2 ip address 192.168.0.1 255.255.255.0 ip helper-address 172.16.9.5 tagged B1,C1,C3 exitvlan 3 name VLAN3 ip address 10.1.10.1 255.255.255.0 ip helper-address 172.16.9.5 tagged B1,C1-C4 exitvlan 4 name VLAN4 ip address 10.1.20.1 255.255.255.0 ip helper-address 172.16.9.5 tagged B1,B4,C1-C4 exitip authorized-managers 172.16.9.5 255.255.255.0ip route 0.0.0.0 0.0.0.0 172.16.9.103.3 2626B配置代码如下 enable configurevlan 1 name DEFAULT_VLAN untagged 5-26 ip address 172.16.9.20 255.255.255.0 ip helper-address 172.16.9.5 no untagged 1-4 exitvlan 3 name VLAN3 untagged 1-2ip address 10.1.10.2 255.255.255.0 ip helper-address 172.16.9.5 tagged 25 exitvlan 4 name VLAN4 untagged 3-4 ip address 10.1.20.2 255.255.255.0 ip helper-address 172.16.9.5 tagged 25 exit3.4实现结果把PC3连入2626B的端口14都可行，比如接入到端口34时分配的是vlan4的地址，如下图所示：图3.4.1 NO.2客户机分配到的地址4 AAA方法实现有线的Web认证4.1 实现代码首先在2626B输入如下的代码：aaa authentication port-access eap-radiusradius-server host 172.16.9.5 key procurveaaa port-access authenticator activeaaa port-access web-based 5-6aaa port-access web-based 5 unauth-vid 4aaa port-access web-based 6 unauth-vid 44.2 实现结果认证前的IP地址，是原本VLAN 4内的地址，如下图：图4.2.1插到认证端口时，交换机会自动分配一个私有IP地址给客户机，如下图：图4.2.2认证WEB界面，输入用户名和密钥，如下图所示：图4.2.3认证通过后，radius服务器自动分配一个VLAN 3的IP地址给该客户机，如下图所示：图4.2.4在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。图4.2.55 无线AP420的配置5.1 无线AP的国家代码修改进入管理员执行模式之后，输入命令“country ？”：ProCurve AP 420# country ?ProCurve AP 420# country cn AP重起之后生效。保证AP的发送接收频率满足使用国家的许可要求后，AP方可正常工作。5.2 网页配置把控制主机与AP420调到同一个网段，然后在WEB中输入网页中输入网址，如172.16.9.11即可进入AP420网页配置的界面，首先就必须开启AP：图5.2.1 图5.2.2当Inactive变成Active时，无线AP就开启了，然后进入配置界面，配置一些地址和有关动态分配IP地址的相关配置：举配置动态分配界面为例，要点击Dynamic才是正确的 图5.2.3然后在超级终端中打开AP420，查看大体的相关配置： 图5.2.4设置完成后，将会出现如下提示，点击提示框。图5.2.5输入登陆凭据后确定，如果认证成功将显示已连接上，否则将显示身份认证失败。如果失败，请认真检查配置，并查看RADIUS服务器的事件查看器。经过身份认证后，该PC得到了IP地址，说明验证成功。在Radius服务器的管理工具的事件查看器中可查看RADIUS认证情况。图5.2.76 路由器7102的配置6.1 实现代码Building configuration.! ProCurve Secure Router 7102dl SROS version J14.04! Boot ROM version J06.06! Platform: ProCurve Secure Router 7102dl, part number J8752A! Serial number US520UA100! Flash: bytes DRAM: 7 bytes! Date/Time: Thu Mar 02 2000, 07:10:37 GMT+05:45!hostname ProCurveSR7102dlno enable password!clock timezone +5:45!ip subnet-zeroip classlessip routing!event-history onno logging forwardingno logging email!no service password-encryption!ip firewallno ip firewall alg msnno ip firewall alg mszoneno ip firewall alg h323!no autosynch-modeno safe-mode!interface eth 0/1 ip address 172.16.9.10 255.255.255.0 access-policy NATinside no shutdown!interface eth 0/2 ip address 59.71.15.100 255.255.255.128 no shutdowninterface e1 1/1 shutdown!ip access-list standard inside permit any!ip policy-class NATinside nat source list inside address 59.71.15.100 overload!ip route 0.0.0.0 0.0.0.0 59.71.15.1ip route 10.1.0.0 255.255.0.0 172.16.9.254ip route 172.16.0.0 255.255.0.0 172.16.9.254!no ip tftp serverno ip tftp server overwriteno ip http serverno ip http secure-serverno ip snmp agentno ip ftp serverip ftp server default-filesystem flashno ip scp serverno ip sntp server!no snmp-server enable traps!ip sipno ip sip proxy transparent!ip sipno ip sip proxy transparent!line con 0 no login!line telnet 0 4 login no shutdownline ssh 0 4 login local-userlist no shutdown!End6.2 连接外网在此处外网的连接IP为59.71.15.100。我们在客户机的命令界面ping 59.71.15.100图6.2.1图示已经Ping通了外网，所以此台客户机已经能够访问外网了。在内网中，三个VLAN里面的客户机都能互相的平通对方，如下图所示： 图6.2.2 图6.2.3 图6.2.47 wireshark抓包的实现如图所示： 图7.1图7.2从这个抓包的结果来看，抓到的包有TCP的，也有UDP的，还能抓到上网的账户和密码噢。8 心得体会“很难，很难，这么复杂的实验到底要怎么做啊？”这是刚拿到课题时的想法。毕竟这是我们第一次做这么复杂的交换机实验，并且又都不是很懂交换机的那些命令。所以我提前两天到实验室去做这个课设了。第一天去的时候，也就是做DHCP服务器。因为当时在网上下了一些资料，所以懂得了一些理论，可到了真正要上机去实践的时候，我真的遇到了好多的困难。不知道在这前面居然还要安装证书，所以又要从安装证书开始做起，那个机子因为有学长做过了，所以必须把证书卸了才能再重新开始做。当我把电脑重启的时候，电脑真的是非常的卡，每次开机都要花上五分钟左右，不耐心的人恐怕会受不了的。因为我们组都把那里的电脑称为“神机”，把那“复古”的“鼠标”称为“神标”，做得累了偶尔开开玩笑。这一天我问的学长是陈斌学长，我的问题超多的，那时候陈斌学长正在复习考试，被我问得书都看不下去了。第二天我们就去做了活动目录还有RADIUS服务器，张高龙学长给了我一份资料，是关于radius服务器的配置，我就按着上面的提示一步一步的做，后来测试时，发现了一个错误，因为在“加密身份验证”这个框框上必须打勾，这就证明了，一切都还是要从理论出发，不要认为什么资料都是正确的，如果你没有去实践，就发现不了错误。第三天我们就开始做全局配置了，对于交换机的VLAN划分，我们是做得顺风顺水的，当然是在学长的指导下才顺风顺水的，我们很快就做完了无验证动态分配IP地址的实现这个模块，接下来就开始做验证的，这个从开始就把线给接错了，怪不得我们怎么也ping不通，后来才发现，原来是原本要接2626B的console线接到了2626A上面了，就是这个小小的错误害得我们耽搁了一些时间，后来当命令敲完之后，开始执行这个过程时，发现，在转接2626B的5-6号接口时（这两个接口是需要通过验证的接口），发现，在这个过程中，客户机分配到的是一个192.168.0.1的私有地址，这个问题困扰了我们组员好久，学长说“aaa port-access web-based 5 unauth-vid 4”这句话的意思是在没通过验证之前分配的是VLAN 4的地址，可是为什么会分配一个私有地址呢，这个学长也无法解释得清楚，就这样，留了个疑问到了第四天。第四天，韩宁老师一来，就被我们叫住了，就是为了来解决昨天留下的疑问，韩宁老师说这是正确的，在交换了端口之后，这个私有地址是交换机自动分给客户机的，然后通过验证后，才会分配一个你自己定义的VLAN 3的地址。“aaa port-access web-based 5 unauth-vid 4”这句话的意思不是说没有通过验证前分配VLAN 4的地址，这句话真正的解释是当客户机身份验证失败后，才给客户机分配一个VLAN 4的地址。老师的解释把我们昨天遗留下来的问题解决了。接下来，我们就开始做无线AP420的实验，这个模块也纠结了我们好久，我们错误的认为因为AP420是连接在5308上面的，所以必须把代码敲在5308上，其实这样是错的，其实无线AP420就是相当于一个边缘交换机，跟拓扑图中的2626B是一样的，我们要把代码敲到420上面才是正确的。5308只要在每个VLAN里面定义与AP420连接的端口就可以了。在韩宁老师的指导下，我们这个模块的任务也就完成了。开始做通过7102连接外网的模块。这个模块看似很简单，只要有外网的IP就可以了，但事实并非如此，我们在7102里面还必须定义默认的出去路由和进来路由，还要定义一个转换的IP地址出去到外网中。这个才是7102配置中最重要的地方，没有这几句代码，根本就无法连接到外网中，这些对于我们这些初学者来说，真的是一个非常宝贵的知识呢。最后开始做wireshark抓包这个实验，这个因为事先看了余老师给我们的资料，所以做起来当然比前几个模块的实验舒服多了。我们小组的成员都好高兴的说，因为这几天来的辛苦换来了成功的结果，高兴之情溢于言表。四天的时间，整整四天的时间，我真的懂得了好多，这是我自篮球赛以后再次体会到了一个团队的团结，我们的工作是一个团队的工作，团队需要个人，个人也离不开团队，必须发扬团结协作的精神。某个人的离群都可能导致导致整项工作的失败。在实验中，我们的小组成员互相帮助，有问题几个人一起讨论解决，大大节省了时间。互相都提出了很好的建议，使我们的课程设计得以较好的完成。当然还有和张高龙学长和陈斌学长的指导和相处，我发现他们也挺能说笑的，跟他们混熟了，啥事都能开玩笑，每次都能笑笑，这种氛围真的好轻松。“黑夜过去了，我们收获的是黎明。”这一句话是我对这次计算机网络课程设计的最后总结。感谢课程设计，它的确教会我很多。感谢老师和学长，让我学到了更多的知识，给我构建了一个知识系统框架。感谢我的组员，与我风雨同舟。希望我们在以后的学习中都能不断总结，不断改进，使自己的成绩有新的提高，动手能力能够有很大的提升。9 附录9.1 参考文献【1】网络接入控制与免疫（实验室资料）【2】HP交换机基本命令配置（网络资料）【3】WEB认证技术白皮书（网络资料）【4】Wireshark使用教程 wireshark抓包教程（网络资料）【5】Radius认证服务器的配置与应用（网络资料）【6】10 计算机与通信学院课程设计评分表课程名称： 项 目评 价设计方案的合理性与创造性设计与调试结果设计说明书的质量答辩陈述与回答问题情况课程设计周表现情况综合成绩 教师签名： 日 期： （注：1此页附在课程设计报告之后；2综合成绩按优、良、中、及格和不及格五级评定。）