当前位置:文档之家› 实验24IEEE802.1X的端口认证实验

实验24IEEE802.1X的端口认证实验

实验24IEEE802.1X的端口认证实验
实验24IEEE802.1X的端口认证实验

实验二十四、IEEE802.1X的端口认证实验

一、 实验目的

1、了解什么是802.1x;

2、熟练掌握如何使用802.1x提高网络安全性;

3、了解神州数码对802.1x的功能加强

二、 应用环境

我们的网络按照标准的三层架构(核心层、汇聚层、接入层)部署,在网络的接入层使用DCS-3926S交换机。

在运营的过程中,网络中心发现有许多外来人员经常在没有知会有关部门的情况下,私自使用网络。

网络中心希望能够控制非法访问,通过802.1x结合认证服务器给大家发放用户名帐号,只允许有用户名帐号的人访问网络,这样就有效的解决了非法访问的问题。同时,还可以使用认证服务器(DCBI-3000EN)的计费功能,按照不同的计费策略对不同的上网类型进行计费。

802.1x协议的主要目的是为了解决局域网用户的接入认证问题。(dcn全线接入交换机均支持802.1x协议)。

三、 实验设备

1、DCS-3926S交换机1台

2、PC机1-2台

3、Console线1根

4、直通网线2-4根

5、DCBI-3000

四、 实验拓扑

五、 实验要求

1、按照拓扑图连接网络;

2、PC和交换机的24口用网线相连;

3、DCBI-3000认证服务器和交换机的1口用网线相连;

4、交换机的管理IP为192.168.1.100/24

5、PC网卡的IP地址为192.168.1.101/24;

6、DCBI认证服务器的IP为192.168.1.5/24

六、 实验步骤

第一步:交换机恢复出厂设置

switch#set default

Are you sure? [Y/N] = y

switch#write

switch#reload

Process with reboot? [Y/N] y

switch#clock set 15:29:50 2006.01.16

Current time is MON JAN 16 15:29:50 2006

switch#

switch#config

switch(Config)#hostname DCS-3926S

DCS-3926S(Config)#exit

DCS-3926S#

第二步:给交换机设置IP地址。

DCS-3926S(Config)#interface vlan 1 !进入vlan 1接口

DCS-3926S(Config-If-Vlan1)#ip address 192.168.1.100 255.255.255.0 !配置地址DCS-3926S(Config-If-Vlan1)#no shutdown !激活vlan接口

第三步:安装1x认证客户端并配置主机的IP地址

安装客户端,安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数码私用扩展可以大大增强802.1x的功能,使用户名可以绑定IP、MAC、交换机VLAN等,还可以按照流量进行计费,甚至区分国内外流量进行计费(这需要DCBA-3000W设备的支持),可以防止BT等P2P软件等等。

配置主机的IP地址为192.168.1.101/24。

第四步:安装配置DCBI-3000限用户版

1、安装redhat操作系统,mysql数据库必选;

2、将DCBI的安装文件复制到新安装的系统下;

3、解包复制过来的文件,进入install目录,执行./install,按照提示输入服务器

IP地址192.168.1.99;

4、启动mysql数据库;

5、在解包的install目录下执行./installdb;

6、启动dcbi start;

7、此时必须打开操作系统得图形界面,执行client,此时可以看到DCBI 客户端的登

录画面,默认用户名密码都是admin;

8、在站点管理中添加设备,并重启DCBI;

9、添加计费类型

10、根据需要进行开户;

DCBI 服务器详细的安装和使用请参考附件:DCBI-3000安装与调试。

第五步:配置交换机802.1x

DCS-3926S(Config)#radius-server authentication host 192.168.1.5 !配置认证服务器地址,默认使用1812端口认证。

DCS-3926S(Config)#radius-server accounting host 192.168.1.5 !配置计费服务器地址,默认使用1813端口计费。

DCS-3926S(Config)#radius-server key dcradius !配置通信密钥

DCS-3926S(Config)#aaa enable !启用认证

DCS-3926S(Config)#aaa-accounting enable !启用计费

DCS-3926S(Config)#dot1x enable !启用802.1x

DCS-3926S(Config)#dot1x privateclient enable !启用神州数码私有增强功能

第六步:在端口启用802.1x功能

DCS-3926S(config)#interface ethernet 0/0/24 !进入e0/0/24端口

DCS-3926S(Config-Ethernet0/0/24)#dot1x enable !在该端口启用802.1x

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-control auto !设置端口默认的认证状态为auto

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-method portbased !使用基于端口的认证方式,也可以使用基于MAC地址的认证方式。

以下4行也可以不配置,e0/0/1连接服务器的端口不开启802.1x,也就不需要认证了,如果该端口也向开启802.1x的话,则必须如下配置:

DCS-3926S(config)#interface ethernet 0/0/1

DCS-3926S(Config-Ethernet0/0/1)# dot1x enable

DCS-3926S(Config-Ethernet0/0/1)# dot1x port-control force-authorized !该端口的模式“强制认证过”,即不需要再认证了

DCS-3926S(Config-Ethernet0/0/1)# exit

第七步:验证802.1x功能

1、不启用客户端,使用PC ping DCBI-3000,结果不通;

2、启用客户端,使用PC ping DCBI-3000,结果通;

七、 注意事项和排错

1、使用神州数码扩展功能时,交换机必须启用私用扩展报文

2、交换机在特权模式下使用debug dot1x命令监控到PC机的EAP报文,使用debug aaa

监控到radius服务器的认证报文。

3、如果出现端口无法配置IEEE802.1x 认证功能的情况,请检查此端口是否运行了生

成树功能,或者端口已经被配置为Trunk 端口或端口汇聚组的成员端口。如果要开

启端口的IEEE802.1x 认证功能,则必须先关闭此端口上开启的其它互斥功能。

4、如果交换机的IEEE802.1x 认证功能配置是正确的,但认证仍无法正常通过,请检

查交换机与RADIUS 服务器,交换机与IEEE802.1x 客户端之间的连接是否能相互连通;并且检查交换机端口VLAN 的配置是否正确。

5、可以利用抓包工具,在PC机和radius服务器上进行抓包分析,查看认证过程,也

可以帮助排错过程。

八、 配置序列

DCS-3926S#show running-config

Current configuration:

!

hostname DCS-3926S

!

radius-server key dcradius

radius-server authentication host 192.168.1.5

radius-server accounting host 192.168.1.5

aaa enable

aaa-accounting enable

!

dot1x enable

dot1x privateclient enable

!

telnet-user xuxp password 0 digital

!

!

Vlan 1

vlan 1

!

!

Interface Ethernet0/0/1

!

……

Interface Ethernet0/0/24

dot1x enable

dot1x port-method portbased

dot1x port-control auto

!

!

interface Vlan1

interface vlan 1

ip address 192.168.1.100 255.255.255.0

!

DCBI服务器的安装和使用请参考附件:DCBI-3000安装与调试。

九、 共同思考

当在接入交换机DCS-3926S的端口下面又连接了一台普通的hub,并且有多个用户同时需要上网,应该怎么处理?

十、 课后练习

1、使用show aaa authenticating-user和show aaa authenticated-user命令观察

认证过程

2、使用基于mac地址的认证方式,认证一个端口下接多个用户的情况。

十一、 相关配置命令详解

802.1x配置任务序列

1.使能交换机的80

2.1x功能;

2.接入控制单元的属性配置

1) 配置端口的授权状态

2) 配置端口的接入控制方式:基于MAC地址还是基于端口

3) 配置交换机802.1x的扩展功能

3. 与用户接入设备相关的属性配置(可选)

4. 与RADIUS服务器相关的属性配置

1) 配置RADIUS认证密钥

2) 配置RADIUS服务器

3) 配置RADIUS服务的参数

1.使能交换机的80

2.1x功能

命令解释

全局配置模式

aaa enable no aaa enable 使能交换机的AAA认证功能;本命令的no操作为关闭交换机的AAA认证功能。

aaa-accounting enable no aaa-accounting enable 使能交换机的计费功能;本命令的no操作为关闭交换机的计费功能。

dot1x enable no dot1x enable 使能交换机全局及端口的802.1x功能;本命令的no操作为关闭802.1x功能。

2.作为Authenticator的属性配置

1) 配置端口的授权状态

命令解释

端口配置模式

dot1x port-control

{auto|force-authorized|force-unauthori zed}

no dot1x port-control 设置端口的802.1x授权状态;本命令的no操作用来恢复缺省配置。

2) 配置端口的接入控制方式 命令 解释 端口配置模式

dot1x port-method {macbased | portbased} no dot1x port-method 设置端口的接入控制方式;本命令的no 操作用来恢复基于MAC 地址的接入控制方式。

dot1x max-user no dot1x max-user

设置指定端口最多允许接入的用户数;本命令的no 操作为恢复缺省的最多允许9个用户。

3) 配置交换机802.1X 的扩展功能 命令 解释 全局配置模式

dot1x macfilter enable no dot1x macfilter enable

打开交换机802.1x 的地址过滤功能;本命令的no 操作为关闭802.1x 的地址过滤功能。 dot1x accept-mac

[interface ]

no dot1x accept-mac

[interface ] 添加802.1x 的地址过滤表的表项;本命令

的no 操作为删除802.1x 的地址过滤表的

表项。

dot1x eapor enable no dot1x eapor enable

打开交换机EAP 中继的认证方式;本命令的no 操作为采用EAP 本地终结的认证方式。

3. 与Supplicant 相关的属性配置 命令

解释 全局配置模式

dot1x max-req no dot1x max-req 设置交换机在没有收到suppliant 回应而重新启动认证前,发送EAP-request/identity 帧的最大次数;本命令的no 操作用来恢复缺省值。

dot1x re-authentication no dot1x re-authentication

设置允许对suppliant 进行周期性重认证;本命令的no 操作用来关闭该功能。 dot1x timeout quiet-period no dot1x timeout quiet-period 设置在端口认证失败后保持静默状态的时间;本命令的no 操作用来恢复缺省值。 dot1x timeout re-authperiod no dot1x timeout re-authperiod 设置交换机对suppliant 重新认证的时间间隔;本命令的no 操作用来恢复缺省值。 dot1x timeout tx-period no dot1x timeout tx-period

设置交换机对suppliant 重发EAP-request/identity 帧的时间间隔;本命令的no 操作用来恢复缺省值。

dot1x authentication-mode {active|passive}no dot1x authentication-mode 设置交换机认证模式,本命令的no 操作为恢复缺省值。 特权配置模式

dot1x re-authenticate [interface

]

设置对所有端口或某个指定端口进行802.1X 重认证(不须等待超时)。

4.与Authentication Server (RADIUS 服务器)相关的属性配置 1) 配置RADIUS 认证密钥; 命令

解释 全局配置模式

radius-server key no radius-server key 设置RADIUS 服务器的密钥;本命令的no 操作为删除RADIUS 服务器的密钥。

2) 配置RADIUS Server 命令

解释 全局配置模式

radius-server authentication host

[[port {}]

[primary]]

no radius-server authentication host

配置RADIUS 认证服务器的IP 地址和监听端口号;本命令的no 操作为删除RADIUS 主机。 radius-server accounting host

[[port {}] [primary]]

no radius-server accounting host

配置RADIUS 记费服务器的IP 地址和监听

端口号;本命令的no 操作为删除RADIUS

主机。

3) 配置RADIUS 服务参数 命令

解释 全局配置模式

radius-server dead-time no radius-server dead-time 配置RADIUS 服务器down 机后的恢复时间;本命令的no 操作为恢复缺省配置。 radius-server retransmit no radius-server retransmit 配置RADIUS 重传次数;本命令的no 操作为恢复缺省配置。

radius-server timeout no radius-server timeout 配置RADIUS 服务器的超时定时器;本命令的no 操作为恢复缺省配置。

aaa enable

命令:aaa enable

no aaa enable

功能:使能交换机AAA 认证功能;本命令的no 操作为关闭AAA 认证功能。 命令模式:全局配置模式 参数:无

缺省情况:交换机不打开AAA 认证功能。

使用指南:如果要实现交换机的802.1x 认证功能,必须打开交换机的AAA 认证功能。 举例:打开交换机的AAA 功能。 Switch(Config)#aaa enable

aaa-accounting enable

命令:aaa-accounting enable

no aaa-accounting enable

功能:打开交换机的AAA计费功能;本命令的no 操作为关闭AAA 计费功能。

命令模式:全局配置模式

缺省情况:交换机不打开AAA计费功能。

使用指南:打开交换机的计费功能后,交换机将对认证者所在的端口的流量信息或上网时间进行计费。在计费开始时,交换机向Radius计费服务器发出计费开始的消息;并且每隔5分钟针对在线用户向Radius计费服务器发一次计费包;在计费停止时,又向Radius计费服务器发送计费停止的消息。注意:只有当计费功能打开时,交换机在用户下线时才通知Radius 计费服务器,用户的下线消息并不会通知Radius认证服务器。

举例:打开交换机的AAA计费功能。

Switch(Config)#aaa-accounting enable

dot1x accept-mac

命令:dot1x accept-mac [interface ] no dot1x accept-mac [interface ]

功能:向dot1x地址过滤表中添加一个MAC地址表项,如果指定端口则添加的表项仅适用于指定端口,不指定端口则添加的表项适用于全部端口;本命令的no操作为删除dot1x的地址过滤表中的表项。

参数:为MAC地址;为接口名称及接口号;

命令模式:全局配置模式

缺省情况:无。

使用指南:交换机的dot1x地址过滤功能是根据MAC地址过滤表实现的,dot1x地址过滤表由用户手工添加或删除。当添加dot1x地址过滤表项时指定了端口,则该地址过滤表项仅适用于该端口;若添加时未指定端口,则该地址过滤表项适用于交换机所有端口。当交换机的dot1x地址过滤功能打开,交换机会对认证者的MAC地址进行过滤,只有在dot1x地址过滤表中存在的客户发起的认证请求才能被接受,否则将被拒绝。

举例:将MAC地址00-01-34-34-2e-0a添加到Ethernet 0/0/5的过滤表中。

Switch(Config)#dot1x accept-mac 00-01-34-34-2e-0a interface ethernet 0/0/5

dot1x eapor enable

命令:dot1x eapor enable

no dot1x eapor enable

功能:设置交换机采用EAP中继的方式进行认证;本命令的no操作为设置交换机采用EAP 本地终结的方式进行认证。

命令模式:全局配置模式

缺省情况:交换机采用EAP中继的方式进行认证。

使用指南:交换机与Radius认证服务器之间可能采用以太网方式连接或者采用PPP方式连接。如果交换机与Radius认证服务器之间采用以太网连接,那么交换机需要采用EAP中继的方式进行认证(即EAPoR认证);如果交换机与Radius认证服务器之间采用PPP方式连接,则交换机需要采用EAP本地终结的方式进行认证(即CHAP认证)。根据交换机与认

证服务器的连接方式的不同,交换机应该采用不同的认证方式进行认证。

举例: 设置交换机采用EAP本地终结的方式进行认证。

Switch(Config)#no dot1x eapor enable

dot1x enable

命令:dot1x enable

no dot1x enable

功能:打开交换机全局及端口的802.1x功能;本命令的no操作为关闭802.1x功能。

命令模式:全局配置模式及端口配置模式

缺省情况:交换机在全局下不打开802.1x功能;若交换机在全局下打开802.1x功能,则端口缺省也不打开802.1x功能。

使用指南:如果要对端口进行802.1x认证时,首先要打开全局下的802.1x功能,再在相应的端口下打开802.1x功能。如果该端口已经打开了Spanning Tree,或者是Trunk端口、端口聚合组的成员,则必须关闭端口下的Spanning Tree功能、或者改变端口的为Access端口、取消参加端口汇聚组,否则无法打开端口下的802.1x功能。

举例:启动交换机的802.1x功能,并且打开0/0/12号端口802.1x功能。

Switch(Config)#dot1x enable

Switch(Config)#interface Ethernet 0/0/12

Switch(Config-if)#dot1x enable

dot1x privateclient enable

命令:dot1x privateclient enable

no dot1x privateclient enable

功能:使能交换机强制客户端软件使用神州数码私有802.1x认证报文格式;本命令的no操作为关闭该功能,允许客户端软件使用标准802.1x认证报文格式。

命令模式:全局配置模式

缺省情况:交换机不支持私有802.1x认证报文。

使用指南:如果要实现神州数码整体解决方案,交换机必须使能支持神州数码私有802.1x 认证报文,否则很多应用将不能使用,具体参见神州数码802.1x整体解决方案。交换机如果配置强制客户端软件使用神州数码私有802.1x认证报文格式,那么标准的802.1x客户端将不能通过认证。

举例:使能交换机强制客户端软件使用神州数码私有802.1x认证报文格式。

Switch(Config)#dot1x privateclient enable

Switch(Config-Ethernet0/0/1)#dot1x enable

dot1x macfilter enable

命令:dot1x macfilter enable

no dot1x macfilter enable

功能:打开交换机的dot1x地址过滤功能;本命令的no操作为关闭dot1x地址过滤功能。命令模式:全局配置模式

缺省情况:交换机关闭dot1x地址过滤功能。

使用指南:当打开交换机的dot1x地址过滤功能,交换机会对认证者的MAC地址进行过滤,只有在dot1x地址过滤表中存在的客户发起的认证请求才能被接受。

举例:打开交换机的MAC地址过滤功能。

Switch(Config)#dot1x macfilter enable

dot1x max-req

命令:dot1x max-req

no dot1x max-req

功能:设置交换机在没有收到suppliant回应而重新启动认证前,发送EAP-request/identity 帧的最大次数;本命令的no操作为恢复缺省值。

参数: 为发送EAP-request/identity帧的次数,取值范围为1~10。

命令模式:全局配置模式

缺省情况:最大次数为2次。

使用指南:用户在配置发送EAP-request/identity帧的最大次数时,建议使用缺省值。

举例:更改EAP-request/identity帧的最大次数为5次。

Switch(Config)#dot1x max-req 5

dot1x max-user

命令:dot1x max-user

no dot1x max-user

功能:设置指定端口最多允许接入的用户数;本命令的no操作为恢复缺省值。

参数: 最多允许的接入用户数,取值范围为1~254。

命令模式:端口配置模式。

缺省情况:每个端口缺省最多允许接入的用户数为1。

使用指南:本命令只有在端口采用基于MAC地址的接入控制方式时才有效,若通过认证的MAC地址数量超过最多允许接入用户数,超出的用户将无法接入网络。

举例:设置端口0/0/3最多允许接入5个用户。

Switch(Config-Ethernet0/0/3)#dot1x max-user 5

dot1x port-control

命令:dot1x port-control {auto|force-authorized|force-unauthorized|vlanstyle} no dot1x port-control

功能:设置端口的802.1x授权状态;本命令的no操作为恢复缺省值。

参数:auto为启动802.1x认证,根据交换机和suppliant之间的认证信息来确定端口处于已授权状态或者非授权状态;force-authorized为设置端口为已授权状态,允许没有经过认证的数据通过该端口;force-unauthorized为设置端口为非授权状态,交换机在该端口不提供对suppliant的认证服务,不允许任何数据通过该端口。Vlanstyle 设置端口为freevlan状态,在freevlan内用户之间的报文传递不需要802.1x认证.注意:如果端口配置freevlan状态,端口的接入控制方式必须是基于端口的接入控制方式,即portbased。

命令模式:端口配置模式

缺省情况:当打开端口的802.1x功能,端口缺省为force-authorized。

使能指南:如果端口需要对用户进行802.1x认证,必须将端口认证状态设置为auto。

举例:配置端口1为需要802.1x认证状态。

Switch(Config)#interface e 0/0/1

Switch(Config-Ethernet0/0/1)#dot1x port-control auto

dot1x port-method

命令:dot1x port-method {macbased | portbased}

no dot1x port-method

功能:设置指定端口的接入控制方式;本命令的no操作用来恢复缺省的接入控制方式。

参数:macbased为基于MAC地址的接入控制方式;portbased为基于端口的接入控制方式。

命令模式:端口配置模式

缺省情况:端口缺省使用基于MAC地址的接入控制方式。

使用指南:基于MAC地址的接入控制方式在安全性和管理性方面均比基于端口的接入控制方式要优越,建议只有在特殊情况下配置基于端口的接入控制方式。

举例:配置端口0/0/4采用基于端口的接入控制方式。

Switch(Config-if)#dot1x port-method portbased

dot1x re-authenticate

命令:dot1x re-authenticate [interface ]

功能:设置即时对所有端口或某个指定端口进行802.1x重认证,不必等待超时。

参数:为端口号,如果无参数则表示所有端口。

命令模式:特权配置模式

使用指南:本命令为特权模式下的命令,当配置本命令后,交换机立刻对客户端进行重认证,不需要等待重新认证定时器超时。认证之后,该命令就无效了。

举例:对端口0/0/8进行即时重认证。

Switch#dot1x re-authenticate interface ether 0/0/8

dot1x re-authentication

命令:dot1x re-authentication

no dot1x re-authentication

功能:设置允许对suppliant进行周期性重认证;本命令的no操作为关闭该功能。

命令模式:全局配置模式

缺省情况:缺省情况下周期性重认证功能是关闭的。

使用指南:当打开对suppliant的周期性重认证功能,交换机会周期性的对suppliant进行重新认证。一般情况下建议不打开周期性重认证功能。

举例:打开对认证者进行周期性重认证功能。

Switch(Config)#dot1x re-authentication

dot1x timeout quiet-period

命令:dot1x timeout quiet-period

no dot1x timeout quiet-period

功能:设置suppliant在认证失败后端口保持静默状态的时间;本命令的no操作为恢复缺省值。

参数:为端口保持静默状态的时间长度值,单位为秒,取值范围为1~65535。

命令模式:全局配置模式

缺省情况:缺省为10秒。

使用指南:建议使用缺省值。

举例:设置静默时间为120秒。

Switch(Config)#dot1x timeout quiet-period 120

dot1x timeout re-authperiod

命令:dot1x timeout re-authperiod

no dot1x timeout re-authperiod

功能:设置交换机对suppliant重认证的时间间隔;本命令的no操作为恢复缺省值。

参数:重认证的时间间隔,单位为秒,取值范围为1~65535。

命令模式:全局配置模式

缺省情况:缺省为3600秒。

使用指南:在修改交换机对suppliant的重认证时间间隔时,必须首先打开dot1x re-authentication。

举例:设置重认证时间为1200秒。

Switch(Config)#dot1x timeout re-authperiod 1200

dot1x timeout tx-period

命令:dot1x timeout tx-period

no dot1x timeout tx-period

功能:设置交换机对suppliant重发EAP-request/identity帧的时间间隔;本命令的no操作为恢复缺省值。

参数:为重新发送EAP请求帧的时间间隔,单位为秒,取值范围为1~65535。

命令模式:全局配置模式

缺省情况:缺省为30秒。

使用指南:建议使用缺省值。

举例:更改重新发送EAP请求帧的时间间隔为1200秒。

Switch(Config)#dot1x timeout tx-period 1200

radius-server accounting host

命令:radius-server accounting host [port ] [primary] no radius-server accounting host

功能:设置RADIUS计费服务器IP地址和监听端口号;本命令的no操作为删除RADIUS 计费服务器。

参数:服务器的IP 地址; 为服务器的监听端口号,取值范围为;0~65535;primary为主用服务器,在配置RADIUS服务器时,可以配置多个,使用顺序在没有配置primary时,按配置顺序查找可以使用的RADIUS服务器;如果配置primary,则首先使用这个RADIUS服务器。

命令模式:全局配置模式

缺省情况:系统没有设置RADIUS计费服务器。

使用指南:本命令用于指定与交换机进行计费的RADIUS 服务器的IP 地址和端口号,可以配置多条该命令。其中参数用于指定计费端口号,该端口号必须与指定的RADIUS服务器上的计费端口号相同,缺省为1813,若将该端口号配置为0,计费端口随机产生,可能导致配置无效。本命令可以反复配置多条以指定多台与交换机建立通讯关系的RADIUS 服务器,交换机将向所有配置好的计费服务器发送计费报文,所配置的这些计费服务器可以相互做为备份服务器。如果配置primary,则将此RADIUS服务器作为主用服务器。

举例:设置RADIUS 计费服务器的IP 地址为100.100.100.60,端口号为3000,并作为主用服务器。

Switch(Config)#radius-server accounting host 100.100.100.60 port 3000 primary

radius-server authentication host

命令:radius-server authentication host [port ] [primary] no radius-server authentication host

功能:设置RADIUS服务器IP地址和监听端口号;本命令的no操作为删除RADIUS认证服务器。

参数:服务器的IP地址;为服务器的监听端口号,取值范围为0~65535,其中0表示不作认证服务器使用;primary为主用服务器。

命令模式:全局配置模式

缺省情况:系统没有设置RADIUS认证服务器。

使用指南:本命令用于指定与交换机进行认证的RADIUS服务器的IP地址和端口号,可以配置多条该命令。其中参数port用于指定认证端口号,该端口号必须与指定的RADIUS服务器上的认证端口号相同,缺省为1812,若将该端口号配置为0则认为该指定的服务器没有认证功能。本命令可以反复配置多条以指定多台与交换机建立通讯关系的RADIUS服务器,其中以配置的顺序作为交换机认证服务器的顺序。如果配置primary,则将此RADIUS 服务器作为主用服务器。

举例:配置RADIUS认证服务器地址为200.1.1.1。

Switch(Config)#radius-server authentication host 200.1.1.1

radius-server dead-time

命令:radius-server dead-time

no radius-server dead-time

功能:设置RADIUS服务器死机后的恢复时间;本命令的no操作为恢复缺省配置。

参数:为RADIUS服务器死机的恢复时间值,单位为分钟,取值范围为1~255。命令模式:全局配置模式

缺省情况:缺省为5分钟。

使用指南:本命令指定交换机等待RADIUS服务器由不可访问状态恢复为可以访问状态的时间。交换机查知该服务器不能访问时,交换机将该服务器状态设置成无效状态,超过上述配置间隔时间后,系统将认证服务器状态设置成有效。

举例:配置RADIUS服务器死机后的恢复时间为3分钟。

Switch(Config)#radius-server dead-time 3

radius-server key

命令:radius-server key

no radius-server key

功能:设置RADIUS服务器(包括认证和计费)的密钥;本命令的no操作为删除RADIUS 服务器的密钥。

参数:为RADIUS服务器的密钥字符串,取值范围不超过16个字符。

命令模式:全局配置模式

使用指南:该密钥为交换机与设置的RADIUS服务器进行加密的报文通信使用。该设置的密钥必须与交换机设置的RADIUS服务器上的密钥相同,否则将不能进行正确的RADIUS

认证和计费。

举例:配置RADIUS认证密钥为test。

Switch(Config)# radius-server key test

radius-server retransmit

命令:radius-server retransmit

no radius-server retransmit

功能:设置RADIUS认证报文的重传次数;本命令的no操作为恢复缺省配置。

参数:为RADIUS服务器的重传次数,取值范围为0~100。

命令模式:全局配置模式

缺省情况:缺省为3次。

使用指南:本命令指定交换机向RADIUS服务器发送数据包后,接收不到RADIUS服务器的回应需要重新发送该数据包的次数。在没有收到认证服务器发送的认证信息时,需向认证服务器重传AAA的认证请求。重传AAA请求计数达到设定的重传次数并仍没有接收到服务器的回应后,认为该服务器已不能正常工作,交换机将该服务器设置为不可访问状态。举例:配置RADIUS认证报文重传次数为5次。

Switch(Config)# radius-server retransmit 5

radius-server timeout

命令:radius-server timeout

no radius-server timeout

功能:设置RADIUS服务器超时定时器;本命令的no操作为恢复缺省配置。

参数:为RADIUS服务器超时定时器值,单位为秒,取值范围为1~1000。

命令模式:全局配置模式

缺省情况:缺省为3秒。

使用指南:本命令指定交换机等待RADIUS服务器响应的时间间隔。交换机发送给RADIUS Server的请求数据包后,等待接收相应的响应数据包。若在规定的等待时间内没有接收到RADIUS服务器的回应,则根据当时的状态重新发送请求数据包或将该服务器状态设置为不可访问。

举例:配置radius服务器超时定时器为30秒。

Switch(Config)# radius-server timeout 30

show aaa config

命令:show aaa config

功能:显示交换机作为RADIUS客户端已经有的配置命令。

命令模式:特权模式

使用指南:显示交换机是否打开aaa认证、计费功能,及密钥,认证、计费服务器的信息等。举例:

Switch#show aaa config(如果是布尔量,1代表TRUE,0代表FALSE)

----------------- AAA config data ------------------

Is Aaa Enabled = 1

Is Account Enabled= 1

MD5Server Key=aa

authentication server sum = 2

authentication server[0].Host IP = 30.1.1.30

.Udp Port = 1812

.Is Primary = 1

.Is Server Dead = 0

.Socket No = 0

authentication server[1].Host IP = 192.168.1.218

.Udp Port = 1812

.Is Primary = 0

.Is Server Dead = 0

.Socket No = 0

accounting server sum = 2

accounting server[0].Host IP = 30.1.1.30

.Udp Port = 1813

.Is Primary = 1

.Is Server Dead = 0

.Socket No = 0

accounting server[1].Host IP = 192.168.1.218

.Udp Port = 1813

.Is Primary = 0

.Is Server Dead = 0

.Socket No = 0

Time Out = 3

Retransmit = 3

Dead Time = 5

Account Time Interval = 0

显示内容描述

Is Aaa Enabled 显示AAA认证功能是否打开。1为打开;

0为关闭;

Is Account Enabled 显示AAA计费功能是否打开。1为打开;

0为关闭;

MD5 Server Key 显示RADIUS服务器的密钥;authentication server sum 认证服务器的个数;

authentication server[X].Host IP

.Udp Port

.Is Primary

.Is Server Dead

.Socket No 显示认证服务器号及对应的IP地址、UDP 端口号、是否是Primary服务器、是否宕机、Socket号;

accounting server sum 计费服务器的个数;

accounting server[X].Host IP

.Udp Port

.Is Primary

.Is Server Dead 显示计费服务器号及对应的IP地址、UDP 端口号、是否是Primary服务器、是否down 机、Socket号;

网络安全实验报告[整理版]

一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。

网络安全实验---NMAP扫描

一、实验目的和要求 了解信息搜集的一般步骤 学会熟练使用ping命令 学会利用Nmap等工具进行信息搜集 二、实验内容和原理 1.信息搜集的步骤 攻击者搜集目标信息一般采用七个基本的步骤: (1)找到初始信息,比如一个IP地址或者一个域名; (2)找到网络地址范围,或者子网掩码; (3)找到活动机器; (4)找到开放端口和入口点; (5)弄清操作系统; (6)弄清每个端口运行的是哪种服务; (7)画出网络结构图。 2.ping命令探测技巧 使用ping可以测试目标主机名称和IP地址,验证与远程主机的连通性,通过将ICMP 回显请求数据包发送到目标主机,并监听来自目标主机的回显应答数据包来验证与一台或多台远程主机的连通性,该命令只有在安装了TCP/IP协议后才可以使用。 ping命令格式:ping [选项] 目标主机。常用选项见表19-1-1。 表19-1-1 ping命令常用选项

生存时间(TTL):指定数据报被路由器丢弃之前允许通过的网段数量。TTL是由发送主机设置的,以防止数据包在网络中循环路由。转发IP数据包时,要求路由器至少将TTL 减小1。 TTL字段值可以帮助我们猜测操作系统类型,如表19-1-2所示。 表19-1-2 各操作系统ICMP回显应答TTL对照 3.Nmap介绍 nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取哪台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。nmap还提供了一些高级的特征,例如:通过TCP/IP协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计算,并行扫描,通过并行ping扫描探测关闭的主机,诱饵扫描,避开端口过滤检测,直接RPC扫描(无须端口映射),碎片扫描,以及灵活的目标和端口设定。 nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有:open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示:防火墙、包过滤和其它的网络安全软件掩盖了这个端口,禁止nmap探测其是否打开。unfiltered表示:这个端口关闭,并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下,端口的状态基本都是unfiltered状态,只有在大多数被扫描的端口处于filtered状态下,才会显示处于unfiltered状态的端口。 根据使用的功能选项,nmap也可以报告远程主机的下列特征:使用的操作系统、TCP

实验2-网络端口的扫描

南昌航空大学实验报告 二〇一三年十一月八日 课程名称:信息安全实验名称:实验网络端口扫描 班级:姓名:同组人: 指导教师评定:签名: 一、实验目的 通过练习使用网络端口扫描器,可以了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。在实验中,我们将在操作系统下使用进行网络端口扫描实验,通过端口扫描实验,可以增强学生在网络安全方面的防护意识。利用综合扫描软件“流光”扫描系统的漏洞并给出安全性评估报告。 二、实验原理 .端口扫描的原理 对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息,从而为下一步的入侵做好准备。对网络端口的扫描可以通过执行手工命令实现,但效率较低;也可以通过扫描工具实现,效率较高。 扫描工具根据作用的环境不同,可分为两种类型:网络漏洞扫描工具和主机漏洞扫描工具。 .端口的基础知识 为了了解扫描工具的工作原理,首先简单介绍一下端口的基本知识。 端口是协议中所定义的,协议通过套接字()建立起两台计算机之间的网络连接。套接字采用[地址:端口号]的形式来定义,通过套接字中不同的端口号可以区别同一台计算机上开启的不同和连接进程。对于两台计算机间的任意一个连接,一台计算机的一个[地址:端口]套接字会和另一台计算机的一个[地址:端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的地址和端口号找到需要传输的主机和连接进程了。由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。 /的端口号在~范围之内,其中以下的端口保留给常用的网络服务。例如,端口为服务,端口为服务,端口为服务,端口为服务,端口为服务等。 .扫描的原理 扫描的方式有多种,为了理解扫描原理,需要对协议简要介绍一下。 一个头的数据包格式如图所示。它包括个标志位,其中:、、、。 图数据包格式 根据上面介绍的知识,下面我们介绍基于和协议的几种端口扫描方式。

nmap扫描原理

Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的,可从https://www.doczj.com/doc/cd3453234.html,/nmap站点上免费下载。下载格式可以是tgz格式的源码或RPM格式。目前较稳定的版本是2.12。带有图形终端,本文集中讨论Nmap命令的使用。Nmap 的语法相当简单。Nmap的不同选项和-s标志组成了不同的扫描类型,比如:一个Ping-scan命令就是"-sP"。在确定了目标主机和网络之后,即可进行扫描。如果以root 来运行Nmap,Nmap的功能会大大的增强,因为超级用户可以创建便于Nmap利用的定制数据包。 在目标机上,Nmap运行灵活。使用Nmap进行单机扫描或是整个网络的扫描很简单,只要将带有"/mask"的目标地址指定给Nmap即可。地址是"victim/24",则目标是c类网络,地址是"victim/16",则目标是B类网络。 另外,Nmap允许你使用各类指定的网络地址,比如192.168.7.*,是指192.168.7.0/24, 或192.168.7.1,4,8-12,对所选子网下的主机进行扫描。 Ping扫描(Ping Sweeping) 入侵者使用Nmap扫描整个网络寻找目标。通过使用" -sP"命令,进行ping扫描。缺省情况下,Nmap给每个扫描到的主机发送一个ICMP echo和一个TCP ACK, 主机对任何一种的响应都会被Nmap得到。 举例:扫描192.168.7.0网络: # nmap -sP 192.168.7.0/24 Starting nmap V. 2.12 by Fyodor (fyodor@https://www.doczj.com/doc/cd3453234.html,, https://www.doczj.com/doc/cd3453234.html,/nmap/) Host (192.168.7.11) appears to be up. Host (192.168.7.12) appears to be up. Host (192.168.7.76) appears to be up. Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second 如果不发送ICMP echo请求,但要检查系统的可用性,这种扫描可能得不到一些站点的响应。在这种情况下,一个TCP"ping"就可用于扫描目标网络。 一个TCP"ping"将发送一个ACK到目标网络上的每个主机。网络上的主机如果在线,则会返回一个TCP RST响应。使用带有ping扫描的TCP ping选项,也就是"PT"选项可以对网络上指定端口进行扫描(本文例子中指的缺省端口是80(http)号端口),它将可能通过目标边界路由器甚至是防火墙。注意,被探测的主机上的目标端口无须打开,关键取决于是否在网络上。 # nmap -sP -PT80 192.168.7.0/24 TCP probe port is 80 Starting nmap V. 2.12 by Fyodor (fyodor@https://www.doczj.com/doc/cd3453234.html,, https://www.doczj.com/doc/cd3453234.html,/nmap/)

实验指导书1 GPIO输入输出控制实验

实验一GPIO输入输出控制实验 GPIO输入输出控制实验1 1.实验目的 (1)进一步掌握ADS 1.2集成开发环境的使用方法。 (2)掌握LPC2200专用工程模板的添加和使用。 (3)掌握EasyJTAG仿真器的安装和使用。 (4)能够在MagicARM2200教学实验开发平台上运行第一个程序(无操作系统)。 (5)熟悉LPC2000系列ARM7微控制器的GPIO控制。 (6)了解应用程序的固化方法。 2.实验设备 ●硬件:PC机一台 MagicARM2200教学实验开发平台一套 ●软件:Windows98/XP/2000系统,ADS 1.2集成开发环境 3.实验内容 控制MagicARM2200教学实验开发平台上的蜂鸣器报警。先使用片外RAM(MT45W4MW16芯片)进行调试,调试通过后将程序固化到片外FLASH(SST39VF160芯片),然后脱机运行。 4.实验预习要求 (1)认真复习LPC2000系列ARM7微控制器的GPIO控制机制以及LPC2000管脚连接模块等内容。 (2)了解MagicARM2200教学实验开发平台的硬件结构,注意蜂鸣器的相关控制电路。 (3)了解MagicARM2200教学实验开发平台上的跳线。 (4)仔细阅读附带文档《ADS集成开发环境及仿真器应用》或其它相关资料,了解ADS 1.2集成开发环境、LPC2200专用工程模板、EasyJTAG仿真器的应用。 5.实验原理 如图1.1所示,MagicARM2200实验箱主板上蜂鸣器使用PNP三极管Q12进行驱动控制,当控制P0.7输出低电平时,Q12导通,蜂鸣器蜂鸣;当控制P0.7输出高电平时,Q12截止,蜂鸣器停止蜂鸣;若把JP22断开,Q12截止,蜂鸣器停止蜂鸣。 由于P0.7口与(LPC2200的)SPI功能部件的SSEL0复用,所以此引脚上接一上拉电阻R86,防止在使用硬件SPI总线时由于SSEL0引脚悬空导致SPI操作出错。

TCP端口检测实验报告

WEB开发技术 题目:TCP端口探测 姓名:水雪利 班级:软件1102班 教师:朱辉 日期:2013/10/29 评价

内容一:端口及NetStat 端口用于标识应用层上进行通信的软件进程,取值范围:0-65535。 应用程序(调入内存运行后一般称为:进程)通过系统调用与某端口建立连接(binding,绑定)后,传输层传给该端口的数据都被相应的进程所接收,相应进程发给传输层的数据都从该端口输出。 在TCP/IP协议的实现中,端口操作类似于一般的I/O操作,进程获取一个端口,相当于获取本地唯一的I/O文件,可以用一般的读写方式访问类似于文件描述符,每个端口都拥有一个叫端口号的整数描述符,用来区别不同的端口。 由于TCP/IP传输层的TCP和UDP两个协议是两个完全独立的软件模块,因此各自的端口号也相互独立。如TCP有一个255号端口,UDP也可以有一个255号端口,两者并不冲突。 内容二:套接字编程 多个TCP连接或多个应用程序进程可能需要通过同一个TCP协议端口传输数据。应用层通过传输层进行数据通信时,TCP和UDP会遇到同时为多个应

用程序进程提供并发服务的问题。为了区别不同的应用程序进程和连接,许多计算机操作系统为应用程序与TCP/IP协议交互提供了称为套接字(Socket)的接口。

内容三:端口扫描器

端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本!这就能让我们间接的或直观的了解到远程主机所存在的安全问题。 扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能:发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能力。 TCP connect扫描 扫描原理 TCP connect()扫描也是一种常见的扫描方式,它通过操作系统与目标机器建立连接,而不是直接发送原始数据包,这与浏览器、P2P客户端及其大多数网络应用程序一样,建立连接由高层系统调用。执行这种扫描的最大好处是无需

实验报告-网络扫描与监听

信息安全实验报告 学号: 学生姓名: 班级:

实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理,掌握网络监听软件的使用方法,以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1)扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2)打开X-Scan,如下图所示。 3)点击“设置”->“扫描参数”,弹出扫描参数设置对话框,在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置,也可以根据实际需要进行选择。最后点击“确定”回到主界面。

计算机输入输出系统_接口实验报告

计算机输入输出系统接口实验报告 姓名: 学号: 东南大学计算机科学与工程学院、软件学院 School of Computer Science & Engineering College of Software Engineering Southeast University 二0 16 年 6 月

实验一环境熟悉与I/O地址译码 一、实验目的 掌握I/O地址译码电路的工作原理。 二、实验内容 将接口实验包中所带的EX-138.DSN文件用ISIS 7打开。改变A9~A3的接线方法,从而得到Y0;388H~38FH;Y1:398H~39FH; ……;Y7:3F8H~3FFH。并修改上一问的程序,以同样使得Y4#有效。 1)源程序 .8086 .MODEL SMALL .stack .data address word 3c8h .code start: mov ax,@data mov ds,ax mov dx,address mov al,0 out dx,al jmp $ END start 2)电路原理图(138译码部分)

3)运行结果贴图(138译码及上面两个273的输出)

实验二可编程中断控制器8259 一、实验目的 1.掌握8259的基本工作原理和编程方法。 2.深入了解中断的概念和实地址模式下中断处理程序的编写方法。 二、实验内容 将接口实验包中所带的EX-8259.DSN文件用ISIS 7打开。按手册接线并执行。运行结果贴图(执行三次中断,每次中断后的8086寄存器的截图) ……

实验三可编程定时器计数器8253 一、实验目的 掌握8253的基本工作原理、编程方法及其应用。 二、实验内容 一)研究定时计数器(选) 1)源程序 .8086 .MODEL SMALL .DATA .CODE START:MOV AX,@DATA MOV DS,AX MOV DX,226H MOV AL,00010000B ;T/C0,least significant byte only,mode0,Binary OUT DX,AL MOV AL,5 ;Initial count=5 MOV DX,220H OUT DX,AL MOV AH,4CH INT 21H END START 2)讨论题 如果把方式0改成方式1,电路不动,则按下BUTTON后,计数器值会否减1?为什么? 不会,因为方式1下GATE=1或0没有影响,只有GATE的上升沿才会触发计数器开始计数,而该电路中GATE时钟为1,所以计数器不会减1. 二)信号发生器 1)源程序 .8086 .MODEL SMALL .DATA .CODE START:MOV AX,@DATA MOV DS,AX ;Initailize T/C0 MOV DX,226H MOV AL,00110110B ;T/C0,least significant byte first,mode3,binary OUT DX,AL MOV DX,220H MOV AX,1000 ;Initial count=1000 OUT DX,AL MOV AL,AH

P1口输入输出实验

实验一P1 口输入输出 一.实验目的 (1)进一步熟悉51单片机外部引脚线路连接; (2)验证常用的51指令; (3)学习简单的编程方法; (4)掌握单片机全系统调试的过程及方法; (5)学习P1 口的有关功能作用以及使用方法。 二?实验说明 P1 口由于有内部上拉电阻,没有高阻抗输入状态,称为准双向口。作为输出口时,不需要在片外接上拉电阻,P1 口“读引脚”输入时,必须先向锁存器写1; 三?实验内容 P1 口做输出口,接八只发光二极管,编写程序,使发光二极管循环点亮。P1.0、P1.1作输入口接两个拨动开关,P1.2、P1.3作输出口,接两个发光二极管,编写程序 读取开关状态,将此状态,在发光二极管上显示出来 四?实验原理 以实验机上74LS273做输出口,接八只发光二极管,编写程序,使发光二极管循环点亮。循环时间由定时器控制。 五?实验流程 ORG 0000H ;程序入口 AJMP RIGHT ;跳向标号RIGHT处 ORG 0030H ;程序

RIGHT: MOV R0,#08H ;置移位次数

MOV A,#0FFH ;置全 1 CLR C ;将Cy 清零 RIGHT1: RRC A ;由于进位Cy=0 ,所以带进位的循环右移会出现灯的亮灭 MOV P1,A ;输出至P1 口,控制LED CALL DELAY ;调用延时子程序 DJNZ R0,RIGHT1 ;R0-1,不为0则转移到标号 RIGHT1处 AJMP RIGHT ;绝对转移至RIGHT 处 ?***************************************************************************** 5 ; /*延时子程序*/ ?***************************************************************************** DJNZ R5,DELAY1 ;R5-1,不为 0 则转移至 DELAY1,执行 2*10us RET ;退出子程序执行 END 七?硬件设计 (1) P1 口某一 I/O 口线反转输出电路 (2) P1 口输出电路 DELAY: MOV R5,#10 DELAY1: MOV R6,#50 DELAY2: MOV R7,#250 DJNZ R7,$ DJNZ R6,DELAY2 ;R6-1,不为0则转移至 DELAY2,执行2*200*10us H-5V +5V Vcc P1.0 Pl 1 EA XI PL 2 Pl .3 Pl XS Pl.5 Pl.6 Pl .7 R.ST Vss ;使用不停的跳转来实现延时, 30 P 80CS1 LED 360fi + 5V

网络扫描及安全评估实验报告

一、实验目的 ●掌握网络端口扫描器的使用方法,熟悉常见端口和其对应的服务程序,掌 握发现系统漏洞的方法。 ●掌握综合扫描及安全评估工具的使用方法,了解进行简单系统漏洞入侵的 方法,了解常见的网络和系统漏洞以及其安全防护方法。 二、实验原理 ●端口扫描原理 ●端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录 目标主机的响应。通过分析响应来判断服务端口是打开还是关闭, 就可以得知端口提供的服务或信息。 ●端口扫描主要有经典的扫描器(全连接)、SYN(半连接)扫描器、 秘密扫描等。 ●全连接扫描:扫描主机通过TCP/IP协议的三次握手与目标主机的 指定端口建立一次完整的连接。建立连接成功则响应扫描主机的 SYN/ACK连接请求,这一响应表明目标端口处于监听(打开)的 状态。如果目标端口处于关闭状态,则目标主机会向扫描主机发送 RST的响应。 ●半连接(SYN)扫描:若端口扫描没有完成一个完整的TCP连接, 在扫描主机和目标主机的一指定端口建立连接时候只完成了前两 次握手,在第三步时,扫描主机中断了本次连接,使连接没有完全 建立起来,这样的端口扫描称为半连接扫描,也称为间接扫描。 ●TCP FIN(秘密)扫描:扫描方法的思想是关闭的端口会用适当的 RST来回复FIN数据包。另一方面,打开的端口会忽略对FIN数 据包的回复。 ●综合扫描和安全评估技术工作原理 ●获得主机系统在网络服务、版本信息、Web应用等相关信息,然后 采用模拟攻击的方法,对目标主机系统进行攻击性的安全漏洞扫 描,如果模拟攻击成功,则视为漏洞存在。最后根据检测结果向系 统管理员提供周密可靠的安全性分析报告。

端口扫描实验报告 杨青

实验报告 题目:端口扫描实验 学校:************** 班级:****** 学号: 学生姓名杨: 指导教师: 2014年12月8日

一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。

实验3综合扫描及攻击工具的使用

实验3 综合扫描及攻击工具的使用 1 实验目的 1、通过使用综合扫描工具,扫描系统的漏洞并给出安全性评估报告,加深对系统漏洞的理解。 2、通过使用攻击工具了解远程攻击的方法,理解远程攻击的步骤和手段。 2 实验环境 VMware中预装Windows XP/7/2003/2008R2的计算机,X-Scan,Nmap,Winshell和NC等工具。 3 实验原理或背景知识 3.1 扫描工具的工作原理 综合扫描工具是一种自动检测系统和网络安全弱点的程序。其工作原理是,首先获得主机系统在网络服务、版本信息、Web应用等方面的相关信息,然后采用模拟攻击的方法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱口令等,如果模拟攻击成功,则视为漏洞存在。此外,也可以根据系统事先定义的系统安全漏洞库,对系统可能存在的、已知的安全漏洞逐项进行扫描和检查,按照规则匹配的原则将扫描结果与安全漏洞库进行对比,如满足匹配条件,则视为漏洞存在。 3.2 X-Scan简介 1、版本介绍 X-Scan是一个完全免费漏洞扫描软件,由“安全焦点”开发。对于黑客们来讲,X-Scan 是一款非常优秀的扫描器,现在的版本为X-Scan v3.3。从3.0及后续版本X-Scan提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。 2、X-Scan的使用 运行解压文件夹下的xscan_gui,即进入X-Scan,首先可以通过“普通信息”查看X-Scan 的使用,如图1所示。

上面是非常简洁的GUI界面。菜单栏如图2所示: 图2 菜单栏 我们点击第一个按钮,在弹出的“扫描参数”中,有如下几个参数可选: (1)检测范围:该模块指定您要扫描的对象,本地服务器还是网络中的计算机。默认 是localhost,这意味着你扫描的是本地计算机。范围也可以是1个IP段,方式如下: 223.221.21.0-223.221.21.100 这就说明你扫描的范围是在这两个IP范围内所有的计算机。 (2)全局设置 该功能模块包括以下4种功能子模块:扫描模块、并发扫描、扫描报告以及其他设置。 扫描模块:该列表包含了你所要扫描的项目、开放服务、NT-SERVER弱口令、NETBIOS 信息、SNMP信息等等的20个选项。 并发扫描:该模块限制了并发扫描的主机数量以及并发线程数量。 扫描报告:该功能模块是在您完成您的扫描后,X-Scan将以什么样的形式反馈扫描报 告。有3种文件参数:HTML,XML,TXT。默认的为localhost_report.HTML。 其他设置:该功能可以帮助您处理一些扫描过程中的问题,包括跳过没有响应主机,无 条件扫描等等。 (3)插件设置 该项目包括了端口相关设置,SNMP相关设置,NETBIOS相关设置,漏洞检测脚本设置, CGI相关设置,字典文件设置这6项设置。 端口相关设置:该模块将根据您的要求设置扫描的端口以及扫描方式。默认的端口扫描 参数为:7,9,13,19,21,22,23,25,53,79,80,110,111,119,135,139,143,

实验一输入输出接口实验

实验一输入、输出接口实验 一、实验要求 1、P1 口做输出口,接八只发光二极管。 2、P3.0,P3.1 作输入口接两个拨动开关 3.要求若P3.0单独闭合,则LED灯从L7-L0循环闪烁,每次亮一个,若P3.1单独闭合,则led灯从L0-L7闪烁,每次亮一个。若P3.0 P3.1同时闭合,则所有灯一起闪烁,闪烁间隔为1S。若P3.0 P3.1全部断开,则所有灯全不亮。 4、将闪烁间隔修改为30MS,观察现象。 二、实验目的 1、学习 I/0 口的使用方法。 2、学习延时子程序的编写和使用。 三、实验设备 1、IPC-610研华工控机一台, 2、伟福LAB2000P教学实验系统。 四、实验电路及连线 五、实验说明 1、P1口是准双向口。它作为输出口时与一般的双向口使用方法相同。由准双向口结构可知当 P1口用为输入口时,必须先对它置1。若不先对它置1,读入的数据是不正确的。 2、8051 延时子程序的延时计算问题,对于程序 Delay: MOV R6,#0H MOV R7,#0H DelayLoop: DJNZ R6,DelayLoop DJNZ R7,DelayLoop RET 查指令表可知 MOV,DJNZ 指令均需用两个机器周期,在 6MHz 晶振时,一个机器周期时间长度为12/6MHZ,所以该段程序执行时间为: ((256×2+2)×256+4)×2=263176

六、实验报告 1、解释为什么P1端口作为输入口时,需先对它置1,才能读取正确的外部输入数据? 2、画出完整的实验电路原理图 2、整理实验程序

连线 连接孔 1 连接孔 2 1 P1.0 L0 2 P1.1 L1 3 P1.2 L2 4 P1.3 L3 5 单脉冲输出 T0 实验二 外中断及定时、计数器实验 一、实验目的 1、掌握外部中断的运用方法,本实验中采用边沿触发模式。 2、学习 8051 内部 T0 T1 定时/计数器使用方法。 3、掌握中断处理程序的编程方法。 二、实验内容及要求 1、用单次脉冲申请外中断INTO ,采用边沿触发模式,在外中断处理程序中对输出信号灯LED6(P3.1控 制)进行反转(采用CPL 指令) 2、8031 内部定时计数器 T0,按计数器模式和方式2工作,对 P3.4(T0)引脚进行计数。将其数值按二进制数在 P1 口驱动 LED 灯上(L0,L1,L2,L3)显示出来。 3、用 T1作定时器中断方式计时,实现每一秒钟LED7(L7)(P3.0控制)灯闪烁一次 三、实验设备 1、IPC-610研华工控机一台。 2、伟福LAB2000P 教学实验系统。 四、实验电路及连线 注意: 本实验中,“单次脉冲”同时作为计数脉冲输入T0引脚,同时也引到引脚INTO 申请外部中断,本实验中将要求同时开放外部中断INTO 和T1的定时中断这两个中断。 五、实验说明 1、关于内部计数器的编程主要是定时常数的设置和有关控制寄存器的设置。内部计数器在单片机中主要有定时器和计数器两个功能。本实验T0使用的是计数器。T1使用的是定时器。 2.本实验中内部T0起计数器的作用。外部事件计数脉冲由 P3.4 引入定时器 T0。 单片机在每个机器周期采样一次输入波形,因此单片机至少需要两个机器周期才能 检测到一次跳变。这就要求被采样电平至少维持一个完整的机器周期,以保证电平在变化之前即被采样。同时这就决定了输入波形的频率不能超过机器周期频率。 3、定时器有关的寄存器有工作方式寄存器 TMOD 和控制寄存器 TCON 。TMOD 用于设置定时器/计数器 连线 连接孔 1 连接孔 2 1 P3.0 L7

端口扫描实验报告

综合实验报告 ( 2010 -- 2011 年度第二学期) 名称:网络综合实验 题目:端口扫描程序 院系:信息工程系 班级: 学号: 学生姓名: 指导教师:鲁斌李莉王晓霞张铭泉设计周数: 2 周 成绩: 日期:2011年7月1日

一、综合实验的目的与要求 1.任务:设计并实现一个端口扫描程序,检测某个IP或某段IP的计算机的端口工作情况。 2.目的:加深对课堂讲授知识的理解,熟练掌握基本的网络编程技术和方法,建立网络编程整体概念,使得学生初步具有研究、设计、编制和调试网络程序的能力。 3.要求:熟悉有关定义、概念和实现算法,设计出程序流程框图和数据结构,编写出完整的源程序,基本功能完善,方便易用,操作无误。 4.学生要求人数:1人。 二、综合实验正文 1.端口扫描器功能简介:服务器上所开放的端口就是潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,进行端口扫描的方法很多,可以是手工进行扫描、也可以用端口扫描软件进行。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法可以搜集到很多关于目标主机的各种有用的信息,例如远程系统是否支持匿名登陆、是否存在可写的FTP目录、是否开放TELNET 服务和HTTPD服务等。 2.实验所用的端口扫描技术:端口扫描技术有TCP connect()扫描、TCP SYN扫描、TCP FIN 扫描、IP段扫描等等。本次实验所用的技术是TCP connect()扫描,这是最基本的TCP 扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。 3.实验具体实现方案:编写一个端口扫描程序,能够显示某个IP或某段IP的计算机的某一个或某些端口是否正在工作。基本工作过程如下: (1) 设定好一定的端口扫描范围; (2) 设定每个端口扫描的次数,因为有可能有的端口一次扫描可能不通; (3) 创建socket,通过socket的connect方法来连接远程IP地址以及对应的端口; (4) 如果返回false,表示端口没有开放,否则端口开放。 4.有关TCP/IP的知识: 4.1套接字概念 1)在网络中要全局地标识一个参与通信的进程,需要采用三元组:协议、主机IP地址、端口号。

实验一 IO口输入、输出实验

贵州大学实验报告纸 实验一I/O口输入、输出实验 一、实验目的 掌握单片机P1口、P3口的使用方法。 二、实验要求 根据实验内容编写一个程序,并在实验仪上调试和验证。 三、实验内容 以P1口为输出口,接八位逻辑电平显示,LED显示跑马灯效果。以P3口为输入口,接八位逻辑电平输出,用来控制跑马灯的方向。 四、实验说明和电路原理图 P1口是准双向口,它作为输出口时与一般的双向口使用方法相同。由准双向口结构可知当P1口作为输入口时,必须先对它置高电平使内部MOS管截止。因为内部上拉电阻阻值是20K~40K,故不会对外部输入产生影响。若不先对它置高,且原来是低电平,则MOS管导通,读入的数据是不正确的。 本实验需要用到CPU模块(F3区)和八位逻辑电平输出模块(E4区)和八位逻辑电平显示模块(B5区),八位逻辑电平输出电路原理图参见图1-1。八位逻辑电平显示电路原理图参见图1-2。 图1-2 八位逻辑电平显示

图1-1 八位逻辑电平输出 五、实验步骤 ㈠实验程序编写 1、实验程序: ;//****************************************************************** ;文件名: Port for MCU51 ;功能: I/O口输入、输出实验 ;接线: 用导线连接八位逻辑电平输出模块的K0到CPU模块的RXD(P3.0口),K1 ;到CPU模块的P3.1口; ;用8位数据线连接八位逻辑电平显示模块的JD4B到CPU模块的JD8(P1口)。 ;//****************************************************************** DIR BIT P3.0 ORG 0000H LJMP START ORG 0100H START: Output1: mov a, #0fEH mov r5, #8 loop1: CLR C mov C,DIR JC Output2 mov P1, a rl a Acall Delay djnz r5, loop1 Sjmp Output1

端口扫描实验报告

网络端口扫描实验报告 一、网络端口扫描简介 TCP/IP协议在网络层是无连接的,而“端口”,就已经到了传输层。端口便是计算机与外部通信的途径。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令,对命令执行后的输析出进行分,效率较低。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。扫描工具根据作用的环境不同可分为:网络漏洞扫描工具和主机漏洞扫描工具。前者指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。后者指在本机运行的检测本地系统安全漏洞的扫描工具。本实验主要针对前者。 端口是TCP协议中定义的,TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。它采用【IP地址:端口号】形式定义,通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。端口号在0~~65535之间,低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口

(无连接如写信)两种。端口与服务进程一一对应,通过扫描开放的端口就可以判断计算机中正在运行的服务进程。 二、实验目的 1.了解熟悉MFC及的基本原理和方法。 2.加深对tcp的理解,学习端口扫描技术和,原理熟悉socket编程。 3.通过自己编程实现简单的IP端口扫描器模型。 4.通过端口扫描了解目标主机开放的端口和服务程序。 三、实验环境 Windows操作系统 VC++6.0开发环境 四、实验设计 实验原理 通过调用socket函数connect()连接到目标计算机上,完成一次完整的三次握手过程,如果端口处于侦听状态,那么connect()就可以成功返回,否则这个端口不可用,即没有提供服务。 实验内容 1. 设计实现端口扫描器 2. IP地址、端口范围可以用户输入。 3. 要求有有好的可视化操作界面。 实验步骤: 1、用户界面:使用vc6.0里的MFC来开发用户界面 2、端口扫描:使用socket函数中的connect()连接计算机来判定目标计算机是否开放了要测试的端口 五、代码实现 #include #include #pragma comment(lib,"wsock32.lib") #define ZERO (fd_set *)0 int maxth, scanok, scannum; int portip, hoststart, hoststop, startport, endport; long searchnum, searched; void usage(char *); void playx(int); void setip2(char *); void customport(char *, char *, char *); void portscannow(int); int main(int argc, char *argv[]) { WSADATA wsadata; system("cls.exe"); printf("\r\n============== 命令行端口扫描器PortScanner V1.0 ==============");

端口扫描工具nmap使用实验

我们可以使用ping扫描的方法(-sP),与fping的工作方式比较相似,它发送icmp回送请求到指定范围的ip地址并等待响应。现在很多主机在扫描的时候都做了处理,阻塞icmp 请求,这种情况下。nmap将尝试与主机的端口80进行连接,如果可以接收到响应(可以是

syn/ack,也可以是rst),那么证明主机正在运行,反之,则无法判断主机是否开机或者是否在网络上互连。 扫描tcp端口 这里-sR是怎样在打开的端口上利用RPC命令来判断它们是否运行了RPC服务。 nmap可以在进行端口扫描的tcp报文来做一些秘密的事情。首先,要有一个SYN扫描(-sS),它只做建立TCP连接的前面一些工作,只发送一个设置SYN标志的TCP报文,一个RESET报文,那么nmap假设这个端口是关闭的,那么就不做任何事情了。如果接收到一个响应,它并不象正常的连接一样对这个报文进行确认,而是发送一个RET报文,TCP的三次握手还没有完成,许多服务将不会记录这次连接。 有的时候,nmap会告诉我们端口被过滤,这意味着有防火墙或端口过滤器干扰了nmap,使其不能准确的判断端口是打开还是关闭的,有的防火墙只能过滤掉进入的连接。 扫描协议 如果试图访问另一端无程序使用的UDP端口,主机将发回一个icmp“端口不可达”的提示消息,IP协议也是一样。每个传输层的IP协议都有一个相关联的编号,使用最多的是ICMP(1)、TCP(6)和UDP(17)。所有的IP报文都有一个“协议”域用于指出其中的传输层报文头所使用的协议。如果我们发送一个没有传输层报文头的原始IP报文并把其协议域编号为130[该编号是指类似IPSEC协议的被称为安全报文外壳或SPS协议],就可以判断这个协议是否在主机上实现了。如果我们得到的是ICMP协议不可达的消息,意味着该协议没有被实现,否则就是已经实现了,用法为-sO. 隐蔽扫描行为 nmap给出了几个不同的扫描选项,其中一些可以配套着隐藏扫描行为,使得不被系统日志、防火墙和IDS检测到。提供了一些随机的和欺骗的特性。具体例子如下: FTP反弹,在设计上,FTP自身存在一个很大的漏洞,当使用FTP客户机连接到FTP 服务器时,你的客户机在TCP端口21上与FTP服务器对话,这个TCP连接称为控制连接。FTP服务器现在需要另一条与客户机连接,该连接称为数据连接,在这条连接上将传送实际的文件数据,客户机将开始监听另一个TCP端口上从服务器发挥的数据连接,接下来执行一个PORT命令到服务器,告诉它建立一条数据连接到客户机的IP地址和一个新打开的端口,这种操作方法称为主动传输。许多客户机使用网络地址转换或通过防火墙与外界连接,所以主动传输FTP就不能正常工作,因为由服务器建立的客户机的连接通常不允许通过。 被动传输是大多数FTP客户机和服务器所使用的方法,因为客户机既建立控制连接又建立数据连接,这样可以通过防火墙或NAT了。

相关主题
相关文档 最新文档