下载文档原格式
WIFI的安全机制WIFI(无线网络)的安全机制是指保护无线网络免受不法入侵和数据泄露的技术手段和措施。
这些安全机制可以分为以下几种类型:1.加密:加密是保护无线网络安全的基本措施之一,其目的是在数据传输过程中对数据进行加密,使得只有具有正确密钥的用户才能解密和访问数据。
常见的无线网络加密方式有:- WEP(Wired Equivalent Privacy):这是最早的无线网络加密方式之一,但已被证实存在多种安全漏洞,易受到黑客的攻击。
- WPA(WiFi Protected Access):WPA是WEP的后继标准,提供更强的安全性和数据加密。
其中WPA2是目前最常用的版本,使用AES (Advanced Encryption Standard)加密算法,更难以破解。
-WPA3:在WPA2的基础上进行了进一步改进,提供更高的安全性,增加了防止密码猜测和暴力破解的机制。
2.认证:认证机制用于验证用户身份和授予合法用户访问网络的权利。
常见的无线网络认证方式有:-WEP认证:在WEP加密方式中,用户需要输入预共享密钥(PSK)才能连接无线网络。
-802.1X认证:基于用户名和密码的认证方式,用户需要输入正确的凭证才能连接无线网络。
-MAC地址过滤:只允许预先配置的设备使用无线网络,其他设备无法连接。
3.隔离:隔离机制用于分隔无线网络中的不同用户或设备,以减少风险。
常见的无线网络隔离方式有:-网络隔离:将无线网络分成多个虚拟网络(VLAN),不同虚拟网络之间相互隔离,防止恶意用户进行攻击或窥探。
-用户隔离:将无线网络中的用户相互隔离,使他们无法相互访问,减少黑客攻击和数据泄露的风险。
4.审计和监控:审计和监控是保护无线网络安全的重要手段,用于检测和响应安全事件。
常见的无线网络审计和监控方式有:-日志记录:记录无线网络中的活动和事件,便于发现潜在的安全问题。
-威胁检测:使用入侵检测系统(IDS)或入侵防御系统(IPS)来检测和阻止潜在的攻击行为。
无线网络认证协议简介无线网络认证协议是指在无线网络连接过程中,为了确保网络安全和用户身份验证而制定的一种协议。
通过该协议,用户需要在连接无线网络之前提供认证凭据,以验证其身份并获取访问权限。
无线网络认证协议的出现,使得在无线网络连接中可以更有效地控制网络访问,防止未经授权的用户入侵以及保护网络资源的安全和完整性。
下面将对几种常见的无线网络认证协议进行简要介绍。
一、WEP(Wired Equivalent Privacy)WEP是最早出现的无线网络认证协议之一。
它采用了一种基于密钥的加密技术,使用相同的密钥对数据进行加密和解密。
然而,WEP存在许多安全漏洞,易受到黑客的攻击,因此现在已经不再常用。
二、WPA(Wi-Fi Protected Access)WPA是为了解决WEP存在的安全问题而推出的一种更安全的无线网络认证协议。
它采用了更强大的加密算法,并引入了802.1X认证协议,可以提供更可靠的身份验证和数据加密。
WPA可以使用预共享密钥(PSK)或提供者认证密钥(EAP)两种模式进行认证。
三、WPA2(Wi-Fi Protected Access II)WPA2是WPA的升级版本,也是当前最常用的无线网络认证协议。
它采用了更强大的加密算法(如AES),提供更高级别的数据安全保护,并支持更多的认证方法。
WPA2广泛应用于企业级无线网络和个人家庭网络中。
四、802.1X认证协议802.1X认证协议是一种专门为无线和有线网络认证设计的标准。
它基于Extensible Authentication Protocol(EAP),为网络提供灵活的认证方式。
802.1X认证协议通常与WPA或WPA2协议配合使用,可以实现更严格的用户身份验证和访问控制。
以上是几种常见的无线网络认证协议,它们在保障网络安全和用户身份的同时,也提高了无线网络的可用性和可靠性。
在选择无线网络认证协议时,应根据实际需求和安全要求进行合理选择,并定期更新和升级无线网络设备及协议版本,以保持网络的安全性。
⽆线路由器的加密模式WEP,WPA-PSK(TKIP),WPA2-PSK(AES)WPA-。
⽬前⽆线路由器⾥带有的加密模式主要有:WEP,WPA-PSK(TKIP),-PSK(AES)和WPA-PSK(TKIP)+-PSK(AES)。
WEP(有线等效加密)WEP是WiredEquivalentPrivacy的简称,802.11b标准⾥定义的⼀个⽤于⽆线局域⽹(WLAN)的安全性协议。
WEP被⽤来提供和有线lan同级的安全性。
LAN天⽣⽐WLAN安全,因为LAN的对其有所保护,部分或全部⽹络埋在建筑物⾥⾯也可以防⽌未授权的访问。
经由⽆线电波的WLAN没有同样的,因此容易受到攻击、⼲扰。
WEP的⽬标就是通过对⽆线电波⾥的数据加密提供安全性,如同端-端发送⼀样。
WEP特性⾥使⽤了rsa数据安全性公司开发的rc4prng算法。
如果你的⽀持MAC过滤,推荐你连同WEP⼀起使⽤这个特性(MAC过滤⽐加密安全得多)。
尽管从名字上看似乎是⼀个针对的安全选项,其实并不是这样。
WEP标准在⽆线⽹络的早期已经创建,⽬标是成为⽆线局域⽹WLAN的必要的安全防护层,但是WEP的表现⽆疑令⼈⾮常失望。
它的根源在于设计上存在缺陷。
在使⽤WEP的系统中,在⽆线⽹络中传输的数据是使⽤⼀个随机产⽣的密钥来加密的。
但是,WEP⽤来产⽣这些密钥的⽅法很快就被发现具有可预测性,这样对于潜在的⼊侵者来说,就可以很容易的截取和破解这些密钥。
即使是⼀个中等技术⽔平的⽆线⿊客也可以在两到三分钟内迅速的破解WEP加密。
802.11的动态有线等效保密(WEP)模式是⼆⼗世纪九⼗年代后期设计的,当时功能强⼤的加密技术作为有效的武器受到美国严格的出⼝限制。
由于害怕强⼤的加密算法被破解,⽆线⽹络产品是被被禁⽌出⼝的。
然⽽,仅仅两年以后,动态有线等效保密模式就被发现存在严重的缺点。
但是⼆⼗世纪九⼗年代的错误不应该被当著⽆线⽹络安全或者802.11标准本⾝,⽆线⽹络产业不能等待修订标准,因此他们推出了动态密钥完整性协议 TKIP(动态有线等效保密的补丁版本)。
WLAN安全策略-WEP、WPAWPA2、WPA3、常⽤WiFi加密⽅式推荐Wi-Fi 加密⽅式有不加密、WPA2 PSK 模式、 WPA/WPA2 PSK 混合模式、WPA2 PSK/WPA3 SAE 混合模式。
1)加密⽅式设置为不加密时,连接路由器的 Wi-Fi 时⽆需输⼊密码,因此不太安全。
2)WPA2 PSK 的加密⽅式设置⽐ WPA/WPA2 PSK 更安全,但是只有⽤ WPA2 认证的终端才能正常连接,因此会有兼容性问题。
3)加密⽅式设置为 WPA/WPA2 PSK 时,WPA 或 WPA2 认证的终端都可以连接路由器。
4)WPA2 PSK/WPA3 SAE 的加密⽅式⽐ WPA/WPA2 PSK 更安全,WPA2 或 WPA3 认证的终端都可以连接路由器。
建议您将路由器设置为 WPA/WPA2 PSK 混合模式。
WLAN安全策略配置建议WEP有线等效加密WEP(Wired Equivalent Privacy)协议是由802.11标准定义的,⽤来保护⽆线局域⽹中的授权⽤户所传输的数据的安全,防⽌这些数据被窃听。
WEP的核⼼是采⽤RC4算法,加密密钥长度有64位、128位和152位,其中有24bit的IV(初始向量)是由系统产⽣的,所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。
WEP加密采⽤静态的密钥,接⼊同⼀SSID下的所有STA使⽤相同的密钥访问⽆线⽹络。
WEP安全策略WEP安全策略包括了链路认证机制和数据加密机制链路认证机制和数据加密机制。
开放系统认证和共享密钥认证。
详细的内容请参见中的”链路认证阶段“。
链路认证链路认证分为开放系统认证和共享密钥认证如果选择开放系统认证⽅式,链路认证过程不需要WEP加密。
⽤户上线后,可以通过配置选择是否对业务数据进⾏WEP加密。
如果选择共享密钥认证⽅式,链路认证过程中完成了密钥协商。
⽤户上线后,通过协商出来的密钥对业务数据进⾏WEP加密。
无线加密的多种方法及其区别(WEP WPA TKIP EAP)无线网络的安全性由认证和加密来保证。
认证允许只有被许可的用户才能连接到无线网络;加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。
802.11标准最初只定义了两种认证方法:开放系统认证(Open System Authentication)共享密钥认证(Shared Key Authentication)以及一种加密方法:有线等效保密(Wired Equivalent Privacy –WEP)对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用。
对于共享密钥认证,必须启用WEP,WEP不仅用于认证,也用于在传输数据时加密。
WEP使用对称加密算法(即发送方和接收方的密钥是一致的),WEP使用40位或104位密钥和24位初始化向量(Initialization Vector –IV,随机数)来加密数据。
注:使用初始化变量(IV)的目的是避免在加密的信息中出现相同的数据。
例如:在数据传输中,源地址总是相同的,如果只是单纯的加密(WEP使用静态密码),这样在加密的信息中会出现相同的数据,有可能被恶意地破解。
由于初始化变量(IV)是随机数,可以避免这种情况的出现。
在配置无线网络的安全性时,一般将40位/104位密钥写成密钥长度:64位(40+24)/128位(104+24)由于WEP有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送……,802.11使用802.1x来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。
同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问(Wi-Fi Protected Access –WPA)以解决WEP的缺陷WPAWPA不同于WEP,WPA同时提供认证(基于802.1x可扩展认证协议–Extensible Authentiation Protocl - EAP的认证)和加密(临时密钥完整性协议–Temporal Key Integrity Protocol –TKIP)。
现在无线网络随处可见,很多家庭为了方便也安装了无线路由器,但对于个人用户来说,如何保证自己的无线信号不被别人盗用,是一个很重要的问题。
下面我就给大家详细介绍一下配置无线路由器之前必须要了解的一些知识吧,这些都是总结网络上面的一些学习资料来汇总的。
希望对您配置自己家里的无线网络能提供帮助。
首先,无线加密方式目前有二种,一种为WEP加密方式,另一种为WPA加密方式。
一、WEP加密方式WEP 加密采用静态的保密密钥,各 WLAN 终端使用相同的密钥访问无线网络。
WEP 也提供认证功能,当加密机制功能启用,客户端要尝试连接上 AP 时, AP 会发出一个 Challenge Packet 给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。
当采用WEP加密技术时,“安全认证类型”会有以下三种供选择“自动选择”、“开放系统”、“共享密钥”这三项,“自动选择”是无线路由器可以和客户端自动协商成“开放系统”或者“共享密钥”。
其中开放系统(open方式)和共享密钥(share方式)的区别如下:开放式系统验证和共享密钥验证为两种验证模式,每个移动客户端连接到网络时AP都会进行验证。
开放式系统验证其实可以称为“无验证”,因为实际上没有进行验证——工作站说“请求验证”,而AP也不管是否密钥是否正确,先“答应了再说”,但最终ap会验证密钥是否正确,决定是否允许接入——这种验证方式的ap,往往你随便输入一个密码,都可以连接,但如果密码不正确,会显示为“受限制”。
共享密钥验证稍微强大一些,工作站请求验证,而访问点(AP)用WEP加密的质询进行响应。
如果工作站的提供的密钥是错误的,则立即拒绝请求。
如果工作站有正确的WEP密码,就可以解密该质询,并允许其接入,因此,连接共享密钥系统,如果密钥不正确,通常会立即显示“该网络不存在等提示”。
这就是开放系统和共享密钥二种验证方式的区别。
⽆线局域⽹安全协议(WEP、WPA、WAPI)⽂章⽬录WLAN(Wireless Local Area Network)指应⽤⽆线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的⽹络体系。
⼀、WEP(有线等效保密)WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间⽆线传输的数据进⾏加密的⽅式,⽤以防⽌⾮法⽤户窃听或侵⼊⽆线⽹络。
不过密码分析学家已经找出 WEP 好⼏个弱点,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,⼜在2004年由完整的 IEEE 802.11i 标准(⼜称为 WPA2)所取代。
WEP有2种认证⽅式:开放式系统认证(open system authentication)和共有键认证(shared key authentication)。
开放式系统认证,不需要密钥验证就可以连接。
共有键认证,客户端需要发送与接⼊点预存密钥匹配的密钥。
共有键⼀共有4个步骤:注:循环冗余校验(Cyclic Redundancy Check, CRC)是⼀种根据⽹络数据包或计算机⽂件等数据产⽣简短固定位数校验码的⼀种信道编码技术,主要⽤来检测或校验数据传输或者保存后可能出现的错误。
它是利⽤除法及余数的原理来作错误侦测的。
⼆、WPA(Wi-Fi⽹络安全接⼊)WPA全名为Wi-Fi Protected Access,有WPA、WPA2和WPA3三个标准,是⼀种保护⽆线电脑⽹络(Wi-Fi)安全的系统。
WPA超越WEP的主要改进就是在使⽤中可以动态改变密钥的“临时密钥完整性协议”(Temporal Key Integrity Protocol,TKIP),加上更长的初向量,这可以击败知名的针对WEP的密钥截取攻击。
WPA的数据是以⼀把128位的钥匙和⼀个48位的初向量(IV)的RC4stream cipher来加密。
简介三种无线网络WLAN安全标准出处:互联网网络的安全机制都有自己的协议标准,就如我们的社会有自己的法律所约束,确保社会的安定。
关于无线网络WLAN安全标准是本文的主要内容,了解了无线网络WLAN安全标准,希望对大家有所帮助。
无线网络WLAN安全标准,大致有三种,分别是WEP、WPA和WAPI。
1:WEPWEP(WiredEquivalentPrivacy)是802.11b采用的安全标准,用于提供一种加密机制,保护数据链路层的安全,使无线网络WLAN的数据传输安全达到与有线LAN相同的级别。
WEP采用RC4算法实现对称加密。
通过预置在AP和无线网卡间共享密钥。
在通信时,WEP 标准要求传输程序创建一个特定于数据包的初始化向量(IV),将其与预置密钥相组合,生成用于数据包加密的加密密钥。
接收程序接收此初始化向量,并将其与本地预置密钥相结合,恢复出加密密钥。
WEP允许40bit长的密钥,这对于大部分应用而言都太短。
同时,WEP不支持自动更换密钥,所有密钥必须手动重设,这导致了相同密钥的长期重复使用。
第三,尽管使用了初始化向量,但初始化向量被明文传递,并且允许在5个小时内重复使用,对加强密钥强度并无作用。
此外,WEP中采用的RC4算法被证明是存在漏洞的。
综上,密钥设置的局限性和算法本身的不足使得WEP存在较明显的安全缺陷,WEP提供的安全保护效果,只能被定义为“聊胜于无”。
2:WPAWPA(Wi-FiProtectedAccess)是保护Wi-Fi登录安全的装置。
它分为WPA和WPA2两个版本,是WEP的升级版本,针对WEP的几个缺点进行了弥补。
是802.11i的组成部分,在802.11i没有完备之前,是802.11i的临时替代版本。
不同于WEP,WPA同时提供加密和认证。
它保证了数据链路层的安全,同时保证了只有授权用户才可以访问无线网络WLAN。
WPA采用TKIP协议(TemporalKeyIntegrityProtocol)作为加密协议,该协议提供密钥重置机制,并且增强了密钥的有效长度,通过这些方法弥补了WEP协议的不足。
目前无线路由器里带有的加密模式主要有:WEP,WPA-PSK(TKIP),WPA2-PSK(AES)和WPA-PSK(TKIP)+WPA2-PSK(AES)。
WEP(有线等效加密)WEP是WiredEquivalentPrivacy的简称,802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。
WEP被用来提供和有线lan同级的安全性。
LAN天生比WLAN安全,因为LAN的物理结构对其有所保护,部分或全部网络埋在建筑物里面也可以防止未授权的访问。
经由无线电波的WLAN没有同样的物理结构,因此容易受到攻击、干扰。
WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端-端发送一样。
WEP特性里使用了rsa 数据安全性公司开发的rc4prng算法。
如果你的无线基站支持MAC过滤,推荐你连同WEP 一起使用这个特性(MAC过滤比加密安全得多)。
尽管从名字上看似乎是一个针对有线网络的安全选项,其实并不是这样。
WEP标准在无线网络的早期已经创建,目标是成为无线局域网WLAN的必要的安全防护层,但是WEP 的表现无疑令人非常失望。
它的根源在于设计上存在缺陷。
在使用WEP的系统中,在无线网络中传输的数据是使用一个随机产生的密钥来加密的。
但是,WEP用来产生这些密钥的方法很快就被发现具有可预测性,这样对于潜在的入侵者来说,就可以很容易的截取和破解这些密钥。
即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。
IEEE802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的,当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。
由于害怕强大的加密算法被破解,无线网络产品是被被禁止出口的。
然而,仅仅两年以后,动态有线等效保密模式就被发现存在严重的缺点。
但是二十世纪九十年代的错误不应该被当著无线网络安全或者IEEE802.11标准本身,无线网络产业不能等待电气电子工程师协会修订标准,因此他们推出了动态密钥完整性协议TKIP(动态有线等效保密的补丁版本)。
无线网络安全指南:WEP、WPA和WPS随着无线网络的普及,我们越来越多地依赖于无线网络来进行工作、学习和娱乐。
然而,与此同时,无线网络的安全问题也越来越引人关注。
为了保护我们的无线网络免受黑客和其他恶意活动的攻击,我们需要采取一些措施来加强无线网络的安全性。
本文将介绍一些常用的无线网络安全协议,包括WEP、WPA和WPS,并提供保护无线网络安全的步骤和指南。
一、WEP(有线等效隐私)WEP是最早期也是最不安全的无线网络安全协议之一。
它使用一个固定的密钥来加密无线通信,该密钥必须在无线路由器和无线设备之间进行共享。
然而,WEP密钥的长度较短,使得它容易受到破解,并且在实践中已经被证明容易被黑客攻击。
为了保护无线网络安全,如果您仍在使用WEP,请考虑以下步骤:1. 使用更长的密钥:在WEP设置中选择使用128位密钥,而不是默认的64位密钥。
较长的密钥长度可以增加破解的难度。
2. 定期更改密钥:定期更改WEP密钥,建议每个月更换一次。
这样,即使黑客攻破了一个密钥,他们在未来的攻击中也将面临更大的困难。
二、WPA(Wi-Fi保护访问)WPA是对WEP协议进行加强的结果。
它引入了更强大的加密算法和更复杂的密钥管理机制,使得无线网络更难受到攻击。
与WEP不同,WPA不再使用固定的密钥,而是使用每个连接的设备生成的动态密钥。
要提高无线网络的安全性,您可以执行以下步骤:1. 使用WPA2:WPA2是WPA的更加安全的版本,采用高级加密标准(AES)算法来加密无线通信。
如果您的设备和路由器支持WPA2,强烈建议使用WPA2而不是WPA。
2. 使用强密码:选择一个强密码来保护您的无线网络。
一个强密码应该包含至少8个字符,包括字母、数字和特殊字符,并且不容易被猜测。
三、WPS(Wi-Fi保护设置)WPS是一种用于简化无线网络设置的协议。
它允许用户通过按下一个按钮或输入一个PIN码来连接到无线网络,而不是手动输入复杂的密码。
ap漫游和加密wep,wpa,等八跨ap的二层漫游由两个ap同时广播一个wlan一个ssid不需要特殊的配置,只是有两个ap,相当狱扩大广播范围。
跨ap的三层漫游由两个ap同时广播一个wlan和跨二层漫游不同的是三层交换机上多了一个vlanac上面除了一个ap的vlan一个用户的vlan一个本身需要激活和三层连接的vlan之外还要新建一个vlan而这个vlan不需要设置ip地址。
具体原理还是不明白跨ac的二层漫游三层上面有两个vlan一个用来连接两个ac 一个是用户地址的网关,使得用户可以互通信。
两边的ac上的用户的ip地址始终是固定的三层上的用户地址网关的网段。
不同的只是ap上面用来连接两个ap不同的vlan,vlan的ip地址池而已。
用户的网关在三层的上面AC-1(config)#mobility-group MGAC-1(config-mobility)#mobility-fastAC-1(config-mobility)#multicast disable 多路广播关闭AC-1(config-mobility)#member 8.8.8.8 成员(对端的ac的环回地址)跨ac的三层漫游只是三层上面的用户在两个网段,利用三层交换机的路由功能来实现两个用户网段的通信。
ap相同ssid接入不同的服务在三层上面建立了两个用户的vlan,不同的vlan有不同网段的ip 网关。
在ac上面创建ap和ap group映射。
分别映射不同的vlan。
而三层上面连接ap的端口加入了不同的vlan。
创建组,组里面是不同的vlan再登陆ap,把ap加到不同的组用户隔离widsuser-isolation ap enablemac认证widswhitelist mac-address f072.cf52.ssfs第四步:ARP 防攻击配置AC(config)#nfppAC(config-nfpp)# arp-guard enable#全局启用arp-guardAC(config-nfpp)#arp-guard isolate-period 86400#配置对攻击者的全局隔离时间AC(config-nfpp)#arp-guard rate-limit per-port 120#全局对每台主机的ARP报文速度进行限制AC(config-nfpp)#arp-guard attack-threshold per-port 210#全局配置攻击阈值。
当某台主机的ARP 报文超过攻击阈值时,就认为是在进行攻击,立即对这台主机采取隔离措施,记录到日志,发送TRAP。
AC(config)#interface GigabitEthernet 0/1AC(config-if-GigabitEthernet 0/1)#nfpp arp-guard enable#接口启用arp-guardAC(config-if-GigabitEthernet 0/1)#nfpp arp-guard isolate-period 86400#配置对攻击者的接口隔离时间AC(config-if-GigabitEthernet 0/1)nfpp arp-guard policy per-port 120 120#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config)#interface GigabitEthernet 0/2#在端口上打开DHCP 防攻击功能AC(config-if-GigabitEthernet 0/1)#nfpp dhcp-guard isolate-period 86400#在端口上配置对DHCP 攻击者的隔离时间AC(config-if-GigabitEthernet 0/1)#nfpp dhcp-guard policy per-port 100 200#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config-if-GigabitEthernet 0/1)#nfpp icmp-guard enable#在端口上打开ICMP 防攻击功能AC(config-if-GigabitEthernet 0/1)#nfpp icmp-guard isolate-period 86400#在端口上配置对ICMP攻击者的隔离时间AC(config-if-GigabitEthernet 0/1)#nfpp icmp-guard policy per-port 100 200#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config)#interface GigabitEthernet 0/2AC(config-if-GigabitEthernet 0/2)#nfpp ip-guard enable#在端口上打开IP 防扫描功能AC(config-if-GigabitEthernet 0/2)#nfpp ip-guard isolate-period 86400#在端口上配置对IP 扫描攻击者的隔离时间AC(config-if-GigabitEthernet 0/2)#nfpp ip-guard policy per-port 200 300#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config-if-GigabitEthernet 0/2)#nfpp dhcp-guard enable#在端口上打开DHCP 防攻击功能AC(config-if-GigabitEthernet 0/2)#nfpp dhcp-guard isolate-period 86400#在端口上配置对DHCP 攻击者的隔离时间AC(config-if-GigabitEthernet 0/2)#nfpp dhcp-guard policy per-port 100 200#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config-if-GigabitEthernet 0/2)#nfpp icmp-guard enable#在端口上打开ICMP 防攻击功能AC(config-if-GigabitEthernet 0/2)#nfpp icmp-guard isolate-period 86400#在端口上配置对ICMP攻击者的隔离时间AC(config-if-GigabitEthernet 0/2)#nfpp icmp-guard policy per-port 100 200#配置局部的限速水线和攻击水线,只在该配置所属端口上生效第四步:配置NFPP 功能AC(config)#cpu-protect type ospf pps 100#设置报文对应的队列的限速水线AC(config)#nfppAC(config-nfpp)#log-buffer entries 500#配置NFPP 日志缓冲区大小AC(config-nfpp)#ip-guard isolate-period 86400#配置对IP扫描攻击者的全局隔离时间AC(config-nfpp)#dhcp-guard isolate-period 86400#配置对DHCP 攻击者的全局隔离时间AC(config-nfpp)#icmp-guard monitor-period 1000#配置对ICMP 攻击者的监控时间AC(config)#interface GigabitEthernet 0/1AC(config-if-GigabitEthernet 0/1)#nfpp ip-guard enable#在端口上打开IP 防扫描功能AC(config-if-GigabitEthernet 0/1)#nfpp ip-guard isolate-period 86400#在端口上配置对IP 扫描攻击者的隔离时间AC(config-if-GigabitEthernet 0/1)#nfpp ip-guard policy per-port 200300#配置局部的限速水线和攻击水线,只在该配置所属端口上生效。
AC(config-if-GigabitEthernet 0/1)#nfpp dhcp-guard enableAC(config)#aaa new-modelAC(config)#aaa accounting updateAC(config)#aaa accounting network default start-stop group radius AC(config)#a aa authentication dot1x default group radiusAC(config)#radius-server host 192.168.11.101AC(config)#radius-server key ruijieAC(config)#dot1x eapol-tag#AAA 配置AC (config)#wlansec 1AC (wlansec)# security wpa enableAC (wlansec)# security wpa ciphers tkipenableAC (wlansec)# security wpa akm 802.1x enable将无线认证方式设置为802.1x第四步:WEB认证配置AC(config)#aaa new-modelAC(config)#aaa group server radius defaultAC(config)#server 192.168.11.101AC(config)#aaa accounting updateAC(config)#aaa accounting network default start-stop group radius AC(config)#aaa authentication dot1x default group radiusAC(config)#radius-server host 192.168.11.101 key ruijieAC(config)#radius-server key ruijie#AAA 配置AC(config)#web-auth offline-detect flow#portal 配置(web-auth offline-detect flow 可能有些设备版本不支持)AC(config)#web-auth direct-host 192.168.11.103 arpAC(config)#web-auth update-interval 30AC(config)#web-auth portal key ruijie#配置重定向地址(portal 地址)AC(config)#http redirect direct-site 192.168.1.1 arpAC(config)#http redirect direct-site 192.168.100.254 arpAC(config)#http redirect session-limit 100 port 300#配置网关地址为直通地址AC(config)#http redirect homepage http://192.168.11.103/eportal/index.jspAC(config)#http redirect 192.168.11.103#配置重定向页面及地址AC(config)#snmp-server host 192.168.11.103 informs version 2c 1 web-authAC(config)#snmp-server enable traps web-authAC(config)#snmp-server community ruijie rw#snmp 配置AC(config)# #wlansec 1AC(config)# #webauth#开启portal 认证。
