第一篇：實驗二、端口匯聚和鏡像配置（范文模版）

試驗

二、端口匯聚和鏡像

一、端口匯聚實驗 功能需求及組網說明

端口匯聚配置

『配置環境參數』

1.交換機SwitchA和SwitchB通過以太網口實現互連。

2.SwitchA用于互連的端口為e0/1和e0/2，SwitchB用于互連的端口為e0/1和e0/2。

『組網需求』

增加SwitchA的SwitchB的互連鏈路的帶寬，并且能夠實現鏈路備份，使用端口匯聚。數據配置步驟

『端口匯聚數據轉發流程』

如上圖，如果在匯聚時配置的是ingress屬性，假如PC1的數據包進入SwitchA，假如第一次去PING PC2，那么第一次將是廣播包，數據包將從匯聚端口的邏輯主端口送出，報文送達Switch2時，此時PC1的MAC也將對應學習到Switch2的邏輯主端口，此時PC2再進行回包主要看PC1的源MAC學習到哪個端口，就會通過哪個端口進行轉發，所以ingress是根據流進行轉發，如果流是單一的，那么該數據流也將一直走同一個端口，除非該端口故障。

如果在匯聚時配置的是both屬性，2個端口匯聚，如PC1的數據包進入SwitchA，假如第一次去PING PC2，那么第一次將是廣播包，數據包將從匯聚端口的邏輯主端口送出，報文送達Switch2時，此時PC1的MAC也將對應學習到Switch2的邏輯主端口，此時Switch2將根據自己的算法進行選路：將PC1的MAC（二進制）和PC2的MAC（二進制）的最后一位進行與操作，如果與出來的結果為0，將選擇主端口；如果與出來的結果為1，將選擇備份端口。也就是說如果對于一個單一的數據流（例如固定兩臺PC）那么它們的數據流將一直在固定某個端口進行轉發。

如果是三個或者四個端口進行匯聚，將PC1的MAC和PC2的MAC（二進制）的最后二位進行與操作，一共四種結果，如果與出來的結果為0，將選擇主端口；如果與出來的結果為1，選擇第一個備份端口，如果與出來的結果為0，再選擇第二個備份端口，依此類推。

如果是五個到八個端口進行匯聚，將PC1的MAC和PC2的MAC（二進制）的最后三位進行與操作，一共八種結果，再進行端口選擇。匯聚端口越多，算法就越復雜。

【SwitchA交換機配置】

1.進入端口E0/1 [SwitchA]interface Ethernet 0/1 2.匯聚端口必須工作在全雙工模式 [SwitchA-Ethernet0/1]duplex full 3.匯聚的端口速率要求相同，但不能是自適應 [SwitchA-Ethernet0/1]speed 100 4.進入端口E0/2 [SwitchA]interface Ethernet 0/2 5.匯聚端口必須工作在全雙工模式 [SwitchA-Ethernet0/2]duplex full 6.匯聚的端口速率要求相同，但不能是自適應 [SwitchA-Ethernet0/2]speed 100 7.根據源和目的MAC進行端口選擇匯聚

[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both 【SwitchA交換機配置】

[SwitchB]interface Ethernet 0/1 [SwitchB-Ethernet0/1]duplex full [SwitchB-Ethernet0/1]speed 100 [SwitchB]interface Ethernet 0/2 [SwitchB-Ethernet0/2]duplex full [SwitchB-Ethernet0/2]speed 100 [SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both 【補充說明】

1.同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致，即如果主端口為Trunk端口，則成員端口也為Trunk端口；如主端口的鏈路類型改為Access端口，則成員端口的鏈路類型也變為Access端口

2、配置端口匯聚的時候可用使用參數ingress或者both，兩者的區別是：前者表示端口匯聚組中各成員端口僅根據源MAC地址對出端口的流量進行負荷分擔；而后者表示端口匯聚組中各成員端口根據源、目的MAC地址對出端口的流量進行負荷分擔。為了保證負荷分擔的效果，參與端口匯聚的端口要配置在相同的速率和雙工模式下。而且，只有數目較多的主機進行訪問時，才能觀測出負載的效果。

二、端口鏡像實驗

1、功能需求及組網說明

端口鏡像配置

『環境配置參數』

1.PC1接在交換機E0/1端口，IP地址1.1.1.1/24 2.PC2接在交換機E0/2端口，IP地址2.2.2.2/24 3.E0/24為交換機上行端口

4.Server接在交換機E0/8端口，該端口作為鏡像端口

『組網需求』

1.通過交換機端口鏡像的功能使用server對兩臺pc的業務報文進行監控。

2.按照鏡像的不同方式進行配置：

1)基于端口的鏡像 2)基于流的鏡像

2、數據配置步驟

『端口鏡像的數據流程』

基于端口的鏡像是把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口，這樣來進行流量觀測或者故障定位。

【3026等交換機鏡像】 S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法： 方法一

1.配置鏡像（觀測）端口

[SwitchA]monitor-port e0/8 2.配置被鏡像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二

1.可以一次性定義鏡像和被鏡像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 『基于流鏡像的數據流程』

基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數據流，對于交換機來說這兩個數據流是要分開鏡像的。

【3500/3026E/3026F/3050】

〖基于三層流的鏡像〗

1.定義一條擴展訪問控制列表

[SwitchA]acl num 100 2.定義一條規則報文源地址為1.1.1.1/32去往所有目的地址 [SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any 3.定義一條規則報文源地址為所有源地址目的地址為1.1.1.1/32 [SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0 4.將符合上述ACL規則的報文鏡像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二層流的鏡像〗

1.定義一個ACL [SwitchA]acl num 200 2.定義一個規則從E0/1發送至其它所有端口的數據包

[SwitchA]rule 0 permit egress interface Ethernet0/1 3.定義一個規則從其它所有端口到E0/1端口的數據包

[SwitchA]rule 1 permit ingress interface Ethernet0/1 4.將符合上述ACL的數據包鏡像到E0/8 [SwitchA]mirrored-to link-group 200 interface e0/8

3、測試驗證

在觀測端口上通過工具軟件可以看到被鏡像端口的相應的報文，可以進行流量觀測或者故障定位。

第二篇：簡單網管交換機端口鏡像功能設置（范文模版）

簡單網管交換機端口鏡像功能設置

文檔適用產品型號：FS116E,JFS524E,GS105E,GS108Ev1,GS108Ev2,GS108PEv1,GS108PEv2,GS116E,JGS524E,XS708E,GS105PE 端口鏡像

端口鏡像功能是把交換機一個或多個端口的數據在發出或接收的同時復制一份到指定的鏡像端口，以監測進出網絡的所有數據包，從而很好的保證網絡安全；在網絡出現故障時，也能迅速地進行故障定位。簡單網管交換機支持一（鏡像端口）對多（源端口）的端口鏡像。拓撲：

上圖中，路由器連接在交換機XS708E的01號端口，監控主機連接在交換機的08號端口。一般所有出口的流量均會通過出口路由器，所以只需監控路由器端口即可收集局域網中所有上網數據。管理軟件（ProSafe Plus Utility）版本：V2.2.24 配置：

進入系統>監控>端口鏡像，配置界面如下圖所示。

端口鏡像：默認值為禁用，即未啟用此功能，點選啟用，啟用端口鏡像功能； 源端口：此處選擇被監控的端口，這里選擇連接出口路由器的01號端口； 目標端口：此處選擇監控端口，即連接監控服務器的08號端口。

注意：源端口不可作為目標端口，并且源端口或目標端口不可作為LAG成員。點擊應用。

第三篇：實驗二：交換機硬件配置

e-Bridge 程控實驗指導書

CC08實驗二

eBridge通信實驗指導書

(交換部分)

深圳市訊方通信技術有限公司

二零零八年三月 e-Bridge 程控實驗指導書

CC08實驗二

實驗二

交換機硬件配置實驗

一、實驗目的

了解程控交換機的硬件結構，按照模塊、機框、單板的順序進行數據的配置。

二、實驗器材

1、程控交換機

2、實驗用維護終端。

三、實驗內容說明

組網情況：板位圖說明

本C&C08交換機為一獨立模塊，一共兩個機柜，一個主控柜，一個用戶柜。有12個功能框。框編號從0開始。1、0框為BAM框，其實質是一臺工控制機，實際實驗中，為了操作方便，采用外置BAM。運行WINDOWS 2000操作系統和程控交換機應用軟件，用于和交換機主機通信，并完成對交換機的管理。2、1、2框為為主控框，有一塊大背母板外加其他功能板件構成，具體如下：

1NOD板：節點板，主要用于MPU和用戶/中繼之間的通信，起到橋梁的作用，可以○根據實際用戶/中繼數量的多少進行配置。

2SIG板：信號音板，用于提供交換機接續時所需要的各種信號音。交換機重要 ○部件之一。

3EMA板：雙機倒換板，用于監視主備MPU之間的工作狀態?！?MPU板：交換機主處理板，是整個交換機的核心部分，對整個交換機進行管理和控○制。

5NET板：中心交換網板，所有信號都在該交換網板進行交換，交換機重要部件之一。○6CKV網絡驅動板：為NET板提供信號的硬件驅動?！?LAPA板：NO7號信令鏈路驅動板，提供4路NO7鏈路，開NO7中繼電路必備板件?！?MFC32板：多頻互控板，提供32路雙音多頻互控信號，開NO1中繼電路必備板件?！?ALM板：告警板，為外接告警箱提供信號驅動和連接功能?！?0PWC板：二次電源板，為主控框提供+/-12V，+/-5V工作電壓?！?/p>

3、用戶框：10框為用戶框（在用戶機柜中），為交換機系統提供用戶電路接口。（即提供電話接口）

1ASL32板：32路用戶電路板，提供32路用戶電路接口，其中第16、17路可以提供○反極性信號。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二 2DRV32板：雙音驅動板，提供32路DTMF雙音多頻信號的收發和解碼，并 ○對ASL32板提供驅動電路。

3PWX板：二次電源板，為用戶框提供+/-12V，+/-5V工作電壓、~75V鈴流信號。○④TSS板：測試板，測試用戶內外線。

重要：請注意PWX和PWC之間的區別，二者不能混用！！

4、中繼框：5框為中繼框，為交換機提供中繼電路功能。

1DTM板：2M中繼電路板，每塊DTM板提供2個2M口電路，可以配置成 ○N01中繼或者NO7中繼電路。

2PWC板：二次電源板，為中繼框提供+/-12V，+/-5V 工作電壓?！鹌渚唧w板位如下圖所示：

B獨主控柜

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

四、實驗步驟

1、學生在自己PC中桌面上雙擊“操作平臺，如圖

”圖標，輸入服務器地址，進入Ebridge登陸

2、點擊【確認】鍵進入EB界面模式，如圖

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

3、雙擊【綜合通信試驗平臺】中的【程控CC08】，進入CC08實驗模式，如圖：

4、單擊【清空數據】，提示是否進行數據清空，單擊【確定】，如圖：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

5、數據清空完成后，點擊【確定】，然后點擊【業務操作終端】，出登陸窗口：

用戶名：cc08，密碼：cc08，局名選LOCAL（IP地址：127.0.0.1），點擊【確定】

6、在維護輸出窗口會顯示登陸成功的相關信息，并自動執行幾條系統查詢命令：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

7、點擊【系統】－》【執行批命令】，或按CTRL+R

8、選擇已調試好的命令文件腳本“”，點擊【打開】。

系統會自動執行并在【維護輸出】窗口顯示執行結果：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

9、等結果顯示處出現“數據格式轉換完成”后，在e-bridge系統中點擊【開始程控實驗】，屏幕上方會顯示當前占用服務器席位的客戶端，你申請席位的客戶端排在第幾位，剩余多長時間。然后單擊【申請加載數據】－》【確定】，同時數據開始加載。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

10、服務器會自動進行數據格式轉換，并加載到交換機中，單擊【確定】，加載完成。

11、點擊【業務操作終端】出現登陸窗口：

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

用戶名：cc08，密碼：cc08，局名：SERVER（IP地址：129.9.0.10）點擊【確定】登陸到BAM服務器

12、點擊【維護】－》【配置】－》【硬件配置狀態面板】，可看到交換機的單板運行狀態：

附件：硬件數據配置參考

1、SET FMT: STS=OFF,CONFIRM=Y;

//關閉格式轉換。

2、SET CWSON: SWT=OFF,CONFIRM=Y;

//設置當前工作站告警輸出為關

3、增加模塊

ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//設置B獨模塊，CKTP= NET：時鐘采用NET板的內置時鐘。PE=FALSE：程序不可用。DE=FALSE,：數據不可用。DW=TRUE：數據可寫。PW=TRUE：程序可寫。

4、設置本局信息

SET OFI:

SN1=NAT，SN2=NAT，SN3=NAT，SN4=NAT, LOT=CMPX, NN=TRUE, NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'0532,LNC=K'086;

//(LOT=CMPX：本局類型：長市農合一。NN=TRUE：國內網有效。SN1=NAT：網標識1=國內。SN2=NAT：網標識2=國內SN3=NAT：網標識3=國內。SN4=NAT：網標識4=國內。NNC=“AAAAAA”：國內編碼=AAAAAA。NNS=SP24：國內網編碼結構：24位編碼方式。深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

SCCP=NONE：提供SCCP功能=不提供。TADT=0：傳輸允許時延=0，, STP=FALSE：STP功能標志=否。LAC=K'532：本地區號=0532。LNC=K'0086：本國代碼=0086。)

5、增加機框 5.1增加控制框

ADD CFB: MN=1, F=1, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1;

//增加主控框,。MN=1：模塊號=1，F=1：框號=1，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。5.2增加中繼框

ADD DTFB: MN=1, F=3, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, BT=BP3, N1=0, N2=1, N3=255, HW1=90, HW2=91, HW3=88, HW4=89, HW5=255;

//增加DTM中繼框.，MN=1：模塊號=1。F=3：框號=3，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。BT=BP3：板類型為DTM板。N1=0：主節點1=0。N2=1：主節點2=1，N3=255：主節點3以上不配，即其他空槽位不占用主節點，HW1=90, HW2=91, HW3=88, HW4=89,增加2塊DTM板，HW資源從88~91，HW5=255：HW5以上不配，其他空槽位不配HW資源。5.3增加32路用戶框

ADD USF32: MN=1, F=4, LN=1, PNM=“河工大”, PN=1, ROW=1, COL=1, N1=19, N2=23,HW1=0, HW2=1, HW3=2, HW4=3, HW5=255, BRDTP=ASL32,CONFIRM=Y;

//增加用戶框.: MN=1：模塊號=1。F=4：框號=4，PNM=“河工大”：場地名=河工大。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。N1=19：左半框主節點=19。N2=23：右半框主節點=23。HW1=12, HW2=13, HW3=14, HW4=15：HW1、HW2、HW3、HW4分別為12、13、14、15。HW5=255, HW5以上不配，其他空槽位不配HW資源。BRDTP=ASL32;板類型為32路用戶板。

6、調整單板配置，因機框配置會默認一些單板起來，我們需要根據我們機器實際配置進行調整。6.1調整用戶框單板：3-11，13-23 RMV BRD: MN=1, F=4, S=3;

// RMV BRD：刪除單板。MN=1：模塊=1。F=4：框號=4。S=3：槽位=3。RMV BRD: MN=1, F=4, S=4;

RMV BRD: MN=1, F=4, S=5;深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

RMV BRD: MN=1, F=4, S=6;RMV BRD: MN=1, F=4, S=7;RMV BRD: MN=1, F=4, S=8;RMV BRD: MN=1, F=4, S=9;RMV BRD: MN=1, F=4, S=10;RMV BRD: MN=1, F=4, S=11;RMV BRD: MN=1, F=4, S=13;RMV BRD: MN=1, F=4, S=14;RMV BRD: MN=1, F=4, S=15;RMV BRD: MN=1, F=4, S=16;RMV BRD: MN=1, F=4, S=17;RMV BRD: MN=1, F=4, S=18;RMV BRD: MN=1, F=4, S=19;RMV BRD: MN=1, F=4, S=20;RMV BRD: MN=1, F=4, S=21;RMV BRD: MN=1, F=4, S=22;RMV BRD: MN=1, F=4, S=23;6.2調整主控框2：4-5,7-8,17-22；1：2-6,10,14,17-22 RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=1, S=2;深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=9;RMV BRD: MN=1, F=1, S=10;RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=1, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7,CONFIRM=Y;ADD BRD: MN=1, F=2, S=18, BT=MFC,CONFIRM=Y;// ADD BRD:增加單板。MN=1：模塊=1。F=2：框號=2。S=17：槽位=17。BT=LPN7：板類型=LPN7。

7、加載設置

SET SMSTAT: MN=1, STAT=ACT;//設置模塊的后臺監控狀態。MN=1：模塊＝1。STAT=ACT：狀態＝激活。SET FMT: STS=ON;//設置格式轉換的狀態。STS=ON：狀態＝開。FMT ALL:;//格式轉換。將數據轉換成交換機能接收的格式。

將數據轉換成交換機能接收的格式;重新啟動程控交換機，等待加載數據到AM完成。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052 e-Bridge 程控實驗指導書

CC08實驗二

實驗報告

一、畫圖

1、畫出硬件配置流程順序圖

答案：配置本局信息-----》配置模塊信息-----》配置功能框-----》刪除框內多余單板-----》修改新增加的單板。

2、畫出交換機數據配置全過程圖

答案：啟動EB軟件程控模塊-----》還原數據庫-----》啟動EB軟件里的程控模塊里的“業務操作終端”-----》選擇登陸LOCAL服務器-----》逐條輸入配置命令-----》申請加載數據-----》加載數據-----》退出LOCAL服務器選擇登陸SERVER服務器-----》查看交換軟件版本-----》查看硬件配置狀態面板看交換機運行狀況。

二、名詞解釋

1、格式轉換：配置好的交換機數據是以SQL數據庫表格形式生成的，要變換成MPU所識別的機器代碼文件，這個過程叫格式轉換。

三、思考題

1、EB軟件里面還原數據庫的作用是什么？

答：清空原來數據，為后面數據加載做好準備，否則會數據沖突。

2、為什么加載后要登陸SERVER來查看交換機運行狀態？

答：因為客戶端軟件沒有直接連在CC08機上，必須登陸到BAM（即EB服務器）上才能查看數據。

深圳市訊方通信技術有限公司

電話：0755-88860761 傳真：0755-86192832 深圳市南山區南海大道西海明珠大廈F712

郵編：518052

第四篇：網絡管理—基于端口的認證管理配置 實驗報告

網絡管理實驗報告

—基于端口的認證管理配置

學院：計算機學院

班級：

姓名：

學號：

實驗二

基于端口的認證管理配置

【實驗目的】

1、熟練掌握IEEE802.1X的工作原理

2、熟悉AAA身份認證機制

3、掌握RADIUS服務器的配置

【預備知識】

1、AAA概念和基本原理

2、IEEE802.1X

3、配置交換機與RADIUS SERVER之間通訊

【實現功能】

實現LAN接入的安全身份認證。

【實驗拓撲】

PC1 192.168.0.44/24

RG-S2126G

192.168.0.2/24

RG-SAM Server

192.168.0.185/24

【實驗原理】

無線局域網技術標準自1997年公布以來，使人們能更方便、靈活、快捷地訪問網絡資源，擺脫了傳統有線網絡的線纜束縛，隨時隨地的訪問使用Internet網絡。手機、筆記本電腦等個人無線接入終端設備和無線組網設備因為價格不斷下降的大規模普及，越來越多的單位和家庭使用無線局域網進行組網，導致無線網絡安全問題日益凸顯。早期的無線局域網安全防范僅靠WEP協議[1]，即有線等效加密（Wired Equivalent Privacy）保護網絡的安全。由于無線電的開放性，以及WEP技術本身的缺陷導致它特別容易被竊聽和破解。根據資料顯示在一個繁忙的WEP無線網通過嗅探工具可以在短短的數分鐘內破解，并且現在大量的破解工具流傳于網絡并有相關專用設備出售，嚴重危害無線網絡的安全。因此WEP標準在2003年被 Wi-Fi Protected Access(WPA)淘汰，又在2004年由完整的 IEEE 802.11i 標準（又稱為 WPA2）所取代[2]。無線局域網802.11i標準中使用802.1x認證和密鑰管理方式保障無線網絡的安全性。盡管802.11i支持預WPA和WPA2加密下的共享密碼，但如果只使用預共享密碼保障校園網安全，可能面臨密碼外泄后，知道密碼的非授權用戶也能使用校園網絡的安全隱患。

所以校園無線網建設過程中建立一套安全可靠高效的用戶認證機制顯得尤為迫切。本文就在Windows系統平臺下使用免費Radius軟件TekRadius構建基于PEAP技術的Radius認證服務器，保護校園無線局域網的安全進行探討。802.1X概述

IEEE802.1X[3]是IEEE制定關于用戶接入網絡的認證標準，全稱是“基于端口的網絡接入控制”協議，早期802.1x標準僅為有線網設計，并廣泛應用于有線以太網中。最新版802.1X協議針對無線局域網的特點進行修訂，針對無線局域網的認證方式和認證體系結構進行了相關技術優化。IEEE 802.1X協議在用戶接入網絡之前運行，運行于網絡中的數據鏈路層，EAP協議RADIUS協議。

無線局域網中802.1X協議的體系結構包括三個重要的部分：客戶端系統、認證系統和認證服務器，無線局域網中802.1X的拓撲結構如圖1所示。

客戶端系統(Supplicant System)通常是一個用戶終端系統，在無線局域網中即為支持WiFi的筆記本電腦、手機等終端系統，該系統通常無需安裝第三方客戶軟件，windows XP系統內置了相關模塊，能夠發起并完成802.1x協議的認證過程。

認證系統(Authenticator System)即認證者，在無線局域網中就是無線接入點AP(Access Point)或路由器，在認證過程中起“轉發”作用。認證系統只是把客戶端發起的認證信息轉發到認證服務器完成相關認證。

認證服務器(Authentication Server System)通常為RADIUS服務器，在該服務器上存儲用戶名和密碼、訪問控制列表等相關用戶信息。在客戶端發起認證時，由認證服務器對客戶端用戶信息與儲存資料進行鑒別驗證，該申請者是否為授權用戶。PEAP協議

EAP可擴展認證機制(Extensible Authentication Protocol)是一個普遍使用的認證機制，它常被用于無線網絡或點到點的連接中。EAP不僅可以用于無線局域網，而且可以用于有線局域網，但它在無線局域網中使用的更頻繁。

PEAP受保護的可擴展身份驗證協議是由CISCO、微軟和RSA Security聯合提出的開放標準，是WPA2標準[4]中被正式采納的7類認證機制之一。并已被廣泛的運用在各種產品中，為網絡提供安全保障。它在設計上和EAP-TLS相似，但只需要通過服務器端的證書來建立一個安全的傳輸層安全通道（TLS）以保護用戶認證信息的安全。它分兩個階段進行：第一階段建立單項服務器認證的TLS隧道；第二階段在該隧道保護下，對客戶端進行EAP-MS-CHAPv2等基于EAP的方式認證。與EAP-TLS采用的雙向證書驗證方式相比，PEAP較好的在保障無線網絡安全性和認證系統的布署難度之間找到一個平衡點。在校園無線網絡訪問控制中應用基于PEAP技術認證802.1X，可以為無線局域網提供安全可靠的授權訪問控制解決方案。TekRadius系統安裝與配置

TekRADIUS是一個windows下使用的功能強大并免費的RADIUS 服務器軟件，使用微軟SQL數據庫作為支撐數據庫，支持EAP-MD5, EAP-MS-CHAP v2, PEAP(PEAPv0-EAP-MS-CHAP v2)等多種接入認證方式。安裝平臺

1)安裝SQL數據庫設置sa賬戶；Radius默認情況下以sa用戶訪問使用SQL數據庫。

2)安裝TekRadius軟件：從www.tmdps.cn=Servername /K:1024 /V:365 /S:1 /P:443”產生并獲取系統所需數字證書[6]，至此Radius服務器的配置完成。無線AP配置步驟

無線AP配置：登錄Dlink-615無線路由器，依次點擊“安裝→無線安裝→手動無線因特網安裝→設置無線模式為AccessPoint，SSID為WlanTest 安全模式設置為WPA2，密碼類型選擇AES，設置為EAP模式，802.1X中填寫服務器地址、認證端口及通信密碼（與Radius服務器相同）”。PC客戶端配置

在筆記本上打開無線網卡Atheros客戶端程序[7]點擊“配置文件管理→新建，填寫配置文件名，SSID為Wlan（與AP中相同）→點擊安全，設置安全項802.1X，類型設為PEAP（EAP-MSCHAPv2），然后點擊配置，選擇使用用戶名和密碼進行連接，設置用于登錄的用戶名和密碼，再點設置設置服務器域名和用戶名”，確定完成設置并啟用設置文件，筆記本通過驗證正常介入并訪問使用因特網。討論

經過上述的配置服務器數據庫中的合法用戶就可以在連接到無線網絡時，在WPA2保護的無線網絡中通過PEAP方式進行身份驗證，訪問使用Internet網絡。由于SQL數據庫的使用，可以方便的用戶數據管理備份等工作提高了管理效率，并解決了WEP保護下的無線網絡存在WEP密碼被暴力破解帶來的安全問題和使用預共享密碼接入網絡存在的共享密碼泄露可能帶來的網絡安全風險。

較好地解決了校園無線局域網的安全性問題，使得授權用戶訪問Internet網絡應用擺脫線纜的束縛更加方便并阻止非法用戶的入侵。由于應用的PEAP認證方式在服務器安裝數字證書大大的提高了無線局域網的安全性。

【實驗步驟】

1、交換機配置

第一步：查看交換機版本信息 驗證測試：

查看交換機版本信息：

Switch>show version System description

: Red-Giant Gigabit Intelligent Switch(S2126G)By

Ruijie Network System uptime

: 0d:0h:8m:40s System hardware version : 3.3 System software version : 1.5(1)Build Mar 3 2005 Temp System BOOT version

: RG-S2126G-BOOT 03-02-02 System CTRL version

: RG-S2126G-CTRL 03-05-02 Running Switching Image : Layer2 Switch> 第二步：初始化交換機配置

所有的交換機在開始進行配置前，必需先進行初始化，清除原有的一切配置，命令如下： Switch> Switch>enable Switch#delete flash:config.text Switch#reload …..!刪除配置

Switch#configure terminal!進入配置層 Switch(config)#

驗證測試：

使用命令show running-config命令查看配置信息，刪除原始配置信息后該命令的打印結果如下：

Switch#show running-config Building configuration...Current configuration : 318 bytes!version 1.0!hostname Switch vlan 1!end Switch# 第三步：

Switch#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1！!設置交換機默認網關，實現跨網段管理交換機

Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.0.2 255.255.255.0 Switch(config)#exit Switch(config)#radius-server host 192.168.0.185 auth-port 1812！!指定RADIUS服務器的地址及UDP認證端口

Switch(config)#aaa accounting server 192.168.0.185！!指定記賬服務器的地址

Switch(config)#aaa accounting acc-port 1813

！!指定記賬服務器的UDP端口

Switch(config)#aaa authentication dot1x

！!開啟AAA功能中的802.1x認證功能 Switch(config)#aaa accounting

！!開啟AAA功能中的記賬功能 Switch(config)#radius-server key star

！!設置RADIUS服務器認證字 Switch(config)#snmp-server community public rw

！!為通過簡單網絡管理協議訪問交換機設置認證名（public為缺省認證名）并分配讀寫權限

Switch(config)#interface fastEthernet 0/！!實驗中將在4號接口啟動802.1x的認證 Switch(config-if)#dot1x port-control auto

！!設置該接口參與802.1x認證 Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...[OK] Switch#

2、交換機配置的截圖

2、安裝SQL server

3、使用軟件TekRADIUS進行用戶名和密碼管理

Radius Server維護了所有用戶的信息：用戶名、密碼、該用戶的授權信息以及該用戶的記帳信息。所有的用戶集中于 Radius Server管理，而不必分散于每臺交換機，便于管理員對用戶的集中管理。

Radius Server端：要注冊一個Radius Client。注冊時要告知Radius Server交換機的IP、認證的UDP端口若記帳還要添記帳的UDP端口）、交換機與Radius Server通訊的約定密碼，還要選上對該Client支持EAP擴展認證方式）。

交換機端：設置Radius Server的IP地址，認證（記帳）的UDP端口，與服務器通訊的約定密碼。

【實驗體會】

相比上次實驗，這次實驗更加復雜。盡管是在小組的互動與合作下，本次實驗還是沒有成功。原因是實驗要求的環境較多，對 TekRADIUS軟件的使用不是很熟悉短時間內無法完全掌握它的原理及應用，導致在使用軟件TekRADIUS進行配置時，創建數據庫和表時不成功，最后的4步驟“設置服務參數、配置用戶組和用戶、增加Client客戶端、安裝證書”無法完成，而且實驗時間也到了，電腦也自動關機了，無法再進行下去了，我們就這樣結束了實驗。從課程的內容來看，本次實驗十分重要，獨立完成實驗內容是對我們很好的一次鍛煉，沒有全面完成它，但是課后我對802.1X配置的相關知識做了一次更深的了解。

一、802.1x協議起源于802.11協議，后者是標準的無線局域網協議，802.1x協議的主要目的是為了解決無線局域網用戶的接入認證問題。現在已經開始被應用于一般的有線LAN的接入。為了對端口加以控制，以實現用戶級的接入控制。802.1x就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標準。1、802.1X首先是一個認證協議，是一種對用戶進行認證的方法和策略。2、802.1X是基于端口的認證策略（這里的端口可以是一個實實在在的物理端口也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網來說個“端口”就是一條信道）3、802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Protocol over LAN）通過。

二、802.1X的認證體系分為三部分結構：

Supplicant System，客戶端(PC/網絡設備)Authenticator System，認證系統

Authentication Server System，認證服務器

三、認證過程

1、認證通過前，通道的狀態為unauthorized，此時只能通過EAPOL的802.1X認證報文；

2、認證通過時，通道的狀態切換為authorized，此時從遠端認證服務器可以傳遞來用戶的信息，比如VLAN、CAR參數、優先級、用戶的訪問控制列表等等；

3、認證通過后，用戶的流量就將接受上述參數的監管，此時該通道可以通過任何報文，注意只有認證通過后才有DHCP等過程。

第五篇：實驗二交換機硬件配置

e-Bridge 程控實驗指導書

CC08實驗二

江蘇大學eBridge通信實驗指導書

(交換部分)

深圳市訊方通信技術有限公司

二零零七年三月 訊方通信

e-Bridge實驗指導書

實驗二

交換機硬件配置實驗

一、實驗目的

了解程控交換機的硬件結構，按照模塊、機框、單板的順序進行數據的配置。

二、實驗器材

1、程控交換機

2、實驗用維護終端。

三、實驗內容說明

組網情況：板位圖說明

本C&C08交換機為一獨立模塊，一共有6個功能框?？蚓幪枏?開始。1、0框為BAM框，其實質是一臺工控制機，運行WINDOWS 2000操作系統和程控交換機應用軟件，用于和交換機主機通信，并完成對交換機的管理。2、1、2框為為主控框，有一塊大背母板外加其他功能板件構成，具體如下：

1NOD板：節點板，主要用于MPU和用戶/中繼之間的通信，起到橋梁的作用，可以○根據實際用戶/中繼數量的多少進行配置。

2SIG板：信號音板，用于提供交換機接續時所需要的各種信號音。交換機重要 ○部件之一。

3EMA板：雙機倒換板，用于監視主備MPU之間的工作狀態?！?MPU板：交換機主處理板，是整個交換機的核心部分，對整個交換機進行管理和控○制。

5NET板：中心交換網板，所有信號都在該交換網板進行交換，交換機重要部件之一?！?CKV網絡驅動板：為NET板提供信號的硬件驅動?！?LAPA板：NO7號信令鏈路驅動板，提供4路NO7鏈路，開NO7中繼電路必備板○件。

8MFC32板：多頻互控板，提供32路雙音多頻互控信號，開NO1中繼電路必備板件?！?ALM板：告警板，為外接告警箱提供信號驅動和連接功能?！? 訊方通信

e-Bridge實驗指導書 10PWC板：二次電源板，為主控框提供+/-12V，+/-5V工作電壓。○

3、用戶框：5框為用戶框（在用戶機柜中），為交換機系統提供用戶電路接口。（即提供電話接口）

1ASL32板：32路用戶電路板，提供32路用戶電路接口，其中第16、17路可以提供○反極性信號。

2DRV32板：雙音驅動板，提供32路DTMF雙音多頻信號的收發和解碼，并 ○對ASL32板提供驅動電路。

3PWX板：二次電源板，為用戶框提供+/-12V，+/-5V工作電壓、~75V鈴流信號?！鹬匾赫堊⒁釶WX和PWC之間的區別，二者不能混用??！

5、中繼框：4框為中繼框，為交換機提供中繼電路功能。

1DTM板：2M中繼電路板，每塊DTM板提供2個2M口電路，可以配置成 ○N01中繼或者NO7中繼電路。

2PWC板：二次電源板，為中繼框提供+/-12V，+/-5V 工作電壓。○其具體板位如下圖所示： 訊方通信

e-Bridge實驗指導書

（B

獨）訊方通信

e-Bridge實驗指導書

四、實驗步驟

1、運行e-bridge通信實驗平臺客戶端軟件

2、點擊“業務操作終端”，彈出登陸窗口： 訊方通信

e-Bridge實驗指導書

用戶名：cc08，密碼：cc08，局名選LOCAL（IP地址：127.0.0.1），點擊“確定”

3、在維護輸出窗口會顯示登陸成功的相關信息，并自動執行幾條系統查詢命令：

4、點擊“系統”－》“執行批命令”，或按CTRL+R 訊方通信

e-Bridge實驗指導書

5、選擇已調試好的命令文件腳本“”，點擊“打開”。

系統會自動執行并在【維護輸出】窗口顯示執行結果：

6、在e-bridge系統中點擊“申請加載數據”－》“確定”，屏幕上方會顯示當前占用服務器席位的客戶端，你申請席位的客戶端排在第幾位，剩余多長時間。訊方通信

e-Bridge實驗指導書

7、當申請到服務器席位時，點擊確認，系統自動將本客戶端的數據庫中的數據傳到服務器中： 訊方通信

e-Bridge實驗指導書

8、服務器會自動進行數據格式轉換，并加載到交換機中。訊方通信

e-Bridge實驗指導書

9、點擊“業務操作終端”出現登陸窗口： 訊方通信

e-Bridge實驗指導書

用戶名：cc08，密碼：cc08，局名：SERVER（IP地址：129.9.0.10）點擊“確定”登陸到BAM服務器

10、點擊“維護”－》“配置”－》“硬件配置狀態面板”，可看到交換機的單板運行狀態：

附件：硬件數據配置參考

1、SET FMT: STS=ON;

//設置格式轉換的狀態。STS=ON：狀態＝開。SET CWSON: SWT=OFF,CONFIRM=Y;

//設置當前工作站告警輸出為關

2、增加模塊

ADD SGLMDU: CKTP=NET, PE=FALSE, DE=FALSE, DW=TRUE, PW=TRUE,CONFIRM=Y;//設置B獨模塊，CKTP= NET：時鐘采用NET板的內置時鐘。PE=FALSE：程序不可用。DE=FALSE,：數據不可用。DW=TRUE：數據可寫。PW=TRUE：程序可寫。

3、設置本局信息

SET OFI:

SN1=NAT, LOT=CMPX, NN=TRUE, SN2=NAT, SN3=NAT, SN4=NAT, 訊方通信

e-Bridge實驗指導書

NNC=“AAAAAA”,NNS=SP24,SCCP=NONE,TADT=0,STP=FALSE,LAC=K'025,LNC=K'086;

//(LOT=CMPX：本局類型：長市農合一。NN=TRUE：國內網有效。SN1=NAT：網標識1=國內。SN2=NAT：網標識2=國內SN3=NAT：網標識3=國內。SN4=NAT：網標識4=國內。NNC=“AAAAAA”：國內編碼=AAAAAA。NNS=SP24：國內網編碼結構：24位編碼方式。SCCP=NONE：提供SCCP功能=不提供。TADT=0：傳輸允許時延=0，, STP=FALSE：STP功能標志=否。LAC=K'025：本地區號=025。LNC=K'0086：本國代碼=0086。)

4、增加機框 4.1增加控制框

ADD CFB: MN=1, F=1, LN=1, PNM=“江蘇大學”, PN=1, ROW=1, COL=1

//增加主控框,。MN=1：模塊號=1，F=1：框號=1，PNM=“江蘇大學”：場地名=江蘇大學。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。4.2增加中繼框 ADD DTFB:MN=1,F=4,LN=1,PNM=“

江

蘇

大

學

”,PN=1,ROW=1, COL=1,BT=BP3,N1=0,N2=1,N3=2,N4=3,N5=255,HW1=90,HW2=91,HW3=88,HW4=89,HW5=86,HW6=87,HW7=84,HW8=85,HW9=255，//增加DTM中繼框.，MN=1：模塊號=1。F=4：框號=4，PNM=“四川師范程大學”：場地名=河北工程大學。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。BT=BP3：板類型為DTM板。N1=0：主節點1=0。N2=1：主節點2=1,主節點3=2，主節點4=3，主節點5=255；主節點5以上不配，即其他空槽位不占用主節點。HW1=90,HW2=91,HW3=88,HW4=89,HW5=86,HW6=87,HW7=84,HW8=85,增加4塊DTM板，HW資源從85~91，HW9=255：HW9以上不配，其他空槽位不配HW資源。4.3增加32路用戶框

ADD USF32: MN=1, F=5, LN=1, PNM=“江蘇大學”, PN=1, ROW=1, COL=1, N1=18, N2=19, HW1=4, HW2=5 , HW3=255, BRDTP=ASL32,CONFIRM=Y;

//增加用戶框.: MN=1：模塊號=1。F=5：框號=5，PNM=“江蘇大學”：場地名=江蘇大學。PN=1：場地號=1。, ROW=1：行號=1。COL=1：列號=1。N1=18：左半框主節點=18。N2=19：右半框主節點=19。HW1=0, HW2=1：HW1、HW2分別為4、5。HW3=255, HW3以上不配，其他空槽位不配HW資源。BRDTP=ASL32;板類型為32路用戶板。

5、調整單板配置，因機框配置會默認一些單板起來，我們需要根據我們機器實際配置進行調整。訊方通信

e-Bridge實驗指導書

5.1調整用戶框單板：4-11，13-22 RMV BRD: MN=1, F=5, S=4;// RMV BRD：刪除單板。MN=1：模塊=1。F=5：框號=5。S=4：槽位=4。RMV BRD: MN=1, F=5, S=5;RMV BRD: MN=1, F=5, S=6;RMV BRD: MN=1, F=5, S=7;RMV BRD: MN=1, F=5, S=8;RMV BRD: MN=1, F=5, S=9;RMV BRD: MN=1, F=5, S=10;RMV BRD: MN=1, F=5, S=11;RMV BRD: MN=1, F=5, S=13;RMV BRD: MN=1, F=5, S=14;RMV BRD: MN=1, F=5, S=15;RMV BRD: MN=1, F=5, S=16;RMV BRD: MN=1, F=5, S=17;RMV BRD: MN=1, F=5, S=18;RMV BRD: MN=1, F=5, S=19;RMV BRD: MN=1, F=5, S=20;RMV BRD: MN=1, F=5, S=21;RMV BRD: MN=1, F=5, S=22;RMV BRD: MN=1, F=5, S=23;5.2調整主控框2： RMV BRD: MN=1, F=1, S=2;RMV BRD: MN=1, F=1, S=3;RMV BRD: MN=1, F=1, S=4;RMV BRD: MN=1, F=1, S=5;RMV BRD: MN=1, F=1, S=6;RMV BRD: MN=1, F=1, S=8;RMV BRD: MN=1, F=1, S=10;訊方通信

e-Bridge實驗指導書

RMV BRD: MN=1, F=1, S=14;RMV BRD: MN=1, F=1, S=17;RMV BRD: MN=1, F=1, S=18;RMV BRD: MN=1, F=1, S=19;RMV BRD: MN=1, F=1, S=20;RMV BRD: MN=1, F=1, S=21;RMV BRD: MN=1, F=1, S=22;RMV BRD: MN=1, F=2, S=4;RMV BRD: MN=1, F=2, S=5;RMV BRD: MN=1, F=2, S=7;RMV BRD: MN=1, F=2, S=8;RMV BRD: MN=1, F=2, S=17;RMV BRD: MN=1, F=2, S=18;RMV BRD: MN=1, F=2, S=19;RMV BRD: MN=1, F=2, S=20;RMV BRD: MN=1, F=2, S=21;RMV BRD: MN=1, F=2, S=22;RMV BRD: MN=1, F=2, S=23;ADD BRD: MN=1, F=2, S=17, BT=LPN7;// ADD BRD:增加單板。MN=1：模塊=1。F=2：框號=2。S=17：槽位=17。BT=LPN7：板類型=LPN7。

ADD BRD: MN=1, F=2, S=18, BT=MFC;

6、加載設置

SET SMSTAT: MN=1, STAT=ACT;//設置模塊的后臺監控狀態。MN=1：模塊＝1。STAT=ACT：狀態＝激活。FMT ALL:;//格式轉換。將數據轉換成交換機能接收的格式;重新啟動程控交換機，等待加載數據到AM完成。訊方通信

e-Bridge實驗指導書

實驗報告

一、畫圖

1、畫出硬件配置流程順序圖

答案：配置本局信息-----》配置模塊信息-----》配置功能框-----》刪除框內多余單板-----》修改新增加的單板。

2、畫出交換機數據配置全過程圖

答案：啟動EB軟件程控模塊-----》還原數據庫-----》啟動EB軟件里的程控模塊里的“業務操作終端”-----》選擇登陸LOCAL服務器-----》逐條輸入配置命令-----》申請加載數據-----》加載數據-----》退出LOCAL服務器選擇登陸SERVER服務器-----》查看交換軟件版本-----》查看硬件配置狀態面板看交換機運行狀況。

二、名詞解釋

1、格式轉換：配置好的交換機數據是以SQL數據庫表格形式生成的，要變換成MPU所識別的機器代碼文件，這個過程叫格式轉換。

三、思考題

1、如何理解程控交換機里面的行號、列號？

2、EB軟件里面還原數據庫的作用是什么？

3、為什么加載后要登陸SERVER來查看交換機運行狀態？