支持通过RADIUS或无线控制器本地数据库认证无线用户，支持的认

正确答案：
[问题3]（8分）
试题分析：
IEEE 802.1X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。802.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。整个802.1x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。
请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.1x认证。认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备 (如LAN Switch和AP)上实现802.1x认证。请求者和认证系统之间运行802.1x定义的EAPoL(Extensible Authentication Protocol over LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。
在无线路由器中需要配置的Radius Server信息有：IP地址、认证和授权端口（只写端口也可以）、与RADIUS服务器一致的密钥。
Radius 是remote authentication dial-in user service（远程认证拨号用户服务）的简称，作为一种分布式的客户机／服务器系统，能提供AAA 功能。Radius 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。
Radius 服务包括三个组成部分：
a、协议：rfc2865、2866 协议基于udp/ip 层定义了Radius 帧格式及消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。b、服务器：Radius 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。c、客户端：位于拨号访问服务器nas（network access server）侧，可以遍布整个网络。
Radius基于客户/服务器模型，nas（如路由器）作为Radius 客户端，负责传输用户信息到指定的Radius 服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。Radius服务器负责接收用户连接请求，认证用户，然后给nas返回所有需要的信息。Radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能，Radius 客户端和Radius 服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。Radius 协议合并了认证和授权过程，即响应报文中携带了授权信息。
题中无线路由器即为nas,要使得它能与Radius服务器正常通信，根据上述原理，在无线路由器中需要配置Radius服务器的IP地址、认证和授权端口、与RADIUS服务器一致的密钥。
如果无线路由器不支持802.1X认证,只要在上层交换机中启用802.1X，并将端口设置为启用dot1x认证，就可以达到通过Radius服务器进行验证的功能。这种方式有两种认证模式：port-based和mac-based。port-based模式下，只要物理端口下的第一个用户认证成功后，其它接入该端口的用户无需认证就可以访问网络资源，当第一个用户下线后，端口被“关闭”其它用户也会被阻止访问网络。而在mac-based模式下，接入物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时，将不影响其它用户的认证状态，其它用户还可以继续访问网络。如果端口通过交换机接入了多台主机，那么为了使每台主机都要进行认证，应使用此认证模式。
参考答案：
（1）客户端向无线路由器发送的是EAPoL（Extensible Authentication Protocol over LAN）帧；无线路由器向Radius服务器发送的是EAP over RADIUS报文，因为认证系统将EAP帧封装到RADIUS报文中发送给认证服务器。（2分）
（2）在无线路由器中需要配置的Radius Server信息有：IP地址、认证和授权端口（只写端口也可以）、与RADIUS服务器一致的密钥。（3分）
（3）如果无线路由器不支持802.1X认证，可以在上层交换机中启用802.1X，并将端口设置为启用dot1x认证。但注意上层交换机下联无线路由器的802.1x端口认证模式应设置为 mac-based。这样接入物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时，将不影响其它用户的认证状态，其它用户还可以继续访问网络。（3分）

正确答案：(1)AP_2 (2)AP-1 (3)Switch (4)WNC (5)ipconfig／release
(1)AP_2 (2)AP-1 (3)Switch (4)WNC (5)ipconfig／release 解析：AP(Access Point)即接入点，又称无线局域网收发器，用于无线网络的无线HUB，是无线网络的核心。它是移动计算机用户进入有线以太网骨干的接入点。两片绿地在AP的两侧，因此只能选用全向的室外AP，而阅览室内很明显要选用室内APo三层交换机工作在网络层，可以提供包转发等简单路由功能，适合连接多个子网，因此(3)处应选择三层交换机。WNC(Wireless.Network Contmllor)无线网络控制器用于管理无线AP，并且有访问控制的功能，因此用它来连接各个AP到服务器和广域网。命令ipconfig／release用于在DHCP客户端手工释放TCP/IP配置。

参考答案：A, B, C, D, E

正确答案：(1)AP_2(2)AP_3(3) Switch(4) WNC
(1)AP_2(2)AP_3(3) Switch(4) WNC 解析：首先能确定的是第(3)处。由于采用一个无线网络控制器来自动探测、监控、管理无线AP。由于校园内还有其他地方有AP，因此第(3)处不可能是无线网络控制器，也不可能是AP，因此从备选设备中只能选择交换机Switch。
接着，第(4)处为骨干网中的一个网络设备，不是AP，因此为无线网络控制器 WNC。无线网络控制器在这里为整个校园网管理无限AP。
然后，选择表中只有AP了，故第(1)处、第(2)处为AP，在AP_1、AP_2、AP_3中选择。由于第(1)处、第(2)处都在室外，排除了AP_1。第(1)处需要进行全向覆盖而第(2)处不需要，故第(1)处选AP_2，第(2)处选AP_3。