实验二 IPsec典型配置实验
IPSEC VPN配置介绍
一:简介
IPSec(IP Security)是IETF 制定的IP安全协议,它为特定的通信方之间在IP 层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec 通过AH和ESP这两个安全协议来实现上述目标。并且还可以通过IKE为IPSec 提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec 的使用和管理。
AH(Authentication Header)是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH 并不加密所保护的数据报。
ESP(Encapsulating Security Payload)是封装安全载荷协议,它除提供AH协议的所有功能之外(数据完整性校验不包括IP 头),还可提供对IP 报文的加密功能。
IKE(Internet Key Exchange) 用于协商AH 和ESP 所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
下面是IPSec的几个概念:
1. 安全联盟
IPSec 在两个端点之间提供安全通信,通过SA(Security Association,安全联盟),IPSec 能够对不同的数据流提供不同级别的安全保护。安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security ParameterIndex,安全参数索引)、目的IP 地址、安全协议号(AH 或ESP)。SPI 是为唯一标识SA 而生成的一个32 比特的数值,它在AH 和ESP 头中传输。安全联盟具有生存周期。生存周期的计算包括两种方式:
以时间为,每隔指定长度的时间就进行更新;
以流量为,每传输指定的数据量(字节)就进行更新。
2. IPSec 协议的操作模式
IPSec 协议有两种操作模式:传输模式和隧道模式。
在传输模式下,AH 或ESP 被插入到IP 头之后但在所有传输层协议之前,或所有其
他IPSec 协议之前。
在隧道模式下,AH 或ESP 插在原始IP 头之前,另外生成一个新头放到AH 或ESP 之前。不同安全协议在传输模式和隧道模式下的数据封装形式从安全性来讲,隧道模式优于传输模式。
3 验证算法与加密算法
(1) 验证算法
AH 和ESP 都能够对IP 报文的完整性进行验证,以判别报文在传输过程中是否被篡
改。一般来说IPSec 使用两种验证算法: MD5、 SHA-1。
(2) 加密算法
ESP 能够对IP 报文内容进行加密保护,防止报文内容在传输过程中被窥探。VRP 中
IPSec 实现三种加密算法:DES、 3DES、AES
4. 协商方式
有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE 自动协商
(isakmp)方式。后者则相对比较简单,只需要配置好IKE 协商安全策略的信息,由IKE 自动协商来创建和维护安全联盟。
三、实验过程
1.准备工作
准备两台运行Windows 2000 Server操作系统的服务器, 进行连接、配置相应IP地址192.168.0.1/24;192.168.0.2/24
2.配置HOST A的IPSec
(1)建立新的IPSec策略
1)选择\"开始\"|\"程序\"| \"管理工具\"|\"本地安全策略\"菜单,打开\"本地安全设置\"对话框。
2)右击\"IP安全策略,在本地机器\",选择\"创建IP安全策略\",当出现向导时单击\"下一步\"继续。
3)为新的IP安全策略命名并填写策略描述,单击\"下一步\"继续。
4)通过选择\"激活默认响应规则\"复选框接受默认值,单击\"下一步\"继续。
5)接受默认的选项\"Windows 2000 默认值Kerberos V5\"作为默认响应规则身份验证方法,单击\"下一步\"继续。
6)保留\"编辑属性\"的选择,单击\"完成\"按钮完成IPSec的初步配置。
(2)添加新规则
在不选择\"使用'添加向导'\"的情况下单击\"添加\"按钮。出现\"新规则属性\"对话框。
(3)添加新过滤器
1)单击\"添加\"按钮,出现 \"IP筛选器列表\"对话框。
2)为新的IP筛选器列表命名并填写描述,在不选择\"使用'添加向导'\"的情况下单击\"添加\"按钮。出现\"筛选器属性\"对话框。
3)单击\"寻址\"标签,将\"源地址\"改为\"一个特定的IP地址\"并输入HOST A的IP地址。将\"目标地址\"改为\"一个特定的IP地址\"并输入HOST B的IP地址。保留默认选择\"镜像\"复选框。
4)单击\"协议\" 标签,选择\"协议类型\"为ICMP。
5)单击\"确定\"回到\"IP筛选器列表\"对话框。观察新添加的筛选器列表。
6)单击\"关闭\"回到\"新规则属性\"对话框。
7)通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。
(4)规定过滤器动作
1)单击\"新规则属性\"对话框中的\"筛选器操作\"标签。
2)在不选择\"使用'添加向导'\"的情况下单击\"添加\"按钮。出现\"新筛选器操作属性\"对话框。
3)选择\"协商安全\"单选框。
4)单击\"添加\"按钮选择安全方法。
5)选择\"中(AH)\",单击\"确定\"回到\"新筛选器操作属性\"对话框。
6)单击\"关闭\"回到\"新规则属性\"对话框。
7)确保不选择\"允许和不支持IPSec的计算机进行不安全的通信\",单击\"确定\"回到\"筛选器操作\"对话框。
8)通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。
(5)设置身份验证方法
1)单击\"新规则属性\"对话框中的\"身份验证方法\"标签。
2)单击\"添加\"按钮,出现\"新身份验证方法属性\"对话框。
3)选择\"此字串用来保护密钥交换(预共享密钥)\"单选框,并输入预共享密钥子串\"ABC\"。
4)单击\"确定\"按钮回到\"身份验证方法\"标签。
5)单击\"上移\"按钮使\"预先共享的密钥\"成为首选。
(6)设置\"隧道设置\"
1)单击\"新规则属性\"对话框中的\"隧道设置\"标签。
2)选择\"此规则不指定IPSec隧道\"。
(7)设置\"连接类型\"
1)单击\"新规则属性\"对话框中的\"连接类型\"标签。
2)选择\"所有网络连接\"。
3)单击\"确定\"按钮回到\"新IP安全策略属性\"对话框。
4)单击\"关闭\"按钮关闭\"新IP安全策略属性\"对话框回到\"本地安全策略\"设置。
3.配置HOST B的IPSec
仿照前面对HOST A的配置对HOST B的IPSec进行配置。
4.测试IPSec
(1)不激活HOST A、HOST B的IPSec进行测试。
1)确保不激活HOST A、HOST B的IPSec。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(2)激活一方的IPSec进行测试
1)在HOST A新建立的IP安全策略上单击鼠标右键并选择\"指派\", 激活该IP安全策略。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(3)激活双方的IPSec进行测试
1)在HOST A执行命令PING 192.168.0.2 -t ,注意观察屏幕提示。
2)在HOST B新建立的IP安全策略上单击鼠标右键并选择\"指派\", 激活该IP安全策略。
3)观察HOST A、HOST B间的安全协商过程。