网络安全第三章实验.docx
《网络安全第三章实验.docx》由会员分享,可在线阅读,更多相关《网络安全第三章实验.docx(25页珍藏版)》请在冰豆网上搜索。
网络安全第三章实验
网络安全第三章试验
实验1:
以创建隧道的方式在不安全的internet网络中安全的传输数据!
一个总公司和一个分公司(建立一条VPN隧道)
1:
实验需求:
4台路由器(其中R3关闭路由功能做交换机),1台虚拟windows2003做总公司的一台主机,外网一台分公司的主机还有一台真机。
(在真机上上装sniffer截取总公司和分公司之间传输的数据包)。
2:
实验拓扑:
3:
实验步骤:
●搭建环境:
◆在真机上创建一块回环网卡作为本机IP(避免实验环境一样的网络中出现地址重复);
◆在虚拟机上增加一块hostonly2的网卡作为外网分公司的主机网卡(XP的网卡);
◆用hostonly1网卡作为总公司内部主机windows2003的网卡;
◆在三个交换机上合理分配IP地址;
●配置路由:
◆在r1上配置默认路由到r2的20.0.0.2端口;
◆在r4上配置默认路由到r2的30.0.0.1端口;
◆在r2上配置2条静态路由分别到20.0.0.1和.0.0.0.2;
●在真机的windows上安装sniffer然后在sw3(r3)上面配置端口监控,在真机上利用sniffer截取在总公司主机和分公司主机上传输的数据包(查看分析被截获的数据包);
●在r1和r4上做VPN,利用隧道在不安全的网络internet中传输加密的数据包;
●再用真机去截获双方的数据包查看截获数据包的的信息。
4:
实验过程分析:
创建回环网卡避免在同样的实验环境中网络地址重复:
在虚拟机上创建一块hostonly2网卡连接在XP上:
本机的VMware虚拟网卡连接在总公司的windows2003(虚拟机的windows2003)
小凡的环境:
在r1,r2,sw1,r4上配置接口IP:
R1:
R2:
Sw1(R3):
R4:
在r1上配置默认路由:
在r2上配置2个静态路由:
在r4上配置默认路由:
抓去数据包验证:
在sniffer上无法抓去数据包
在sw1(r3)上配置端口监听:
因为sniffer抓包只能把流经的数据包抓获所以要配置端口的监听,来是本来不经过的数据能经过,从而来抓去数据包!
验证抓取的数据包:
(如果中间网卡信息有改动则要保存后重启相连路由器)
删去r1和r4上的默认路由和r2上的静态路由之后再去抓包和ping
无法抓到包也无法ping通:
在r1上和r4上创建VPN隧道保证数据在不安全的网络internet中可以进行加密安全传送数据包:
在r1上配置:
(命令文本如下)
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy1
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress30.0.0.2
!
access100permitip10.0.0.00.255.255.25540.0.0.00.255.255.255
cryptoipsectransform-setymjah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapyyy1ipsec-isakmp
matchaddress100
setpeer30.0.0.2
settransform-setymj
exit
!
intf1/0
cryptomapyyy
exit
!
在r4上配置:
(命令文本如下)
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy1
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress20.0.0.1
!
access100permitip40.0.0.00.255.255.25510.0.0.00.255.255.255
cryptoipsectransform-setymjah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapyyy1ipsec-isakmp
matchaddress100
setpeer20.0.0.1
settransform-setymj
exit
!
intf0/0
cryptomapyyy
exit
!
其中的命令和r1上的对段地址和端口地址要颠倒,而策略号和表号要相同
在最后一定要将定义的cryptomap映射到与对端端口连接的端口上!
在总公司的windows2003上可以ping通分公司的主机地址但是无法与期间的sniffer抓包的主机ping通也不经过sw1(r3)传输数据包。
说明r1和r4自建建立了隐藏的VPN隧道使数据包可以安全的在internet网络上传输!
在总公司的服务器上建立了VPN服务器以后在需要登录的客户机上安装VPN的客户端即可,在不再总公司的物理区域中时可以利用VPN的密钥认证来进入总公司的服务器获得信息。
在重新配置上默认路由和静态路由以后,如果不需要经过VPN发送的数据包可以用明文发送,这样也可以想网络上除了分公司的地址发送数据包更可以通过VPN向分公司发送重要文件和数据!
如果希望总公司和分公司内的地址也可以访问internet则必须在r1和r4上面做PAT地址转换。
R1:
access-list1deny路由器的inside端口的地址和子网掩码
ipnatinsidesourcelist1inside的端口号overload
interfacef0/0
ipnatoutside
interfacef1/0
ipnatinside
r4上用相同的方法即可
实验2:
以创建隧道的方式在不安全的internet网络中安全的传输数据!
一个总公司和多个分公司(建立多条VPN隧道)
1:
实验设备:
5台路由器和1台总公司服务器windows2003做测试机和2台windows2003客户端还有一台XP客户端
2:
实验拓扑:
3:
实验步骤:
●在VMware上建立3个虚拟的hostonly的网卡分别为hostonly2,hostonly3和hostonly4
●用window2003的测试机利用修改IP和修改网卡连接方式的方法去一个一个测试与各个分公司之间建立VPN隧道。
●最后在建立一台XP,把windows2003和XP连接在其个不同的分公司上。
利用端口监听的方式去用XP去截取windosw2003和总公司服务器(本机)之间的数据包,看是否可以截获
4:
实验过程分析:
创建3个VMware的hostonly网卡分别为hostonly2,hostonly3和hostonly4
在真机上连接在回环网卡上
在windows2003的虚拟机上的网卡连接在VMware1上
在XP的虚拟机上的网卡连接在VMware2
在第二胎windows2003-DC上的虚拟机网卡连接在VMware3上
小凡连接图:
在5个路由器上配置端口IP
R1:
R2:
R3:
R4:
R5:
在r1上配置默认路由到r2:
在r2上配置3个网段的静态路由:
在r3上配置默认路由到r2:
在r4上配置默认路由到r2:
在r5上配置默认路由到r2:
测试连通性:
取消r2上的静态路由。
在r1,r3,r4和r5上做VPN,在r1上同时做3条VPN!
R1和R3相连的VPN脚本:
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy1
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress30.0.0.2
!
access100permitip192.168.1.00.0.0.255192.168.2.00.0.0.255
cryptoipsectransform-setmwbah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapmawenbin1ipsec-isakmp
matchaddress100
setpeer30.0.0.2
settransform-setmwb
exit
!
intf1/0
cryptomapmawenbin
exit
!
R1和R4相连的VPN脚本:
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy2
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress40.0.0.2
!
access110permitip192.168.1.00.0.0.255192.168.3.00.0.0.255
cryptoipsectransform-setmwb1ah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapmawenbin11ipsec-isakmp
matchaddress100
setpeer30.0.0.2
settransform-setmwb1
exit
!
intf1/0
cryptomapmawenbin1
exit
!
R3和R1相连的VPN通道脚本:
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy1
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress20.0.0.1
!
access100permitip192.168.2.00.0.0.255192.168.1.00.0.0.255
cryptoipsectransform-setmwbah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapmawenbin1ipsec-isakmp
matchaddress100
setpeer20.0.0.1
settransform-setmwb
exit
!
intf0/0
cryptomapmawenbin
exit
!
R4和R1相连的VPN通道脚本:
enable
conft
!
cryptoisakmpenable
cryptoisakmppolicy2
hashmd5
encryption3des
authenticationpre-share
lifetime300
exit
cryptoisakmpkeyaddress20.0.0.1
!
access110permitip192.168.3.00.0.0.255192.168.1.00.0.0.255
cryptoipsectransform-setmwb1ah-sha-hmacesp-3desesp-sha-hmac
exit
!
cryptomapmawenbin11ipsec-isakmp
matchaddress110
setpeer20.0.0.1
settransform-setmwb1
exit
!
intf0/0
cryptomapmawenbin1
exit
!
从R1上向R3和R4做了2条VPN通道以后建立了2个VPN通道:
升级会员 