IPSec试验.docx
《IPSec试验.docx》由会员分享,可在线阅读,更多相关《IPSec试验.docx(25页珍藏版)》请在冰豆网上搜索。
IPSec试验
实验报告(第周)
IPSec试验
实验要求:
试验完毕,以自己的“学号+姓名”建立文件夹,保存到该文件夹并关闭文档,将文件夹上传到服务器ftp:
//192.168.111.182
实验目的:
1.了解IPSec的概念
2.掌握在Windows2008Server服务器上配置IPSec服务。
实验环境
学生机运行xp操作系统,安装虚拟机软件并运行2个server2008操作系统。
试验原理
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系
结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议Encapsulating
SecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证
及加密的一些算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密
钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
IPSec是一个标准框架,它在两个对等体之间的网络层上提供如下安全特性:
Ø数据的机密性
Ø数据的完整性
Ø数据验证
Ø抗回放检测
Ø对等体验证
IETF在不同的FRC中定义了IPSec的标准,因为它在设备或网络之间提供了网络层
的保护,并且是一个开放的标准,所以它通常用于今天使用的IPv4和IPv6的网络。
关于IPSec具体信息可以参考我的博文“CiscoVPN完全配置指南-IPSec”。
Windwos服务器也支持IPSec特性,特别是在windowsserver2008对IPSec特性更
加强大。
在Windows2000和WindowsServer2003中,当前部署早期的IPSec规则。
早
期的IPSec规则由policyagent服务管理。
这些IPSec规则是支持基于计算机的
Kerberos身份验证、x509证书或预共享密钥身份验证的Internet密钥交换(IKE)规
则。
在"IPSec策略管理"MMC管理单元中配置这些IPSec规则。
在Windows2000中
相同的方式在和WindowsServer2003中,将应用基于IKE的policyagent规则。
虽然
多个策略可应用于给定的计算机,仅能在最后一个策略应用的是成功。
这根据"最后编写器
入选"方法。
此外,IKE策略设置不能合并。
在WindowsServer2008中使用连接安全规则部署IPSec。
连接安全规则支持IKE
称为经过身份验证的IP(AuthIP)的扩展。
AuthIP添加了对以下身份验证机制的支持:
Ø交互式用户Kerberos凭据或交互式用户NTLMv2凭据
Ø用户x509证书
Ø计算机安全套接字层(SSL)证书
ØNAP运行状况证书
Ø匿名身份验证(可选身份验证)
可以配置安全规则为"Windows防火墙和高级的安全"管理单元通过使用以下工具:
Ø基于域的组策略
Ø"具有高级安全性的Windows防火墙"管理单元
请注意在"具有高级安全性的Windows防火墙"管理单元是默认存储位置为可以通过
使用wf.msc命令访问的策略。
Ø在本地组策略管理的中(Gpedit.msc)
Ønetshadvfirewall命令
试验内容
下面通过几个实验来验证其IPSec的特性。
任务一、主机与主机的IPSec通信
实验拓扑图:
虚拟网络配置:
1.学生机运行xp操作系统,安装虚拟机软件并运行2个server2008操作系统。
2.为本机安装1块Microsoftloopbackadapter网卡:
a)虚拟网卡Microsoftloopbackadapter,配置地址为配置地址10.x.y.254,子网掩码255.255.255.0。
3.学生机虚拟机1有1块网卡,网卡选择与Microsoftloopbackadapter连接。
配置地址为配置地址10.x.y.1,子网掩码255.255.255.0。
其中xy为学号后三位,x为班号,y为序号。
例如学号101,x为1,y为01。
4.学生机虚拟机2有1块网卡,网卡选择与Microsoftloopbackadapter连接。
配置地址10.x.y.2,子网掩码255.255.255.0。
xy含义同上。
实验步骤
1.为配置完成后,需要对配置进行验证,需要window防火墙允许ping通过,先配置防
火墙允许ping通过。
在管理工具——高级windows防火墙——入站规则——选择回显请求-ICMPv4-IN——
启动规则。
这样允许了ping通过。
如下图所示。
在另外一台服务器也采用相同的配置,打开防火墙的ping通过。
配置完成后,使用ping
命令测试一下是否能够通信。
把显示结果抓图粘贴到本列
由server1pingserver2的网卡10.x.y.2
由server2pingserver1的网卡10.x.y.1
2.选管理工具——高级windows防火墙——连接安全规则——右键新规则,如下图所示。
3.在新建连接安全规则向导中选择“隔离”,如下图所示。
点击一下步,选择“入站和出站连接要求身份验证”,如下图所示。
4.点击下一步,选择“高级”,然后点击“自定义”。
如下图所示。
在自定义高级身份验证方法——第一身份验证方法——添加,
5.弹出如下对话框,选择预共享密钥,然后输入口令,如下图所示。
配置完成后,点击确定,点击下一步,选择应用此规则的配置文件,如下图所示。
6.点击下一步,为此规则命名,点击完成,则配置完成。
如下图所示。
7.另外一台计算机也采用相同的配置。
配置完成后,可以从一台主机使用ping命令与对方主机进行通信,测试结果如下。
把显示结果抓图粘贴到本列
由server1pingserver2的网卡10.x.y.2
由server2pingserver1的网卡10.x.y.1
8.验证其通信是使用IPSec加密进行通信的,在管理工具——高级windows防
火墙——监视——安全关联——主模式或快速模式中可以查看其连接状态。
抓图如下
主模式
快速模式
任务二、站点与站点间的IPSecc通信
拓扑图如下所示。
学生机101
实验环境
1.学生机运行xp操作系统,安装虚拟机软件并运行2个server2008操作系统。
2.为本机安装2块Microsoftloopbackadapter网卡:
a)虚拟网卡Microsoftloopbackadapter,配置地址为配置地址10.x.y.1,子网掩码255.255.255.0,默认网关为10.x.y.100。
其中xy为学号后三位,x为班号,y为序号。
b)虚拟网卡Microsoftloopbackadapter2#,启用即可,做交换机用。
3.学生机虚拟机1有2块网卡,网卡1选择与Microsoftloopbackadapter连接。
配置地址为配置地址10.x.y.100,子网掩码255.255.255.0。
其中xy为学号后三位,x为班号,y为序号。
例如学号101,x为1,y为01。
网卡2选择与Microsoftloopbackadapter2#连接。
配置地址10.3x.y.100,子网掩码255.255.255.0。
xy含义同上。
4.学生机虚拟机2有2块网卡,网卡1为Microsoftloopbackadapter网卡。
配置地址10.2x.y.200,子网掩码255.255.255.0。
xy含义同上。
网卡2选择与Microsoftloopbackadapter2#连接。
配置地址10.3x.y.200,子网掩码255.255.255.0。
xy含义同上。
5.需要注意的是:
在这个实验中,需要在两台服务器上启用路由与远程访问,将其设置为LAN路由模式并添加静态路由,使用其具路由器功能。
(注:
添加rip协议受防火墙的影响,不好用,需要路由信息交换成功,验证个计算机可以ping通后再开启防火墙,)
实验步骤
1.配置路由器1,与上面例子一样,在防火墙上设置允许ping通过,以便进行测试,在管理工具——高级windows防火墙——连接安全规则——名键新规则,如下图所示。
2.在规则类型中选择“隧道”,如下图所示。
3.在隧道终结点中配置远程站点与本地站点的地址,首先配置本地站站点,点击添加,如
下图所示。
4.在终结点1中的计算机后点添加,输入本地站点的子网网段10.x.y.0/24,抓图如下。
5.然后在终结点2中的计算机后点添加,添加远程站点的子网网段10.2x.y.0/24,抓图如下。
6.然后输入本站点的网关(最接近终结点1中的计算机)10.3x.y.100和远程站点的网关(最接近终结点2中的计算机)10.3x.y.200,抓图如下。
7.在身份验证方法中选择预共享密钥方式(密钥123456),抓图如下。
8.配置规则应用的配置文件,如下图所示。
9.最后为此规则命名,点击完成,完成配置,如下图所示。
10.对端路由器2也采用相同的方式配置,配置完成后,可以采用ping命令和抓包的方法进
行验证。
把显示结果抓图粘贴到本列
由本机ping路由器2的网卡10.2x.y.200
11.验证其通信是使用IPSec加密进行通信的,在管理工具——高级windows防
火墙——监视——安全关联——主模式或快速模式中可以查看其连接状态。
抓图如下
主模式
快速模式
需要注意的是:
在这个实验中,需要在两台服务器上启用路由与远程访问,将其
设置为LAN路由模式并添加静态路由(注:
添加rip协议受防火墙的影响,不好用),使用其具路由器功能。
任务三、使用组策略来实现IPSec通信(选作)
如下拓扑图所示,
此实验的目的实现客户端彼此之间通信需要使用IPSce加密。
1.首先需要安装服务器的操作系统和客户端的操作系统。
安装完成服务器的操作系统后需
要将其升为域控制器,本实验的域名为,并配置相应的DNS服务。
域控制器
配置完成后,需要将所有的客户端加入到域中,使用客户主机成为域成员计算机。
2.在域控制服务器上,开始——管理工具——组策略管理器,右键点击DefaultDomain
Policy,选择“编辑”,如下图所示。
3.打开组策略编辑器,选择计算机配置——windows设置——安全设置——高级安全
windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。
在连接安全规则向导——规则类型——选择“身份验证例外”点击下一步,如下图。
4.在免除计算机中输入要排除的IP地址,在本实验需要排除域控制器的地址和路由网关
的地址。
如下图所示。
5.然后点击确定,点击下一步、下一步,为此策略命令。
如下图
。
6.点击完成,配置完成,如下图所示。
7.然后右键点击此策略,选择属性,如下图所示。
8.在计算机属性中,终结点1选择添加,输入不需要进行IPSec加密通信的网段,如下
图所示。
9.点击“确定”配置完成。
10.这时需要等待一段时间,需要域控制器将策略下发到成员计算机或服务器中,也可以使
用命令gpupdate/force进行强制下发策略。
如下图所示。
11.一定要等到在成员服务器或客户端上看到此策略,如下图所示。
12.查看到每台成员服务器或计算机收到了此策略后,进行下一步配置。
13.打开组策略编辑器,选择计算机配置——window设置——安全设置——高级安全windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。
14.在规则类型中选择“服务器到服务器”,如下图所示。
15.然后在终结点上需要配置需要IPSec加密通信的网段,如下图所示。
16.在要求中选择入站和出站连接要求身份验证,如下图。
17.在身份验证方法中,选择高级,并点击自定义,如下图。
18.点击添加,在自定义身份验证方法中选择计算机(kerverosV5)。
点击确定。
19.然后点击下一步,并为此策略命名。
这时会在组策略编辑器中看到两条规则,如下图所
示。
20.然后再等等一段时间,或再使用命令进行下发组策略,如下图所示。
21.当域控制器下发策略后,会在成员服务器或客户机上看到两条策略,如下图所示。
22.这时用一台主机去ping另外一台主机,如下图所示。
23.可以在管理工具——高级windows防火墙——监视——安全关联——主模式或快速模
式中可以查看到其连接状态。
也可以使用抓包工具采集数据包进行验证,在这里就不重复此
过程。
升级会员 