IPSec试验.docx

1、IPSec试验实验报告（ 第 周 ）IPSec试验实验要求：试验完毕，以自己的“学号+姓名”建立文件夹，保存到该文件夹并关闭文档，将文件夹上传到服务器ftp:/192.168.111.182实验目的：1. 了解IPSec的概念2. 掌握在Windows 2008 Server服务器上配置IPSec服务。实验环境学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。试验原理IPSec 协议不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating

2、Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。IPSec 是一个标准框架，它在两个对等体之间的网络层上提供如下安全特性： 数据的机密性 数据的完整性 数据验证 抗回放检测 对等体验证IETF 在不同的FRC 中定义了IPSec 的标准，因为它在设备或网络之间提供了网络层的保护，并且是一个开放的标准，所以它通常用于今天使用的IPv4 和IPv6 的网络。关于 IPSec 具

3、体信息可以参考我的博文“Cisco VPN 完全配置指南-IPSec”。Windwos 服务器也支持IPSec 特性，特别是在windows server 2008 对IPSec 特性更加强大。在 Windows 2000 和 Windows Server 2003 中，当前部署早期的 IPSec 规则。早期的 IPSec 规则由 policyagent 服务管理。这些 IPSec 规则是支持基于计算机的Kerberos 身份验证、 x 509 证书或预共享密钥身份验证的 Internet 密钥交换 (IKE) 规则。在IPSec 策略管理MMC 管理单元中配置这些 IPSec 规则。在 Wi

4、ndows 2000 中相同的方式在和 Windows Server 2003 中，将应用基于 IKE 的 policyagent 规则。虽然多个策略可应用于给定的计算机，仅能在最后一个策略应用的是成功。这根据最后编写器入选方法。此外，IKE 策略设置不能合并。在 Windows Server 2008 中使用连接安全规则部署IPSec。连接安全规则支持 IKE称为经过身份验证的 IP (AuthIP) 的扩展。 AuthIP 添加了对以下身份验证机制的支持： 交互式用户 Kerberos 凭据或交互式用户 NTLMv 2 凭据 用户 x 509 证书 计算机安全套接字层 (SSL) 证书 N

5、AP 运行状况证书 匿名身份验证（可选身份验证）可以配置安全规则为Windows 防火墙和高级的安全管理单元通过使用以下工具： 基于域的组策略 具有高级安全性的 Windows 防火墙管理单元请注意 在具有高级安全性的 Windows 防火墙管理单元是默认存储位置为可以通过使用 wf.msc 命令访问的策略。 在本地组策略管理的中 (Gpedit.msc) netsh advfirewall 命令试验内容下面通过几个实验来验证其IPSec 的特性。任务一、主机与主机的IPSec 通信实验拓扑图:虚拟网络配置:1. 学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。2

6、. 为本机安装1块Microsoft loopback adapter网卡：a) 虚拟网卡Microsoft loopback adapter，配置地址为配置地址10.x.y.254，子网掩码255.255.255.0 。3. 学生机虚拟机1有1块网卡，网卡选择与Microsoft loopback adapter 连接。配置地址为配置地址10.x.y.1，子网掩码255.255.255.0。其中xy为学号后三位，x为班号，y为序号。例如学号101，x为1，y为01。4. 学生机虚拟机2有1块网卡，网卡选择与Microsoft loopback adapter连接。 配置地址10.x.y.2，

7、子网掩码255.255.255.0。xy含义同上。实验步骤1.为配置完成后，需要对配置进行验证，需要window 防火墙允许ping 通过，先配置防火墙允许ping 通过。在管理工具高级windows 防火墙入站规则选择回显请求-ICMPv4-IN启动规则。这样允许了ping 通过。如下图所示。在另外一台服务器也采用相同的配置，打开防火墙的ping 通过。配置完成后，使用ping命令测试一下是否能够通信。把显示结果 抓图 粘贴到本列由server1 ping server2的网卡10.x.y.2由server2 ping server1的网卡10.x.y.12选 管理工具高级windows 防

8、火墙连接安全规则右键新规则，如下图所示。3在新建连接安全规则向导中选择“隔离”，如下图所示。点击一下步，选择“入站和出站连接要求身份验证”，如下图所示。4点击下一步，选择“高级”，然后点击“自定义”。如下图所示。在自定义高级身份验证方法第一身份验证方法添加，5弹出如下对话框，选择预共享密钥，然后输入口令，如下图所示。配置完成后，点击确定，点击下一步，选择应用此规则的配置文件，如下图所示。6点击下一步，为此规则命名，点击完成，则配置完成。如下图所示。7另外一台计算机也采用相同的配置。配置完成后，可以从一台主机使用ping 命令与对方主机进行通信，测试结果如下。把显示结果 抓图 粘贴到本列由ser

9、ver1 ping server2的网卡10.x.y.2由server2 ping server1的网卡10.x.y.18验证其通信是使用IPSec 加密进行通信的，在管理工具高级windows 防火墙监视安全关联主模式或快速模式中可以查看其连接状态。抓图如下主模式快速模式任务二、站点与站点间的 IPSecc 通信拓扑图如下所示。学生机101实验环境1. 学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。2. 为本机安装2块Microsoft loopback adapter网卡：a) 虚拟网卡Microsoft loopback adapter，配置地址为配置地址

10、10.x.y.1，子网掩码255.255.255.0,默认网关为10.x.y.100。其中xy为学号后三位，x为班号，y为序号。b) 虚拟网卡Microsoft loopback adapter 2#，启用即可，做交换机用。3. 学生机虚拟机1有2块网卡，网卡1选择与Microsoft loopback adapter连接。配置地址为配置地址10.x.y.100，子网掩码255.255.255.0。其中xy为学号后三位，x为班号，y为序号。例如学号101，x为1，y为01。网卡2选择与Microsoft loopback adapter 2#连接。 配置地址10.3x.y.100，子网掩码25

11、5.255.255.0。xy含义同上。4. 学生机虚拟机2有2块网卡，网卡1为Microsoft loopback adapter网卡。 配置地址10.2x.y.200，子网掩码255.255.255.0。xy含义同上。网卡2选择与Microsoft loopback adapter 2#连接。 配置地址10.3x.y.200，子网掩码255.255.255.0。xy含义同上。5. 需要注意的是：在这个实验中，需要在两台服务器上启用路由与远程访问，将其设置为LAN 路由模式并添加静态路由，使用其具路由器功能。(注:添加rip协议受防火墙的影响,不好用,需要路由信息交换成功,验证个计算机可以pi

12、ng通后再开启防火墙,)实验步骤1配置路由器1，与上面例子一样，在防火墙上设置允许ping 通过，以便进行测试，在管理工具高级windows 防火墙连接安全规则名键新规则，如下图所示。2在规则类型中选择“隧道”，如下图所示。3在隧道终结点中配置远程站点与本地站点的地址，首先配置本地站站点，点击添加，如下图所示。4在终结点1中的计算机后点添加，输入本地站点的子网网段10.x.y.0/24，抓图如下。5然后在终结点2中的计算机后点添加，添加远程站点的子网网段10.2x.y.0/24，抓图如下。6然后输入本站点的网关（最接近终结点1中的计算机）10.3x.y.100和远程站点的网关（最接近终结点2中

13、的计算机）10.3x.y.200，抓图如下。7在身份验证方法中选择预共享密钥方式（密钥123456），抓图如下。8配置规则应用的配置文件，如下图所示。9最后为此规则命名，点击完成，完成配置，如下图所示。10对端路由器2也采用相同的方式配置，配置完成后，可以采用ping 命令和抓包的方法进行验证。把显示结果 抓图 粘贴到本列由本机 ping 路由器2的网卡10.2x.y.20011.验证其通信是使用IPSec 加密进行通信的，在管理工具高级windows 防火墙监视安全关联主模式或快速模式中可以查看其连接状态。抓图如下主模式快速模式需要注意的是：在这个实验中，需要在两台服务器上启用路由与远程访问

14、，将其设置为LAN 路由模式并添加静态路由(注:添加rip协议受防火墙的影响,不好用)，使用其具路由器功能。任务三、使用组策略来实现 IPSec 通信(选作)如下拓扑图所示，此实验的目的实现客户端彼此之间通信需要使用IPSce 加密。1首先需要安装服务器的操作系统和客户端的操作系统。安装完成服务器的操作系统后需要将其升为域控制器，本实验的域名为，并配置相应的DNS 服务。域控制器配置完成后，需要将所有的客户端加入到域中，使用客户主机成为域成员计算机。2在域控制服务器上，开始管理工具组策略管理器，右键点击Default DomainPolicy，选择“编辑”，如下图所示。3打开组策略编辑器，选择

15、计算机配置windows 设置安全设置高级安全windows 防火墙右键点击“连接安全规则”选择“新规则”，如下图所示。在连接安全规则向导规则类型选择“身份验证例外”点击下一步，如下图。4在免除计算机中输入要排除的IP 地址，在本实验需要排除域控制器的地址和路由网关的地址。如下图所示。5然后点击确定，点击下一步、下一步，为此策略命令。如下图。6点击完成，配置完成，如下图所示。7然后右键点击此策略，选择属性，如下图所示。8在计算机属性中，终结点1 选择添加，输入不需要进行IPSec 加密通信的网段，如下图所示。9点击“确定”配置完成。10这时需要等待一段时间，需要域控制器将策略下发到成员计算机或

16、服务器中，也可以使用命令gpupdate /force 进行强制下发策略。如下图所示。11一定要等到在成员服务器或客户端上看到此策略，如下图所示。12查看到每台成员服务器或计算机收到了此策略后，进行下一步配置。13打开组策略编辑器，选择计算机配置window 设置安全设置高级安全windows 防火墙右键点击“连接安全规则”选择“新规则”，如下图所示。14在规则类型中选择“服务器到服务器”，如下图所示。15然后在终结点上需要配置需要IPSec 加密通信的网段，如下图所示。16在要求中选择入站和出站连接要求身份验证，如下图。17在身份验证方法中，选择高级，并点击自定义，如下图。18点击添加，在自定义身份验证方法中选择计算机（kerveros V5）。点击确定。19然后点击下一步，并为此策略命名。这时会在组策略编辑器中看到两条规则，如下图所示。20然后再等等一段时间，或再使用命令进行下发组策略，如下图所示。21当域控制器下发策略后，会在成员服务器或客户机上看到两条策略，如下图所示。22这时用一台主机去ping 另外一台主机，如下图所示。23可以在管理工具高级windows 防火墙监视安全关联主模式或快速模式中可以查看到其连接状态。也可以使用抓包工具采集数据包进行验证，在这里就不重复此过程。