实验8_Windows下IPSec-VPN实验

1北京理工大学珠海学院实验报告ZHUHAICAMPAUSOFBEIJINGINSTITUTEOFTECHNOLOGY班级：10计算机2班学号：100201021027姓名：邱哲桐指导教师：刘玉仙成绩实验题目实验八Windows下IPSecVPN实验实验时间：2013.6.20一、实验目的：（1）创建IPSec策略；（2）定义IPSec筛选器列表(filterlist)；（3）配置IPSec筛选器操作(FilterAction)；（4）配置身份验证方法。二、实验内容以及步骤：（网络安全\VPN\Windows下IPSecVPN实验）1．主机到主机1指派前2单方指派后23虚拟机+主机指派后4数据包分析35ipsec加密后的数据包2.网关到网关加密隧道Windows实验台AWindows实验台B172.20.1.X/16172.21.1.Y/16172.22.3.X/16172.22.3.Y/16主机A主机B172.20.3.X/16172.21.3.Y/166网络到网络的IPSecVPN网络拓扑(一)网络配置依据实验环境，网关A上进行网络环境配置(1)查看主机A的IP地址，并添加其网络地址172.20.1.X；(2)主机A本地添加路由：(或修改默认网关为172.20.3.X)；routeadd172.21.0.0mask255.255.0.0172.20.3.X；4routeadd172.22.0.0mask255.255.0.0172.20.3.X；7配置试验机的路由设置(3)主机A中的实验台启用LAN路由（控制面板\管理工具\路由和远程访问），如图3.3.2-18所示。8启用lan路由59详细配置(4)指定A主机实验台的默认网关为172.22.3.Y；如下图所示：10本地链接(5)查看并添加B主机网络地址172.21.1.Y；(6)主机B本地添加路由：(或修改默认网关为172.21.3.Y)；routeadd172.20.0.0mask255.255.0.0172.21.3.Y；routeadd172.22.0.0mask255.255.0.0172.21.3.Y；(7)主机B中的实验台启用LAN路由(同(3))；(8)指定B主机实验台的默认网关为172.22.3.X（同（4））。(二)创建IPSec策略(1)在A机实验台上运行IPSec策略管理控制台，即在起命令行窗口运行“secpol.msc”，打开“本地安全设置”窗口，进行IP安全策略设置。(2)创建本实验台计算机IP安全策略。例如“ServerA”；如下列图所示：611ip策略导向12向导13向导14向导715向导(3)选中“编辑属性”复选框，单击“完成”，至此已创建名为“ServerA”的IP安全策略，以下步骤为设置其属性。(4)主机B实验台新建IPSec策略“ServerB”，步骤略。(三)主机A安全规则(1)添加“a-b”的IPSec筛选器列表16添加规则1)如错误!未找到引用源。所示，在“a-b”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器；2)在“IP筛选器列表”窗口，输入名称“a-b”，清除“使用添加向导”复选框，单击添加按钮，进入IP筛选器属性窗口。3)“源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机A到主机B的网络之间所使用的规则，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭”，至此已添加好名为“a-b”的筛选器。(2)配置身份验证方法1)在“本地安全设置”窗口中，右键点击“ServerA”，选择属性，打开“ServerA属性”窗口，编辑“a-b筛选器”，然后单击“身份验证方法”标签。2)单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”。至此已配置好身份验证方法，如图3.3.2-26所示。817详细配置(3)配置a-b筛选器规则：隧道设置项IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机A要与计算机B安全地交换数据，计算机A上的活动IPSec策略必须有针对计算机B的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.Y，如图3.3.2-27所示。18隧道设置(4)定义IPSec筛选器操作在“ServerA”属性窗口双击“a-b”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如保持完整性，如图3.3.2-28所示。919筛选器设置(5)添加b-a的IPSec筛选器列表20添加筛选器1)如图3.3.2-29所示，在“b-a”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器；2)“源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机B到主机A的网络之间所使用的规则，如图3.3.2-30所示，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭”，至此已添加好名为“b-a”的筛选器。1021寻址设置(6)配置身份验证方法1)编辑“b-a筛选器列表”，然后单击“身份验证方法”标签；2)单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”。至此已配置好身份验证方法，如图3.3.2-31所示。22身份验证(7)配置b-a规则隧道终结点IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机B要与计算机A安全地交换数据，计算机B上的活动IPSec策略必须有针对计算机A的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.X，如图3.3.2-32所示。1123ip指定(8)定义IPSec筛选器操作双击“b-a”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如“仅保持完整性”，如图3.3.2-33所示。24需要安全(四)主机B网络配置(1)添加a-b的IPSec筛选器列表25筛选器设置1)如图3.3.2-34所示，在“a-b”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器；122)在“IP筛选器列表”窗口，输入名称“a-b”，清除“使用添加向导”复选框，单击添加按钮，进入IP筛选器属性窗口。3)“源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机A到主机B的网络之间所使用的规则，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭”，至此已添加好名为“a-b”的筛选器。(2)配置身份验证方法1)编辑“a-b筛选器列表”，然后单击“身份验证方法”标签。2)单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”。至此已配置好身份验证方法，如图3.3.2-35所示。26验证方法(3)配置a-b规则隧道终结点IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机A要与计算机B安全地交换数据，计算机A上的活动IPSec策略必须有针对计算机B的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.Y，如图3.3.2-36所示。1327隧道(4)定义IPSec筛选器操作双击“a-b”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如保持完整性，如图3.3.2-37所示。28权限(5)添加b-a的IPSec筛选器列表29IPSec设置1)如图3.3.2-38所示，在“b-a”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器142)“源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机B到主机A的网络之间所使用的规则，如图3.3.2-39所示，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭”，至此已添加好名为“b-a”的筛选器。30筛设置1)编辑“b-a筛选器列表”，然后单击“身份验证方法”标签。2)单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”，至此已配置好身份验证方法，如图3.3.2-40所示。31共享密码(6)配置b-a规则隧道终结点IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机B要与计算机A安全地交换数据，计算机B上的活动IPSec策略必须有针对计算机A的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.X，如图3.3.2-41所示。1532地址指定(7)定义IPSec筛选器操作双击“b-a”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如“仅保持完整性，如图3.3.2-42所示。33筛选器操作(五)测试IPSec策略按要求分别在A、B两机配置好IPSec策略后，需测试其是否正常工作，在测试前需将A、B两机配置成路由器，并起用IP路由功能，(“路由和远程访问”)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后，IPSec策略测试步骤如下：(1)运行IPSec策略管理控制台，在左边窗口选择“IP安全策略，在本地机器”，在右边窗口出现创建的名为“ServerA”或“ServerB”安全通信的IPSec策略，右击“ServerA和ServerA的安全通信”，选择“指派”，则其“策略已指派”栏由“否”变为“是”。在A、B两机上均需做此操作。16(2)在A主机上打开命令窗口，做PING操作(即ping–t172.21.X.X)。该操作中源和目的IP地址匹配我们在A、B两机上设置的筛选器，其将触发B、A之间的安全通信。(3)在B主机上打开IP安全监控工具注：Windows2000方法：“开始|运行|IPSecmon”即可。Windowsxp运行mmc，添加名为“Ip管理监视器”的管理单元。Windowsxp下如图3.3.2-43所示。34本地安全配置查看IPSec密钥交换过程ICMP协议加密如图3.3.2-44所示。35数据包分析三、实验总结：经过这次实验，我懂得了如何创建IPSec策略、定义IPSec筛选器列表、配置IPSec筛选器操作以及配置身份验证方法。这样可以有效提高计算机的安全性，对IP安全进行监控，防止外来危害IP访问对机子造成影响，希望以后能学会更多的安全知识。.