IPV6安全技术.docVIP

实验十二 IPv6安全技术 【实验目的】 了解IPv6在安全方面的优势 理解IPSec的作用，掌握IPSec的两种传输方式 掌握AH协议、ESP协议的报文格式及工作原理 掌握在Windows系统下配置IPSec的方法 【实验步骤】 按照网络结构三连接网络，使用拓扑验证检查连接的正确性。 本实验将主机A、B分成一组；主机C、D分成一组；主机E、F分成一组。现以主机A、B为例，进行实验过程描述。 练习一：使用IPSec（传输方式下使用AH协议） 主机A、B启动协议分析器(IPv6版)并开始进行数据捕获。 在主机A上，创建空安全联盟文件（.sad）和安全策略文件（.spd）。 方法：在命令行下，输入命令ipsec6 s TransportAH（从而在当前目录下创建了 TransportAH.sad和TransportAH.spd。可在命令行方式下，使用dir命令查看）。 在主机A上，使用文本编辑器编辑spd文件（可从服务器上下载该文件 lab6/courseware6/12/policy.spd，进行参考）。 方法：在命令行方式下输入：notepad TransportAH.spd；并参照示例文件的内容 编辑TransportAH.spd。 下面是一个编辑TransportAH.spd的例子： 使用地址本工具，获取主机A、B的链路本地地址； 设主机A的链路本地地址为fe80::20d:87ff:fedb:e7dc； 主机B的链路本地地址为fe80::20d:87ff:fedb:990； 则TransportAH.spd的内容如下： 在主机A上，编辑sad文件（可从服务器上下载该文件 lab6/courseware6/12/policy.sad，进行参考）。 方法：在命令行方式下输入：notepad TransportAH. sad；并参照示例文件的内容 编辑TransportAH. sad。 下面是一个编辑TransportAH.sad的例子： TransportAH.sad的内容如下： 在主机A上，创建一个名为Key.key的文件（与TransportAH.sad、 TransportAH.spd在同一目录下），其内容为“This is a KeyFile”。 在主机B上，按照步骤2-步骤5的方法，创建TransportAH.sad、 TransportAH.spd、Key.key（内容不变）。 主机B的TransportAH.spd内容为： 主机B的TransportAH.sad内容为： 在主机A上，使用命令ipsec6 L将位于.spd和.sad文件中的已配置的安全策 略和SA添加到协议中。 方法：在命令行下，输入命令：ipsec6 L TransportAH。 在主机B上，输入命令：ipsec6 L TransportAH。 在主机A上，ping主机B的链路本地地址+%主机A的物理接口索引值。 停止主机A、B的数据捕获并分析捕获的数据： 保存“身份验证（AH）”会话。 在“身份验证（AH）”会话中，逐个观察AH数据包。 在IPv6层，字段“下一个报头”值为_51__；“源IP地址”为_ FEC0:0000:0000:0001:0288:99FF:FEA0:1A6D“目的IP地址”为_ FEC0:0000:0000:0001:0288:99FF:FEA0:1AB2 _. 在身份验证报头层中，字段“下一个报头”值为__58___；“安全参数索引”为__3001___，该值来源于何处TransportAH.sad？“序列号”为__6__，该字段的作用是什么？ 在主机A、B上，输入如下命令： ipsec6 d sp 2 ipsec6 d sa 1 ipsec6 d sa 2 练习二：使用IPSec（传输方式下使用ESP协议） 主机A、B启动协议分析器(IPv6版)并开始进行数据捕获。 按照练习一的步骤2-步骤8的方法，在主机A、B上，创建并配置安全联盟文件 （.sad）和安全策略文件（.spd）。 修改之处有： 安全联盟文件为TransportESP.sad（其内容与TransportAH.sad相同）； 安全策略文件为TransportESP.spd； TransportESP.spd的内容变化之处是将IPSecProtocol的值由AH改为ESP，其他 地方不变。 在主机A上，ping主机B的链路本地地址%主机A的物理接口索引值。 停止主机A、B的数据捕获并分析捕获的数据： 保存“数据加密（ESP）”会话。 在“数据加密（ESP）”会话中，逐个观察ESP数据包。 在IPv6层，字段“下一个报头”值为_50_；“源IP地址”为__ FEC0:0000:0000:0001:0288:99FF:FEA0:1A6D_；“目的IP地址