实训五windows2003下IPSec隧道模式IKE主模式SA配置.doc

实训五、windows2003下IPSec隧道模式IKE主模式SA配置 一、实验目的 1）、理解IPSEC的基本原理；2）、掌握IPSEC安全通信的基本配置。 二、实验时数：2小时 三、实验环境 1）实验拓扑图 2）VMware 10以上的虚拟机、两台服务器系统为Windows server 2003、两台客户端系统为Linux或Windows系统； 3）要求在两台服务器上分别设置对内对外两块网卡，并在其中一台服务器上安装Wireshark等抓包软件； 4）VMware虚拟网络设计为： 四、实验内容 1）服务器和客户机的网络连通性配置 2）搭建IPSec VPN 3）在服务器上进行抓包分析IKE的协商过程 4）打开IP安全监控平台 五、实验步骤 （一）配置网络连通 Server A端的配置 更改网卡名字，分别设置为“wan”“lan” 2. 配置“wan”口和“lan”口IP地址如下： 3. 为主机A eth0网卡配置IP地址和网关 //客户机为Linux操作系统 在主机A上使用Ifconfig eth0 172.16.1.1/24命令配置网卡的IP地址 在主机A上使用 route add default gateway 172.16.1.254为eth0添加网关 4. 在Server A上添加对端私网的路由 5. 使用route print 命令查看路由表 6. 使用services.msc命令打开“服务”控制台 开启IPSEC Services服务 （2）开启Routing and Remote Access 服务 注意：开启Routing and Remote Access 后发现网络连接中多了一个“传入连接” Server B端的配置 1. 更改网卡名字，分别设置为“wan”“lan” 2. 配置“wan”口和“lan”口IP地址 （1）使用命令 netsh interface ip add add “wan”202.112.1.2 255.255.255.252配置“wan”口IP地址 （2）使用命令 netsh interface ip add add “lan” 192.168.2.254 255.255.255.0配置“lan”口IP地址 3. 为主机B eth0网卡配置IP地址和网关 （1）在主机B上使用Ifconfig eth0 192.168.2.1/24命令配置网卡的IP地址 （2）在主机B上使用 route add default gateway 192.168.2.254为eth0添加网关 4. 在Server B上添加对端私网的路由 5. 使用route print 命令查看路由表 6. 使用services.msc命令打开“服务”控制台 （1）开启IPsec Services服务 （2）开启Routing and Remote Access 服务 （二）搭建IPSec VPN Server A端的配置 1. 创建名字为“172—192”的安全策略 （IPSec policy） （1）使用secpol.msc命令打开本地安全设置，右击“点击IP安全策略，在本地计???机”创建新的安全策略。 （2）为安全策略命名为172—192，描述可以省略。 （3） 不激活默认响应规则：默认响应规则即默认IPSec SA ，当数据包进站或出站时，如果所有的安全规则都不匹配时 才使用的规则。 2. 新建安全规则，一个安全策略可以包含多条安全规则，多个安全规则形成SPD（安全规则数据库）。安全规则用于指定使用哪些方法保护哪些数据，其中哪些方法即IPSec SA。 一条安全规则包括： （1）设置隧道的终点，即VPN网关的对等体IP地址，指定和谁进行数据的保护。隧道式下需要指定隧道的终点，传输模式下不需要指定隧道终点； （2）设置IP筛选器列表，即指定需要被保护的数据。筛选器列表的属性包括：筛选器的名字、源地址、目的地址、协议类型、端口号； （3）设置IP筛选器操作，即IPsec SA，指定保护数据的方式；IPsec SA的属性包括：数据封装的协议类型、加密算法、SPI值等属性； （4）设置VPN网关与对等体进行认证的方式。认证方式包括：域认证、CA认证、预共享密钥认证。 （1）选择安全规则的工作模式：隧道模式。 注：一方面：由于隧道模式使用AH或ESP协议封装数据包的方式和传输模式封装数据包的方式不一样。所以隧道模式需要指定隧道的终结点，传输模式不需要指定隧道的终结点。 另一方面：按数据流的方向确定隧道的终结点（即IPsec VPN对等体的IP地址）。由于数据流的方向分为出VPN网关和进VPN网关两个方向，所以在创建安全规则时为了保证数据流能出得去又能进得来需要针对两个方向的数据流设置两条安全规则。这里