实验十一链路层加密实验摘要.docVIP

实验十一 链路层加密实验 实验所属系列：网络安全综合实验系列 实验对象： 本科 实验时数（学分）： 学时 实验开发教师：谌黔燕 【实验目的】 了解链路层加密及IPSec协议的工作原理。 了解加密卡在链路层加密中的原理及作用。 掌握在路由器中用加密卡实现链路层加密的配置方法。 【实验内容】 1、建立实验网络环境，以便在路由器A和路由器B之间建立一个安全隧道,通过对加密卡进行相应配置，实现PC A代表的子网（192.168.1.0/24）与PC B代表的子网（192.168.2.0/24）之间的数据流的安全保护。 2、分别对两台路由器进行配置，配置要求为：使用IKE协商方式建立安全联盟，安全协议采用ESP协议，加密算法采用DES，认证算法采用sha1-hmac-96。 3、验证实验结果。 【实验环境】 个人计算机两台，安装WIN 2000 Pro/XP。 华为AR 28-09路由器两台。 交叉网线三条。 Console配置线一条。 【实验参考步骤】 按以下拓扑结构组网。 2、规划网络地址信息 3、按实验一方法进入“超级终端”状态，建立网络配置环境。 4、对路由器A进行加密设置 （1）更改路由器名称 sysname RouteA （2）创建一条IKE提议1 ike proposal 1 （3）指定IKE安全提议采用的加密算法为CBC模式的3DES算法。 encryption-algorithm 3des-cbc （4）指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组 dh group2 （5）指定IKE提议的认证算法为MD5 authentication-algorithm md5 （6）配置ike对等体为routerb， ike协商所使用的身份认证字为huawei。对端ip 为20.1.1.2 ike peer routerb pre-shared-key huawei remote-address 20.1.1.2 （7）创建名为1的加密卡安全协议并进入其视图。使用槽位1/0并设定提议采用ESP 3DES加密算法。 ipsec card-proposal 1 use encrypt-card 1/0 esp encryption-algorithm 3des （8）创建一条安全策略, 协商方式为ISAKMP。 ipsec policy policy1 1 isakmp （9）引用3000号访问控制列表。 security acl 3000 (10)引用IKE对等体 ike-peer routerb (12) 引用安全提议1 proposal 1 (13)进入Ethernet0/0配置视图, 配置Ethernet0/0的ip地址 interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 (14)进入Ehthernet2/0配置视图, 配置Ethernet2/0的ip地址为 interface Ethernet2/0 ip address 20.1.1.1 255.255.255.252 (15)在串口上应用安全策略组。使用easy-ip的特性，地址转换时，使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。 nat outbound 3001 ipsec policy policy1 （16） 配置一个访问控制列表，定义由子网192.168.1.x去子网192.168.2.x的数据流。 acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (17) 创建访问控制列表，以拒绝指定PC之间的IP通信。 acl number 3001 rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 1 permit ip （18）指定静态路由 ip route-static 0.0.0.0 0.0.0.0 20.1.1.2 （19）保存配置 save 5、对路由器B进行加密设置 （1）更改路由器名称 sysname RouteB （2）创建一条IKE提议1 ike proposal 1 （3）以下命令用来指定IKE安全提议采用的加密算法为CBC模式的3DES算法。 encryption-algorithm 3des-cbc （4）指定阶段1密钥协商时采用1024-bit的Diffie