200877010536周项勇--IPSec试验2008.doc

实验报告（ 第 周 ） 班级： 姓名： 学号： IPSec试验 实验要求：试验完毕，以自己的“学号+姓名”建立文件夹，保存到该文件夹并关闭文档，将文件夹上传到服务器82 实验目的： 1. 了解IPSec的概念 2. 掌握在Windows 2008 Server服务器上配置IPSec服务。 实验环境 学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。 试验原理 IPSec 协议不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系 结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证 及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密 钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。 IPSec 是一个标准框架，它在两个对等体之间的网络层上提供如下安全特性： ??数据的机密性 ??数据的完整性 ??数据验证 ??抗回放检测 ??对等体验证 IETF 在不同的FRC 中定义了IPSec 的标准，因为它在设备或网络之间提供了网络层 的保护，并且是一个开放的标准，所以它通常用于今天使用的IPv4 和IPv6 的网络。 关于 IPSec 具体信息可以参考我的博文“Cisco VPN 完全配置指南-IPSec”。 Windwos 服务器也支持IPSec 特性，特别是在windows server 2008 对IPSec 特性更 加强大。 在 Windows 2000 和 Windows Server 2003 中，当前部署早期的 IPSec 规则。早 期的 IPSec 规则由 policyagent 服务管理。这些 IPSec 规则是支持基于计算机的 Kerberos 身份验证、 x 509 证书或预共享密钥身份验证的 Internet 密钥交换 (IKE) 规 则。在IPSec 策略管理MMC 管理单元中配置这些 IPSec 规则。在 Windows 2000 中 相同的方式在和 Windows Server 2003 中，将应用基于 IKE 的 policyagent 规则。虽然 多个策略可应用于给定的计算机，仅能在最后一个策略应用的是成功。这根据最后编写器 入选方法。此外，IKE 策略设置不能合并。 在 Windows Server 2008 中使用连接安全规则部署IPSec。连接安全规则支持 IKE 称为经过身份验证的 IP (AuthIP) 的扩展。 AuthIP 添加了对以下身份验证机制的支持： ??交互式用户 Kerberos 凭据或交互式用户 NTLMv 2 凭据 ??用户 x 509 证书 ??计算机安全套接字层 (SSL) 证书 ??NAP 运行状况证书 ??匿名身份验证（可选身份验证） 可以配置安全规则为Windows 防火墙和高级的安全管理单元通过使用以下工具： ??基于域的组策略 ??具有高级安全性的 Windows 防火墙管理单元 请注意 在具有高级安全性的 Windows 防火墙管理单元是默认存储位置为可以通过 使用 wf.msc 命令访问的策略。 ??在本地组策略管理的中 (Gpedit.msc) ??netsh advfirewall 命令 试验内容 下面通过几个实验来验证其IPSec 的特性。 任务一、主机与主机的IPSec 通信 实验拓扑图: 虚拟网络配置: 学生机运行xp操作系统，安装虚拟机软件并运行2个server2008操作系统。 为本机安装1块Microsoft loopback adapter网卡： 虚拟网卡Microsoft loopback adapter，配置地址为配置地址10.x.y.254，子网掩码 。 学生机虚拟机1有1块网卡，网卡选择与Microsoft loopback adapter 连接。配置地址为配置地址10.x.y.1，子网掩码。其中xy为学号后三位，x为班号，y为序号。例如学号101，x为1，y为01。 学生机虚拟机2有1块网卡，网卡选择与Microsoft loopback adapter连接。 配置地址10.x.y.2，子网掩码。xy含义同上。 实验步骤 1.为配置完成后，需要对配置进行验证，需要window 防火墙允许ping 通过，先配置防 火墙允许ping 通过。 在管理工具——高级windows 防火墙——入站规则——选择回显请求-ICMPv4-IN—— 启动规则。这样允许了ping 通过。