77010536周项勇IPSec试验Word格式文档下载.docx
- 文档编号:18890557
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:25
- 大小:2.48MB
77010536周项勇IPSec试验Word格式文档下载.docx
《77010536周项勇IPSec试验Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《77010536周项勇IPSec试验Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
及加密的一些算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密
钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
IPSec是一个标准框架,它在两个对等体之间的网络层上提供如下安全特性:
Ø
数据的机密性
数据的完整性
数据验证
抗回放检测
对等体验证
IETF在不同的FRC中定义了IPSec的标准,因为它在设备或网络之间提供了网络层
的保护,并且是一个开放的标准,所以它通常用于今天使用的IPv4和IPv6的网络。
关于IPSec具体信息可以参考我的博文“CiscoVPN完全配置指南-IPSec”。
Windwos服务器也支持IPSec特性,特别是在windowsserver2008对IPSec特性更
加强大。
在Windows2000和WindowsServer2003中,当前部署早期的IPSec规则。
早
期的IPSec规则由policyagent服务管理。
这些IPSec规则是支持基于计算机的
Kerberos身份验证、x509证书或预共享密钥身份验证的Internet密钥交换(IKE)规
则。
在"
IPSec策略管理"
MMC管理单元中配置这些IPSec规则。
在Windows2000中
相同的方式在和WindowsServer2003中,将应用基于IKE的policyagent规则。
虽然
多个策略可应用于给定的计算机,仅能在最后一个策略应用的是成功。
这根据"
最后编写器
入选"
方法。
此外,IKE策略设置不能合并。
在WindowsServer2008中使用连接安全规则部署IPSec。
连接安全规则支持IKE
称为经过身份验证的IP(AuthIP)的扩展。
AuthIP添加了对以下身份验证机制的支持:
交互式用户Kerberos凭据或交互式用户NTLMv2凭据
用户x509证书
计算机安全套接字层(SSL)证书
NAP运行状况证书
匿名身份验证(可选身份验证)
可以配置安全规则为"
Windows防火墙和高级的安全"
管理单元通过使用以下工具:
基于域的组策略
"
具有高级安全性的Windows防火墙"
管理单元
请注意在"
管理单元是默认存储位置为可以通过
使用wf.msc命令访问的策略。
在本地组策略管理的中(Gpedit.msc)
netshadvfirewall命令
试验内容
下面通过几个实验来验证其IPSec的特性。
任务一、主机与主机的IPSec通信
实验拓扑图:
虚拟网络配置:
1.学生机运行xp操作系统,安装虚拟机软件并运行2个server2008操作系统。
2.为本机安装1块Microsoftloopbackadapter网卡:
a)虚拟网卡Microsoftloopbackadapter,配置地址为配置地址10.x.y.254,子网掩码255.255.255.0。
3.学生机虚拟机1有1块网卡,网卡选择与Microsoftloopbackadapter连接。
配置地址为配置地址10.x.y.1,子网掩码255.255.255.0。
其中xy为学号后三位,x为班号,y为序号。
例如学号101,x为1,y为01。
4.学生机虚拟机2有1块网卡,网卡选择与Microsoftloopbackadapter连接。
配置地址10.x.y.2,子网掩码255.255.255.0。
xy含义同上。
实验步骤
1.为配置完成后,需要对配置进行验证,需要window防火墙允许ping通过,先配置防
火墙允许ping通过。
在管理工具——高级windows防火墙——入站规则——选择回显请求-ICMPv4-IN——
启动规则。
这样允许了ping通过。
如下图所示。
在另外一台服务器也采用相同的配置,打开防火墙的ping通过。
配置完成后,使用ping
命令测试一下是否能够通信。
把显示结果抓图粘贴到本列
由server1pingserver2的网卡10.x.y.2
由server2pingserver1的网卡10.x.y.1
2.选管理工具——高级windows防火墙——连接安全规则——右键新规则,如下图所示。
3.在新建连接安全规则向导中选择“隔离”,如下图所示。
点击一下步,选择“入站和出站连接要求身份验证”,如下图所示。
4.点击下一步,选择“高级”,然后点击“自定义”。
在自定义高级身份验证方法——第一身份验证方法——添加,
5.弹出如下对话框,选择预共享密钥,然后输入口令,如下图所示。
配置完成后,点击确定,点击下一步,选择应用此规则的配置文件,如下图所示。
6.点击下一步,为此规则命名,点击完成,则配置完成。
7.另外一台计算机也采用相同的配置。
配置完成后,可以从一台主机使用ping命令与对方主机进行通信,测试结果如下。
8.验证其通信是使用IPSec加密进行通信的,在管理工具——高级windows防
火墙——监视——安全关联——主模式或快速模式中可以查看其连接状态。
抓图如下
主模式
快速模式
任务二、站点与站点间的IPSecc通信
拓扑图如下所示。
学生机101
2.为本机安装2块Microsoftloopbackadapter网卡:
a)虚拟网卡Microsoftloopbackadapter,配置地址为配置地址10.x.y.1,子网掩码255.255.255.0,默认网关为10.x.y.100。
b)虚拟网卡Microsoftloopbackadapter2#,启用即可,做交换机用。
3.学生机虚拟机1有2块网卡,网卡1选择与Microsoftloopbackadapter连接。
配置地址为配置地址10.x.y.100,子网掩码255.255.255.0。
网卡2选择与Microsoftloopbackadapter2#连接。
配置地址10.3x.y.100,子网掩码255.255.255.0。
4.学生机虚拟机2有2块网卡,网卡1为Microsoftloopbackadapter网卡。
配置地址10.2x.y.200,子网掩码255.255.255.0。
配置地址10.3x.y.200,子网掩码255.255.255.0。
5.需要注意的是:
在这个实验中,需要在两台服务器上启用路由与远程访问,将其设置为LAN路由模式并添加静态路由,使用其具路由器功能。
(注:
添加rip协议受防火墙的影响,不好用,需要路由信息交换成功,验证个计算机可以ping通后再开启防火墙,)
1.配置路由器1,与上面例子一样,在防火墙上设置允许ping通过,以便进行测试,在管理工具——高级windows防火墙——连接安全规则——名键新规则,如下图所示。
2.在规则类型中选择“隧道”,如下图所示。
3.在隧道终结点中配置远程站点与本地站点的地址,首先配置本地站站点,点击添加,如
下图所示。
4.在终结点1中的计算机后点添加,输入本地站点的子网网段10.x.y.0/24,抓图如下。
5.然后在终结点2中的计算机后点添加,添加远程站点的子网网段10.2x.y.0/24,抓图如下。
6.然后输入本站点的网关(最接近终结点1中的计算机)10.3x.y.100和远程站点的网关(最接近终结点2中的计算机)10.3x.y.200,抓图如下。
7.在身份验证方法中选择预共享密钥方式(密钥123456),抓图如下。
8.配置规则应用的配置文件,如下图所示。
9.最后为此规则命名,点击完成,完成配置,如下图所示。
10.对端路由器2也采用相同的方式配置,配置完成后,可以采用ping命令和抓包的方法进
行验证。
由本机ping路由器2的网卡10.2x.y.200
11.验证其通信是使用IPSec加密进行通信的,在管理工具——高级windows防
需要注意的是:
在这个实验中,需要在两台服务器上启用路由与远程访问,将其
设置为LAN路由模式并添加静态路由(注:
添加rip协议受防火墙的影响,不好用),使用其具路由器功能。
任务三、使用组策略来实现IPSec通信(选作)
如下拓扑图所示,
此实验的目的实现客户端彼此之间通信需要使用IPSce加密。
1.首先需要安装服务器的操作系统和客户端的操作系统。
安装完成服务器的操作系统后需
要将其升为域控制器,本实验的域名为,并配置相应的DNS服务。
域控制器
配置完成后,需要将所有的客户端加入到域中,使用客户主机成为域成员计算机。
2.在域控制服务器上,开始——管理工具——组策略管理器,右键点击DefaultDomain
Policy,选择“编辑”,如下图所示。
3.打开组策略编辑器,选择计算机配置——windows设置——安全设置——高级安全
windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。
在连接安全规则向导——规则类型——选择“身份验证例外”点击下一步,如下图。
4.在免除计算机中输入要排除的IP地址,在本实验需要排除域控制器的地址和路由网关
的地址。
5.然后点击确定,点击下一步、下一步,为此策略命令。
如下图
。
6.点击完成,配置完成,如下图所示。
7.然后右键点击此策略,选择属性,如下图所示。
8.在计算机属性中,终结点1选择添加,输入不需要进行IPSec加密通信的网段,如下
图所示。
9.点击“确定”配置完成。
10.这时需要等待一段时间,需要域控制器将策略下发到成员计算机或服务器中,也可以使
用命令gpupdate/force进行强制下发策略。
11.一定要等到在成员服务器或客户端上看到此策略,如下图所示。
12.查看到每台成员服务器或计算机收到了此策略后,进行下一步配置。
13.打开组策略编辑器,选择计算机配置——window设置——安全设置——高级安全windows防火墙——右键点击“连接安全规则”——选择“新规则”,如下图所示。
14.在规则类型中选择“服务器到服务器”,如下图所示。
15.然后在终结点上需要配置需要IPSec加密通信的网段,如下图所示。
16.在要求中选择入站和出站连接要求身份验证,如下图。
17.在身份验证方法中,选择高级,并点击自定义,如下图。
18.点击添加,在自定义身份验证方法中选择计算机(kerverosV5)。
点击确定。
19.然后点击下一步,并为此策略命名。
这时会在组策略编辑器中看到两条规则,如下图所
示。
20.然后再等等一段时间,或再使用命令进行下发组策略,如下图所示。
21.当域控制器下发策略后,会在成员服务器或客户机上看到两条策略,如下图所示。
22.这时用一台主机去ping另外一台主机,如下图所示。
23.可以在管理工具——高级windows防火墙——监视——安全关联——主模式或快速模
式中可以查看到其连接状态。
也可以使用抓包工具采集数据包进行验证,在这里就不重复此
过程。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 77010536 周项勇 IPSec 试验