实训五、windows2003下IPSec隧道模式IKE主模式SA配置

配置采用IKE方式建立SA示例（预共享密钥）组网需求如图7-2所示，组网需求如下：●Host1与Host2之间进行安全通信，在SRG A与SRG B之间使用IKE自动协商建立安全通道。

●IKE验证方式为预共享密钥。

图7-2 采用IKE方式建立SA配置示例组网图（预共享密钥）配置步骤步骤1配置SRG A# 进入系统视图。

<SRG> system-view# 配置本端设备的名称。

[SRG] sysname SRG A# 创建编号为2的VLAN。

[SRG A] vlan 2[SRG A-vlan2] quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。

[SRG A] interface Ethernet 1/0/0[SRG A-Ethernet1/0/0] port link-type access[SRG A-Ethernet1/0/0] port access vlan 2[SRG A-Ethernet1/0/0] quit# 配置VLAN接口。

[SRG A] interface vlanif 2[SRG A-Vlanif2] ip address 200.39.1.1 24# 关闭VLAN接口的快速转发功能。

[SRG A-Vlanif2] undo ip fast-forwarding qff[SRG A-Vlanif2] quit# 配置VLAN 2加入Trust区域。

[SRG A] firewall zone trust[SRG A-zone-trust] add interface Vlanif 2[SRG A-zone-trust] quit# 进入Ethernet 0/0/0视图。

[SRG A] interface Ethernet 0/0/0# 配置Ethernet 0/0/0的IP地址。

[SRG A-Ethernet0/0/0] ip address 202.39.160.1 16# 关闭接口的快速转发功能。

简述ipsec的配置方法
IPsec（Internet Protocol Security）是一种用于在网络层提供安全性的协议。

它
可以用于保护网络通信的机密性、完整性和身份验证。

以下是IPsec的配置方法的
简述：
首先，要配置IPsec，您需要了解两个主要组件：安全关联（SA）和安全策略
数据库（SPD）。

安全关联（SA）包含了通信设备之间进行加密和解密操作所需的密钥和算法。

配置SA时，您需要确定以下参数：身份验证算法、加密算法、完整性算法和密钥
协商协议。

这些参数的选择应基于您的安全需求和网络设备的性能。

其次，安全策略数据库（SPD）定义了数据包的处理方式。

配置SPD时，您需要确定以下参数：源IP地址、目标IP地址、协议类型、源端口、目标端口、安全
策略（如加密、完整性等）和操作（如加密、解密等）。

这些参数将根据您的需求来定义通信设备如何处理进出的数据包。

然后，您需要在通信设备上配置IPsec的参数。

这通常涉及编辑配置文件或通
过设备管理界面进行设置。

您需要指定SA和SPD的参数，并确保设备上的IPsec
配置与其他设备保持一致。

最后，在IPsec的配置完成后，您需要测试配置的有效性。

您可以通过发送IPsec加密的数据包来验证实施了IPsec的通信设备之间的通信。

确保配置正确，并在需要时进行必要的调整。

总结一下，配置IPsec的步骤包括了了解SA和SPD的参数选择、设备参数配
置和测试验证。

通过正确配置IPsec，您可以提供网络通信的机密性、完整性和身
份验证，从而确保网络通信的安全。

实训五、windows2003下IPSec隧道模式IKE主模式SA配置一、实验目的1）、理解IPSEC的基本原理；2）、掌握IPSEC安全通信的基本配置。

二、实验时数：2小时三、实验环境1）实验拓扑图2）VMware 10以上的虚拟机、两台服务器系统为Windows server 2003、两台客户端系统为Linux或Windows系统；3）要求在两台服务器上分别设置对内对外两块网卡，并在其中一台服务器上安装Wireshark等抓包软件；4）VMware虚拟网络设计为：四、实验内容1）服务器和客户机的网络连通性配置2）搭建IPSec VPN3）在服务器上进行抓包分析IKE的协商过程4）打开IP安全监控平台五、实验步骤（一）配置网络连通Server A端的配置1.更改网卡名字，分别设置为“wan”“lan”2. 配置“wan”口和“lan”口IP地址如下：3. 为主机A eth0网卡配置IP地址和网关//客户机为Linux操作系统在主机A上使用Ifconfig eth0 172.16.1.1/24命令配置网卡的IP地址在主机A上使用 route add default gateway 172.16.1.254为eth0添加网关4. 在Server A上添加对端私网的路由5. 使用route print 命令查看路由表6. 使用services.msc命令打开“服务”控制台（1）开启IPSEC Services服务（2）开启Routing and Remote Access 服务注意：开启Routing and Remote Access 后发现网络连接中多了一个“传入连接”Server B端的配置1. 更改网卡名字，分别设置为“wan”“lan”2. 配置“wan”口和“lan”口IP地址（1）使用命令 netsh interface ip add add “wan”202.112.1.2 255.255.255.252配置“wan”口IP地址（2）使用命令 netsh interface ip add add “lan” 192.168.2.254 255.255.255.0配置“lan”口IP地址3. 为主机B eth0网卡配置IP地址和网关（1）在主机B上使用Ifconfig eth0 192.168.2.1/24命令配置网卡的IP地址（2）在主机B上使用 route add default gateway 192.168.2.254为eth0添加网关4. 在Server B上添加对端私网的路由5. 使用route print 命令查看路由表6. 使用services.msc命令打开“服务”控制台（1）开启IPsec Services服务（2）开启Routing and Remote Access 服务（二）搭建IPSec VPNServer A端的配置1. 创建名字为“172—192”的安全策略（IPSec policy）（1）使用secpol.msc命令打开本地安全设置，右击“点击IP安全策略，在本地计算机”创建新的安全策略。

客户端隧道配置
一、基本配置
开启IPsec VPN功能，进行相应的基本设置，预共享密钥设置是IKE配置的默认密钥，可修改。

二、客户端隧道配置
步骤一、VPN规则设置
首先配置VPN规则，设置客户端隧道的地址类型以及本对端所保护的网络和协议。

步骤二、IKE配置
然后配置IKE，类型为客户端隧道，可修改相应的预共享密钥。

步骤三、客户端隧道配置
在客户端隧道配置界面选择相应的网络端口、IKE及VPN规则。

三、IPsec VPN用户配置
步骤一、新建地址组
VPN设备会向IPsec VPN客户端为推送配置，地址组地址为客户端提供虚拟的ip地址。

步骤二、添加用户组
在用户管理界面选择‘添加地址组’，地址组设置界面选择‘接入方式’为IPsecVPN，绑定客户端隧道及相应的地址组。

步骤三、新建用户
进入IPsec VPN用户组，添加用户、认证口令等即可。

四、测试验证
（1）、客户端
1、用户登录
登录VPN设备的虚拟门户地址，建立IPsec VPN客户端隧道需要在PC处下载VPN客户端驱动，VPN设备支持自动推送安装客户端也可以手动下载安装。

2、VPN客户端托盘
用户登陆后会有安装启用VPN客户端的过程，点开VPN客户端托盘，在VPN客户端托盘上可查看加密认证算法、客户端隧道保护网络（本处保护的为一主机地址）及隧道内的流量统计。

（2）、VPN设备
客户端隧道建立成功后可在VPN设备上对隧道进行监控。

基于Windows 2003的IPSec 实验1、IPSec 简介：IPSec实际上是一套协议包而不是单个的协议，IPSec是在IP网络上保证安全通信的开放标准框架，它在IP层提供数据源验证、数据完整性和数据保密性。

其中比较重要的有RFC2409 IKE（Internet Key Exchange）互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH（Authentication Header）验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。

IPSec独立于密码学算法，这使得不同的用户群可以选择不同一套安全算法。

IPSec主要由AH（认证头）协议，ESP（封装安全载荷）协议以及负责密钥管理的IKE（因特网密钥交换）协议组成。

AH为IP数据包提供无连接的数据完整性和数据源身份认证。

数据完整性通过消息认证码（如MD5、SHA1）产生的校验值来保证，数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。

ESP为IP数据包提供数据的保密性（通过加密机制）、无连接的数据完整性、数据源身份认证以及防重防攻击保护。

AH和ESP可以单独使用，也可以配合使用，通过组合可以配置多种灵活的安全机制。

密钥管理包括IKE协议和安全联盟SA（Security Association）等部分。

IKE 在通信双方之间建立安全联盟，提供密钥确定、密钥管理机制，是一个产生和交换密钥材料并协商IPSec参数的框架。

IKE将密钥协商的结果保留在SA中，供AH和ESP通信时使用。

2、实验环境：本例主要介绍的是基于IPSec的VPN中网关到网关的模拟环境配置步骤。

其中地址均为假设的。

图示如下图1，所需环境为：两台安装Windows 2003 Server的PC机，分别安装两块网卡，我们称其为A机和B机，A机所在私有地址段为192.168.5.0/255.255.255.0，互联网端网卡IP地址为202.1.1.1/255.255.255.0 ，B机所在私有地址段为192.168.6.0/255.255.255.0 , 互联网端网卡IP地址为202.1.1.2/255.255.255.0，用一交叉网线直连A、B两机模拟互联网，另外一台内网PC机地址192.168.6.2/255.255.255.0，称为C机。

Windows Server 2003上实验IPSec 隧道模式实验目的：界面直观，深入理解IPSec 的实现原理、验证IPSec 相关理论、掌握IPSec 的配置及诊断技巧和方法。

实验设备：2台安装有Windows Server 2003 PC 或服务器（WinA 和WinB ）。

请同学按照下面的步骤完成本实验。

一、准备工作：WinA 的IP ：202.168.0.103 子网掩码：255.255.255.0WinB 的IP ：202.168.0.104 子网掩码：255.255.255.0准备两台运行Windows Server 2003操作系统的服务器，并按如下图所示进行连接、配置相应IP 地址。

二、配置WINA 的IPSec 隧道模式1. 建立新的IPSec 策略1）选择“开始”→“程序”→“管理工具”→“本地安全策略”菜单，打开“本地安全设置”对话框。

2）右击“IP 安全策略，在本地机器”，选择“创建IP 安全策略”，当出现向导时单击“下一步”继续。

3）为新的IP 安全策略命名并填写策略描述，单击“下一步”继续。

4）取消选择“激活默认响应规则”复选框不接受默认值，单击“下一步”继续。

5）保留“编辑属性”的选择，单击”完成”按钮完成IPSec 隧道模式的初步配置。

2. 添加新IP 安全策略*** 隧道模式中，规则是成对出现的，即是有出的方向，也有入的方向。

保证数据既要出去，还要回来。

即是要建两条筛选器列表规则。

* 先建立出方向的规则：单击“添加”按钮。

出现“安全规则向导”对话框，单击“下一步”继续。

3. 设置“隧道终结点”WINA WINB IP ：202.168.0.103 IP ：202.168.0.104续。

4. 设置“网络类型”选择“所有网络连接”，单击“下一步”继续。

5. IP筛选器列表1）单击“添加”按钮，出现“IP筛选器列表”对话框。

2）为新的IP筛选器列表命名并填写描述，单击“添加”按钮。

一、传输模式的实现1.启动vmware，建立两个windows server 2003虚拟机2.IP1:192.168.72.128 IP2:192.168.72.132. 新建本地安全策略 IP安全策略-1（用作IPSec传输模式）13编辑安全策略-1的属性,新建IP安全规则4.设置安全规则的模式（传输模式）5.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表7.设置源地址为我的IP地址，目标地址为192.168.72.1318添加筛选器操作，选用不同的加密模式9.设置共享密钥的密码。

10.完成，设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息11.完成后，指派当前的安全策略。

12.在另一台机器上新建安全策略，将源地址和目标地址分别设为本机和192.168.72.128，设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相通不指派查看结果.13.14.指派一方IP策略查看结果15.双方指派IP策略查看结果二、隧道模式的实现1.添加两个筛选器列表2.采用同样的方式设置筛选器列表in和筛选器列表out的操作3.不同的地方是，指定IP为192.168.72.128，out策略的隧道终点的IP地址为192.168.72.1314. In策略的隧道终点为本身IP，指定IP为192.168.72.131，out策略的隧道终点的IP地址为192.168.72.128 In策略的隧道终点为本身IP5.6.同时设置筛选器目标地址和源地址的IP规则：IP：192.168.72.128 筛选器out 源地址：本身目标地址：192.168.72.131筛选器in 源地址：192.168.72.131 目标地址：本身IP：192.168.72.131 筛选器out 源地址：本身目标地址：192.168.72.128筛选器in 源地址：192.168.72.128 目标地址：本身指派双方的安全策略，查看结二. 抓包分析isakmp协议过程A. 第一阶段主模式原理分析MM 模式下：6个包1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2 包：双方互相提供可以实现的Isakmp参数包括下面的内容1 对端ip2 authentication 方式：presharekey CA 等3 加密类型des 3des aes4 hash md5 sha-15 DH 1,2.73-4 包通过DH算法产生可以密钥1 给isakmp phase 1 阶段使用2 给ISakmap phase2 阶段使用5-6 包验证对等体的身份,建立isakmp sa1 共享密钥2 CA3 NO-nonceMM模式下要配置参数在1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥2 authentication 方式：presharekey CA 等3 加密类型des 3des aes4 hash md5 sha-15 DH 1,2.7第1-2个数据包1.作用（1）通过数据包源地址确认对端体的和合法性。

IPSec使用方法：配置和启用IPSec的步骤详解引言：随着互联网的快速发展，网络安全问题日益突出。

为了保护网络通信的隐私性和完整性，IPSec（Internet Protocol Security）成为一种常见的网络安全协议。

IPSec提供了加密和验证的功能，确保数据的安全传输。

本文将详细介绍IPSec的配置和启用步骤，帮助读者理解和使用IPSec。

一、基础知识在开始配置和启用IPSec之前，有一些基础知识需要了解。

首先，IPSec由两个重要的协议组成：AH（Authentication Header）和ESP （Encapsulating Security Payload）。

AH提供数据的完整性和源认证，而ESP提供数据的加密。

其次，IPSec可以应用在两个主要的模式下：传输模式和隧道模式。

传输模式只对数据报进行加密和验证，而隧道模式对整个IP包进行加密和验证。

最后，IPSec通常需要使用密钥来加密和解密数据，这些密钥可以通过预共享密钥、证书或Internet密钥交换（IKE）协议来生成。

二、配置IPSec下面是配置IPSec的步骤：1. 确认操作系统支持IPSec：首先，需要确保你正在使用的操作系统支持IPSec协议。

大多数现代操作系统都支持IPSec，如Windows、Linux和macOS等。

2. 安装IPSec软件：如果你的操作系统没有预先安装IPSec软件，你需要手动安装它。

IPSec软件有很多选择，如StrongSwan、OpenSwan和Libreswan等。

从官方网站下载并按照说明进行安装。

3. 配置IPSec策略：在安装完成后，需要配置IPSec的策略。

策略包括加密算法、身份验证方法和网络拓扑等。

请根据你的需求进行配置。

4. 生成密钥：IPSec需要使用正确的密钥来加密和解密数据。

你可以选择使用预共享密钥、证书或IKE协议来生成密钥。

确保生成的密钥足够安全并妥善保存。

三、启用IPSec下面是启用IPSec的步骤：1. 启动IPSec服务：在配置完成后，需要启动IPSec服务。

-----------IKE配置----------------IPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。

Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。

一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。

SA是单向的；在两个对等端之间存在两个SA。

IKE使用UDP端口500进行协商，确保端口500不被阻塞。

配置的完整过程：(注：命令行前的文字用于标明当前的配置模式)红色字体为必须进行的配置1、（可选）启用或者禁用IKE(global)crypto isakmp enable或者(global)no crypto isakmp enable默认在所有接口上启动IKE2、创建IKE策略(1)定义策略(global)crypto isakmp policy priority注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅(2)（可选）定义加密算法(isakmp)encryption {des | 3des}加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)(3)（可选）定义散列算法(isamkp)hash {sha | md5}默认sha(4)（可选）定义认证方式(isamkp)authentication {rsa-sig | rsa-encr | pre-share}rsa-sig 要求使用CA并且提供防止抵赖功能；默认值rsa-encr 不需要CA，提供防止抵赖功能pre-share 通过手工配置预共享密钥(5)（可选）定义Diffie-Hellman标识符(isakmp)group {1 | 2}注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。