实训五windows2003下IPSec隧道模式IKE主模式SA配置

配置采用IKE方式建立SA示例（预共享密钥）组网需求如图7-2所示，组网需求如下：●Host1与Host2之间进行安全通信，在SRG A与SRG B之间使用IKE自动协商建立安全通道。

●IKE验证方式为预共享密钥。

图7-2 采用IKE方式建立SA配置示例组网图（预共享密钥）配置步骤步骤1配置SRG A# 进入系统视图。

<SRG> system-view# 配置本端设备的名称。

[SRG] sysname SRG A# 创建编号为2的VLAN。

[SRG A] vlan 2[SRG A-vlan2] quit# 配置Ethernet 1/0/0的链路类型并加入VLAN。

[SRG A] interface Ethernet 1/0/0[SRG A-Ethernet1/0/0] port link-type access[SRG A-Ethernet1/0/0] port access vlan 2[SRG A-Ethernet1/0/0] quit# 配置VLAN接口。

[SRG A] interface vlanif 2[SRG A-Vlanif2] ip address 200.39.1.1 24# 关闭VLAN接口的快速转发功能。

[SRG A-Vlanif2] undo ip fast-forwarding qff[SRG A-Vlanif2] quit# 配置VLAN 2加入Trust区域。

[SRG A] firewall zone trust[SRG A-zone-trust] add interface Vlanif 2[SRG A-zone-trust] quit# 进入Ethernet 0/0/0视图。

[SRG A] interface Ethernet 0/0/0# 配置Ethernet 0/0/0的IP地址。

[SRG A-Ethernet0/0/0] ip address 202.39.160.1 16# 关闭接口的快速转发功能。

课程名称实验二：IPSec VPN配置（隧道+传输）实验报告目录一、实验名称 (1)二、实验目标 (1)二、实验内容 (1)1.IPsec安全协议AH与ESP有什么区别？ (1)2.IPsec安全的优点缺点？ (1)三、实验步骤 (2)一、传输模式的实现 (2)二、隧道模式的实现 (21)四、实验遇到的问题及其解决方法 (27)五、实验结论 (27)一、实验名称IPSec VPN配置二、实验目标理解IPSec协议原理。

掌握windows server 2003基于IPsec隧道模式和传输的站点到站点VPN配置。

二、实验内容1.IPsec安全协议AH与ESP有什么区别？1、AH没有ESP的加密特性2、AH的authtication是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如type of service（TOS），flags，fragment offset，TTL以及header checksum.所以这些值在进行authtication前要全部清零。

否则hash会mismatch导致丢包。

相反，ESP是对部分数据包做authentication，不包括IP头部分。

2.IPsec安全的优点缺点？优点● IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议；● IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的；● IPSec VPN网关一般整合了网络防火墙的功能；● IPSec客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。

不足● IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSecVPN的客户端程序；● IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；● IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂；● IPSec安全性能高，但通信性能较低；●实际全面支持的系统比较少。

-----------IKE配置----------------IPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。

Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。

一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。

SA是单向的；在两个对等端之间存在两个SA。

IKE使用UDP端口500进行协商，确保端口500不被阻塞。

配置的完整过程：(注：命令行前的文字用于标明当前的配置模式)红色字体为必须进行的配置1、（可选）启用或者禁用IKE(global)crypto isakmp enable或者(global)no crypto isakmp enable默认在所有接口上启动IKE2、创建IKE策略(1)定义策略(global)crypto isakmp policy priority注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅(2)（可选）定义加密算法(isakmp)encryption {des | 3des}加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)(3)（可选）定义散列算法(isamkp)hash {sha | md5}默认sha(4)（可选）定义认证方式(isamkp)authentication {rsa-sig | rsa-encr | pre-share}rsa-sig 要求使用CA并且提供防止抵赖功能；默认值rsa-encr 不需要CA，提供防止抵赖功能pre-share 通过手工配置预共享密钥(5)（可选）定义Diffie-Hellman标识符(isakmp)group {1 | 2}注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。

简述ipsec的配置方法
IPsec（Internet Protocol Security）是一种用于在网络层提供安全性的协议。

它
可以用于保护网络通信的机密性、完整性和身份验证。

以下是IPsec的配置方法的
简述：
首先，要配置IPsec，您需要了解两个主要组件：安全关联（SA）和安全策略
数据库（SPD）。

安全关联（SA）包含了通信设备之间进行加密和解密操作所需的密钥和算法。

配置SA时，您需要确定以下参数：身份验证算法、加密算法、完整性算法和密钥
协商协议。

这些参数的选择应基于您的安全需求和网络设备的性能。

其次，安全策略数据库（SPD）定义了数据包的处理方式。

配置SPD时，您需要确定以下参数：源IP地址、目标IP地址、协议类型、源端口、目标端口、安全
策略（如加密、完整性等）和操作（如加密、解密等）。

这些参数将根据您的需求来定义通信设备如何处理进出的数据包。

然后，您需要在通信设备上配置IPsec的参数。

这通常涉及编辑配置文件或通
过设备管理界面进行设置。

您需要指定SA和SPD的参数，并确保设备上的IPsec
配置与其他设备保持一致。

最后，在IPsec的配置完成后，您需要测试配置的有效性。

您可以通过发送IPsec加密的数据包来验证实施了IPsec的通信设备之间的通信。

确保配置正确，并在需要时进行必要的调整。

总结一下，配置IPsec的步骤包括了了解SA和SPD的参数选择、设备参数配
置和测试验证。

通过正确配置IPsec，您可以提供网络通信的机密性、完整性和身
份验证，从而确保网络通信的安全。

实训五、windows2003下IPSec隧道模式IKE主模式SA配置一、实验目的1）、理解IPSEC的基本原理；2）、掌握IPSEC安全通信的基本配置。

二、实验时数：2小时三、实验环境1）实验拓扑图2）VMware 10以上的虚拟机、两台服务器系统为Windows server 2003、两台客户端系统为Linux或Windows系统；3）要求在两台服务器上分别设置对内对外两块网卡，并在其中一台服务器上安装Wireshark等抓包软件；4）VMware虚拟网络设计为：四、实验内容1）服务器和客户机的网络连通性配置2）搭建IPSec VPN3）在服务器上进行抓包分析IKE的协商过程4）打开IP安全监控平台五、实验步骤（一）配置网络连通Server A端的配置1.更改网卡名字，分别设置为“wan”“lan”2. 配置“wan”口和“lan”口IP地址如下：3. 为主机A eth0网卡配置IP地址和网关//客户机为Linux操作系统在主机A上使用Ifconfig eth0 172.16.1.1/24命令配置网卡的IP地址在主机A上使用 route add default gateway 172.16.1.254为eth0添加网关4. 在Server A上添加对端私网的路由5. 使用route print 命令查看路由表6. 使用services.msc命令打开“服务”控制台（1）开启IPSEC Services服务（2）开启Routing and Remote Access 服务注意：开启Routing and Remote Access 后发现网络连接中多了一个“传入连接”Server B端的配置1. 更改网卡名字，分别设置为“wan”“lan”2. 配置“wan”口和“lan”口IP地址（1）使用命令 netsh interface ip add add “wan”202.112.1.2 255.255.255.252配置“wan”口IP地址（2）使用命令 netsh interface ip add add “lan” 192.168.2.254 255.255.255.0配置“lan”口IP地址3. 为主机B eth0网卡配置IP地址和网关（1）在主机B上使用Ifconfig eth0 192.168.2.1/24命令配置网卡的IP地址（2）在主机B上使用 route add default gateway 192.168.2.254为eth0添加网关4. 在Server B上添加对端私网的路由5. 使用route print 命令查看路由表6. 使用services.msc命令打开“服务”控制台（1）开启IPsec Services服务（2）开启Routing and Remote Access 服务（二）搭建IPSec VPNServer A端的配置1. 创建名字为“172—192”的安全策略（IPSec policy）（1）使用secpol.msc命令打开本地安全设置，右击“点击IP安全策略，在本地计算机”创建新的安全策略。

IPSec使用方法：配置和启用IPSec的步骤详解IPSec（Internet协议安全性）是一种用于保护网络通信的协议，可以提供数据的加密和认证。

本文将详细介绍IPSec的使用方法，包括配置和启用IPSec的步骤。

一、IPSec简介IPSec是一种网络层协议，用于提供端到端的安全性。

它可以在网络层对数据进行加密和认证，确保数据在传输过程中的安全性和完整性。

通过使用IPSec，用户可以安全地在互联网等不安全的环境下进行数据传输。

二、配置IPSec的步骤1. 确定安全策略在配置IPSec之前，需要确定安全策略，包括需要保护的数据、通信双方的身份验证方式、加密算法、认证算法等。

安全策略可以根据具体的需求进行调整。

2. 配置IPSec隧道IPSec隧道是安全通信的通道，需要配置隧道以实现加密和认证。

配置IPSec隧道时，需要配置以下内容：a. 选择加密算法：可以选择AES、3DES等加密算法。

b. 选择认证算法：可以选择HMAC-SHA1、HMAC-MD5等认证算法。

c. 配置密钥：需要配置加密和认证所需的密钥。

3. 配置IPSec策略IPSec策略用于控制哪些通信需要进行加密和认证。

配置IPSec策略时，需要指定以下内容：a. 源地址和目标地址：指定通信双方的IP地址。

b. 安全协议：指定使用的安全协议，可以选择AH或ESP。

c. 安全关联（SA）：指定使用的加密算法、认证算法和密钥。

4. 配置密钥管理密钥管理是IPSec中非常重要的一部分，用于生成和管理加密和认证所需的密钥。

密钥可以手动配置，也可以通过密钥管理协议（如IKE）自动配置。

5. 启用IPSec完成上述配置后，可以启用IPSec。

启用IPSec时，需要将配置应用到网络设备上，以确保IPSec正常工作。

具体操作可以参考相关网络设备的文档。

三、启用IPSec的注意事项在启用IPSec之前，需要注意以下事项：1. 配置的一致性：配置IPSec时，需要确保各个网络设备的配置是一致的，以确保IPSec能够正常工作。

客户端隧道配置
一、基本配置
开启IPsec VPN功能，进行相应的基本设置，预共享密钥设置是IKE配置的默认密钥，可修改。

二、客户端隧道配置
步骤一、VPN规则设置
首先配置VPN规则，设置客户端隧道的地址类型以及本对端所保护的网络和协议。

步骤二、IKE配置
然后配置IKE，类型为客户端隧道，可修改相应的预共享密钥。

步骤三、客户端隧道配置
在客户端隧道配置界面选择相应的网络端口、IKE及VPN规则。

三、IPsec VPN用户配置
步骤一、新建地址组
VPN设备会向IPsec VPN客户端为推送配置，地址组地址为客户端提供虚拟的ip地址。

步骤二、添加用户组
在用户管理界面选择‘添加地址组’，地址组设置界面选择‘接入方式’为IPsecVPN，绑定客户端隧道及相应的地址组。

步骤三、新建用户
进入IPsec VPN用户组，添加用户、认证口令等即可。

四、测试验证
（1）、客户端
1、用户登录
登录VPN设备的虚拟门户地址，建立IPsec VPN客户端隧道需要在PC处下载VPN客户端驱动，VPN设备支持自动推送安装客户端也可以手动下载安装。

2、VPN客户端托盘
用户登陆后会有安装启用VPN客户端的过程，点开VPN客户端托盘，在VPN客户端托盘上可查看加密认证算法、客户端隧道保护网络（本处保护的为一主机地址）及隧道内的流量统计。

（2）、VPN设备
客户端隧道建立成功后可在VPN设备上对隧道进行监控。

基于Windows 2003的IPSec 实验1、IPSec 简介：IPSec实际上是一套协议包而不是单个的协议，IPSec是在IP网络上保证安全通信的开放标准框架，它在IP层提供数据源验证、数据完整性和数据保密性。

其中比较重要的有RFC2409 IKE（Internet Key Exchange）互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH（Authentication Header）验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。

IPSec独立于密码学算法，这使得不同的用户群可以选择不同一套安全算法。

IPSec主要由AH（认证头）协议，ESP（封装安全载荷）协议以及负责密钥管理的IKE（因特网密钥交换）协议组成。

AH为IP数据包提供无连接的数据完整性和数据源身份认证。

数据完整性通过消息认证码（如MD5、SHA1）产生的校验值来保证，数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。

ESP为IP数据包提供数据的保密性（通过加密机制）、无连接的数据完整性、数据源身份认证以及防重防攻击保护。

AH和ESP可以单独使用，也可以配合使用，通过组合可以配置多种灵活的安全机制。

密钥管理包括IKE协议和安全联盟SA（Security Association）等部分。

IKE 在通信双方之间建立安全联盟，提供密钥确定、密钥管理机制，是一个产生和交换密钥材料并协商IPSec参数的框架。

IKE将密钥协商的结果保留在SA中，供AH和ESP通信时使用。

2、实验环境：本例主要介绍的是基于IPSec的VPN中网关到网关的模拟环境配置步骤。

其中地址均为假设的。

图示如下图1，所需环境为：两台安装Windows 2003 Server的PC机，分别安装两块网卡，我们称其为A机和B机，A机所在私有地址段为192.168.5.0/255.255.255.0，互联网端网卡IP地址为202.1.1.1/255.255.255.0 ，B机所在私有地址段为192.168.6.0/255.255.255.0 , 互联网端网卡IP地址为202.1.1.2/255.255.255.0，用一交叉网线直连A、B两机模拟互联网，另外一台内网PC机地址192.168.6.2/255.255.255.0，称为C机。

Windows Server 2003上实验IPSec 隧道模式实验目的：界面直观，深入理解IPSec 的实现原理、验证IPSec 相关理论、掌握IPSec 的配置及诊断技巧和方法。

实验设备：2台安装有Windows Server 2003 PC 或服务器（WinA 和WinB ）。

请同学按照下面的步骤完成本实验。

一、准备工作：WinA 的IP ：202.168.0.103 子网掩码：255.255.255.0WinB 的IP ：202.168.0.104 子网掩码：255.255.255.0准备两台运行Windows Server 2003操作系统的服务器，并按如下图所示进行连接、配置相应IP 地址。

二、配置WINA 的IPSec 隧道模式1. 建立新的IPSec 策略1）选择“开始”→“程序”→“管理工具”→“本地安全策略”菜单，打开“本地安全设置”对话框。

2）右击“IP 安全策略，在本地机器”，选择“创建IP 安全策略”，当出现向导时单击“下一步”继续。

3）为新的IP 安全策略命名并填写策略描述，单击“下一步”继续。

4）取消选择“激活默认响应规则”复选框不接受默认值，单击“下一步”继续。

5）保留“编辑属性”的选择，单击”完成”按钮完成IPSec 隧道模式的初步配置。

2. 添加新IP 安全策略*** 隧道模式中，规则是成对出现的，即是有出的方向，也有入的方向。

保证数据既要出去，还要回来。

即是要建两条筛选器列表规则。

* 先建立出方向的规则：单击“添加”按钮。

出现“安全规则向导”对话框，单击“下一步”继续。

3. 设置“隧道终结点”WINA WINB IP ：202.168.0.103 IP ：202.168.0.104续。

4. 设置“网络类型”选择“所有网络连接”，单击“下一步”继续。

5. IP筛选器列表1）单击“添加”按钮，出现“IP筛选器列表”对话框。

2）为新的IP筛选器列表命名并填写描述，单击“添加”按钮。

IKE协商过程IPSec协商分为两个阶段：第⼀阶段协商对对⽅的⾝份进⾏认证，并且为第⼆阶段的协商提供⼀条安全可靠的通道。

第⼆阶段主要对IPSEC的安全性能进⾏协商，产⽣真正可以⽤来加密数据流的密钥。

第⼀阶段主模式（IKE SA 阶段）：发送cockie包，⽤来标识唯⼀的⼀个IPSEC会话。

IKE阶段⼀（主模式）：发送消息1 initiator====>responsorisakmp headersa payloadproposal payloadtransform payload定义⼀组策略：加密⽅法：DES认证⾝份⽅法：预共享密钥认证散列：MD5存活时间：86400秒Diffie-Hellman group：1IKE阶段⼆（主模式）：发送消息2 initiator<====responsor同上IKE阶段三（主模式）：发送消息3 initiator====>responsor通过DH算法产⽣共享密钥KE（Key Exchang) Payloadnonce(暂时） PayloadDH算法：A: P(较⼤的质数） B: P(较⼤的质数）G GPriA（随机产⽣） PriB（随机产⽣）PubA=G^PriA mod P PubB=G^PriB mod P交换PubA和PubBZ=PubB^PriA mod P Z=PubA^PriB mod PZ就是共享密钥，两个⾃我产⽣的Z应相同，它是⽤来产⽣3个SKEYID的素材。

IKE阶段四（主模式）：发送消息4 initiator<====responsor同上主模式第3、4条消息其实就是DH算法中需要交换的⼏个参数，然后路由器再通过DH算法计算出的公共密钥计算出以下3个参数（这是在发送第5、6个消息前完成的）：SKEYID_d:留在在第⼆阶段⽤，⽤来计算后续的IKE密钥资源；SKEYID_a:散列预共享密钥，提供IKE数据完整性和认证；SKEYID_e:⽤来加密下⼀阶段的message，data, preshared key，包括第⼆阶段。