信息安全实验3_VPN与IPSec协议配置.pptx

实验3 VPN与IPSec协议配置陈国永余应波殷娇娇验要求1.按照实验指导书独立完成每次实验；2.每次实验由指导老师当场检查实验结果并提交电子版实验报告；实验目的 通过实验掌握虚拟专用网的实现原理、协议和结构，理解并掌握在Windows操作系统中利用PPTP(点对点隧道协议)和Ipsec（IP协议安全协议）配置VPN网络的方法以及在Linux操作系统中利用CIPE组建VPN的步骤，并进一步熟悉硬件VPN的配置。实验环境 多台Windows XP计算机，所有计算机均联网。 任务一 在windows中配置IPSec（1）在Windows XP系统下，选择“开始”，进入“控制面板”，选择性能和维护中的“管理工具”，进入“本地安全策略”。选择IP安全策略，在右侧界面中，Windows缺省情况下，内置了“安全服务器”、“客户端”、“服务器”3个安全选项，每一项的含义菜单中都有解释。（2）右击“安全服务器”，单击“指派”，则“策略已指派”中的选项将由“否”变为“是”，这样将此计算机设置为“安全服务器”。双击“安全服务器”，在菜单中显示了3条IP安全规则。（3）选中“所有ICMP通信量”，单击“编辑”按钮，就可以对“所有ICMP通信量”这个IP安全规则进行编辑。弹出菜单中，打开“筛选器操作”菜单，选中“需要安全”，就将“所有ICMP通信量”这个IP安全规则设置为必须建立安全的连接。打开“身份认证方法”，单击“添加”按钮，在弹出菜单中，有3种身份认证方法，我们选择“预共享秘钥”的方法，设置共享密钥“111”，单击“确定”按钮。对“所有IP通信量”做同样的配置。（4）同时，在另外一台XP计算机中也做上面同样的配置，然后从一台计算机用ping命令测试两者之间的链接，显示如下图状态，说明两台计算机在建立安全的IPSec链接之前，首先对IP安全规则的SA进行协商，显示Negotiating IP Security,以协商建立互相通信时共享的安全参数及验证的密钥。协商完成后，可以看出两台计算机处于连通状态。2.配置专用的IPSec安全策略（1）除了利用windows内置的IPSec安全策略外，我们还可以自己制定专用的IPSec安全策略。右击“IP安全策略，在本地计算机”，选择“创建IP安全策略”，则弹出IP安全策略向导界面。单击“下一步”按钮，要求输入新IP安全策略的名称和描述，再单击“下一步”按钮弹出安全通信请求，取消选择“激活默认响应规则”，最后就到了“完成IP规则向导”，选中“编辑属性”后单击“完成”按钮。（2）在弹出的属性编辑窗口中，单击“添加”按钮。（3）在弹出的创建IP安全规则向导窗口中，单击“下一步”按钮，会依次设置：隧道方式，网络类型，身份验证方法。我们采用预共享密钥的方式进行身份认证，在这里我们设置一个简单密钥“111”，单击“下一步”按钮。（4）如下图，下面进入IP筛选器列表的配置项，在这项里设置哪些地址和网络协议的数据包使用IPSec安全连接。单击“添加”按钮，就可以设置一个新的IP筛选器列表了。单击“添加”按钮，弹出IP筛选器列表，此时列表为空，单击“添加”按钮，我们在IP筛选列表中添加一个IP筛选器。下面出现的界面首先定义这个IP帅选器所筛选的IP数据包的源IP地址。源地址有多个选项，我们这里将“我的IP地址”作为源地址，单击“下一步”按钮。选择“任何IP地址”作为目标地址，单击“下一步”。接着定义IP帅选器所过滤的协议，我们在这里不针对专有协议，在“选择协议类型”中选中“任意”，单击“下一步”按钮，则完成IP筛选器编辑。（5）完成“新IP筛选器列表”的建立后，单击“下一步”按钮，编辑这个帅选器列表的操作，“筛选器列表的操作”是指当由IP数据包符合筛选器中定义的条件时，IPSec对符合条件的数据包如何处理，如何操作。单击“添加”按钮，会出现IP筛选器操作向导，单击“下一步”按钮。接着，在界面中填入筛选器操作的名称和描述，单击“下一步”按钮。下面弹出的是筛选器操作常规选择，即对于符合筛选器列表中定义的数据包将如何处理。选中“协商安全”，让其进行IPSec安全协商，单击“下一步”按钮。在弹出的的菜单中选中“不和不支持IPSec的计算机通信”，以要求必须在IPSec基础上进行连接，单击“下一步”按钮。下面弹出的IP通信安全措施，决定进行通信过程中是否加密和完整性检查，为了更清楚这其中采用的协议，选择“自定义”然后单击“设置”按钮。在弹出的自定义安全措施设置对话框中，我们可以看到Ah和ESP协议的不同功能，即AH协议不进行加密，而ESP可进行加密和完整性检查，相关算法也都可以选择。单击“确定”按钮，即完成了IP筛选器操作向导。（6）筛选器操作完成后，下