实训五、windows2003下IPSec隧道模式IKE主模式SA配置

一、实验目的

1）、理解IPSEC的基本原理；2）、掌握IPSEC安全通信的基本配置。

二、实验时数：2小时

三、实验环境

1）实验拓扑图

    2）VMware 10以上的虚拟机、两台服务器系统为Windows server 2003、两台客户端系统为Linux或Windows系统；

3）要求在两台服务器上分别设置对内对外两块网卡，并在其中一台服务器上安装Wireshark等抓包软件；

4）VMware虚拟网络设计为：

四、实验内容

1）服务器和客户机的网络连通性配置

2）搭建IPSec VPN

3）在服务器上进行抓包分析IKE的协商过程 

4）打开IP安全监控平台

五、实验步骤

（一）配置网络连通

Server A端的配置

1.更改网卡名字，分别设置为“wan”“lan”

2. 配置“wan”口和“lan”口IP地址如下：

3. 为主机A eth0网卡配置IP地址和网关 //客户机为Linux操作系统

在主机A上使用Ifconfig eth0 172.16.1.1/24命令配置网卡的IP地址

在主机A上使用 route add default gateway 172.16.1.254为eth0添加网关

4. 在Server A上添加对端私网的路由

5. 使用route print 命令查看路由表

6. 使用services.msc命令打开“服务”控制台

（1）开启IPSEC Services服务

（2）开启Routing and Remote Access 服务

注意：开启Routing and Remote Access 后发现网络连接中多了一个“传入连接”

Server B端的配置

1. 更改网卡名字，分别设置为“wan”“lan”

2. 配置“wan”口和“lan”口IP地址

（1）使用命令 netsh interface ip add add “wan”202.112.1.2   255.255.255.252配置“wan”口IP地址

（2）使用命令 netsh interface ip add add “lan” 192.168.2.254  255.255.255.0配置“lan”口IP地址

3. 为主机B eth0网卡配置IP地址和网关

（1）在主机B上使用Ifconfig eth0 192.168.2.1/24命令配置网卡的IP地址

（2）在主机B上使用 route add default gateway 192.168.2.254为eth0添加网关

4. 在Server B上添加对端私网的路由

5. 使用route print 命令查看路由表

6. 使用services.msc命令打开“服务”控制台

（1）开启IPsec Services服务

（2）开启Routing and Remote Access 服务

（二）搭建IPSec VPN

Server A端的配置

1. 创建名字为“172—192”的安全策略 （IPSec policy）

（1）使用secpol.msc命令打开本地安全设置，右击“点击IP安全策略，在本地计算机”创建新的安全策略。

（2）为安全策略命名为172—192，描述可以省略。

（3） 不激活默认响应规则：默认响应规则即默认IPSec SA ，当数据包进站或出站时，如果所有的安全规则都不匹配时 才使用的规则。

2. 新建安全规则，一个安全策略可以包含多条安全规则，多个安全规则形成SPD（安全规则数据库）。安全规则用于指定使用哪些方法保护哪些数据，其中哪些方法即IPSec SA。

一条安全规则包括：

（1）设置隧道的终点，即VPN网关的对等体IP地址，指定和谁进行数据的保护。隧道式下需要指定隧道的终点，传输模式下不需要指定隧道终点；

（2）设置IP筛选器列表，即指定需要被保护的数据。筛选器列表的属性包括：筛选器的名字、源地址、目的地址、协议类型、端口号；

（3）设置IP筛选器操作，即IPsec SA，指定保护数据的方式；IPsec SA的属性包括：数据封装的协议类型、加密算法、SPI值等属性；

（4）设置VPN网关与对等体进行认证的方式。认证方式包括：域认证、CA认证、预共享密钥认证。

（1）选择安全规则的工作模式：隧道模式。

注：一方面：由于隧道模式使用AH或ESP协议封装数据包的方式和传输模式封装数据包的方式不一样。所以隧道模式需要指定隧道的终结点，传输模式不需要指定隧道的终结点。

另一方面：按数据流的方向确定隧道的终结点（即IPsec VPN对等体的IP地址）。由于数据流的方向分为出VPN网关和进VPN网关两个方向，所以在创建安全规则时为了保证数据流能出得去又能进得来需要针对两个方向的数据流设置两条安全规则。这里先对出本VPN网关的数据流的封装进行设置。

①设置隧道终结点

②IPsec VPN应用场景选择“所有网络连接”

 （2）设置安全规则的IP筛选器列表，即指定需要被保护的数据。

①将新IP筛选器的命名为：172—192—2。

注：IPSec SA是单向的。从本网关出去的包需要按照SPD中的安全规则进行封装，进入本网关的包需要按照SPD中的安全规则进行解封装。本VPN局域网中只有172.16.1.0/24网段，所以此处不勾选“镜像”。 

②根据数据流的方向设置IP筛选器列表源地址段；

③根据数据流的方向设置IP筛选器列表目的地址段；

④根据数据流的方向设置IP筛选器列表协议类型和端口号；

（3）设置IP筛选器操作，即IPsec SA，指定保护数据的方式；IPsec SA的属性包括：数据封装的协议类型、加密算法、SPI值等属性；

1新建IPsec SA，将其命名为ispecsa

2 筛选器操作的行为选“协商安全”

③ 强制使用IPsec 协议与对端进行通讯

3选择IPsec SA使用的IPSec协议（ESP或者AH或者ESP+AH）

完整性加密：ESP；仅保持完整性：AH；自定义：可以自己定义数据的封装格式和加密方式

（4）设置VPN网关与对等体进行认证的方式。认证方式包括：域认证、CA认证、预共享密钥认证；这里选择预共享密钥：预共享密钥为123456。完成一条安全规则的建立。

4. 同理再为安全策略添加一条安全规则，用于对进入本VPN网关的数据包进行解封装。

（1）选择安全规则的工作模式：隧道模式。

①设置隧道终结点

 ②IPsec VPN应用场景选择“所有网络连接”

  （2）设置安全规则的IP筛选器列表，即指定需要被保护的数据。

①将新IP筛选器的命名为：172—192—1。

注：所以此处不勾选“镜像”。

②根据数据流的方向设置IP筛选器列表源地址段；

③根据数据流的方向设置IP筛选器列表目的地址段；

④根据数据流的方向设置IP筛选器列表协议类型和端口号；

（4）设置IP筛选器操作，即IPsec SA，指定保护数据的方式；IPsec SA的属性包括：数据封装的协议类型、加密算法、SPI值等属性

① 使用以前的ipsecsa，也可以新建一条IPsec SA，此处使用以前的ipsecsa

（4）设置VPN网关与对等体进行认证的方式。认证方式包括：域认证、CA认证、预共享密钥认证；这里选择预共享密钥：预共享密钥为123456。完成一条安全规则的建立。

注：至此已经完成Server A端安全策略的设置。

4. 应用安全策略

5.Server B的IPsec VPN的配置

Server B的IPsec VPN的配置与Server A的IPsec VPN的配置原理相同，只要注意创建的两条安全规则的隧道终点正确，且IP筛选列表中的数据流的源和目的正确，其余的配置相同与Server A的IPsec VPN的配置相同，下面只截图不再赘述了。

至此，这部分IPsec VPN的配置已经完成

（三）在服务器上进行抓包分析IKE的协商过程 

主机A上ping主机B ping的通，打开抓包软件wireshark筛选条件进行抓包，随即在server A 和server B上指派新建的安全策略，抓包分析：

注意：抓包时选择VPN网关的网卡，筛选条件Capture file： icmp or udp port 500  or port 4500 or esp

(1)第一阶段IKE SA的协商过程（包括六次握手）

第一次握手:发送本地IKE SA的策略的参数 

此处发现传输载荷即IKE SA策略四种。

第二次握手：确认IKE SA的策略参数

 此处选定了某一IKE SA策略：其加密方式为3DES-CBC；hash算法为SHA；DH组空间大小为1024位；身份认证方式为PSK完美向前；生存周期为28800秒即480分钟。

第三次和第四次握手完成了密钥的生成

第三次握手

第四次握手

第五次和第六次握手已经使用密钥将数据加密了

（3）第二阶段快速模式协商成功，并开始传输用户的数据包

注：server A向server B传输数据时使用SPI（安全索引号）是否相同可以得知使用的安IPsec SA有无发生变化。

SA由一个三元组唯一标识：

（1）SPI：它是为唯一标识SA而生成的一个32bit的数值,它在AH和ESP头中传输。

（2）安全协议（AH、ESP）标识符；

（2）目标IP地址：它同时决定了关联方向。 

（四）打开IP安全监控平台

（1）在运行中输入“MMC”打开控制台

（2）在控制台上添加“IP安全监视器”管理单元

（3）查看IPsec VPN协商参数

六、实验报告内容要求

1．简要的实验操作步骤；

2．实验完成情况说明；

3．实验过程中存在的问题与讨论。

七、预备知识

1.IPsec 简介：

IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPsec是整个TCP/IP安全的基础与核心。它可对上层的各种应用服务提供透明的安全保护。

2.IPSec 工作原理：

IPSec 协议包含AH 与ESP 两种安全协议，这两种安全协议都有传输模式和通道模式等两种封包格式；至于通讯双方根据全关联（SA）的规范选择采用相应的安全协议及封包格式。通讯双方利用 ISAKMP协议协商完成SA 的安全规范；　 在 ISAKMP 协议当中若需交换密钥来确定或制定会议密钥，可利用手动或IKE协议来完成；在双方身份认证或交换密钥时， 认证方式有三种：预共享密钥，CA证书认证，域认证。

3.IPsec VPN工作模式：

    IPSec为了安全地进行数据通信定义了2种运行模式:传输模式和隧道模式,在传输模式下，AH或ESP被插入到IP头之后但在所有传输层协议之前，或所有其他IPSEC协议之前。在隧道模式下，AH或ESP插在原始IP头之前，另外生成一个新头放到AH或ESP之前。

IPSec  AH报文隧道模式封装格式 ： 

IPSec ESP报文隧道模式封装格式