IPsecu0026VPN

【实验名称】：IPsec-VPN的配置

【实验拓扑】：

【实验原理】：

IPsec在网络层把明文IP包转换成加密IP包并进行传输

在IPsec体系结构中有两种协议ESP协议和AH协议，当接收到IP包后IPsec通过ESP（加密算法[DES、RC4、IDEA等]）为数据进行加密并且保证了数据的完整性，而通过AH（验证算法[MD5、SHAI等]）对数据进行数据源认证。从而形成相应的策略进行网络传输，既保证了数据安全性又保证了数据完整性。

【实验环境】：

Windows2003-C:192.168.18.1  255.255.255.0

Windows2003-D:192.168.18.2  255.255.255.0

【实验目标】：

1.实现IPsec传输模式的配置并测试

2.实现IPsec隧道模式的配置并测试

【实验步骤】：

                实现IPsec传输模式的配置并测试

Windows2003-C：

1.配置网络设备：192.168.18.1 255.255.255.0

2.配置IPsec：

2.1通过“管理工具---本地安全策略”打开IPsec管理器，选择“本地IP安全策略”

右击新建策略

2.2在IP安全策略名称中输入策略名称—“传输1”

2.3在安全通讯请求中不使用默认响应规则

2.4在得到的“传输-1”属性界面添加其属性（在隧道终结点中选择“不指定隧道”）

2.4在网络类型选项中选择网络类型为：“所有网络”

2.5在筛选器列表中添加筛选“传输-1”

2.6设置筛选列表“传输-1”的IP通信源为：“我的IP地址（192.168.18.1）”；IP通信目标：“192.168.18.2”

2.7设置筛选列表“传输-1”的IP协议类型为：“任意”

2.8对筛选参数进行设置（为采用规则的IP通信类型选择IP筛选器表）

2.9在筛选器操作中添加新的操作“新筛选器—传输-1”

2.10筛选器常规操作中选择“协商安全”并设置为“不与不支持ipsec的计算机通信”

2.11设置IP通信安全措施—自定义设置，然后按照提示完成

2.12选中“新筛选器—传输-1”进行身份验证方法的配置

2.12设置完成后，按照属性提示完成操作！

Windows2003-D：

1.配置网络：192.168.18.2  255.255.255.0

2.IPsec的配置和Windows2003-C中的配置相同

2.1设置筛选列表“传输-1”的IP通信源为：“我的IP地址（192.168.18.2）”；IP通信目标：“192.168.18.1”

2.3按照windows2003-C中的操作完成IPsec的配置

                        测试

初始状态下两台计算机互ping,  windows2003-C  ping  windows2003-D:

在windows2003-C中指派IPsec后：

同时在windows2003-D中指派IPsec：

实现IPsec隧道模式的配置并测试

Windows2003-C：

1.同样的打开“本地安全策略”—选择“IP安全策略”创建安全策略

2.设置IP安全策略名称：“隧道-1”

3.在通讯安全请求中不使用默认的规则

4.配置“隧道-1”的属性

4.1在“隧道-1”的属性中添加终结点---指定隧道终结点：“192.168.18.2”

4.2指定网络类型为“所有网络”

4.3添加筛选器列表（名称“隧道-1”）

4.4在IP筛选向导中设置源地址（我的IP地址“192.168.18.1”）和目标地址（一个特定的IP地址“192.168.18.2”）

4.5IP协议分类设置为“任意”

4.6对筛选参数进行设置

4.7为采用规则的IP通信类型选择IP筛选器表（选中“隧道-1”单击“下一步”）

4.8添加筛选器操作

4.9自定义安全措施设置

4.10选中添加的筛选器操作“隧道-1”配置身份验证的方法

4.11按照步骤提示完成后续配置

5.打开“隧道-1”的属性设置反向隧道终结点（入）

5.1选择添加—指定IP隧道终结点

5.2添加IP筛选列表“隧道-2”

5.3指定源IP：192.168.18.2，目标IP：我的IP地址（192.168.18.1）

5.4添加一个筛选器操作“隧道-2”并设置

5.5配置身份验证方法

Windows2003-D：

1. Windows2003-D的IPsec的配置与Windows2003-C的基本相同（两者H配置应一一对应）

2建立隧道名称为“隧道-1”且隧道终结点指定的终点IP=192.168.18.1

3.建立筛选器列表“隧道-1”指定源地址“我的IP地址”，目标地址“192.168.18.1”（一个特定的IP地址）

4.选中筛选器列表“隧道-1”进行筛选器操作的配置

4.1建立筛选器操作“隧道-1”并进行自定义的安全设置

4.3配置身份验证方法（与windows2003-C中的一致）

5. 打开“隧道-1”的属性设置反向隧道终结点（入）

5.1添加IP筛选列表“隧道-2”

5.2设置IP源地址：192.168.18.1 ，目标地址：192.168.18.2

5.3添加一个筛选器操作“隧道-2”并设置（与windows2003-C保持一致）

5.4配置身份验证方法

5.5按照提示直至完成

                        测试

初始条件下两台虚拟机互ping , windows2003-D  ping  windows2003-C

在windows2003-D上指派IPsec策略后

在windows2003-C上指派IPsec策略后

【实验总结】：

在IPsec传输模式下进行此实验要注意两台虚拟机设置的对应性和一致性

在IPsec隧道模式下进行此实验要注意两台虚拟机设置的对应性和每台虚拟机内部设置的对称性