《实验二:IPSec_配置(隧道+传输).doc》由会员分享,可在线阅读,更多相关《实验二:IPSec_配置(隧道+传输).doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、课程名称实验二:IPSec VPN配置(隧道+传输)实验报告目录一、 实验名称1二、 实验目标1二、实验内容11.IPsec安全协议AH与ESP有什么区别?12.IPsec安全的优点缺点?1三、实验步骤2一、传输模式的实现2二、隧道模式的实现21四、 实验遇到的问题及其解决方法27五、实验结论27一、 实验名称IPSec VPN配置二、 实验目标理解IPSec协议原理。掌握windows server 2003基于IPsec隧道模式和传输的站点到站点VPN配置。二、实验内容1.IPsec安全协议AH与ESP有什么区别?1、AH没有ESP的加密特性2、AH的authtication是对整个数据包
2、做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。相反,ESP是对部分数据包做authentication,不包括IP头部分。2.IPsec安全的优点缺点?优点 IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议; IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(clie
3、nt-to-client)连接所使用的技术是完全相同的; IPSec VPN网关一般整合了网络防火墙的功能; IPSec客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。不足 IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序; IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响; IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂; IPSec安全性能高,但通信性能较低; 实际全面支持的系统比较少。虽然已有许多开发的操作系统提出对IPS
4、ec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。三、实验步骤一、传输模式的实现1.启动vmware,建立两个windows server 2003虚拟机IP1:192.168.72.128IP2:192.168.72.1312. 新建本地安全策略 IP安全策略-1(用作IPSec传输模式)3. 编辑安全策略-1的属性,新建IP安全规则4.设置安全规则的模式(传输模式)5.设置对所有网络连接都是用这个安全策略6.新建并设置IP筛选器列表017.设置源地址为我的IP地址,目标地
5、址为192.168.72.1318.添加筛选器操作,选用不同的加密模式9.设置共享密钥的密码。10.完成,设置刚刚创建的规则为当前IP策略的规则11. 查看当前规则的基本信息。12. 完成后,指派当前的安全策略。13. 在另一台机器上新建安全策略,将源地址和目标地址分别设为本机和192.168.72.128,设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相同14. 不指派查看结果.15. 指派一方IP策略查看结果16. 双方指派IP策略查看结果二、隧道模式的实现1.添加两个筛选器列表2. 采用同样的方式设置筛选器列表in和筛选器列表out的操作3. 不同的地方是,指定IP为192.16
6、8.72.128,out策略的隧道终点的IP地址为192.168.72.1314. In策略的隧道终点为本身IP,指定IP为192.168.72.131,out策略的隧道终点的IP地址为192.168.72.128 In策略的隧道终点为本身IP5. 同时设置筛选器目标地址和源地址的IP规则:IP:192.168.72.128 筛选器out 源地址:本身 目标地址:192.168.72.131 筛选器in 源地址:192.168.72.131 目标地址:本身IP:192.168.72.131 筛选器out 源地址:本身 目标地址:192.168.72.128 筛选器in 源地址:192.168.
7、72.128 目标地址:本身6. 指派双方的安全策略,查看结果4、 实验遇到的问题及其解决方法1. 在传输模式的配置中指派策略后ping不通。解决方法:查看策略中筛选器列表所有加密算法及其顺序,发现不是完全相同,修改后问题解决。2. 在隧道模式配置中指派策略ping不通。解决方法:查看筛选器列表in,out的目标地址和源地址是否设置正确,因为有四种筛选器,所以配置起来容易出错。五、实验结论通过这次试验,加深了对IPSec协议原理的理解,了解了整个IPSec协议的框架,AH与ESP的区别,以及IPSec协议的应用范围和优缺点。并且学会了在windows server 2003环境下的IPSec VPN配置。掌握了传输模式和隧道模式的原理及其区别,实现了两种模式的配置。