2. 理解IPSec工作原理
二、 实验内容与步骤
1.IPsec虚拟专用网络的设置
定制IPSec安全策略
2.IPsec虚拟专用网络的检测
(1)主机A不指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 主机B的IP
Reply from 100.100.100.112: bytes=32 time<1ms TTL=128
(2)主机A指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 主机B的IP罗辑课
巴特沃斯滤波器
Negotiating IP Security.
(3)主机A不指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:ping 主机B的IP
Request timed out..
(4)主机A指派策略,主机B指派策略。
我和我的班集体
主机A在“cmd”控制台中,输入如下命令:ping 主机B的IP
Reply from 100.100.100.112: bytes=32 time<1ms TTL=128
3.协议分析ESP
首先确保主机A、主机B均已指派策略。
(1)主机A、B进入实验平台,单击工具栏“协议分析器”按钮,启动协议分析器。定义过滤器,设置“网络地址”过滤为“主机A的IP<->主机B的IP”;单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。在新建捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。 (2)主机A在“cmd”控制台中对主机B进行ping操作。
(3)待主机A ping操作完成后,主机A、B协议分析器停止数据包捕获。切换至“协议解析”视图,观察分析源地址为主机A的IP、目的地址为主机B的IP的数据包信息,如
(4)分析右侧协议树显示区中详细解析及下侧十六进制显示区中的数据,参照图18-1-4,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→ESP报头的顺序解析数据,回答下列问题: ttp
ESP协议类型值(十进制):50
安全参数索引(SPI)值是:D8 1B 6A 7D
序列号是:00 00 00 08
ICMP负载是否被加密封装:加密
4.协议分析AH
(1)主机A、B同时进行如下操作,修改“ICMP安全通信策略”,利用AH协议对数据源进行身份验证,而不对传输数据进行加密处理。
(2)在“本地安全设置”界面中,双击“安全服务器(需要安全)”;
(3)在“属性”对话框中,双击“新IP 筛选器列表”;
(4)在“编辑规则 属性”对话框中,选择“筛选器操作”页签,双击“安全的ICMP通信”;
(5)在“属性”对话框中,选择“安全措施”页签,在“安全措施首选顺序”中,双击唯一的一条规则;
(6)在“编辑安全措施”对话框中,选中“自定义”,单击“设置”按钮,具体操作如
单击“确定”按钮,直至最后。
东城职介 (7)主机A、B再次启动协议分析器,过滤规则不变,开始捕获数据包。
(8)主机A对主机B进行ping操作,待操作完成,协议分析器停止捕获数据包。切换至“协议解析视图”,观察十六过制显示区数据,参照图18-1-6,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→AH报头的顺序解析数据
AH协议类型值(十进制):51
下一个报头所标识的协议类型是:ICMP
载荷长度值是:04
由该值计算出AH报头总长度是:24 = (04+2)*4
安全参数索引值是:4A F1 A8 52
ICMP负载是否被加密封装:没有,显示为明文
三、 实验小结
通过这次实验,对IPsec协议有了更加深刻的认识,理解了IPsec协议的工作原理,以及Windows下IPsec的配置。
