一、实验目的
(1)了解IPsec的原理和协议运行机制;
(2)掌握IPsec身份认证的预共享密钥的配置;
(3)掌握用Wireshark工具抓包分析IPsec数据包格式和协议流程。
二、实验设备与环境
(1)VMware Workstation
(2)两台Windows虚拟机
(3)Wireshark软件
三、实验内容
使用两台虚拟机进行实验,它们之间的ICMP通信需要使用IPsec来保证机密性和完整性,其身份认证方式为预共享密钥。
四、实验过程
(1)打开VMware Workstation,打开两台Windows虚拟机分别作为Host_A与Host_B。分别配置两台虚拟机为仅主机模式,“编辑虚拟机设置-硬件-网络适配器-仅主机模式”。
(2)初始状态验证两台虚拟机能够相互通信。
图1
图2
(2)在Host_A中,“运行”输入“MMC”,打开控制台。在控制台中,通过“文件-添加/删除管理单元-添加”。
图3
(3)添加“IP安全策略管理(在本地计算机)”和“IP安全监视器”。
图4
(4)打开“控制面板-管理工具-本地安全策略”,进入“本地安全设置”。右击“IP安全策略,在本地计算机”,创建IP安全策略,根据“IP安全策略向导”指引依次进行配置。在“默认响应规则身份验证方法”选择“使用此字符串保护密钥交换(预共享密钥)”,设置预共享密钥。
图5
(5)在弹出的“新IP安全策略属性-规则”中,点击“添加”,弹出“安全规则向导”。
图6
(6)在“安全规则向导”窗口中根据指引配置,“隧道终结点”选择“此规则不指定隧道”。
图7
(7)“网络类型”选择“所有网络连接”。
图8
(8)“IP筛选器列表”选择“所有IP通讯”。
图9
(9)“筛选器操作”中点击“添加”。
图10
(10)进入“筛选器操作向导”窗口。
图11
(11)在“筛选器操作向导”窗口中根据指引配置,“筛选器操作常规选项”选择“协商安全”,“与不支持IPsec的计算机通讯”选择“不与不支持IPsec的计算机通讯”,“IP通信安全措施”选择“自定义”,并单击“设置”进行“自定义安全措施设置”。对“数据和地址不加密的完整性(AH)”中“完整性算法”设置为“MD5”,对“数据和完整性加密(ESP)”中“完整性算法”设置为“SHA1”,“加密算法”设置为“3DES”。
图12
(12)在“安全规则向导”中选择设置好的“新筛选器操作”,点击“下一步”。
图13
(13)在“身份验证方法”中选择“使用此字符串保护密钥交换(预共享密钥)”。输入与图5中配置时相同的预共享密钥。
图14
(14)在“新IP安全策略属性”窗口,仅勾选新配置好的IP筛选。
图15
图16
(15)在“本地安全设置”窗口,右击配置好的“新IP安全策略”,单击“指派”。窗口右侧“策略已指派”栏显示“是”。此时,ping Host_B发现不能连通,并显示“Negotiating IP Security”。
图17
(16)对Host_B进行步骤(3)-(15)的相同配置。配置好后再测试Host_A与Host_B的连通性,已经可以连通。
图18
图19
图20
图21
(17)在控制台中打开“IP安全监视器”,在“主模式-安全关联”中可以看到Host_A与Host_B之间安全关联,身份验证方式为“预共享密钥”。
图22
(18)打开Wireshark,选择相应的虚拟机,可捕获到Host_A与Host_B之间的数据包,其中含有AH头部和ESP头部。
图23
