实验二：IPSec_配置(隧道+传输).doc

课程名称实验二：IPSec VPN配置（隧道+传输）实验报告目录一、 实验名称1二、 实验目标1二、实验内容11.IPsec安全协议AH与ESP有什么区别？12.IPsec安全的优点缺点？1三、实验步骤2一、传输模式的实现2二、隧道模式的实现21四、 实验遇到的问题及其解决方法27五、实验结论27一、 实验名称IPSec VPN配置二、 实验目标理解IPSec协议原理。掌握windows server 2003基于IPsec隧道模式和传输的站点到站点VPN配置。二、实验内容1.IPsec安全协议AH与ESP有什么区别？1、AH没有ESP的加密特性2、AH的authtication是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如type of service（TOS），flags，fragment offset，TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。相反，ESP是对部分数据包做authentication，不包括IP头部分。2.IPsec安全的优点缺点？优点 IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议； IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的； IPSec VPN网关一般整合了网络防火墙的功能； IPSec客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。不足 IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序； IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响； IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂； IPSec安全性能高，但通信性能较低； 实际全面支持的系统比较少。虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行基于Windows系统，很少有运行其它PC系统平台的，如Mac、Linux、Solaris 等。三、实验步骤一、传输模式的实现1.启动vmware，建立两个windows server 2003虚拟机IP1:192.168.72.128IP2:192.168.72.1312. 新建本地安全策略 IP安全策略-1（用作IPSec传输模式）3. 编辑安全策略-1的属性,新建IP安全规则4.设置安全规则的模式（传输模式）5.设置对所有网络连接都是用这个安全策略6.新建并设置IP筛选器列表017.设置源地址为我的IP地址，目标地址为192.168.72.1318.添加筛选器操作，选用不同的加密模式9.设置共享密钥的密码。10.完成，设置刚刚创建的规则为当前IP策略的规则11. 查看当前规则的基本信息。12. 完成后，指派当前的安全策略。13. 在另一台机器上新建安全策略，将源地址和目标地址分别设为本机和192.168.72.128，设置筛选器操作以及共享密钥必须跟第一台机器上的设置完全相同14. 不指派查看结果.15. 指派一方IP策略查看结果16. 双方指派IP策略查看结果二、隧道模式的实现1.添加两个筛选器列表2. 采用同样的方式设置筛选器列表in和筛选器列表out的操作3. 不同的地方是，指定IP为192.168.72.128，out策略的隧道终点的IP地址为192.168.72.1314. In策略的隧道终点为本身IP，指定IP为192.168.72.131，out策略的隧道终点的IP地址为192.168.72.128 In策略的隧道终点为本身IP5. 同时设置筛选器目标地址和源地址的IP规则：IP：192.168.72.128 筛选器out 源地址：本身 目标地址：192.168.72.131 筛选器in 源地址：192.168.72.131 目标地址：本身IP：192.168.72.131 筛选器out 源地址：本身 目标地址：192.168.72.128 筛选器in 源地址：192.168.72.128 目标地址：本身6. 指派双方的安全策略，查看结果4、 实验遇到的问题及其解决方法1. 在传输模式的配置中指派策略后ping不通。解决方法：查看策略中筛选器列表所有加密算法及其顺序，发现不是完全相同，修改后问题解决。2. 在隧道模式配置中指派策略ping不通。解决方法：查看筛选器列表in，out的目标地址和源地址是否设置正确，因为有四种筛选器，所以配置起来容易出错。五、实验结论通过这次试验，加深了对IPSec协议原理的理解，了解了整个IPSec协议的框架，AH与ESP的区别，以及IPSec协议的应用范围和优缺点。并且学会了在windows server 2003环境下的IPSec VPN配置。掌握了传输模式和隧道模式的原理及其区别，实现了两种模式的配置。