)
虚拟专用网实验
实验目的
1.1Windows IPSec实验
通过实验掌握虚拟专用网的实现原理、协议和结构,理解并掌握在 Cisco 网络环境下 IPSec VPN(IP 协议安全协议)配置的方法,理解并掌握在 Windows 操作系统中IPSec(IP 协议安全协议)配置 VPN 网络的方法。
1.2路由器VPN实验
配置Cisco Packet Tracer软件仿真路由器的VPN,分析密钥协商和加密流程数据包。
通过进行上述的课上实验和课后实验,能够进一步掌握VPN及其协议相关的知识。
实验内容
2.1Windows IPSec实验
在Windows中配置(内置or专有)IPSEC,通过抓包工具抓取建立ipsec的协商密钥过程,和建立之后的加密通信数据包并进行分析;
2.2Windows IPSec实验
PacketTracer软件仿真路由器的vpn配置,分析密钥协商和加密流程数据包。
实验环境
3.1 Windows IPSec实验
1.两台Windows XP虚拟机PC1和PC2,并可以互相ping通。
2.wireshark。
3.2路由器VPN实验
1.一台Windows XP虚拟机
2. Cisco Packet Tracer
实验步骤
4.1 Windows IPSec实验
1. 配置专有的IPSec安全策略
(1)在PC1按下windows+R组合键,输入secpol.msc,打开本地安全设置:
(2)点击 “IP 安全策略,在本地计算机”,选择“创建 IP 安全策略”,则弹出IP 安全策略向导界面。
点击下一步之后,输入新 IP 安全策略的名称和描述:
再点击下一步弹出安全通讯请求,勾选清除“激活默认响应规则”,最后就到了“完成 IP 规则向导”,选中“编辑属性”后点击完成。
(3)在弹出的创建 IP 安全规则向导窗口中,点击“添加”,会依次设置:隧道方式(默认“此规则不知道隧道”),网络类型(默认“所有网络连接”),点击下一步
身份验证方法采用预共享密钥的方式进行身份认证,设置密钥 为111,点击 “下一步”。
(4)下面进入 IP 筛选器列表的配置项,在这项里设置哪些地址和网络协议的数据包使用 IPSec 安全连接。点击“添加”,就可以设置一个新的 IP 筛选器列表了。
此时列表为空,点击 “添加”,在 IP 筛选器列表中添加一个 IP 筛选器。点击“下一步”对IP地址进行设置。将“我的 IP 地址”作为源地址,选择“任何 IP 地址”作为目标地址。在 “选择协议类型”中选中“任意”。 点击“下一步”,则完成 IP 筛选器编辑。
(5)完成“新 IP 筛选器列表”的建立后,点击“下一步”,编辑这个筛选器列表的操作,添加一条筛选器操作,点击“添加’”,会出现 IP 筛选器操作向导,点击“下一步”,选中“协商安全”,让其进行 IPSec 安全协商。
选中“不和不支持 IPSec 的计算机通讯”,以要求必须 在 IPSec 基础上进行连接,点击“下一步”。
选择“自定义”然后点击“设置”。 可以看到 AH 和 ESP 协议的不同功能,即 AH 协议不进行加密,而 ESP 可进行加密和完整性检验,相关算法也都可以选择,点击确定即完成了 IP 筛选器操作向导。
筛选器操作完成后,下面我们可以看到新建立的筛选器操作名称,点击“下一步”,即完成了新增 IP 安全规则向导的设置,我们会看到新增加的安全规则,包括新 IP 筛选器列表、新筛选器操作等。
(6)对另一台虚拟机做同样配置。查看两台主机的IP地址
PC1的ip:
PC2的ip:
(7)通过ping测试在建立安全的IPSec连接之前,是否会协商建立相互通讯时共享的安全参数及验证的密钥。
2. 抓包分析
(1)IKE SA和IPSec SA建立过程的理论图如下:
(2)通过 wireshark 抓取数据包,并结合上图,分析IESA和IPSecSA 建立过程(以关键的数据包进行分析):
打开wireshark开始抓包,过滤器输入isakmp
这里主要分析第20、23、31、第33包,其余包的分析方式类似。
Initiator cookie和responder cookie分别为发起者与响应者的cookie
Version1.0为IKE版本号
下面的exchange type表明IKE协商模式为主模式(Main Mode)
Encryption-Algorithm为加密算法,下面为验证完整性算法
Authentication-Method为PSK表明使用预共享密钥进行认证
Life-Type和Life-Duration表明密钥周期
IPSec协商阶段只有快捷模式(Quick Mode)
Encrypt Data 表明加密的内容,包括协商用的封装方式、加密算法、生存时间等
Flag0x03处第二行显示为1,表明确认收到发送方的消息。以及显示有Encrypted Data,至此,双方都已确认,后面开始正式通信。
3.2 路由器VPN实验
(一)搭建网络环境
1. 初始化配置路由器
(1)安装Packet Tracer,安装后打开
(2)在模拟器窗口工具栏下选择file->new。在左下角设备栏选取路由器图标,将路由器拖入工作区。
(3)单机工作区中的路由器图标,选择CLI项,等待路由器启动后,在交互对话框中输入no并回车。
(4) 输入enable进入路由器特权模式,配置路由器网卡IP
配置网卡f0/0端口的IP地址和子网掩码,输入命令如下:
configure terminal #进入配置状态,通过端口进行配置
interface fastEthernet 0/0 #进入端口f0/0,配置网卡f0/0的ip地址和子网掩码
ip address 10.0.0.1 255.255.255.0 #配置网卡f0/0的ip地址和子网掩码
no shutdown #开启端口f0/0
end #返回特权模式
配置网卡f0/1的IP地址和子网掩码
configure terminal #进入配置状态,通过端口进行配置
interface fastEthernet 0/1 #配置网卡f0/0的ip地址和子网掩码
ip address 192.168.1.1 255.255.255.0 #配置网卡f0/0的ip地址和子网掩码
no shutdown #开启端口f0/0
end #返回特权模式
(5)初始配置router 0完成,根据router 0的配置过程完成router 1的配置,其中router 1的f0/0端口IP为10.0.0.2/24, router 1 f0/1端口的IP地址为192.168.2.1/24。配置完成后,点击,选择
,将router 0和router 1的f0/0端口连接,如图10所示:
2. 搭建网络环境
(1)选取交换机拖至工作区(共两个),在模拟器左下角选择
,选取
拖到绘图工作区(共六个),在
选取
将路由器于交换机相连,将交换机于PC相连;连线时,路由器使用 FastEthernet 0/1 接口,交换机使用任意 FastEthernet 接口,PC使用FastEthernet
(2)点击PC图标,选择Desktop;选择IP Configuration,配置PC的IP地址和子网掩码
PC0-2的默认网关为192.168.1.1,ip后两位分别为10、20、30
PC3-5的默认网关为192.168.2.1,ip后两位分别为10、20、30
最终完成如下网络图:
3. 在路由其中配置路由,使路由器两端的网络互通。
(1)配置router 0:
点击router 0图标,选择CLI项,进入路由器配置窗口:
enable
configure terminal
ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 #配置内网访问外部网络的出口路由
ip route 192.168.1.0 255.255.255.0 fastEthernet 0/1 #配置外部访问内部网络入口路由
end
(2)配置router 1:
点击router 1图标,选择CLI项,进入路由器配置窗口:
configure terminal
ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0
ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 #配置内网访问外部网络出口路由
ip route 192.168.2.0 255.255.255.0 fastEthernet 0/1 #配置外部访问内部网络入口路由
Router(config)#end
(3)测试网络互通性。
点击PC 0图标,在弹出的对话框中,选择Desktop,选择Command Prompt测试网络连通性。结果表明搭建的网络满足实验环境。
(二)配置 IPSec VPN
1. 配置router0
(1)点击router 0图标,选择CLI项,进入路由器配置口: 定义的IKE的策略,IKE就是router 0和router1之间的密钥交换策略:
config terminal
crypto isakmp policy 10
authentication pre-share
hash md5
encryption des
group 2
lifetime 86400
exit
crypto isakmp key bupt address 10.0.0.2
(2)定义数据的加密方式和认证方式,配置IPSec
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
crypto ipsec transform-set mine esp-des esp-md5-hmac
crypto map mymap 101 ipsec-isakmp
match address 110
set peer 10.0.0.2
set pfs group2
set transform-set mine
set security-association lifetime seconds 86400
(3)将map映射到公网端口,一个端口只能映射一个map
interface fastEthernet 0/0
crypto map mymap
end
(4)查看策略
查看IKE策略:
show cry[to isakmp policy
查看IPSec变换集:
show crypto ipsec transform-set
查看 crypto maps:
show crypto map
2. 配置router1
(1)定义的IKE的策略,IKE就是router 0和router1之间的密钥交换策略,两者的策略必须匹配起来,除了优先级序号可以不同:
crypto isakmp policy 10
authentication pre-share
hash md5
encryption des
group 2
lifetime 86400
crypto isakmp key bupt address 10.0.0.1
exit
(2)定义数据的加密方式和认证方式,配置IPSec:
access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto ipsec transform-set mine esp-des esp-md5-hmac
crypto map mymap 101 ipsec-isakmp
match address 110
set peer 10.0.0.1
set pfs group2
set transform-set mine
set security-association lifetime seconds 86400
(3)将map映射到公网端口
interface fastEthernet 0/0
crypto map mymap
end
3. 测试IPSec VPN
(1)测试VPN 连通性
点击PC0图标,在弹出的对话框中,选择Desktop,选择Command Prompt,ping 192.168.2.10,如下图所示:
(2)验证数据经过IPSec VPN加密传输,进入simulation mode,弹出如下对话框,
在simulation Panel中选取Auto Capture,重复(1)操作,观察工作区动画。
双击在路由器router 0处数据包,弹出包内容,分析数据包的信息。
从图中可以看到,进入路由器的数据包(左侧)的信息源IP是192.168.1.10,目的IP是192.168.2.10,但从路由器出去的数据包的源IP改变为10.0.0.1,目的IP变为10.0.0.2,同时为我们在图20下面的第6条信息中可以看到ESP encrypts the received packet的信息。
由此可以看出,从PC0(192.168.1.10)发往对端PC3(192.168.2.10)的数据经过了路由器的IPSec VPN模块加密处理,隐藏了内网的IP地址信息,从而保护了内网的数据。
(4)断开VPN
Router0:
interface fastEthernet 0/0
no crypto map mymap
end
Router1
)
