在前文的叙述中,我们介绍了IPSec的原理以及工作步骤。下面,我们以实验的形式对其前面的IPSec理论进行检验。通过下面的实验,我们可以:深入理解IPSec的实现原理、验证IPSec相关理论、掌握IPSec的配置及诊断技巧和方法。
1.准备工作 准备两台运行Windows 2000 Server操作系统的服务器,并按图1所示进行连接、配置相应IP地址。
图1 实践拓扑结构图 2.配置HOST A的IPSec (1)建立新的IPSec策略 1)选择"开始"|"程序"| "管理工具"|"本地安全策略"菜单,打开"本地安全设置"对话框。
2)右击"IP安全策略,在本地机器",选择"创建IP安全策略",当出现向导时单击"下一步"继续。
3)为新的IP安全策略命名并填写策略描述,单击"下一步"继续。
4)通过选择"激活默认响应规则"复选框接受默认值,单击"下一步"继续。
5)接受默认的选项"Windows 2000 默认值Kerberos V5"作为默认响应规则身份验证方法,单击"下一步"继续。
6)保留"编辑属性"的选择,单击"完成"按钮完成IPSec的初步配置。
(2)添加新规则 在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新规则属性"对话框。
(3)添加新过滤器 1)单击"添加"按钮,出现 "IP筛选器列表"对话框。
2)为新的IP筛选器列表命名并填写描述,在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"筛选器属性"对话框。
3)单击"寻址"标签,将"源地址"改为"一个特定的IP地址"并输入HOST A的IP地址。将"目标地址"改为"一个特定的IP地址"并输入HOST B的IP地址。保留默认选择"镜像"复选框。
4)单击"协议" 标签,选择"协议类型"为ICMP。
5)单击"确定"回到"IP筛选器列表"对话框。观察新添加的筛选器列表。
6)单击"关闭"回到"新规则属性"对话框。
7)通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。
(4)规定过滤器动作 1)单击"新规则属性"对话框中的"筛选器操作"标签。
2)在不选择"使用'添加向导'"的情况下单击"添加"按钮。出现"新筛选器操作属性"对话框。
3)选择"协商安全"单选框。
4)单击"添加"按钮选择安全方法。
5)选择"中(AH)",单击"确定"回到"新筛选器操作属性"对话框。
6)单击"关闭"回到"新规则属性"对话框。
7)确保不选择"允许和不支持IPSec的计算机进行不安全的通信",单击"确定"回到"筛选器操作"对话框。
8)通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。
(5)设置身份验证方法 1)单击"新规则属性"对话框中的"身份验证方法"标签。
2)单击"添加"按钮,出现"新身份验证方法属性"对话框。
3)选择"此字串用来保护密钥交换(预共享密钥)"单选框,并输入预共享密钥子串"ABC"。
4)单击"确定"按钮回到"身份验证方法"标签。
5)单击"上移"按钮使"预先共享的密钥"成为首选。
(6)设置"隧道设置" 1)单击"新规则属性"对话框中的"隧道设置"标签。
2)选择"此规则不指定IPSec隧道"。
(7)设置"连接类型" 1)单击"新规则属性"对话框中的"连接类型"标签。
2)选择"所有网络连接"。
3)单击"确定"按钮回到"新IP安全策略属性"对话框。
4)单击"关闭"按钮关闭"新IP安全策略属性"对话框回到"本地安全策略"设置。
3.配置HOST B的IPSec 仿照前面对HOST A的配置对HOST B的IPSec进行配置。
4.测试IPSec (1)不激活HOST A、HOST B的IPSec进行测试。 1)确保不激活HOST A、HOST B的IPSec。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(2)激活一方的IPSec进行测试 1)在HOST A新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。
2)在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。
3)在HOST B执行命令PING 192.168.0.1,注意观察屏幕提示。
(3)激活双方的IPSec进行测试 1)在HOST A执行命令PING 192.168.0.2 -t ,注意观察屏幕提示。
2)在HOST B新建立的IP安全策略上单击鼠标右键并选择"指派", 激活该IP安全策略。
3)观察HOST A、HOST B间的安全协商过程。
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
.gif){kind=small}
您现在的位置: 
