实验七Window 7系统中IPSec协议配置及数据包分析

一：实验目的

本实验主要验证IP通信在建立IPSec传输模式和隧道模式前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二：实验环境

实验中使用以下软件和硬件设备

(1)VMware workstation 15 pro(官网最新版)

(2)Windows 7专业版系统和Windows 7 旗舰版系统

(3)都装好wireshark2.6.4版本

(4)一个交换机

(5)两台装有操作系统和sniffer嗅探机的vm虚拟机

为了方便称呼win7专业版系统为PC1，win7旗舰版版系统为PC2，从这里开始都以PC1，PC2来称呼代替直到实验的结束，万望注意辨别。

三：实验内容

1. 了解IPSec

2. 在Windows XP的计算机上配置IPSec VPN

原理简介：

IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

四：实验步骤

一、传输模式的实现

1.启动VMware 15，建立两个Windows7系列的虚拟机。一个为win7专业

版系统虚拟机，一个为win7旗舰版系统虚拟机。

图1

图2

第一次做实验：PC1：192.168.219.130 PC2：192.168.219.131 第二次做实验：PC1：192.168.252.128 PC2：192.168.252.129 注释：本次实验是分成两次所作的，在第一次做实验的时候，因IP策略上的设置错误，导致迟迟未抓到isakmp包，因此第二次做时设置正确后就抓到了，这是本人对该实验的理解不到位所导致的，已深刻检讨。

2.新建本地安全策略 IP安全策略-1 (用作IPSec传输模式)

图3

图4

3 .编辑IP安全策略-1的属性，新建IP安全规则

图5

图6

4.设置安全规则的模式(传输模式)

图7

5.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表

图8

6.设置源地址为PC1的IP地址（即为192.168.219.130），目的地址为：192.168.219.131。

图9

图10

图11

图12

7.添加筛选器操作，选用不同的加密模式。

图13

图14

图15

图16

图17

图18

8.设置共享密钥的密码

图19

9.完成，设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息

图20

图21

10.完成后，指派当前的安全策略

图22

11.在PC2机器上新建安全策略，将源地址和目标地址分别设为

192.168.219.131和192.168.219.130，设置筛选器操作以及共享密钥都跟PC1机器上的设置完全相通。

图23

12.不指派查看结果

图24 13.指派一方IP策略查看结果

图25

图26 14.双方均指派IP策略查看结果

图27

图28

二、隧道模式的实现

1.添加两个筛选器列表

图29

2.采用同样的方式设置筛选器列表in和筛选器列表out的操作

图30

3.PC1：out的隧道模式设置

图31 4.PC1：in的隧道模式设置

图32

5.PC2：out的隧道设置

图33 6.PC2：in隧道模式的设置

图34

7.同时设置筛选器目标地址和源地址IP

规则如下：

PC1，IP：192.168.219.130 筛选器out 源地址：本身(192.168.219.130)

目标地址：192.168.219.131(PC2)

筛选器in 源地址：192.168.219.131(PC2)

目标地址：本身(192.168.219.130) PC2，IP：192.168.219.131 筛选器out 源地址：本身(192.168.219.131)

目标地址：192.168.219.130(PC1)

筛选器in 源地址：192.168.219.130(PC1)

目标地址：本身(192.168.219.131)

8.指派双方的安全策略-2，并查看结果

下面为PC1的结果图

图35

下面为PC2的结果图

图36

二、抓包分析isakmp协议过程

A、第一阶段主模式(即IPSec传输模式)原理分析

图37

该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.128所抓到的isakmp包。

图38

该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.129所抓到的isakmp包。

MM 模式下：6个包1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2 包：双方互相提供可以实现的Isakmp参数包括下面的内容

1 对端ip

2 authentication 方式：presharekey CA 等

3 加密类型des 3des aes

4 hash md

5 sha-1

5 DH 1,2.7

3-4 包通过DH算法产生可以密钥

1 给isakmp phase 1 阶段使用

2 给ISakmap phase2 阶段使用

5-6 包验证对等体的身份,建立isakmp sa

1 共享密钥

2 CA

3 NO-nonce

MM模式下要配置参数在

1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥

2 authentication 方式：presharekey CA 等

3 加密类型des 3des aes

4 hash md

5 sha-1

5 DH 1,2.7

第1-2个数据包

1.作用

（1）通过数据包源地址确认对端体的和合法性。