实验七Window 7系统中IPSec协议配置及数据包分析一：实验目的本实验主要验证IP通信在建立IPSec传输模式和隧道模式前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二：实验环境实验中使用以下软件和硬件设备(1)VMware workstation 15 pro(官网最新版)(2)Windows 7专业版系统和Windows 7 旗舰版系统(3)都装好wireshark2.6.4版本(4)一个交换机(5)两台装有操作系统和sniffer嗅探机的vm虚拟机为了方便称呼win7专业版系统为PC1，win7旗舰版版系统为PC2，从这里开始都以PC1，PC2来称呼代替直到实验的结束，万望注意辨别。

三：实验内容1. 了解IPSec2. 在Windows XP的计算机上配置IPSec VPN原理简介：IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。

各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

四：实验步骤一、传输模式的实现1.启动VMware 15，建立两个Windows7系列的虚拟机。

一个为win7专业版系统虚拟机，一个为win7旗舰版系统虚拟机。

图1图2第一次做实验：PC1：192.168.219.130 PC2：192.168.219.131 第二次做实验：PC1：192.168.252.128 PC2：192.168.252.129 注释：本次实验是分成两次所作的，在第一次做实验的时候，因IP策略上的设置错误，导致迟迟未抓到isakmp包，因此第二次做时设置正确后就抓到了，这是本人对该实验的理解不到位所导致的，已深刻检讨。

2.新建本地安全策略 IP安全策略-1 (用作IPSec传输模式)图3图43 .编辑IP安全策略-1的属性，新建IP安全规则图5图64.设置安全规则的模式(传输模式)图75.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表图86.设置源地址为PC1的IP地址（即为192.168.219.130），目的地址为：192.168.219.131。

图9图10图11图127.添加筛选器操作，选用不同的加密模式。

图13图14图15图16图17图188.设置共享密钥的密码图199.完成，设置刚刚创建的规则为当前IP策略的规则查看当前规则的基本信息图20图2110.完成后，指派当前的安全策略图2211.在PC2机器上新建安全策略，将源地址和目标地址分别设为192.168.219.131和192.168.219.130，设置筛选器操作以及共享密钥都跟PC1机器上的设置完全相通。

图2312.不指派查看结果图24 13.指派一方IP策略查看结果图25图26 14.双方均指派IP策略查看结果图27图28二、隧道模式的实现1.添加两个筛选器列表图292.采用同样的方式设置筛选器列表in和筛选器列表out的操作图303.PC1：out的隧道模式设置图31 4.PC1：in的隧道模式设置图325.PC2：out的隧道设置图33 6.PC2：in隧道模式的设置图347.同时设置筛选器目标地址和源地址IP规则如下：PC1，IP：192.168.219.130 筛选器out 源地址：本身(192.168.219.130)目标地址：192.168.219.131(PC2)筛选器in 源地址：192.168.219.131(PC2)目标地址：本身(192.168.219.130) PC2，IP：192.168.219.131 筛选器out 源地址：本身(192.168.219.131)目标地址：192.168.219.130(PC1)筛选器in 源地址：192.168.219.130(PC1)目标地址：本身(192.168.219.131)8.指派双方的安全策略-2，并查看结果下面为PC1的结果图图35下面为PC2的结果图图36二、抓包分析isakmp协议过程A、第一阶段主模式(即IPSec传输模式)原理分析图37该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.128所抓到的isakmp包。

图38该图是IPSec传输模式下，通过两台虚拟机互ping抓到的isakmp包，此图是PC1机为：192.168.252.129所抓到的isakmp包。

MM 模式下：6个包1-2包：双方互相提供可以实现的isakmp参数，包括以下内容1-2 包：双方互相提供可以实现的Isakmp参数包括下面的内容1 对端ip2 authentication 方式：presharekey CA 等3 加密类型des 3des aes4 hash md5 sha-15 DH 1,2.73-4 包通过DH算法产生可以密钥1 给isakmp phase 1 阶段使用2 给ISakmap phase2 阶段使用5-6 包验证对等体的身份,建立isakmp sa1 共享密钥2 CA3 NO-nonceMM模式下要配置参数在1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥2 authentication 方式：presharekey CA 等3 加密类型des 3des aes4 hash md5 sha-15 DH 1,2.7第1-2个数据包1.作用（1）通过数据包源地址确认对端体的和合法性。

（2）协商IKE策略2.第一个包的格式图39通过上图可以看出，模式是主模式，载荷类型是SA，数目是一个，内容是IKE 策略。

3.第二个包图40图41通过上面的图可以看出是协商后的策略第3-4个数据包1.作用(1)通过协商DH产生第一阶段的密码2.第三个包的格式图42图43从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。

说明：DH是一种非对称密钥算法，基于一个知名的单项函数，A=Ga mode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易，反之基本不可能。

关于这个算法详情可以参考网络上的相关文章。

IPSEC就是通过这种方式，协商密钥的。

有了这个秘密就可以通过衍生算法得到密钥和HMAC吃了IKE的密钥，感兴趣的密钥也从这个密钥衍生出来的，所以说这个密钥是IPSEC的始祖。

3.第四个包基本与第三个相同第5-6个数据包1.作用这个过程主要任务是认证。

（通过1-2和3-4的协商已经具备策略和密钥所以这个阶段已经在安全环境中进行了）2.第五个包的格式图44从上图可以看出，模式只主模式，载荷联系身份认证，FLAGS这个开源参考IETF IP 安全标识数据的特定细节。

3.第六个包格式图45说明此文档只是验证了共享密钥的验证方法。

二、第二阶段IPSec隧道模式的4个包图461 对MM模式的IKE参数做加密验证2 交换IPSEC 转换集—transformer-set3 接受者确认发起者提出的参数，并建立ipsec sa1.作用在安全的环境中协商处理感兴趣流的策略。

主要包括：（1）感兴趣流（2）加密策略（3）散列函数（4）封装协议（5）封装模式（6）密钥的有效期2.第一个包发送方会把感兴趣流和相关的IPSEC策略发给对方，有对方选择合适的策略。

图47从上图可以看出模式是主模式，类型是Security Assciation(安全协议) 由于是加密的数据，所以在这里看不出具体内容。

3.第二、三个包图48可以看出，所抓到的四个包是完全相同的，可以看出我这里的SPI是双向的，本人查看了步骤没有问题，一直无法抓到隧道模式下的那三个所谓的包，只是抓到了四个包2个阶段有什么联系和区别：1 MM模式成功建立一个可以信赖的isakmp sa 并利用DH算法产生用于1.2 需要使用的密钥，实际上位2阶段做准备2 实际在加密中使用的SA是2阶段的ipsec sa 而不是1阶段的sa3 MM 模式的sa lifetime 24h在Qm模式下是1h4 在MM阶段并未使用AH ESP只有在QM模式才使用AH ESP 因此ＩＰＳＥＣ的实际应有在２阶段5 主模式MM_SA，为建立信道而进行的安全关联快速模式QM_SA，为数据传输而建立的安全关联6.安全关联SA（Security Association）是单向的，在两个使用IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。

它由下列元素组成：7.安全参数索引SPI；8.IP目的地址；9.安全协议三、实验遇到的问题及其解决方法1.在传输模式的配置中指派策略后ping不通。

解决方法：后来照着这个网址里面的方法重新做了一遍，就可以了2.在隧道模式的配置中指派策略后ping不通，导致抓不到isakmp包或者抓到的包并不是快速模式中所需要的包，而是主模式中的包.解决方法：暂无，去了前面IPSec隧道模式配置里边查找了半天，都毫无错误，因此后面快速模式的步骤未做成功！。