广州大学计算机科学与教育软件学院刘淼目录实验一：网络安全应用实验 (1)1 IPSec VPN典型配置技术 (1)2 防火墙配置 (5)3 地址转换配置 (8)实验二：数字证书的生成与签名 (10)实验一：网络安全应用实验1 IPSec VPN典型配置技术1.1 实验目的1 理解IPSec（IP Security）协议在网络安全中的作用；2 理解IP层数据加密与数据源验证的原理；3 掌握在华为路由器上配置lPSec，实现IPSec VPN的典型配置技术。

1.2 实验内容1 按图1-1拓扑结构组网，在RT1和Rt2之间建立一个安全隧道，对PC A代表的子网（10.1.1.x）与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。

2 从子网A向子网B发送数据包，对配置结果进行验证，分析说明观察结果。

1.3 实验环境与分组1 华为Quidway AR2831路由器两台。

2 PC个人计算机两台，分别安装Windows 2000 XP/ pro操作系统。

3 Console口配置电缆两根。

4 RJ-45直通（或交叉）网线三根。

5 每组4名同学，协同实验。

1.4 实验组网图1-1 IPSec VPN 组网图1.5 实验步骤1、按图1-1拓扑结构组网。

2、配置Quidway 路由器(1) 配置Router A# 配置一个访问控制列表，定义由子网10.1.1.x去子网10.1.2.x的数据流。

[Quidway] acl number 3101[Quidway-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255destination 10.1.2.0 0.0.0.255[Quidway-acl-adv-3101] rule deny ip source any destination any# 配置到PC B的静态路由。

[Quidway] ip route-static 10.1.2.0 255.255.255.0 202.38.162.1# 创建名为tran1的安全提议。

[Quidway] ipsec proposal tran1# 报文封装形式采用隧道视图。

[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel# 安全协议采用ESP协议。

[Quidway-ipsec-proposal-tran1] transform esp# 选择算法。

[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des [Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1# 退回到系统视图。

[Quidway-ipsec-proposal-tran1] quit# 创建一条安全策略，协商方式为manual。

[Quidway] ipsec policy map1 10 manual# 引用访问控制列表。

[Quidway-ipsec-policy-manual-map1-10] security acl 3101# 引用安全提议。

[Quidway-ipsec-policy-manual-map1-10] proposal tran1# 设置对端地址。

[Quidway-ipsec-policy-manual-map1-10] tunnel remote 202.38.162.1# 设置本端地址。

[Quidway-ipsec-policy-manual-map1-10] tunnel local 202.38.163.1# 设置SPI。

[Quidway-ipsec-policy-manual-map1-10] sa spi outbound esp 12345 [Quidway-ipsec-policy-manual-map1-10] sa spi inbound esp 54321# 设置密钥。

[Quidway-ipsec-policy-manual-map1-10] sa string-key outbound esp abcdefg[Quidway-ipsec-policy-manual-map1-10] sa string-key inbound esp gfedcba # 退回到系统视图。

[Quidway-ipsec-policy-manual-map1-10] quit# 进入串口配置视图。

[Quidway] interface s1/0# 配置串口的IP地址。

[Quidway-Serial2/0/1] ip address 202.38.163.1 24# 在串口上应用安全策略组。

[Quidway-Serial2/0/1] ipsec policy map1配置以太口E0/0的IP地址(2) 配置Router B# 配置一个访问控制列表，定义由子网10.1.2.x去子网10.1.1.x的数据流。

[Quidway] acl number 3101[Quidway-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination10.1.1.0 0.0.0.255[Quidway] rule deny ip source any destination any# 配置到PC A的静态路由。

[Quidway] ip route-static 10.1.1.0 255.255.255.0 202.38.163.1# 创建名为tran1的安全提议。

[Quidway] ipsec proposal tran1# 报文封装形式采用隧道模式。

[Quidway-ipsec-proposal-tran1] encapsulation-mode tunnel# 安全协议采用ESP协议。

[Quidway-ipsec-proposal-tran1] transform esp# 选择算法。

[Quidway-ipsec-proposal-tran1] esp encryption-algorithm des [Quidway-ipsec-proposal-tran1] esp authentication-algorithm sha1 # 退回到系统视图。

[Quidway-ipsec-proposal-tran1] quit# 创建一条安全策略，协商方式为manual。

[Quidway] ipsec policy use1 10 manual# 引用访问控制列表。

[Quidway-ipsec-policyl-manual-use1-10] security acl 3101# 引用安全提议。

[Quidway-ipsec-policyl-manual-use1-10] proposal tran1# 设置对端地址。

[Quidway-ipsec-policyl-manual-use1-10] tunnel remote 202.38.163.1 # 设置本端地址。

[Quidway-ipsec-policyl-manual-use1-10] tunnel local 202.38.162.1 # 设置SPI 。

[Quidway-ipsec-policyl-manual-use1-10] sa spi outbound esp 54321 [Quidway-ipsec-policyl-manual-use1-10] sa spi inbound esp 12345 # 设置密钥。

[Quidway-ipsec-policyl-manual-use1-10] sa string-key outbound espgfedcba[Quidway-ipsec-policyl-manual-use1-10] sa string-key inbound esp abcdefg# 退回到系统视图。

[Quidway-ipsec-policyl-manual-use1-10] quit# 进入串口配置视图。

[Quidway] interface serial s1/0# 配置串口的IP地址。

[Quidway-Serial4/1/2] ip address 202.38.162.1 24# 在串口上应用安全策略组。

[Quidway-Serial4/1/2] ipsec policy use1配置以太口E0/0的IP地址以上配置完成后，Router A和Router B之间的安全隧道就建立好了，子网10.1.1.x 与子网10.1.2.x之间的数据流将被加密传输。

3、通过“display ipsec proposal”命令观察显示转换方式的有关信息，与第2步输入值比对。

4、通过“display ipsec 策略名（use1 或 map1）10”命令，观察输出的的安全策略的信息。

4、观察通信数据流。

在RtB 上用 info-center enable, terminal debugging和 debugging ipsec packet 命令打开所有IPSec报文调试开关，然后在PCA上执行ping –n 2 10.1.2.2,察输出结果。

1.6 实验报告对实验结果进行分析说明。

注意：1、在超级终端不断有信息显示时，使用命令undo info-center enable关闭显示。

2、清除原设置，恢复出厂设置，使用reset save，再使用reboot。

2 防火墙配置2.1 实验目的1 了解包过滤防火墙的基本原理；2 掌握包过滤防火墙的基本配置技术。

2.2 实验内容1、按图1-2拓扑结构组网。

安全网关与内部网络通过以太网接口Ethernet0/0连接。

内部子网网段为129.38.1.0。

安全网关与外部网络通过以太网接口Ethernet1/0连接。

外部网段为202.38.160.0。

2、根据具体实验要求，配置路由器的访问控制列表，分析说明观察结果。

2.3 实验环境与分组1、华为Quidway AR2831路由器1台，交换机1台。

2、 PC个人计算机5台，安装Windows 2000 XP/ pro操作系统，其中3台分别安装FTP、Telnet、WWW服务。

3、 Console口配置电缆1根。

4、 RJ-45直通（或交叉）网线若干。

5、每组4名同学，协同实验。

2.4 实验组网图1-2 防火墙配置组网2.5 实验步骤1、按图1-2拓扑结构组网。

2、按表1-1和表1-2配置路由器接口和PC机的IP地址信息。

表1-1 路由器接口IP地址表1-2 PC机的地址和缺省网关①外部网络只有特定用户202.38.160.2可以访问内部的服务器；②内部网络只有特定用户129.38.1.4 可以访问外部网络。