信息安全實驗4

甘肅政法學院本科生實驗報告〔四〕姓名:學院:公安技術學院專業(yè):班級:實驗課程名稱:信息平安概論實驗日期:2021年6月23日指導教師及職稱: 實驗成績:開課時間：2021～2021學年第二學期甘肅政法學院實驗管理中心印制實驗題目Windows下PPTPVPN實驗Windows下IPSecVPN實驗Windows下SSLVPN實驗小組合作否姓名班級學號一.實驗目的1．配置和使用Win2003下主機到網絡的PPTPVPN分組進行Win2003下網關到網關的PPTPVPN的配置和使用驗證PPTPVPN的加密特性2．針對上述兩個實驗環(huán)境，分別進行如下實驗：創(chuàng)立IPSec策略；定義IPSec篩選器列表(filterlist)；配置IPSec篩選器操作(FilterAction)；配置身份驗證方法。3．配置SSLVPN效勞端配置客戶端進行連接二．實驗環(huán)境實驗使用本地主機和Windows實驗臺進行VPN的搭建和配置。主機到網絡的PPTPVPN的網絡拓撲如圖1所示；其中本地主機IP為，Windows實驗臺配置為雙網卡模式，作為VPN效勞器使用，兩塊網卡的IP分別為和。圖1主機到網絡的PPTPVPN網絡拓撲網絡到網絡的PPTPVPN的網絡拓撲如圖2所示；該局部實驗以兩人一組(A、B)的形式進行；其中主機A的本地IP為，所用的Windows實驗臺A的兩個IP分別為和.X/16；主機B的本地IP為，所用的Windows實驗臺B的兩個(內外網)IP分別為和/16。圖2網絡到網絡的PPTPVPN網絡拓撲Windows下SSLVPN的網絡拓撲如圖1所示，其中：客戶端：本地主機(WindowsXP)，IP地址效勞端：Windows實驗臺VPN效勞器，IP地址：，內網IP為三、實驗內容與步驟Windows下PPTPVPN實驗點對點隧道協(xié)議(PPTP，Point-to-PointTunnelingProtocol)是一種支持多協(xié)議虛擬專用網絡的網絡技術。通過該協(xié)議，遠程用戶能夠通過MicrosoftWindowsNT工作站、Windows95和Windows98操作系統(tǒng)以及其它裝有點對點協(xié)議的系統(tǒng)平安訪問公司網絡，并能撥號連入本地ISP，通過Internet平安鏈接到公司網絡。PPTP協(xié)議假定在PPTP客戶機和PPTP效勞器之間有連通并且可用的IP網絡。因此如果PPTP客戶機本身已經是IP網絡的組成局部，那么即可通過該IP網絡與PPTP效勞器取得連接；而如果PPTP客戶機尚未連入網絡，譬如在Internet撥號用戶的情形下，PPTP客戶機必須首先撥打NAS以建立IP連接。這里所說的PPTP客戶機也就是使用PPTP協(xié)議的VPN客戶機，而PPTP效勞器亦即使用PPTP協(xié)議的VPN效勞器。PPTP只能通過PAC和PNS來實施，其它系統(tǒng)沒有必要知道PPTP。撥號網絡可與PAC相連接而無需知道PPTP。標準的PPP客戶機軟件可繼續(xù)在隧道PPP鏈接上操作。PPTP使用GRE的擴展版本來傳輸用戶PPP包。這些增強允許為在PAC和PNS之間傳輸用戶數據的隧道提供低層擁塞控制和流控制。這種機制允許高效使用隧道可用帶寬并且防止了不必要的重發(fā)和緩沖區(qū)溢出。PPTP沒有規(guī)定特定的算法用于低層控制，但它確實定義了一些通信參數來支持這樣的算法工作。PPTP控制連接數據包包括一個IP報頭、一個TCP報頭和PPTP控制信息。Windows下IPSecVPN實驗IPSec實際上是一套協(xié)議包而不是單個的協(xié)議，IPSec是在IP網絡上保證平安通信的開放標準框架，它在IP層提供數據源驗證、數據完整性和數據保密性。其中比擬重要的有RFC2409IKE(InternetKeyExchange)互連網密鑰交換、RFC2401IPSec協(xié)議、RFC2402AH(AuthenticationHeader)驗證包頭、RFC2406ESP(EncapsulatingSecurityPayload)加密數據等協(xié)議。IPSec獨立于密碼學算法，這使得不同的用戶群可以選擇不同一套平安算法。IPSec主要由AH(認證頭)協(xié)議，ESP(封裝平安載荷)協(xié)議以及負責密鑰管理的IKE(因特網密鑰交換)協(xié)議組成。AH為IP數據包提供無連接的數據完整性和數據源身份認證。數據完整性通過消息認證碼(如MD5、SHA1)產生的校驗值來保證，數據源身份認證通過在待認證的數據中參加一個共享密鑰來實現。ESP為IP數據包提供數據的保密性(通過加密機制)、無連接的數據完整性、數據源身份認證以及防重防攻擊保護。AH和ESP可以單獨使用，也可以配合使用，通過組合可以配置多種靈活的平安機制。密鑰管理包括IKE協(xié)議和平安聯盟SA(SecurityAssociation)等局部。IKE在通信雙方之間建立平安聯盟，提供密鑰確定、密鑰管理機制，是一個產生和交換密鑰材料并協(xié)商IPSec參數的框架。IKE將密鑰協(xié)商的結果保存在SA中，供AH和ESP通信時使用。Windows下SSLVPN實驗OpenVPN允許參與建立VPN的單點使用預設的私鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、MacOSX與Windows2000/XP上運行。它并不是一個基于Web的VPN軟件，也不與IPSec及其它VPN軟件包兼容。加密OpenVPN使用OpenSSL庫加密數據與控制信息：它使用了OpesSSL的加密以及驗證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數據包HMAC功能以提高連接的平安性。此外，OpenSSL的硬件加速也能提高它的性能。驗證OpenVPN提供了多種身份驗證方式，用以確認參與連接雙方的身份，包括：預享私鑰，第三方證書以及用戶名/密碼組合。預享密鑰最為簡單，但同時它只能用于建立點對點的VPN；基于PKI的第三方證書提供了最完善的功能，但是需要額外的精力去維護一個PKI證書體系。OpenVPN2.0后引入了用戶名/口令組合的身份驗證方式，它可以省略客戶端證書，但是仍有一份效勞器證書需要被用作加密。網絡OpenVPN所有的通信都基于一個單一的IP端口，默認且推薦使用UDP協(xié)議通訊，同時TCP也被支持。OpenVPN連接能通過大多數的代理效勞器，并且能夠在NAT的環(huán)境中很好地工作。效勞端具有向客戶端“推送〞某些網絡配置信息的功能，這些信息包括：IP地址、路由設置等。OpenVPN提供了兩種虛擬網絡接口：通用Tun/Tap驅動，通過它們，可以建立三層IP隧道，或者虛擬二層以太網，后者可以傳送任何類型的二層以太網絡數據。傳送的數據可通過LZO算法壓縮。IANA(InternetAssignedNumbersAuthority)指定給OpenVPN的官方端口為1194。OpenVPN2.0以后版本每個進程可以同時管理數個并發(fā)的隧道。OpenVPN使用通用網絡協(xié)議(TCP與UDP)的特點使它成為IPSec等協(xié)議的理想替代，尤其是在ISP(Internetserviceprovider)過濾某些特定VPN協(xié)議的情況下。

在選擇協(xié)議時，需要注意2個加密隧道之間的網絡狀況，如有高延遲或者丟包較多的情況下，請選擇TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在無連接和重傳機制，導致要隧道上層的協(xié)議進行重傳，效率非常低下。四、實驗過程與分析【實驗步驟】主機到網絡的PPTPVPN的配置與使用網絡環(huán)境配置根據原本地IP確定X的值，按照實驗拓撲(圖1)修改本地IP地址并對Windows實驗臺的IP進行相應配置。安裝和配置VPN效勞在Windows2003中PPTPVPN效勞稱之為“路由和遠程訪問〞，默認狀態(tài)為已安裝，只需對此效勞進行必要的配置并使其生效。啟動Windows實驗臺，進入系統(tǒng)，依次選擇“開始-設置-控制面板-管理工具-路由和遠程訪問〞，進入“路由和遠程訪問〞效勞的窗口；在右側窗口右擊計算機名，選擇“配置并啟用路由和遠程訪問〞，如圖3所示。圖3開始配置并啟用路由和遠程訪問進入配置向導窗體后點擊下一步，進行效勞選擇：標準的VPN標準VPN配置需要兩塊網卡，如果效勞器有兩塊網卡，那么可有針對性的選擇第一項或第三項，如果效勞器只有一塊網卡，只能選擇“自定義配置〞；本實驗中Windows實驗臺設置為兩塊網卡，此處選擇第一項“遠程訪問(撥號或VPN)〞，如圖4所示。圖4效勞選擇點擊下一步，進入遠程訪問窗體，勾選VPN和撥號，如圖5所示。圖5遠程訪問點擊下一步，進入VPN連接窗體，選定效勞器連接到Internet的網絡接口，如圖6所示。圖6VPN連接點擊下一步，進入IP地址指定窗體，有自動和指定地址范圍兩項，此處選擇指定地址范圍，如圖7所示。圖7IP地址指定點擊下一步，進入地址范圍指定窗體，點擊新建，進入IP地址編輯窗體，進行IP地址范圍設定，如圖8所示；設定完成后點擊確定，返回地址指定窗體，如圖9所示。圖8新建地址范圍圖9地址范圍指定點擊下一步，進入管理多個遠程訪問效勞器窗體，選擇“否，使用路由和遠程訪問來對連接請求進行身份驗證〞。點擊下一步，進入完成窗體，點擊完成。可以看到PPTPVPN效勞配置完成后，效勞處于啟動狀態(tài)，如圖10所示。圖10效勞啟動下面設置用于遠程連接VPN的用戶名和密碼，也可以使用已有賬戶進行連接。右擊我的電腦，選擇管理，翻開計算機管理窗體，點擊左側窗體的“本地用戶和組〞，右擊用戶，選擇新用戶，進入新建用戶窗體，輸入用戶名密碼，設置為密碼永不過期，點擊創(chuàng)立，如圖11所示。圖11新建用戶在右側窗體中右擊新建的用戶vpn，選擇屬性，進入屬性設置窗體，選擇撥號選項卡，分配用戶遠程接入權限，并可設定該用戶撥入后所使用的IP地址(需在指定的地址范圍內)，如圖12所示。圖12設置遠程接入權限本地主機配置翻開命令窗口，，結果如圖13所示。圖13配置前ping內網IP右擊網上鄰居，選擇屬性，雙擊新建連接向導翻開向導窗體。點擊下一步，在“網絡連接類型〞中選擇第二項“連接到我的工作場所的網絡〞。點擊下一步，在網絡連接窗口中選擇第二項“虛擬專用網絡連接〞；點擊下一步，為該連接命名，此處為ises。點擊下一步，進入VPN效勞器選擇，輸入效勞器的主機名稱或IP地址，此處輸入IP地址，如圖14所示。圖14VPN效勞器選擇點擊下一步進入完成窗體，勾選創(chuàng)立桌面快捷方式，點擊完成，出現連接窗體。在連接窗體中輸入剛剛創(chuàng)立或指定的用戶名密碼，勾選為以下用戶保存用戶名和密碼，選擇只是我，點擊連接，如圖15所示。圖15連接VPN連接成功后，桌面右下角會有相應提示；同時網絡連接中顯示已連接，如圖16所示。圖16連接成功翻開cmd窗口，，結果如圖17所示。圖17配置完成后ping內網IP實驗分析遠程查看VPN連接狀態(tài)，如圖18所示。圖18效勞器端遠程查看連接狀態(tài)本地查看連接狀態(tài)，如圖19所示。圖19本地查看連接狀態(tài)驗證PPTPVPN的加密特性使用wireshark分別從真實網卡和VPN建立的虛擬隧道上抓取數據包，比擬實現相同的網絡操作，數據包有什么不同。網關到網關的PPTPVPN的配置和使用網絡環(huán)境配置參照該局部實驗的網絡拓撲進行如下的網絡環(huán)境配置：主機A的本地IP為，Windows實驗臺A的兩個IP分別為和；主機B的本地IP為，Windows實驗臺B的兩個IP分別為和。主機A的設置確定本地IP設置為20網段。進入Windows實驗臺的系統(tǒng)，確定系統(tǒng)的兩個IP分別為20網段和22網段。翻開“路由與遠程訪問〞，在左側窗口選擇網絡接口，右擊網絡接口，選擇新建請求撥號接口，如圖20所示。圖20新建請求撥號接口進入新建向導，點擊下一步，接口名稱輸入server1，該名稱用于對端進行撥入連接，如圖21所示。圖21輸入接口名稱點擊下一步，連接類型選擇“使用虛擬專用網絡〞，如圖22所示。圖22選擇連接類型點擊下一步，VPN類型選擇“自動選擇〞；點擊下一步，目標地址輸入對端效勞器的IP地址，如圖23所示。圖23設定目標地址點擊下一步，協(xié)議及平安措施選擇“在此接口上路由選擇IP數據包〞和“添加一個用戶賬戶使遠程路由器可以撥入〞，如圖24所示。圖24協(xié)議及平安措施點擊下一步，點擊添加，添加遠程網絡撥入時的靜態(tài)路由，如圖25所示；點擊確定返回向導窗體，如圖26所示。圖25添加靜態(tài)路由圖26添加結果點擊下一步，設置撥入憑據，輸入密碼為123，如圖27所示。圖27設置撥入憑據點擊下一步，設置撥出憑據，用戶名為server2，密碼為123，如圖28所示。圖28設置撥出憑據點擊下一步，點擊完成。查看“路由與遠程訪問〞窗口，可以看到建立了一個名為“server1〞的請求撥號連接，即為對端要撥入的連接，如圖29所示。圖29添加接口成功主機B的設置確定主機B的本地IP設置為21網段。進入Windows實驗臺系統(tǒng)，確定系統(tǒng)的兩個IP分別為21網段和22網段。翻開“路由與遠程訪問〞，在左側窗口中右鍵單擊以計算機名命名的效勞器，選擇屬性，如圖30所示。圖30右擊選擇屬性選擇IP選項卡，選定靜態(tài)地址池，點擊編輯，如圖31所示。圖31選擇IP選項卡下的靜態(tài)地址池將起始地址修改為，終止地址修改為，使之對應內網網段(此處為21網段)，如圖32所示；點擊確定返回屬性窗體，點擊確定應用修改。圖32修改靜態(tài)地址范圍在左側窗口選擇網絡接口，右擊網絡接口，選擇新建請求撥號接口，進入新建向導。點擊下一步，接口名稱輸入server2，對應主機A的撥出憑證的用戶名，用于主機A撥入主機B。點擊下一步，連接類型選擇“使用虛擬專用網絡〞。點擊下一步，VPN類型選擇“自動選擇〞。點擊一步，目標地址輸入對端效勞器的IP地址，如圖33所示。圖33輸入目標地址點擊下一步，協(xié)議及平安措施選擇“在此接口上路由選擇IP數據包〞和“一個用戶帳戶使遠程路由器可以撥入〞。點擊下一步，點擊添加，添加遠程網絡撥入時的靜態(tài)路由，如圖34所示。圖34設定靜態(tài)路由點擊下一步，設置撥入憑據，輸入密碼為123，如圖35所示。圖35設置撥入憑據點擊下一步，設置撥出憑據，用戶名為server1，密碼為123，如圖36所示。圖36設置撥出憑據點擊下一步，點擊完成。查看“路由與遠程訪問〞窗口，可以看到建立了一個名為“server2〞的請求撥號連接，即為對端要撥入的連接，如圖37所示。圖37添加接口成功網絡連通性驗證在主機A的本地時，最初需要協(xié)商，顯示網絡不通。待協(xié)商完成后，再次ping即可顯示出網絡暢通。上述過程如圖38所示。圖38網絡連接成功驗證PPTPVPN的加密特性用wireshark進行數據包抓取，從數據包中可以看到兩主機之間的數據交互是通過vpn進行的，并且均已加密?！緦嶒灢襟E】主機到主機主機配置本地主機根據實驗拓撲圖進行網絡環(huán)境配置。實驗臺中，添加關于ICMP協(xié)議的平安策略控制面板\管理工具\本地平安設置\翻開IP平安策略向導，新建一個IP策略，如圖4所示。圖3圖4IP平安策略向導選擇認證方式，如圖5所示；然后對該策略進行編輯，如圖3.3.26所示。圖5IP平安策略向導圖6IP平安策略向導點擊“添加〞，添加新的IP規(guī)那么，如圖7所示。圖7添加IP平安規(guī)那么，選擇所有ICMP通訊，如圖8和圖9所示。圖8圖9配置身份驗證方法，如圖10所示。圖10新規(guī)那么點擊確定，完成；配置成功后如圖11所示。圖11本地平安設置本地主機，添加ICMP平安策略具體步驟同虛擬主機步驟，暫時并不激活該規(guī)那么，注意本地預共享密鑰需與實驗臺的一致，才能保證實驗正常。ping程序測試連接本地主機ping172.20.0.1–t查看連接狀態(tài)，如圖12所示。圖12在運行ping的同時，右鍵點擊新建的IP平安策略，選擇指派，查看ping程序運行狀態(tài)，如圖13所示。圖13對兩臺機器同時指派，查看ping狀態(tài)，如圖14所示，可以看到兩臺主機已經可以ping通。圖14開啟協(xié)議分析軟件，查看雙方加密的交互過程密鑰交換過程，如圖15所示。圖15ICMP協(xié)議加密，如圖16所示。圖16網關到網關網絡配置依據實驗環(huán)境，網關A上進行網絡環(huán)境配置查看主機A的IP地址，并添加其網絡地址；主機A本地添加路由：(或修改默認網關為172.20.3.X)；；routeadd172.22.0.0mask255.2；圖17主機A中的實驗臺啟用LAN路由〔控制面板\管理工具\路由和遠程訪問〕，如圖18所示。圖18圖19指定A主機實驗臺的默認網關為；如以下圖所示：圖20本地連接查看并添加B主機網絡地址；主機B本地添加路由：(或修改默認網關為172.21.3.Y)；routeadd172.20.0.0mask255.255.0.0172.2；；主機B中的實驗臺啟用LAN路由(同(3))；指定B主機實驗臺的默認網關為〔同〔4〕〕。創(chuàng)立IPSec策略在A機實驗臺上運行IPSec策略管理控制臺，即在起命令行窗口運行“secpol.msc〞，翻開“本地平安設置〞窗口，進行IP平安策略設置。創(chuàng)立本實驗臺計算機IP平安策略。例如“ServerA〞；如以下圖所示：圖21IP平安策略向導圖22IP平安策略向導圖23IP平安策略向導圖24IP平安策略向導圖25IP平安策略向導選中“編輯屬性〞復選框，單擊“完成〞，至此已創(chuàng)立名為“ServerA〞的IP平安策略，以下步驟為設置其屬性。主機B實驗臺新建IPSec策略“ServerB〞，步驟略。主機A平安規(guī)那么添加“a-b〞的IPSec篩選器列表圖26添加規(guī)那么如REF_Ref270663901*MERGEFORMAT圖26所示，在“a-b〞屬性框中，去除“使用添加向導〞復選框，單擊“添加〞按鈕，添加IPSec篩選器；在“IP篩選器列表〞窗口，輸入名稱“a-b〞，去除“使用添加向導〞復選框，單擊添加按鈕，進入IP篩選器屬性窗口?！霸吹刂法曔x擇“一個特定的子網〞，“目標地址〞也選擇“一個特定的子網〞，分別填上IP地址，該規(guī)那么定義了從主機A到主機B的網絡之間所使用的規(guī)那么，去除“鏡像〞復選框；在“協(xié)議〞標簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關閉〞，至此已添加好名為“a-b〞的篩選器。配置身份驗證方法在“本地平安設置〞窗口中，右鍵點擊“ServerA〞，選擇屬性，翻開“ServerA屬性〞窗口，編輯“a-b篩選器〞，然后單擊“身份驗證方法〞標簽。單擊“添加〞按鈕，選擇“此字串用來保護密鑰交換(預共享密鑰)〞單項選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗證方法，如圖26所示。圖27配置a-b篩選器規(guī)那么：隧道設置項IPSec需要在篩選器列表中指定的計算機之間同時有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計算機響應平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個在通訊發(fā)送之前進行的平安協(xié)商。例如，如果計算機A要與計算機B平安地交換數據，計算機A上的活動IPSec策略必須有針對計算機B的IPSec策略的篩選器。A實驗臺隧道終點IP地址為，如圖27所示。圖28定義IPSec篩選器操作在“ServerA〞屬性窗口雙擊“a-b〞，再單擊“篩選器操作〞標簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如保持完整性，如圖28所示。圖29添加b-a的IPSec篩選器列表圖30如圖29所示，在“b-a〞屬性框中，去除“使用添加向導〞復選框，單擊“添加〞按鈕，添加IPSec篩選器；“源地址〞選擇“一個特定的子網〞，“目標地址〞也選擇“一個特定的子網〞，分別填上IP地址，該規(guī)那么定義了從主機B到主機A的網絡之間所使用的規(guī)那么，如圖30所示，去除“鏡像〞復選框；在“協(xié)議〞標簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關閉〞，至此已添加好名為“b-a〞的篩選器。圖31配置身份驗證方法編輯“b-a篩選器列表〞，然后單擊“身份驗證方法〞標簽；單擊“添加〞按鈕，選擇“此字串用來保護密鑰交換(預共享密鑰)〞單項選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗證方法，如圖31所示。圖32配置b-a規(guī)那么隧道終結點IPSec需要在篩選器列表中指定的計算機之間同時有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計算機響應平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個在通訊發(fā)送之前進行的平安協(xié)商。例如，如果計算機B要與計算機A平安地交換數據，計算機B上的活動IPSec策略必須有針對計算機A的IPSec策略的篩選器。A實驗臺隧道終點IP地址為，如圖32所示。圖33定義IPSec篩選器操作雙擊“b-a〞，再單擊“篩選器操作〞標簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如“僅保持完整性〞，如圖33所示。圖34主機B網絡配置添加a-b的IPSec篩選器列表圖35如圖34所示，在“a-b〞屬性框中，去除“使用添加向導〞復選框，單擊“添加〞按鈕，添加IPSec篩選器；在“IP篩選器列表〞窗口，輸入名稱“a-b〞，去除“使用添加向導〞復選框，單擊添加按鈕，進入IP篩選器屬性窗口。“源地址〞選擇“一個特定的子網〞，“目標地址〞也選擇“一個特定的子網〞，分別填上IP地址，該規(guī)那么定義了從主機A到主機B的網絡之間所使用的規(guī)那么，去除“鏡像〞復選框；在“協(xié)議〞標簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關閉〞，至此已添加好名為“a-b〞的篩選器。配置身份驗證方法編輯“a-b篩選器列表〞，然后單擊“身份驗證方法〞標簽。單擊“添加〞按鈕，選擇“此字串用來保護密鑰交換(預共享密鑰)〞單項選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗證方法，如圖35所示。圖36配置a-b規(guī)那么隧道終結點IPSec需要在篩選器列表中指定的計算機之間同時有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計算機響應平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個在通訊發(fā)送之前進行的平安協(xié)商。例如，如果計算機A要與計算機B平安地交換數據，計算機A上的活動IPSec策略必須有針對計算機B的IPSec策略的篩選器。A實驗臺隧道終點IP地址為，如圖36所示。圖37定義IPSec篩選器操作雙擊“a-b〞，再單擊“篩選器操作〞標簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如保持完整性，如圖37所示。圖38添加b-a的IPSec篩選器列表圖39如圖38所示，在“b-a〞屬性框中，去除“使用添加向導〞復選框，單擊“添加〞按鈕，添加IPSec篩選器“源地址〞選擇“一個特定的子網〞，“目標地址〞也選擇“一個特定的子網〞，分別填上IP地址，該規(guī)那么定義了從主機B到主機A的網絡之間所使用的規(guī)那么，如圖39所示，去除“鏡像〞復選框；在“協(xié)議〞標簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關閉〞，至此已添加好名為“b-a〞的篩選器。圖40篩選器配置身份驗證方法編輯“b-a篩選器列表〞，然后單擊“身份驗證方法〞標簽。單擊“添加〞按鈕，選擇“此字串用來保護密鑰交換(預共享密鑰)〞單項選擇框，輸入“123456〞，單擊“確定〞，至此已配置好身份驗證方法，如圖40所示。圖41配置b-a規(guī)那么隧道終結點IPSec需要在篩選器列表中指定的計算機之間同時有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計算機響應平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個在通訊發(fā)送之前進行的平安協(xié)商。例如，如果計算機B要與計算機A平安地交換數據，計算機B上的活動IPSec策略必須有針對計算機A的IPSec策略的篩選器。A實驗臺隧道終點IP地址為，如圖41所示。圖42定義IPSec篩選器操作雙擊“b-a〞，再單擊“篩選器操作〞標簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如“僅保持完整性，如圖42所示。圖43測試IPSec策略按要求分別在A、B兩機配置好IPSec策略后，需測試其是否正常工作，在測試前需將A、B兩機配置成路由器，并起用IP路由功能，(“路由和遠程訪問〞)。同時需在A機上添加到B機所在內網段的路由項,在B機上添加到A機所在內網段的路由項。在做好這些準備工作后，IPSec策略測試步驟如下：運行IPSec策略管理控制臺，在左邊窗口選擇“IP平安策略，在本地機器〞，在右邊窗口出現創(chuàng)立的名為“ServerA〞或“ServerB〞平安通信的IPSec策略，右擊“ServerA和ServerA的平安通信〞，選擇“指派〞，那么其“策略已指派〞欄由“否〞變?yōu)椤笆迁暋Ｔ贏、B兩機上均需做此操作。在A主機上翻開命令窗口，做PING操作(即ping–t172.21.X.X)。該操作中源和目的IP地址匹配我們在A、B兩機上設置的篩選器，其將觸發(fā)B、A之間的平安通信。在B主機上翻開IP平安監(jiān)控工具注：Windows2000方法：“開始|運行|IPSecmon〞即可。Windowsxp運行mmc，添加名為“Ip管理監(jiān)視器〞的管理單元。Windowsxp下如圖43所示。圖44查看IPSec密鑰交換過程ICMP協(xié)議加密如圖44所示。圖45【實驗步驟】根據實驗拓撲配置環(huán)境根據實驗環(huán)境中的拓撲圖，配置效勞器(Windows實驗臺)與客戶端(本地主機)的IP地址。安裝與配置這一局部是效勞端跟客戶端都要做的工作，操作完全相同。具體如下：雙擊openvpn-.exe進行安裝，點擊NEXT、IAgree、NEXT之后開始選擇安裝路徑，手動修改為C:\ProgramFiles\OpenVPN。點擊Install開始安裝，安裝過程如圖2所示；安裝過程中，彈出硬件安裝窗口，點擊仍然繼續(xù)，安裝虛擬網卡。點擊next、Finish完成安裝。圖2VPN效勞器初始化配置在進行操作之前，首先進行初始化工作：翻開命令提示符：“開始|運行〞，鍵入cmd，回車，進入命令提示符；或者“開始|程序|附件|命令提示符〞；進入C:\ProgramFiles\openvpn\easy-rsa目錄下，開始初始化，具體命令如下：cdC:\ProgramFiles\openvpn\easy-rsainit-configvarsclean-all如以下圖：圖3上面是初始化工作，以后，在進行證書制作工作時，仍舊需要進行初始化，但只需要進入openvpn\easy-rsa目錄，運行vars就可以了，不需要上面那些步驟了。效勞器證書的制作生成根證書輸入build-ca.bat，如圖4所示；圖4輸入build-dh.bat，如圖5所示。圖5生成效勞端密鑰輸入build-key-serverserver，生成效勞端密鑰；生成效勞端密鑰的過程中，所填寫的commonname需要與build-ca中所輸入的commonname名稱一致，其余的摁空格選擇默認或手動輸入皆可；具體如圖6所示。圖6生成客戶端密鑰輸入build-keyclient1生成第一個VPN客戶端密鑰，如圖7所示；圖7build-keyclient2//可以繼續(xù)配置第二個VPN客戶端密鑰；生成的密鑰存放于C:\ProgramFiles\openvpn\easy\rsa\keys目錄下。配置效勞器在C:\ProgramFiles\OpenVPN\easy-rsa\keys目錄下，將生成的“ca.crt〞、“dh1024.pem〞、“server.crt〞、“server.key〞復制到C:\ProgramFiles\OPENVPN\KEY目錄下〔如果沒有可以自己創(chuàng)立〕,這四個文件是VPN效勞端運行所需要的文件。注：“ca.crt〞“dh1024.pem〞“server.crt〞“server.key〞這四個文件是VPN效勞端運行所需要的文件?！癱a.crt〞“client.crt〞“client.key〞是VPN客戶端所需要的文件在C:\ProgramFiles\OpenVPN\config目錄下創(chuàng)立server.ovpn，效勞器端文件(server.ovpn)例如：local172.22.1.X#建立VPN的IPport443#端口號，根據需要，自行修改，如果是用代理連接，請不要修改prototcp-server#通過TCP協(xié)議連接devtap#win下必須設為tapserver172.20.0.0255.255.0.0#虛擬局域網網段設置，請根據需要自行修改，不支持和拔號網卡位于同一網段push"route.00.0.0.0"#表示client通過VPNSERVER上網keepalive20180ca"C:\\ProgramFiles\\OPENVPN\\KEY\\ca.crt"#CA證書存放位置，請根據實際情況自行修改cert"C:\\ProgramFiles\\OPENVPN\\KEY\\server.crt"#效勞器證書存放位置，請根據實際情況自行修改key"C:\\ProgramFiles\\OPENVPN\\KEY\\server.key"#效勞器密鑰存放位置，請根據實際情況自行修改dh"C:\\ProgramFiles\\OPENVPN\\KEY\\dh1024.pem"#dh1024.pem存放位置，請根據實際情況自行修改push"redirect-gatewaydef1"push"dhcp-optionDNS219.141.140.10"#DNS，請根據實際情況自行修改modeservertls-serverstatus"C:\\ProgramFiles\\OPENVPN\\log\\openvpn-status.log"#LOG記錄文件存放位置，請根據實際情況自行修改comp-lzoverb4配置客戶端“ca.crt〞“client.crt〞“client.key〞是VPN客戶端所需要的文件，復制到客戶端C:\ProgramFiles\OPENVPN\KEY目錄下〔如果沒有可以自己創(chuàng)立〕。在客戶端安裝完成之后，需要將ca.crtclient