信息安全實(shí)驗(yàn)4

甘肅政法學(xué)院本科生實(shí)驗(yàn)報(bào)告〔四〕姓名:學(xué)院:公安技術(shù)學(xué)院專業(yè):班級:實(shí)驗(yàn)課程名稱:信息平安概論實(shí)驗(yàn)日期:2021年6月23日指導(dǎo)教師及職稱: 實(shí)驗(yàn)成績:開課時(shí)間：2021～2021學(xué)年第二學(xué)期甘肅政法學(xué)院實(shí)驗(yàn)管理中心印制實(shí)驗(yàn)題目Windows下PPTPVPN實(shí)驗(yàn)Windows下IPSecVPN實(shí)驗(yàn)Windows下SSLVPN實(shí)驗(yàn)小組合作否姓名班級學(xué)號一.實(shí)驗(yàn)?zāi)康?．配置和使用Win2003下主機(jī)到網(wǎng)絡(luò)的PPTPVPN分組進(jìn)行Win2003下網(wǎng)關(guān)到網(wǎng)關(guān)的PPTPVPN的配置和使用驗(yàn)證PPTPVPN的加密特性2．針對上述兩個(gè)實(shí)驗(yàn)環(huán)境，分別進(jìn)行如下實(shí)驗(yàn)：創(chuàng)立IPSec策略；定義IPSec篩選器列表(filterlist)；配置IPSec篩選器操作(FilterAction)；配置身份驗(yàn)證方法。3．配置SSLVPN效勞端配置客戶端進(jìn)行連接二．實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)使用本地主機(jī)和Windows實(shí)驗(yàn)臺進(jìn)行VPN的搭建和配置。主機(jī)到網(wǎng)絡(luò)的PPTPVPN的網(wǎng)絡(luò)拓?fù)淙鐖D1所示；其中本地主機(jī)IP為，Windows實(shí)驗(yàn)臺配置為雙網(wǎng)卡模式，作為VPN效勞器使用，兩塊網(wǎng)卡的IP分別為和。圖1主機(jī)到網(wǎng)絡(luò)的PPTPVPN網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)到網(wǎng)絡(luò)的PPTPVPN的網(wǎng)絡(luò)拓?fù)淙鐖D2所示；該局部實(shí)驗(yàn)以兩人一組(A、B)的形式進(jìn)行；其中主機(jī)A的本地IP為，所用的Windows實(shí)驗(yàn)臺A的兩個(gè)IP分別為和.X/16；主機(jī)B的本地IP為，所用的Windows實(shí)驗(yàn)臺B的兩個(gè)(內(nèi)外網(wǎng))IP分別為和/16。圖2網(wǎng)絡(luò)到網(wǎng)絡(luò)的PPTPVPN網(wǎng)絡(luò)拓?fù)鋀indows下SSLVPN的網(wǎng)絡(luò)拓?fù)淙鐖D1所示，其中：客戶端：本地主機(jī)(WindowsXP)，IP地址效勞端：Windows實(shí)驗(yàn)臺VPN效勞器，IP地址：，內(nèi)網(wǎng)IP為三、實(shí)驗(yàn)內(nèi)容與步驟Windows下PPTPVPN實(shí)驗(yàn)點(diǎn)對點(diǎn)隧道協(xié)議(PPTP，Point-to-PointTunnelingProtocol)是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)。通過該協(xié)議，遠(yuǎn)程用戶能夠通過MicrosoftWindowsNT工作站、Windows95和Windows98操作系統(tǒng)以及其它裝有點(diǎn)對點(diǎn)協(xié)議的系統(tǒng)平安訪問公司網(wǎng)絡(luò)，并能撥號連入本地ISP，通過Internet平安鏈接到公司網(wǎng)絡(luò)。PPTP協(xié)議假定在PPTP客戶機(jī)和PPTP效勞器之間有連通并且可用的IP網(wǎng)絡(luò)。因此如果PPTP客戶機(jī)本身已經(jīng)是IP網(wǎng)絡(luò)的組成局部，那么即可通過該IP網(wǎng)絡(luò)與PPTP效勞器取得連接；而如果PPTP客戶機(jī)尚未連入網(wǎng)絡(luò)，譬如在Internet撥號用戶的情形下，PPTP客戶機(jī)必須首先撥打NAS以建立IP連接。這里所說的PPTP客戶機(jī)也就是使用PPTP協(xié)議的VPN客戶機(jī)，而PPTP效勞器亦即使用PPTP協(xié)議的VPN效勞器。PPTP只能通過PAC和PNS來實(shí)施，其它系統(tǒng)沒有必要知道PPTP。撥號網(wǎng)絡(luò)可與PAC相連接而無需知道PPTP。標(biāo)準(zhǔn)的PPP客戶機(jī)軟件可繼續(xù)在隧道PPP鏈接上操作。PPTP使用GRE的擴(kuò)展版本來傳輸用戶PPP包。這些增強(qiáng)允許為在PAC和PNS之間傳輸用戶數(shù)據(jù)的隧道提供低層擁塞控制和流控制。這種機(jī)制允許高效使用隧道可用帶寬并且防止了不必要的重發(fā)和緩沖區(qū)溢出。PPTP沒有規(guī)定特定的算法用于低層控制，但它確實(shí)定義了一些通信參數(shù)來支持這樣的算法工作。PPTP控制連接數(shù)據(jù)包包括一個(gè)IP報(bào)頭、一個(gè)TCP報(bào)頭和PPTP控制信息。Windows下IPSecVPN實(shí)驗(yàn)IPSec實(shí)際上是一套協(xié)議包而不是單個(gè)的協(xié)議，IPSec是在IP網(wǎng)絡(luò)上保證平安通信的開放標(biāo)準(zhǔn)框架，它在IP層提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性和數(shù)據(jù)保密性。其中比擬重要的有RFC2409IKE(InternetKeyExchange)互連網(wǎng)密鑰交換、RFC2401IPSec協(xié)議、RFC2402AH(AuthenticationHeader)驗(yàn)證包頭、RFC2406ESP(EncapsulatingSecurityPayload)加密數(shù)據(jù)等協(xié)議。IPSec獨(dú)立于密碼學(xué)算法，這使得不同的用戶群可以選擇不同一套平安算法。IPSec主要由AH(認(rèn)證頭)協(xié)議，ESP(封裝平安載荷)協(xié)議以及負(fù)責(zé)密鑰管理的IKE(因特網(wǎng)密鑰交換)協(xié)議組成。AH為IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證。數(shù)據(jù)完整性通過消息認(rèn)證碼(如MD5、SHA1)產(chǎn)生的校驗(yàn)值來保證，數(shù)據(jù)源身份認(rèn)證通過在待認(rèn)證的數(shù)據(jù)中參加一個(gè)共享密鑰來實(shí)現(xiàn)。ESP為IP數(shù)據(jù)包提供數(shù)據(jù)的保密性(通過加密機(jī)制)、無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證以及防重防攻擊保護(hù)。AH和ESP可以單獨(dú)使用，也可以配合使用，通過組合可以配置多種靈活的平安機(jī)制。密鑰管理包括IKE協(xié)議和平安聯(lián)盟SA(SecurityAssociation)等局部。IKE在通信雙方之間建立平安聯(lián)盟，提供密鑰確定、密鑰管理機(jī)制，是一個(gè)產(chǎn)生和交換密鑰材料并協(xié)商IPSec參數(shù)的框架。IKE將密鑰協(xié)商的結(jié)果保存在SA中，供AH和ESP通信時(shí)使用。Windows下SSLVPN實(shí)驗(yàn)OpenVPN允許參與建立VPN的單點(diǎn)使用預(yù)設(shè)的私鑰，第三方證書，或者用戶名/密碼來進(jìn)行身份驗(yàn)證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、MacOSX與Windows2000/XP上運(yùn)行。它并不是一個(gè)基于Web的VPN軟件，也不與IPSec及其它VPN軟件包兼容。加密OpenVPN使用OpenSSL庫加密數(shù)據(jù)與控制信息：它使用了OpesSSL的加密以及驗(yàn)證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的平安性。此外，OpenSSL的硬件加速也能提高它的性能。驗(yàn)證OpenVPN提供了多種身份驗(yàn)證方式，用以確認(rèn)參與連接雙方的身份，包括：預(yù)享私鑰，第三方證書以及用戶名/密碼組合。預(yù)享密鑰最為簡單，但同時(shí)它只能用于建立點(diǎn)對點(diǎn)的VPN；基于PKI的第三方證書提供了最完善的功能，但是需要額外的精力去維護(hù)一個(gè)PKI證書體系。OpenVPN2.0后引入了用戶名/口令組合的身份驗(yàn)證方式，它可以省略客戶端證書，但是仍有一份效勞器證書需要被用作加密。網(wǎng)絡(luò)OpenVPN所有的通信都基于一個(gè)單一的IP端口，默認(rèn)且推薦使用UDP協(xié)議通訊，同時(shí)TCP也被支持。OpenVPN連接能通過大多數(shù)的代理效勞器，并且能夠在NAT的環(huán)境中很好地工作。效勞端具有向客戶端“推送〞某些網(wǎng)絡(luò)配置信息的功能，這些信息包括：IP地址、路由設(shè)置等。OpenVPN提供了兩種虛擬網(wǎng)絡(luò)接口：通用Tun/Tap驅(qū)動，通過它們，可以建立三層IP隧道，或者虛擬二層以太網(wǎng)，后者可以傳送任何類型的二層以太網(wǎng)絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮。IANA(InternetAssignedNumbersAuthority)指定給OpenVPN的官方端口為1194。OpenVPN2.0以后版本每個(gè)進(jìn)程可以同時(shí)管理數(shù)個(gè)并發(fā)的隧道。OpenVPN使用通用網(wǎng)絡(luò)協(xié)議(TCP與UDP)的特點(diǎn)使它成為IPSec等協(xié)議的理想替代，尤其是在ISP(Internetserviceprovider)過濾某些特定VPN協(xié)議的情況下。

在選擇協(xié)議時(shí)，需要注意2個(gè)加密隧道之間的網(wǎng)絡(luò)狀況，如有高延遲或者丟包較多的情況下，請選擇TCP協(xié)議作為底層協(xié)議，UDP協(xié)議由于存在無連接和重傳機(jī)制，導(dǎo)致要隧道上層的協(xié)議進(jìn)行重傳，效率非常低下。四、實(shí)驗(yàn)過程與分析【實(shí)驗(yàn)步驟】主機(jī)到網(wǎng)絡(luò)的PPTPVPN的配置與使用網(wǎng)絡(luò)環(huán)境配置根據(jù)原本地IP確定X的值，按照實(shí)驗(yàn)拓?fù)?圖1)修改本地IP地址并對Windows實(shí)驗(yàn)臺的IP進(jìn)行相應(yīng)配置。安裝和配置VPN效勞在Windows2003中PPTPVPN效勞稱之為“路由和遠(yuǎn)程訪問〞，默認(rèn)狀態(tài)為已安裝，只需對此效勞進(jìn)行必要的配置并使其生效。啟動Windows實(shí)驗(yàn)臺，進(jìn)入系統(tǒng)，依次選擇“開始-設(shè)置-控制面板-管理工具-路由和遠(yuǎn)程訪問〞，進(jìn)入“路由和遠(yuǎn)程訪問〞效勞的窗口；在右側(cè)窗口右擊計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問〞，如圖3所示。圖3開始配置并啟用路由和遠(yuǎn)程訪問進(jìn)入配置向?qū)Т绑w后點(diǎn)擊下一步，進(jìn)行效勞選擇：標(biāo)準(zhǔn)的VPN標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡，如果效勞器有兩塊網(wǎng)卡，那么可有針對性的選擇第一項(xiàng)或第三項(xiàng)，如果效勞器只有一塊網(wǎng)卡，只能選擇“自定義配置〞；本實(shí)驗(yàn)中Windows實(shí)驗(yàn)臺設(shè)置為兩塊網(wǎng)卡，此處選擇第一項(xiàng)“遠(yuǎn)程訪問(撥號或VPN)〞，如圖4所示。圖4效勞選擇點(diǎn)擊下一步，進(jìn)入遠(yuǎn)程訪問窗體，勾選VPN和撥號，如圖5所示。圖5遠(yuǎn)程訪問點(diǎn)擊下一步，進(jìn)入VPN連接窗體，選定效勞器連接到Internet的網(wǎng)絡(luò)接口，如圖6所示。圖6VPN連接點(diǎn)擊下一步，進(jìn)入IP地址指定窗體，有自動和指定地址范圍兩項(xiàng)，此處選擇指定地址范圍，如圖7所示。圖7IP地址指定點(diǎn)擊下一步，進(jìn)入地址范圍指定窗體，點(diǎn)擊新建，進(jìn)入IP地址編輯窗體，進(jìn)行IP地址范圍設(shè)定，如圖8所示；設(shè)定完成后點(diǎn)擊確定，返回地址指定窗體，如圖9所示。圖8新建地址范圍圖9地址范圍指定點(diǎn)擊下一步，進(jìn)入管理多個(gè)遠(yuǎn)程訪問效勞器窗體，選擇“否，使用路由和遠(yuǎn)程訪問來對連接請求進(jìn)行身份驗(yàn)證〞。點(diǎn)擊下一步，進(jìn)入完成窗體，點(diǎn)擊完成。可以看到PPTPVPN效勞配置完成后，效勞處于啟動狀態(tài)，如圖10所示。圖10效勞啟動下面設(shè)置用于遠(yuǎn)程連接VPN的用戶名和密碼，也可以使用已有賬戶進(jìn)行連接。右擊我的電腦，選擇管理，翻開計(jì)算機(jī)管理窗體，點(diǎn)擊左側(cè)窗體的“本地用戶和組〞，右擊用戶，選擇新用戶，進(jìn)入新建用戶窗體，輸入用戶名密碼，設(shè)置為密碼永不過期，點(diǎn)擊創(chuàng)立，如圖11所示。圖11新建用戶在右側(cè)窗體中右擊新建的用戶vpn，選擇屬性，進(jìn)入屬性設(shè)置窗體，選擇撥號選項(xiàng)卡，分配用戶遠(yuǎn)程接入權(quán)限，并可設(shè)定該用戶撥入后所使用的IP地址(需在指定的地址范圍內(nèi))，如圖12所示。圖12設(shè)置遠(yuǎn)程接入權(quán)限本地主機(jī)配置翻開命令窗口，，結(jié)果如圖13所示。圖13配置前ping內(nèi)網(wǎng)IP右擊網(wǎng)上鄰居，選擇屬性，雙擊新建連接向?qū)Х_向?qū)Т绑w。點(diǎn)擊下一步，在“網(wǎng)絡(luò)連接類型〞中選擇第二項(xiàng)“連接到我的工作場所的網(wǎng)絡(luò)〞。點(diǎn)擊下一步，在網(wǎng)絡(luò)連接窗口中選擇第二項(xiàng)“虛擬專用網(wǎng)絡(luò)連接〞；點(diǎn)擊下一步，為該連接命名，此處為ises。點(diǎn)擊下一步，進(jìn)入VPN效勞器選擇，輸入效勞器的主機(jī)名稱或IP地址，此處輸入IP地址，如圖14所示。圖14VPN效勞器選擇點(diǎn)擊下一步進(jìn)入完成窗體，勾選創(chuàng)立桌面快捷方式，點(diǎn)擊完成，出現(xiàn)連接窗體。在連接窗體中輸入剛剛創(chuàng)立或指定的用戶名密碼，勾選為以下用戶保存用戶名和密碼，選擇只是我，點(diǎn)擊連接，如圖15所示。圖15連接VPN連接成功后，桌面右下角會有相應(yīng)提示；同時(shí)網(wǎng)絡(luò)連接中顯示已連接，如圖16所示。圖16連接成功翻開cmd窗口，，結(jié)果如圖17所示。圖17配置完成后ping內(nèi)網(wǎng)IP實(shí)驗(yàn)分析遠(yuǎn)程查看VPN連接狀態(tài)，如圖18所示。圖18效勞器端遠(yuǎn)程查看連接狀態(tài)本地查看連接狀態(tài)，如圖19所示。圖19本地查看連接狀態(tài)驗(yàn)證PPTPVPN的加密特性使用wireshark分別從真實(shí)網(wǎng)卡和VPN建立的虛擬隧道上抓取數(shù)據(jù)包，比擬實(shí)現(xiàn)相同的網(wǎng)絡(luò)操作，數(shù)據(jù)包有什么不同。網(wǎng)關(guān)到網(wǎng)關(guān)的PPTPVPN的配置和使用網(wǎng)絡(luò)環(huán)境配置參照該局部實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)溥M(jìn)行如下的網(wǎng)絡(luò)環(huán)境配置：主機(jī)A的本地IP為，Windows實(shí)驗(yàn)臺A的兩個(gè)IP分別為和；主機(jī)B的本地IP為，Windows實(shí)驗(yàn)臺B的兩個(gè)IP分別為和。主機(jī)A的設(shè)置確定本地IP設(shè)置為20網(wǎng)段。進(jìn)入Windows實(shí)驗(yàn)臺的系統(tǒng)，確定系統(tǒng)的兩個(gè)IP分別為20網(wǎng)段和22網(wǎng)段。翻開“路由與遠(yuǎn)程訪問〞，在左側(cè)窗口選擇網(wǎng)絡(luò)接口，右擊網(wǎng)絡(luò)接口，選擇新建請求撥號接口，如圖20所示。圖20新建請求撥號接口進(jìn)入新建向?qū)?，點(diǎn)擊下一步，接口名稱輸入server1，該名稱用于對端進(jìn)行撥入連接，如圖21所示。圖21輸入接口名稱點(diǎn)擊下一步，連接類型選擇“使用虛擬專用網(wǎng)絡(luò)〞，如圖22所示。圖22選擇連接類型點(diǎn)擊下一步，VPN類型選擇“自動選擇〞；點(diǎn)擊下一步，目標(biāo)地址輸入對端效勞器的IP地址，如圖23所示。圖23設(shè)定目標(biāo)地址點(diǎn)擊下一步，協(xié)議及平安措施選擇“在此接口上路由選擇IP數(shù)據(jù)包〞和“添加一個(gè)用戶賬戶使遠(yuǎn)程路由器可以撥入〞，如圖24所示。圖24協(xié)議及平安措施點(diǎn)擊下一步，點(diǎn)擊添加，添加遠(yuǎn)程網(wǎng)絡(luò)撥入時(shí)的靜態(tài)路由，如圖25所示；點(diǎn)擊確定返回向?qū)Т绑w，如圖26所示。圖25添加靜態(tài)路由圖26添加結(jié)果點(diǎn)擊下一步，設(shè)置撥入憑據(jù)，輸入密碼為123，如圖27所示。圖27設(shè)置撥入憑據(jù)點(diǎn)擊下一步，設(shè)置撥出憑據(jù)，用戶名為server2，密碼為123，如圖28所示。圖28設(shè)置撥出憑據(jù)點(diǎn)擊下一步，點(diǎn)擊完成。查看“路由與遠(yuǎn)程訪問〞窗口，可以看到建立了一個(gè)名為“server1〞的請求撥號連接，即為對端要撥入的連接，如圖29所示。圖29添加接口成功主機(jī)B的設(shè)置確定主機(jī)B的本地IP設(shè)置為21網(wǎng)段。進(jìn)入Windows實(shí)驗(yàn)臺系統(tǒng)，確定系統(tǒng)的兩個(gè)IP分別為21網(wǎng)段和22網(wǎng)段。翻開“路由與遠(yuǎn)程訪問〞，在左側(cè)窗口中右鍵單擊以計(jì)算機(jī)名命名的效勞器，選擇屬性，如圖30所示。圖30右擊選擇屬性選擇IP選項(xiàng)卡，選定靜態(tài)地址池，點(diǎn)擊編輯，如圖31所示。圖31選擇IP選項(xiàng)卡下的靜態(tài)地址池將起始地址修改為，終止地址修改為，使之對應(yīng)內(nèi)網(wǎng)網(wǎng)段(此處為21網(wǎng)段)，如圖32所示；點(diǎn)擊確定返回屬性窗體，點(diǎn)擊確定應(yīng)用修改。圖32修改靜態(tài)地址范圍在左側(cè)窗口選擇網(wǎng)絡(luò)接口，右擊網(wǎng)絡(luò)接口，選擇新建請求撥號接口，進(jìn)入新建向?qū)А｜c(diǎn)擊下一步，接口名稱輸入server2，對應(yīng)主機(jī)A的撥出憑證的用戶名，用于主機(jī)A撥入主機(jī)B。點(diǎn)擊下一步，連接類型選擇“使用虛擬專用網(wǎng)絡(luò)〞。點(diǎn)擊下一步，VPN類型選擇“自動選擇〞。點(diǎn)擊一步，目標(biāo)地址輸入對端效勞器的IP地址，如圖33所示。圖33輸入目標(biāo)地址點(diǎn)擊下一步，協(xié)議及平安措施選擇“在此接口上路由選擇IP數(shù)據(jù)包〞和“一個(gè)用戶帳戶使遠(yuǎn)程路由器可以撥入〞。點(diǎn)擊下一步，點(diǎn)擊添加，添加遠(yuǎn)程網(wǎng)絡(luò)撥入時(shí)的靜態(tài)路由，如圖34所示。圖34設(shè)定靜態(tài)路由點(diǎn)擊下一步，設(shè)置撥入憑據(jù)，輸入密碼為123，如圖35所示。圖35設(shè)置撥入憑據(jù)點(diǎn)擊下一步，設(shè)置撥出憑據(jù)，用戶名為server1，密碼為123，如圖36所示。圖36設(shè)置撥出憑據(jù)點(diǎn)擊下一步，點(diǎn)擊完成。查看“路由與遠(yuǎn)程訪問〞窗口，可以看到建立了一個(gè)名為“server2〞的請求撥號連接，即為對端要撥入的連接，如圖37所示。圖37添加接口成功網(wǎng)絡(luò)連通性驗(yàn)證在主機(jī)A的本地時(shí)，最初需要協(xié)商，顯示網(wǎng)絡(luò)不通。待協(xié)商完成后，再次ping即可顯示出網(wǎng)絡(luò)暢通。上述過程如圖38所示。圖38網(wǎng)絡(luò)連接成功驗(yàn)證PPTPVPN的加密特性用wireshark進(jìn)行數(shù)據(jù)包抓取，從數(shù)據(jù)包中可以看到兩主機(jī)之間的數(shù)據(jù)交互是通過vpn進(jìn)行的，并且均已加密?！緦?shí)驗(yàn)步驟】主機(jī)到主機(jī)主機(jī)配置本地主機(jī)根據(jù)實(shí)驗(yàn)拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)環(huán)境配置。實(shí)驗(yàn)臺中，添加關(guān)于ICMP協(xié)議的平安策略控制面板\管理工具\(yùn)本地平安設(shè)置\翻開IP平安策略向?qū)?，新建一個(gè)IP策略，如圖4所示。圖3圖4IP平安策略向?qū)нx擇認(rèn)證方式，如圖5所示；然后對該策略進(jìn)行編輯，如圖3.3.26所示。圖5IP平安策略向?qū)D6IP平安策略向?qū)c(diǎn)擊“添加〞，添加新的IP規(guī)那么，如圖7所示。圖7添加IP平安規(guī)那么，選擇所有ICMP通訊，如圖8和圖9所示。圖8圖9配置身份驗(yàn)證方法，如圖10所示。圖10新規(guī)那么點(diǎn)擊確定，完成；配置成功后如圖11所示。圖11本地平安設(shè)置本地主機(jī)，添加ICMP平安策略具體步驟同虛擬主機(jī)步驟，暫時(shí)并不激活該規(guī)那么，注意本地預(yù)共享密鑰需與實(shí)驗(yàn)臺的一致，才能保證實(shí)驗(yàn)正常。ping程序測試連接本地主機(jī)ping172.20.0.1–t查看連接狀態(tài)，如圖12所示。圖12在運(yùn)行ping的同時(shí)，右鍵點(diǎn)擊新建的IP平安策略，選擇指派，查看ping程序運(yùn)行狀態(tài)，如圖13所示。圖13對兩臺機(jī)器同時(shí)指派，查看ping狀態(tài)，如圖14所示，可以看到兩臺主機(jī)已經(jīng)可以ping通。圖14開啟協(xié)議分析軟件，查看雙方加密的交互過程密鑰交換過程，如圖15所示。圖15ICMP協(xié)議加密，如圖16所示。圖16網(wǎng)關(guān)到網(wǎng)關(guān)網(wǎng)絡(luò)配置依據(jù)實(shí)驗(yàn)環(huán)境，網(wǎng)關(guān)A上進(jìn)行網(wǎng)絡(luò)環(huán)境配置查看主機(jī)A的IP地址，并添加其網(wǎng)絡(luò)地址；主機(jī)A本地添加路由：(或修改默認(rèn)網(wǎng)關(guān)為172.20.3.X)；；routeadd172.22.0.0mask255.2；圖17主機(jī)A中的實(shí)驗(yàn)臺啟用LAN路由〔控制面板\管理工具\(yùn)路由和遠(yuǎn)程訪問〕，如圖18所示。圖18圖19指定A主機(jī)實(shí)驗(yàn)臺的默認(rèn)網(wǎng)關(guān)為；如以下圖所示：圖20本地連接查看并添加B主機(jī)網(wǎng)絡(luò)地址；主機(jī)B本地添加路由：(或修改默認(rèn)網(wǎng)關(guān)為172.21.3.Y)；routeadd172.20.0.0mask255.255.0.0172.2；；主機(jī)B中的實(shí)驗(yàn)臺啟用LAN路由(同(3))；指定B主機(jī)實(shí)驗(yàn)臺的默認(rèn)網(wǎng)關(guān)為〔同〔4〕〕。創(chuàng)立IPSec策略在A機(jī)實(shí)驗(yàn)臺上運(yùn)行IPSec策略管理控制臺，即在起命令行窗口運(yùn)行“secpol.msc〞，翻開“本地平安設(shè)置〞窗口，進(jìn)行IP平安策略設(shè)置。創(chuàng)立本實(shí)驗(yàn)臺計(jì)算機(jī)IP平安策略。例如“ServerA〞；如以下圖所示：圖21IP平安策略向?qū)D22IP平安策略向?qū)D23IP平安策略向?qū)D24IP平安策略向?qū)D25IP平安策略向?qū)нx中“編輯屬性〞復(fù)選框，單擊“完成〞，至此已創(chuàng)立名為“ServerA〞的IP平安策略，以下步驟為設(shè)置其屬性。主機(jī)B實(shí)驗(yàn)臺新建IPSec策略“ServerB〞，步驟略。主機(jī)A平安規(guī)那么添加“a-b〞的IPSec篩選器列表圖26添加規(guī)那么如REF_Ref270663901*MERGEFORMAT圖26所示，在“a-b〞屬性框中，去除“使用添加向?qū)Ж晱?fù)選框，單擊“添加〞按鈕，添加IPSec篩選器；在“IP篩選器列表〞窗口，輸入名稱“a-b〞，去除“使用添加向?qū)Ж晱?fù)選框，單擊添加按鈕，進(jìn)入IP篩選器屬性窗口。“源地址〞選擇“一個(gè)特定的子網(wǎng)〞，“目標(biāo)地址〞也選擇“一個(gè)特定的子網(wǎng)〞，分別填上IP地址，該規(guī)那么定義了從主機(jī)A到主機(jī)B的網(wǎng)絡(luò)之間所使用的規(guī)那么，去除“鏡像〞復(fù)選框；在“協(xié)議〞標(biāo)簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關(guān)閉〞，至此已添加好名為“a-b〞的篩選器。配置身份驗(yàn)證方法在“本地平安設(shè)置〞窗口中，右鍵點(diǎn)擊“ServerA〞，選擇屬性，翻開“ServerA屬性〞窗口，編輯“a-b篩選器〞，然后單擊“身份驗(yàn)證方法〞標(biāo)簽。單擊“添加〞按鈕，選擇“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)〞單項(xiàng)選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗(yàn)證方法，如圖26所示。圖27配置a-b篩選器規(guī)那么：隧道設(shè)置項(xiàng)IPSec需要在篩選器列表中指定的計(jì)算機(jī)之間同時(shí)有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計(jì)算機(jī)響應(yīng)平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個(gè)在通訊發(fā)送之前進(jìn)行的平安協(xié)商。例如，如果計(jì)算機(jī)A要與計(jì)算機(jī)B平安地交換數(shù)據(jù)，計(jì)算機(jī)A上的活動IPSec策略必須有針對計(jì)算機(jī)B的IPSec策略的篩選器。A實(shí)驗(yàn)臺隧道終點(diǎn)IP地址為，如圖27所示。圖28定義IPSec篩選器操作在“ServerA〞屬性窗口雙擊“a-b〞，再單擊“篩選器操作〞標(biāo)簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如保持完整性，如圖28所示。圖29添加b-a的IPSec篩選器列表圖30如圖29所示，在“b-a〞屬性框中，去除“使用添加向?qū)Ж晱?fù)選框，單擊“添加〞按鈕，添加IPSec篩選器；“源地址〞選擇“一個(gè)特定的子網(wǎng)〞，“目標(biāo)地址〞也選擇“一個(gè)特定的子網(wǎng)〞，分別填上IP地址，該規(guī)那么定義了從主機(jī)B到主機(jī)A的網(wǎng)絡(luò)之間所使用的規(guī)那么，如圖30所示，去除“鏡像〞復(fù)選框；在“協(xié)議〞標(biāo)簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關(guān)閉〞，至此已添加好名為“b-a〞的篩選器。圖31配置身份驗(yàn)證方法編輯“b-a篩選器列表〞，然后單擊“身份驗(yàn)證方法〞標(biāo)簽；單擊“添加〞按鈕，選擇“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)〞單項(xiàng)選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗(yàn)證方法，如圖31所示。圖32配置b-a規(guī)那么隧道終結(jié)點(diǎn)IPSec需要在篩選器列表中指定的計(jì)算機(jī)之間同時(shí)有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計(jì)算機(jī)響應(yīng)平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個(gè)在通訊發(fā)送之前進(jìn)行的平安協(xié)商。例如，如果計(jì)算機(jī)B要與計(jì)算機(jī)A平安地交換數(shù)據(jù)，計(jì)算機(jī)B上的活動IPSec策略必須有針對計(jì)算機(jī)A的IPSec策略的篩選器。A實(shí)驗(yàn)臺隧道終點(diǎn)IP地址為，如圖32所示。圖33定義IPSec篩選器操作雙擊“b-a〞，再單擊“篩選器操作〞標(biāo)簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如“僅保持完整性〞，如圖33所示。圖34主機(jī)B網(wǎng)絡(luò)配置添加a-b的IPSec篩選器列表圖35如圖34所示，在“a-b〞屬性框中，去除“使用添加向?qū)Ж晱?fù)選框，單擊“添加〞按鈕，添加IPSec篩選器；在“IP篩選器列表〞窗口，輸入名稱“a-b〞，去除“使用添加向?qū)Ж晱?fù)選框，單擊添加按鈕，進(jìn)入IP篩選器屬性窗口?！霸吹刂法曔x擇“一個(gè)特定的子網(wǎng)〞，“目標(biāo)地址〞也選擇“一個(gè)特定的子網(wǎng)〞，分別填上IP地址，該規(guī)那么定義了從主機(jī)A到主機(jī)B的網(wǎng)絡(luò)之間所使用的規(guī)那么，去除“鏡像〞復(fù)選框；在“協(xié)議〞標(biāo)簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關(guān)閉〞，至此已添加好名為“a-b〞的篩選器。配置身份驗(yàn)證方法編輯“a-b篩選器列表〞，然后單擊“身份驗(yàn)證方法〞標(biāo)簽。單擊“添加〞按鈕，選擇“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)〞單項(xiàng)選擇框，輸入“123456〞，單擊“確定〞。至此已配置好身份驗(yàn)證方法，如圖35所示。圖36配置a-b規(guī)那么隧道終結(jié)點(diǎn)IPSec需要在篩選器列表中指定的計(jì)算機(jī)之間同時(shí)有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計(jì)算機(jī)響應(yīng)平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個(gè)在通訊發(fā)送之前進(jìn)行的平安協(xié)商。例如，如果計(jì)算機(jī)A要與計(jì)算機(jī)B平安地交換數(shù)據(jù)，計(jì)算機(jī)A上的活動IPSec策略必須有針對計(jì)算機(jī)B的IPSec策略的篩選器。A實(shí)驗(yàn)臺隧道終點(diǎn)IP地址為，如圖36所示。圖37定義IPSec篩選器操作雙擊“a-b〞，再單擊“篩選器操作〞標(biāo)簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如保持完整性，如圖37所示。圖38添加b-a的IPSec篩選器列表圖39如圖38所示，在“b-a〞屬性框中，去除“使用添加向?qū)Ж晱?fù)選框，單擊“添加〞按鈕，添加IPSec篩選器“源地址〞選擇“一個(gè)特定的子網(wǎng)〞，“目標(biāo)地址〞也選擇“一個(gè)特定的子網(wǎng)〞，分別填上IP地址，該規(guī)那么定義了從主機(jī)B到主機(jī)A的網(wǎng)絡(luò)之間所使用的規(guī)那么，如圖39所示，去除“鏡像〞復(fù)選框；在“協(xié)議〞標(biāo)簽中“選擇協(xié)議類型〞為“任意〞，單擊“確定〞，再單擊“關(guān)閉〞，至此已添加好名為“b-a〞的篩選器。圖40篩選器配置身份驗(yàn)證方法編輯“b-a篩選器列表〞，然后單擊“身份驗(yàn)證方法〞標(biāo)簽。單擊“添加〞按鈕，選擇“此字串用來保護(hù)密鑰交換(預(yù)共享密鑰)〞單項(xiàng)選擇框，輸入“123456〞，單擊“確定〞，至此已配置好身份驗(yàn)證方法，如圖40所示。圖41配置b-a規(guī)那么隧道終結(jié)點(diǎn)IPSec需要在篩選器列表中指定的計(jì)算機(jī)之間同時(shí)有入站和出站篩選器。入站篩選器適用于傳入的通訊，并允許接收端的計(jì)算機(jī)響應(yīng)平安通訊請求；或者按照IP篩選器列表匹配通訊。出站篩選器適用于傳出的通訊，并觸發(fā)一個(gè)在通訊發(fā)送之前進(jìn)行的平安協(xié)商。例如，如果計(jì)算機(jī)B要與計(jì)算機(jī)A平安地交換數(shù)據(jù)，計(jì)算機(jī)B上的活動IPSec策略必須有針對計(jì)算機(jī)A的IPSec策略的篩選器。A實(shí)驗(yàn)臺隧道終點(diǎn)IP地址為，如圖41所示。圖42定義IPSec篩選器操作雙擊“b-a〞，再單擊“篩選器操作〞標(biāo)簽，單擊“編輯〞按鈕，在“需求平安屬性〞對話框中，定義所使用的平安措施，例如“僅保持完整性，如圖42所示。圖43測試IPSec策略按要求分別在A、B兩機(jī)配置好IPSec策略后，需測試其是否正常工作，在測試前需將A、B兩機(jī)配置成路由器，并起用IP路由功能，(“路由和遠(yuǎn)程訪問〞)。同時(shí)需在A機(jī)上添加到B機(jī)所在內(nèi)網(wǎng)段的路由項(xiàng),在B機(jī)上添加到A機(jī)所在內(nèi)網(wǎng)段的路由項(xiàng)。在做好這些準(zhǔn)備工作后，IPSec策略測試步驟如下：運(yùn)行IPSec策略管理控制臺，在左邊窗口選擇“IP平安策略，在本地機(jī)器〞，在右邊窗口出現(xiàn)創(chuàng)立的名為“ServerA〞或“ServerB〞平安通信的IPSec策略，右擊“ServerA和ServerA的平安通信〞，選擇“指派〞，那么其“策略已指派〞欄由“否〞變?yōu)椤笆迁?。在A、B兩機(jī)上均需做此操作。在A主機(jī)上翻開命令窗口，做PING操作(即ping–t172.21.X.X)。該操作中源和目的IP地址匹配我們在A、B兩機(jī)上設(shè)置的篩選器，其將觸發(fā)B、A之間的平安通信。在B主機(jī)上翻開IP平安監(jiān)控工具注：Windows2000方法：“開始|運(yùn)行|IPSecmon〞即可。Windowsxp運(yùn)行mmc，添加名為“Ip管理監(jiān)視器〞的管理單元。Windowsxp下如圖43所示。圖44查看IPSec密鑰交換過程ICMP協(xié)議加密如圖44所示。圖45【實(shí)驗(yàn)步驟】根據(jù)實(shí)驗(yàn)拓?fù)渑渲铆h(huán)境根據(jù)實(shí)驗(yàn)環(huán)境中的拓?fù)鋱D，配置效勞器(Windows實(shí)驗(yàn)臺)與客戶端(本地主機(jī))的IP地址。安裝與配置這一局部是效勞端跟客戶端都要做的工作，操作完全相同。具體如下：雙擊openvpn-.exe進(jìn)行安裝，點(diǎn)擊NEXT、IAgree、NEXT之后開始選擇安裝路徑，手動修改為C:\ProgramFiles\OpenVPN。點(diǎn)擊Install開始安裝，安裝過程如圖2所示；安裝過程中，彈出硬件安裝窗口，點(diǎn)擊仍然繼續(xù)，安裝虛擬網(wǎng)卡。點(diǎn)擊next、Finish完成安裝。圖2VPN效勞器初始化配置在進(jìn)行操作之前，首先進(jìn)行初始化工作：翻開命令提示符：“開始|運(yùn)行〞，鍵入cmd，回車，進(jìn)入命令提示符；或者“開始|程序|附件|命令提示符〞；進(jìn)入C:\ProgramFiles\openvpn\easy-rsa目錄下，開始初始化，具體命令如下：cdC:\ProgramFiles\openvpn\easy-rsainit-configvarsclean-all如以下圖：圖3上面是初始化工作，以后，在進(jìn)行證書制作工作時(shí)，仍舊需要進(jìn)行初始化，但只需要進(jìn)入openvpn\easy-rsa目錄，運(yùn)行vars就可以了，不需要上面那些步驟了。效勞器證書的制作生成根證書輸入build-ca.bat，如圖4所示；圖4輸入build-dh.bat，如圖5所示。圖5生成效勞端密鑰輸入build-key-serverserver，生成效勞端密鑰；生成效勞端密鑰的過程中，所填寫的commonname需要與build-ca中所輸入的commonname名稱一致，其余的摁空格選擇默認(rèn)或手動輸入皆可；具體如圖6所示。圖6生成客戶端密鑰輸入build-keyclient1生成第一個(gè)VPN客戶端密鑰，如圖7所示；圖7build-keyclient2//可以繼續(xù)配置第二個(gè)VPN客戶端密鑰；生成的密鑰存放于C:\ProgramFiles\openvpn\easy\rsa\keys目錄下。配置效勞器在C:\ProgramFiles\OpenVPN\easy-rsa\keys目錄下，將生成的“ca.crt〞、“dh1024.pem〞、“server.crt〞、“server.key〞復(fù)制到C:\ProgramFiles\OPENVPN\KEY目錄下〔如果沒有可以自己創(chuàng)立〕,這四個(gè)文件是VPN效勞端運(yùn)行所需要的文件。注：“ca.crt〞“dh1024.pem〞“server.crt〞“server.key〞這四個(gè)文件是VPN效勞端運(yùn)行所需要的文件?！癱a.crt〞“client.crt〞“client.key〞是VPN客戶端所需要的文件在C:\ProgramFiles\OpenVPN\config目錄下創(chuàng)立server.ovpn，效勞器端文件(server.ovpn)例如：local172.22.1.X#建立VPN的IPport443#端口號，根據(jù)需要，自行修改，如果是用代理連接，請不要修改prototcp-server#通過TCP協(xié)議連接devtap#win下必須設(shè)為tapserver172.20.0.0255.255.0.0#虛擬局域網(wǎng)網(wǎng)段設(shè)置，請根據(jù)需要自行修改，不支持和拔號網(wǎng)卡位于同一網(wǎng)段push"route.00.0.0.0"#表示client通過VPNSERVER上網(wǎng)keepalive20180ca"C:\\ProgramFiles\\OPENVPN\\KEY\\ca.crt"#CA證書存放位置，請根據(jù)實(shí)際情況自行修改cert"C:\\ProgramFiles\\OPENVPN\\KEY\\server.crt"#效勞器證書存放位置，請根據(jù)實(shí)際情況自行修改key"C:\\ProgramFiles\\OPENVPN\\KEY\\server.key"#效勞器密鑰存放位置，請根據(jù)實(shí)際情況自行修改dh"C:\\ProgramFiles\\OPENVPN\\KEY\\dh1024.pem"#dh1024.pem存放位置，請根據(jù)實(shí)際情況自行修改push"redirect-gatewaydef1"push"dhcp-optionDNS219.141.140.10"#DNS，請根據(jù)實(shí)際情況自行修改modeservertls-serverstatus"C:\\ProgramFiles\\OPENVPN\\log\\openvpn-status.log"#LOG記錄文件存放位置，請根據(jù)實(shí)際情況自行修改comp-lzoverb4配置客戶端“ca.crt〞“client.crt〞“client.key〞是VPN客戶端所需要的文件，復(fù)制到客戶端C:\ProgramFiles\OPENVPN\KEY目錄下〔如果沒有可以自己創(chuàng)立〕。在客戶端安裝完成之后，需要將ca.crtclient