Windows XP环境下IPSec 隧道的配置

前言：这是这学期防火墙课程的一个实验，觉得挺有意义，所以记录在博客里。

一、 实验目的
本实验主要验证IP通信在建立IPSec隧道前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二、实验环境
实验中使用以下软件和硬件设备
（1）Windows XP操作系统至少2台；
（2）使用wireshark软件进行监控；
（地址根据你所使用的主机地址确定）

五、实验步骤
（1）为了观察方便，首先把嗅探者的嗅探软件打开，然后在两台机器中启动PING，即在169.254.221.106机器中使用命令ping 169.254.201.153 –t，而在169.254.201.153机器中使用命令ping 169.254.221.106 –t。这样可以看到两台机器均能显示正常的回应。而在嗅探器中，同样显示其正常的ICMP通信。

（2）能观察到两端的正常通信后，开始IPSec的配置（一个同学先设置，设置完查看运行结果后，另外一个同学再设置）。打开控制面板中的【管理工具】，双击里面的【本地安全策略】。右击左边树状菜单中的【IP安全策略，在本地机器】。

（3）选择右键菜单中的【创建IP安全策略】，系统将弹出【IP安全策略向导】。单击【下一步】按钮。然后为该安全策略命名，如“icmp-ipsec”，再单击【下一步】按钮。

（4）在【安全通信请求】对话框中，去掉【激活默认响应规则】的选择，单击【下一步】按钮，此时已完成了安全策略向导，保留【编辑属性】的选择，然后单击【完成】按钮退出。

（5）完成后，将立即弹出其属性对话框。首先去掉【使用“添加向导”】的选择，然后单击【添加】按钮，弹出如图所示的对话框。

（6）在【IP筛选器列表】选项卡中，选择【所有ICMP通信量】，由于软件本身表达如此，故未改。

（7）单击【筛选器操作】标签，选择【筛选器操作】列表中的【需要安全】。

（8）单击【身份验证方法】标签，单击【添加】按钮，弹出如图所示的对话框。

（9）选择【使用此字串（预共享密钥）】，然后输入共享密钥，此处使用“123456”，然后单击【确定】按钮退出。

（10）回到【新规则属性】对话框，单击【确定】按钮退出，同样，回到【icmp-IPSec属性】对话框后，单击【关闭】按钮退出。
（11）回到【本地安全设置】窗口，右击icmp-ipsec，选择【指派】菜单项，如图所示。

（12）此时观察两端的ICMP通信，将发现以下情况：在已配置策略的一端，系统将提示Negotiating IP Security；而没有配置的一端，系统直接提示Requst timed out，如图所示。

（13）在另一端，进行上述策略的同样设置（完全一样），请再次观察效果，此时发现ICMP通信恢复了正常，重点在于嗅探机的变化，抓取数据包，并分析数据包。

可以发现，sniffer Pro能够识别出数据包是ESP的，但其内容与前面观察到的ICMP数据包已经完全不同了。

思考：
（1）比较直接传输的数据包和通过虚拟专用网传输的数据包的不同。
通过虚拟专用网（v。。p。。n）传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。
直接传输不需要身份验证，安全性比较低。