实验十一、链路层加密实验指导书

《实验十一、链路层加密实验指导书》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、实验^一链路层加密实验实验所属系列：网络安全综合实验系列实验对象：本科相关课程及专业：计算机网络安全、信息安全实验时数(学分)：4学时实验类别：实践实验类实验开发教师：i甚黔燕【实验目的】1、了解链路层加密及IPSec协议的工作原理。2、了解加密卡在链路层加密中的原理及作用。3、掌握在路由器中用加密卡实现链路层加密的配置方法。【实验内容】1、建立实验网络环境，以便在路由器A和路由器B之间建立一个安全隧道，通过对加密卡进行相应配置，实现PCA代表的子网(192.168.1.0/24)与PCB代表的子网(192.168.2.0/24)之间的数据流的安全保护。2、分别对两台路由器进行配置，配置

2、要求为：使用TKE协商方式建立安全联盟，安全协议采用ESP协议，加密算法采用DES,认证算法采用shal-hmac-96o3、验证实验结果。【实验环境】1、个人计算机两台，安装WIN2000Pro/XPo2、华为AR28-09路由器两台。3、交叉网线三条。4^Console配置线一条。【实验参考步骤】1、按以下拓扑结构组网。Ethernet2/020.1.1.1192.168.1.2Ethernet2/020.1.1.2路由器B

3、1)更改路由器名称sysnameRouteA(2)创建一条IKE提议1ikeproposal1(3)指定IKE安全提议釆用的加密算法为CBC模式的3DES算法。encryption-algorithm3des-cbc(4)指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组dhgroup2(5)指定IKE提议的认证算法为MD5authentication-algorithmmd5(6)配置ike对等体为routerb,ike协筒所使用的身份认证字为huaweio对端ip为20.1.1.2ikepeerrouterbpre-shared-keyhuaweiremote-

4、address20.1.1.2(7)创建名为1的加密卡安全协议并进入其视图。使用槽位1/0并设定提议采用ESP3DES加密算法。ipseccard-proposal1useencrypt-card1/0espencryption-algorithm3des(8)创建一条安全策略，协商方式为ISAKMPoipsecpolicypolicy11isakmp(9)引用3000号访问控制列表。securityacl3000(10)引用IKE对等体ike-peerrouterb(12)引用安全提议1proposal1(13)进入EthernetO/O配置视图，配置EthernetO/O的ip地址i

5、nterfaceEthernetO/Oipaddress192.168.1.1255.255.255.0(14)进入Ehthernet2/0配置视图，配置Ethernet2/0的ip地址为interfaceEthernet2/0ipaddress20.1.1」255.255.255.252(15)在串口上应用安全策略组。使用easy-ip的特性，地址转换时，使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。natoutbound3001ipsecpolicypolicy1(16)配置一个访问控制列表,定义由子网192.168.1.x去子网192.168.2

6、.x的数据流。aclnumber3000rule0permitipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255(12)创建访问控制列表，以拒绝指定PC之间的IP通信。aclnumber3001rule0denyipsource192」6&1.00.0.0.255destination192.16&2.00.0.0.255rule1permitip(13)指定静态路由iproute-static0.0.0.00.0.0.020.1.1.2(14)保存配置save5、对路rh器b进行加密设置(1)更改路由器名称sysnam

7、eRouteB(2)创建一条IKE提议1ikeproposal1(3)以下命令用來指定IKE安全提议采用的加密算法为CBC模式的3DES算法。encryption-algorithm3des-cbc(4)指定阶段1密钥协商时釆用1024-bit的Diffie-Hellman组dhgroup2(5)指定IKE提议的认证算法为MD5authentication-algorithmmd5(6)配置ike对等体为routerA,ike协商所