实验十一、链路层加密实验 实验开发教师:谌黔燕
【实验目的】 1、了解链路层加密及IPSec协议的工作原理。 2、了解加密卡在链路层加密中的原理及作用。 3、掌握在路由器中用加密卡实现链路层加密的配置方法。 【实验内容】 1、建立实验网络环境,以便在路由器A和路由器B之间建立一个安全隧道,通过对加密卡进行相应配置,实现PC A代表的子网(192.168.1.0/24)与PC B代表的子网(192.168.2.0/24)之间的数据流进行安全保护。 2、分别对两台路由器进行配置,配置要求为:使用IKE协商方式建立安全联盟,安全协议采用ESP协议,加密算法采用DES,认证算法采用sha1-hmac-96。 3、验证实验结果。
【实验环境】 1、个人计算机两台,安装WIN 2000 Pro/XP。 2、华为AR 28-09路由器两台。 3、交叉网线三条。 4、Console配置线一条。 【实验参考步骤】 1、按以下拓扑结构组网。
路由器A 路由器B Ethernet0/0 192.168.1.1 Ethernet0/0 192.168.2.1 Ethernet2/0 20.1.1.1 Ethernet2/0 20.1.1.2 PC A: 192.168.1.2 PC B: 192.168.2.2 图1-1 链路层加密组网拓扑结构图
2、规划网络地址信息 3、按实验一方法进入“超级终端”状态,建立网络配置环境。 4、对路由器A进行加密设置 5、对路由器B进行加密设置 6、用ping命令验证配置结果。记录实验验证结果. 【实验报告】 1、提交规划的地址信息表。 2、结果分析。
【实验预备知识】 1、加密卡 使用路由器IPSec软件进行加密/解密将占用大量的CPU资源,从而影响了路由器整体的处理效率。加密卡(模块化硬件插卡)用硬件方式完成数据的IPSec运算,消除了VRP主体软件处理IPSec对整体性能的影响,提高了路由器的工作效率,同时也提高了IPSec的处理效率。 加密卡进行加/解密处理的过程是:路由器将需要加/解密处理的数据发给加密卡,加密卡对数据进行加/解密运算并给数据添加/删除加密帧头,然后加密卡将处理后的数据发送回路由器,再由路由器进行转发处理。
2、 加密卡主要配置包括: (1) 配置访问控制列表 (2) 使能加密卡 (3) 定义加密卡安全提议 创建加密卡安全提议 指定加密卡安全提议使用的加密卡的槽位 选择报文封装形式 选择安全协议选择安全算法 (4) 创建安全策略 包括手工创建安全策略和用IKE创建安全策略。用 IKE创建安全策略的步骤如下: 创建安全策略 在安全策略中引用加密卡安全提议
在安全策略中引用访问控制列表 在安全策略中引用IKE对等体 配置安全联盟生存周期(可选) 配置协商时使用的PFS特性(可选) (5) 配置安全策略模板(可选) (6) 在接口上应用安全策略