实验十一、链路层加密实验 实验开发教师：谌黔燕.

Presentation on theme: "实验十一、链路层加密实验 实验开发教师：谌黔燕."— Presentation transcript:

1 实验十一、链路层加密实验 实验开发教师：谌黔燕

2 【实验目的】 1、了解链路层加密及IPSec协议的工作原理。 2、了解加密卡在链路层加密中的原理及作用。 3、掌握在路由器中用加密卡实现链路层加密的配置方法。 【实验内容】 1、建立实验网络环境，以便在路由器A和路由器B之间建立一个安全隧道,通过对加密卡进行相应配置，实现PC A代表的子网（ /24）与PC B代表的子网（ /24）之间的数据流进行安全保护。 2、分别对两台路由器进行配置，配置要求为：使用IKE协商方式建立安全联盟，安全协议采用ESP协议，加密算法采用DES，认证算法采用sha1-hmac-96。 3、验证实验结果。

3 【实验环境】 1、个人计算机两台，安装WIN 2000 Pro/XP。 2、华为AR 28-09路由器两台。 3、交叉网线三条。 4、Console配置线一条。 【实验参考步骤】 1、按以下拓扑结构组网。

4 路由器A 路由器B Ethernet0/ Ethernet0/ Ethernet2/ Ethernet2/ PC A： PC B： 图1-1 链路层加密组网拓扑结构图

5 2、规划网络地址信息 3、按实验一方法进入“超级终端”状态，建立网络配置环境。 4、对路由器A进行加密设置 5、对路由器B进行加密设置 6、用ping命令验证配置结果。记录实验验证结果. 【实验报告】 1、提交规划的地址信息表。 2、结果分析。

6 【实验预备知识】 1、加密卡 使用路由器IPSec软件进行加密/解密将占用大量的CPU资源，从而影响了路由器整体的处理效率。加密卡（模块化硬件插卡）用硬件方式完成数据的IPSec运算，消除了VRP主体软件处理IPSec对整体性能的影响，提高了路由器的工作效率，同时也提高了IPSec的处理效率。 加密卡进行加/解密处理的过程是：路由器将需要加/解密处理的数据发给加密卡，加密卡对数据进行加/解密运算并给数据添加/删除加密帧头，然后加密卡将处理后的数据发送回路由器，再由路由器进行转发处理。

7 2、 加密卡主要配置包括： (1)   配置访问控制列表 (2)  使能加密卡 (3)   定义加密卡安全提议 创建加密卡安全提议 指定加密卡安全提议使用的加密卡的槽位 选择报文封装形式 选择安全协议选择安全算法 (4)   创建安全策略 包括手工创建安全策略和用IKE创建安全策略。用 IKE创建安全策略的步骤如下: 创建安全策略 在安全策略中引用加密卡安全提议

8 在安全策略中引用访问控制列表 在安全策略中引用IKE对等体 配置安全联盟生存周期（可选） 配置协商时使用的PFS特性（可选） (5)  配置安全策略模板（可选） (6)   在接口上应用安全策略