文章目录
- 网络拓扑
- 添加策略
- ESP
- 添加筛选器
- 添加筛选器的操作
- 另一台主机设置
- AH
使用Windows Server 2003系统
网络拓扑
- client1
IP = 192.168.17.105 - client2
IP = 192.168.17.106
只要保证两个主机在同一网段接口,即互相ping通即可完成策略的实现
下面的所有通讯都只是互相ping地址观察数据包是否实现了安全策略。
添加策略
ESP
添加筛选器
-
点击本地安全策略
-
双击安全服务器
-
添加
-
点击下一步来到这里,依旧是默认第一个,然后点击下一步
-
下一步
-
点击添加IP筛选器
-
写好名称和描述方便辨认(然后点击添加)
-
下一步即可
-
由于上面说过我使用client2来ping另一部,所以我这里目的IP地址就是对方的105
-
下一步,选择ICMP,因为我们是通过ping的方式进行传输数据包。
完成
-
点击确定
-
选中我们添加好的新的IP筛选
添加筛选器的操作
-
依旧选择添加新的筛选器操作
继续下一步,写上名称和描述信息方便辨认
-
下一步
-
选择完整性和加密,加密的就是ESP协议,AH是仅保证完整性
-
一直下一步完成即可,然后勾选上我刚刚添加的筛选器操作即可下一步
-
这里选择共享密码,设置一个双方都知道的密码,也就是说我们待会设置另一个主机的时候,来到这里的密码要设置一样的
-
记得将其他默认勾选的都去掉,只剩下我们自己的就行,点击应用即可
-
然后指派安全服务器策略
另一台主机设置
一样的设置,一定要一样,名称和描述可以不同,还有密码一定要设置一样的。不同的就是写目的IP地址是不同的。
另一台主机设置完成后,回到client主机,打开抓包软件,然后ping通client1,发现全是ESP协议包,分析可知道ESP协议号是50,完美!
AH
添加过程同理
下面将会介绍一些不同的细节,在ESP部分也讲过。
选择仅数据完整性,因为AH不提供加密服务
完成后,双方仅仅指派AH协议的筛选器
-
排错:假设你没有ping通,那么很可能就是你没有选AH的仅仅保证完整性而是选择了加密。
- 选择你刚刚添加的AH,点击编辑选项
- 选择筛选器操作,然后选择你的AH操作,然后编辑
- 点击AH然后编辑
- 为了保险起见,我们自己定义AH,取消ESP,记住现在是选择了MD5算法,待会另一台设置的时候也是要这样设置回来MD5,然后其他就没问题了,直接指派即可。
- 选择你刚刚添加的AH,点击编辑选项
-
如果还错误就是密码不一样,来到身份验证,然后选择编辑即可
- 全部搞定后记得选择AH,然后应用,最后指派任务。
-
成功ping通,找到数据包的协议号为51,就是AH协议号,完美!