Freigeben über


Konfiguration 3: Verwenden von IPsec zwischen zwei Hosts mit lokaler Verbindung

Diese Konfiguration erstellt eine IPsec Security Association (SA) zwischen zwei Hosts im selben Subnetz, um die Authentifizierung mithilfe des Authentifizierungsheaders (AH) und des Message Digest 5 (MD5)-Hashingalgorithmus durchzuführen. In diesem Beispiel schützt die gezeigte Konfiguration den gesamten Datenverkehr zwischen zwei benachbarten Hosts: Host 1 mit der link-lokalen Adresse FE80::2AA:FF:FE53:A92C und Host 2 mit der link-lokalen Adresse FE80::2AA:FF:FE92:D0F1.

So verwenden Sie IPsec zwischen zwei Local Link-Hosts

  1. Erstellen Sie auf Host 1 mit dem Befehl ipsec6 c leere Dateien zur Sicherheitszuordnung (SAD) und Sicherheitsrichtlinie (SPD). In diesem Beispiel lautet der befehl Ipsec6.exe ipsec6 c test. Dadurch werden zwei Dateien erstellt, um Sicherheitszuordnungen (Test.sad) und Sicherheitsrichtlinien (Test.spd) manuell zu konfigurieren.

  2. Bearbeiten Sie auf Host 1 die SPD-Datei, um eine Sicherheitsrichtlinie hinzuzufügen, die den gesamten Datenverkehr zwischen Host 1 und Host 2 sichert.

    Die folgende Tabelle zeigt die Sicherheitsrichtlinie, die der Datei Test.spd vor dem ersten Eintrag für dieses Beispiel hinzugefügt wurde (der erste Eintrag in der Datei Test.spd wurde nicht geändert).

    SPD-Dateifeldname Beispielwert
    Richtlinie 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    RemotePort *
    Protokoll *
    LocalPort *
    IPSecProtocol AH
    IPSecMode TRANSPORT
    RemoteGWIPAddr *
    SABundleIndex NONE
    Richtung BIDIRECT
    Aktion ANWENDEN
    InterfaceIndex 0

     

    Platzieren Sie ein Semikolon am Ende der Zeile, um diese Sicherheitsrichtlinie zu konfigurieren. Die Richtlinieneinträge müssen in absteigender numerischer Reihenfolge platziert werden.

  3. Bearbeiten Sie auf Host 1 die SAD-Datei, und fügen Sie SA-Einträge hinzu, um den gesamten Datenverkehr zwischen Host 1 und Host 2 zu schützen. Es müssen zwei Sicherheitszuordnungen erstellt werden, eine für den Datenverkehr zu Host 2 und eine für Datenverkehr von Host 2.

    Die folgende Tabelle zeigt den ersten SA-Eintrag, der der Datei Test.sad für dieses Beispiel hinzugefügt wurde (für Datenverkehr an Host 2).

    SAD-Dateifeldname Beispielwert
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr RICHTLINIE
    SrcIPAddr RICHTLINIE
    Protokoll RICHTLINIE
    DestPort RICHTLINIE
    SrcPort RICHTLINIE
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Richtung AUSGEHENDE
    SecPolicyIndex 2

     

    Platzieren Sie ein Semikolon am Ende der Zeile, die diese SA konfiguriert.

    Die folgende Tabelle zeigt den zweiten SA-Eintrag, der der Datei Test.sad für dieses Beispiel hinzugefügt wurde (für Datenverkehr von Host 2).

    SAD-Dateifeldname Beispielwert
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr RICHTLINIE
    SrcIPAddr RICHTLINIE
    Protokoll RICHTLINIE
    DestPort RICHTLINIE
    SrcPort RICHTLINIE
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Richtung EINGEHENDE
    SecPolicyIndex 2

     

    Platzieren Sie ein Semikolon am Ende der Zeile, die diese SA konfiguriert. Die SA-Einträge müssen in absteigender numerischer Reihenfolge platziert werden.

  4. Erstellen Sie auf Host 1 eine Textdatei, die eine Textzeichenfolge enthält, die zum Authentifizieren der mit Host 2 erstellten SAs verwendet wird. In diesem Beispiel wird die Datei Test.key mit dem Inhalt "This is a test" erstellt. Sie müssen doppelte Anführungszeichen um die Schlüsselzeichenfolge einfügen, damit der Schlüssel vom tool ipsec6 gelesen werden kann.

    Die Microsoft IPv6 Technology Preview unterstützt nur manuell konfigurierte Schlüssel für die Authentifizierung von IPsec-SAs. Die manuellen Schlüssel werden konfiguriert, indem Textdateien erstellt werden, die die Textzeichenfolge des manuellen Schlüssels enthalten. In diesem Beispiel wird derselbe Schlüssel für die SAs in beide Richtungen verwendet. Sie können verschiedene Schlüssel für eingehende und ausgehende SAs verwenden, indem Sie verschiedene Schlüsseldateien erstellen und mit dem Feld KeyFile in der SAD-Datei darauf verweisen.

  5. Erstellen Sie auf Host 2 leere Sicherheitszuordnungsdateien (SAD) und Sicherheitsrichtliniendateien (SPD), indem Sie den Befehl ipsec6 c verwenden. In diesem Beispiel lautet der befehl Ipsec6.exe ipsec6 c test. Dadurch werden zwei Dateien mit leeren Einträgen zum manuellen Konfigurieren von Sicherheitszuordnungen (Test.sad) und Sicherheitsrichtlinien (Test.spd) erstellt.

    Zur Vereinfachung des Beispiels werden dieselben Dateinamen für die SAD- und SPD-Dateien auf Host 2 verwendet. Sie können auf jedem Host unterschiedliche Dateinamen verwenden.

  6. Bearbeiten Sie auf Host 2 die SPD-Datei, um eine Sicherheitsrichtlinie hinzuzufügen, die den gesamten Datenverkehr zwischen Host 2 und Host 1 schützt.

    Die folgende Tabelle zeigt den Sicherheitsrichtlinieneintrag, der vor dem ersten Eintrag zur Datei Test.spd für dieses Beispiel hinzugefügt wurde (der erste Eintrag in der Datei Test.spd wurde nicht geändert).

    Name des SPD-Dateifelds Beispielwert
    Richtlinie 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    RemotePort *
    Protokoll *
    LocalPort *
    IPSecProtocol AH
    IPSecMode TRANSPORT
    RemoteGWIPAddr *
    SABundleIndex NONE
    Richtung BIDIRECT
    Aktion ANWENDEN
    InterfaceIndex 0

     

    Platzieren Sie ein Semikolon am Ende der Zeile, um diese Sicherheitsrichtlinie zu konfigurieren. Die Richtlinieneinträge müssen in einer abnehmenden numerischen Reihenfolge platziert werden.

  7. Bearbeiten Sie auf Host 2 die SAD-Datei, und fügen Sie SA-Einträge hinzu, um den gesamten Datenverkehr zwischen Host 2 und Host 1 zu schützen. Es müssen zwei Sicherheitszuordnungen erstellt werden: eine für Datenverkehr an Host 1 und eine für Datenverkehr von Host 1.

    Die folgende Tabelle zeigt die erste SA, die der Datei Test.sad für dieses Beispiel hinzugefügt wurde (für Datenverkehr von Host 1).

    Name des SAD-Dateifelds Beispielwert
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr RICHTLINIE
    SrcIPAddr RICHTLINIE
    Protokoll RICHTLINIE
    DestPort RICHTLINIE
    SrcPort RICHTLINIE
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Richtung EINGEHENDE
    SecPolicyIndex 2

     

    Platzieren Sie ein Semikolon am Ende der Zeile, um diese SA zu konfigurieren.

    Die folgende Tabelle zeigt den zweiten SA-Eintrag, der der Datei Test.sad für dieses Beispiel hinzugefügt wurde (für Datenverkehr zu Host 1).

    Name des SAD-Dateifelds Beispielwert
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr RICHTLINIE
    SrcIPAddr RICHTLINIE
    Protokoll RICHTLINIE
    DestPort RICHTLINIE
    SrcPort RICHTLINIE
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Richtung AUSGEHENDE
    SecPolicyIndex 2

     

    Platzieren Sie ein Semikolon am Ende der Zeile, um diese SA zu konfigurieren. Die SA-Einträge müssen in einer abnehmenden numerischen Reihenfolge platziert werden.

  8. Erstellen Sie auf Host 2 eine Textdatei, die eine Textzeichenfolge enthält, die zum Authentifizieren der mit Host 1 erstellten SAs verwendet wird. In diesem Beispiel wird die Datei Test.key mit dem Inhalt "This is a test" erstellt. Sie müssen doppelte Anführungszeichen um die Schlüsselzeichenfolge einfügen, damit der Schlüssel vom ipsec6-Tool gelesen werden kann.

  9. Fügen Sie auf Host 1 die konfigurierten Sicherheitsrichtlinien und SAs aus den SPD- und SAD-Dateien mithilfe des Befehls ipsec6 a hinzu. In diesem Beispiel wird der Testbefehl ipsec6 auf Host 1 ausgeführt.

  10. Fügen Sie auf Host 2 die konfigurierten Sicherheitsrichtlinien und SAs aus den SPD- und SAD-Dateien mithilfe des Befehls ipsec6 a hinzu. In diesem Beispiel wird der Testbefehl ipsec6 auf Host 2 ausgeführt.

  11. Ping Host 1 von Host 2 mit dem Befehl ping6.

    Wenn Sie den Datenverkehr mithilfe von Microsoft Network Monitor oder einem anderen Paketsniffer erfassen, sollte der Austausch von ICMPv6-Echoanforderungs- und Echoantwortnachrichten mit einem Authentifizierungsheader zwischen dem IPv6-Header und dem ICMPv6-Header angezeigt werden.

Empfohlene Konfigurationen für IPv6

Einzelnes Subnetz mit lokalen Linkadressen

IPv6-Datenverkehr zwischen Knoten in verschiedenen Subnetzen einer IPv4-Internetarbeit (6to4)