Configuración 3: Uso de IPsec entre dos hosts de vínculo local
Esta configuración crea una asociación de seguridad (SA) IPsec entre dos hosts de la misma subred para realizar la autenticación mediante el encabezado de autenticación (AH) y el algoritmo hash de síntesis de mensajes 5 (MD5). En este ejemplo, la configuración que se muestra protege todo el tráfico entre dos hosts vecinos: Host 1, con la dirección local de vínculo FE80::2AA:FF:FE53:A92C y host 2, con la dirección local de vínculo FE80::2AA:FF:FE92:D0F1.
Para usar IPsec entre dos hosts de vínculo local
En el host 1, cree archivos de asociación de seguridad en blanco (SAD) y directiva de seguridad (SPD) mediante el comando ipsec6 c. En este ejemplo, el comando Ipsec6.exe es ipsec6 c test. Esto crea dos archivos para configurar manualmente asociaciones de seguridad (Test.sad) y directivas de seguridad (Test.spd).
En host 1, edite el archivo SPD para agregar una directiva de seguridad que proteja todo el tráfico entre el host 1 y el host 2.
En la tabla siguiente se muestra la directiva de seguridad agregada al archivo Test.spd antes de la primera entrada de este ejemplo (la primera entrada del archivo Test.spd no se modificó).
Nombre del campo de archivo SPD Valor de ejemplo Directiva 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * Protocolo * LocalPort * IPSecProtocol AH IPSecMode TRANSPORTE RemoteGWIPAddr * SABundleIndex NONE Dirección BIDIRECT Acción APLICAR InterfaceIndex 0 Coloque un punto y coma al final de la línea que configura esta directiva de seguridad. Las entradas de directiva deben colocarse en orden numérico decreciente.
En host 1, edite el archivo SAD y agregue entradas sa para proteger todo el tráfico entre el host 1 y el host 2. Se deben crear dos asociaciones de seguridad, una para el tráfico al host 2 y otra para el tráfico del host 2.
En la tabla siguiente se muestra la primera entrada de SA agregada al archivo Test.sad para este ejemplo (para el tráfico al host 2).
Nombre del campo de archivo SAD Valor de ejemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr DIRECTIVA SrcIPAddr DIRECTIVA Protocolo DIRECTIVA DestPort DIRECTIVA SrcPort DIRECTIVA AuthAlg HMAC-MD5 KeyFile Test.key Dirección SALIENTE SecPolicyIndex 2 Coloque un punto y coma al final de la línea que configura esta SA.
En la tabla siguiente se muestra la segunda entrada de SA agregada al archivo Test.sad para este ejemplo (para el tráfico del host 2).
Nombre del campo de archivo SAD Valor de ejemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr DIRECTIVA SrcIPAddr DIRECTIVA Protocolo DIRECTIVA DestPort DIRECTIVA SrcPort DIRECTIVA AuthAlg HMAC-MD5 KeyFile Test.key Dirección ENTRANTES SecPolicyIndex 2 Coloque un punto y coma al final de la línea que configura esta SA. Las entradas sa deben colocarse en orden numérico decreciente.
En el host 1, cree un archivo de texto que contenga una cadena de texto que se usa para autenticar los SAs creados con el host 2. En este ejemplo, el archivo Test.key se crea con el contenido "This is a test". Debe incluir comillas dobles alrededor de la cadena de clave para que la herramienta ipsec6 lea la clave.
Microsoft IPv6 Technology Preview solo admite claves configuradas manualmente para la autenticación de SAs de IPsec. Las claves manuales se configuran mediante la creación de archivos de texto que contienen la cadena de texto de la clave manual. En este ejemplo, se usa la misma clave para las SAs en ambas direcciones. Puede usar diferentes claves para las SAs entrantes y salientes mediante la creación de diferentes archivos de clave y hacer referencia a ellas con el campo KeyFile en el archivo SAD.
En host 2, cree archivos de asociación de seguridad en blanco (SAD) y directiva de seguridad (SPD) mediante el comando ipsec6 c. En este ejemplo, el comando Ipsec6.exe es ipsec6 c test. Esto crea dos archivos con entradas en blanco para configurar manualmente asociaciones de seguridad (Test.sad) y directivas de seguridad (Test.spd).
Para simplificar el ejemplo, se usan los mismos nombres de archivo para los archivos SAD y SPD en el host 2. Puede optar por usar nombres de archivo diferentes en cada host.
En host 2, edite el archivo SPD para agregar una directiva de seguridad que proteja todo el tráfico entre el host 2 y el host 1.
En la tabla siguiente se muestra la entrada de directiva de seguridad agregada antes de la primera entrada al archivo Test.spd de este ejemplo (la primera entrada del archivo Test.spd no se modificó).
Nombre del campo de archivo SPD Valor de ejemplo Directiva 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * Protocolo * LocalPort * IPSecProtocol AH IPSecMode TRANSPORTE RemoteGWIPAddr * SABundleIndex NONE Dirección BIDIRECT Acción APLICAR InterfaceIndex 0 Coloque un punto y coma al final de la línea que configura esta directiva de seguridad. Las entradas de directiva deben colocarse en orden numérico decreciente.
En host 2, edite el archivo SAD, agregando entradas SA para proteger todo el tráfico entre el host 2 y el host 1. Se deben crear dos asociaciones de seguridad para el tráfico al host 1 y otro para el tráfico del host 1.
En la tabla siguiente se muestra la primera SA agregada al archivo Test.sad para este ejemplo (para el tráfico del host 1).
Nombre del campo de archivo SAD Valor de ejemplo SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr DIRECTIVA SrcIPAddr DIRECTIVA Protocolo DIRECTIVA DestPort DIRECTIVA SrcPort DIRECTIVA AuthAlg HMAC-MD5 KeyFile Test.key Dirección ENTRANTES SecPolicyIndex 2 Coloque un punto y coma al final de la línea que configura esta SA.
En la tabla siguiente se muestra la segunda entrada sa agregada al archivo Test.sad para este ejemplo (para el tráfico al host 1).
Nombre del campo de archivo SAD Valor de ejemplo SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr DIRECTIVA SrcIPAddr DIRECTIVA Protocolo DIRECTIVA DestPort DIRECTIVA SrcPort DIRECTIVA AuthAlg HMAC-MD5 KeyFile Test.key Dirección SALIENTE SecPolicyIndex 2 Coloque un punto y coma al final de la línea que configura esta SA. Las entradas sa deben colocarse en orden numérico decreciente.
En el host 2, cree un archivo de texto que contenga una cadena de texto utilizada para autenticar las SAs creadas con el host 1. En este ejemplo, el archivo Test.key se crea con el contenido "This is a test". Debe incluir comillas dobles alrededor de la cadena de clave para que la herramienta ipsec6 lea la clave.
En host 1, agregue las directivas de seguridad y las SAs configuradas desde los archivos SPD y SAD mediante el comando ipsec6. En este ejemplo, el ipsec6 se ejecuta un comando de prueba en el host 1.
En el host 2, agregue las directivas de seguridad y las SAs configuradas desde los archivos SPD y SAD mediante el comando ipsec6. En este ejemplo, el ipsec6 se ejecuta un comando de prueba en el host 2.
Haga ping al host 1 del host 2 con el comando ping6.
Si captura el tráfico mediante Microsoft Network Monitor u otro búfer de paquetes, debería ver el intercambio de mensajes de solicitud de eco iCMPv6 y respuesta de eco con un encabezado de autenticación entre el encabezado IPv6 y el encabezado ICMPv6.
Temas relacionados