Compartilhar via


Configuração 3: usando IPsec entre dois hosts de link local

Essa configuração cria uma SA (Associação de Segurança IPsec) entre dois hosts na mesma sub-rede para executar a autenticação usando o cabeçalho de autenticação (AH) e o algoritmo de hash MD5 (Message Digest 5). Neste exemplo, a configuração mostrada protege todo o tráfego entre dois hosts vizinhos: Host 1, com o endereço local do link FE80::2AA:FF:FE53:A92C e Host 2, com o endereço local do link FE80::2AA:FF:FE92:D0F1.

Para usar o IPsec entre dois hosts de link local

  1. No Host 1, crie arquivos SAD (associação de segurança em branco) e SPD (política de segurança) usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos para configurar manualmente as associações de segurança (Test.sad) e as políticas de segurança (Test.spd).

  2. No Host 1, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 1 e o Host 2.

    A tabela a seguir mostra a política de segurança adicionada ao arquivo Test.spd antes da primeira entrada para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).

    Nome do campo de arquivo SPD Valor de exemplo
    Política 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    RemotePort *
    Protocolo *
    LocalPort *
    IPSecProtocol AH
    IPSecMode TRANSPORTE
    RemoteGWIPAddr *
    SABundleIndex NONE
    Direção BIDIRETÓRIO
    Ação APLICAR
    Interfaceindex 0

     

    Coloque um ponto e vírgula no final da linha que configura essa política de segurança. As entradas de política devem ser colocadas em ordem numérica decrescente.

  3. No Host 1, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 1 e o Host 2. Duas associações de segurança devem ser criadas, uma para o tráfego para o Host 2 e outra para o tráfego do Host 2.

    A tabela a seguir mostra a primeira entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 2).

    Nome do campo de arquivo SAD Valor de exemplo
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr POLÍTICA
    SrcIPAddr POLÍTICA
    Protocolo POLÍTICA
    DestPort POLÍTICA
    SrcPort POLÍTICA
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Direção SAÍDA
    SecPolicyIndex 2

     

    Coloque um ponto e vírgula no final da linha configurando essa SA.

    A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 2).

    Nome do campo de arquivo SAD Valor de exemplo
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr POLÍTICA
    SrcIPAddr POLÍTICA
    Protocolo POLÍTICA
    DestPort POLÍTICA
    SrcPort POLÍTICA
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Direção ENTRADA
    SecPolicyIndex 2

     

    Coloque um ponto e vírgula no final da linha configurando essa SA. As entradas SA devem ser colocadas em ordem numérica decrescente.

  4. No Host 1, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar os SAs criados com o Host 2. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Este é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres de chave para que a chave seja lida pela ferramenta ipsec6.

    A Visualização de Tecnologia IPv6 da Microsoft dá suporte apenas a chaves configuradas manualmente para a autenticação de SAs IPsec. As chaves manuais são configuradas criando arquivos de texto que contêm a cadeia de texto da chave manual. Neste exemplo, a mesma chave para os SAs é usada em ambas as direções. Você pode usar chaves diferentes para SAs de entrada e saída criando arquivos de chave diferentes e referenciando-os com o campo KeyFile no arquivo SAD.

  5. No Host 2, crie arquivos SAD (associação de segurança) e SPD (política de segurança) em branco usando o comando ipsec6 c. Neste exemplo, o comando Ipsec6.exe é ipsec6 c test. Isso cria dois arquivos com entradas em branco para configurar manualmente as associações de segurança (Test.sad) e as políticas de segurança (Test.spd).

    Para simplificar o exemplo, os mesmos nomes de arquivo para os arquivos SAD e SPD são usados no Host 2. Você pode optar por usar nomes de arquivo diferentes em cada host.

  6. No Host 2, edite o arquivo SPD para adicionar uma política de segurança que proteja todo o tráfego entre o Host 2 e o Host 1.

    A tabela a seguir mostra a entrada de política de segurança adicionada antes da primeira entrada ao arquivo Test.spd para este exemplo (a primeira entrada no arquivo Test.spd não foi modificada).

    Nome do campo de arquivo SPD Valor de exemplo
    Política 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    RemotePort *
    Protocolo *
    LocalPort *
    IPSecProtocol AH
    IPSecMode TRANSPORTE
    RemoteGWIPAddr *
    SABundleIndex NONE
    Direção BIDIRECT
    Ação APLICAR
    Interfaceindex 0

     

    Coloque um ponto e vírgula no final da linha que configura essa política de segurança. As entradas de política devem ser colocadas em ordem numérica decrescente.

  7. No Host 2, edite o arquivo SAD, adicionando entradas SA para proteger todo o tráfego entre o Host 2 e o Host 1. Duas associações de segurança devem ser criadas uma para tráfego para o Host 1 e outra para tráfego do Host 1.

    A tabela a seguir mostra a primeira SA adicionada ao arquivo Test.sad para este exemplo (para tráfego do Host 1).

    Nome do campo de arquivo SAD Valor de exemplo
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr POLÍTICA
    SrcIPAddr POLÍTICA
    Protocolo POLÍTICA
    DestPort POLÍTICA
    SrcPort POLÍTICA
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Direção ENTRADA
    SecPolicyIndex 2

     

    Coloque um ponto e vírgula no final da linha que configura essa SA.

    A tabela a seguir mostra a segunda entrada SA adicionada ao arquivo Test.sad para este exemplo (para tráfego para o Host 1).

    Nome do campo de arquivo SAD Valor de exemplo
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr POLÍTICA
    SrcIPAddr POLÍTICA
    Protocolo POLÍTICA
    DestPort POLÍTICA
    SrcPort POLÍTICA
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Direção SAÍDA
    SecPolicyIndex 2

     

    Coloque um ponto e vírgula no final da linha que configura essa SA. As entradas SA devem ser colocadas em ordem numérica decrescente.

  8. No Host 2, crie um arquivo de texto que contenha uma cadeia de caracteres de texto usada para autenticar os SAs criados com o Host 1. Neste exemplo, o arquivo Test.key é criado com o conteúdo "Isso é um teste". Você deve incluir aspas duplas ao redor da cadeia de caracteres de chave para que a chave seja lida pela ferramenta ipsec6.

  9. No Host 1, adicione as políticas de segurança configuradas e os SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 1.

  10. No Host 2, adicione as políticas de segurança configuradas e os SAs dos arquivos SPD e SAD usando o comando ipsec6 a. Neste exemplo, o comando ipsec6 a test é executado no Host 2.

  11. Ping Host 1 do Host 2 com o comando ping6.

    Se você capturar o tráfego usando o Monitor de Rede da Microsoft ou outro farejador de pacotes, deverá ver a troca de mensagens de Solicitação de Eco ICMPv6 e Resposta de Eco com um Cabeçalho de Autenticação entre o cabeçalho IPv6 e o cabeçalho ICMPv6.

Configurações recomendadas para IPv6

Sub-rede única com endereços locais de link

Tráfego IPv6 entre nós em sub-redes diferentes de uma internetwork IPv4 (6to4)