Поделиться через

Конфигурация 3. Использование IPsec между двумя узлами локальной связи

  • Статья

Эта конфигурация создает сопоставление безопасности IPsec (SA) между двумя узлами в одной подсети для выполнения проверки подлинности с помощью алгоритма хэширования заголовка проверки подлинности (AH) и хэширования Message Digest 5 (MD5). В этом примере показанная конфигурация защищает весь трафик между двумя соседними узлами: узлом 1 с локальным адресом связи FE80::2AA:FF:FE53:A92C и узлом 2 с локальным адресом связи FE80::2AA:FF:FE92:D0F1.

Использование IPsec между двумя узлами локальной связи

  1. На узле 1 создайте пустые файлы сопоставления безопасности (SAD) и политики безопасности (SPD) с помощью команды ipsec6 c. В этом примере команда Ipsec6.exe — это ipsec6 c test. При этом создаются два файла для ручной настройки связей безопасности (Test.sad) и политик безопасности (Test.spd).

  2. На узле 1 измените SPD-файл, чтобы добавить политику безопасности, которая защищает весь трафик между узлом 1 и узлом 2.

    В следующей таблице показана политика безопасности, добавленная в файл Test.spd перед первой записью в этом примере (первая запись в файле Test.spd не была изменена).

    Имя поля файла SPD Пример значения
    Политика 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    RemotePort *
    протокол; *
    LocalPort *
    IPSecProtocol AH
    IPSecMode ТРАНСПОРТА
    RemoteGWIPAddr *
    SABundleIndex NONE
    Направление BIDIRECT
    Действие ПРИМЕНИТЬ
    InterfaceIndex 0

     

    Поместите точку с запятой в конец строки, настраивающей эту политику безопасности. Записи политики должны быть помещены в убывающее числовом порядке.

  3. На узле 1 измените SAD-файл, добавив записи SA, чтобы защитить весь трафик между узлом 1 и узлом 2. Необходимо создать две связи безопасности: одну для трафика на узел 2, а другую — для трафика с узла 2.

    В следующей таблице показана первая запись SA, добавленная в файл Test.sad для этого примера (для трафика на узел 2).

    Имя поля файла SAD Пример значения
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr ПОЛИТИКА
    SrcIPAddr ПОЛИТИКА
    протокол; ПОЛИТИКА
    DestPort ПОЛИТИКА
    SrcPort ПОЛИТИКА
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Направление ИСХОДЯЩИХ
    SecPolicyIndex 2

     

    Поместите точку с запятой в конце строки, настраивающей этот SA.

    В следующей таблице показана вторая запись SA, добавленная в файл Test.sad для этого примера (для трафика с узла 2).

    Имя поля файла SAD Пример значения
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr ПОЛИТИКА
    SrcIPAddr ПОЛИТИКА
    протокол; ПОЛИТИКА
    DestPort ПОЛИТИКА
    SrcPort ПОЛИТИКА
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Направление ВХОДЯЩИХ
    SecPolicyIndex 2

     

    Поместите точку с запятой в конце строки, настраивающей этот SA. Записи SA должны быть помещены в убывающее числовом порядке.

  4. На узле 1 создайте текстовый файл, содержащий текстовую строку, используемую для проверки подлинности SAs, созданного с помощью узла 2. В этом примере создается файл Test.key с содержимым "This is a test". Чтобы инструмент ipsec6 считывал ключ, необходимо включить двойные кавычки.

    Предварительная версия технологии Microsoft IPv6 поддерживает только настроенные вручную ключи для проверки подлинности SAS IPsec. Ключи вручную настраиваются путем создания текстовых файлов, содержащих текстовую строку ключа вручную. В этом примере один и тот же ключ для SAs используется в обоих направлениях. Вы можете использовать разные ключи для входящих и исходящих SAS, создавая разные файлы ключей и ссылаясь на них с помощью поля KeyFile в ФАЙЛЕ SAD.

  5. На узле 2 создайте пустые файлы сопоставления безопасности (SAD) и политики безопасности (SPD) с помощью команды ipsec6 c. В этом примере команда Ipsec6.exe — это ipsec6 c test. При этом будут созданы два файла с пустыми записями для ручной настройки связей безопасности (Test.sad) и политик безопасности (Test.spd).

    Чтобы упростить этот пример, на узле 2 используются те же имена файлов SAD и SPD. Вы можете использовать разные имена файлов на каждом узле.

  6. На узле 2 измените SPD-файл, добавив политику безопасности, которая защищает весь трафик между узлом 2 и узлом 1.

    В следующей таблице показана запись политики безопасности, добавленная перед первой записью в файл Test.spd для этого примера (первая запись в файле Test.spd не была изменена).

    Имя поля файла SPD Пример значения
    Политика 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    RemotePort *
    протокол; *
    LocalPort *
    IPSecProtocol AH
    IPSecMode ТРАНСПОРТА
    RemoteGWIPAddr *
    SABundleIndex NONE
    Направление BIDIRECT
    Действие ПРИМЕНИТЬ
    InterfaceIndex 0

     

    Поместите точку с запятой в конец строки, настроив эту политику безопасности. Записи политики должны быть помещены в убывающее числовом порядке.

  7. На узле 2 измените ФАЙЛ SAD, добавив записи SA для защиты всего трафика между узлом 2 и узлом 1. Необходимо создать две связи безопасности: одну для трафика к узлу 1 и одну для трафика с узла 1.

    В следующей таблице показан первый SA, добавленный в файл Test.sad для этого примера (для трафика с узла 1).

    Имя поля файла SAD Пример значения
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr ПОЛИТИКА
    SrcIPAddr ПОЛИТИКА
    протокол; ПОЛИТИКА
    DestPort ПОЛИТИКА
    SrcPort ПОЛИТИКА
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Направление ВХОДЯЩИХ
    SecPolicyIndex 2

     

    Поместите точку с запятой в конец строки, настроив этот SA.

    В следующей таблице показана вторая запись SA, добавленная в файл Test.sad для этого примера (для трафика на узел 1).

    Имя поля файла SAD Пример значения
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr ПОЛИТИКА
    SrcIPAddr ПОЛИТИКА
    протокол; ПОЛИТИКА
    DestPort ПОЛИТИКА
    SrcPort ПОЛИТИКА
    AuthAlg HMAC-MD5
    KeyFile Test.key
    Направление ИСХОДЯЩИХ
    SecPolicyIndex 2

     

    Поместите точку с запятой в конец строки, настроив этот SA. Записи SA должны быть помещены в убывающее числовом порядке.

  8. На узле 2 создайте текстовый файл, содержащий текстовую строку, используемую для проверки подлинности SAs, созданных с помощью узла 1. В этом примере создается файл Test.key с содержимым "This is a test". Для чтения ключа инструментом ipsec6 необходимо включить двойные кавычки вокруг строки ключа.

  9. На узле 1 добавьте настроенные политики безопасности и SAS из файлов SPD и SAD с помощью команды ipsec6 a. В этом примере тестовая команда ipsec6 выполняется на узле 1.

  10. На узле 2 добавьте настроенные политики безопасности и SAS из файлов SPD и SAD с помощью команды ipsec6 a. В этом примере команда тестирования ipsec6 выполняется на узле 2.

  11. Связь узла 1 с узла 2 с помощью команды ping6.

    Если вы записываете трафик с помощью Монитора сети Майкрософт или другого средства отслеживания пакетов, вы увидите обмен эхо-запросов ICMPv6 и эхо-ответов с заголовком проверки подлинности между заголовком IPv6 и ICMPv6.

Рекомендуемые конфигурации для IPv6

Одна подсеть с локальными адресами канала

Трафик IPv6 между узлами в разных подсетях IPv4 Internetwork (6to4)