通过

配置 3:在两个本地链接主机之间使用 IPsec

  • 项目

此配置在同一子网上的两个主机之间创建 IPsec 安全关联 (SA) ,以使用身份验证标头 (AH) 和消息摘要 5 (MD5) 哈希算法执行身份验证。 在此示例中,所示配置保护两个相邻主机之间的所有流量:主机 1,链接本地地址 FE80::2AA:FF:FE53:A92C,主机 2,链接本地地址 FE80::2AA:FF:FE92:D0F1。

在两个本地链接主机之间使用 IPsec

  1. 在主机 1 上,使用 ipsec6 c 命令 (SPD) 文件创建空白安全关联 (SAD) 和安全策略。 在此示例中,Ipsec6.exe命令为 ipsec6 c 测试。 这会创建两个文件,用于手动配置 Test.sad) (安全关联, (Test.spd) 安全策略。

  2. 在主机 1 上,编辑 SPD 文件以添加安全策略,用于保护主机 1 和主机 2 之间的所有流量。

    下表显示了在此示例的第一个条目之前添加到 Test.spd 文件的安全策略, (Test.spd 文件中的第一个条目未) 修改。

    SPD 文件字段名称 示例值
    策略 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    RemotePort *
    协议 *
    LocalPort *
    IPSecProtocol
    IPSecMode 运输
    RemoteGWIPAddr *
    SABundleIndex NONE
    方向 BIDIRECT
    操作 应用
    InterfaceIndex 0

     

    在配置此安全策略的行末尾放置分号。 策略条目必须按数值递减顺序放置。

  3. 在主机 1 上,编辑 SAD 文件,添加 SA 条目以保护主机 1 和主机 2 之间的所有流量。 必须创建两个安全关联,一个用于发到主机 2 的流量,一个用于来自主机 2 的流量。

    下表显示了本示例的 Test.sad 文件中添加的第一个 SA 条目, (主机 2) 的流量。

    SAD 文件字段名称 示例值
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr 策略
    SrcIPAddr 策略
    协议 策略
    DestPort 策略
    SrcPort 策略
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 出境
    SecPolicyIndex 2

     

    在配置此 SA 的行末尾放置一个分号。

    下表显示了添加到 Test.sad 文件中的此示例的第二个 SA 条目, (主机 2) 的流量。

    SAD 文件字段名称 示例值
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr 策略
    SrcIPAddr 策略
    协议 策略
    DestPort 策略
    SrcPort 策略
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 入境
    SecPolicyIndex 2

     

    在配置此 SA 的行末尾放置一个分号。 SA 条目必须按降序排列。

  4. 在主机 1 上,创建一个文本文件,其中包含用于对主机 2 创建的 SA 进行身份验证的文本字符串。 在此示例中,将创建包含内容“这是一个测试”的文件 Test.key。 必须用双引号括住密钥字符串,以便 ipsec6 工具读取密钥。

    Microsoft IPv6 技术预览版仅支持手动配置的密钥用于对 IPsec SA 进行身份验证。 通过创建包含手动键的文本字符串的文本文件来配置手动键。 在此示例中,在两个方向上使用相同的 SA 键。 可以通过创建不同的密钥文件并使用 SAD 文件中的 KeyFile 字段引用它们,对入站和出站 SA 使用不同的密钥。

  5. 在主机 2 上,使用 ipsec6 c 命令 (SPD) 文件创建空白安全关联 (SAD) 和安全策略。 在此示例中,Ipsec6.exe命令为 ipsec6 c 测试。 这会创建两个包含空白条目的文件,用于手动配置 Test.sad) 的安全关联 (Test.spd) 安全策略 (。

    为了简化该示例,主机 2 上使用相同的 SAD 和 SPD 文件的文件名。 可以选择在每个主机上使用不同的文件名。

  6. 在主机 2 上,编辑 SPD 文件以添加安全策略,用于保护主机 2 和主机 1 之间的所有流量。

    下表显示本示例的 Test.spd 文件的第一个条目之前添加的安全策略条目, (Test.spd 文件中的第一个条目未) 修改。

    SPD 文件字段名称 示例值
    策略 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    RemotePort *
    协议 *
    LocalPort *
    IPSecProtocol
    IPSecMode 运输
    RemoteGWIPAddr *
    SABundleIndex NONE
    方向 BIDIRECT
    操作 应用
    InterfaceIndex 0

     

    在配置此安全策略的行末尾放置分号。 策略条目必须按数值递减顺序放置。

  7. 在主机 2 上,编辑 SAD 文件,添加 SA 条目以保护主机 2 和主机 1 之间的所有流量。 必须创建两个安全关联-一个用于发向主机 1 的流量,一个用于来自主机 1 的流量。

    下表显示了添加到此示例 Test.sad 文件的第一个 SA, (主机 1) 的流量。

    SAD 文件字段名称 示例值
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr 策略
    SrcIPAddr 策略
    协议 策略
    DestPort 策略
    SrcPort 策略
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 入境
    SecPolicyIndex 2

     

    在配置此 SA 的行末尾放置一个分号。

    下表显示了本示例的 Test.sad 文件中添加的第二个 SA 条目, (流向主机 1) 。

    SAD 文件字段名称 示例值
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr 策略
    SrcIPAddr 策略
    协议 策略
    DestPort 策略
    SrcPort 策略
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 出境
    SecPolicyIndex 2

     

    在配置此 SA 的行末尾放置一个分号。 SA 条目必须按降序排列。

  8. 在主机 2 上,创建一个文本文件,其中包含用于对主机 1 创建的 SA 进行身份验证的文本字符串。 在此示例中,将创建包含内容“这是一个测试”的文件 Test.key。 必须用双引号括住密钥字符串,以便 ipsec6 工具读取密钥。

  9. 在主机 1 上,使用 ipsec6 命令从 SPD 和 SAD 文件添加配置的安全策略和 SA。 在此示例中,测试命令的 ipsec6 在主机 1 上运行。

  10. 在主机 2 上,使用 ipsec6 命令从 SPD 和 SAD 文件添加配置的安全策略和 SA。 在此示例中,ipsec6 测试命令在主机 2 上运行。

  11. 使用 ping6 命令从主机 2 中 Ping 主机 1。

    如果使用 Microsoft 网络监视器或其他数据包探查器捕获流量,应会看到 ICMPv6 回显请求和回显回复消息的交换,这些消息在 IPv6 标头和 ICMPv6 标头之间具有身份验证标头。

IPv6 的建议配置

具有链接本地地址的单个子网

IPv4 Internet 的不同子网上的节点之间的 IPv6 流量 (6to4)