共用方式為

設定 3:在兩個本機連結主機之間使用 IPsec

  • 發行項

此設定會在相同子網上的兩部主機上建立 IPsec 安全性關聯 (SA) ,以使用驗證標頭 (AH) 和訊息摘要 5 (MD5) 雜湊演算法來執行驗證。 在此範例中,顯示的組態會保護兩個鄰近主機之間的所有流量:主機 1、連結本機位址 FE80::2AA:FF:FE53:A92C 和主機 2,以及連結本機位址 FE80::2AA:FF:FE92:D0F1。

在兩個本機連結主機之間使用 IPsec

  1. 在主機 1 上,使用 ipsec6 c 命令, (SPD) 檔案, (SAD) 和安全性策略建立空白安全性關聯。 在此範例中,Ipsec6.exe命令是 ipsec6 c 測試。 這會建立兩個檔案來手動設定 Test.sad) 的安全性 (關聯,以及 Test.spd) (安全性原則。

  2. 在主機 1 上,編輯 SPD 檔案以新增安全性原則,以保護主機 1 與主機 2 之間的所有流量。

    下表顯示在此範例的第一個專案之前新增至 Test.spd 檔案的安全性原則, (Test.spd 檔案中的第一個專案未修改) 。

    SPD 檔案功能變數名稱 範例值
    原則 2
    RemoteIPAddr FE80::2AA:FF:FE92:D0F1
    LocalIPAddr *
    RemotePort *
    通訊協定 *
    LocalPort *
    IPSecProtocol
    IPSecMode 運輸
    RemoteGWIPAddr *
    SABundleIndex NONE
    方向 BIDIRECT
    動作 應用
    InterfaceIndex 0

     

    將分號放在設定此安全性原則的行尾。 原則專案必須以遞減的數值順序放置。

  3. 在主機 1 上,編輯 SAD 檔案,新增 SA 專案以保護主機 1 與主機 2 之間的所有流量。 必須建立兩個安全性關聯,一個用於主機 2 的流量,另一個用於來自主機 2 的流量。

    下表顯示本範例中新增至 Test.sad 檔案的第一個專案, (主機 2 流量) 。

    SAD 檔案功能變數名稱 範例值
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr 原則
    SrcIPAddr 原則
    通訊協定 原則
    DestPort 原則
    SrcPort 原則
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 出境
    SecPolicyIndex 2

     

    將分號放在設定此 SA 的行尾。

    下表顯示針對此範例新增至 Test.sad 檔案的第二個專案, (主機 2) 的流量。

    SAD 檔案功能變數名稱 範例值
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr 原則
    SrcIPAddr 原則
    通訊協定 原則
    DestPort 原則
    SrcPort 原則
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 入境
    SecPolicyIndex 2

     

    將分號放在設定此 SA 的行尾。 SA 專案必須以遞減的數值順序放置。

  4. 在主機 1 上,建立文字檔,其中包含用來驗證使用主機 2 建立的 CA 的文字字串。 在此範例中,Test.key 檔案是以「這是測試」內容建立。 您必須在索引鍵字串周圍加上雙引號,才能讓 ipsec6 工具讀取金鑰。

    Microsoft IPv6 技術預覽版僅支援手動設定的金鑰,以驗證 IPsec CA。 手動索引鍵是藉由建立包含手動索引鍵文字字串的文字檔來設定。 在此範例中,SA 的相同索引鍵會雙向使用。 您可以藉由建立不同的金鑰檔案,並使用 SAD 檔案中的 KeyFile 欄位來參考它們,以使用不同的金鑰來輸入和輸出 SA。

  5. 在主機 2 上,使用 ipsec6 c 命令, (SPD) 檔案, (SAD) 和安全性策略建立空白安全性關聯。 在此範例中,Ipsec6.exe命令是 ipsec6 c 測試。 這會建立兩個檔案,其中包含空白專案,以手動設定安全性關聯 (Test.sad) ,以及 Test.spd) (安全性原則。

    為了簡化此範例,Host 2 會使用相同的 SAD 和 SPD 檔案檔案名。 您可以選擇在每個主機上使用不同的檔案名。

  6. 在主機 2 上,編輯 SPD 檔案以新增安全性原則,以保護主機 2 與主機 1 之間的所有流量。

    下表顯示在此範例的第一個專案之前新增的安全性原則專案, (Test.spd 檔案中的第一個專案未修改) 。

    SPD 檔案功能變數名稱 範例值
    原則 2
    RemoteIPAddr FE80::2AA:FF:FE53:A92C
    LocalIPAddr *
    RemotePort *
    通訊協定 *
    LocalPort *
    IPSecProtocol
    IPSecMode 運輸
    RemoteGWIPAddr *
    SABundleIndex NONE
    方向 BIDIRECT
    動作 應用
    InterfaceIndex 0

     

    將分號放在設定此安全性原則的行尾。 原則專案必須以遞減的數值順序放置。

  7. 在主機 2 上,編輯 SAD 檔案,新增 SA 專案以保護主機 2 與主機 1 之間的所有流量。 必須建立兩個安全性關聯,一個用於流量至主機 1,另一個用於來自主機 1 的流量。

    下表顯示本範例的第一個 SA 新增至 Test.sad 檔案, (主機 1) 的流量。

    SAD 檔案功能變數名稱 範例值
    SAEntry 2
    SPI 3001
    SADestIPAddr FE80::2AA:FF:FE92:D0F1
    DestIPAddr 原則
    SrcIPAddr 原則
    通訊協定 原則
    DestPort 原則
    SrcPort 原則
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 入境
    SecPolicyIndex 2

     

    將分號放在設定此 SA 的行尾。

    下表顯示針對此範例新增至 Test.sad 檔案的第二個專案, (主機 1 的流量) 。

    SAD 檔案功能變數名稱 範例值
    SAEntry 1
    SPI 3000
    SADestIPAddr FE80::2AA:FF:FE53:A92C
    DestIPAddr 原則
    SrcIPAddr 原則
    通訊協定 原則
    DestPort 原則
    SrcPort 原則
    AuthAlg HMAC-MD5
    KeyFile Test.key
    方向 出境
    SecPolicyIndex 2

     

    將分號放在設定此 SA 的行尾。 SA 專案必須以遞減的數值順序放置。

  8. 在主機 2 上,建立文字檔,其中包含用來驗證使用主機 1 建立的 CA 的文字字串。 在此範例中,Test.key 檔案是以「這是測試」內容建立。 您必須在索引鍵字串周圍加上雙引號,才能讓 ipsec6 工具讀取金鑰。

  9. 在主機 1 上,使用 ipsec6 命令,從 SPD 和 SAD 檔案新增已設定的安全性原則和 SA。 在此範例中,會在主機 1 上執行測試命令的 ipsec6。

  10. 在主機 2 上,使用 ipsec6 命令,從 SPD 和 SAD 檔案新增已設定的安全性原則和 SA。 在此範例中,會在主機 2 上執行測試命令的 ipsec6。

  11. 使用 ping6 命令從主機 2 Ping 主機 1。

    如果您使用 Microsoft 網路監視器或其他封包探測器擷取流量,您應該會看到 ICMPv6 Echo Request 和 Echo Reply 訊息的交換,以及 IPv6 標頭與 ICMPv6 標頭之間的驗證標頭。

IPv6 的建議設定

具有連結本機位址的單一子網

IPv4 網際網路 (6to4) 不同子網上的節點之間的 IPv6 流量