IPsec实验报告

定义isakmp 策略1.定义双方认证key2.定义ipsec transform （策略集合）3.定义感兴趣流（需要加密的数据）4.定义并应用crypto map5.定义接口ACL （保障安全性）6.isakmp ：UDP 500ESP：IP 50AH：IP 51NAT-T：UDP 4500接口ACL 需要放行的流量：配置过程：如何选择使用传输模式还是tunnel 模式？通信点：需要通信的设备。

通信点和加密点ip 相同，可以使用传输模式和tunnel 模式。

•通信点和加密点ip 不相同，必须使用tunnel 模式。

•加密点：执行加密的设备。

router(config)#crypto isakmp policy 优先级（越小越优）配置加密算法：○router(config-isakmp)#encryption 3des配置两端认证方法：○router(config-isakmp)#authentication pre-share配置完整性校验算法：○router(config-isakmp)#hash sha配置密钥长度：○router(config-isakmp)#group 1配置双方认证key 和对方地址：○router(config)#crypto isakmp key 密码address 地址router#show crypto isakmp policy配置isakmp ：•router(config)#crypto ipsec transform-set 名称esp-3des esp-sha-hmac配置VPN 工作模式（默认tunnel ）：○(cfg-crypto-trans)#mode tunnel配置ipsec 策略集：•router(config)#access-list 100...配置感兴趣流：•router (config)#crypto map 名称 编号 ipsec -isakmprouter(config-crypto-map)#set peer 对端地址router(config-crypto-map)#set transform 名称router(config-crypto-map)#match address ACL 编号配置crypto map ：•router(config-if)#crypto map 名称router#show crypto isakmp sa在接口调用crypto map：•配置过程：ipsec VPN 配置和实验2015年6月4日16:25router#show crypto ipsec sarouter(config)#crypto isakmp keeplive 时间[periodic | on-demand]periodic ：周期性检测on-demand ：当一段时间内，只发出数据没有收到数据，才会检测。

《电子商务安全技术》上机实验实验二：IPSec配置与应用一、实验目的IP安全（IPSec）协议用于增强网络的安全性。

Windows 2000以上版本的操作系统提供对IPSec协议的支持。

为了增强网络通信安全或对客户机器的管理，网络管理员可以通过在Wind ows系统中定义IPSec安全策略来实现。

在Windows系统中，一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP 筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。

要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。

本实验通过对Windows 2000或XP操作系统中的“IPSec安全策略”配置，学习掌握IP网络安全协议的应用，增强网络安全。

二、实验要求理解IP网络安全协议，掌握Windows操作系统的IPSec安全策略配置与应用。

三、实验内容1、本地IPSec安全策略创建/选择2、IPSec安全策略配置与应用3、IPSec安全策略验证四、实验步骤（一）、创建/选择本地IPSec安全策略1、方法一利用MMC控制台第一步：点击“开始→运行”，在运行对话框中输入“MMC”，点击“确定”按钮后，启动“控制台”窗口，如图1。

图1 “控制台”窗口第二步：点击“控制台”菜单中的“文件→添加/删除管理单元”选项，弹出“添加/删除管理单元”对话框，如图2。

图2 “添加/删除管理单元”对话框点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框，如图3。

图3 选择“IP安全策略管理”第三步：在列表框中选择“IP安全策略管理”，点击“添加”按钮，弹出“选择计算机”对话框，如图4。

图4 “选择计算机”对话框在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。

这样就在“MMC控制台”启用了IPSec安全策略，如图5。

图5 在“MMC控制台”启用IPSec安全策略的结果2、方法二：利用本地安全设置进入“控制面板→管理工具”选项（Windows XP为：控制面板→性能和维护→管理工具），双击“本地安全设置”选项，在“本地安全设置”窗口中可以找到“IP安全策略，在本地计算机”，如图6。

SITE-SITE IPSEC VPN 实验心得实验拓扑：R1 为SITE1FA0/0 :13.1.1.1 模拟外网口FA1/0 :1.1.1.1 模拟内网口R2 为SITE2FA0/0 :23.1.1.2 模拟外网口FA1/0 :2.2.2.1 模拟内网口ISP :FA0/0 :13.1.1.3FA1/0 :23.1.1.3R1 和 R2 上开启 NAT 这一内网中的主机就可以访问外网。

重点：Extended IP access list nat10 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 (14 matches)20 permit ip any any (6 matches)Extended IP access list vpn·10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 (26 matches)20 permit icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255R1 配置：version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname R1!boot-start-markerboot-end-marker!!memory-size iomem 5no aaa new-modelip subnet-zero!no ip domain lookup!!ip cefip ips po max-events 100no ftp-server write-enable!crypto isakmp policy 10encr aesauthentication pre-sharegroup 2lifetime 3600crypto isakmp key 6 leon address 34.1.1.4!!crypto ipsec transform-set tt esp-aes esp-sha-hmac mode tunnelcrypto map cryptomap 10 ipsec-isakmpset peer 34.1.1.4set transform-set ttset pfs group2match address nkg!interface FastEthernet0/0ip address 13.1.1.1 255.255.255.0ip nat outsideip virtual-reassemblyduplex autospeed autocrypto map cryptomap!interface FastEthernet1/0ip address 1.1.1.1 255.255.255.0ip nat insideip virtual-reassemblyduplex autospeed auto!no ip http serverno ip http secure-serverip classlessip route 0.0.0.0 0.0.0.0 13.1.1.3ip nat inside source list nat interface FastEthernet0/0 overload!ip access-list extended natdeny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255permit ip any anyip access-list extended vpnpermit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255permit icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255!control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4endPSK IPSEC VPN 配置步骤：1配置ACLip access-list extended vpnpermit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255permit icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.2552.全局启用ISAKMP并定义对等体及其PSK(预共享密钥):R1(config)#crypto isakmp enableR1(config)# crypto isakmp key 6 leon address 23.1.1.23.定义IKE策略:R1(config)#crypto isakmp policy 10R1(config-isakmp)#encryption aes 128/---默认是DES加密---/ R1(config-isakmp)#hash sha/---默认是SHA-1---/R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 2 /---默认是768位的DH1---/ R1(config-isakmp)#lifetime 3600/---默认是86400秒---/R1(config-isakmp)#exit4.定义IPSec转换集(transform set):R1(config)#crypto ipsec transform-set tt esp-aes 128 esp-sha-hmacR1(cfg-crypto-trans)#mode tunnelR1(cfg-crypto-trans)#exit5.定义crypto map并应用在接口上:R1(config)#crypto map cryptomap 10 ipsec-isakmpR1(config-crypto-map)#match address 100R1(config-crypto-map)#set peer 23.1.1.2/---定义要应用crypto map的对等体地址---/R1(config-crypto-map)#set transform-set tt/---定义crypto map要应用的IPsec 转换集---/R1(config-crypto-map)# set pfs group2R1(config-crypto-map)#exitR1(config)#interface FA0/0R1(config-if)#crypto map cryptomap最终结果测试：R1#sh crypto sessionCrypto session current statusInterface: FastEthernet0/0Session status: UP-ACTIVEPeer: 23.1.1.2/500IKE SA: local 13.1.1.1/500 remote 23.1.1.2/500 ActiveIPSEC FLOW: permit ip 1.1.1.0/255.255.255.0 2.2.2.0/255.255.255.0Active SAs: 2, origin: crypto mapIPSEC FLOW: permit 1 1.1.1.0/255.255.255.0 2.2.2.0/255.255.255.0Active SAs: 0, origin: crypto mapR1#sh crypto isakmp peersPeer: 23.1.1.2 Port: 500 Local: 13.1.1.1Phase1 id: 23.1.1.2R1#sh crypto isakmp sadst src state conn-id slot23.1.1.2 13.1.1.1 QM_IDLE 1 0如果开启了NAT 自动会转为UDP 去和peer 协商SA 端口还是500用WIRESHARK 抓包发现：数据是加了密的ESP 加密，实验成功。

实验七Window 7系统中IPSec协议配置及数据包分析一：实验目的本实验主要验证IP通信在建立IPSec传输模式和隧道模式前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二：实验环境实验中使用以下软件和硬件设备(1)VMware workstation 15 pro(官网最新版)(2)Windows 7专业版系统和Windows 7 旗舰版系统(3)都装好wireshark2.6.4版本(4)一个交换机(5)两台装有操作系统和sniffer嗅探机的vm虚拟机为了方便称呼win7专业版系统为PC1，win7旗舰版版系统为PC2，从这里开始都以PC1，PC2来称呼代替直到实验的结束，万望注意辨别。

三：实验内容1. 了解IPSec2. 在Windows XP的计算机上配置IPSec VPN原理简介：IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。

各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

四：实验步骤一、传输模式的实现1.启动VMware 15，建立两个Windows7系列的虚拟机。

一个为win7专业版系统虚拟机，一个为win7旗舰版系统虚拟机。

图1图2第一次做实验：PC1：192.168.219.130 PC2：192.168.219.131 第二次做实验：PC1：192.168.252.128 PC2：192.168.252.129 注释：本次实验是分成两次所作的，在第一次做实验的时候，因IP策略上的设置错误，导致迟迟未抓到isakmp包，因此第二次做时设置正确后就抓到了，这是本人对该实验的理解不到位所导致的，已深刻检讨。

2.新建本地安全策略 IP安全策略-1 (用作IPSec传输模式)图3图43 .编辑IP安全策略-1的属性，新建IP安全规则图5图64.设置安全规则的模式(传输模式)图75.设置对所有网络连接都是用这个安全策略新建并设置IP筛选器列表图86.设置源地址为PC1的IP地址（即为192.168.219.130），目的地址为：192.168.219.131。

IPSec实验一、实验目的掌握H3C路由器上配置IPSec的方法。

了解IKE建立安全联盟的过程。

了解IPSec的具体工作流程。

二、实验环境Quidway AR28系列路由器2台，H3C MSR2020路由器1台，PC机2台。

三、实验组网图如下图所示，在RT1和RT2之间建立一个安全隧道，对PC1代表的子网（192.168.1.x）与PC2代表的子网（192.168.2.x）之间的数据流进行安全保护。

安全协议采用ESP协议，加密算法采用DES，验证算法采用SHA1-HMAC-96。

四、配置步骤1、配置基本接口和缺省路由（1）配置RT-C中心路由器：<H3C>reset saved-configuration<H3C>reboot<H3C>system-view[H3C]sysname RT-C[RT-C]int e0/0[RT-C-Ethernet0/0]ip addr 10.10.10.1 24[RT-C-Ethernet0/0]quit[RT-C]int e0/1[RT-C-Ethernet0/1]ip addr 20.20.20.1 24[RT-C-Ethernet0/1]quit[RT-C]dis ip roRouting Tables: PublicDestinations : 6 Routes : 6Destination/Mask Proto Pre Cost NextHop Interface10.10.10.0/24 Direct 0 0 10.10.10.1 Eth0/010.10.10.1/32 Direct 0 0 127.0.0.1 InLoop020.20.20.0/24 Direct 0 0 20.20.20.1 Eth0/120.20.20.1/32 Direct 0 0 127.0.0.1 InLoop0127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0（2）配置RT1内网路由器：<Quidway>reset saved-configuration<Quidway>reboot<Quidway>system-view[Quidway]sysname RT1[RT1]int e0/0[RT1-Ethernet0/0]ip addr 10.10.10.2 24[RT1-Ethernet0/0]quit[RT1]int e0/1[RT1-Ethernet0/1]ip addr 192.168.1.1 24[RT1-Ethernet0/1]quit[RT1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1[RT1]dis ip roRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface0.0.0.0/0 STATIC 60 0 10.10.10.1 Ethernet0/010.10.10.0/24 DIRECT 0 0 10.10.10.2 Ethernet0/010.10.10.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0192.168.1.0/24 DIRECT 0 0 192.168.1.1 Ethernet0/1192.168.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0（3）配置RT2外网路由器：<Quidway>reset saved-configuration<Quidway>reboot<Quidway>system-view[Quidway]sysname RT2[RT2]int e0/0[RT2-Ethernet0/1]ip addr 20.20.20.2 24[RT2-Ethernet0/0]quit[RT2]int e0/1[RT2-Ethernet0/0]ip addr 192.168.2.1 24[RT2-Ethernet0/1]quit[RT2]ip route-static 0.0.0.0 0.0.0.0 20.20.20.1[RT2]dis ip roRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface0.0.0.0/0 STATIC 60 0 20.20.20.1 Ethernet0/120.20.20.0/24 DIRECT 0 0 20.20.20.2 Ethernet0/120.20.20.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0192.168.2.0/24 DIRECT 0 0 192.168.2.1 Ethernet0/0192.168.2.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0验证分析：由于中心路由器RT-C没有配置路由信息，此时，很显然PC1（192.168.1.2）无法PING 通PC2（192.168.2.2）。

IPsec VPN 实验实验一：IPsec site-to-site VPN实验要求：1、R1 ,R2, R3为互联网络，R1,R3为公司2个分支站点设备，现在要求在R1和R3之间建立一条VPN 隧道，让公司内部可以访问。

实验步骤：1、按拓扑图配好IP地址，保证R1的S0/1和R3的S0/0能够通信，也就是说互联网通信正常。

2、在R1和R3上配置IPSEC 阶段1的配置：R1(config)#crypto isakmp policy 1R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#hash shaR1(config-isakmp)#encryption aes 128R1(config-isakmp)#group 2R1(config-isakmp)#exitR1(config)#crypto isakmp key 0 cisco address 23.1.1.2 255.255.255.255定义隧道对端的IP地址和验证的密码接下来在R3上做相对应的配置：R3(config)#crypto isakmp policy 1R3(config-isakmp)#authentication pre-shareR3(config-isakmp)#hash shaR3(config-isakmp)#encryption aes 128R3(config-isakmp)#group 2R3(config-isakmp)#exitR3(config)#crypto isakmp key 0 cisco address 12.1.1.1 255.255.255.2553、在R1和R3上配置IPSEC阶段2的配置：R1(config)#crypto ipsec transform-set R1-R3 esp-aes 128 esp-sha-hmac定义加密转换集R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 定义感兴趣的流在R3上做相应的配置：R3(config)#crypto ipsec transform-set R3-R1 esp-aes 128 esp-sha-hmacR3(config)#access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.2554、在R1和R3上配置加密映射图：R1(config)#crypto map VPN-R3 10 ipsec-isakmpR1(config-crypto-map)#set peer 23.1.1.2R1(config-crypto-map)#match address 101R1(config-crypto-map)#set transform-set R1-R3R1(config)#crypto map VPN-R1 10 ipsec-isakmpR1(config-crypto-map)#set peer 12.1.1.1R1(config-crypto-map)#match address 101R1(config-crypto-map)#set transform-set R3-R15、在R1和R3上应用加密映射图并配置到达隧道对端内网的静态路由：R1(config)#interface s0/1R1(config-if)#crypto map VPN-R3R1(config)#ip route 172.16.1.0 255.255.255.0 23.1.1.2R3(config)#interface s0/0R3(config-if)#crypto map VPN-R1R3(config)#ip route 192.168.1.0 255.255.255.0 12.1.1.16、测试R3#ping 192.168.1.1 source 172.16.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:Packet sent with a source address of 172.16.1.1.!!!!R3#show crypto engine connections activeID Interface IP-Address State Algorithm Encrypt Decrypt1 Serial0/0 23.1.1.2 set HMAC_SHA+AES_CBC 0 02001 Serial0/0 23.1.1.2 set AES+SHA 0 4 2002 Serial0/0 23.1.1.2 set AES+SHA 4 0大家可以看到有4个报文被加密和4个报文被解密。

一、实验室名称：网络工程实验室
二、实验项目名称：IPSec的配置和使用
三、实验学时：2学时
四、实验原理：
IPSec 基于端对端的安全模式，在源IP 和目标IP 地址之间建立信任和安全性。

IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。

IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

五、实验目的：
1、了解IPSec的功能与使用。

2、掌握IPSec的配置与使用。

六、实验内容：
1、配置传输模式IPSec。

2、配置隧道模式IPSec。

七、实验器材（设备、元器件）：
（1）测试用客户机一台，安装windows系统。

（2）测试用文件（文档）若干。

八、实验步骤：
参见视频
九、实验数据及结果分析：
IPSec设置前
一端IPsec设置完成：
两端IPSec设置成功
十、实验结论：
1、IPSec对。

2、使用装载的证书，能够对选定文档进行加密、解密。

3、使用装载的证书，能够对选定文档进行签名、效验。

实验七Window7系统中IPSec协议配置及数据包分析实验七Window 7系统中IPSec协议配置及数据包分析一：实验目的本实验主要验证IP通信在建立IPSec传输模式和隧道模式前后的变化，为了简化实验过程，这里只对ICMP进行加密，但在配置的过程中即可发现，其他IP协议要进行同样的加密也是非常简单的。

二：实验环境实验中使用以下软件和硬件设备(1)VMware workstation 15 pro(官网最新版)(2)Windows 7专业版系统和Windows 7 旗舰版系统(3)都装好wireshark2.6.4版本(4)一个交换机(5)两台装有操作系统和sniffer嗅探机的vm虚拟机为了方便称呼win7专业版系统为PC1，win7旗舰版版系统为PC2，从这里开始都以PC1，PC2来称呼代替直到实验的结束，万望注意辨别。

三：实验内容1. 了解IPSec2. 在Windows XP的计算机上配置IPSec VPN原理简介：IPSec在IP层上对数据包进行高强度的安全处理，提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。

各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。

四：实验步骤一、传输模式的实现1.启动VMware 15，建立两个Windows7系列的虚拟机。

一个为win7专业版系统虚拟机，一个为win7旗舰版系统虚拟机。

图1图2第一次做实验：PC1：192.168.219.130 PC2：192.168.219.131 第二次做实验：PC1：192.168.252.128 PC2：192.168.252.129 注释：本次实验是分成两次所作的，在第一次做实验的时候，因IP策略上的设置错误，导致迟迟未抓到isakmp包，因此第二次做时设置正确后就抓到了，这是本人对该实验的理解不到位所导致的，已深刻检讨。

Ipsec配置试验实验环境1.学生机运行server2003操作系统，安装虚拟机软件并运行2个server2003操作系统。

2.学生机本机安装虚拟机后将有三块网卡：a)一个外网网卡，使用学校配置，不用修改；b)虚拟网卡vmnet1，配置地址10.x.y.3，子网掩码255.255.255.0。

其中xy为学号后三位，x为班号，y为序号。

例如学号101，x为1，y为01。

c)虚拟网卡vmnet8暂不配置。

3.学生机虚拟机1有一块网卡，选择与vmnet1连接，仅主机配置，与主机构成私有网络。

配置地址10.x.y.1，子网掩码255.255.255.0，网关10.x.y.3（即vmnet1的地址）。

4.学生机虚拟机2有一块网卡，同样选择与vmnet1连接，仅主机配置，与主机构成私有网络。

配置地址为配置地址10.x.y.2，子网掩码255.255.255.0，网关10.x.y.3（即vmnet1的地址）。

试验步骤1.在虚拟机1上配置ipsec。

1)单击“开始”，单击“运行”，输入“MMC”，然后单击“确定”。

2)在“MMC”中，单击“文件”，单击“添加/删除管理单元”，然后单击“添加”。

3)单击“IP安全策略管理”，然后单击“添加”。

4)在“选择计算机或域”对话框中，确保选中了“本地计算机”，然后单击“完成”。

5)在“添加独立管理单元”对话框中，单击“关闭”，然后单击“确定”。

6)把该控制台命名为IPSEC保存到桌面上，然后关闭ipsec控制台。

2.在虚拟机1上配置ipsec过滤ping命令的ICMP包。

1)测试连通性2)在虚拟机1桌面上双击IPSEC文件，打开控制台。

3)在控制台树中，单击“IP安全策略，在本地计算机”，单击右键，选中“创建IP安全策略”。

5)在“IP安全策略名称”下的“名称”框中输入no ping ，单击“下一步”。

6)在“安全通讯请求”下的确保没有选中“激活默认响应规则”，单击“下一步”。

计算机专业类课程实验报告计算机网络安全试验计算机专业类课程试验报告课程名称：计算机系统与网络安全技术学院：计算机科学与工程学院专业：信息安全学生姓名：学号：指导教师：评分：日期：计算机网络安全试验试验七一、试验名称：Windows平台上IPSec配置试验二、试验目的：通过使用IPSec保证两台计算机之间通信的机密性和完整性。

三、试验原理：IPSec(InternetProtocalSecurity)，是通过对IP协议（互联网协议）的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

四、试验内容：（1）添加一条新的IP安全策略（2）添加IP安全规则（3）添加IP筛选器（4）指定新的筛选器操作的属性（5）指派新的安全策略并进行测试五、试验设备与环境：（1）学生每人一台PC，安装WindowsXP/2000操作系统。

（2）IP安全策略管理单元(ipsecpol)，IP安全策略监控器(ipsecmon)。

（3）局域网环境。

六、试验方法步骤：（1）打开本地安全设置。

（2）依据IP安全策略向导新建一个IP安全策略，包括初始身份验证方法的设置，此处两台计算机之间统一选择KerberosV5协议。

计算机网络安全试验（3）完成IP安全策略向导的配置以后，通过使用添加向导添加一个IP安全规则。

包括是否使用隧道、网络类型以及身份验证方法的设置，其中通信的双方必需使用同一个密钥。

（4）完成密钥的设置后使用向导添加IP筛选器，设置源地址、目的地址以及协议类型。

（5）使用向导指定新筛选器操作的属性。

其中通信双方的完整性算法和加密算法必需保持全都。

（6）完成全部的设置以后指派新的IP安全策略并进行测试。

七、试验结果分析：之前的状态：（1）一台计算机IPSec的筛选器操作为阻挡另一台计算机的通信，并对其进行ping测试，进行验证：计算机网络安全试验ping测试：ping不成功(2)一台计算机IPSec的筛选器操作为允许另一台计算机的通信，对其进行ping计算机网络安全试验测试ping测试：ping成功了计算机网络安全试验（1）一台计算机IPSec的筛选器操作为和另一台计算机的通信为安全协商，对其进行ping测试ping测试：成功计算机网络安全试验数据分析：当双方设置IPSEC策略为协商安全，协商安全密钥为双方事先商定的（本此试验为zhu）且相互指定隧道终点为对方的IP时，双方才能互通，密钥必需是双方事先商定的，假如一方没有设置，则双方不能PING通，隧道的终点要指定对方的IP。