2024年2月20日发(作者:)

【教学资源类别】

序号

1

2

3

类别

学习资源

单兵模式赛题资源

分组对抗赛题资源

打勾√

【教学资源名称】

通过WireShar进行I

AC的散列计算,得到的散列值就会被放到认证数据局部,接收方可以通过这个认证数据局部对ESP数据包进行完整性和源认证的校验。

AH〔Authentication Header〕协议

AH的IP协议号为51,AH只能够对数据提供完整性和源认证,并且抵御重放攻击。AH并不对数据提供私密性效劳,也就是说不加密,所以在实际部署IPSec VPN的时候很少使用AH,绝大局部都使用ESP来封装。当然AH不提供私密性效劳,只是其中一个原因,后面局部我们还会介绍AH不被大量使用的另外一个原因。我们先通过下列图来看看AH的包结构:

〔图示:AH头部示意图〕

AH翻译成中文就叫做认证头部,得名的原因就是它和ESP不一样,ESP不验证原始IP头部,AH却要对IP头部的一些,它认为不变的字段进行验证。我们可以通过下列图来看看哪些字段AH认为是不变的。

〔图示:AH验证IP头部字段介绍〕

这个图中的灰色局部是不进行验证的〔散列计算〕,但是白色局部AH认为应该不会发生变化,需要对这些局部进行验证。可以看到IP地址字段是需要验证的,不能被修改。AH这么选择也有它自身的原因。IPSec的AH封装最初是为IPv6设计的,在IPv6的网络里地址不改变非常正常,但是我们现在使用的主要是IPv4的网络,地址转换技术〔NAT〕经常被采用。一旦AH封装的数据包穿越NAT,地址就会改变,抵达目的地之后就不能通过验证,所以AH协议封装的数据是不能穿越NAT,这就是AH不被IPSec大量使用的第二个原因。

【实训步骤】

第一步:为效劳器和客户机分别配置IP地址,并测试连通性

第二步:验证效劳器和客户机之间基于IP平安策略的连通性

第三步:翻开WireShar,并配置过滤条件

第四步:再次验证效劳器和客户机之间基于IP平安策略的连通性

第五步:翻开WireShar,对照预备知识,对ESP数据对象进行

分析

【教学资源 信息】

姓名:岳大安

学校名:神州学知: