正文共:1666 字 44 图,预估阅读时间:3 分钟
我们之前介绍过如何在Windows Server之间配置IPsec VPN(使用MMC和netsh两种方式配置Windows Server传输模式IPsec),分别使用netsh(Network shell)和MMC(Microsoft Management Console)两种方式配置了两台主机,并且协商成功。
IPsec的RFC协议规范提到(IPsec:RFC2401-互联网协议的安全架构),IPsec定义了两种类型的SA:传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟;隧道模式SA是两个安全网关之间的安全联盟。我们之前测试的设备对接大多是安全网关之间隧道模式的IPsec(IPsec over GRE over IPv6配置案例),既然VSR也支持传输模式,那应该也可以和Windows Server主机协商起传输模式的IPsec。
理论成立,开始验证。
从“开始”→“管理工具”打开“本地安全策略”,就是从这里配置IPsec。
右击“IP安全策略,在本地计算机”,点击“创建IP安全策略”。
欢迎页面,直接“下一步”。配置“名称”和“描述”。
有“激活默认响应规则”的选项,不要选,给低版本系统使用的。
其实这里就是创建一个IPsec名称,勾选“编辑属性”完成配置。
有一个默认的IP安全规则,可以不管它,点击“添加”规则。
这里可以看到IPsec的配置步骤:IP隧道操作属性、身份验证方法和筛选器操作。
这里选择“此规则不指定隧道”,也就是传输模式。配置了隧道终点就成了隧道模式。
网络类型选择默认的“所有网络连接”即可。
然后是“IP筛选器列表”,也就是filterlist,点击“添加”。
配置名称和描述,点击“添加”来增加筛选器。
IP筛选器,也就是netsh里面的filter。
可选描述,勾选“镜像”,也就是双向流量。
指定源地址,选择“一个特定的IP地址或子网”,也可以根据实际需求选择其他类型。
同理,填写目的地址。
协议选择所有,这三步就像是IPsec设备配置的ACL一样。
完成IP筛选器配置。
确认信息无误,点击确定。
选中刚才创建的IP筛选器列表(包含筛选器),下一步。
配置筛选器,点击“添加”。
添加IP安全筛选器操作,也就是fliteraction。
配置名称和描述信息。
操作选择“协商安全”。
不允许与不支持IPsec的计算机通讯。
IP流量安全也就是对流量进行校验、加密,选择“自定义”,点击“设置”。
仅勾选ESP即可,完整性算法使用MD5,加密算法使用DES,点击“确定”完成设置。
设置完成后,点击“下一步”。
完成IP安全性筛选器配置。
选中刚才添加的筛选器操作,点击“下一步”。
配置身份验证方法,选择预共享密钥(PSK),配置密钥。
点击完成,这里就配完了。
再看一下IPsec规则的属性。
通过MMC方式配置的IPsec,默认是没有激活的,需要在“本地安全策略”中修改为“分配/已指派”,分配之后,策略已支配状态变更为“是”。
接下来,我们根据Windows Server的配置,在VSR上创建IPsec策略。
首先,创建名称为windows的IKE keychain,配置与IP地址为10.24.1.2的对端使用的预共享密钥为明文tietouge。
#
ike keychain windows
pre-shared-key address 10.24.1.2 255.255.255.0 key simple tietouge
因为Windows Server的配置有些与众不同,所以需要调整一下IKE安全提议的配置。
我们新建一个安全提议,配置认证算法为SHA1,加密算法为3DES,指定DH组为2,设置SA生存时间为28800秒。
#
ike proposal 3402
sha
3des-cbc
dh group2
sa duration 28800
创建并配置IKE profile,名称为windows,调用keychain、proposal,并设置身份标识。
#
ike profile windows
keychain windows
match remote identity address 10.24.1.2 255.255.255.255
match local address 10.24.1.1
proposal 3402
配置一个IPv4高级ACL,定义要保护由子网10.24.1.0/24去往子网10.24.1.0/24的数据流。
#
acl advanced 3402
rule 0 permit ip source 10.20.24.0 0.0.0.255 destination 10.24.1.0 0.0.0.255
创建IPsec安全提议windows,将对IP报文的封装形式设置为传输模式,采用的安全协议默认为ESP,无需调整。需要配置ESP协议采用的加密算法为DES,认证算法为MD5。
#
ipsec transform-set windows
transport
protocol esp
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
创建一条IKE协商方式的IPsec安全策略,名称为windows,序列号为10。
指定引用ACL 3402,引用安全提议为windows,引用的IKE profile为windows。指定IPsec隧道的本端IP地址为10.24.1.1,对端IP地址为10.24.1.1。
#
ipsec policy windows 10 isakmp
transform-set windows
security acl 3402
local-address 10.24.1.1
remote-address 10.24.1.2
ike-profile windows
在接口G2/0上应用安全策略windows。
#
interface GigabitEthernet2/0
ip address 10.24.1.1 255.255.255.0
ipsec apply policy windows
配置完成后,我们在Windows Server系统中使用ping触发协商,跟以往不同,首包并没有丢失,只是时延变得稍微大了一些。
在VSR上查看IKE SA和IPsec SA信息。
查看抓包信息,可以看到有一个ESP报文夹在了快速模式的报文交互中间,可能是这个操作导致了首包时延增加,两端都启用之后,快速建立起IPsec隧道连接。
然后是主模式(static)的安全协商过程,能看到使用UDP500端口,以及其他相关信息。
然后是密钥交换过程。
然后是鉴别,此时数据已经加密。
然后是进行加密,状态也成了双方确认。
最后就是正常通信过程,可以看到正常的报文封装格式和ESP隧道模式是一样的。
长按二维码
关注我们吧