Windows和H3C VSR对接IPsec VPN

文化   2024-09-19 23:07   北京  


正文共:1666 字 44 图,预估阅读时间:3 分钟

我们之前介绍过如何在Windows Server之间配置IPsec VPN使用MMC和netsh两种方式配置Windows Server传输模式IPsec,分别使用netsh(Network shell)MMC(Microsoft Management Console)两种方式配置了两台主机,并且协商成功。

IPsec的RFC协议规范提到IPsec:RFC2401-互联网协议的安全架构,IPsec定义了两种类型的SA:传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟;隧道模式SA是两个安全网关之间的安全联盟。我们之前测试的设备对接大多是安全网关之间隧道模式的IPsecIPsec over GRE over IPv6配置案例,既然VSR也支持传输模式,那应该也可以和Windows Server主机协商起传输模式的IPsec。

理论成立,开始验证。

MMC方式配置Windows Server

“开始”“管理工具”打开“本地安全策略”,就是从这里配置IPsec。

配置IP安全策略

右击“IP安全策略,在本地计算机”,点击“创建IP安全策略”

欢迎页面,直接“下一步”。配置“名称”“描述”

“激活默认响应规则”的选项,不要选,给低版本系统使用的。

其实这里就是创建一个IPsec名称,勾选“编辑属性”完成配置。

有一个默认的IP安全规则,可以不管它,点击“添加”规则。

配置IP安全规则

这里可以看到IPsec的配置步骤:IP隧道操作属性、身份验证方法和筛选器操作。

这里选择“此规则不指定隧道”,也就是传输模式。配置了隧道终点就成了隧道模式。

网络类型选择默认的“所有网络连接”即可。

配置IP筛选器列表

然后是“IP筛选器列表”,也就是filterlist,点击“添加”

配置名称和描述,点击“添加”来增加筛选器。

配置IP筛选器

IP筛选器,也就是netsh里面的filter。

可选描述,勾选“镜像”,也就是双向流量。

指定源地址,选择“一个特定的IP地址或子网”,也可以根据实际需求选择其他类型。

同理,填写目的地址。

协议选择所有,这三步就像是IPsec设备配置的ACL一样。

完成IP筛选器配置。

确认信息无误,点击确定。

选中刚才创建的IP筛选器列表(包含筛选器),下一步。

配置筛选器,点击“添加”

配置IP安全筛选器

添加IP安全筛选器操作,也就是fliteraction。

配置名称和描述信息。

操作选择“协商安全”

不允许与不支持IPsec的计算机通讯。

IP流量安全也就是对流量进行校验、加密,选择“自定义”,点击“设置”

仅勾选ESP即可,完整性算法使用MD5,加密算法使用DES,点击“确定”完成设置。

设置完成后,点击“下一步”

完成IP安全性筛选器配置。

选中刚才添加的筛选器操作,点击“下一步”

配置身份验证方法,选择预共享密钥(PSK),配置密钥。

点击完成,这里就配完了。

再看一下IPsec规则的属性。

通过MMC方式配置的IPsec,默认是没有激活的,需要在“本地安全策略”中修改为“分配/已指派”,分配之后,策略已支配状态变更为“是”

配置VSR

接下来,我们根据Windows Server的配置,在VSR上创建IPsec策略。

首先,创建名称为windows的IKE keychain,配置与IP地址为10.24.1.2的对端使用的预共享密钥为明文tietouge。

#ike keychain windows pre-shared-key address 10.24.1.2 255.255.255.0 key simple tietouge

因为Windows Server的配置有些与众不同,所以需要调整一下IKE安全提议的配置。

我们新建一个安全提议,配置认证算法为SHA1,加密算法为3DES,指定DH组为2,设置SA生存时间为28800秒。

#ike proposal 3402 authentication-algorithm sha encryption-algorithm 3des-cbc dh group2 sa duration 28800

创建并配置IKE profile,名称为windows,调用keychain、proposal,并设置身份标识。

#ike profile windows keychain windows match remote identity address 10.24.1.2 255.255.255.255 match local address 10.24.1.1 proposal 3402

配置一个IPv4高级ACL,定义要保护由子网10.24.1.0/24去往子网10.24.1.0/24的数据流。

#acl advanced 3402 rule 0 permit ip source 10.20.24.0 0.0.0.255 destination 10.24.1.0 0.0.0.255

创建IPsec安全提议windows,将对IP报文的封装形式设置为传输模式,采用的安全协议默认为ESP,无需调整。需要配置ESP协议采用的加密算法为DES,认证算法为MD5。

#ipsec transform-set windows encapsulation-mode transport protocol esp esp encryption-algorithm des-cbc esp authentication-algorithm md5

创建一条IKE协商方式的IPsec安全策略,名称为windows,序列号为10。

指定引用ACL 3402,引用安全提议为windows,引用的IKE profile为windows。指定IPsec隧道的本端IP地址为10.24.1.1,对端IP地址为10.24.1.1。

#ipsec policy windows 10 isakmp transform-set windows security acl 3402 local-address 10.24.1.1 remote-address 10.24.1.2 ike-profile windows

在接口G2/0上应用安全策略windows。

#interface GigabitEthernet2/0 ip address 10.24.1.1 255.255.255.0 ipsec apply policy windows
验证配置

配置完成后,我们在Windows Server系统中使用ping触发协商,跟以往不同,首包并没有丢失,只是时延变得稍微大了一些。

在VSR上查看IKE SA和IPsec SA信息。

查看抓包信息,可以看到有一个ESP报文夹在了快速模式的报文交互中间,可能是这个操作导致了首包时延增加,两端都启用之后,快速建立起IPsec隧道连接。

然后是主模式(static)的安全协商过程,能看到使用UDP500端口,以及其他相关信息。

然后是密钥交换过程。

然后是鉴别,此时数据已经加密。

然后是进行加密,状态也成了双方确认。

最后就是正常通信过程,可以看到正常的报文封装格式和ESP隧道模式是一样的。

长按二维码
关注我们吧

使用IKE数字签名RSA认证建立IPsec隧道的配置案例
如何通过netsh命令重启主机网卡?
配置PPPoEv6服务器为终端分配IPv6地址
企业路由器配置IPv6家用宽带的PPPoE拨号示例
H3C MSR NAT66配置指北
配置GRE over IPv6隧道
IPsec over GRE over IPv6配置案例
使用ddns-go实现自动配置IPv6的DDNS
你想在旧Android手机上装Linux系统吗?看这里
IP层安全(IPsec)文件路线图
使用IKE建立保护IPv6报文的IPsec隧道
手把手教你在天翼云部署一台FortiGate云主机
HPE VSR配置穿越NAT场景下的ADVPN案例
ADVPN:Hub-Spoke类型组网实验
ADVPN:Full-Mesh模型组网实验

铁军哥
高级网络规划设计师,原中国电信高级技术规划工程师,天翼云认证高级解决方案架构师,H3C认证网络工程师。 继续加油,努力传播知识,影响更多人!
 最新文章