使用6条命令完成Windows和H3C VSR的IPsec对接

a1035c77aae6d2d8b2b1bfe68bb6adcc.gif

正文共:888 字 12 图,预估阅读时间:1 分钟

我们前面使用图形化界面的本地安全策略配置了Windows和VSR的对接Windows和H3C VSR对接IPsec VPN,同时,我们也知道了使用netsh配置IPsec的命令还能这么玩?Windows通过netsh命令配置IPsec,我们今天来简单操作一下通过命令行创建IPsec策略。

操作过程和通过图形化界面的步骤类似,主要分为创建IPsec策略、创建IP筛选器列表并创建IP筛选器、创建IPsec筛选器操作,再通过IPsec策略规则将这些关联起来,最后激活IPsec策略即可。

bc557ac2d37888a5f0bf10be750cbd01.png

创建IPsec策略

首先,新创建一个IPsec策略,名称指定为“winvsr”,主模式安全方法配置加密算法为DES、完整性算法为MD5、DH组使用Group1,将生存时间配置为1440(分钟,对应86400秒)。配置命令为:

netsh ipsec static add policy winvsr mmsec="DES-MD5-1” mmlifetime=1440

查看IPsec策略信息。

netsh ipsec static show policy all

c5fbd938673b0c6229084cd19767f3c0.png

查看IPsec策略winvsr的详细信息。

netsh ipsec static show policy all level=verbose

084ac49cc0069158c9d4360e0fa61a34.png

bd8fc087ba23c90e188be2931218ee05.png

创建IP筛选器列表

新建一个IP筛选器列表,主要配置名称name,可选配置描述description。配置命令为:

netsh ipsec static add filterlist winvsr

查看IP筛选器列表的详细信息。

netsh ipsec static show filterlist all level=verbose

51cb54fa40a4847315170a53f85e9c3a.png

17ac8304d7ad09dc5edb9cd187d9faa7.png

创建IP筛选器

在IP筛选器列表winvsr下创建一个IP筛选器,指定源IP地址为10.24.1.2,指定目的IP地址为10.24.1.1,协议protocol未配置时等于使用any任何;配置mirrored=yes启用筛选器的镜像,以为每一个方向指定一个筛选器。配置命令为:

netsh ipsec static add filter filterlist= winvsr 10.24.1.1 10.24.1.2 mirrored=yes

查看IP筛选器列表的详细信息。

netsh ipsec static show filterlist all level=verbose

3142c5bcb2d9d3a652dbf61015660e01.png

a68379bf04aee1e8f02e3f37627a6543.png

创建IPsec筛选器操作

新建一个IPsec筛选器操作,名称指定为“winvsr”,行为action配置为negotiate协商安全,IP流量的安全方法qmsecmethods配置为ESP,使用的完整性算法为MD5、加密算法为DES。配置命令为:

netsh ipsec static add filteraction name= winvsr action=negotiate qmsec="ESP[MD5,DES]"

查看IP筛选器操作的详细信息。

netsh ipsec static show filteraction all level=verbose

7a4f931ecf2b46964588beb769360019.png

cf37542e47805308fa4c0b78f20da786.png

创建IPsec规则

创建一个IPsec规则,指定规则名称name,将前面配置的IPsec策略、IP筛选器列表、IPsec筛选器操作关联起来;别忘了,我们还有一个IKE身份验证方法没有配置,这里配置使用预共享密钥PSK,并设置密钥为tietouge。配置命令为:

netsh ipsec static add rule name=winvsr policy=winvsr filterlist=winvsr filteraction=winvsr psk="tietouge"

查看IPsec策略的详细信息。

netsh ipsec static show rule all policy=winvsr level=verbose

a1e1970cc3bd4ebc1fc58d4f04a6b22e.png

497ee01602817cc547d6c0ed4768c63b.png

查看并激活IPsec配置

我们在创建IPsec策略时,没有设置assign参数,此时assign默认值为no,表示策略没有激活,需要在netsh命令中,将IPsec策略的assign属性配置为yes,来实现激活策略。配置命令为:

netsh ipsec static set policy name= winvsr assign=yes

11fc6cea00e3b365f0ff52b019535c6d.png

查看已分配策略的详细信息。

netsh ipsec static show gpoassignedpolicy

bab60da6e290fb388d63506da9cdc872.png

如果通过本地安全策略窗口界面查看,可以看到配置信息与通过界面配置的几乎完全一致。

c0d5442c18585bfe7c73535f47afafc2.png

测试IPsec协商状态。

24eb6c59b3ebf5030679bf148de4b310.png

跟通过页面配置一样,首包并没有丢失,只是时延变得稍微大了一些。

在VSR上查看IKE SA和IPsec SA信息。

89009217ca01d7cb377c2c32c7367ee5.png

抓包查看协商过程,可以看到有一个ESP报文夹在了快速模式的报文交互中间,可能是这个操作导致了首包时延增加,两端SA协商通过之后,快速建立起IPsec隧道连接。

4e69edf972d49fea6fd960ed51b35704.png

一共6条命令,是不是很简单呢?

a18ac592261b5ca0555bbb5913a3d0a3.gif

长按二维码
关注我们吧

d1274e9afa1973eedab20b345ec8c2d2.jpeg

fb929e48eeff21dc00c3488565470901.png

Windows和H3C VSR对接IPsec VPN

还能这么玩?Windows通过netsh命令配置IPsec

使用IKE数字签名RSA认证建立IPsec隧道的配置案例

使用IKE建立保护IPv6报文的IPsec隧道

IPsec over GRE over IPv6配置案例

配置GRE over IPv6隧道

如何通过netsh命令重启主机网卡?

H3C MSR NAT66配置指北

使用ddns-go实现自动配置IPv6的DDNS

Android手机安装Kali系统并配置ddns-go

HPE VSR配置穿越NAT场景下的ADVPN案例

ADVPN:Hub-Spoke类型组网实验

ADVPN:Full-Mesh模型组网实验

企业路由器配置IPv6家用宽带的PPPoE拨号示例

上一篇:WebRTC关键技术及应用场景:EasyCVR视频汇聚平台高效低延迟视频监控解决方案


下一篇:AI健身体能测试之基于paddlehub实现引体向上计数个数统计