正文共:888 字 12 图,预估阅读时间:1 分钟
我们前面使用图形化界面的本地安全策略配置了Windows和VSR的对接(Windows和H3C VSR对接IPsec VPN),同时,我们也知道了使用netsh配置IPsec的命令(还能这么玩?Windows通过netsh命令配置IPsec),我们今天来简单操作一下通过命令行创建IPsec策略。
操作过程和通过图形化界面的步骤类似,主要分为创建IPsec策略、创建IP筛选器列表并创建IP筛选器、创建IPsec筛选器操作,再通过IPsec策略规则将这些关联起来,最后激活IPsec策略即可。
创建IPsec策略
首先,新创建一个IPsec策略,名称指定为“winvsr”,主模式安全方法配置加密算法为DES、完整性算法为MD5、DH组使用Group1,将生存时间配置为1440(分钟,对应86400秒)。配置命令为:
netsh ipsec static add policy winvsr mmsec="DES-MD5-1” mmlifetime=1440
查看IPsec策略信息。
netsh ipsec static show policy all
查看IPsec策略winvsr的详细信息。
netsh ipsec static show policy all level=verbose
创建IP筛选器列表
新建一个IP筛选器列表,主要配置名称name,可选配置描述description。配置命令为:
netsh ipsec static add filterlist winvsr
查看IP筛选器列表的详细信息。
netsh ipsec static show filterlist all level=verbose
创建IP筛选器
在IP筛选器列表winvsr下创建一个IP筛选器,指定源IP地址为10.24.1.2,指定目的IP地址为10.24.1.1,协议protocol未配置时等于使用any任何;配置mirrored=yes启用筛选器的镜像,以为每一个方向指定一个筛选器。配置命令为:
netsh ipsec static add filter filterlist= winvsr 10.24.1.1 10.24.1.2 mirrored=yes
查看IP筛选器列表的详细信息。
netsh ipsec static show filterlist all level=verbose
创建IPsec筛选器操作
新建一个IPsec筛选器操作,名称指定为“winvsr”,行为action配置为negotiate协商安全,IP流量的安全方法qmsecmethods配置为ESP,使用的完整性算法为MD5、加密算法为DES。配置命令为:
netsh ipsec static add filteraction name= winvsr action=negotiate qmsec="ESP[MD5,DES]"
查看IP筛选器操作的详细信息。
netsh ipsec static show filteraction all level=verbose
创建IPsec规则
创建一个IPsec规则,指定规则名称name,将前面配置的IPsec策略、IP筛选器列表、IPsec筛选器操作关联起来;别忘了,我们还有一个IKE身份验证方法没有配置,这里配置使用预共享密钥PSK,并设置密钥为tietouge。配置命令为:
netsh ipsec static add rule name=winvsr policy=winvsr filterlist=winvsr filteraction=winvsr psk="tietouge"
查看IPsec策略的详细信息。
netsh ipsec static show rule all policy=winvsr level=verbose
查看并激活IPsec配置
我们在创建IPsec策略时,没有设置assign参数,此时assign默认值为no,表示策略没有激活,需要在netsh命令中,将IPsec策略的assign属性配置为yes,来实现激活策略。配置命令为:
netsh ipsec static set policy name= winvsr assign=yes
查看已分配策略的详细信息。
netsh ipsec static show gpoassignedpolicy
如果通过本地安全策略窗口界面查看,可以看到配置信息与通过界面配置的几乎完全一致。
测试IPsec协商状态。
跟通过页面配置一样,首包并没有丢失,只是时延变得稍微大了一些。
在VSR上查看IKE SA和IPsec SA信息。
抓包查看协商过程,可以看到有一个ESP报文夹在了快速模式的报文交互中间,可能是这个操作导致了首包时延增加,两端SA协商通过之后,快速建立起IPsec隧道连接。
一共6条命令,是不是很简单呢?
长按二维码
关注我们吧
Windows和H3C VSR对接IPsec VPN
还能这么玩?Windows通过netsh命令配置IPsec
使用IKE数字签名RSA认证建立IPsec隧道的配置案例
使用IKE建立保护IPv6报文的IPsec隧道
IPsec over GRE over IPv6配置案例
配置GRE over IPv6隧道
如何通过netsh命令重启主机网卡?
H3C MSR NAT66配置指北
使用ddns-go实现自动配置IPv6的DDNS
Android手机安装Kali系统并配置ddns-go
HPE VSR配置穿越NAT场景下的ADVPN案例
ADVPN:Hub-Spoke类型组网实验
ADVPN:Full-Mesh模型组网实验
企业路由器配置IPv6家用宽带的PPPoE拨号示例