本实验出自《网络工程师教程》,IPSec策略的配置-440页实验拓扑。
HUAWEI-Windows2008 R2 与 防火墙USG6000配置IPSec(Windows篇)
背景说明:某公司想实现总部和分部之间构建一条IPSec实现内部通讯,同时为节约成本不想购置一台用于IPSec的网络设备。于是通过思考使用Windows Server2008 来建立IPSec。实现IPSec的协商构建隧道通信。
IP地址接口规划表:
本端设备 | 接口 | IP地址 | 对端设备 | 接口 | IP地址 |
FW | GE 1/0/0 | 202.1.1.2/30 | Win2008 | GE 0/0/1 | 202.1.1.1/30 |
FW | GE 1/0/1 | 192.168.6.1/24 | PC3 | Ethernet 0/0/1 | 192.168.6.3/24 |
Win2008 | Ethernet 0/0/1 | 192.168.5.1/24 | PC4 | Ethernet 0/0/1 | 192.168.5.2/24 |
数据规划:
配置项 | 华为USG6000 | Windows Sever 2008 R2 | |
IPSEC 安全提议 | 封装模式 | 隧道模式 (Tunnel) | 隧道模式 (Tunnel) |
安全协议 | ESP | ESP | |
ESP协议 验证算法 | SHA1 | SHA1 | |
ESP协议 加密算法 | 3DES | 3DES | |
IKE 安全提议 | 身份验证方法 | 预共享密钥 | 预共享密钥 |
加密算法 | SHA1 | SHA1 | |
认证算法 | 3DES | 3DES | |
DH Group | GROUP2 | GROUP2 | |
IKE对等体 | 协商模式 | 主模式 | 主模式 |
预共享密钥 | ruankao@huawei | ruankao@huawei | |
身份类型 | IP地址 | IP地址 | |
IKE版本 | V1 | V1 |
实验步骤:
- 添加接口,配置接口IP地址
- 安装网络策略和访问服务,配置缺省路由
- 进入本地安全策略,配置IP安全策略(IPSec)
- 指派IP安全策略,验证实验效果
实验实施:
一、添加接口,配置接口IP地址
配置接口地址
二、安装网络策略和访问服务,配置缺省路由
配置缺省路由:
三、配置IP安全策略
配置IP筛选器列表:
win2008-USG-out的配置:
配置筛选器操作:
TIPS:IP安全策略的参数对应“ipsec policy”参数,务必对应各项参数
win2008-USG-in的配置:
配置IKE协商:
配置参数:
TIPS:IKE参数必须一致,IKE协商才可通过
四、指派IP安全策略
实验验证:
主模式验证:
快速模式验证:
抓包验证协商过程和数据加密:
相关参考链接:
[1] :http://www.wj64.net/?post=12