Windows-Windows2008 R2 与 HUAWEI防火墙USG6000配置IPSec(Windows篇)
HUAWEI-Windows2008 R2 与 防火墙USG6000配置IPSec(Windows篇)
背景说明:某公司想实现总部和分部之间构建一条IPSec实现内部通讯,同时为节约成本不想购置一台用于IPSec的网络设备。于是通过思考使用Windows Server2008 来建立IPSec。实现IPSec的协商构建隧道通信。
IP地址接口规划表:
| 本端设备 | 接口 | IP地址 | 对端设备 | 接口 | IP地址 |
|---|---|---|---|---|---|
| FW | GE 1/0/0 | 202.1.1.2/30 | Win2008 | GE 0/0/1 | 202.1.1.1/30 |
| FW | GE 1/0/1 | 192.168.6.1/24 | PC3 | Ethernet 0/0/1 | 192.168.6.3/24 |
| Win2008 | Ethernet 0/0/1 | 192.168.5.1/24 | PC4 | Ethernet 0/0/1 | 192.168.5.2/24 |
数据规划:
| 配置项 | 华为USG6000 | Windows Sever 2008 R2 | |
|---|---|---|---|
| IPSEC 安全提议 | 封装模式 | 隧道模式 (Tunnel) | 隧道模式 (Tunnel) |
| 安全协议 | ESP | ESP | |
| ESP协议 验证算法 | SHA1 | SHA1 | |
| ESP协议 加密算法 | 3DES | 3DES | |
| IKE 安全提议 | 身份验证方法 | 预共享密钥 | 预共享密钥 |
| 加密算法 | SHA1 | SHA1 | |
| 认证算法 | 3DES | 3DES | |
| DH Group | GROUP2 | GROUP2 | |
| IKE对等体 | 协商模式 | 主模式 | 主模式 |
| 预共享密钥 | ruankao@huawei | ruankao@huawei | |
| 身份类型 | IP地址 | IP地址 | |
| IKE版本 | V1 | V1 |
实验步骤:
实验实施:
一、添加接口,配置接口IP地址
配置接口地址
二、安装网络策略和访问服务,配置缺省路由
配置缺省路由:
三、配置IP安全策略
配置IP筛选器列表:
win2008-USG-out的配置:
配置筛选器操作:
TIPS:IP安全策略的参数对应“ipsec policy”参数,务必对应各项参数
win2008-USG-in的配置:
配置IKE协商:
配置参数:
TIPS:IKE参数必须一致,IKE协商才可通过
四、指派IP安全策略
实验验证:
主模式验证:
快速模式验证:
抓包验证协商过程和数据加密:
