通过命令行创建IPsec策略。
操作过程和通过图形化界面的步骤类似,主要分为创建IPsec策略、创建IP筛选器列表并创建IP筛选器、创建IPsec筛选器操作,再通过IPsec策略规则将这些关联起来,最后激活IPsec策略即可。
首先,新创建一个IPsec策略,名称指定为“winvsr”,主模式安全方法配置加密算法为DES、完整性算法为MD5、DH组使用Group1,将生存时间配置为1440(分钟,对应86400秒)。配置命令为:
netsh ipsec static add policy winvsr mmsec="DES-MD5-1” mmlifetime=1440
查看IPsec策略信息。
netsh ipsec static show policy all
查看IPsec策略winvsr的详细信息。
netsh ipsec static show policy all level=verbose
新建一个IP筛选器列表,主要配置名称name,可选配置描述description。配置命令为:
netsh ipsec static add filterlist winvsr
查看IP筛选器列表的详细信息。
netsh ipsec static show filterlist all level=verbose
在IP筛选器列表winvsr下创建一个IP筛选器,指定源IP地址为10.24.1.2,指定目的IP地址为10.24.1.1,协议protocol未配置时等于使用any任何;配置mirrored=yes启用筛选器的镜像,以为每一个方向指定一个筛选器。配置命令为:
netsh ipsec static add filter filterlist= winvsr 10.24.1.1 10.24.1.2 mirrored=yes
查看IP筛选器列表的详细信息。
netsh ipsec static show filterlist all level=verbose
新建一个IPsec筛选器操作,名称指定为“winvsr”,行为action配置为negotiate协商安全,IP流量的安全方法qmsecmethods配置为ESP,使用的完整性算法为MD5、加密算法为DES。配置命令为:
netsh ipsec static add filteraction name= winvsr action=negotiate qmsec="ESP[MD5,DES]"
查看IP筛选器操作的详细信息。
netsh ipsec static show filteraction all level=verbose
创建一个IPsec规则,指定规则名称name,将前面配置的IPsec策略、IP筛选器列表、IPsec筛选器操作关联起来;别忘了,我们还有一个IKE身份验证方法没有配置,这里配置使用预共享密钥PSK,并设置密钥为tietouge。配置命令为:
netsh ipsec static add rule name=winvsr policy=winvsr filterlist=winvsr filteraction=winvsr psk="tietouge"
查看IPsec策略的详细信息。
netsh ipsec static show rule all policy=winvsr level=verbose
我们在创建IPsec策略时,没有设置assign参数,此时assign默认值为no,表示策略没有激活,需要在netsh命令中,将IPsec策略的assign属性配置为yes,来实现激活策略。配置命令为:
netsh ipsec static set policy name= winvsr assign=yes
查看已分配策略的详细信息。
netsh ipsec static show gpoassignedpolicy
如果通过本地安全策略窗口界面查看,可以看到配置信息与通过界面配置的几乎完全一致。
测试IPsec协商状态。
跟通过页面配置一样,首包并没有丢失,只是时延变得稍微大了一些。
在VSR上查看IKE SA和IPsec SA信息。
抓包查看协商过程,可以看到有一个ESP报文夹在了快速模式的报文交互中间,可能是这个操作导致了首包时延增加,两端SA协商通过之后,快速建立起IPsec隧道连接。
一共6条命令,是不是很简单呢?
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://www.hqyman.cn/post/8605.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~