玩转华为ENSP模拟器系列 | 接入用户采用Windows7客户端通过IKEv2方式接入总部VdPdNd（采用证书认证方式）

Posted 2022-10-12 COCOgsta

素材来源：华为防火墙配置指南

一边学习一边整理试验笔记，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验

---

目标

出差员工访问总部内网，可与总部网关建立IPSec隧道连接。员工通过使用Windows7上自带的客户端软件进行IKEv2拨号，从而访问总部服务器。

组网需求

如图1所示，由IKEv2客户端直接向IPSec网关发起连接请求，建立IPSec隧道连接。协商隧道时，使用证书保证协商的安全性，并使用证书保证客户端身份的真实性和数据的安全。

配置思路

1. 完成FW的基本配置、包括接口、安全策略、路由的配置。

1. 在FW上完成IPSec的配置。

1. 在出差员工的PC上完成配置，需要注意的是PC的配置参数需要与FW的参数对应。

操作步骤

1. 配置FW的基础配置。

   1. 配置接口IP地址。

      1. 配置接口GE1/0/1的IP地址。

      2. <sysname> system-view
         [sysname] sysname FW
         [FW] interface gigabitethernet 1 / 0 / 1 
         [FW-GigabitEthernet1/0/1] ip address 1.1.1.2  24  
         [FW-GigabitEthernet1/0/1] quit
         复制代码

      3. 配置接口GE1/0/3的IP地址。

      4. [FW] interface gigabitethernet 1 / 0 / 3 
         [FW-GigabitEthernet1/0/3] ip address 10.1.1.1  24 
         [FW-GigabitEthernet1/0/3] quit
         复制代码

   2. 配置接口加入相应的安全区域。

      1. 将接口GE1/0/3加入Trust区域。

      2. [FW] firewall zone trust 
         [FW-zone-trust] add interface gigabitethernet 1 / 0 / 3 
         [FW-zone-trust] quit
         复制代码

      3. 将接口GE1/0/1加入Untrust区域。

      4. [FW] firewall zone untrust 
         [FW-zone-untrust] add interface gigabitethernet 1 / 0 / 1 
         [FW-zone-untrust] quit
         复制代码

   3. 配置域间安全策略。

      1.     # 配置安全策略，允许总部用户主动向出差用户发起访问。

      2. [FW] security-policy
         [FW-policy-security] rule name policy1
         [FW-policy-security-rule-policy1] source-zone trust
         [FW-policy-security-rule-policy1] destination-zone untrust
         [FW-policy-security-rule-policy1] source-address 10.1.1.0  24
         [FW-policy-security-rule-policy1] destination-address range 10.1.1.2  10.1.1.100
         [FW-policy-security-rule-policy1] action permit
         [FW-policy-security-rule-policy1] quit
         复制代码

      3.     # 配置安全策略，允许出差用户主动向总部用户发起访问。

      4. [FW-policy-security] rule name policy2
         [FW-policy-security-rule-policy2] source-zone untrust
         [FW-policy-security-rule-policy2] destination-zone trust
         [FW-policy-security-rule-policy2] source-address range 10.1.1.2  10.1.1.100
         [FW-policy-security-rule-policy2] destination-address 10.1.1.0  24
         [FW-policy-security-rule-policy2] action permit
         [FW-policy-security-rule-policy2] quit
         复制代码

      5.     # 配置安全策略，允许出差用户与总部协商建立IPSec隧道。

      6. [FW-policy-security] rule name policy3
         [FW-policy-security-rule-policy3] source-zone local
         [FW-policy-security-rule-policy3] destination-zone untrust
         [FW-policy-security-rule-policy3] source-address 1.1.1.2  32
         [FW-policy-security-rule-policy3] action permit
         [FW-policy-security-rule-policy3] quit
         [FW-policy-security] rule name policy4
         [FW-policy-security-rule-policy4] source-zone untrust
         [FW-policy-security-rule-policy4] destination-zone local
         [FW-policy-security-rule-policy4] destination-address 1.1.1.2  32
         [FW-policy-security-rule-policy4] action permit
         [FW-policy-security-rule-policy4] quit
         [FW-policy-security] quit
         复制代码

1. 在FW上配置业务方案。

   1. 配置地址池。

   2. [FW] ip pool pool1
      [FW-ip-pool-pool1] section 1  10.1.1.2  10.1.1.100
      [FW-ip-pool-pool1] quit
      复制代码

   3. 配置接入用户使用的业务方案。

   4. [FW] aaa
      [FW-aaa] service-scheme ikev2
      [FW-aaa-service-ikev2] ip-pool pool1
      [FW-aaa-service-ikev2] quit
      复制代码

   5. 引用接入用户使用的业务方案。

   6. [FW-aaa] domain net1
      [FW-aaa-domain-net1] service-type internetaccess ike
      [FW-aaa-domain-net1] service-scheme ikev2
      [FW-aaa-domain-net1] quit
      [FW-aaa] quit
      复制代码

1. 使用SCEP协议为FW在线申请证书。

   1. 创建一个2048位的RSA密钥对rsa_scep，并设置为可以从设备上导出。

   2. [FW] pki rsa local-key-pair create rsa_scep exportable
       Info: The name of the new key-pair will be: rsa_scep                           
       The size of the public key ranges from 512 to 2048.                            
       Input the bits in the modules:2048
       Generating key-pairs...                                                        
      ..................+++                                                           
      .+++   
      复制代码

   3. 配置实体信息。

   4. [FW_A] pki entity user01
      [FW_A-pki-entity-user01] common-name hello
      [FW_A-pki-entity-user01] country cn
      [FW_A-pki-entity-user01] email test@user. com
      [FW_A-pki-entity-user01] fqdn test. abc . com
      [FW_A-pki-entity-user01] ip-address 1.1.3.1
      [FW_A-pki-entity-user01] state jiangsu
      [FW_A-pki-entity-user01] organization huawei
      [FW_A-pki-entity-user01] organization-unit info
      [FW_A-pki-entity-user01] quit
      复制代码

   5. 使用SCEP协议在线申请及更新证书。
   6.   说明： CA证书的指纹信息从CA服务器上获取，本例中CA服务器采用Windows Server 2008，此处假设CA服务器采用挑战密码（Challenge Password）方式处理证书申请，挑战密码为“6AE73F21E6D3571D”。挑战密码与指纹获取的URL为http://1.1.4.1:80/certsrv/mscep_admin。假设CA证书的指纹信息为sha1方式的7A34D94624B1C1BCBF6D763C4A67035D5B578EAF、申请证书的URL为http://1.1.4.1:80/certsrv/mscep/mscep.dll。

   7. [FW_A] pki realm abc
      #.配置信任的CA。
      [FW_A-pki-realm-abc] ca id ca_root
      #.绑定的实体。
      [FW_A-pki-realm-abc] entity user01
      #.配置CA证书指纹，举例中假设为“7A34D94624B1C1BCBF6D763C4A67035D5B578EAF”。
      [FW_A-pki-realm-abc] fingerprint sha1 7A34D94624B1C1BCBF6D763C4A67035D5B578EAF
      #.配置注册证书的URL，指定从CA申请证书。
      [FW_A-pki-realm-abc] enrollment-url http : //1.1.4.1:80/certsrv/mscep/mscep.dll ra
      # 指定申请证书使用的RSA密钥对。
      [FW_A-pki-realm-abc] rsa local-key-pair rsa_scep
      #.指定挑战密码，举例中假设挑战密码为“6AE73F21E6D3571D”。
      [FW_A-pki-realm-abc] password cipher 6AE73F21E6D3571D
      [FW_A-pki-realm-abc] quit
      #.获取CA证书至本地。
      [FW_A] pki get-certificate ca realm abc
      复制代码

   8.   获取到的CA证书被命名为abc_ca.cer保存在设备存储介质中。
   9.   # 导入CA证书到内存。

   10. [FW_A] pki import -certificate ca filename abc_ca. cer 
        The CA's Subject is /CN=ca_root    
        The CA's fingerprint is:                                                       
          MD5  fingerprint:6DF2 CC66 6E6A 09A0 F590 F63B 80BA 017B                     
          SHA1 fingerprint:7A34 D946 24B1 C1BC BF6D 763C 4A67 035D 5B57 8EAF           
        Is the fingerprint correct?(Y/N):y
        Info: Succeeded in importing file. 
       复制代码

   11.   # 开启证书自动注册和更新功能，指定证书有效期到60%时自动更新并同时更新RSA密钥。

   12. [FW_A] pki realm abc
       [FW_A-pki-realm-abc] auto-enroll 60 regenerate 2048
       [FW_A-pki-realm-abc] quit
       复制代码

   13.   设备会自动获取本地证书abc_local.cer，并自动安装到设备内中。

1. 在FW上配置IPSec策略，并在接口上应用此安全策略。

   1. 创建高级ACL 3000。

   2. [FW] acl 3000 
      [FW_acl-adv-3000] rule permit ip source 10.1.1.0  0.0.0.255
      [FW_acl-adv-3000] quit
      复制代码

   3. 配置IPSec安全提议tran1。

   4. [FW] ipsec proposal tran1
      [FW_ipsec-proposal-tran1] transform esp 
      [FW_ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
      [FW_ipsec-proposal-tran1] esp encryption-algorithm aes- 256 
      [FW_ipsec-proposal-tran1] quit
      复制代码

   5. 配置IKE安全提议。

   6. [FW] ike proposal 10 
      [FW_ike-proposal-10] authentication-method rsa-signature 
      [FW_ike-proposal-10] prf hmac-sha2- 256 
      [FW_ike-proposal-10] encryption-algorithm aes- 256
      [FW_ike-proposal-10] dh group2
      [FW_ike-proposal-10] quit
      复制代码

   7. 配置IKE peer。

   8. [FW] ike peer a
      [FW_ike-peer-a] ike-proposal 10
      [FW_ike-peer-a] certificate local-filename abc_local. cer
      [FW_ike-peer-a] service-scheme ikev2
      [FW_ike-peer-a] quit
      复制代码

   9. 配置模板方式的IPSec安全策略policy。

   10. [FW] ipsec policy-template policy_temp 1 
       [FW-ipsec-policy-templet-policy_temp-1] security acl 3000 
       [FW-ipsec-policy-templet-policy_temp-1] proposal tran1 
       [FW-ipsec-policy-templet-policy_temp-1] ike-peer a 
       [FW-ipsec-policy-templet-policy_temp-1] quit
       [FW] ipsec policy policy 10 isakmp template policy_temp
       复制代码

   11. 在接口GE1/0/1上应用IPSec安全策略policy。

   12. [FW] interface gigabitethernet 1 / 0 / 1 
       [FW_GigabitEthernet1/0/1] ipsec policy policy
       [FW_GigabitEthernet1/0/1] quit
       复制代码

1. 配置总部设备的路由。 总部设备上要有到地址池地址的路由才能与出差员工通信，路由的下一跳要指向FW的内网接口地址。

1. 配置出差员工的个人PC。以下为Windows 7系统的示例。

   1. 创建IKEv2连接。

      1. 选择“开始 > 控制面板”。
      2. 选择“网络和Internet”。
      3. 打开“网络和共享中心”。
      4. 选择“设置新的连接或网络”。
      5. 选择“连接到工作区”。
      6. 选择“使用我的Internet连接”。
      7. 设置Internet地址和目标名称。 Internet地址设置为FW外网接口的IP地址（域名固定的情况下，可以填写固定域名）。
      8. 设置用户名、密码，这里无需设置。

      9. 

      10. 设置完成后，单击“连接”。
      11. 单击“跳过”，跳过验证过程。显示“连接已经可用”后，单击“关闭”。

   2. 设置IKEv2连接参数。

      1. 在“网络和共享中心”左侧区域中选择“更改适配器设置”。
      2. 在新建的VPN连接处，单击鼠标右键并选择“属性”。
      3. 设置“选项”、“安全”和“网络”。

      4. 

   3. 生成证书请求文件。

      1. 单击“开始 > 运行”，在运行中输入“mmc”，单击“确定”。

      2. 在控制台中添加一个证书节点。

      3. 

      4.     单击“确定”。

      5. 创建自定义请求。 展开“证书”，单击“个人”，在右侧空白区域，单击鼠标右键，创建自定义请求。

      6. 

      7. 配置证书注册策略。 单击“下一步”。然后进行如下配置：

         1. 

         2.       配置证书属性的“使用者”，不需要配置“常规”和“扩展信息”：

         3. 

         4.       私钥的加密服务程序选择“RSA”，密钥选项设置如图所示，配置完成后单击“确定”。

         5. 

         6.       单击“下一步”，文件格式选择“Base 64”，设置文件名和文件存储路径，单击“完成”。

      8. 

   4. 申请本地证书。

      1. 登录证书服务器。
      2. 单击“申请证书”。
      3. 选择“高级证书申请”。
      4. 选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”。
      5. 将证书请求文件的内容copy出来，保存到申请填写区，证书模板选择证书服务器上设置的模板。
      6. 点击“提交”。
      7. 选择“DER编码”，下载证书即可将申请到的证书文件导出了。

   5. 申请根证书。

      1. 登录证书服务器。
      2. 单击“下载CA证书、证书链或CRL”。
      3. 选择“DER编码”，下载CA证书。
      4. 选择路径保存根证书文件。

   6. 导入本地证书。

      1. 在控制台页面左侧菜单栏展开“证书”，单击“个人”，在右侧空白区域，单击鼠标右键，导入证书。

      2. 

      3. 进入证书导入向导，单击“下一步”。
      4. 选择PC的本地证书，单击“下一步”。
      5. 选中“将所有的证书放入下列存储”，单击“浏览”，选择“个人”。
      6. 单击“确定”。
      7. 单击“下一步”。
      8. 单击“完成”。查看“证书”节点，“个人”下是否成功导入证书。

   7. 导入根证书。

      1. 在控制台页面左侧菜单栏展开“证书”，单击“个人”，在右侧空白区域，单击鼠标右键，导入证书。

      2. 

      3. 进入证书导入向导，单击“下一步”。
      4. 选择根证书，单击“下一步”。
      5. 选中“将所有的证书放入下列存储”，单击“浏览”，选择“受信任的根证书颁发机构”。
      6. 单击“确定”。
      7. 单击“下一步”。
      8. 单击“完成”。查看“证书”节点，“受信任的根证书颁发机构”下是否成功导入证书。