玩转华为ENSP模拟器系列 | 接入用户采用Windows7客户端通过IKEv2方式接入总部VdPdNd(采用证书认证方式)

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了玩转华为ENSP模拟器系列 | 接入用户采用Windows7客户端通过IKEv2方式接入总部VdPdNd(采用证书认证方式)相关的知识,希望对你有一定的参考价值。

素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验


目标

出差员工访问总部内网,可与总部网关建立IPSec隧道连接。员工通过使用Windows7上自带的客户端软件进行IKEv2拨号,从而访问总部服务器。

组网需求

图1所示,由IKEv2客户端直接向IPSec网关发起连接请求,建立IPSec隧道连接。协商隧道时,使用证书保证协商的安全性,并使用证书保证客户端身份的真实性和数据的安全。

配置思路

  1. 完成FW的基本配置、包括接口、安全策略、路由的配置。
  1. 在FW上完成IPSec的配置。
  1. 在出差员工的PC上完成配置,需要注意的是PC的配置参数需要与FW的参数对应。

操作步骤

  1. 配置FW的基础配置。

    1. 配置接口IP地址。

      1. 配置接口GE1/0/1的IP地址。
      2. <sysname> system-view
        [sysname] sysname FW
        [FW] interface gigabitethernet 1 / 0 / 1 
        [FW-GigabitEthernet1/0/1] ip address 1.1.1.2  24  
        [FW-GigabitEthernet1/0/1] quit
        复制代码
      3. 配置接口GE1/0/3的IP地址。
      4. [FW] interface gigabitethernet 1 / 0 / 3 
        [FW-GigabitEthernet1/0/3] ip address 10.1.1.1  24 
        [FW-GigabitEthernet1/0/3] quit
        复制代码
    2. 配置接口加入相应的安全区域。

      1. 将接口GE1/0/3加入Trust区域。
      2. [FW] firewall zone trust 
        [FW-zone-trust] add interface gigabitethernet 1 / 0 / 3 
        [FW-zone-trust] quit
        复制代码
      3. 将接口GE1/0/1加入Untrust区域。
      4. [FW] firewall zone untrust 
        [FW-zone-untrust] add interface gigabitethernet 1 / 0 / 1 
        [FW-zone-untrust] quit
        复制代码
    3. 配置域间安全策略。

      1.     # 配置安全策略,允许总部用户主动向出差用户发起访问。
      2. [FW] security-policy
        [FW-policy-security] rule name policy1
        [FW-policy-security-rule-policy1] source-zone trust
        [FW-policy-security-rule-policy1] destination-zone untrust
        [FW-policy-security-rule-policy1] source-address 10.1.1.0  24
        [FW-policy-security-rule-policy1] destination-address range 10.1.1.2  10.1.1.100
        [FW-policy-security-rule-policy1] action permit
        [FW-policy-security-rule-policy1] quit
        复制代码
      3.     # 配置安全策略,允许出差用户主动向总部用户发起访问。
      4. [FW-policy-security] rule name policy2
        [FW-policy-security-rule-policy2] source-zone untrust
        [FW-policy-security-rule-policy2] destination-zone trust
        [FW-policy-security-rule-policy2] source-address range 10.1.1.2  10.1.1.100
        [FW-policy-security-rule-policy2] destination-address 10.1.1.0  24
        [FW-policy-security-rule-policy2] action permit
        [FW-policy-security-rule-policy2] quit
        复制代码
      5.     # 配置安全策略,允许出差用户与总部协商建立IPSec隧道。
      6. [FW-policy-security] rule name policy3
        [FW-policy-security-rule-policy3] source-zone local
        [FW-policy-security-rule-policy3] destination-zone untrust
        [FW-policy-security-rule-policy3] source-address 1.1.1.2  32
        [FW-policy-security-rule-policy3] action permit
        [FW-policy-security-rule-policy3] quit
        [FW-policy-security] rule name policy4
        [FW-policy-security-rule-policy4] source-zone untrust
        [FW-policy-security-rule-policy4] destination-zone local
        [FW-policy-security-rule-policy4] destination-address 1.1.1.2  32
        [FW-policy-security-rule-policy4] action permit
        [FW-policy-security-rule-policy4] quit
        [FW-policy-security] quit
        复制代码
  1. 在FW上配置业务方案。

    1. 配置地址池。
    2. [FW] ip pool pool1
      [FW-ip-pool-pool1] section 1  10.1.1.2  10.1.1.100
      [FW-ip-pool-pool1] quit
      复制代码
    3. 配置接入用户使用的业务方案。
    4. [FW] aaa
      [FW-aaa] service-scheme ikev2
      [FW-aaa-service-ikev2] ip-pool pool1
      [FW-aaa-service-ikev2] quit
      复制代码
    5. 引用接入用户使用的业务方案。
    6. [FW-aaa] domain net1
      [FW-aaa-domain-net1] service-type internetaccess ike
      [FW-aaa-domain-net1] service-scheme ikev2
      [FW-aaa-domain-net1] quit
      [FW-aaa] quit
      复制代码
  1. 使用SCEP协议为FW在线申请证书。

    1. 创建一个2048位的RSA密钥对rsa_scep,并设置为可以从设备上导出。
    2. [FW] pki rsa local-key-pair create rsa_scep exportable
       Info: The name of the new key-pair will be: rsa_scep                           
       The size of the public key ranges from 512 to 2048.                            
       Input the bits in the modules:2048
       Generating key-pairs...                                                        
      ..................+++                                                           
      .+++   
      复制代码
    3. 配置实体信息。
    4. [FW_A] pki entity user01
      [FW_A-pki-entity-user01] common-name hello
      [FW_A-pki-entity-user01] country cn
      [FW_A-pki-entity-user01] email test@user. com
      [FW_A-pki-entity-user01] fqdn test. abc . com
      [FW_A-pki-entity-user01] ip-address 1.1.3.1
      [FW_A-pki-entity-user01] state jiangsu
      [FW_A-pki-entity-user01] organization huawei
      [FW_A-pki-entity-user01] organization-unit info
      [FW_A-pki-entity-user01] quit
      复制代码
    5. 使用SCEP协议在线申请及更新证书。
    6.   说明: CA证书的指纹信息从CA服务器上获取,本例中CA服务器采用Windows Server 2008,此处假设CA服务器采用挑战密码(Challenge Password)方式处理证书申请,挑战密码为“6AE73F21E6D3571D”。挑战密码与指纹获取的URL为http://1.1.4.1:80/certsrv/mscep_admin。假设CA证书的指纹信息为sha1方式的7A34D94624B1C1BCBF6D763C4A67035D5B578EAF、申请证书的URL为http://1.1.4.1:80/certsrv/mscep/mscep.dll。
    7. [FW_A] pki realm abc
      #.配置信任的CA。
      [FW_A-pki-realm-abc] ca id ca_root
      #.绑定的实体。
      [FW_A-pki-realm-abc] entity user01
      #.配置CA证书指纹,举例中假设为“7A34D94624B1C1BCBF6D763C4A67035D5B578EAF”。
      [FW_A-pki-realm-abc] fingerprint sha1 7A34D94624B1C1BCBF6D763C4A67035D5B578EAF
      #.配置注册证书的URL,指定从CA申请证书。
      [FW_A-pki-realm-abc] enrollment-url http : //1.1.4.1:80/certsrv/mscep/mscep.dll ra
      # 指定申请证书使用的RSA密钥对。
      [FW_A-pki-realm-abc] rsa local-key-pair rsa_scep
      #.指定挑战密码,举例中假设挑战密码为“6AE73F21E6D3571D”。
      [FW_A-pki-realm-abc] password cipher 6AE73F21E6D3571D
      [FW_A-pki-realm-abc] quit
      #.获取CA证书至本地。
      [FW_A] pki get-certificate ca realm abc
      复制代码
    8.   获取到的CA证书被命名为abc_ca.cer保存在设备存储介质中。
    9.   # 导入CA证书到内存。
    10. [FW_A] pki import -certificate ca filename abc_ca. cer 
       The CA's Subject is /CN=ca_root    
       The CA's fingerprint is:                                                       
         MD5  fingerprint:6DF2 CC66 6E6A 09A0 F590 F63B 80BA 017B                     
         SHA1 fingerprint:7A34 D946 24B1 C1BC BF6D 763C 4A67 035D 5B57 8EAF           
       Is the fingerprint correct?(Y/N):y
       Info: Succeeded in importing file. 
      复制代码
    11.   # 开启证书自动注册和更新功能,指定证书有效期到60%时自动更新并同时更新RSA密钥。
    12. [FW_A] pki realm abc
      [FW_A-pki-realm-abc] auto-enroll 60 regenerate 2048
      [FW_A-pki-realm-abc] quit
      复制代码
    13.   设备会自动获取本地证书abc_local.cer,并自动安装到设备内中。
  1. 在FW上配置IPSec策略,并在接口上应用此安全策略。

    1. 创建高级ACL 3000。
    2. [FW] acl 3000 
      [FW_acl-adv-3000] rule permit ip source 10.1.1.0  0.0.0.255
      [FW_acl-adv-3000] quit
      复制代码
    3. 配置IPSec安全提议tran1。
    4. [FW] ipsec proposal tran1
      [FW_ipsec-proposal-tran1] transform esp 
      [FW_ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
      [FW_ipsec-proposal-tran1] esp encryption-algorithm aes- 256 
      [FW_ipsec-proposal-tran1] quit
      复制代码
    5. 配置IKE安全提议。
    6. [FW] ike proposal 10 
      [FW_ike-proposal-10] authentication-method rsa-signature 
      [FW_ike-proposal-10] prf hmac-sha2- 256 
      [FW_ike-proposal-10] encryption-algorithm aes- 256
      [FW_ike-proposal-10] dh group2
      [FW_ike-proposal-10] quit
      复制代码
    7. 配置IKE peer。
    8. [FW] ike peer a
      [FW_ike-peer-a] ike-proposal 10
      [FW_ike-peer-a] certificate local-filename abc_local. cer
      [FW_ike-peer-a] service-scheme ikev2
      [FW_ike-peer-a] quit
      复制代码
    9. 配置模板方式的IPSec安全策略policy。
    10. [FW] ipsec policy-template policy_temp 1 
      [FW-ipsec-policy-templet-policy_temp-1] security acl 3000 
      [FW-ipsec-policy-templet-policy_temp-1] proposal tran1 
      [FW-ipsec-policy-templet-policy_temp-1] ike-peer a 
      [FW-ipsec-policy-templet-policy_temp-1] quit
      [FW] ipsec policy policy 10 isakmp template policy_temp
      复制代码
    11. 在接口GE1/0/1上应用IPSec安全策略policy。
    12. [FW] interface gigabitethernet 1 / 0 / 1 
      [FW_GigabitEthernet1/0/1] ipsec policy policy
      [FW_GigabitEthernet1/0/1] quit
      复制代码
  1. 配置总部设备的路由。 总部设备上要有到地址池地址的路由才能与出差员工通信,路由的下一跳要指向FW的内网接口地址。
  1. 配置出差员工的个人PC。以下为Windows 7系统的示例。

    1. 创建IKEv2连接。

      1. 选择“开始 > 控制面板”。
      2. 选择“网络和Internet”。
      3. 打开“网络和共享中心”。
      4. 选择“设置新的连接或网络”。
      5. 选择“连接到工作区”。
      6. 选择“使用我的Internet连接”。
      7. 设置Internet地址和目标名称。 Internet地址设置为FW外网接口的IP地址(域名固定的情况下,可以填写固定域名)。
      8. 设置用户名、密码,这里无需设置。
      9. 设置完成后,单击“连接”。
      10. 单击“跳过”,跳过验证过程。显示“连接已经可用”后,单击“关闭”。
    2. 设置IKEv2连接参数。

      1. 在“网络和共享中心”左侧区域中选择“更改适配器设置”。
      2. 在新建的VPN连接处,单击鼠标右键并选择“属性”。
      3. 设置“选项”、“安全”和“网络”。
    3. 生成证书请求文件。

      1. 单击“开始 > 运行”,在运行中输入“mmc”,单击“确定”。

      2. 在控制台中添加一个证书节点。

      3.     单击“确定”。

      4. 创建自定义请求。 展开“证书”,单击“个人”,在右侧空白区域,单击鼠标右键,创建自定义请求。

      5. 配置证书注册策略。 单击“下一步”。然后进行如下配置:

        1.       配置证书属性的“使用者”,不需要配置“常规”和“扩展信息”:
        2.       私钥的加密服务程序选择“RSA”,密钥选项设置如图所示,配置完成后单击“确定”。
        3.       单击“下一步”,文件格式选择“Base 64”,设置文件名和文件存储路径,单击“完成”。
    4. 申请本地证书。

      1. 登录证书服务器。
      2. 单击“申请证书”。
      3. 选择“高级证书申请”。
      4. 选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请”。
      5. 将证书请求文件的内容copy出来,保存到申请填写区,证书模板选择证书服务器上设置的模板。
      6. 点击“提交”。
      7. 选择“DER编码”,下载证书即可将申请到的证书文件导出了。
    5. 申请根证书。

      1. 登录证书服务器。
      2. 单击“下载CA证书、证书链或CRL”。
      3. 选择“DER编码”,下载CA证书。
      4. 选择路径保存根证书文件。
    6. 导入本地证书。

      1. 在控制台页面左侧菜单栏展开“证书”,单击“个人”,在右侧空白区域,单击鼠标右键,导入证书。
      2. 进入证书导入向导,单击“下一步”。
      3. 选择PC的本地证书,单击“下一步”。
      4. 选中“将所有的证书放入下列存储”,单击“浏览”,选择“个人”。
      5. 单击“确定”。
      6. 单击“下一步”。
      7. 单击“完成”。查看“证书”节点,“个人”下是否成功导入证书。
    7. 导入根证书。

      1. 在控制台页面左侧菜单栏展开“证书”,单击“个人”,在右侧空白区域,单击鼠标右键,导入证书。
      2. 进入证书导入向导,单击“下一步”。
      3. 选择根证书,单击“下一步”。
      4. 选中“将所有的证书放入下列存储”,单击“浏览”,选择“受信任的根证书颁发机构”。
      5. 单击“确定”。
      6. 单击“下一步”。
      7. 单击“完成”。查看“证书”节点,“受信任的根证书颁发机构”下是否成功导入证书。

以上是关于玩转华为ENSP模拟器系列 | 接入用户采用Windows7客户端通过IKEv2方式接入总部VdPdNd(采用证书认证方式)的主要内容,如果未能解决你的问题,请参考以下文章

玩转华为ENSP模拟器系列 | 配置动态VPWS接入VPLS示例

玩转华为ENSP模拟器系列 | 配置PE与接入侧设备间路由交换

玩转华为ENSP模拟器系列 | 配置基于iBGP的PE和接入设备间路由交换

玩转华为ENSP模拟器系列 | 配置私网接入普通EVdPdNd E-Lan示例

玩转华为ENSP模拟器系列 | 配置基于接口划分VLAN示例

玩转华为ENSP模拟器系列 | 配置纯动态VPWS交换示例