Skip to main content

 路由器设置 > 新闻资讯 >

windows ip安全策略配置站点到站点的IPSec VPN

2013-11-09 00:38 浏览:

一.概述:

windows主机上面有多种配置VPN的方式,今天测试了一下通过ip安全策略配置站点到站点的VPN,特记录下来。
 
二.基本思路:
A.两台windows主机都有两块网卡
B.两台windows主机之间为长距离光纤线路,为了数据传输安全,通过IPSEC将数据加密
C.两地的其他主机都通过这两台windows主机进行通讯,并且通过它们将数据加解密
 
三.测试拓扑:
230547510.jpg
备注:
A.实际测试时R1和R2为两台windows主机,开启路由转发功能
B.PC1为通过GNS模拟的一个路由器
C.server1和server2为两台vmware虚拟机
 
四.基本步骤:
A.PC1:
ip:100.1.1.2/24,gw:100.1.1.1
B.Server1:
网卡1:10.1.1.10/24 GW:10.1.1.2
网卡2:100.1.1.1/24,不配置网关
开启路由转发功能--在服务里面将Routing and Remote Access服务设为自动,并启动这个服务
C.R1:
网卡1:192.168.99.230/24 物理网卡
网卡2:10.1.1.2/24 微软loopback网卡
添加到20.1.1.0/24网络的路由:route add 20.1.1.0 mask 255.255.255.0 192.168.99.231
开启路由转发功能--在服务里面将Routing and Remote Access服务设为自动,并启动这个服务
D.R2:
网卡1:192.168.99.231/24 物理网卡
网卡2:20.1.1.1/24 微软loopback网卡
添加到10.1.1.0/24网络的路由:route add 20.1.1.0 mask 255.255.255.0 192.168.99.230
开启路由转发功能--在服务里面将Routing and Remote Access服务设为自动,并启动这个服务
E.Server2:
网卡1:20.1.1.1/24 GW:10.1.1.1
网卡2:200.1.1.1/24,不配置网关
开启路由转发功能--在服务里面将Routing and Remote Access服务设为自动,并启动这个服务
F.PC2:
ip:200.1.1.2/24,gw:200.1.1.1
五.配置IP安全策略:
-------Server1和Server2做如下相同的配置:
A.运行gpedit.msc开启本地组策略管理
B.计算机配置-》windows设置-》安全设置-》ip安全策略添加如下3个ip筛选器列表:
---all-to-myself:任意ip到我的ip,协议任意,保留镜像
---100-to-200:100.1.1.0/24到200.1.1.0/24两个ip子网,协议任意,去掉镜像
---200-to-100: 200.1.1.0/24到100.1.1.0/24两个ip子网,协议任意,去掉镜像
C.计算机配置-》windows设置-》安全设置-》ip安全策略创建一条ip安全策略,ip安全规则如下3条:
ip筛选器列表 筛选器操作 身份验证方法 隧道终结点 连接类型
all-to-myself 许可 无 ---- 全部
100-to-200 协商安全 预共享密钥 20.1.1.2 全部

200-to-100 协商安全 预共享密钥 10.1.1.10 全部

230655258.jpg

 
D:指派ip安全策略
 
六.验证:

通过用PC2去PING PC2,在server2上面抓包,可以看到如下截图:

181018611.jpg

 
---测试时发现,ping的过程不会像思路路由器那样,第一个包会因为进行ipsec协商而被丢弃。