H3C MSR系列路由器IPsec典型配置举例V7参考优选Word文档格式.docx
《H3C MSR系列路由器IPsec典型配置举例V7参考优选Word文档格式.docx》由会员分享,可在线阅读,更多相关《H3C MSR系列路由器IPsec典型配置举例V7参考优选Word文档格式.docx(45页珍藏版)》请在冰豆网上搜索。
5.6
6IPsec同流双隧道的典型配置举例
6.1
6.2
6.3
6.3.1DeviceA的配置
6.3.2DeviceB的配置
6.4
6.5
7
相关资料
本文档介绍IPsec的典型配置举例。
本文档适用于使用ComwareV7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
如图1所示,PPP用户Host与Device建立L2TP隧道,Windowsserver2003作为CA服务器,要求:
∙
通过L2TP隧道访问Corporatenetwork。
用IPsec对L2TP隧道进行数据加密。
采用RSA证书认证方式建立IPsec隧道。
图1
基于证书认证的L2TPoverIPsec配置组网图
由于使用证书认证方式建立IPsec隧道,所以需要在ikeprofile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。
本举例是在R0106版本上进行配置和验证的。
3.4.1
Device的配置
(1)
配置各接口IP地址
#
配置接口GigabitEthernet2/0/1的IP地址。
<
Device>
system-view
[Device]interfacegigabitethernet2/0/1
[Device-GigabitEthernet2/0/1]ipaddress192.168.100.5024
[Device-GigabitEthernet2/0/1]quit
配置接口GigabitEthernet2/0/2的IP地址。
[Device]interfacegigabitethernet2/0/2
[Device-GigabitEthernet2/0/2]ipaddress102.168.1.1124
[Device-GigabitEthernet2/0/2]quit
配置接口GigabitEthernet2/0/3的IP地址。
[Device]interfacegigabitethernet2/0/3
[Device-GigabitEthernet2/0/3]ipaddress192.168.1.124
[Device-GigabitEthernet2/0/3]quit
(2)
配置L2TP
创建本地PPP用户l2tpuser,设置密码为hello。
[Device]local-userl2tpuserclassnetwork
[Device-luser-network-l2tpuser]passwordsimplehello
[Device-luser-network-l2tpuser]service-typeppp
[Device-luser-network-l2tpuser]quit
配置ISP域system对PPP用户采用本地验证。
[Device]domainsystem
[Device-isp-system]authenticationppplocal
[Device-isp-system]quit
启用L2TP服务。
[Device]l2tpenable
创建接口Virtual-Template0,配置接口的IP地址为172.16.0.1/24。
[Device]interfacevirtual-template0
[Device-Virtual-Template0]ipaddress172.16.0.1255.255.255.0
配置PPP认证方式为PAP。
[Device-Virtual-Template0]pppauthentication-modepap
配置为PPP用户分配的IP地址为172.16.0.2。
[Device-Virtual-Template0]remoteaddress172.16.0.2
[Device-Virtual-Template0]quit
创建LNS模式的L2TP组1。
[Device]l2tp-group1modelns
配置LNS侧本端名称为lns。
[Device-l2tp1]tunnelnamelns
关闭L2TP隧道验证功能。
[Device-l2tp1]undotunnelauthentication
指定接收呼叫的虚拟模板接口为VT0。
[Device-l2tp1]allowl2tpvirtual-template0
[Device-l2tp1]quit
(3)
配置PKI证书
配置PKI实体
security。
[Device]pkientitysecurity
[Device-pki-entity-security]common-namedevice
[Device-pki-entity-security]quit
新建PKI域。
[Device]pkidomainheadgate
[Device-pki-domain-headgate]caidentifierLYQ
[Device-pki-domain-headgate]certificaterequesturlhttp:
//192.168.1.51/certsrv/mscep/mscep.dll
[Device-pki-domain-headgate]certificaterequestfromra
[Device-pki-domain-headgate]certificaterequestentitysecurity
[Device-pki-domain-headgate]undocrlcheckenable
[Device-pki-domain-headgate]
public-keyrsageneralnameabclength1024
[Device-pki-domain-headgate]quit
生成RSA算法的本地密钥对。
[Device]public-keylocalcreatersanameabc
Therangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:
GeneratingKeys...
..........................++++++
.++++++
Createthekeypairsuccessfully.
获取CA证书并下载至本地。
[Device]pkiretrieve-certificatedomainheadgateca
ThetrustedCA'
sfingerprintis:
MD5
fingerprint:
86497A4BEAD542CF50314C99BFS32A99
SHA1fingerprint:
61A96034181E650212FA5A5FBA120EA05187031C
Isthefingerprintcorrect?
(Y/N):
y
Retrievedthecertificatessuccessfully.
手工申请本地证书。
[Device]pkirequest-certificatedomainheadgate
Starttorequestgeneralcertificate...
Certificaterequestedsuccessfully.
(4)
配置IPsec隧道
创建IKE安全提议。
[Device]ikeproposal1
[Device-ike-proposal-1]authentication-methodrsa-signature
[Device-ike-proposal-1]encryption-algorithm3des-cbc
[Device-ike-proposal-1]dhgroup2
[Device-ike-proposal-1]quit
配置IPsec安全提议。
[Device]ipsectransform-settran1
[Device-ipsec-transform-set-tran1]espauthentication-algorithmsha1
[Device-ipsec-transform-set-tran1]espencryption-algorithm3des
[Device-ipsec-transform-set-tran1]quit
配置IKEprofile。
[Device]ikeprofileprofile1
[Device-ike-profile-profile1]local-identitydn
[Device-ike-profile-profile1]certificatedomainheadgate
[Device-ike-profile-profile1]proposal1
[Device-ike-profile-profile1]matchremotecertificatedevice
[Device-ike-profile-profile1]quit
在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
[Device]ikesignature-identityfrom-certificate
创建一条IPsec安全策略模板,名称为template1,序列号为1。
[Device]
ipsecpolicy-templatetemplate11
[Device-ipsec-policy-template-template1-1]transform-settran1
[Device-ipsec-policy-template-template1-1]ike-profileprofile1
[Device-ipsec-policy-template-template1-1]quit
引用IPsec安全策略模板创建一条IPsec安全策略,名称为policy1,顺序号为1。
[Device]ipsecpolicypolicy11isakmptemplatetemplate1
在接口上应用IPsec安全策略。
[Device-GigabitEthernet2/0/2]ipsecapplypolicypolicy1
3.4.2
Host的配置
从证书服务器上申请客户端证书
登录到证书服务器:
http:
//192.168.1.51/certsrv
,点击“申请一个证书”。
进入申请证书页面
点击“高级证书申请”。
图2
高级证书申请
选择第一项:
创建并向此CA提交一个申请。
图3
创建并向CA提交一个申请
填写相关信息。
需要的证书类型,选择“客户端身份验证证书”;
密钥选项的配置,勾选“标记密钥为可导出”前的复选框。
点击<
提交>
,弹出一提示框
:
在对话框中选择“是”。
点击安装此证书。
图4
安装证书
iNode客户端的配置(使用iNode版本为:
iNodePC5.2(E0409))
打开L2TPVPN连接,并单击“属性…(Y)”。
图5
打开L2TP连接
输入LNS服务器的地址,并启用IPsec安全协议,验证证方法选择证书认证。
图6
基本配置
单击<
高级(C)>
按钮,进入“L2TP设置”页签,设置L2TP参数如下图所示。
图7
L2TP设置
单击“IPsec设置”页签,配置IPsec参数。
图8
IPsec参数设置
单击“IKE设置”页签,配置IKE参数。
图9
IKE参数设置
单击“路由设置”页签,添加访问Corporatenetwork的路由。
图10
路由设置
完成上述配置后,单击<
确定>
按钮,回到L2TP连接页面。
在L2TP连接对话框中,输入用户名“l2tpuser”和密码“hello”,单击<
连接>
按钮。
图11
连接L2TP
在弹出的对话框中选择申请好的证书,单击<
图12
证书选择
通过下图可以看到L2TP连接成功。
图13
连接成功
图14
在Device上使用displayikesa命令,可以看到IPsec隧道第一阶段的SA正常建立。
displayikesa
Connection-ID
Remote
Flag
DOI
------------------------------------------------------------------
10
102.168.1.1
RD
IPSEC
Flags:
RD--READYRL--REPLACEDFD-FADING
在Device上使用displayipsecsa命令可以看到IPsecSA的建立情况。
displayipsecsa
-------------------------------
Interface:
GigabitEthernet2/0/2
-----------------------------
IPsecpolicy:
policy1
Sequencenumber:
1
Mode:
template
Tunnelid:
0
Encapsulationmode:
tunnel
Perfectforwardsecrecy:
PathMTU:
1443
Tunnel:
local
address:
102.168.1.11
remoteaddress:
102.168.1.1
Flow:
souraddr:
102.168.1.11/255.255.255.255
port:
1701
protocol:
udp
destaddr:
102.168.1.1/255.255.255.255
0
[InboundESPSAs]
SPI:
2187699078(0x8265a386)
Transformset:
ESP-ENCRYPT-3DES-CBCESP-AUTH-SHA1
SAduration(kilobytes/sec):
1843200/3600
SAremainingduration(kilobytes/sec):
1843197/3294
Maxreceivedsequence-number:
51
Anti-replaycheckenable:
Y
Anti-replaywindowsize:
64
UDPencapsulationusedforNATtraversal:
N
Status:
Active
[OutboundESPSAs]
3433374591(0xcca5237f)
Maxsentsequence-number:
52
#
interfaceVirtual-Template0
pppauthentication-modepap
remoteaddress172.16.0.2
ipaddress172.16.0.1255.255.255.0
interfaceGigabitEthernet2/0/1
ipaddress192.168.100.50255.255.255.0
interfaceGigabitEthernet2/0/2
ipaddress102.168.1.11255.255.255.0
ipsecapplypolicypolicy1
interfaceGigabitEthernet2/0/3
ipaddress192.168.1.1255.255.255.0
domainsystem
authenticationppplocal
local-userl2tpuserclassnetwork
passwordcipher$c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h
service-typeppp
authorization-attributeuser-rolenetwork-operator
pkidomainheadgate
caidentifierLYQ
certificaterequesturlhttp:
certificaterequestfromra
certificaterequestentitysecurity
public-keyrsageneralnameabc
undocrlcheckenable
pkientitysecurity
common-namehost
ipsectransform-settran1
espencryption-algorithm3des-cbc
espauthentication-algorithmsha1
transform-settran1
ike-profileprofile1
ipsecpolicypolicy11isakmptemplatetemplate1
l2tp-group1modelns
allowl2tpvirtual-template0
undotunnelauthentication
tunnelnamelns
l2tpenable
ikesignature-identityfrom-certificate
ikeprofileprofile1
certificatedomainheadgate
local-identitydn
matchremotecertificatedevice
proposal1
ikeproposal1
authentication-methodrsa-signature
encryption-algorithm3des-cbc
dhgroup2
4
IPsecoverGRE的典型配置举例
如图15所示,企业远程办公网络通过IPsecVPN接入企业总部,要求:
通过GRE隧道传输两网络之间的IPsec加密数据。
图15
IPsecoverGRE组网图
为了对数据先进行IPsec处理,再进行GRE封装,访问控制列表需匹配数据的原始范围,并且要将IPsec应用到GRE隧道接口上。
为了对网络间传输的数据先进行IPsec封装,再进行GRE封装,需要配置IPsec隧道的对端IP地址为GRE隧道的接口地址。
4.4.1
DeviceA的配置
配置各接口IP地