H3CMSR系列路由器IPsec典型配置举例V7.docx

H3CMSR系列路由器IPsec典型配置举例V7.docx

《H3CMSR系列路由器IPsec典型配置举例V7.docx》由会员分享，可在线阅读，更多相关《H3CMSR系列路由器IPsec典型配置举例V7.docx（44页珍藏版）》请在冰豆网上搜索。

H3CMSR系列路由器IPsec典型配置举例V7

1 简介

1  简介

本文档介绍IPsec的典型配置举例。

2  配置前提

本文档适用于使用ComwareV7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3  使用iNode客户端基于证书认证的L2TPoverIPsec功能配置举例

3.1  组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windowsserver2003作为CA服务器，要求：

     通过L2TP隧道访问Corporatenetwork。

     用IPsec对L2TP隧道进行数据加密。

     采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TPoverIPsec配置组网图

3.2  配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ikeprofile中配置local-identity为dn，指定从本端证书中的主题字段取得本端身份。

3.3  使用版本

本举例是在R0106版本上进行配置和验证的。

3.4  配置步骤

3.4.1  Device的配置

（1）     配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device]interfacegigabitethernet2/0/1

[Device-GigabitEthernet2/0/1]ipaddress192.168.100.5024

[Device-GigabitEthernet2/0/1]quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[Device]interfacegigabitethernet2/0/2

[Device-GigabitEthernet2/0/2]ipaddress102.168.1.1124

[Device-GigabitEthernet2/0/2]quit

# 配置接口GigabitEthernet2/0/3的IP地址。

[Device]interfacegigabitethernet2/0/3

[Device-GigabitEthernet2/0/3]ipaddress192.168.1.124

[Device-GigabitEthernet2/0/3]quit

（2）     配置L2TP

# 创建本地PPP用户l2tpuser，设置密码为hello。

[Device]local-userl2tpuserclassnetwork

[Device-luser-network-l2tpuser]passwordsimplehello

[Device-luser-network-l2tpuser]service-typeppp

[Device-luser-network-l2tpuser]quit

# 配置ISP域system对PPP用户采用本地验证。

[Device]domainsystem

[Device-isp-system]authenticationppplocal

[Device-isp-system]quit

# 启用L2TP服务。

[Device]l2tpenable

# 创建接口Virtual-Template0，配置接口的IP地址为172.16.0.1/24。

[Device]interfacevirtual-template0

[Device-Virtual-Template0]ipaddress172.16.0.1255.255.255.0

# 配置PPP认证方式为PAP。

[Device-Virtual-Template0]pppauthentication-modepap

# 配置为PPP用户分配的IP地址为172.16.0.2。

[Device-Virtual-Template0]remoteaddress172.16.0.2

[Device-Virtual-Template0]quit

# 创建LNS模式的L2TP组1。

[Device]l2tp-group1modelns

# 配置LNS侧本端名称为lns。

[Device-l2tp1]tunnelnamelns

# 关闭L2TP隧道验证功能。

[Device-l2tp1]undotunnelauthentication

# 指定接收呼叫的虚拟模板接口为VT0。

[Device-l2tp1]allowl2tpvirtual-template0

[Device-l2tp1]quit

（3）     配置PKI证书

# 配置PKI实体 security。

[Device]pkientitysecurity

[Device-pki-entity-security]common-namedevice

[Device-pki-entity-security]quit

# 新建PKI域。

[Device]pkidomainheadgate

[Device-pki-domain-headgate]caidentifierLYQ

[Device-pki-domain-headgate]certificaterequesturl192.168.1.51/certsrv/mscep/mscep.dll

[Device-pki-domain-headgate]certificaterequestfromra

[Device-pki-domain-headgate]certificaterequestentitysecurity

[Device-pki-domain-headgate]undocrlcheckenable

[Device-pki-domain-headgate] public-keyrsageneralnameabclength1024

[Device-pki-domain-headgate]quit

# 生成RSA算法的本地密钥对。

[Device]public-keylocalcreatersanameabc

Therangeofpublickeymodulusis（512~2048）.

Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.

PressCTRL+Ctoabort.

Inputthemoduluslength[default=1024]:

GeneratingKeys...

..........................++++++

.++++++

Createthekeypairsuccessfully.

# 获取CA证书并下载至本地。

[Device]pkiretrieve-certificatedomainheadgateca

ThetrustedCA'sfingerprintis:

   MD5 fingerprint:

86497A4BEAD542CF50314C99BFS32A99

   SHA1fingerprint:

61A96034181E650212FA5A5FBA120EA05187031C

Isthefingerprintcorrect?

（Y/N）:

y

Retrievedthecertificatessuccessfully.

# 手工申请本地证书。

[Device]pkirequest-certificatedomainheadgate

Starttorequestgeneralcertificate...

Certificaterequestedsuccessfully.

（4）     配置IPsec隧道

# 创建IKE安全提议。

[Device]ikeproposal1

[Device-ike-proposal-1]authentication-methodrsa-signature

[Device-ike-proposal-1]encryption-algorithm3des-cbc

[Device-ike-proposal-1]dhgroup2

[Device-ike-proposal-1]quit

# 配置IPsec安全提议。

[Device]ipsectransform-settran1

[Device-ipsec-transform-set-tran1]espauthentication-algorithmsha1

[Device-ipsec-transform-set-tran1]espencryption-algorithm3des

[Device-ipsec-transform-set-tran1]quit

# 配置IKEprofile。

[Device]ikeprofileprofile1

[Device-ike-profile-profile1]local-identitydn

[Device-ike-profile-profile1]certificatedomainheadgate

[Device-ike-profile-profile1]proposal1

[Device-ike-profile-profile1]matchremotecertificatedevice

[Device-ike-profile-profile1]quit

# 在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。

[Device]ikesignature-identityfrom-certificate

# 创建一条IPsec安全策略模板，名称为template1，序列号为1。

[Device] ipsecpolicy-templatetemplate11

[Device-ipsec-policy-template-template1-1]transform-settran1

[Device-ipsec-policy-template-template1-1]ike-profileprofile1

[Device-ipsec-policy-template-template1-1]quit

# 引用IPsec安全策略模板创建一条IPsec安全策略，名称为policy1，顺序号为1。

[Device]ipsecpolicypolicy11isakmptemplatetemplate1

# 在接口上应用IPsec安全策略。

[Device]interfacegigabitethernet2/0/2

[Device-GigabitEthernet2/0/2]ipsecapplypolicypolicy1

[Device-GigabitEthernet2/0/2]