H3CMSR系列路由器IPsec典型配置举例V7.docx
《H3CMSR系列路由器IPsec典型配置举例V7.docx》由会员分享,可在线阅读,更多相关《H3CMSR系列路由器IPsec典型配置举例V7.docx(44页珍藏版)》请在冰豆网上搜索。
![H3CMSR系列路由器IPsec典型配置举例V7.docx](https://file1.bdocx.com/fileroot1/2022-10/24/569daaa9-b968-4e51-999c-e2f5e010ae3c/569daaa9-b968-4e51-999c-e2f5e010ae3c1.gif)
H3CMSR系列路由器IPsec典型配置举例V7
1 简介
1 简介
本文档介绍IPsec的典型配置举例。
2 配置前提
本文档适用于使用ComwareV7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
3 使用iNode客户端基于证书认证的L2TPoverIPsec功能配置举例
3.1 组网需求
如图1所示,PPP用户Host与Device建立L2TP隧道,Windowsserver2003作为CA服务器,要求:
通过L2TP隧道访问Corporatenetwork。
用IPsec对L2TP隧道进行数据加密。
采用RSA证书认证方式建立IPsec隧道。
图1 基于证书认证的L2TPoverIPsec配置组网图
3.2 配置思路
由于使用证书认证方式建立IPsec隧道,所以需要在ikeprofile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。
3.3 使用版本
本举例是在R0106版本上进行配置和验证的。
3.4 配置步骤
3.4.1 Device的配置
(1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
system-view
[Device]interfacegigabitethernet2/0/1
[Device-GigabitEthernet2/0/1]ipaddress192.168.100.5024
[Device-GigabitEthernet2/0/1]quit
# 配置接口GigabitEthernet2/0/2的IP地址。
[Device]interfacegigabitethernet2/0/2
[Device-GigabitEthernet2/0/2]ipaddress102.168.1.1124
[Device-GigabitEthernet2/0/2]quit
# 配置接口GigabitEthernet2/0/3的IP地址。
[Device]interfacegigabitethernet2/0/3
[Device-GigabitEthernet2/0/3]ipaddress192.168.1.124
[Device-GigabitEthernet2/0/3]quit
(2) 配置L2TP
# 创建本地PPP用户l2tpuser,设置密码为hello。
[Device]local-userl2tpuserclassnetwork
[Device-luser-network-l2tpuser]passwordsimplehello
[Device-luser-network-l2tpuser]service-typeppp
[Device-luser-network-l2tpuser]quit
# 配置ISP域system对PPP用户采用本地验证。
[Device]domainsystem
[Device-isp-system]authenticationppplocal
[Device-isp-system]quit
# 启用L2TP服务。
[Device]l2tpenable
# 创建接口Virtual-Template0,配置接口的IP地址为172.16.0.1/24。
[Device]interfacevirtual-template0
[Device-Virtual-Template0]ipaddress172.16.0.1255.255.255.0
# 配置PPP认证方式为PAP。
[Device-Virtual-Template0]pppauthentication-modepap
# 配置为PPP用户分配的IP地址为172.16.0.2。
[Device-Virtual-Template0]remoteaddress172.16.0.2
[Device-Virtual-Template0]quit
# 创建LNS模式的L2TP组1。
[Device]l2tp-group1modelns
# 配置LNS侧本端名称为lns。
[Device-l2tp1]tunnelnamelns
# 关闭L2TP隧道验证功能。
[Device-l2tp1]undotunnelauthentication
# 指定接收呼叫的虚拟模板接口为VT0。
[Device-l2tp1]allowl2tpvirtual-template0
[Device-l2tp1]quit
(3) 配置PKI证书
# 配置PKI实体 security。
[Device]pkientitysecurity
[Device-pki-entity-security]common-namedevice
[Device-pki-entity-security]quit
# 新建PKI域。
[Device]pkidomainheadgate
[Device-pki-domain-headgate]caidentifierLYQ
[Device-pki-domain-headgate]certificaterequesturl192.168.1.51/certsrv/mscep/mscep.dll
[Device-pki-domain-headgate]certificaterequestfromra
[Device-pki-domain-headgate]certificaterequestentitysecurity
[Device-pki-domain-headgate]undocrlcheckenable
[Device-pki-domain-headgate] public-keyrsageneralnameabclength1024
[Device-pki-domain-headgate]quit
# 生成RSA算法的本地密钥对。
[Device]public-keylocalcreatersanameabc
Therangeofpublickeymodulusis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:
GeneratingKeys...
..........................++++++
.++++++
Createthekeypairsuccessfully.
# 获取CA证书并下载至本地。
[Device]pkiretrieve-certificatedomainheadgateca
ThetrustedCA'sfingerprintis:
MD5 fingerprint:
86497A4BEAD542CF50314C99BFS32A99
SHA1fingerprint:
61A96034181E650212FA5A5FBA120EA05187031C
Isthefingerprintcorrect?
(Y/N):
y
Retrievedthecertificatessuccessfully.
# 手工申请本地证书。
[Device]pkirequest-certificatedomainheadgate
Starttorequestgeneralcertificate...
Certificaterequestedsuccessfully.
(4) 配置IPsec隧道
# 创建IKE安全提议。
[Device]ikeproposal1
[Device-ike-proposal-1]authentication-methodrsa-signature
[Device-ike-proposal-1]encryption-algorithm3des-cbc
[Device-ike-proposal-1]dhgroup2
[Device-ike-proposal-1]quit
# 配置IPsec安全提议。
[Device]ipsectransform-settran1
[Device-ipsec-transform-set-tran1]espauthentication-algorithmsha1
[Device-ipsec-transform-set-tran1]espencryption-algorithm3des
[Device-ipsec-transform-set-tran1]quit
# 配置IKEprofile。
[Device]ikeprofileprofile1
[Device-ike-profile-profile1]local-identitydn
[Device-ike-profile-profile1]certificatedomainheadgate
[Device-ike-profile-profile1]proposal1
[Device-ike-profile-profile1]matchremotecertificatedevice
[Device-ike-profile-profile1]quit
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
[Device]ikesignature-identityfrom-certificate
# 创建一条IPsec安全策略模板,名称为template1,序列号为1。
[Device] ipsecpolicy-templatetemplate11
[Device-ipsec-policy-template-template1-1]transform-settran1
[Device-ipsec-policy-template-template1-1]ike-profileprofile1
[Device-ipsec-policy-template-template1-1]quit
# 引用IPsec安全策略模板创建一条IPsec安全策略,名称为policy1,顺序号为1。
[Device]ipsecpolicypolicy11isakmptemplatetemplate1
# 在接口上应用IPsec安全策略。
[Device]interfacegigabitethernet2/0/2
[Device-GigabitEthernet2/0/2]ipsecapplypolicypolicy1
[Device-GigabitEthernet2/0/2]