H3C MSR系列路由器IPsec典型配置举例V7.docx

H3C MSR系列路由器IPsec典型配置举例V7.docx

《H3C MSR系列路由器IPsec典型配置举例V7.docx》由会员分享，可在线阅读，更多相关《H3C MSR系列路由器IPsec典型配置举例V7.docx（45页珍藏版）》请在冰豆网上搜索。

H3CMSR系列路由器IPsec典型配置举例V7

1  简介

本文档介绍IPsec的典型配置举例。

2  配置前提

本文档适用于利用ComwareV7软件版本的MSR系列路由器，假设是利用进程中与产品实际情形有不同，请参考相关产品手册，或以设备实际情形为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

假设是您已经对设备进行了配置，为了保证配置成效，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3  利用iNode客户端基于证书认证的L2TPoverIPsec功能配置举例

  组网需求

如所示，PPP用户Host与Device成立L2TP隧道，Windowsserver2021作为CA效劳器，要求：

     通过L2TP隧道访问Corporatenetwork。

     用IPsec对L2TP隧道进行数据加密。

     采用RSA证书认证方式成立IPsec隧道。

图1 基于证书认证的L2TPoverIPsec配置组网图

  配置思路

由于利用证书认证方式成立IPsec隧道，因此需要在ikeprofile中配置local-identity为dn，指定从本端证书中的主题字段取得本端身份。

  利用版本

本举例是在R0106版本上进行配置和验证的。

  配置步骤

  Device的配置

（1）     配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device]interfacegigabitethernet2/0/1

[Device-GigabitEthernet2/0/1]ipaddress24

[Device-GigabitEthernet2/0/1]quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[Device]interfacegigabitethernet2/0/2

[Device-GigabitEthernet2/0/2]ipaddress24

[Device-GigabitEthernet2/0/2]quit

# 配置接口GigabitEthernet2/0/3的IP地址。

[Device]interfacegigabitethernet2/0/3

[Device-GigabitEthernet2/0/3]ipaddress24

[Device-GigabitEthernet2/0/3]quit

（2）     配置L2TP

# 创建本地PPP用户l2tpuser，设置密码为hello。

[Device]local-userl2tpuserclassnetwork

[Device-luser-network-l2tpuser]passwordsimplehello

[Device-luser-network-l2tpuser]service-typeppp

[Device-luser-network-l2tpuser]quit

# 配置ISP域system对PPP用户采用本地验证。

[Device]domainsystem

[Device-isp-system]authenticationppplocal

[Device-isp-system]quit

# 启用L2TP效劳。

[Device]l2tpenable

# 创建接口Virtual-Template0，配置接口的IP地址为。

[Device]interfacevirtual-template0

[Device-Virtual-Template0]ipaddress 配置PPP认证方式为PAP。

[Device-Virtual-Template0]pppauthentication-modepap

# 配置为PPP用户分派的IP地址为。

[Device-Virtual-Template0]remoteaddressquit

# 创建LNS模式的L2TP组1。

[Device]l2tp-group1modelns

# 配置LNS侧本端名称为lns。

[Device-l2tp1]tunnelnamelns

# 关闭L2TP隧道验证功能。

[Device-l2tp1]undotunnelauthentication

# 指定接收呼唤的虚拟模板接口为VT0。

[Device-l2tp1]allowl2tpvirtual-template0

[Device-l2tp1]quit

（3）     配置PKI证书

# 配置PKI实体 security。

[Device]pkientitysecurity

[Device-pki-entity-security]common-namedevice

[Device-pki-entity-security]quit

# 新建PKI域。

[Device]pkidomainheadgate

[Device-pki-domain-headgate]caidentifierLYQ

[Device-pki-domain-headgate]certificaterequesturlcertificaterequestfromra

[Device-pki-domain-headgate]certificaterequestentitysecurity

[Device-pki-domain-headgate]undocrlcheckenable

[Device-pki-domain-headgate] public-keyrsageneralnameabclength1024

[Device-pki-domain-headgate]quit

# 生成RSA算法的本地密钥对。

[Device]public-keylocalcreatersanameabc

Therangeofpublickeymodulusis（512~2048）.

Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.

PressCTRL+Ctoabort.

Inputthemoduluslength[default=1024]:

GeneratingKeys...

..........................++++++

.++++++

Createthekeypairsuccessfully.

# 获取CA证书并下载至本地。

[Device]pkiretrieve-certificatedomainheadgateca

ThetrustedCA'sfingerprintis:

   MD5 fingerprint:

86497A4BEAD542CF50314C99BFS32A99

   SHA1fingerprint:

61A96034181E650212FA5A5FBA120EA05187031C

Isthefingerprintcorrect?

（Y/N）:

y

Retrievedthecertificatessuccessfully.

# 手工申请本地证书。

[Device]pkirequest-certificatedomainheadgate

Starttorequestgeneralcertificate...

Certificaterequestedsuccessfully.

（4）     配置IPsec隧道

# 创建IKE平安提议。

[Device]ikeproposal1

[Device-ike-proposal-1]authentication-methodrsa-signature

[Device-ike-proposal-1]encryption-algorithm3des-cbc

[Device-ike-proposal-1]dhgroup2

[Device-ike-proposal-1]quit

# 配置IPsec平安提议。

[Device]ipsectransform-settran1

[Device-ipsec-transform-set-tran1]espauthentication-algorithmsha1

[Device-ipsec-transform-set-tran1]espencryption-algorithm3des

[Device-ipsec-transform-set-tran1]quit

# 配置IKEprofile。

[Device]ikeprofileprofile1

[Device-ike-profile-profile1]local-identitydn

[Device-ike-profile-profile1]certificatedomainheadgate

[Device-ike-profile-profile1]proposal1

[Device-ike-profile-profile1]matchremotecertificatedevice

[Device-ike-profile-profile1]quit

# 在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。

[Device]ikesignature-identityfrom-certificate

# 创建一条IPsec平安策略模板，名称为template1，序列号为1。

[Device] ipsecpolicy-templatetemplate11

[Device-ipsec-policy-template-template1-1]transform-settran1

[Device-ipsec-policy-template-template1-1]ike-profileprofile1

[Device-ipsec-policy-template-template1-1]quit

# 引用IPsec平安策略模板创建一条IPsec平安策略，名称为policy1，顺序号为1。

[Device]ipsecpolicypolicy11isakmptemplatetemplate1

# 在接口上应用IPsec平安策略。

[Device]interfacegigabitethernet2/0/2

[Device-GigabitEthernet2/0/2]ipsecapplypolicypolicy1

[Device-GigabitEthernet2/0/2]quit

  Host的配置

（1）     从证书效劳器上申请客户端证书

# 登录到证书效劳器：

 ，点击“申请一个证书”。

图1 进入申请证书页面

# 点击“高级证书申请”。

图2 高级证书申请

# 选择第一项：

创建并向此CA提交一个申请。

图3 创建并向CA提交一个申请

# 填写相关信息。

∙     需要的证书类型，选择“客户端身份验证证书”；

∙     密钥选项的配置，勾选“标记密钥为可导出”前的复选框。

# 点击<提交>，弹出一提示框 ：

在对话框被选择“是”。

# 点击安装此证书。

图4 安装证书

（2）     iNode客户端的配置（利用iNode版本为：

iNodePC（E0409））

# 打开L2TPVPN连接，并单击“属性…（Y）”。

图5 打开L2TP连接

# 输入LNS效劳器的地址，并启用IPsec平安协议，验证证方式选择证书认证。

图6 大体配置

# 单击<高级（C）>按钮，进入“L2TP设置”页签，设置L2TP参数如以下图所示。

图7 L2TP设置

# 单击“IPsec设置”页签，配置IPsec参数。

图8 IPsec参数设置

# 单击“IKE设置”页签，配置IKE参数。

图9 IKE参数设置

# 单击“路由设置”页签，添加访问Corporatenetwork的路由。

图10 路由设置

# 完成上述配置后，单击<确信>按钮，回到L2TP连接页面。

  验证配置

# 在L2TP连接对话框中，输入用户名“l2tpuser”和密码“hello”，单击<连接>按钮。

图11 连接L2TP

# 在弹出的对话框被选择申请好的证书，单击<确信>按钮。

图12 证书选择

# 通过以下图能够看到L2TP连接成功。

图13 连接成功

图14 连接成功

# 在Device上利用displayikesa命令，能够看到IPsec隧道第一时期的SA正常成立。

displayikesa

   Connection-ID  Remote               Flag        DOI

------------------------------------------------------------------

   10                       RD          IPSEC

Flags:

RD--READYRL--REPLACEDFD-FADING

# 在Device上利用displayipsecsa命令能够看到IPsecSA的成立情形。

displayipsecsa

-------------------------------

Interface:

GigabitEthernet2/0/2

-------------------------------

 -----------------------------

 IPsecpolicy:

policy1

 Sequencenumber:

1

 Mode:

template

 -----------------------------

   Tunnelid:

0

   Encapsulationmode:

tunnel

   Perfectforwardsecrecy:

   PathMTU:

1443

   Tunnel:

       local address:

       remoteaddress:

   Flow:

   souraddr:

 port:

1701 protocol:

udp

   destaddr:

 port:

0 protocol:

udp

   [InboundESPSAs]

     SPI:

78（0x8265a386）

     Transformset:

 ESP-ENCRYPT-3DES-CBCESP-AUTH-SHA1

     SAduration（kilobytes/sec）:

1843200/3600

     SAremainingduration（kilobytes/sec）:

1843197/3294

     Maxreceivedsequence-number:

51

     Anti-replaycheckenable:

Y

     Anti-replaywindowsize:

64

     UDPencapsulationusedforNATtraversal:

N

     Status:

Active

   [OutboundESPSAs]

     SPI:

91（0xcca5237f）

     Transformset:

 ESP-ENCRYPT-3DES-CBCESP-AUTH-SHA1

     SAduration（kilobytes/sec）:

1843200/3600

     SAremainingduration（kilobytes/sec）:

1843197/3294

     Maxsentsequence-number:

52

     UDPencapsulationusedforNATtraversal:

N

     Status:

Active

  配置文件

#

interfaceVirtual-Template0

 pppauthentication-modepap

 remoteaddress ipaddressGigabitEthernet2/0/1

 ipaddressGigabitEthernet2/0/2

 ipaddress ipsecapplypolicypolicy1

#

interfaceGigabitEthernet2/0/3

 ipaddresssystem

 authenticationppplocal

#

local-userl2tpuserclassnetwork

 passwordcipher$c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h

 service-typeppp

 authorization-attributeuser-rolenetwork-operator

#

pkidomainheadgate

 caidentifierLYQ

 certificaterequesturl certificaterequestfromra

 certificaterequestentitysecurity

 public-keyrsageneralnameabc

 undocrlcheckenable

#

pkientitysecurity

 common-namehost

#

ipsectransform-settran1

 espencryption-algorithm3des-cbc

 espauthentication-algorithmsha1

#

ipsecpolicy-templatetemplate11

 transform-settran1

 ike-profileprofile1

#

ipsecpolicypolicy11isakmptemplatetemplate1

#

l2tp-group1modelns

 allowl2tpvirtual-template0

 undotunnelauthentication

 tunnelnamelns

#

 l2tpenable

#

ikesignature-identityfrom-certificate

#

ikeprofileprofile1

 certificatedomainheadgate

 local-identitydn

 matchremotecertificatedevice

 proposal1

#

ikeproposal1

 authentication-methodrsa-signature

 encryption-algorithm3des-cbc

 dhgroup2

#

4  IPsecoverGRE的典型配置举例

  组网需求

如所示，企业远程办公网络通过IPsecVPN接入企业总部，要求：

通过GRE隧道传输两网络之间的IPsec加密数据。

图15 IPsecoverGRE组网图

  配置思路

∙     为了对数据先进行IPsec处置，再进行GRE封装，访问操纵列表需匹配数据的原始范围，而且要将IPsec应用到GRE隧道接口上。

∙     为了对网络间传输的数据先进行IPsec封装，再进行GRE封装，需要配置IPsec隧道的对端IP地址为GRE隧道的接口地址。

  利用版本

本举例是在R0106版本上进行配置和验证的。

  配置步骤

  DeviceA的配置

（1）     配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[DeviceA]interfacegigabitethernet2/0/1

[DeviceA-GigabitEthernet2/0/1]ipaddresstcpmss1350

[DeviceA-GigabitEthernet2/0/1]quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[DeviceA]interfacegigabitethernet2/0/2

[DeviceA-GigabitEthernet2/0/2]ipaddressquit

（2）     配置GRE隧道

# 创建Tunnel0接口，并指定隧道模式为GREoverIPv4隧道。

[DeviceA]interfacetunnel0modegre

# 配置Tunnel0接口的IP地址为。

[DeviceA-Tunnel0]ipaddress 配置Tunnel0接口的源端地址为（DeviceA的GigabitEthernet2/0/2的IP地址）。

[DeviceA-Tunnel0]source 配置Tunnel0接口的目的端地址为（DeviceB的GigabitEthernet2/0/2的IP地址）。

[DeviceA-Tunnel0]destinationquit

# 配置从DeviceA通过Tunnel0接口到Remoteofficenetwork的静态路由。

[DeviceA]iproute-statictunnel0

（3）     配置IPsecVPN

# 配置IKEkeychain。

[DeviceA]ikekeychainkeychain1

[DeviceA-ike-keychain-keychain1]pre-shared-keyaddresskeysimple123

[DeviceA-ike-keychain-keychain1]quit

# 创建ACL3000，概念需要IPsec珍惜的数据流。

[DeviceA]aclnumber3000

[DeviceA-acl-adv-3000]rule0permitipsourcedestinationquit

# 配置IPsec平安提议。

[DeviceA]ipsectransform-settran1

[DeviceA-ipsec-transform-set