H3C MSR系列路由器IPsec典型配置举例(V7)

更新时间：2023-10-04 20:35:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

h3c推荐度：
相关推荐

1 简介 2 配置前提 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 3.2 配置思路 3.3 使用版本 3.4 配置步骤 3.4.1 Device的配置 3.4.2 Host的配置 3.5 验证配置 3.6 配置文件 4 IPsec over GRE的典型配置举例 4.1 组网需求 4.2 配置思路 4.3 使用版本 4.4 配置步骤 4.4.1 Device A的配置 4.4.2 Device B的配置 4.5 验证配置 4.6 配置文件 5 GRE over IPsec的典型配置举例 5.1 组网需求 5.2 配置思路 5.3 使用版本 5.4 配置步骤 5.4.1 Device A的配置 5.4.2 Device B的配置 5.5 验证配置 5.6 配置文件 6 IPsec同流双隧道的典型配置举例 6.1 组网需求 6.2 使用版本 6.3 配置步骤 6.3.1 Device A的配置 6.3.2 Device B的配置 6.4 验证配置 6.5 配置文件 7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

? 通过L2TP隧道访问Corporate network。 ? 用IPsec对L2TP隧道进行数据加密。 ? 采用RSA证书认证方式建立IPsec隧道。图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24 [Device-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24 [Device-GigabitEthernet2/0/2] quit

# 配置接口GigabitEthernet2/0/3的IP地址。

[Device] interface gigabitethernet 2/0/3

[Device-GigabitEthernet2/0/3] ip address 192.168.1.1 24 [Device-GigabitEthernet2/0/3] quit

(2) 配置L2TP

# 创建本地PPP用户l2tpuser，设置密码为hello。

[Device] local-user l2tpuser class network

[Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit

# 配置ISP域system对PPP用户采用本地验证。

[Device] domain system

[Device-isp-system] authentication ppp local [Device-isp-system] quit

# 启用L2TP服务。

[Device] l2tp enable

# 创建接口Virtual-Template0，配置接口的IP地址为172.16.0.1/24。

[Device] interface virtual-template 0

[Device-Virtual-Template0] ip address 172.16.0.1 255.255.255.0

# 配置PPP认证方式为PAP。

[Device-Virtual-Template0] ppp authentication-mode pap

# 配置为PPP用户分配的IP地址为172.16.0.2。

[Device-Virtual-Template0] remote address 172.16.0.2 [Device-Virtual-Template0] quit

# 创建LNS模式的L2TP组1。

[Device] l2tp-group 1 mode lns

# 配置LNS侧本端名称为lns。

[Device-l2tp1] tunnel name lns

# 关闭L2TP隧道验证功能。

[Device-l2tp1] undo tunnel authentication

# 指定接收呼叫的虚拟模板接口为VT0。

[Device-l2tp1] allow l2tp virtual-template 0 [Device-l2tp1] quit

(3) 配置PKI证书

# 配置PKI实体 security。

[Device] pki entity security

[Device-pki-entity-security] common-name device [Device-pki-entity-security] quit

# 新建PKI域。

[Device] pki domain headgate

[Device-pki-domain-headgate] ca identifier LYQ

[Device-pki-domain-headgate] certificate request url http://192.168.1.51/certsrv/mscep/mscep.dll [Device-pki-domain-headgate] certificate request from ra [Device-pki-domain-headgate] certificate request entity security [Device-pki-domain-headgate] undo crl check enable

[Device-pki-domain-headgate] public-key rsa general name abc length 1024 [Device-pki-domain-headgate] quit

# 生成RSA算法的本地密钥对。

[Device] public-key local create rsa name abc The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes. Press CTRL+C to abort.

Input the modulus length [default = 1024]: Generating Keys...

..........................++++++ .++++++

Create the key pair successfully.

# 获取CA证书并下载至本地。

[Device] pki retrieve-certificate domain headgate ca The trusted CA's finger print is:

MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99

SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031C Is the finger print correct?(Y/N):y Retrieved the certificates successfully.

# 手工申请本地证书。

[Device] pki request-certificate domain headgate Start to request general certificate ... Certificate requested successfully.

(4) 配置IPsec隧道 # 创建IKE安全提议。

[Device] ike proposal 1

[Device-ike-proposal-1] authentication-method rsa-signature [Device-ike-proposal-1] encryption-algorithm 3des-cbc [Device-ike-proposal-1] dh group2 [Device-ike-proposal-1] quit

# 配置IPsec安全提议。

[Device] ipsec transform-set tran1

[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1 [Device-ipsec-transform-set-tran1] esp encryption-algorithm 3des

[Device-ipsec-transform-set-tran1] quit

# 配置IKE profile。

[Device] ike profile profile1

[Device-ike-profile-profile1] local-identity dn

[Device-ike-profile-profile1] certificate domain headgate [Device-ike-profile-profile1] proposal 1

[Device-ike-profile-profile1] match remote certificate device [Device-ike-profile-profile1] quit

# 在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。

[Device]ike signature-identity from-certificate

# 创建一条IPsec安全策略模板，名称为template1，序列号为1。

[Device] ipsec policy-template template1 1

[Device-ipsec-policy-template-template1-1] transform-set tran1 [Device-ipsec-policy-template-template1-1] ike-profile profile1 [Device-ipsec-policy-template-template1-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略，名称为policy1，顺序号为1。

[Device] ipsec policy policy1 1 isakmp template template1

# 在接口上应用IPsec安全策略。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] ipsec apply policy policy1 [Device-GigabitEthernet2/0/2] quit

3.4.2 Host的配置

(1) 从证书服务器上申请客户端证书

# 登录到证书服务器：http://192.168.1.51/certsrv ，点击“申请一个证书”。图1 进入申请证书页面

# 点击“高级证书申请”。图2 高级证书申请

本文来源：https://www.bwwdw.com/article/f08d.html

相关文章：