H3C MSR系列路由器IPsec典型配置举例(V7)
更新时间:2023-10-04 20:35:01 阅读量: 综合文库 文档下载
- h3c推荐度:
- 相关推荐
1 简介 2 配置前提 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 3.2 配置思路 3.3 使用版本 3.4 配置步骤 3.4.1 Device的配置 3.4.2 Host的配置 3.5 验证配置 3.6 配置文件 4 IPsec over GRE的典型配置举例 4.1 组网需求 4.2 配置思路 4.3 使用版本 4.4 配置步骤 4.4.1 Device A的配置 4.4.2 Device B的配置 4.5 验证配置 4.6 配置文件 5 GRE over IPsec的典型配置举例 5.1 组网需求 5.2 配置思路 5.3 使用版本 5.4 配置步骤 5.4.1 Device A的配置 5.4.2 Device B的配置 5.5 验证配置 5.6 配置文件 6 IPsec同流双隧道的典型配置举例 6.1 组网需求 6.2 使用版本 6.3 配置步骤 6.3.1 Device A的配置 6.3.2 Device B的配置 6.4 验证配置 6.5 配置文件 7 相关资料
1 简介
本文档介绍IPsec的典型配置举例。
2 配置前提
本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。
3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例
3.1 组网需求
如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:
? 通过L2TP隧道访问Corporate network。 ? 用IPsec对L2TP隧道进行数据加密。 ? 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图
3.2 配置思路
由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。
3.3 使用版本
本举例是在R0106版本上进行配置和验证的。
3.4 配置步骤
3.4.1 Device的配置
(1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
[Device] interface gigabitethernet 2/0/1
[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24 [Device-GigabitEthernet2/0/1] quit
# 配置接口GigabitEthernet2/0/2的IP地址。
[Device] interface gigabitethernet 2/0/2
[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24 [Device-GigabitEthernet2/0/2] quit
# 配置接口GigabitEthernet2/0/3的IP地址。
[Device] interface gigabitethernet 2/0/3
[Device-GigabitEthernet2/0/3] ip address 192.168.1.1 24 [Device-GigabitEthernet2/0/3] quit
(2) 配置L2TP
# 创建本地PPP用户l2tpuser,设置密码为hello。
[Device] local-user l2tpuser class network
[Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit
# 配置ISP域system对PPP用户采用本地验证。
[Device] domain system
[Device-isp-system] authentication ppp local [Device-isp-system] quit
# 启用L2TP服务。
[Device] l2tp enable
# 创建接口Virtual-Template0,配置接口的IP地址为172.16.0.1/24。
[Device] interface virtual-template 0
[Device-Virtual-Template0] ip address 172.16.0.1 255.255.255.0
# 配置PPP认证方式为PAP。
[Device-Virtual-Template0] ppp authentication-mode pap
# 配置为PPP用户分配的IP地址为172.16.0.2。
[Device-Virtual-Template0] remote address 172.16.0.2 [Device-Virtual-Template0] quit
# 创建LNS模式的L2TP组1。
[Device] l2tp-group 1 mode lns
# 配置LNS侧本端名称为lns。
[Device-l2tp1] tunnel name lns
# 关闭L2TP隧道验证功能。
[Device-l2tp1] undo tunnel authentication
# 指定接收呼叫的虚拟模板接口为VT0。
[Device-l2tp1] allow l2tp virtual-template 0 [Device-l2tp1] quit
(3) 配置PKI证书
# 配置PKI实体 security。
[Device] pki entity security
[Device-pki-entity-security] common-name device [Device-pki-entity-security] quit
# 新建PKI域。
[Device] pki domain headgate
[Device-pki-domain-headgate] ca identifier LYQ
[Device-pki-domain-headgate] certificate request url http://192.168.1.51/certsrv/mscep/mscep.dll [Device-pki-domain-headgate] certificate request from ra [Device-pki-domain-headgate] certificate request entity security [Device-pki-domain-headgate] undo crl check enable
[Device-pki-domain-headgate] public-key rsa general name abc length 1024 [Device-pki-domain-headgate] quit
# 生成RSA算法的本地密钥对。
[Device] public-key local create rsa name abc The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes. Press CTRL+C to abort.
Input the modulus length [default = 1024]: Generating Keys...
..........................++++++ .++++++
Create the key pair successfully.
# 获取CA证书并下载至本地。
[Device] pki retrieve-certificate domain headgate ca The trusted CA's finger print is:
MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99
SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031C Is the finger print correct?(Y/N):y Retrieved the certificates successfully.
# 手工申请本地证书。
[Device] pki request-certificate domain headgate Start to request general certificate ... Certificate requested successfully.
(4) 配置IPsec隧道 # 创建IKE安全提议。
[Device] ike proposal 1
[Device-ike-proposal-1] authentication-method rsa-signature [Device-ike-proposal-1] encryption-algorithm 3des-cbc [Device-ike-proposal-1] dh group2 [Device-ike-proposal-1] quit
# 配置IPsec安全提议。
[Device] ipsec transform-set tran1
[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1 [Device-ipsec-transform-set-tran1] esp encryption-algorithm 3des
[Device-ipsec-transform-set-tran1] quit
# 配置IKE profile。
[Device] ike profile profile1
[Device-ike-profile-profile1] local-identity dn
[Device-ike-profile-profile1] certificate domain headgate [Device-ike-profile-profile1] proposal 1
[Device-ike-profile-profile1] match remote certificate device [Device-ike-profile-profile1] quit
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
[Device]ike signature-identity from-certificate
# 创建一条IPsec安全策略模板,名称为template1,序列号为1。
[Device] ipsec policy-template template1 1
[Device-ipsec-policy-template-template1-1] transform-set tran1 [Device-ipsec-policy-template-template1-1] ike-profile profile1 [Device-ipsec-policy-template-template1-1] quit
# 引用IPsec安全策略模板创建一条IPsec安全策略,名称为policy1,顺序号为1。
[Device] ipsec policy policy1 1 isakmp template template1
# 在接口上应用IPsec安全策略。
[Device] interface gigabitethernet 2/0/2
[Device-GigabitEthernet2/0/2] ipsec apply policy policy1 [Device-GigabitEthernet2/0/2] quit
3.4.2 Host的配置
(1) 从证书服务器上申请客户端证书
# 登录到证书服务器:http://192.168.1.51/certsrv ,点击“申请一个证书”。 图1 进入申请证书页面
# 点击“高级证书申请”。 图2 高级证书申请
正在阅读:
H3C MSR系列路由器IPsec典型配置举例(V7)10-04
28-第一跖跗关节骨折脱位三种内固定对骨面应力传导变化的生物力05-29
湖南长沙2013年土建工程师《法律法规及相关知识》模拟考试题03-27
木工、脚手架工、混凝土工、钢筋工、模板工及湿喷作业岗前培训考试试题05-17
纪委书记在纪检工作会议上的讲话11-30
县国土资源局2021年上半年工作总结和下半年工作安排08-03
蓝牙天线设计01-05
完美游戏运营培训教材06-01
奥鹏东北师范大学期末—国际私法11-13
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 路由器
- 举例
- 典型
- 配置
- 系列
- IPsec
- H3C
- MSR
- V7
- 2009高考英语语法专题复习整理大全
- 高频电子线路期末考试重点
- 福师《法理学》在线作业一15秋100分答案
- 票据转贴现业务操作流程
- 道化学法在石油库安全评价示例
- 食物相克大全(合集)打印版
- 关于竞业限制易混淆的若干问题
- 数据库工程师岗位实习周记原创范文
- 《新闻两则》教案
- 煤矿生产安全事故应急预案 - 图文
- 2019-2020学年高三语文《仿用句式》学案 新人教版
- 博客微博开通手册
- 最新-高中生物《ATP的主要来源 - 细胞呼吸》教案2 新人教版必修1 精品
- Arduino红外遥控实验例子
- 基础病理与病理生理学 大纲
- 三年级课外阅读记录卡 - 图文
- 湖北省2018届高三五月冲刺文综历史试题Word版含答案
- 促进学生学习方式转变的探讨
- 青少年期的心理发展
- 亚马逊网站的网络营销战略分析