H3C MSR系列路由器IPsec典型配置举例(V7)

1简介2配置前提3使用iNode客户端基于证书认证的L2TPoverIPsec功能配置举例3.1组网需求3.2配置思路3.3使用版本3.4配置步骤3.4.1Device的配置3.4.2Host的配置3.5验证配置3.6配置文件4IPsecoverGRE的典型配置举例4.1组网需求4.2配置思路4.3使用版本4.4配置步骤4.4.1DeviceA的配置4.4.2DeviceB的配置4.5验证配置4.6配置文件5GREoverIPsec的典型配置举例5.1组网需求5.2配置思路5.3使用版本5.4配置步骤5.4.1DeviceA的配置5.4.2DeviceB的配置5.5验证配置5.6配置文件6IPsec同流双隧道的典型配置举例6.1组网需求6.2使用版本6.3配置步骤6.3.1DeviceA的配置6.3.2DeviceB的配置6.4验证配置6.5配置文件7相关资料1简介本文档介绍IPsec的典型配置举例。2配置前提本文档适用于使用ComwareV7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解IPsec特性。3使用iNode客户端基于证书认证的L2TPoverIPsec功能配置举例3.1组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windowsserver2003作为CA服务器，要求：通过L2TP隧道访问Corporatenetwork。用IPsec对L2TP隧道进行数据加密。采用RSA证书认证方式建立IPsec隧道。图1基于证书认证的L2TPoverIPsec配置组网图3.2配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ikeprofile中配置local-identity为dn，指定从本端证书中的主题字段取得本端身份。3.3使用版本本举例是在R0106版本上进行配置和验证的。3.4配置步骤3.4.1Device的配置(1)配置各接口IP地址#配置接口GigabitEthernet2/0/1的IP地址。Devicesystem-view[Device]interfacegigabitethernet2/0/1[Device-GigabitEthernet2/0/1]ipaddress192.168.100.5024[Device-GigabitEthernet2/0/1]quit#配置接口GigabitEthernet2/0/2的IP地址。[Device]interfacegigabitethernet2/0/2[Device-GigabitEthernet2/0/2]ipaddress102.168.1.1124[Device-GigabitEthernet2/0/2]quit#配置接口GigabitEthernet2/0/3的IP地址。[Device]interfacegigabitethernet2/0/3[Device-GigabitEthernet2/0/3]ipaddress192.168.1.124[Device-GigabitEthernet2/0/3]quit(2)配置L2TP#创建本地PPP用户l2tpuser，设置密码为hello。[Device]local-userl2tpuserclassnetwork[Device-luser-network-l2tpuser]passwordsimplehello[Device-luser-network-l2tpuser]service-typeppp[Device-luser-network-l2tpuser]quit#配置ISP域system对PPP用户采用本地验证。[Device]domainsystem[Device-isp-system]authenticationppplocal[Device-isp-system]quit#启用L2TP服务。[Device]l2tpenable#创建接口Virtual-Template0，配置接口的IP地址为172.16.0.1/24。[Device]interfacevirtual-template0[Device-Virtual-Template0]ipaddress172.16.0.1255.255.255.0#配置PPP认证方式为PAP。[Device-Virtual-Template0]pppauthentication-modepap#配置为PPP用户分配的IP地址为172.16.0.2。[Device-Virtual-Template0]remoteaddress172.16.0.2[Device-Virtual-Template0]quit#创建LNS模式的L2TP组1。[Device]l2tp-group1modelns#配置LNS侧本端名称为lns。[Device-l2tp1]tunnelnamelns#关闭L2TP隧道验证功能。[Device-l2tp1]undotunnelauthentication#指定接收呼叫的虚拟模板接口为VT0。[Device-l2tp1]allowl2tpvirtual-template0[Device-l2tp1]quit(3)配置PKI证书#配置PKI实体security。[Device]pkientitysecurity[Device-pki-entity-security]common-namedevice[Device-pki-entity-security]quit#新建PKI域。[Device]pkidomainheadgate[Device-pki-domain-headgate]caidentifierLYQ[Device-pki-domain-headgate]certificaterequesturl[Device-pki-domain-headgate]certificaterequestfromra[Device-pki-domain-headgate]certificaterequestentitysecurity[Device-pki-domain-headgate]undocrlcheckenable[Device-pki-domain-headgate]public-keyrsageneralnameabclength1024[Device-pki-domain-headgate]quit#生成RSA算法的本地密钥对。[Device]public-keylocalcreatersanameabcTherangeofpublickeymodulusis(512~2048).Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.PressCTRL+Ctoabort.Inputthemoduluslength[default=1024]:GeneratingKeys.............................++++++.++++++Createthekeypairsuccessfully.#获取CA证书并下载至本地。[Device]pkiretrieve-certificatedomainheadgatecaThetrustedCA'sfingerprintis:MD5fingerprint:86497A4BEAD542CF50314C99BFS32A99SHA1fingerprint:61A96034181E650212FA5A5FBA120EA05187031CIsthefingerprintcorrect?(Y/N):yRetrievedthecertificatessuccessfully.#手工申请本地证书。[Device]pkirequest-certificatedomainheadgateStarttorequestgeneralcertificate...Certificaterequestedsuccessfully.(4)配置IPsec隧道#创建IKE安全提议。[Device]ikeproposal1[Device-ike-proposal-1]authentication-methodrsa-signature[Device-ike-proposal-1]encryption-algorithm3des-cbc[Device-ike-proposal-1]dhgroup2[Device-ike-proposal-1]quit#配置IPsec安全提议。[Device]ipsectransform-settran1[Device-ipsec-transform-set-tran1]espauthentication-algorithmsha1[Device-ipsec-transform-set-tran1]espencryption-algorithm3des[Device-ipsec-transform-set-tran1]quit#配置IKEprofile。[Device]ikeprofileprofile1[Device-ike-profile-profile1]local-identitydn[Device-ike-profile-profile1]certificatedomainheadgate[Device-ike-profile-profile1]proposal1[Device-ike-profile-profile1]matchremotecertificatedevice[Device-ike-profile-profile1]quit#在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。[Device]ikesignature-identityfrom-certificate#创建一条IPsec安全策略模板，名称为template1，序列号为1。[Device]ipsecpolicy-templatetemplate11[Device-ipsec-policy-template-template1-1]transform-settran1[Device-ipsec-policy-template-template1-1]ike-profileprofile1[Device-ipsec-policy-template-template1-1]quit#引用IPsec安全策略模板创建一条IPsec安全策略，名称为policy1，顺序号为1。[Device]ipsecpolicypolicy11isakmptemplatetemplate1#在接口上应用IPsec安全策略。[Device]interfacegigabitethernet2/0/2[Device-GigabitEthernet2/0/2]ipsecapplypolicypolicy1[Device-GigabitEthernet2/0/2]quit3.4.2Host的配置(1)从证书服务器上申请客户端证书#登录到证书服务器：，点击“申请一个证书”。图1进入申请证书页面#点击“高级证书申请”。图2高级证书申请#选择第一项：创建并向此CA提交一个申请。图3创建并向CA提交一个申请#填写相关信息。需要的证书类型，选择“客户端身份验证证书”；密钥选项的配置，勾选“标记密钥为可导出”前的复选框。#点击提交，弹出一提示框：在对话框中选择“是”。#点击安装此证书。图4安装证书(2)iNode客户端的配置（