书签分享收藏举报版权申诉 / 37

立即下载

当前位置：首页 > 应用文书 > 工作报告 > h3cmsr系列路由器ipsec典型配置举例5386.pdf

h3cmsr系列路由器ipsec典型配置举例5386.pdf

上传人：得****3

文档编号：83511516

上传时间：2023-03-31

格式：PDF

页数：37

大小：2.11MB

( 4.5 )

《h3cmsr系列路由器ipsec典型配置举例5386.pdf》由会员分享，可在线阅读，更多相关《h3cmsr系列路由器ipsec典型配置举例5386.pdf（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 简介 2 配置前提 3 使用 iNode 客户端基于证书认证的 L2TP over IPsec 功能配置举例组网需求配置思路使用版本配置步骤 Device 的配置 Host 的配置验证配置配置文件 4 IPsec over GRE 的典型配置举例组网需求配置思路使用版本配置步骤 Device A 的配置 Device B 的配置验证配置配置文件 5 GRE over IPsec 的典型配置举例组网需求配置思路使用版本配置步骤 Device A 的配置 Device B 的配置验证配置配置文件 6 IPsec 同流双隧道的典型配置举例组网需求使用版本

2、配置步骤 Device A 的配置 Device B 的配置验证配置配置文件 7 相关资料 1 简介本文档介绍 IPsec 的典型配置举例。2 配置前提本文档适用于使用 Comware V7 软件版本的 MSR 系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 IPsec 特性。3 使用 iNode 客户端基于证书认证的 L2TP over IPse

3、c 功能配置举例组网需求如图 1 所示，PPP 用户 Host 与 Device 建立 L2TP 隧道，Windows server 2003 作为CA 服务器，要求：通过 L2TP 隧道访问 Corporate network。用 IPsec 对 L2TP 隧道进行数据加密。采用 RSA 证书认证方式建立 IPsec 隧道。图 1 基于证书认证的 L2TP over IPsec 配置组网图配置思路由于使用证书认证方式建立 IPsec 隧道，所以需要在 ike profile 中配置local-identity 为 dn，指定从本端证书中的主题字段取得本端身份。使用版本本举例是在 R

4、0106 版本上进行配置和验证的。配置步骤 Device 的配置(1)配置各接口 IP 地址#配置接口 GigabitEthernet2/0/1 的 IP 地址。system-view Device interface gigabitethernet 2/0/1 Device-GigabitEthernet2/0/1 ip address 24 Device-GigabitEthernet2/0/1 quit#配置接口 GigabitEthernet2/0/2 的 IP 地址。Device interface gigabitethernet 2/0/2 Device-GigabitEthern

5、et2/0/2 ip address 24 Device-GigabitEthernet2/0/2 quit#配置接口 GigabitEthernet2/0/3 的 IP 地址。Device interface gigabitethernet 2/0/3 Device-GigabitEthernet2/0/3 ip address 24 Device-GigabitEthernet2/0/3 quit(2)配置 L2TP#创建本地 PPP 用户 l2tpuser，设置密码为 hello。Device local-user l2tpuser class network Device-luser-

6、network-l2tpuser password simple hello Device-luser-network-l2tpuser service-type ppp Device-luser-network-l2tpuser quit#配置 ISP 域 system 对 PPP 用户采用本地验证。Device domain system Device-isp-system authentication ppp local Device-isp-system quit#启用 L2TP 服务。Device l2tp enable#创建接口 Virtual-Template0，配置接口的 IP

7、地址为。Device interface virtual-template 0 Device-Virtual-Template0 ip address 配置 PPP 认证方式为 PAP。Device-Virtual-Template0 ppp authentication-mode pap#配置为 PPP 用户分配的 IP 地址为。Device-Virtual-Template0 remote address quit#创建 LNS 模式的 L2TP 组 1。Device l2tp-group 1 mode lns#配置 LNS 侧本端名称为 lns。Device-l2tp1 tunnel

8、name lns#关闭 L2TP 隧道验证功能。Device-l2tp1 undo tunnel authentication#指定接收呼叫的虚拟模板接口为 VT0。Device-l2tp1 allow l2tp virtual-template 0 Device-l2tp1 quit(3)配置 PKI 证书#配置 PKI 实体 security。Device pki entity security Device-pki-entity-security common-name device Device-pki-entity-security quit#新建 PKI 域。Device pki

9、domain headgate Device-pki-domain-headgate ca identifier LYQ Device-pki-domain-headgate certificate request url certificate request from ra Device-pki-domain-headgate certificate request entity security Device-pki-domain-headgate undo crl check enable Device-pki-domain-headgate public-key rsa genera

10、l name abc length 1024 Device-pki-domain-headgate quit#生成 RSA 算法的本地密钥对。Device public-key local create rsa name abc The range of public key modulus is(512 2048).If the key modulus is greater than 512,it will take a few minutes.Press CTRL+C to abort.Input the modulus length default=1024:Generating Key

11、s.+.+Create the key pair successfully.#获取 CA 证书并下载至本地。Device pki retrieve-certificate domain headgate ca The trusted CAs finger print is:MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99 SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031C Is the finger print correct(Y/N):y Retri

12、eved the certificates successfully.#手工申请本地证书。Device pki request-certificate domain headgate Start to request general certificate.Certificate requested successfully.(4)配置 IPsec 隧道#创建 IKE 安全提议。Device ike proposal 1 Device-ike-proposal-1 authentication-method rsa-signature Device-ike-proposal-1 encrypt

13、ion-algorithm 3des-cbc Device-ike-proposal-1 dh group2 Device-ike-proposal-1 quit#配置 IPsec 安全提议。Device ipsec transform-set tran1 Device-ipsec-transform-set-tran1 esp authentication-algorithm sha1 Device-ipsec-transform-set-tran1 esp encryption-algorithm 3des Device-ipsec-transform-set-tran1 quit#配置

14、IKE profile。Device ike profile profile1 Device-ike-profile-profile1 local-identity dn Device-ike-profile-profile1 certificate domain headgate Device-ike-profile-profile1 proposal 1 Device-ike-profile-profile1 match remote certificate device Device-ike-profile-profile1 quit#在采用数字签名认证时，指定总从本端证书中的主题字段取

15、得本端身份。Deviceike signature-identity from-certificate#创建一条 IPsec 安全策略模板，名称为 template1，序列号为 1。Device ipsec policy-template template1 1 Device-ipsec-policy-template-template1-1 transform-set tran1 Device-ipsec-policy-template-template1-1 ike-profile profile1 Device-ipsec-policy-template-template1-1 quit

16、#引用 IPsec 安全策略模板创建一条 IPsec 安全策略，名称为 policy1，顺序号为 1。Device ipsec policy policy1 1 isakmp template template1#在接口上应用 IPsec 安全策略。Device interface gigabitethernet 2/0/2 Device-GigabitEthernet2/0/2 ipsec apply policy policy1 Device-GigabitEthernet2/0/2 quit Host 的配置(1)从证书服务器上申请客户端证书#登录到证书服务器：，点击“申请一个证书”。图

17、 1 进入申请证书页面#点击“高级证书申请”。图 2 高级证书申请#选择第一项：创建并向此 CA 提交一个申请。图 3 创建并向 CA 提交一个申请#填写相关信息。需要的证书类型，选择“客户端身份验证证书”；密钥选项的配置，勾选“标记密钥为可导出”前的复选框。#点击，弹出一提示框：在对话框中选择“是”。#点击安装此证书。图 4 安装证书 (2)iNode 客户端的配置（使用 iNode 版本为：iNode PC(E0409)）#打开 L2TP VPN 连接，并单击“属性(Y)”。图 5 打开 L2TP 连接#输入 LNS 服务器的地址，并启用 IPsec 安全协议，验证证方法选择证书认证。图

18、6 基本配置#单击按钮，进入“L2TP 设置”页签，设置 L2TP 参数如下图所示。图 7 L2TP 设置#单击“IPsec 设置”页签，配置 IPsec 参数。图 8 IPsec 参数设置#单击“IKE 设置”页签，配置 IKE 参数。图 9 IKE 参数设置#单击“路由设置”页签，添加访问 Corporate network 的路由。图 10 路由设置#完成上述配置后，单击按钮，回到 L2TP 连接页面。验证配置#在 L2TP 连接对话框中，输入用户名“l2tpuser”和密码“hello”，单击按钮。图 11 连接 L2TP#在弹出的对话框中选择申请好的证书，单击按钮。图 12 证书选择

19、#通过下图可以看到 L2TP 连接成功。图 13 连接成功图 14 连接成功#在 Device 上使用 display ike sa 命令，可以看到 IPsec 隧道第一阶段的 SA 正常建立。display ike sa Connection-ID Remote Flag DOI-10 RD IPSEC Flags:RD-READY RL-REPLACED FD-FADING#在 Device 上使用 display ipsec sa 命令可以看到 IPsec SA 的建立情况。display ipsec sa-Interface:GigabitEthernet2/0/2-IPsec po

20、licy:policy1 Sequence number:1 Mode:template -Tunnel id:0 Encapsulation mode:tunnel Perfect forward secrecy:Path MTU:1443 Tunnel:local address:remote address:Flow:sour addr:port:1701 protocol:udp dest addr:port:0 protocol:udp Inbound ESP SAs SPI:78(0 x8265a386)Transform set:ESP-ENCRYPT-3DES-CBC ESP-

21、AUTH-SHA1 SA duration(kilobytes/sec):1843200/3600 SA remaining duration(kilobytes/sec):1843197/3294 Max received sequence-number:51 Anti-replay check enable:Y Anti-replay window size:64 UDP encapsulation used for NAT traversal:N Status:Active Outbound ESP SAs SPI:91(0 xcca5237f)Transform set:ESP-ENC

22、RYPT-3DES-CBC ESP-AUTH-SHA1 SA duration(kilobytes/sec):1843200/3600 SA remaining duration(kilobytes/sec):1843197/3294 Max sent sequence-number:52 UDP encapsulation used for NAT traversal:N Status:Active 配置文件#interface Virtual-Template0 ppp authentication-mode pap remote address ip address GigabitEth

23、ernet2/0/1 ip address GigabitEthernet2/0/2 ip address ipsec apply policy policy1#interface GigabitEthernet2/0/3 ip address system authentication ppp local#local-user l2tpuser class network password cipher$c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h service-type ppp authorization-attribute user-role network

24、-operator#pki domain headgate ca identifier LYQ certificate request url certificate request from ra certificate request entity security public-key rsa general name abc undo crl check enable#pki entity security common-name host#ipsec transform-set tran1 esp encryption-algorithm 3des-cbc esp authentic

25、ation-algorithm sha1#ipsec policy-template template1 1 transform-set tran1 ike-profile profile1#ipsec policy policy1 1 isakmp template template1#l2tp-group 1 mode lns allow l2tp virtual-template 0 undo tunnel authentication tunnel name lns#l2tp enable#ike signature-identity from-certificate#ike prof

26、ile profile1 certificate domain headgate local-identity dn match remote certificate device proposal 1#ike proposal 1 authentication-method rsa-signature encryption-algorithm 3des-cbc dh group2#4 IPsec over GRE 的典型配置举例组网需求如图 15 所示，企业远程办公网络通过 IPsec VPN 接入企业总部，要求：通过 GRE 隧道传输两网络之间的 IPsec 加密数据。图 15 IPs

27、ec over GRE 组网图配置思路为了对数据先进行 IPsec 处理，再进行 GRE 封装，访问控制列表需匹配数据的原始范围，并且要将 IPsec 应用到 GRE 隧道接口上。为了对网络间传输的数据先进行 IPsec 封装，再进行 GRE 封装，需要配置 IPsec 隧道的对端 IP 地址为 GRE 隧道的接口地址。使用版本本举例是在 R0106 版本上进行配置和验证的。配置步骤 Device A 的配置(1)配置各接口 IP 地址#配置接口 GigabitEthernet2/0/1 的 IP 地址。system-view DeviceA interface gigabitether

28、net 2/0/1 DeviceA-GigabitEthernet2/0/1 ip address tcp mss 1350 DeviceA-GigabitEthernet2/0/1 quit#配置接口 GigabitEthernet2/0/2 的 IP 地址。DeviceA interface gigabitethernet 2/0/2 DeviceA-GigabitEthernet2/0/2 ip address quit(2)配置 GRE 隧道#创建 Tunnel0 接口，并指定隧道模式为 GRE over IPv4 隧道。DeviceA interface tunnel 0 mode

29、gre#配置 Tunnel0 接口的 IP 地址为。DeviceA-Tunnel0 ip address 配置 Tunnel0 接口的源端地址为（Device A 的GigabitEthernet2/0/2 的 IP 地址）。DeviceA-Tunnel0 source 配置 Tunnel0 接口的目的端地址为（Device B 的GigabitEthernet2/0/2 的 IP 地址）。DeviceA-Tunnel0 destination quit#配置从 Device A 经过 Tunnel0 接口到 Remote office network 的静态路由。DeviceA ip rou

30、te-static tunnel 0(3)配置 IPsec VPN#配置 IKE keychain。DeviceA ike keychain keychain1 DeviceA-ike-keychain-keychain1 pre-shared-key address key simple 123 DeviceA-ike-keychain-keychain1 quit#创建 ACL3000，定义需要 IPsec 保护的数据流。DeviceA acl number 3000 DeviceA-acl-adv-3000 rule 0 permit ip source destination quit

31、#配置 IPsec 安全提议。DeviceA ipsec transform-set tran1 DeviceA-ipsec-transform-set-tran1 esp encryption-algorithm des DeviceA-ipsec-transform-set-tran1 esp authentication-algorithm sha1 DeviceA-ipsec-transform-set-tran1 quit#创建一条 IKE 协商方式的 IPsec 安全策略，名称为 policy1，序列号为 1。DeviceA ipsec policy policy1 1 isakm

32、p DeviceA-ipsec-policy-isakmp-policy1-1 security acl 3000 DeviceA-ipsec-policy-isakmp-policy1-1 remote-address transform-set tran1 DeviceA-ipsec-policy-isakmp-policy1-1 quit#在 GRE 隧道接口上应用安全策略。DeviceA interface tunnel 0 DeviceA-Tunnel0 ipsec apply policy policy1 DeviceA-Tunnel0 quit Device B 的配置(1)配置

33、各接口 IP 地址#配置接口 GigabitEthernet2/0/1 的 IP 地址。system-view DeviceB interface gigabitethernet 2/0/1 DeviceB-GigabitEthernet2/0/1 ip address tcp mss 1350 DeviceB-GigabitEthernet2/0/1 quit#配置接口 GigabitEthernet2/0/2 的 IP 地址。DeviceB interface gigabitethernet 2/0/2 DeviceB-GigabitEthernet2/0/2 ip address qui

34、t(2)配置 GRE 隧道#创建 Tunnel0 接口，并指定隧道模式为 GRE over IPv4 隧道。DeviceB interface tunnel 0 mode gre#配置 Tunnel0 接口的 IP 地址为。DeviceB-Tunnel0 ip address 配置 Tunnel0 接口的源端地址为（Device B 的GigabitEthernet2/0/2 的 IP 地址）。DeviceB-Tunnel0 source 配置 Tunnel0 接口的目的端地址为（Device A 的GigabitEthernet2/0/2 的 IP 地址）。DeviceB-Tunnel0 d

35、estination quit#配置从 DeviceB 经过 Tunnel0 接口到 Corporate network 的静态路由。DeviceB ip route-static tunnel 0(3)配置 IPsec VPN#配置 IKE keychain。DeviceB ike keychain keychain1 DeviceB-ike-keychain-keychain1 pre-shared-key address key simple 123 DeviceB-ike-keychain-keychain1 quit#创建 ACL3000，定义需要 IPsec 保护的数据流。Devi

36、ceB acl number 3000 DeviceB-acl-adv-3000 rule 0 permit ip source destination quit#配置 IPsec 安全提议。DeviceB ipsec transform-set tran1 DeviceB-ipsec-transform-set-tran1 esp encryption-algorithm des DeviceB-ipsec-transform-set-tran1 esp authentication-algorithm sha1 DeviceB-ipsec-transform-set-tran1 quit#

37、创建一条 IKE 协商方式的 IPsec 安全策略，名称为 policy1，序列号为 1。DeviceB ipsec policy policy1 1 isakmp DeviceB-ipsec-policy-isakmp-policy1-1 security acl 3000 DeviceB-ipsec-policy-isakmp-policy1-1 remote-address transform-set tran1 DeviceB-ipsec-policy-isakmp-policy1-1 quit#在 GRE 隧道接口上应用安全策略。DeviceB interface tunnel 0

38、DeviceB-Tunnel0 ipsec apply policy policy1 DeviceB-Tunnel0 quit 验证配置#以 Corporate network 的主机向 Remote office network 的主机发起通信为例，从 ping，会触发 IPsec 协商，建立 IPsec 隧道，在成功建立 IPsec 隧道后，可以ping 通。C:Userscorporatenetwork ping Pinging with 32 bytes of data:Request timed out.Reply from bytes=32 time=2ms TTL=254 Rep

39、ly from bytes=32 time=2ms TTL=254 Reply from bytes=32 time=1ms TTL=254 Ping statistics for Packets:Sent=4,Received=3,Lost=1(25%loss),Approximate round trip times in milli-seconds:Minimum=1ms,Maximum=2ms,Average=1ms#在 Device A 上使用 display ike sa 命令，可以看到第一阶段的 SA 正常建立。display ike sa Connection-ID Remot

40、e Flag DOI-1 RD IPSEC Flags:RD-READY RL-REPLACED FD-FADING#在 Device A 上使用 display ipsec sa 命令可以看到 IPsec SA 的建立情况。display ipsec sa-Interface:Tunnel0-IPsec policy:policy1 Sequence number:1 Mode:isakmp -Tunnel id:0 Encapsulation mode:tunnel Perfect forward secrecy:Path MTU:1419 Tunnel:local address:rem

41、ote address:Flow:sour addr:port:0 protocol:ip dest addr:port:0 protocol:ip Inbound ESP SAs SPI:35(0 xba79fe4f)Transform set:ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1 SA duration(kilobytes/sec):1843200/3600 SA remaining duration(kilobytes/sec):1843199/3550 Max received sequence-number:3 Anti-replay check ena

42、ble:Y Anti-replay window size:64 UDP encapsulation used for NAT traversal:N Status:Active Outbound ESP SAs SPI:78(0 x9d8b8702)Transform set:ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1 SA duration(kilobytes/sec):1843200/3600 SA remaining duration(kilobytes/sec):1843199/3550 Max sent sequence-number:3 UDP encap

43、sulation used for NAT traversal:N Status:Active#在 Device A 上通过命令 display interface tunnel 0 可以查看经过 GRE 隧道传输的流量情况。display interface tunnel 0 Tunnel0 Current state:UP Line protocol state:UP Description:Tunnel0 Interface Bandwidth:64kbps Maximum Transmit Unit:1476 Internet Address is Primary Tunnel sou

44、rce destination keepalive disabled Tunnel TTL 255 Tunnel protocol/transport GRE/IP GRE key disabled Checksumming of GRE packets disabled Output queue-Urgent queuing:Size/Length/Discards 0/100/0 Output queue-Protocol queuing:Size/Length/Discards 0/500/0 Output queue-FIFO queuing:Size/Length/Discards

45、0/75/0 Last clearing of counters:Never Last 300 seconds input rate:0 bytes/sec,0 bits/sec,0 packets/sec Last 300 seconds output rate:0 bytes/sec,0 bits/sec,0 packets/sec Input:40 packets,3300 bytes,0 drops Output:41 packets,3464 bytes,0 drops#从 Remote office network 的主机向 Corporate network 的主机发起通信验证方

46、法相同，此不赘述。配置文件 Device A：#interface GigabitEthernet2/0/1 ip address tcp mss 1350#interface GigabitEthernet2/0/2 ip address Tunnel0 mode gre ip address source destination ipsec apply policy policy1#ip route-static 24 Tunnel0#acl number 3000 rule 0 permit ip source destination transform-set tran1 esp en

47、cryption-algorithm des-cbc esp authentication-algorithm sha1#ipsec policy policy1 1 isakmp transform-set tran1 security acl 3000 remote-address keychain keychain1 pre-shared-key address key cipher$c$3$n6jdlYtuR+K6mijQ8qp4hMMjV/iteA=#Devoce B#interface GigabitEthernet2/0/1 ip address tcp mss 1350#int

48、erface GigabitEthernet2/0/2 ip address Tunnel0 mode gre ip address source destination ipsec apply policy policy1#ip route-static 24 Tunnel0#acl number 3000 rule 0 permit ip source destination transform-set tran1 esp encryption-algorithm des-cbc esp authentication-algorithm sha1#ipsec policy policy1

49、1 isakmp transform-set tran1 security acl 3000 remote-address keychain keychain1 pre-shared-key address key cipher$c$3$n6jdlYtuR+K6mijQ8qp4hMMjV/iteA=#5 GRE over IPsec 的典型配置举例组网需求如图 16 所示，企业远程办公网络通过 GRE 隧道与企业总部传输数据，要求：对通过GRE 隧道的数据进行 IPsec 加密处理。图 16 GRE over IPsec 组网图配置思路为了对经 GRE 封装的数据进行 IPsec 加密

50、，将 IPsec 策略应用在物理接口上，访问控制列表源和目的地址为物理接口地址。为了使 IPsec 保护整个 GRE 隧道，应用IPsec 策略的接口和 GRE 隧道源、目的接口必须是同一接口。使用版本本举例是在 R0106 版本上进行配置和验证的。配置步骤 Device A 的配置(1)配置各接口 IP 地址#配置接口 GigabitEthernet2/0/1 的 IP 地址。system-view DeviceA interface gigabitethernet 2/0/1 DeviceA-GigabitEthernet2/0/1 ip address quit#配置接口 Gigabi

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: h3cmsr 系列路由器 ipsec 典型配置举例 5386

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：h3cmsr系列路由器ipsec典型配置举例5386.pdf
链接地址：https://www.taowenge.com/p-83511516.html