H3C MSR系列路由器IPsec典型配置举例(V7).doc-道客多多

资源描述

1、1 简介2 配置前提3 使用 iNode 客户端基于证书认证的 L2TP over IPsec 功能配置举例3.1 组网需求3.2 配置思路3.3 使用版本3.4 配置步骤3.4.1 Device 的配置3.4.2 Host 的配置3.5 验证配置3.6 配置文件4 IPsec over GRE 的典型配置举例4.1 组网需求4.2 配置思路4.3 使用版本4.4 配置步骤4.4.1 Device A 的配置4.4.2 Device B 的配置4.5 验证配置4.6 配置文件5 GRE over IPsec 的典型配置举例5.1 组网需求5.2 配置思路5.3 使用版本5.4 配置步骤5.4.

2、1 Device A 的配置5.4.2 Device B 的配置5.5 验证配置5.6 配置文件6 IPsec 同流双隧道的典型配置举例6.1 组网需求6.2 使用版本6.3 配置步骤6.3.1 Device A 的配置6.3.2 Device B 的配置6.4 验证配置6.5 配置文件7 相关资料1 简介本文档介绍 IPsec 的典型配置举例。2 配置前提本文档适用于使用 Comware V7 软件版本的 MSR 系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配

3、置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 IPsec 特性。3 使用 iNode 客户端基于证书认证的L2TP over IPsec 功能配置举例3.1 组网需求如图 1 所示，PPP 用户 Host 与 Device 建立 L2TP 隧道， Windows server 2003 作为 CA 服务器，要求：通过 L2TP 隧道访问 Corporate network。用 IPsec 对 L2TP 隧道进行数据加密。采用 RSA 证书认证方式建立 IPsec 隧道。图 1 基于证书认证的 L2TP over IPsec

4、配置组网图3.2 配置思路由于使用证书认证方式建立 IPsec 隧道，所以需要在 ike profile 中配置 local-identity 为 dn，指定从本端证书中的主题字段取得本端身份。3.3 使用版本本举例是在 R0106 版本上进行配置和验证的。3.4 配置步骤3.4.1 Device 的配置(1) 配置各接口 IP 地址# 配置接口 GigabitEthernet2/0/1 的 IP 地址。system-viewDevice interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 ip address 192.168

5、.100.50 24Device-GigabitEthernet2/0/1 quit# 配置接口 GigabitEthernet2/0/2 的 IP 地址。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 ip address 102.168.1.11 24Device-GigabitEthernet2/0/2 quit# 配置接口 GigabitEthernet2/0/3 的 IP 地址。Device interface gigabitethernet 2/0/3Device-GigabitEthernet2/

6、0/3 ip address 192.168.1.1 24Device-GigabitEthernet2/0/3 quit(2) 配置 L2TP# 创建本地 PPP 用户 l2tpuser，设置密码为 hello。Device local-user l2tpuser class networkDevice-luser-network-l2tpuser password simple helloDevice-luser-network-l2tpuser service-type pppDevice-luser-network-l2tpuser quit# 配置 ISP 域 system 对 PP

7、P 用户采用本地验证。Device domain systemDevice-isp-system authentication ppp localDevice-isp-system quit# 启用 L2TP 服务。Device l2tp enable# 创建接口 Virtual-Template0，配置接口的 IP 地址为 172.16.0.1/24。Device interface virtual-template 0Device-Virtual-Template0 ip address 172.16.0.1 255.255.255.0# 配置 PPP 认证方式为 PAP。Device-V

8、irtual-Template0 ppp authentication-mode pap# 配置为 PPP 用户分配的 IP 地址为 172.16.0.2。Device-Virtual-Template0 remote address 172.16.0.2Device-Virtual-Template0 quit# 创建 LNS 模式的 L2TP 组 1。Device l2tp-group 1 mode lns# 配置 LNS 侧本端名称为 lns。Device-l2tp1 tunnel name lns# 关闭 L2TP 隧道验证功能。Device-l2tp1 undo tunnel aut

9、hentication# 指定接收呼叫的虚拟模板接口为 VT0。Device-l2tp1 allow l2tp virtual-template 0Device-l2tp1 quit(3) 配置 PKI 证书# 配置 PKI 实体 security。Device pki entity securityDevice-pki-entity-security common-name deviceDevice-pki-entity-security quit# 新建 PKI 域。Device pki domain headgateDevice-pki-domain-headgate ca identi

10、fier LYQDevice-pki-domain-headgate certificate request url http:/192.168.1.51/certsrv/mscep/mscep.dllDevice-pki-domain-headgate certificate request from raDevice-pki-domain-headgate certificate request entity securityDevice-pki-domain-headgate undo crl check enableDevice-pki-domain-headgate public-k

11、ey rsa general name abc length 1024Device-pki-domain-headgate quit# 生成 RSA 算法的本地密钥对。Device public-key local create rsa name abcThe range of public key modulus is (512 2048).If the key modulus is greater than 512,it will take a few minutes.Press CTRL+C to abort.Input the modulus length default = 1024

12、:Generating Keys.+.+Create the key pair successfully.# 获取 CA 证书并下载至本地。Device pki retrieve-certificate domain headgate caThe trusted CAs finger print is:MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031CIs the finger print correct

13、?(Y/N):yRetrieved the certificates successfully.# 手工申请本地证书。Device pki request-certificate domain headgateStart to request general certificate .Certificate requested successfully.(4) 配置 IPsec 隧道# 创建 IKE 安全提议。Device ike proposal 1Device-ike-proposal-1 authentication-method rsa-signatureDevice-ike-prop

14、osal-1 encryption-algorithm 3des-cbcDevice-ike-proposal-1 dh group2Device-ike-proposal-1 quit# 配置 IPsec 安全提议。Device ipsec transform-set tran1Device-ipsec-transform-set-tran1 esp authentication-algorithm sha1Device-ipsec-transform-set-tran1 esp encryption-algorithm 3desDevice-ipsec-transform-set-tran

15、1 quit# 配置 IKE profile。Device ike profile profile1Device-ike-profile-profile1 local-identity dnDevice-ike-profile-profile1 certificate domain headgateDevice-ike-profile-profile1 proposal 1Device-ike-profile-profile1 match remote certificate deviceDevice-ike-profile-profile1 quit# 在采用数字签名认证时，指定总从本端证书

16、中的主题字段取得本端身份。Deviceike signature-identity from-certificate# 创建一条 IPsec 安全策略模板，名称为 template1，序列号为 1。Device ipsec policy-template template1 1Device-ipsec-policy-template-template1-1 transform-set tran1Device-ipsec-policy-template-template1-1 ike-profile profile1Device-ipsec-policy-template-template1-1

17、 quit# 引用 IPsec 安全策略模板创建一条 IPsec 安全策略，名称为 policy1，顺序号为1。Device ipsec policy policy1 1 isakmp template template1# 在接口上应用 IPsec 安全策略。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 ipsec apply policy policy1Device-GigabitEthernet2/0/2 quit3.4.2 Host 的配置(1) 从证书服务器上申请客户端证书# 登录到证书服务器：ht

18、tp:/192.168.1.51/certsrv ，点击 “申请一个证书”。图 1 进入申请证书页面# 点击“高级证书申请”。图 2 高级证书申请# 选择第一项：创建并向此 CA 提交一个申请。图 3 创建并向 CA 提交一个申请# 填写相关信息。需要的证书类型，选择“客户端身份验证证书”；密钥选项的配置，勾选“标记密钥为可导出”前的复选框。# 点击，弹出一提示框：在对话框中选择“是”。# 点击安装此证书。图 4 安装证书(2) iNode 客户端的配置（使用 iNode 版本为：iNode PC 5.2(E0409)）# 打开 L2TP VPN 连接，并单击“属性(Y)”。图 5 打开

19、 L2TP 连接# 输入 LNS 服务器的地址，并启用 IPsec 安全协议，验证证方法选择证书认证。图 6 基本配置# 单击按钮，进入“L2TP 设置”页签，设置 L2TP 参数如下图所示。图 7 L2TP 设置# 单击“IPsec 设置”页签，配置 IPsec 参数。图 8 IPsec 参数设置# 单击“IKE 设置”页签，配置 IKE 参数。图 9 IKE 参数设置# 单击“路由设置”页签，添加访问 Corporate network 的路由。图 10 路由设置# 完成上述配置后，单击按钮，回到 L2TP 连接页面。3.5 验证配置# 在 L2TP 连接对话框中，输入用户名“l2tpu

20、ser”和密码“hello”，单击按钮。图 11 连接 L2TP# 在弹出的对话框中选择申请好的证书，单击按钮。图 12 证书选择# 通过下图可以看到 L2TP 连接成功。图 13 连接成功图 14 连接成功# 在 Device 上使用 display ike sa 命令，可以看到 IPsec 隧道第一阶段的 SA 正常建立。display ike saConnection-ID Remote Flag DOI-10 102.168.1.1 RD IPSECFlags:RD-READY RL-REPLACED FD-FADING# 在 Device 上使用 display ipsec sa

21、命令可以看到 IPsec SA 的建立情况。display ipsec sa-Interface: GigabitEthernet2/0/2-IPsec policy: policy1Sequence number: 1Mode: template-Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1443Tunnel:local address: 102.168.1.11remote address: 102.168.1.1Flow:sour addr: 102.168.1.11/255.255.

22、255.255 port: 1701 protocol: udpdest addr: 102.168.1.1/255.255.255.255 port: 0 protocol: udpInbound ESP SAsSPI: 2187699078 (0x8265a386)Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843197/3294Max received sequence-nu

23、mber: 51Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsSPI: 3433374591 (0xcca5237f)Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843197/

24、3294Max sent sequence-number: 52UDP encapsulation used for NAT traversal: NStatus: Active3.6 配置文件#interface Virtual-Template0ppp authentication-mode papremote address 172.16.0.2ip address 172.16.0.1 255.255.255.0#interface GigabitEthernet2/0/1ip address 192.168.100.50 255.255.255.0#interface Gigabit

25、Ethernet2/0/2ip address 102.168.1.11 255.255.255.0ipsec apply policy policy1#interface GigabitEthernet2/0/3ip address 192.168.1.1 255.255.255.0#domain systemauthentication ppp local#local-user l2tpuser class networkpassword cipher $c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+hservice-type pppauthorization-at

26、tribute user-role network-operator#pki domain headgateca identifier LYQcertificate request url http:/192.168.1.51/certsrv/mscep/mscep.dllcertificate request from racertificate request entity securitypublic-key rsa general name abcundo crl check enable#pki entity securitycommon-name host#ipsec transf

27、orm-set tran1esp encryption-algorithm 3des-cbcesp authentication-algorithm sha1#ipsec policy-template template1 1transform-set tran1ike-profile profile1#ipsec policy policy1 1 isakmp template template1#l2tp-group 1 mode lnsallow l2tp virtual-template 0undo tunnel authenticationtunnel name lns#l2tp e

28、nable#ike signature-identity from-certificate#ike profile profile1certificate domain headgatelocal-identity dnmatch remote certificate deviceproposal 1#ike proposal 1authentication-method rsa-signatureencryption-algorithm 3des-cbcdh group2#4 IPsec over GRE 的典型配置举例4.1 组网需求如图 15 所示，企业远程办公网络通过 IPsec V

29、PN 接入企业总部，要求：通过 GRE隧道传输两网络之间的 IPsec 加密数据。图 15 IPsec over GRE 组网图4.2 配置思路为了对数据先进行 IPsec 处理，再进行 GRE 封装，访问控制列表需匹配数据的原始范围，并且要将 IPsec 应用到 GRE 隧道接口上。为了对网络间传输的数据先进行 IPsec 封装，再进行 GRE 封装，需要配置IPsec 隧道的对端 IP 地址为 GRE 隧道的接口地址。4.3 使用版本本举例是在 R0106 版本上进行配置和验证的。4.4 配置步骤4.4.1 Device A 的配置(1) 配置各接口 IP 地址# 配置接口 Gigab

30、itEthernet2/0/1 的 IP 地址。system-viewDeviceA interface gigabitethernet 2/0/1DeviceA-GigabitEthernet2/0/1 ip address 192.168.1.1 255.255.255.0DeviceA-GigabitEthernet2/0/1 tcp mss 1350DeviceA-GigabitEthernet2/0/1 quit# 配置接口 GigabitEthernet2/0/2 的 IP 地址。DeviceA interface gigabitethernet 2/0/2DeviceA-Giga

31、bitEthernet2/0/2 ip address 202.115.22.48 255.255.255.0DeviceA-GigabitEthernet2/0/2 quit(2) 配置 GRE 隧道# 创建 Tunnel0 接口，并指定隧道模式为 GRE over IPv4 隧道。DeviceA interface tunnel 0 mode gre# 配置 Tunnel0 接口的 IP 地址为 10.1.1.1/24。DeviceA-Tunnel0 ip address 10.1.1.1 255.255.255.0# 配置 Tunnel0 接口的源端地址为 202.115.22.48/2

32、4（Device A 的GigabitEthernet2/0/2 的 IP 地址）。DeviceA-Tunnel0 source 202.115.22.48# 配置 Tunnel0 接口的目的端地址为 202.115.24.50/24（ Device B 的GigabitEthernet2/0/2 的 IP 地址）。DeviceA-Tunnel0 destination 202.115.24.50DeviceA-Tunnel0 quit# 配置从 Device A 经过 Tunnel0 接口到 Remote office network 的静态路由。DeviceA ip route-stati

33、c 192.168.2.1 255.255.255.0 tunnel 0(3) 配置 IPsec VPN# 配置 IKE keychain。DeviceA ike keychain keychain1DeviceA-ike-keychain-keychain1 pre-shared-key address 10.1.1.2 255.255.255.0 key simple 123DeviceA-ike-keychain-keychain1 quit# 创建 ACL3000，定义需要 IPsec 保护的数据流。DeviceA acl number 3000DeviceA-acl-adv-3000

34、 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255DeviceA-acl-adv-3000 quit# 配置 IPsec 安全提议。DeviceA ipsec transform-set tran1DeviceA-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceA-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceA-ipsec-tra

35、nsform-set-tran1 quit# 创建一条 IKE 协商方式的 IPsec 安全策略，名称为 policy1，序列号为 1。DeviceA ipsec policy policy1 1 isakmpDeviceA-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceA-ipsec-policy-isakmp-policy1-1 remote-address 10.1.1.2DeviceA-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceA-ipsec-policy-i

36、sakmp-policy1-1 quit# 在 GRE 隧道接口上应用安全策略。DeviceA interface tunnel 0DeviceA-Tunnel0 ipsec apply policy policy1DeviceA-Tunnel0 quit4.4.2 Device B 的配置(1) 配置各接口 IP 地址# 配置接口 GigabitEthernet2/0/1 的 IP 地址。system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 ip address 192.168.2.1 2

37、55.255.255.0DeviceB-GigabitEthernet2/0/1 tcp mss 1350DeviceB-GigabitEthernet2/0/1 quit# 配置接口 GigabitEthernet2/0/2 的 IP 地址。DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 ip address 202.115.24.50 255.255.255.0DeviceB-GigabitEthernet2/0/2 quit(2) 配置 GRE 隧道# 创建 Tunnel0 接口，并指定隧道模式为 G

38、RE over IPv4 隧道。DeviceB interface tunnel 0 mode gre# 配置 Tunnel0 接口的 IP 地址为 10.1.1.2/24。DeviceB-Tunnel0 ip address 10.1.1.2 255.255.255.0# 配置 Tunnel0 接口的源端地址为 202.115.24.50/24（Device B 的GigabitEthernet2/0/2 的 IP 地址）。DeviceB-Tunnel0 source 202.115.24.50# 配置 Tunnel0 接口的目的端地址为 202.115.22.48/24（ Device A

39、的GigabitEthernet2/0/2 的 IP 地址）。DeviceB-Tunnel0 destination 202.115.22.48DeviceB-Tunnel0 quit# 配置从 DeviceB 经过 Tunnel0 接口到 Corporate network 的静态路由。DeviceB ip route-static 192.168.1.1 255.255.255.0 tunnel 0(3) 配置 IPsec VPN# 配置 IKE keychain。DeviceB ike keychain keychain1DeviceB-ike-keychain-keychain1 p

40、re-shared-key address 10.1.1.1 255.255.255.0 key simple 123DeviceB-ike-keychain-keychain1 quit# 创建 ACL3000，定义需要 IPsec 保护的数据流。DeviceB acl number 3000DeviceB-acl-adv-3000 rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255DeviceB-acl-adv-3000 quit# 配置 IPsec 安全提议。DeviceB ips

41、ec transform-set tran1DeviceB-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceB-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceB-ipsec-transform-set-tran1 quit# 创建一条 IKE 协商方式的 IPsec 安全策略，名称为 policy1，序列号为 1。DeviceB ipsec policy policy1 1 isakmpDeviceB-ipsec-policy-isakmp

42、-policy1-1 security acl 3000DeviceB-ipsec-policy-isakmp-policy1-1 remote-address 10.1.1.1DeviceB-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceB-ipsec-policy-isakmp-policy1-1 quit# 在 GRE 隧道接口上应用安全策略。DeviceB interface tunnel 0DeviceB-Tunnel0 ipsec apply policy policy1DeviceB-Tunnel0 quit4.5

43、验证配置# 以 Corporate network 的主机 192.168.1.2 向 Remote office network 的主机192.168.2.2 发起通信为例，从 192.168.1.2 ping 192.168.2.2，会触发 IPsec 协商，建立 IPsec 隧道，在成功建立 IPsec 隧道后，可以 ping 通。C:Userscorporatenetwork ping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Reply from 192.168.2.2: bytes=

44、32 time=2ms TTL=254Reply from 192.168.2.2: bytes=32 time=2ms TTL=254Reply from 192.168.2.2: bytes=32 time=1ms TTL=254Ping statistics for 192.168.2.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 1ms, Maximum = 2ms, Average = 1ms# 在 Devic

45、e A 上使用 display ike sa 命令，可以看到第一阶段的 SA 正常建立。display ike saConnection-ID Remote Flag DOI-1 10.1.1.2 RD IPSECFlags:RD-READY RL-REPLACED FD-FADING# 在 Device A 上使用 display ipsec sa 命令可以看到 IPsec SA 的建立情况。display ipsec sa-Interface: Tunnel0-IPsec policy: policy1Sequence number: 1Mode: isakmp-Tunnel id: 0E

46、ncapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1419Tunnel:local address: 10.1.1.1remote address: 10.1.1.2Flow:sour addr: 192.168.1.1/255.255.255.255 port: 0 protocol: ipdest addr: 192.168.2.1/255.255.255.255 port: 0 protocol: ipInbound ESP SAsSPI: 3128557135 (0xba79fe4f)Transform set: ES

47、P-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/3550Max received sequence-number: 3Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsSPI: 2643166978 (0x9d8b8702)Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/3

展开阅读全文