H C M S R系列路由器I P s e c典型配置举例V集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)1?简介本文档介绍IPsec的典型配置举例。
2?配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1?组网需求如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:通过L2TP隧道访问Corporate network。
用IPsec对L2TP隧道进行数据加密。
采用RSA证书认证方式建立IPsec隧道。
图1基于证书认证的L2TP over IPsec配置组网图3.2?配置思路由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。
3.3?使用版本本举例是在R0106版本上进行配置和验证的。
3.4?配置步骤3.4.1?Device的配置(1)配置各接口IP地址#配置接口GigabitEthernet2/0/1的IP地址。
<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] quit#配置接口GigabitEthernet2/0/2的IP地址。
[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] quit#配置接口GigabitEthernet2/0/3的IP地址。
[Device] interface gigabitethernet 2/0/3[Device-GigabitEthernet2/0/3] quit(2)配置L2TP#创建本地PPP用户l2tpuser,设置密码为hello。
[Device] local-user l2tpuser class network[Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp[Device-luser-network-l2tpuser] quit#配置ISP域system对PPP用户采用本地验证。
[Device] domain system[Device-isp-system] authentication ppp local[Device-isp-system] quit#启用L2TP服务。
[Device] l2tp enable#创建接口Virtual-Template0,配置接口的IP地址为。
[Device] interface virtual-template 0#配置PPP认证方式为PAP。
[Device-Virtual-Template0] ppp authentication-mode pap #配置为PPP用户分配的IP地址为。
[Device-Virtual-Template0] quit#创建LNS模式的L2TP组1。
[Device] l2tp-group 1 mode lns#配置LNS侧本端名称为lns。
[Device-l2tp1] tunnel name lns#关闭L2TP隧道验证功能。
[Device-l2tp1] undo tunnel authentication#指定接收呼叫的虚拟模板接口为VT0。
[Device-l2tp1] allow l2tp virtual-template 0[Device-l2tp1] quit(3)配置PKI证书#配置PKI实体security。
[Device] pki entity security[Device-pki-entity-security] common-name device[Device-pki-entity-security] quit#新建PKI域。
[Device] pki domain headgate[Device-pki-domain-headgate] ca identifier LYQ[Device-pki-domain-headgate] certificate request from ra [Device-pki-domain-headgate] certificate request entity security[Device-pki-domain-headgate] undo crl check enable[Device-pki-domain-headgate]public-key rsa general name abc length 1024[Device-pki-domain-headgate] quit#生成RSA算法的本地密钥对。
[Device] public-key local create rsa name abcThe range of public key modulus is (512 ~ 2048).If the key modulus is greater than 512,it will take a few minutes.Press CTRL+C to abort.Input the modulus length [default = 1024]:Generating Keys... ..........................++++++.++++++Create the key pair successfully.#获取CA证书并下载至本地。
[Device] pki retrieve-certificate domain headgate caThe trusted CA's finger print is:MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031CIs the finger print correct(Y/N):yRetrieved the certificates successfully.#手工申请本地证书。
[Device] pki request-certificate domain headgateStart to request general certificate ...Certificate requested successfully.(4)配置IPsec隧道#创建IKE安全提议。
[Device] ike proposal 1[Device-ike-proposal-1] authentication-method rsa-signature [Device-ike-proposal-1] encryption-algorithm 3des-cbc [Device-ike-proposal-1] dh group2[Device-ike-proposal-1] quit#配置IPsec安全提议。
[Device] ipsec transform-set tran1[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1[Device-ipsec-transform-set-tran1] esp encryption-algorithm 3des[Device-ipsec-transform-set-tran1] quit#配置IKE profile。
[Device] ike profile profile1[Device-ike-profile-profile1] local-identity dn[Device-ike-profile-profile1] certificate domain headgate [Device-ike-profile-profile1] proposal 1[Device-ike-profile-profile1] match remote certificate device[Device-ike-profile-profile1] quit#在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
[Device]ike signature-identity from-certificate#创建一条IPsec安全策略模板,名称为template1,序列号为1。
[Device]ipsec policy-template template1 1[Device-ipsec-policy-template-template1-1] transform-set tran1[Device-ipsec-policy-template-template1-1] ike-profile profile1[Device-ipsec-policy-template-template1-1] quit#引用IPsec安全策略模板创建一条IPsec安全策略,名称为policy1,顺序号为1。
[Device] ipsec policy policy1 1 isakmp template template1 #在接口上应用IPsec安全策略。
[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ipsec apply policy policy1 [Device-GigabitEthernet2/0/2] quit3.4.2?Host的配置(1)从证书服务器上申请客户端证书#登录到证书服务器:,点击“申请一个证书”。
图1进入申请证书页面#点击“高级证书申请”。
图2高级证书申请#选择第一项:创建并向此CA提交一个申请。