53-MSR系列路由器与Windows XP使用共享密钥方式L2TP Over IPSec互通功能的配置举例
本章节下载: 53-MSR系列路由器与Windows XP使用共享密钥方式L2TP Over IPSec互通功能的配置举例 (1.55 MB)
MSR系列路由器与Windows XP使用共享密钥方式L2TP over IPsec互通功能的配置举例
Copyright © 2014杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍Windows XP与MSR使用共享密钥方式L2TP over IPsec互通功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解L2TP和IPsec特性。
如图1所示,MSR路由器提供L2TP接入,XP主机使用自带L2TP工具拨号接入到MSR,并且使用共享密钥方式对L2TP流进行加密。
图1 MSR系列路由器XP与MSR使用共享密钥方式L2TP over IPsec互通功能的配置组网图
本举例是在Release 2317版本上进行配置和验证的。
· 注意主机配置和路由器配置的吻合。
· 通常将主机和安全网关之间的IPsec封装为传输模式。
# 配置接口Ethernet0/0的IP地址。
<Router> system-view
[Router] interface ethernet 0/0
[Router-Ethernet0/0] ip address 1.1.1.1 255.0.0.0
[Router-Ethernet0/0] quit
# 启用L2TP服务。
[Router] l2tp enable
# 采用ISP域的缺省配置。
[Router] domain system
#在域内配置IP地址池,用于分配给Host。
[Router-isp-system] ip pool 1 192.168.1.1 192.168.1.10
[Router-isp-system] quit
# 设置用户名、密码及服务类型。
[Router] local-user aaa
[Router-luser-aaa] password simple aaa
[Router-luser-aaa] service-type ppp
[Router-luser-aaa] quit
# 配置虚拟模板接口Virtual-Template0。
[Router] interface Virtual-Template0
[Router-Virtual-Template0] ppp authentication-mode chap
[Router-Virtual-Template0] remote address pool 1
[Router-Virtual-Template0] ip address 192.168.1.254 255.255.255.0
[Router-Virtual-Template0] quit
# 设置一个L2TP组,不启用隧道验证。
[Router] l2tp-group 1
[Router-l2tp1] undo tunnel authentication
# 指定接收呼叫的虚拟模板接口。
[Router-l2tp1] allow l2tp virtual-template 0
[Router-l2tp1] quit
# 配置IKE对等体。
[Router] ike peer xp
[Router-ike-peer-xp] pre-shared-key 123
[Router-ike-peer-xp] quit
# 配置安全协议对IP报文的封装形式为传输模式。
[Router] ipsec proposal def
[Router-ipsec-transform-set-def] encapsulation-mode transport
# 配置ESP协议采用sha1认证算法。
[Router-ipsec-transform-set-def] esp authentication-algorithm sha1
[Router-ipsec-transform-set-def] esp encryption-algorithm des
[Router-ipsec-transform-set-def] quit
# 配置IPsec安全策略模板。
[Router] ipsec policy-template test 1
[Router-ipsec-policy-template-test-1] ike-peer xp
[Router-ipsec-policy-template-test-1] proposal def
[Router-ipsec-policy-template-test-1] quit
# 引用IPsec安全策略模板创建一条IPsec安全策略。
[Router] ipsec policy policy 1 isakmp template test
# 在接口Ethernet0/0上应用安全策略。
[Router] interface ethernet 0/0
[Router-Ethernet0/0] ipsec policy policy
[Router-Ethernet0/0] quit
# 修改Windows的注册表,禁用XP默认的IPsec证书的验证方式,然后重启电脑。
图2 修改注册表
# 重启电脑后,进入控制面板à网络连接,创建一个新的连接。
图3 创建一个新连接
# 根据提示选择“下一步”。
图4 新连接向导
# 在单选框中选择“连接到我的工作场所的网络”,然后点击“下一步”。
图5 新建连接向导
# 在单选框中选择“虚拟专用网络连接”,点击“下一步”。
图6 新建连接向导
# 输入连接的名字,此名字可以随便输入。
图7 新建连接向导
# 输入VPN接入服务器地址,即路由器的地址1.1.1.1。
图8 新建连接向导
# 设定使用权限。
图9 新建连接向导
# 点击“完成”,结束向导配置。
图10 新建连接向导
# 点击“取消”,退出连接。
图11 连接页面
# 进入控制面板à管理工具à本地安全策略,进行IPsec相关配置。
图12 本地安全配置
# 根据向导,选择“下一步”。
图13 IP安全策略向导
# 输入IPsec安全策略的名字,然后单击“下一步”。
图14 IP安全策略向导
# 将“激活默认响应规则”的勾选取消,单击“下一步”。
图15 IP安全策略向导
# 保持“编辑属性”的勾选,点击“完成”。
图16 IP安全策略向导
# 在安全策略的属性窗口的规则页,将右下角使用“添加向导”的勾选取消,点击“添加”。
图17 安全策略属性
# “新规则属性”的第一页是“IP筛选器列表”,即路由器上的ACL的配置工作,选择“添加”。
图18 新规则属性
# 取消使用“添加向导”的勾选后,继续点击“添加”。
图19 IP筛选器列表
# 在“筛选器属性”页面,“源地址”不变,在目标地址中选择“一个特定的IP地址”并输入路由器地址。
图20 筛选器属性
# 点击“确定”后,返回IP筛选器列表窗口,选择“确定”,完成筛选器的配置。
图21 返回筛选器列表
# 上述步骤完成后返回“新规则属性”窗口,在筛选器列表的单选框中,选中刚创建的“新IP筛选器列表”。
图22 返回新规则属性窗口
# 在“筛选器操作”页面,配置IPsec安全提议,选择单选框中“需要安全”,点击“编辑”。
图23 新规则属性
# 将ESP加密和完整性的DES和SHA1组合上移到第一位,勾选“接受不安全的通讯……”,然后点击“确定”后,返回“新规则属性”页面。
图24 需要安全属性
# 进入“身份验证方法”页面,即IKE对等体的配置,选择“添加”。
图25 身份验证方法
# 单击单选框中“使用此字符串(预共享密钥)”方法,输入预共享密钥“123”,之后点击“确定”。
图26 身份验证方法
# 上述配置完成后返回属性页面,将刚才生成的“预先共享的密钥”上移到首位。
图27 身份验证方法
# 进入“隧道设置”页面,选择“此规则不指定IPsec隧道”。
图28 隧道设置
# 点击“应用”结束规则属性配置,然后返回安全策略属性页面。
图29 安全策略属性
# 将新建的策略进行指派。
图30 策略指派
# 完成所有上述配置后,就可以进行L2TP连接了。
图31 L2TP连接
完成所有配置后,输入用户名和密码进行L2TP连接就可以连接成功,在MSR上通过display ike sa和display ipsec sa命令可以查看IPsec建立情况。
#
l2tp enable
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
ip pool 1 192.168.1.1 192.168.1.10
#
ike peer xp
pre-shared-key cipher $c$3$kOie70QkjKPQWhSZBzrHAhLvPOh0SA==
#
ipsec transform-set def
encapsulation-mode transport
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm des
#
ipsec policy-template test 1
ike-peer xp
transform-set def
#
ipsec policy policy 1 isakmp template test
#
local-user aaa
password cipher $c$3$fPNGdEFUHNFynUC+zEoyYhc8Bm9XJA==
service-type ppp
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 0
#
interface Ethernet0/0
port link-mode route
ip address 1.1.1.1 255.0.0.0
ipsec policy policy
#
interface Virtual-Template0
ppp authentication-mode chap
remote address pool 1
ip address 192.168.1.254 255.255.255.0
#
· H3C MSR 系列路由器 命令参考(V5)-R2311
· H3C MSR 系列路由器 配置指导(V5)-R2311
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!