- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-H3C MSR系列路由器 手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置
本章节下载: 07-H3C MSR系列路由器 手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置 (575.27 KB)
H3C MSR系列路由器
手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置举例。
本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
在手机和Device之间建立一个IPsec隧道,对手机和Device之间的数据流进行安全保护。具体要求如下:
· 封装形式为隧道模式。
· 安全协议采用ESP协议。
· 手机和Device之间采用IKEv2协商方式建立IPsec SA。
· Device对手机进行IKE扩展认证方法为不认证,Device为手机分配IPv4地址
图3-1 手机与网关之间通过IKEv2方式保护IPv4报文组网图
· 为了在手机和Device之间建立IPsec隧道,需要在Device上完成IKEv2和IPsec相关配置。
· 为了实现Device为手机分配IPv4地址,需要在Device上完成ISP域和本地用户相关配置。
本举例是在R6749P15版本的MSR830-10HI路由器和iOS版本16.0.2的iPhone11手机上进行配置和验证的。
请确保手机已和AP建立连接,AP和Device之间网络互通。
(1) 配置接口的IP地址。
<Device> system-view
[Device] interface GigabitEthernet0/1
[Device-GigabitEthernet0/1] ip address 192.168.200.233 255.255.255.0
[Device-GigabitEthernet0/1] quit
(2) 配置为对端分配IPv4地址的IKEv2本地IPv4地址池。
# 配置IKEv2本地IPv4地址池,名称为1,地址池范围为36.1.1.2~36.1.1.10,掩码为255.255.255.255。
[Device] ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255
(3) 配置ISP域。
# 创建一个名称为test的ISP域,并进入其视图。
[Device] domain test
# 设置当前ISP域下的用户授权属性,指定为用户分配IPv4地址的地址池。
[Device-isp-test] authorization-attribute ip-pool 1
# 为IKE扩展认证配置认证方法为none。
[Device-isp-test] authentication ike none
[Device-isp-test]quit
(4) 配置本地用户。
# 创建本地用户ikev2,用户类型为网络接入类。
[Device] local-user ikev2 class network
# 配置本地用户ikev2的服务类型为ike。
[Device-luser-network-ikev2] service-type ike
# 指定本地用户ikev2的授权用户角色为network-operator。(缺省配置)
[Device-luser-network-ikev2] authorization-attribute user-role network-operator
# 指定为本地用户ikev2分配IPv4地址的地址池。
[Device-luser-network-ikev2] authorization-attribute ip-pool 1
[Device-luser-network-ikev2] quit
(5) 配置IPsec安全提议。
# 配置安全提议1。
[Device] ipsec transform-set 1
# 配置安全协议对IP报文的封装形式为隧道模式。
[Device-ipsec-transform-set-1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Device-ipsec-transform-set-1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[Device-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[Device-ipsec-transform-set-1] esp authentication-algorithm sha1
[Device-ipsec-transform-set-1] quit
# 配置安全提议2。
[Device] ipsec transform-set 2
# 配置安全协议对IP报文的封装形式为隧道模式。
[Device-ipsec-transform-set-2] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Device-ipsec-transform-set-2] protocol esp
# 配置ESP协议采用的加密算法为3DES,认证算法为HMAC-SHA1。
[Device-ipsec-transform-set-2] esp encryption-algorithm 3des-cbc
[Device-ipsec-transform-set-2] esp authentication-algorithm sha1
[Device-ipsec-transform-set-2] quit
# 配置安全提议3。
[Device] ipsec transform-set 3
# 配置安全协议对IP报文的封装形式为隧道模式。
[Device-ipsec-transform-set-3] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Device-ipsec-transform-set-3] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA384。
[Device-ipsec-transform-set-3] esp encryption-algorithm aes-cbc-128
[Device-ipsec-transform-set-3] esp authentication-algorithm sha384
[Device-ipsec-transform-set-3] quit
(6) 配置IKEv2 keychain,约定通信双方使用的密钥信息。
# 创建IKEv2 keychain,名称为1。
[Device] ikev2 keychain 1
# 创建IKEv2对端,名称为peer1。
[Device-ikev2-keychain-1] peer 1
# 指定对端1的主机地址为0.0.0.0/0。
[Device-ikev2-keychain-keychain1-peer-1] address 0.0.0.0 0.0.0.0
# 配置对端1使用的预共享密钥为明文123。
[Device-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123
[Device-ikev2-keychain-keychain1-peer-peer1] quit
[Device-ikev2-keychain-keychain1] quit
(7) 配置IKEv2 profile,约定建立IKE SA所需的安全参数。
# 创建IKEv2 profile,名称为1。
[Device] ikev2 profile 1
# 指定本端的身份认证方式为预共享密钥。
[Device-ikev2-profile-1] authentication-method local pre-share
# 指定对端的身份认证方式为预共享密钥。
[Device-ikev2-profile-1] authentication-method remote pre-share
# 指定引用的IKEv2 keychain为1。
[Device-ikev2-profile-1] keychain 1
# 配置对客户端的AAA授权ISP域为test,用户名为ikev2。
[Device-ikev2-profile-1] aaa authorization domain test username ikev2
# 配置匹配对端身份的规则为IP地址0.0.0.0/0。
[Device-ikev2-profile-1] match remote identity address 0.0.0.0 0.0.0.0
# 配置匹配对端身份的规则为FQDN名test。
[Device-ikev2-profile-1] match remote identity fqdn test
[Device-ikev2-profile-1] quit
(8) 配置IKEv2提议,定义双方进行IKE协商所需的安全参数。
# 创建IKEv2提议10。
[Device] ikev2 proposal 10
# 指定IKEv2提议使用的完整性校验算法为HMAC-SHA384、HMAC-SHA1。
[Device-ikev2-proposal-10] integrity sha384 sha1
# 指定IKEv2提议使用的加密算法为128比特的AES、3DES。
[Device-ikev2-proposal-10] encryption aes-cbc-128 3des-cbc
# 指定IKEv2提议使用的DH group为group14、group2、group5。
[Device-ikev2-proposal-10] dh group14 group5 group2
# 指定IKEv2提议使用的PRF算法为HMAC-SHA384、HMAC-SHA1。
[Device-ikev2-proposal-10] prf sha384 sha1
[Device-ikev2-proposal-10] quit
(9) 配置IKEv2安全策略,用于协商IKEv2 SA。
# 创建IKEv2安全策略10。
[Device] ikev2 policy 10
# 指定引用的IKEv2 proposal 10。
[Device-ikev2-policy-10] proposal 10
[Device-ikev2-policy-10] quit
(10) 配置IPsec安全策略模板。
# 创建并配置名为t,顺序号为10的IPsec安全策略模板,引用安全提议1、安全提议2、安全提议3。
[Device] ipsec policy-template t 10
[Device-ipsec-policy-template-t-10] transform-set 1 2 3
# 指定引用的IKEv2 profile为1。
[Device-ipsec-policy-template-t-10] ikev2-profile 1
# 开启IPsec反向路由注入功能。
[Device-ipsec-policy-template-t-10] reverse-route dynamic
[Device-ipsec-policy-template-t-10] quit
(11) 配置IKE协商方式的IPsec安全策略。
# 创建并配置名为1的IPsec安全策略,基于安全策略模板t创建。
[Device] ipsec policy 1 10 isakmp template t
(12) 在接口上应用IPsec安全策略1,对接口上的流量进行保护。
[Device] interface GigabitEthernet0/1
[Device-GigabitEthernet0/1] ipsec apply policy 1
[Device-GigabitEthernet0/1] quit
(13) 配置到网关的静态路由,实际请以具体组网情况为准,本例中为192.168.200.1。
[Device] ip route-static 0.0.0.0 0 192.168.200.1
(1) 进入手机设置界面,如图3-2所示,点击<VPN>进入[VPN]界面。
(2) 如图3-3所示,在VPN管理界面点击<添加VPN配置…>进入[添加配置]界面。
图3-3 VPN界面
(3) 如图3-4所示,在[添加配置]界面,进行如下具体配置:
¡ 类型:选择VPN类型为“IKEv2”
¡ 描述:输入VPN的描述信息,本次配置以“test”为例。
¡ 服务器:输入192.168.200.233
¡ 远程ID:输入192.168.200.233
¡ 用户鉴定:选择“无”
¡ 使用证书:手动关闭
¡ 密钥:输入123
¡ 点击<完成>,完成VPN添加配置并保存退出
以上配置完成后,手机和Device之间即可建立IKEv2方式的IPsec隧道。
# 在手机[VPN]界面,选择VPN test进行连接,可查看到VPN状态变为绿色的“已连接”,表示手机已连接到Device,如图3-5所示,点击图标可查看VPN连接详情。
图3-5 VPN界面
# VPN详情界面,如图3-6所示可查看到显示手机已连接到Device,并获取到IPv4地址为36.1.1.3。
图3-6 VPN详情界面
#
domain test
authorization-attribute ip-pool 1
authentication ike none
#
local-user ikev2 class network
service-type ike
authorization-attribute user-role network-operator
authorization-attribute ip-pool 1
#
ipsec transform-set 1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec transform-set 2
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
#
ipsec transform-set 3
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha384
#
ipsec policy-template t 10
transform-set 1 2 3
ikev2-profile 1
reverse-route dynamic
#
ipsec policy 1 10 isakmp template t
#
ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255
#
ikev2 keychain 1
peer 1
address 0.0.0.0 0.0.0.0
pre-shared-key ciphertext $c$3$yKfcFd5/ruY590JrZZdACVs6LMy1hA==
#
ikev2 profile 1
authentication-method local pre-share
authentication-method remote pre-share
keychain 1
aaa authorization domain test username ikev2
match remote identity address 0.0.0.0 0.0.0.0
match remote identity fqdn test
#
ikev2 proposal 10
encryption aes-cbc-128 3des-cbc
integrity sha384 sha1
dh group14 group5 group2
prf sha384 sha1
#
ikev2 policy 10
proposal 10
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.200.233 255.255.255.0
ipsec apply policy 1
#
ip route-static 0.0.0.0 0 192.168.200.1
· “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指导(V7)-R6749”中的“IPsec配置”
· “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令参考(V7)-R6749”中的“IPsec命令”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
