H3C MSR系列路由器

手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  录

1 简介

2 配置前提

3 典型配置

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 配置Device

3.5.2 配置手机

3.6 验证配置

3.7 配置文件

4 相关资料

 

1 简介

本文档介绍手机与网关之间采用IKEv2方式建立保护IPv4报文的IPsec隧道典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 典型配置

3.1  组网需求

在手机和Device之间建立一个IPsec隧道，对手机和Device之间的数据流进行安全保护。具体要求如下：

·     封装形式为隧道模式。

·     安全协议采用ESP协议。

·     手机和Device之间采用IKEv2协商方式建立IPsec SA。

·     Device对手机进行IKE扩展认证方法为不认证，Device为手机分配IPv4地址

图3-1 手机与网关之间通过IKEv2方式保护IPv4报文组网图

 

3.2  配置思路

·     为了在手机和Device之间建立IPsec隧道，需要在Device上完成IKEv2和IPsec相关配置。

·     为了实现Device为手机分配IPv4地址，需要在Device上完成ISP域和本地用户相关配置。

3.3  使用版本

本举例是在R6749P15版本的MSR830-10HI路由器和iOS版本16.0.2的iPhone11手机上进行配置和验证的。

3.4  配置注意事项

请确保手机已和AP建立连接，AP和Device之间网络互通。

3.5  配置步骤

3.5.1  配置Device

(1)     配置接口的IP地址。

<Device> system-view

[Device] interface GigabitEthernet0/1

[Device-GigabitEthernet0/1] ip address 192.168.200.233 255.255.255.0

[Device-GigabitEthernet0/1] quit

(2)     配置为对端分配IPv4地址的IKEv2本地IPv4地址池。

# 配置IKEv2本地IPv4地址池，名称为1，地址池范围为36.1.1.2～36.1.1.10，掩码为255.255.255.255。

[Device] ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255

(3)     配置ISP域。

# 创建一个名称为test的ISP域，并进入其视图。

[Device] domain test

# 设置当前ISP域下的用户授权属性，指定为用户分配IPv4地址的地址池。

[Device-isp-test] authorization-attribute ip-pool 1

# 为IKE扩展认证配置认证方法为none。

[Device-isp-test] authentication ike none

[Device-isp-test]quit

(4)     配置本地用户。

# 创建本地用户ikev2，用户类型为网络接入类。

[Device] local-user ikev2 class network

# 配置本地用户ikev2的服务类型为ike。

[Device-luser-network-ikev2] service-type ike

# 指定本地用户ikev2的授权用户角色为network-operator。（缺省配置）

[Device-luser-network-ikev2] authorization-attribute user-role network-operator

# 指定为本地用户ikev2分配IPv4地址的地址池。

[Device-luser-network-ikev2] authorization-attribute ip-pool 1

[Device-luser-network-ikev2] quit

(5)     配置IPsec安全提议。

# 配置安全提议1。

[Device] ipsec transform-set 1

# 配置安全协议对IP报文的封装形式为隧道模式。

[Device-ipsec-transform-set-1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Device-ipsec-transform-set-1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES，认证算法为HMAC-SHA1。

[Device-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128

[Device-ipsec-transform-set-1] esp authentication-algorithm sha1

[Device-ipsec-transform-set-1] quit

# 配置安全提议2。

[Device] ipsec transform-set 2

# 配置安全协议对IP报文的封装形式为隧道模式。

[Device-ipsec-transform-set-2] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Device-ipsec-transform-set-2] protocol esp

# 配置ESP协议采用的加密算法为3DES，认证算法为HMAC-SHA1。

[Device-ipsec-transform-set-2] esp encryption-algorithm 3des-cbc

[Device-ipsec-transform-set-2] esp authentication-algorithm sha1

[Device-ipsec-transform-set-2] quit

# 配置安全提议3。

[Device] ipsec transform-set 3

# 配置安全协议对IP报文的封装形式为隧道模式。

[Device-ipsec-transform-set-3] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Device-ipsec-transform-set-3] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES，认证算法为HMAC-SHA384。

[Device-ipsec-transform-set-3] esp encryption-algorithm aes-cbc-128

[Device-ipsec-transform-set-3] esp authentication-algorithm sha384

[Device-ipsec-transform-set-3] quit

(6)     配置IKEv2 keychain，约定通信双方使用的密钥信息。

# 创建IKEv2 keychain，名称为1。

[Device] ikev2 keychain 1

# 创建IKEv2对端，名称为peer1。

[Device-ikev2-keychain-1] peer 1

# 指定对端1的主机地址为0.0.0.0/0。

[Device-ikev2-keychain-keychain1-peer-1] address 0.0.0.0 0.0.0.0

# 配置对端1使用的预共享密钥为明文123。

[Device-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123

[Device-ikev2-keychain-keychain1-peer-peer1] quit

[Device-ikev2-keychain-keychain1] quit

(7)     配置IKEv2 profile，约定建立IKE SA所需的安全参数。

# 创建IKEv2 profile，名称为1。

[Device] ikev2 profile 1

# 指定本端的身份认证方式为预共享密钥。

[Device-ikev2-profile-1] authentication-method local pre-share

# 指定对端的身份认证方式为预共享密钥。

[Device-ikev2-profile-1] authentication-method remote pre-share

# 指定引用的IKEv2 keychain为1。

[Device-ikev2-profile-1] keychain 1

# 配置对客户端的AAA授权ISP域为test，用户名为ikev2。

[Device-ikev2-profile-1] aaa authorization domain test username ikev2

# 配置匹配对端身份的规则为IP地址0.0.0.0/0。

[Device-ikev2-profile-1] match remote identity address 0.0.0.0 0.0.0.0

# 配置匹配对端身份的规则为FQDN名test。

[Device-ikev2-profile-1] match remote identity fqdn test

[Device-ikev2-profile-1] quit

(8)     配置IKEv2提议，定义双方进行IKE协商所需的安全参数。

# 创建IKEv2提议10。

[Device] ikev2 proposal 10

# 指定IKEv2提议使用的完整性校验算法为HMAC-SHA384、HMAC-SHA1。

[Device-ikev2-proposal-10] integrity sha384 sha1

# 指定IKEv2提议使用的加密算法为128比特的AES、3DES。

[Device-ikev2-proposal-10] encryption aes-cbc-128 3des-cbc

# 指定IKEv2提议使用的DH group为group14、group2、group5。

[Device-ikev2-proposal-10] dh group14 group5 group2

# 指定IKEv2提议使用的PRF算法为HMAC-SHA384、HMAC-SHA1。

[Device-ikev2-proposal-10] prf sha384 sha1

[Device-ikev2-proposal-10] quit

(9)     配置IKEv2安全策略，用于协商IKEv2 SA。

# 创建IKEv2安全策略10。

[Device] ikev2 policy 10

# 指定引用的IKEv2 proposal 10。

[Device-ikev2-policy-10] proposal 10

[Device-ikev2-policy-10] quit

(10)     配置IPsec安全策略模板。

# 创建并配置名为t，顺序号为10的IPsec安全策略模板，引用安全提议1、安全提议2、安全提议3。

[Device] ipsec policy-template t 10

[Device-ipsec-policy-template-t-10] transform-set 1 2 3

# 指定引用的IKEv2 profile为1。

[Device-ipsec-policy-template-t-10] ikev2-profile 1

# 开启IPsec反向路由注入功能。

[Device-ipsec-policy-template-t-10] reverse-route dynamic

[Device-ipsec-policy-template-t-10] quit

(11)     配置IKE协商方式的IPsec安全策略。

# 创建并配置名为1的IPsec安全策略，基于安全策略模板t创建。

[Device] ipsec policy 1 10 isakmp template t

(12)     在接口上应用IPsec安全策略1，对接口上的流量进行保护。

[Device] interface GigabitEthernet0/1

[Device-GigabitEthernet0/1] ipsec apply policy 1

[Device-GigabitEthernet0/1] quit

(13)     配置到网关的静态路由，实际请以具体组网情况为准，本例中为192.168.200.1。

[Device] ip route-static 0.0.0.0 0 192.168.200.1

3.5.2  配置手机

(1)     进入手机设置界面，如图3-2所示，点击<VPN>进入[VPN]界面。

图3-2 手机设置界面

 

(2)     如图3-3所示，在VPN管理界面点击<添加VPN配置…>进入[添加配置]界面。

图3-3 VPN界面

 

(3)     如图3-4所示，在[添加配置]界面，进行如下具体配置：

¡     类型：选择VPN类型为“IKEv2”

¡     描述：输入VPN的描述信息，本次配置以“test”为例。

¡     服务器：输入192.168.200.233

¡     远程ID：输入192.168.200.233

¡     用户鉴定：选择“无”

¡     使用证书：手动关闭

¡     密钥：输入123

¡     点击<完成>，完成VPN添加配置并保存退出

图3-4 添加配置界面

 

3.6  验证配置

以上配置完成后，手机和Device之间即可建立IKEv2方式的IPsec隧道。

# 在手机[VPN]界面，选择VPN test进行连接，可查看到VPN状态变为绿色的“已连接”，表示手机已连接到Device，如图3-5所示，点击图标可查看VPN连接详情。

图3-5 VPN界面

 

# VPN详情界面，如图3-6所示可查看到显示手机已连接到Device，并获取到IPv4地址为36.1.1.3。

图3-6 VPN详情界面

 

3.7  配置文件

#

domain test

 authorization-attribute ip-pool 1

 authentication ike none

#

local-user ikev2 class network

 service-type ike

 authorization-attribute user-role network-operator

 authorization-attribute ip-pool 1

#

ipsec transform-set 1

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha1

#

ipsec transform-set 2

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec transform-set 3

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha384

#

ipsec policy-template t 10

 transform-set 1 2 3

 ikev2-profile 1

 reverse-route dynamic

#

ipsec policy 1 10 isakmp template t

#

 ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255

#

ikev2 keychain 1

 peer 1

  address 0.0.0.0 0.0.0.0

  pre-shared-key ciphertext $c$3$yKfcFd5/ruY590JrZZdACVs6LMy1hA==

#

 

ikev2 profile 1

 authentication-method local pre-share

 authentication-method remote pre-share

 keychain 1

 aaa authorization domain test username ikev2

 match remote identity address 0.0.0.0 0.0.0.0

 match remote identity fqdn test

#

ikev2 proposal 10

 encryption aes-cbc-128 3des-cbc

 integrity sha384 sha1

 dh group14 group5 group2

 prf sha384 sha1

#

ikev2 policy 10

 proposal 10

#

 

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.200.233 255.255.255.0

 ipsec apply policy 1

#

 ip route-static 0.0.0.0 0 192.168.200.1

4 相关资料

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指导(V7)-R6749”中的“IPsec配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令参考(V7)-R6749”中的“IPsec命令”