Windows2000下配置基于PSK方式IPSEC的L2TP客户的方法
Windows2000下配置基于PSK方式IPSEC的L2TP客户的方法
V1.1
Change log:(2004-11-24)
1、增加了组网图
2、增加了VRP1.74-0108作为LNS的配置脚本
3、增加了VRP3.3-0008作为LNS的配置脚本
目录
1. 禁用证书方式的IPSEC................................................................................ 2 2. 创建L2TP 连接, ....................................................................................... 2 3. IPSEC 的设置.............................................................................................. 7 4. 查看L2TP 连接状态 .................................................................................. 17 5. 查看IPSEC 状态 ....................................................................................... 17 6. LNS 相关配置 ........................................................................................... 18 7. WindowsXP 下的相关配置和Windows2000类似。 . (21)
组网图:
1. 禁用证书方式的IPSEC
Windows2000的L2TP 功能缺省启动证书方式的IPSEC ,应当在注册表中禁用。 方法如下:
执行regedit 命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 加入如下注册项: V alue Name: ProhibitIpSec Data Type: REG_DWORD V alue: 1
2. 创建L2TP 连接,
按下面图形依次进行(没有列在下面的步骤均选缺省操作)
交叉网线
10.110.96.163/24
10.110.96.31/24
在下图中输入LNS的地址:
在下图中输入LNS认证用户名和密码,并点击“属性”按钮:
在下图中点击“设置”按钮:
在下图中选择验证协议,应和路由器上的一致:
在下图中选择VPN类型:
至此,已完成配置,点击“确定”即可建立连接。
3.IPSEC的设置
点击“启动”-》“程序”-》“管理工具”-》“本地安全策略”,按下面图形依次进行(没有列在下面的步骤均选缺省操作)
在下图中左边窗口点击“IP安全策略,在本地机器”,在右边窗口点鼠标右键,选择“创建IP安全策略”
在下图中点击“添加”按钮:
在下图中输入预共享密钥(PSK),需和LNS上配置的一致:
在下图中点击“添加”按钮:
在下图中点击“添加”按钮:
在IP地址处,输入本机作LAC时使用的IP地址:
在IP地址处,输入LNS的IP地址:
在下图中点击“关闭”:
在下图中点击“指派”,使能IPSEC功能:
4.查看L2TP连接状态
5.查看IPSEC状态
执行ipsecmon命令
6.LNS相关配置
6.1 VRP1.65 LNS配置脚本
!
version 1.65
user aa service-type ppp password 0 aa LNS认证用户和密码
user bb service-type ppp password 0 bb LNS认证用户和密码
vpdn enable
ip local pool 0 2.1.1.10 2.1.1.20 LNS地址池
firewall enable
access-list normal 101 permit udp 10.110.96.31 0.0.0.0 eq 1701 any 用于IPSEC的ACL aaa-enable
aaa authentication ppp default local
aaa authentication login default local
aaa accounting optional
hostname 3640E
!
crypto ike key def address 10.110.96.105 IPSEC PSA
crypto ike key abc address 10.110.96.163 IPSEC PSA
!
crypto ipsec transform l2tptrans
mode transport 传输方式
esp-new hash sha1-hmac-96 IPSEC协议和加密方法
!
crypto map l2tpmap 1 isakmp
match address 101 对符合ACL 101的包使用本加密策略
set transform l2tptrans
set peer 10.110.96.163 LAC地址
!
crypto map l2tpmap 2 isakmp
match address 101
set transform l2tptrans
set peer 10.110.96.105 LAC地址
!
interface Ethernet0
ip address 1.1.1.2 255.255.255.0
ip ospf enable area 0.0.0.0
!
interface Ethernet1
ip address 10.110.96.31 255.255.255.0
crypto map l2tpmap 在接口上应用加密策略
!
!
interface Virtual-Template1
ppp authentication pap
peer default ip address pool
ip address 2.1.1.2 255.255.255.0
!
vpdn-group 3
accept dialin l2tp virtual-template 1 remote LocalHost 使用enternet软件的主机名no l2tp tunnel authentication
!
vpdn-group 2
accept dialin l2tp virtual-template 1 remote tanyun911 WindowsXP时为主机名
no l2tp tunnel authentication
!
vpdn-group 1
accept dialin l2tp virtual-template 1 remote c09252-300 Windows2000时为主机名
no l2tp tunnel authentication
!
end
6.2 VRP1.74-0108 LNS配置脚本
Now create configuration...
Current configuration
!
version 1.74
local-user aa service-type ppp password simple aa /配置l2tp拨号认证的本地帐号/ sysname LNS
l2tp enable /使能l2tp/
ip pool 0 2.1.1.10 2.1.1.20 /分配给l2tp用户的地址池/
info-center console
info-center console debugging
firewall enable
aaa-enable
aaa accounting-scheme optional
!
ike pre-shared-key abc remote 10.110.96.163 /配置PSK为“abc”/
!
acl 3000 match-order auto /配置用于IPSec的ACL,对源地址为10.110.96.31的l2tp 报文进行加密/
rule normal permit udp source 10.110.96.31 0.0.0.0 source-port equal 1701 destination any
rule normal deny ip source any destination any
!
ipsec proposal l2tp /配置名称为“l2tp”的proposal/ encapsulation-mode transport /配置封装方式为传输方式/
esp-new authentication-algorithm sha1-hmac-96 /配置esp认证算法/
!
ipsec policy l2tp 1 isakmp /配置名称为“l2tp”的policy/
security acl 3000 /引用ACL 3000/
proposal l2tp /引用proposal “l2tp” /
tunnel remote 10.110.96.163 /指定对方的IP地址/
!
interface Aux0
async mode flow
link-protocol ppp
!
interface Ethernet0
ip address 10.110.96.31 255.255.255.0
ipsec policy l2tp /引用名称为“l2tp”的policy/
!
interface Ethernet1
!
interface Virtual-Template1 /配置虚模板VT1/
link-protocol ppp
mtu 1500
ppp authentication-mode pap
remote address pool /使用地址池0,给l2tp客户端分配地址/ ip address 2.1.1.1 255.255.255.0
!
l2tp-group 1 /配置l2tp-group 1 /
! Default L2TP group
allow l2tp virtual-template 1
mandatory-lcp /使能lcp再协商/
tunnel name Router
undo tunnel authentication /取消tunnel的认证/
tunnel password simple Router
!
return
6.3 VRP3.30-0008 LNS配置脚本
#
sysname LNS
#
l2tp enable /使能l2tp/
#
local-user aa password simple aa /配置l2tp拨号认证的本地帐号/
local-user aa service-type ppp
#
ip pool 0 2.1.1.10 2.1.1.20 /分配给l2tp用户的地址池/
#
ike peer l2tp /配置名称为“l2tp”的ike peer/
pre-shared-key abc /配置PSK为“abc”/
remote-address 10.110.96.163 /指定对方的IP地址/
#
ipsec proposal l2tp /配置名称为“l2tp”的proposal/ encapsulation-mode transport /配置封装方式为传输方式/
esp authentication-algorithm sha1 /配置esp认证算法/
#
ipsec policy l2tp 1 isakmp /配置名称为“l2tp”的policy/
security acl 3000 /引用ACL 3000/
ike-peer l2tp /应用ike peer“l2tp”/
proposal l2tp /引用proposal “l2tp” /
#
interface Virtual-Template1 /配置虚模板VT1/
ppp authentication-mode pap
ip address 2.1.1.1 255.255.255.0
remote address pool /使用地址池0,给l2tp客户端分配地址/
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
ip address 10.110.96.31 255.255.255.0
ipsec policy l2tp /引用名称为“l2tp”的policy/
#
interface Ethernet0/1
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
IPSEC配置文档
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置数据流 [R1]acl num 3000 [R1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0 2.IKE策略配置 [R1]ike proposal 10 //创建IKE提议,并进入IKE视图 [R1-ike-proposal-10]encryption-algorithm 3des-cbc //IKE提议使用的加密算法 [R1-ike-proposal-10]authentication-method pre-share //IKE提议使用的密钥处理方式
[R1-ike-proposal-10]authentication-algorithm md5 //IKE提议使用的验证算法 [R1-ike-proposal-10]dh group2 //IKE提议使用的DH交换组 [R1-ike-proposal-10]sa duration 86400 //ISAKMP SA生存周期 [R1-ike-proposal-10] 3.配置IKE对等体及密钥 [R1]ike peer R3 //创建IKE对等体,并进入IKE对等体视图 [R1-ike-peer-r3]exchange-mode main //IKE对等体的协商模式 [R1-ike-peer-r3]pre-shared-key h3c //IKE对等体的密钥 [R1-ike-peer-r3]local-address 12.1.1.1 //本端安全网关地址 [R1-ike-peer-r3]remote-address 23.1.1.3 //对端安全网关地址 [R1-ike-peer-r3]remote-name R3 //对端安全网关名称 [R1]ike local-name R1 //本端安全网关名称 [R1] 4. IPSEC安全提议配置
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
IPSec 配置指导
第3章IPSec 配置指导 3.1 组网及业务描述 图3-1 在RTA 和RTC 之间建立一个安全隧道,对RTA 上的LookBack 地址与RTC 上的LoopBack 地址之间的数据流进行安全保护。安全协议采用ESP 协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。 3.2 配置步骤 (1) 配置ACL 在系统视图下,创建高级ACL,指定加密数据的范围; (2) 配置静态路由 在系统视图下,为两边LoopBack 地址建立连通性配置静态路由。 (3) 配置安全提议 系统视图下创建安全提议,并命名安全提议。 (4) 选择隧道封装协议 安全提议视图下,选择隧道协议:传输模式或隧道模式。默认为隧道模式。(5) 选择安全协议 安全提议视图下,选择安全协议:ESP 或AH。默认为ESP。 (6) 选择算法 同样在安全提议视图下,选择加密算法及认证算法。 (7) 创建安全策略 系统视图下,创建安全策略并选择协商方法为Manual。 (8) 引用ACL 及安全提议 安全策略视图下引用ACL 及安全提议。 (9) 设置对端地址 安全策略视图下设置对端地址。对端地址为接收方的物理地址。 (10) 设置本端地址 安全策略视图下设置本端地址。本端地址为发送方的物理地址。 (11) 设置SPI
安全策略视图下设置SPI。 设置inbound 和outbound 两个方向安全联盟的参数。 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安 全联盟的SPI 必须和对端的出方向安全联盟的SPI 一样;本端的出方向安全 联盟的SPI 必须和对端的入方向安全联盟的SPI 一样。 (12) 配置安全联盟使用的密钥 请在安全策略视图下配置密钥。此配置任务仅用于manua l 方式的安全策略,用如下命令手工输入安全联盟的密钥。对于采用isakmp 协商方式的安全策略,无需手工配置密钥,IKE 将自动协商安全联盟的密钥。 (13) 在接口上应用安全策略组 DL010012 IP VPN 实验指导书ISSUE 1.2 第3 章IPSec 配置指导 华为技术有限公司版权所有, 未经许可不得扩散21 此配置任务将安全策略组应用到接口,从而实现对流经这个接口的不同的数 据流进行不同的安全保护。如果所应用的安全策略是手工方式建立安全联盟,会立即生成安全联盟。如果所应用的是自动协商方式的安全联盟,不会立即 建立安全联盟,只有当符合某IPSec 安全策略的数据流从该接口外出时,才 会触发IKE 去协商IPSec 安全联盟。 3.3 配置参考 3.3.1 端口配置 1. 配置RTA
IPSec VPN配置总结
IPSec VPN配置总结 近段时间,笔者完成了一些IPSec VPN的配置,有站点到站点固定公网IP 地址的IPSec VPN,有站点到站点使用固定公网IP地址的EZVPN,有网络中心点是固定公网IP地址,而分支机构是动态地址的DMVPN,有路由器和防火墙之间互联的IPSec VPN,也有不同厂商的设备之间互联的IPSec VPN。通过这些项目的锻炼,笔者感到对IPSec VPN的了解又增进了一步,以前一些模糊的地方,经过这次项目的实践之后也越来越清晰,以下就是笔者对IPSec VPN配置的总结和配置实例。 一、理解IPSec VPN VPN是利用公共网络建立一条专用的通道来实现私有网络的连接,IPSec VPN就是利用IPSec协议框架实现对VPN通道的加密保护。IPSec工作在网络层,它能在IP层上对数据提供加密、数据完整性、起源认证和反重放保护等功能。 加密的作用就是通过将数据包加密,保证数据的安全,即使数据包被人监听获取到,也无法阅读数据内容。 IPSec使用的数据加密算法是对称密钥加密系统。支持的加密算法主要有:DES、3DES、MD5和SHA加密算法,这种加密算法需要一个共享的密钥执行加密和解密,共享的密钥是通过通信两端交换公钥,然后用公钥和各自的私钥进行运算,就得到了共享的密钥,这样就需要一个公钥交换的算法。DH密钥协议就是一种公钥交换方法。DH密钥交换协议有组1到组7的几种不同的算法。DES 和3DES支持组1和2,AES支持组2和5,因此如果选用了不同的加密算法,就需要选择相应的DH密钥交换算法。 数据完整性的作用就是保证数据包在传输的过程当中没有被篡改。
路由器-GRE-Over-IPSec典型配置
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]
IPSec配置命令
IPSec配置命令 2010-06-25 14:57:48| 分类:路由交换|字号订阅 IPSec配置命令 ipsec配置命令包括: 1 clear crypto sa 2 crypto ipsec transform-set 3 crypto map 4 crypto map {ipsec-manual|ipsec-isakmp} 5 cryto ipsec security-association lifetime 6 match address 7 mode 8 set peer 9 set security-association lifetime 10 set session-key ah 11 set session-key esp 12 set transform-set 13 show crypto ipsec sa 14 show crypto ipsec security-association lifetime 15 show crypto ipsec transform-set 16 show crypto map 17 debug crypto ipsec 1 clear crypto sa 命令:clear crypto sa [map [map-name] [[map-number]] ] [peer [ip-address]] 功能:删除安全联盟。 参数:map指定加密映射集;[map-name] [[map-number]]为加密映射集的名称或号码;peer 指定对端的ip地址;[ip-address]为对端的ip地址。 命令模式:特权用户配置模式。 使用指南:如果未使用map、peer关键字,所有的ipsec安全联盟都将被删除。举例:删除由map-tunnel1创建的所有现存的安全联盟。
HCMSR系列路由器IPsec典型配置举例V图文稿
H C M S R系列路由器 I P s e c典型配置举例V 集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
Linux IPSec操作手册
IPSec操作手册 第一部分: OpenSSL生成证书 首先需要一个根证书,然后用这个根证书来下发“子证书”。 1,找一台Linux PC, 首先切换目录,到/etc/pki/tls/misc,openssl的脚本在这里。 2,生成根证书: ./CA -newca 输入pass phrase,后面签发的时候会用到,类似一个密码 CA证书的路径在/etc/pki/CA/cacert.pem 3,生成server私有密钥: openssl genrsa -out server.key 2048 4,生成服务器证书请求: openssl req -new -key server.key -out server.csr 5,把server.crt文件改名成newreq.pem,然后用CA来签证就可以了 mv server.csr newreq.pem ./CA –sign 6,把newcert.pem改名成server.pem mv newcert.pem server.pem 这就是server的证书。 7,重复3-6步,生成client的证书和私钥。 8,将server.key 和server.pem 和cacert.pem复制到FC1080,其中server.key和server.pem import到Local Certificates中,cacert.pem import到Trusted CA 中(只需导入证书部分,描述部分不用导入) 在Linux PC上,新建/var/cert 目录,将client.pem, client.key, cacert.pem复制到 /var/cert/目录下。 9,在Linux PC的/var/cert/目录下执行下列命令: ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0 这个命令是生成一个hash link,如果没有此hash link,后面将无法建立IPSec通道 至此两台主机的证书分发工作已经完成。下面开始配置setkey和racoon的工作。
HCMSR系列路由器IPsec典型配置举例V
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
ipsec-vpn配置实例
网络拓扑 环境:接口地址都已经配置完,路由也配置了,双方可以互相通信了 密钥认证的算法2种:md5和sha1 加密算法2种: des和3des IPsec传输模式3种: AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(s ha1验证) ESP加密参数:esp-des(des加密)、esp-3des(3des 加密)、esp-null(不对数据进行加密) ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-h mac(采用sha1验证) 1 启用IKE协商 routerA
routerA(config)#crypto isakmp policy 1 建立IKE协商策略(1是策略编号1-1000,号越小,优先级越高 routerA(config-isakmap)#hash md5 密钥认证的算法 routerA(config-isakmap)#authentication pre-sh are告诉路由使用预先共享的密钥 routerA(config)#crypto isakmp key 123456 addr ess 20.20.20.22 (123456是设置的共享密20.2 0.20.22是对端的IP地址)。 routerB routerB(config)#crypto isakmp policy 1 routerB(config-isakmap)#hash md5 routerB(config-isakmap)#authentication pre-sh are routerB(config)#crypto isakmp key 123456 addr ess 20.20.20.21 (路由B和A的配置除了这里的对端IP地址变成了20.20.20.21,其他都要一样的)。 2 配置IPSec相关参数 routerA
H3C IPSec基本原理及配置指导
IPSec基本原理及配置指导 一、IPSec描述: 1、IPSec在RFC2401中描述了IP得安全体系结构IPSec,以便保证在IP网络数据传输的安全性。 2、IPSec在IP层对IP报文提供安全服务。 3、IPSec并非单一协议,而是由一系列的安全开放标准构成。 4、IPSec实现于OSI参考模型的网络层,因此,上层的协议都可以得到IPSec 的保护。 5、IPSec是一个可扩展的体系,不受任何一种算法的局限,可以引入多种开放的验证算法。 6、IPSec的缺点是难部署,协议体系复杂,不支持组播,只能对点对点的数据进行保护,不利于语音视频实时性高的应用。 二、IPSec体系结构 1、IPSec使用两种安全协议来提供通信安全服务: i.AH(验证头):AH提供完整性保护和数据源验证以及可选的抗重播 服务,但是不能提供机密性保护。 ii.ESP(封装安全载荷):ESP可以提供AH的所有功能,而且还可以提供加密功能。 2、AH和ESP可以单独使用,也可以一起使用,从而提供额外的安全性。 3、安全协议AH和ESP都具有两种工作模式: i.传输模式:用于保护端到端的安全性。 ii.隧道模式:用于保护点到点的安全性。
4、IPSec通过两种途径获得密钥: i.手工配置:管理员预先手工配置,这种方法不便于随时更改,安全 性较低,不易维护。 ii.通过IKE协商,通信双方可以通过IKE动态生成并交换密钥,获得更高的安全性。 5、IPSec SA(安全联盟) i.SA提供IPSec数据流安全服务的基础概念。 ii.SA是通信双方就如何保证通信安全达成的一个协定。具体确定了对IP报文进行处理。 iii.SA是单向的,入站数据流和出站数据流分别由入站SA和出站SA 处理。 iv.一个SA由(SPI,IP目的地址,安全参数索引)构成。 v.SA可以手工配置,也可以通过IKE自动协商生成。 vi.SA的生存时间有“以时间进行限制”和“以流量进行限制”。 vii.IPSec把类似“对哪些数据提供哪些服务”这样的信息储存在SPD (安全策略数据库)中,而SPD中的项指向SAD(安全联盟数据库), 如果,一个需要加密的出站数据包,系统会将他与SPD进行比较, 如果匹配一项,系统会使用该项对应的SA以及算法进行对数据包的 加密。否则,需要新建一个SA。 6、IKE i.无论是AH还是ESP,在对一个IP包进行操作之前,首先必须要建 立一个IPSec SA,IPSec SA可以手工建立,也可以通过IKE协商建
H3C IPV6之ipsec(ike预共享)典型组网配置案例
组网说明: 本案例采用H3C HCL模拟器来模拟IPV6 IPSEC+IKE预共享密钥典型组网配置。为了保证数据传输安全,在R1与R2建立Ipsec vpn隧道。全网采用OSPFv3协议互通。 配置思路: 1、按照网络拓扑图正确配置IP地址。 2、R1与R2建立IPSEC VPN隧道 配置过程: 第一阶段调试(基础网络配置:) R1:
[R1-GigabitEthernet0/1]ospfv3 1 area 0 [R1-GigabitEthernet0/1]quit R2: