18-IPsec加密AC与AP间隧道典型配置举例

IPsec加密AC与AP间隧道典型配置举例
Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，
并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录
1 简介 (1)
2 配置前提 (1)
3 配置举例 (1)
3.1 组网需求 (1)
3.2 配置思路 (1)
3.3 配置注意事项 (1)
3.4 配置步骤 (2)
3.5 验证配置 (5)
3.6 配置文件 (5)
4 相关资料 (7)
1 简介
本文档介绍IPsec 加密AC 与AP 间隧道的典型配置举例。

2 配置前提
本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec 和WLAN 特性。

3 配置举例
3.1 组网需求
如图1所示组网，Client 和AP 通过DHCP 动态获取IP 地址，要求：配置IPsec 对AC 和AP 间的隧道进行加密保护。

图1 IPsec 加密AP 与AC 间隧道组网图
3.2 配置思路
•
为了配置AP 方的IPsec ，需要在AC 上通过AP 预配置的方式下发IPsec 配置到AP 设备。

•
为了及时检测IKE 对等体的存活状态，可以配置IKE DPD 功能。

•
为了使IPsec 生效，需要将IPsec 策略应用在AP 对应的VLAN 接口下。

• 为了避免IPsec 隧道一端安全网关出现问题时，造成IPsec 流量黑洞现象，需要配置IPsec 无效SPI 恢复功能。

3.3 配置注意事项
•
IKE peer 配置的对端地址必须包含AP 地址； •
AP 和AC 的配置的预共享密钥需要保持一致； • AC 上使用命令save wlan ap provision 保存AP 配置时，需要等待一段时间以保证AP 能够将下发的配置成功写入存储介质。

AC/DHCP server
Client
•对于不同的软件版本配置IPsec安全提议的命令略有差异，对于较低的软件版本，请使用ipsec proposal proposal-name，对于较高的软件版本，请使用ipsec transform-set
transform-set-name，本例使用较高软件版本配置和验证。

•配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4 配置步骤
(1) 配置AC的基本信息
# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan 100
[AC-Vlan-interface100] ip address 8.133.1.2 24
[AC-Vlan-interface100] quit
# 创建VLAN 200作为ESS接口的缺省VLAN和Client的业务VLAN，并配置VLAN 200接口的IP地址。

[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan 200
[AC-Vlan-interface200] ip address 8.133.2.2 24
[AC-Vlan-interface200] quit
# 配置DHCP地址池。

其中地址池vlan100给AP分配8.133.1.0/24网段地址，地址池vlan200给client分配8.133.2.0/24网段地址。

[AC] dhcp server ip-pool vlan100
[AC-dhcp-pool-vlan100] network 8.133.1.0 24
[AC-dhcp-pool-vlan100] quit
[AC] dhcp server ip-pool vlan200
[AC-dhcp-pool-vlan200] network 8.133.2.0 24
[AC-dhcp-pool-vlan200] quit
# 启用DHCP服务。

[AC] dhcp enable
(2) 配置无线服务
# 创建WLAN-ESS1接口。

[AC] interface wlan-ess 1
# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid
# 配置当前Hybrid端口的PVID为200，禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] undo port hybrid vlan 1
[AC-WLAN-ESS1] port hybrid pvid vlan 200
[AC-WLAN-ESS1] port hybrid vlan 200 untagged
[AC-WLAN-ESS1] quit
# 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear
# 配置当前服务模板的SSID为office。

[AC-wlan-st-1] ssid office
# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1
# 启用无线服务。

[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置射频接口并绑定服务模板
# 创建AP模板，名称为testap，型号名称选择WA2620-AGN，并配置序列号。

[AC] wlan ap testap model WA2620E-AGN
[AC-wlan-ap-testap] serial-id 21023529G007C000020
# 进入radio1射频视图。

[AC-wlan-ap-testap] radio 1
#设置radio1接口的信道为149。

[AC-wlan-ap-testap-radio-1] channel 149
# 在radio1下绑定服务模板1。

[AC-wlan-ap-testap-radio-1] service-template 1
# 开启radio 1。

[AC-wlan-ap-testap-radio-1] radio enable
[AC-wlan-ap-testap-radio-1] quit
[AC-wlan-ap-testap] quit
(4) 配置IPsec
# 配置IKE心跳报文发送间隔为20s，超时为60s。

[AC] ike sa keepalive-timer interval 20
[AC] ike sa keepalive-timer timeout 60
# 配置IPsec无效SPI恢复功能。

[AC] ipsec invalid-spi-recovery enable
# 配置IPsec安全提议的名称为tran1。

[AC] ipsec transform-set tran1
# 配置ESP协议采用的认证算法为SHA-1，加密算法为aes-cbc-128。

[AC-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[AC-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[AC-ipsec-transform-set-tran1] quit
# 创建IKE提议，并指定一个供IKE提议使用的加密算法为aes-cbs-128以及配置IKE阶段1密钥协商时所使用的DH密钥交换参数为dh group2。

[AC] ike proposal 1
[AC-ike-proposal-1] encryption-algorithm aes-cbc 128
[AC-ike-proposal-1] dh group2
[AC-ike-proposal-1] quit
# 创建IKE DPD，并采用其默认配置。

[AC] ike dpd dpd
[AC-ike-dpd-dpd] quit
# 创建IKE对等体peer1。

[AC] ike peer peer1
# 应用DPD。

[AC-ike-peer-peer1] dpd dpd
# 应用proposal。

[AC-ike-peer-peer1] proposal 1
# 配置预共享密钥为123456。

[AC-ike-peer-peer1] pre-shared-key simple 123456
# 配置对端安全网关IP地址为8.133.1.0~8.133.1.255。

[AC-ike-peer-peer1] remote-address 8.133.1.0 8.133.1.255
[AC-ike-peer-peer1] quit
# 创建IPsec策略模板pt。

[AC] ipsec policy-template pt 1
# 配置IPsec安全策略引用名字为tran1的IPsec安全提议。

[AC-ipsec-policy-template-pt-1] transform-set tran1
# 配置在IPsec安全策略中引用名字为peer1的IKE对等体。

[AC-ipsec-policy-template-pt-1] ike-peer peer1
[AC-ipsec-policy-template-pt-1] quit
# 引用策略模板pt创建名字为map，顺序号为1的一条IPsec安全策略。

[AC] ipsec policy map 1 isakmp template pt
# 在VLAN 100接口上应用名为map的IPsec策略。

[AC] interface vlan-interface 100
[AC-Vlan-interface100] ipsec policy map
[AC-Vlan-interface100] quit
(5) 通过AP预配置功能下发IPsec的配置
# 进入AP预配置视图。

[AC] wlan ap testap
[AC-wlan-ap-testap] provision
# 以明文方式配置AP使用IPsec加密控制隧道。

[AC-wlan-ap-testap-prvs] tunnel encryption ipsec pre-shared-key simple 123456 # 配置AP使用IPsec密钥加密数据隧道。

[AC-wlan-ap-testap-prvs] data-tunnel encryption enable
# 将AP预配置信息保存到testap的私有配置文件中。

[AC-wlan-ap-testap-prvs] save wlan ap provision name testap
[AC-wlan-ap-testap-prvs] return
# 重启AP之后，AP会采用IPsec加密上线。

<AC> reset wlan ap name testap
This command will reset all master connection AP's.
Do you want to continue [Y/N]:y
3.5 验证配置
# 使用命令display ipsec sa brief可查看存在的IPsec sa。

[AC] display ipsec sa brief
total phase-2 SAs: 4
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------------
8.133.1.2 8.133.0.2 3534306385 ESP E:DES
A:HMAC-SHA1-96
8.133.1.2 8.133.0.2 2343364398 ESP E:DES
A:HMAC-SHA1-96
8.133.0.2 8.133.1.2 1289347059 ESP E:DES
A:HMAC-SHA1-96
8.133.0.2 8.133.1.2 1098232824 ESP E:DES
A:HMAC-SHA1-96
# 使用命令display wlan client查看无线客户端可以正常上线。

[AC] display wlan client
Total Number of Clients : 1
Client Information
SSID: office
-------------------------------------------------------------------------------- MAC Address User Name APID/RID IP Address VLAN
-------------------------------------------------------------------------------- 0022-3f90-938e -NA- 1 /1 0.0.0.0 200
3.6 配置文件
#
ike sa keepalive-timer interval 20
ike sa keepalive-timer timeout 60
#
ipsec invalid-spi-recovery enable
#
vlan 100
#
vlan 200
#
ike proposal 1
encryption-algorithm aes-cbc 128
dh group2
#
ike dpd dpd
#
ike peer peer1
proposal 1
pre-shared-key cipher $c$3$MiYotExKrcBnqhWvmo7aZ55fIw0deYMvtg==
remote-address 8.133.0.0 8.133.255.255
ipsec transform-set tran1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-128
#
ipsec policy-template pt 1
ike-peer peer1
transform-set tran1
#
ipsec policy map 1 isakmp template pt
#
dhcp server ip-pool vlan100
network 8.133.1.0 mask 255.255.255.0
#
dhcp server ip-pool vlan200
network 8.133.2.0 mask 255.255.255.0
#
wlan service-template 1 clear
ssid office
bind WLAN-ESS 1
service-template enable
#
interface Vlan-interface100
ip address 8.133.1.2 255.255.255.0
ipsec policy map
#
interface Vlan-interface200
ip address 8.133.2.254 255.255.255.0
#
interface WLAN-ESS1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 200 untagged
port hybrid pvid vlan 200
#
wlan ap testap model WA2620E-AGN id 1
serial-id 21023529G007C000020
provision
vlan untagged 1
tunnel encryption ipsec pre-shared-key cipher xz8n+yXxN+I= data-tunnel encryption enable
radio 1
channel 149
service-template 1
radio enable
dhcp enable
#
4 相关资料
•《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”。

•《H3C WX系列无线控制器产品配置指导》“WLAN命令参考”。

•《H3C WX系列无线控制器产品配置指导》“安全配置指导”。

•《H3C WX系列无线控制器产品配置指导》“安全命令参考”。