您的位置:360文档中心› CMSR系列路由器IPsec典型配置举例V

CMSR系列路由器IPsec典型配置举例V

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

C M S R系列路由器I P s e c典型配置举例V

文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]

1?简介

本文档介绍IPsec的典型配置举例。

2?配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1?组网需求

如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:

通过L2TP隧道访问Corporate network。

用IPsec对L2TP隧道进行数据加密。

采用RSA证书认证方式建立IPsec隧道。

图1基于证书认证的L2TP over IPsec配置组网图

3.2?配置思路

由于使用证书认证方式建立IPsec隧道,所以需要在ike profile

中配置local-identity为dn,指定从本端证书中的主题字段取得

本端身份。

3.3?使用版本

本举例是在R0106版本上进行配置和验证的。

3.4?配置步骤

3.4.1?Device的配置

(1)配置各接口IP地址

#配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] quit

#配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] quit

#配置接口GigabitEthernet2/0/3的IP地址。

[Device] interface gigabitethernet 2/0/3

[Device-GigabitEthernet2/0/3] quit

(2)配置L2TP

#创建本地PPP用户l2tpuser,设置密码为hello。

[Device] local-user l2tpuser class network

[Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp

[Device-luser-network-l2tpuser] quit

#配置ISP域system对PPP用户采用本地验证。

[Device] domain system

[Device-isp-system] authentication ppp local

[Device-isp-system] quit

#启用L2TP服务。

[Device] l2tp enable

#创建接口Virtual-Template0,配置接口的IP地址为。[Device] interface virtual-template 0

#配置PPP认证方式为PAP。

[Device-Virtual-Template0] ppp authentication-mode pap #配置为PPP用户分配的IP地址为。

[Device-Virtual-Template0] quit

#创建LNS模式的L2TP组1。

[Device] l2tp-group 1 mode lns

#配置LNS侧本端名称为lns。

[Device-l2tp1] tunnel name lns

#关闭L2TP隧道验证功能。

[Device-l2tp1] undo tunnel authentication

#指定接收呼叫的虚拟模板接口为VT0。

[Device-l2tp1] allow l2tp virtual-template 0

[Device-l2tp1] quit

(3)配置PKI证书

#配置PKI实体security。

[Device] pki entity security

[Device-pki-entity-security] common-name device

[Device-pki-entity-security] quit

#新建PKI域。

[Device] pki domain headgate

[Device-pki-domain-headgate] ca identifier LYQ

[Device-pki-domain-headgate] certificate request from ra [Device-pki-domain-headgate] certificate request entity security

[Device-pki-domain-headgate] undo crl check enable

[Device-pki-domain-headgate]public-key rsa general name abc length 1024

[Device-pki-domain-headgate] quit

#生成RSA算法的本地密钥对。

[Device] public-key local create rsa name abc

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys... ..........................++++++

.++++++

相关文档
最新文档