组网及说明
MSR 3600路由器采用4G双卡单待进行拨号,与天融信防火墙建立IPSec建立隧道,IPSec采用国密双认证(加密、签名)
告警信息
问题描述
配置步骤
1、 MSR路由器4 modom功能
a) 配置4G自动拨号
b) 配置双卡单待自动切换功能
2、 配置证书部分
a) MSR上创建pki域
b) 生成用于一阶段的身份认证、非对称的数字签名和验签、加密和解密的密钥对
c) 生成证书请求码
d) 申请证书
e) 导入证书
3、 配置IPSec
过程分析
无
解决方法
1、MSR路由器4 modem功能
1.1、4G模块配置
主卡配置
dialer-group 1 rule ip permit //创建拨号访问规则
apn-profile test //配置apn
apn static test@vpdn.h3c.com //apn设置内容由客户提供
authentication-mode pap user test password simple test //配置认证方式几用户名密码
controller Cellular 1/0:0 //进入cellular接口
eth-channel 0 //创建以太网接口通道
interface Eth-channel 1/0:0
dialer circular enable //开启共享DDR
dialer-group 1 //关联上面创建的dialer-group 1
dialer timer idle 0 //呼叫建立后,允许链路空闲的时间,0表示永不挂断
dialer timer autodial 5 // DDR自动拨号的间隔时间。
dialer number *99# autodial //移动联通用*99# ,电信用#777
ip address cellular-alloc //采用Modem私有协议获取ip地址
apn-profile apply test // 配置4G Modem参数模板
#
副卡配置同上配置,请设置不同apn、用户名密码、认证方式
1.2、配置SIM卡自动切换
配置NQA,探测对方已知地址。NQA测试组周期性地探测某个目的地址是否可达、是否可以与某个目的服务器建立TCP连接等。如果在Track项和NQA测试组之间建立了关联,则当连续探测失败的次数达到指定的阈值时,NQA将通知Track模块监测对象出现异常,Track模块将与NQA测试组关联的Track项的状态置为Negative;否则,NQA通知Track模块监测对象正常工作,Track模块将Track项的状态置为Positive。
nqa entry 1 1 //创建nqa测试组,测试组管理员1,测试操作标签1
type icmp-echo //类型为icmp-echo
destination ip 114.114.114.114 //探测报文目的地址为114
frequency 2000 //配置测试组测试时间间隔2000毫秒
probe timeout 2000 //探测超时时间
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only //创建监测探测持续时间的阈值告警组,当icmp报文探测失败达到5次,触发track联动
track 2 nqa entry 1 1 reaction 1 //创建与NQA测试组中指定联动项关联的Track项
ip route-static 0.0.0.0 0 Eth-channel1/0:0
ip route-static 0.0.0.0 0 Eth-channel1/1:0
controller Cellular1/0
eth-channel 0
sim backup enable track 2 (指定Track项的序号) //配置3G/4G链路备份与Track项联动
controller Cellular1/1
eth-channel 0
sim backup enable track 2
sim switch-back enable wait-time 5 //如果希望SIM 0作为主,当主恢复时进行回切可以配置这个,但是配置后会多1次震荡,所以建议设置时间间隔,避免链路质量不佳导致频繁震荡
nqa schedule 1 1 start-time now lifetime forever //配置测试组的启动时间和持续时间
2、配置证书
配置pki域
pki entity ph
common-name ph
pki domain ph
certificate request from ca
certificate request entity ph
public-key sm2 signature name sm2sig encryption name sm2enc
//这里生成的是名称为sm2z3 的通用秘钥对,用于加密和签名。可单独配置加密秘钥对和签名秘钥对。
undo crl check enable
public-key local create sm2 name sm2sig //生成签名密钥对
public-key local create sm2 name sm2enc //生成加密密钥对
pki request-certificate domain ph pkcs10
//生成申请码(2个码 签名和加密)
将2个申请码在ca服务器上生成2张本地证书
注意:格尔服务器生成的证书是base64编码,需要进行格式转换成der编码的才能导入msr2600交换机中,具体 转换方法见百度
pki import domain ph der ca filename rootcert.cer //先导根证书
pki import domain ph der ca filename sig.cer
pki import domain ph der ca filename enc.cer
3、配置IPSec
pki certificate access-control-policy trx
rule 1 permit trx
pki certificate attribute-group trx
attribute 1 subject-name dn ctn phqm //dn的内容需要问天融信(此处为必配项)
ipsec transform-set tran1
esp encryption-algorithm sm1-cbc-128
esp authentication-algorithm sm3
ipsec policy map1 10 isakmp
transform-set tran1
security acl 3001
local-address 166.63.8.1
remote-address 166.63.251.1
ike-profile profile1
ipsec policy map2 10 isakmp
transform-set tran1
security acl 3002
local-address 166.63.7.1
remote-address 166.63.251.1
ike-profile profile2
ike profile profile1
certificate domain ph
exchange-mode gm-main
local-identity address 166.63.8.1
match remote identity address 166.63.251.1 255.255.255.0
match remote certificate trx
ike proposal 1
ike profile profile2
certificate domain ph
exchange-mode gm-main
local-identity address 166.63.7.1
match remote identity address 166.63.251.1 255.255.255.0
match remote certificate trx
ike proposal 1
ike proposal 1
authentication-method sm2-de
encryption-algorithm sm1-cbc-128
authentication-algorithm sm3
天融信侧配置
问题记录
1、 插入SIC-4G-CNDE-SJK(国密+4G模块)未识别
解决办法:升级MSR路由器版本,或者对应的slot不支持SIC-4G-CNDE-SJK模块
2、 证书导入失败
解决办法:格尔服务器下发的证书格式为base64,进行格式转换der格式
3、 导入证书提示公钥不匹配
解决办法:没有创建本地密钥对
4、 导入证书提示失败
解决办法:路由器的时间不准确,路由器重启后时间会充值,建议设置ntp,重启后修改时间
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作