本案例适用于 Comware V7 平台的 MSR830-WiNet 系列路由器,如 MSR830-10BEI-WiNet 、MSR830-6EI-WiNet 、MSR830-5BEI-WiNet 、MSR830-6BHI-WiNet 、MSR830-10BHI-WiNet 等
在手机和Device之间建立一个IPsec隧道,对手机和Device之间的数据流进行安全保护。具体要求如下:
· 封装形式为隧道模式。
· 安全协议采用ESP协议。
·
· Device对手机进行IKE扩展认证方法为不认证,Device为手机分配IPv4地址
2 组网图
1.1 路由器侧配置
(1) 配置接口的IP地址。
<Router> system-view
[Router] interface GigabitEthernet0/1
[Router-GigabitEthernet0/1] ip address 192.168.124.10 255.255.255.0
[Router-GigabitEthernet0/1] quit
(2)
# 创建一个名称为test的ISP域,并进入其视图
[Router] domain test
# 设置当前ISP域下的用户授权属性,指定为用户分配IPv4地址的地址池
[Router-isp-test] authorization-attribute ip-pool 1
# 为IKE扩展认证配置认证方法为none
[Router-isp-test] authentication ike none
[Router-isp-test]quit
(3) 配置本地用户
# 创建本地用户ikev2,用户类型为网络接入类。
[Router] local-user ikev2 class network
# 配置本地用户ikev2的服务类型为ike,授权地址池的名称为pool。
[Router-luser-network-ikev2] service-type ike
# 指定本地用户ikev2的授权用户角色为network-operator
[Router-luser-network-ikev2] authorization-attribute user-role network-operator
# 指定为本地用户ikev2分配IPv4地址的地址池
[Router-luser-network-ikev2] authorization-attribute ip-pool 1
[Router-luser-network-ikev2] quit
(4) 配置IPsec安全提议
# 配置安全提议1。
[Router] ipsec transform-set 1
# 配置安全协议对IP报文的封装形式为隧道模式。
[Router-ipsec-transform-set-1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Router-ipsec-transform-set-1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[Router-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128
[Router-ipsec-transform-set-1] esp authentication-algorithm sha1
[Router-ipsec-transform-set-1] quit
# 配置安全提议2。
[Router] ipsec transform-set 2
# 配置安全协议对IP报文的封装形式为隧道模式。
[Router-ipsec-transform-set-2] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Router-ipsec-transform-set-2] protocol esp
# 配置ESP协议采用的加密算法为3DES,认证算法为HMAC-SHA1。
[Router-ipsec-transform-set-2] esp encryption-algorithm 3des-cbc
[Router-ipsec-transform-set-2] esp authentication-algorithm sha1
[Router-ipsec-transform-set-2] quit
# 配置安全提议3。
[Router] ipsec transform-set 3
# 配置安全协议对IP报文的封装形式为隧道模式。
[Router-ipsec-transform-set-3] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[Router-ipsec-transform-set-3] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA384。
[Router-ipsec-transform-set-3] esp encryption-algorithm aes-cbc-128
[Router-ipsec-transform-set-3] esp authentication-algorithm sha384
[Router-ipsec-transform-set-3] quit
(5) 配置为对端分配IPv4地址的IKEv2本地IPv4地址池
# 配置IKEv2本地IPv4地址池,名称为1,地址池范围为36.1.1.2~36.1.1.10,掩码为255.255.255.255。
[Router] ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255
(6) 配置IKEv2 keychain,约定通信双方使用的密钥信息
# 创建IKEv2 keychain,名称为1。
[Router] ikev2 keychain 1
# 创建IKEv2对端,名称为peer1。
[Router-ikev2-keychain-1] peer 1
# 指定对端1的主机地址为0.0.0.0/0。
[Router-ikev2-keychain-keychain1-peer-1] address 0.0.0.0 0.0.0.0
# 配置对端1使用的预共享密钥为明文123456。
[Router-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123456
[Router-ikev2-keychain-keychain1-peer-peer1] quit
[Router-ikev2-keychain-keychain1] quit
(7) 配置IKEv2 profile,约定建立IKE SA所需的安全参数
# 创建IKEv2 profile,名称为1。
[Router] ikev2 profile 1
# 指定本端的身份认证方式为预共享密钥。
[Router-ikev2-profile-1] authentication-method local pre-share
# 指定对端的身份认证方式为预共享密钥。
[Router-ikev2-profile-1] authentication-method remote pre-share
# 指定引用的IKEv2 keychain为1。
[Router-ikev2-profile-1] keychain 1
# 配置对客户端的AAA授权ISP域为test,用户名为ikev2。
[Router-ikev2-profile-1] aaa authorization domain test username ikev2
# 配置匹配对端身份的规则为IP地址0.0.0.0/0。
[Router-ikev2-profile-1] match remote identity address 0.0.0.0 0.0.0.0
# 配置匹配对端身份的规则为FQDN名test。
[Router-ikev2-profile-1] match remote identity fqdn test
[Router-ikev2-profile-1] quit
(8)
# 创建IKEv2提议10。
[Router] ikev2 proposal 10
# 指定IKEv2提议使用的完整性校验算法为HMAC-SHA384、HMAC-SHA1。
[Router-ikev2-proposal-10] integrity sha384 sha1
# 指定IKEv2提议使用的加密算法为128比特的AES、3DES。
[Router-ikev2-proposal-10] encryption aes-cbc-128 3des-cbc
# 指定IKEv2提议使用的DH group为group14、group2、group5。
[Router-ikev2-proposal-10] dh group14 group5 group2
# 指定IKEv2提议使用的PRF算法为HMAC-SHA384、HMAC-SHA1。
[Router-ikev2-proposal-10] prf sha384 sha1
[Router-ikev2-proposal-10] quit
(9) 配置IKEv2安全策略,用于协商IKEv2 SA
# 创建IKEv2安全策略10。
[Router] ikev2 policy 10
# 指定引用的IKEv2 proposal 10。
[Router-ikev2-policy-10] proposal 10
[Router-ikev2-policy-10] quit
(10) 配置IPsec安全策略模板
# 创建并配置名为t,顺序号为10的IPsec安全策略模板,引用安全提议1、安全提议2、安全提议3
[Router] ipsec policy-template t 10
[Router-ipsec-policy-template-t-10] transform-set 1 2 3
# 指定引用的IKEv2 profile为1
[Router-ipsec-policy-template-t-10] ikev2-profile 1
# 开启IPsec反向路由注入功能
[Router-ipsec-policy-template-t-10] reverse-route dynamic
[Router-ipsec-policy-template-t-10] quit
(11) 配置IKE协商方式的IPsec安全策略
# 创建并配置名为1的IPsec安全策略,基于安全策略模板t创建
[Router] ipsec policy 1 10 isakmp template t
(12)
[Router] interface GigabitEthernet0/1
[Router-GigabitEthernet0/1] ipsec apply policy 1
[Router-GigabitEthernet0/1] quit
(13)
[Router] ip route-static 0.0.0.0 0 192.168.200.1
(1) 进入手机设置界面,点击<VPN>进入[VPN]界面。
(2) 在VPN管理界面点击<添加VPN配置…>进入[添加配置]界面。
(3) 在[添加配置]界面,进行如下具体配置:
¡
¡
¡
¡
¡
¡
¡
3.2.2验证配置
以上配置完成后,手机和Device之间即可建立IKEv2方式的IPsec隧道。
# 在手机[VPN]界面,选择VPN test进行连接,可查看到VPN状态变为绿色的“已连接”,表示手机已连接到Device,点击图标可查看VPN连接详情。
# VPN详情界面,可查看到显示手机已连接到Device,并获取到IPv4地址为36.1.1.2。
无
h3c msr3610的路由器,由于手机系统软件升级,vpn连接方式只有以下三种方式ikev2/ipsec psk、ikev2/ipsec mschapv2、ikev2/ipsec rsa,想请教这个路由器是否支持基于ikev2的vpn服务端?
(0)
按照上面的教程配置了,手机用IKEV2/IPSEC PSK IKEV2/IPSEC MSCHAPV2都连接不成功,手机一直提示正在连接。。。。不安全
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作