MSR（V7）系列路由器手机与网关之间通过IKEv2方式保护IPv4报文典型配置

1 配置需求或说明

1.1        适用产品系列

本案例适用于 Comware V7 平台的 MSR830-WiNet 系列路由器，如 MSR830-10BEI-WiNet 、MSR830-6EI-WiNet 、MSR830-5BEI-WiNet 、MSR830-6BHI-WiNet 、MSR830-10BHI-WiNet 等

1.2        配置需求及实现的效果

在手机和Device之间建立一个IPsec隧道，对手机和Device之间的数据流进行安全保护。具体要求如下：

·           封装形式为隧道模式。

·           安全协议采用ESP协议。

·           手机和Device之间采用IKEv2协商方式建立IPsec SA。

·           Device对手机进行IKE扩展认证方法为不认证，Device为手机分配IPv4地址

2          组网图

1配置步骤

1.1        路由器侧配置

(1)       配置接口的IP地址。

<Router> system-view

[Router] interface GigabitEthernet0/1

[Router-GigabitEthernet0/1] ip address 192.168.124.10 255.255.255.0

[Router-GigabitEthernet0/1] quit

(2)       配置ISP域。

# 创建一个名称为test的ISP域，并进入其视图

[Router] domain test

# 设置当前ISP域下的用户授权属性，指定为用户分配IPv4地址的地址池

[Router-isp-test] authorization-attribute ip-pool 1

# 为IKE扩展认证配置认证方法为none

[Router-isp-test] authentication ike none

[Router-isp-test]quit

(3)       配置本地用户

# 创建本地用户ikev2，用户类型为网络接入类。

[Router] local-user ikev2 class network

# 配置本地用户ikev2的服务类型为ike，授权地址池的名称为pool。

[Router-luser-network-ikev2] service-type ike

# 指定本地用户ikev2的授权用户角色为network-operator

[Router-luser-network-ikev2] authorization-attribute user-role network-operator

# 指定为本地用户ikev2分配IPv4地址的地址池

[Router-luser-network-ikev2] authorization-attribute ip-pool 1

[Router-luser-network-ikev2] quit

(4)       配置IPsec安全提议

# 配置安全提议1。

[Router] ipsec transform-set 1

# 配置安全协议对IP报文的封装形式为隧道模式。

[Router-ipsec-transform-set-1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Router-ipsec-transform-set-1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES，认证算法为HMAC-SHA1。

[Router-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128

[Router-ipsec-transform-set-1] esp authentication-algorithm sha1

[Router-ipsec-transform-set-1] quit

# 配置安全提议2。

[Router] ipsec transform-set 2

# 配置安全协议对IP报文的封装形式为隧道模式。

[Router-ipsec-transform-set-2] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Router-ipsec-transform-set-2] protocol esp

# 配置ESP协议采用的加密算法为3DES，认证算法为HMAC-SHA1。

[Router-ipsec-transform-set-2] esp encryption-algorithm 3des-cbc

[Router-ipsec-transform-set-2] esp authentication-algorithm sha1

[Router-ipsec-transform-set-2] quit

# 配置安全提议3。

[Router] ipsec transform-set 3

# 配置安全协议对IP报文的封装形式为隧道模式。

[Router-ipsec-transform-set-3] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[Router-ipsec-transform-set-3] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES，认证算法为HMAC-SHA384。

[Router-ipsec-transform-set-3] esp encryption-algorithm aes-cbc-128

[Router-ipsec-transform-set-3] esp authentication-algorithm sha384

[Router-ipsec-transform-set-3] quit

(5)       配置为对端分配IPv4地址的IKEv2本地IPv4地址池

# 配置IKEv2本地IPv4地址池，名称为1，地址池范围为36.1.1.2～36.1.1.10，掩码为255.255.255.255。

[Router] ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255

(6)       配置IKEv2 keychain，约定通信双方使用的密钥信息

# 创建IKEv2 keychain，名称为1。

[Router] ikev2 keychain 1

# 创建IKEv2对端，名称为peer1。

[Router-ikev2-keychain-1] peer 1

# 指定对端1的主机地址为0.0.0.0/0。

[Router-ikev2-keychain-keychain1-peer-1] address 0.0.0.0 0.0.0.0

# 配置对端1使用的预共享密钥为明文123456。

[Router-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123456

[Router-ikev2-keychain-keychain1-peer-peer1] quit

[Router-ikev2-keychain-keychain1] quit

(7)       配置IKEv2 profile，约定建立IKE SA所需的安全参数

# 创建IKEv2 profile，名称为1。

[Router] ikev2 profile 1

# 指定本端的身份认证方式为预共享密钥。

[Router-ikev2-profile-1] authentication-method local pre-share

# 指定对端的身份认证方式为预共享密钥。

[Router-ikev2-profile-1] authentication-method remote pre-share

# 指定引用的IKEv2 keychain为1。

[Router-ikev2-profile-1] keychain 1

# 配置对客户端的AAA授权ISP域为test，用户名为ikev2。

[Router-ikev2-profile-1] aaa authorization domain test username ikev2

# 配置匹配对端身份的规则为IP地址0.0.0.0/0。

[Router-ikev2-profile-1] match remote identity address 0.0.0.0 0.0.0.0

# 配置匹配对端身份的规则为FQDN名test。

[Router-ikev2-profile-1] match remote identity fqdn test

[Router-ikev2-profile-1] quit

(8)       配置IKEv2提议，定义双方进行IKE协商所需的安全参数

# 创建IKEv2提议10。

[Router] ikev2 proposal 10

# 指定IKEv2提议使用的完整性校验算法为HMAC-SHA384、HMAC-SHA1。

[Router-ikev2-proposal-10] integrity sha384 sha1

# 指定IKEv2提议使用的加密算法为128比特的AES、3DES。

[Router-ikev2-proposal-10] encryption aes-cbc-128 3des-cbc

# 指定IKEv2提议使用的DH group为group14、group2、group5。

[Router-ikev2-proposal-10] dh group14 group5 group2

# 指定IKEv2提议使用的PRF算法为HMAC-SHA384、HMAC-SHA1。

[Router-ikev2-proposal-10] prf sha384 sha1

[Router-ikev2-proposal-10] quit

(9)       配置IKEv2安全策略，用于协商IKEv2 SA

# 创建IKEv2安全策略10。

[Router] ikev2 policy 10

# 指定引用的IKEv2 proposal 10。

[Router-ikev2-policy-10] proposal 10

[Router-ikev2-policy-10] quit

(10)    配置IPsec安全策略模板

# 创建并配置名为t，顺序号为10的IPsec安全策略模板，引用安全提议1、安全提议2、安全提议3

[Router] ipsec policy-template t 10

[Router-ipsec-policy-template-t-10] transform-set 1 2 3

# 指定引用的IKEv2 profile为1

[Router-ipsec-policy-template-t-10] ikev2-profile 1

# 开启IPsec反向路由注入功能

[Router-ipsec-policy-template-t-10] reverse-route dynamic

[Router-ipsec-policy-template-t-10] quit

(11)    配置IKE协商方式的IPsec安全策略

# 创建并配置名为1的IPsec安全策略，基于安全策略模板t创建

[Router] ipsec policy 1 10 isakmp template t

(12)    在接口上应用IPsec安全策略1，对接口上的流量进行保护

[Router] interface GigabitEthernet0/1

[Router-GigabitEthernet0/1] ipsec apply policy 1

[Router-GigabitEthernet0/1] quit

(13)    # 配置到网关的静态路由，实际请以具体组网情况为准，本例中为192.168.200.1。

[Router] ip route-static 0.0.0.0 0 192.168.200.1

1.2      手机侧配置

3.2.1配置手机

(1) 进入手机设置界面，点击<VPN>进入[VPN]界面。

(2) 在VPN管理界面点击<添加VPN配置…>进入[添加配置]界面。

(3) 在[添加配置]界面，进行如下具体配置：

¡  类型：选择VPN类型为“IKEv2”

¡  描述：输入VPN的描述信息，本次配置以“test”为例。

¡  服务器：输入192.168.124.10

¡  远程ID：输入192.168.124.10

¡  用户鉴定：选择“无”

¡  使用证书：手动关闭

¡  点击<完成>，完成VPN添加配置并保存退出

3.2.2验证配置

以上配置完成后，手机和Device之间即可建立IKEv2方式的IPsec隧道。

# 在手机[VPN]界面，选择VPN test进行连接，可查看到VPN状态变为绿色的“已连接”，表示手机已连接到Device，点击图标可查看VPN连接详情。

# VPN详情界面，可查看到显示手机已连接到Device，并获取到IPv4地址为36.1.1.2。

无