SR66系列路由器与iNode使用证书认证方式L2TP Over IPSec互通功能的配置

移动用户通过iNode智能客户端通过L2TP拨号接入LNS以访问总部内网，在PC和LNS之间交互的数据通过IPsec加密后传输。

证书来源：设备端通过手工配置获取CA证书与本地证书；PC端使用USBKEY作为证书。

设备清单：SR66系列路由器1台；PC 1台。

1、设备侧配置：

#

sysname LNS

#

l2tp enable       //使能L2TP

#

ike local-name lns          //设置本端IKE名字

#

domain system      //建立域，并配置IP pool

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 ip pool 1 11.1.1.1 11.1.1.23  

#

pki entity aaa      //配置PKI实体名称，并进入该实体视图

 common-name h3c    //配置实体的通用名

#

pki domain aaa       //创建一个PKI域，并进入PKI域视图

certificate request entity aaa    // 指定实体名称

 crl check disable     //不开启CRL校验

#

ike proposal 1       //配置IKE提议，并进入IKE提议视图

 authentication-method rsa-signature  //配置IKE提议所使用的验证算法

#

ike peer pc     //设置IKE邻居

 exchange-mode aggressive       //采用野蛮模式

 id-type name        //采用名字方式识别

 remote-name h3c       //设置IKE PEER的名字

 nat traversal       //开启NAT穿越功能

 certificate domain aaa   //配置采用数字签名验证时证书所属的PKI域

#

ipsec proposal 1      //配置IPSec提议

#

ipsec policy-template temp 1  //建立IPsec虚模板（也可使用ACL代替）

ike-peer pc

 proposal 1    

#

ipsec policy pc 10 isakmp template temp//将IPsec Policy与虚模板绑定

#

local-user usera         //创建本地用户usera

 password simple usera

 service-type ppp

#

l2tp-group 1                 //创建L2TP组

 allow l2tp virtual-template 0

 tunnel password simple tunnel   //配置隧道验证密码

 tunnel name h3c      //配置隧道名

#

interface Virtual-Template0        //创建L2TP虚模板

 ppp authentication-mode chap        //采用CHAP的域认证方式

 ppp chap user usera

 remote address pool 1                     //设置地址池

 ip address 11.1.1.111 255.255.255.0

#

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

 ipsec policy pc                //在接口G0/0应用IPSec Policy

#

2、在设备端手工配置获取CA证书、获取本地证书、生成密钥对。

（1）使用FTP方式将CA证书文件及本地证书文件导入设备的CF卡中，方法略。

    本例中CA证书文件名为hzcaroot.cer，本地证书文件名为vpn.pfx，导入完毕后，敲入如下命令：

cd cfa0:

dir

可以看到证书已经导入到CF卡中。

（2）生成本地RSA或ECDSA密钥对：

配置命令：   [H3C]public-key local create {ecdsa|rsa}

本例中配置：   [H3C]public-key local create rsa

公钥长度可在512-2048选择，默认为1024

输入1024，回车后，生成RSA密钥对成功。

（3）获取CA证书及本地证书：

配置命令：    

[H3C]pki import-certificate {ca|local|peer-entity entity-name}domain domain-name {der|p12|pem}[filename filename]

本例中配置：

[H3C]pki import-certificate ca domain aaa pem filename hzcaroot.cer

（获取根证书，应在本地证书之前获取）

[H3C]pki import-certificate local domain aaa p12 filename vpn.pfx    （获取本地证书）

在Please input challenge password的提示语后，输入本地证书PIN码。

这样CA证书与本地证书即导入成功。

        3、  PC端设置。

（1）    将网线一端与路由器的G0/0口相连，另一端与主机的网卡相连。

（2）    插入USBKEY，安装根证书及其驱动。

（3）    进行IP地址的配置，如下图所示：

4、iNode智能客户端设置。

（1）    打开iNode智能客户端，点击左上角“新建”图标，弹出窗口如下：

(2) 选择“有线网络”，点击“下一步”，弹出窗口如下：

(3)选择“L2TP IPsec VPN协议”，点击“下一步”，弹出窗口如下：

(4) 选择“普通连接”，点击“下一步”，弹出窗口如下：

(5）    “连接名”可任意输入，本例为“VPN连接”；本例中“登陆用户名”为“usera”，“登陆密码”为“usera”。点击“下一步”，弹出窗口如下：

（6）    “LNS服务器”设为路由器的G0/0接口地址10.1.1.1；在“启用IPSec安全协议”的选项上打勾，并将验证方法设为“证书”。点击“高级”，弹出窗口如下：

上图中，将“隧道名称”设为“h3c”，将“选择认证模式”设为“CHAP”，勾选“使用隧道

验证密码”选项，将隧道验证密码设为“tunnel”。

上图中，勾选“使用NAT穿越”选项，其它选项按设备端配置来选择。本例中“ESP协议验证算法”为“MD5”，“ESP协议加密算法”为“DES”。

上图中，配置“本段安全网关名字”为“h3c”，“对端安全网关设备名字”为“lns”，其它选项按设备端配置来选择。本例中“验证算法”为“SHA”，“加密算法”为“DES-CBC”。

5、拨号操作：

在iNode主界面上双击“VPN连接”，弹出窗口如下：

点击“连接”，弹出窗口如下：

选择证书“华3测试201210…”，点击“确定”。

首次连接成功如下图所示：

1、首次连接时，会弹出对话框提示输入USBKEY的PIN码，以后只要不将USBKEY拔出，则再次连接不需要输入PIN码。

2、在配置获取本地证书时，可能会碰到以下情况：

此时应进行如下配置：

在用户模式下使用dir命令查看CF卡中文件，发现多了一个hostkey文件：

使用detele /unreserved hostkey命令，将其删除。

此时即可重新配置获取本地证书。