知

MSR产品3G接口使用IPsec国密卡加密采用RSA方式的配置

其他

2013-07-29 发表

0关注
0收藏 1524浏览

纪合宝

纪合宝五段

粉丝：5人关注：3人

MSR产品3G接口使用IPsec国密卡加密采用RSA方式的配置

一、 组网需求：

用IPsec国密卡加密3G接口的数据流量，IPsec国密卡加密使用RSA方式。

二、 组网图：

三、 配置步骤：

适用设备和版本：MSR系列、2314及以后版本。

1.     路由器1配置概要说明：

#

ike local-name ra

//使能ike oscca-main-mode enable 保证ike协商使用国密卡的算法

ike oscca-main-mode enable

#

dns resolve        //配置本地DNS解析与DNS代理功能

dns proxy enable

#

acl number 3000      //配置acl 3000

rule 0 permit ip

#

//RSA相关配置显示，具体配置请参考“RSA配置步骤说明”部分

public-key peer 60.191.123.86

public-key-code begin

   30819F300D06092A864886F70D010101050003818D0030818902818100BEB94574FEED4589

   0A03E20D973A6A74F1B157A87B920B4B097E0410DB956E06CF6535B25AD5AC84DD73340261

   80C9FAAE3FDD0F58E648BC08C4BA18AE5770F57E461DC9D0DC5AC5C94C9C9D4EA7520F21D4

   B8EBD7D10EA7B63C9E0AE7C43EE91E6A21524EE86EC3384CDCD41CD020FB91EAD39CD2D347

   E2E8E00E32F64FA5D10203010001

public-key-code end

peer-public-key end

#

ike proposal 1        //配置ike proposal

authentication-method oscca-rsa

encryption-algorithm sm1-cbc-128

authentication-algorithm sm3

#

ike peer 1     //配置ike对等体

proposal 1

remote-name rb

remote-address 60.191.123.86

#

ipsec transform-set 1       //配置安全提议

encapsulation-mode tunnel

transform esp

esp authentication-algorithm sm3

esp encryption-algorithm sm1-cbc-128

#

ipsec policy 1 1 isakmp      //配置IPsec安全策略

security acl 3000

ike-peer 1

transform-set 1

#

//配置Cellular接口的公共属性与3G相关配置

interface Cellular2/0

async mode protocol

link-protocol ppp

ppp chap user card

ppp chap password cipher $c$3$nX7WRahR3o7UX7mA7wLOAhVBevZhUF4=

ppp pap local-user card password cipher $c$3$77lSoQFVYY5poPShWaUG5FfLrY43BPE=

ppp ipcp dns admit-any

ppp ipcp dns request

ip address ppp-negotiate

dialer enable-circular

dialer-group 1

dialer timer autodial 1

dialer number *99#

pin verify cipher $c$3$X88QTsn7MOrxJr0Q4LiWp4IksgAsrmU=

ipsec policy 1     //在相应接口上配置ipsec policy

#

ip route-static 0.0.0.0 0.0.0.0 Cellular2/0     //配置默认路由

#

dialer-rule 1 ip permit     //配置感兴趣流量

#

//先通过命令display user-interface查看Cellular接口所对应的tty编号, 然后进入对应的tty视图，更改modem方式

user-interface tty 12

modem both

#

2．路由器2配置概要说明：

#

ike local-name rb

//使能ike oscca-main-mode enable 保证ike协商使用国密卡的算法

ike oscca-main-mode enable

#

dns proxy enable

#

acl number 3000    //配置ACL 3000

rule 0 permit ip



#

//RSA配置显示，具体配置步骤可参考“ RSA配置步骤说明”



public-key peer 115.170.3.106

public-key-code begin

   30819F300D06092A864886F70D010101050003818D0030818902818100EBE0DD4DC7588D25

   1C75651B20B76AD955EB60C15EE63FE024FD10D032A7498BD76EACF225F0C8477745833089

   6A5D61989BE19A067E9A4B5A339731DAB4D13A9CF5AB2C276C9E966F46C2426FE2A3BCA5D8

   5C74E6D31BCAD8016FF33F0A6451D8DA84C477F17DD733AC0DAE69DA9BCDFB9DAC4A3F5429

   47E1B14AC49E5CDA270203010001

public-key-code end

peer-public-key end

#

ike proposal 1      //配置 ike proposal

authentication-method oscca-rsa

encryption-algorithm sm1-cbc-128

authentication-algorithm sm3

#

ike peer 1        //配置ike对等体

proposal 1

remote-name ra

remote-address 115.170.3.106

#

ipsec transform-set 1          //配置安全提议

encapsulation-mode tunnel

transform esp

esp authentication-algorithm sm3

esp encryption-algorithm sm1-cbc-128

#

ipsec policy 1 1 isakmp      //配置IPsec安全策略

security acl 3000

ike-peer 1

transform-set 1

#

interface GigabitEthernet0/0

port link-mode route

ip address 60.191.123.86 255.255.255.0

ipsec policy 1      //相应接口下发ipsec policy

#

ip route-static 0.0.0.0 0.0.0.0 60.191.123.1     //配置默认路由

#

3.    RSA配置步骤说明，以路由器1为例

配置本地非对称密钥对

[MSR]public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++++

+++++

++++++++++++++

++++++++++++

// 显示本地非对称密钥对

[MSR]display public-key local rsa public



=====================================================

Time of Key pair created: 00:39:32 2012/01/01

Key name: HOST_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

30819F300D06092A864886F70D010101050003818D0030818902818100EBE0DD4DC7588D251C7565

1B20B76AD955EB60C15EE63FE024FD10D032A7498BD76EACF225F0C84777458330896A5D61989BE1

9A067E9A4B5A339731DAB4D13A9CF5AB2C276C9E966F46C2426FE2A3BCA5D85C74E6D31BCAD8016F

F33F0A6451D8DA84C477F17DD733AC0DAE69DA9BCDFB9DAC4A3F542947E1B14AC49E5CDA27020301

0001



=====================================================

Time of Key pair created: 00:39:34 2012/01/01

Key name: SERVER_KEY

Key type: RSA Encryption Key

=====================================================

Key code:

307C300D06092A864886F70D0101010500036B003068026100C63082091D8C3597D95C974220AD2D

E4DD6AD19A8DB7BE55722A05461AF7D11A80FA0A193E390F54634D43EB7074DBA08388BAB9C6EC3D

FE0B6105445C093EDBC13745E352B878068F398DC41D89B4217B5C564CF9782AC16C63DC9FD3A72E

870203010001

// 配置远端主机公钥，将对端路由器的本地非对称密钥对的HOST_KEY 显示的代码复制过来

[MSR]public-key peer 60.191.123.86

Public key view: return to System View with "peer-public-key end".

[MSR-pkey-public-key] public-key-code begin

Public key code view: return to last view with "public-key-code end".

[MSR-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100BEB

94574FEED45890A03E2

[MSR-pkey-key-code]0D973A6A74F1B157A87B920B4B097E0410DB956E06CF6535B25AD5AC84DD7

334026180C9FAAE3FDD

[MSR-pkey-key-code]0F58E648BC08C4BA18AE5770F57E461DC9D0DC5AC5C94C9C9D4EA7520F21D

4B8EBD7D10EA7B63C9E

[MSR-pkey-key-code]0AE7C43EE91E6A21524EE86EC3384CDCD41CD020FB91EAD39CD2D347E2E8E

00E32F64FA5D1020301

[MSR-pkey-key-code]0001

[MSR-pkey-key-code] public-key-code end

[MSR-pkey-public-key] peer-public-key end

此处注意在配置远端主机公钥时public-key peer的名称必须和ike对等体中配置的remote-address一样。

四、 配置关键点：

1.    国密办加密卡加密算法：SM1 : SM1对称加密算法, 用于IPsec AH, ESP协议对报文进行加密；CBC模式的SM1算法，密钥长度为128比特，192比特，256比特三种，IV长度为128比特。SM2 : 非对称加密算法，用于生成SM2类型的公钥对。SM3 : SM3 hash算法。密钥长度为256位，IV长度为256位，杂凑值长度为256位。

2.    国密卡有命令：由于国密卡的算法是非标准算法，所以ike sa协商阶段如果认证方法使用国密办rsa方法或者国密办sm2方法，必须使能ike oscca-main-mode enable。使得在ike sa协商阶段中，可以正确执行国密卡的算法进行认证。如果认证方法使用与共享密钥或者RSA数字签名方法，则不需要使能ike oscca-main-mode enable。

3.    如果配置了undo cryptoengine enable，ike/ipsec又采用SM1算法，那么将无法协商通过（软件无法计算SM1）。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-11对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

MSR产品3G接口使用IPsec国密卡加密采用RSA方式的配置

编辑评论

提出建议