登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

01-綜合配置舉例

目錄

02-H3C MSR係列路由器 IPsec 數字證書認證典型配置舉例

本章節下載 02-H3C MSR係列路由器 IPsec 數字證書認證典型配置舉例  (344.49 KB)

02-H3C MSR係列路由器 IPsec 數字證書認證典型配置舉例

H3C MSR係列路由器

IPsec數字證書認證配置舉例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。

目  錄

1 簡介

2 配置前提

3 IKE野蠻模式及RSA數字簽名認證配置舉例

3.1 組網需求

3.2 配置步驟

3.2.1 配置Device A

3.2.2 配置Device B

3.3 驗證配置

4 IKE國密主模式及SM2-DE數字信封認證配置舉例

4.1 組網需求

4.2 配置步驟

4.2.1 配置Device A

4.2.2 配置Device B

4.3 驗證配置

5 IKEv2 RSA數字簽名認證配置舉例

5.1 組網需求

5.2 配置步驟

5.2.1 配置Device A

5.2.2 配置Device B

5.3 驗證配置

 

1  簡介

本文檔介紹H3C MSR係列路由器IPsec數字證書認證典型配置舉例。

2  配置前提

本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解IPsec、IKE和IKEv2特性。

3  IKE野蠻模式及RSA數字簽名認證配置舉例

說明

設備運行於FIPS模式時,不支持本例。

 

3.1  組網需求

在Device A和Device B之間建立一個IPsec隧道,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。

·     Device A和Device B之間采用IKE協商方式建立IPsec SA。

·     Device A和DeviceB均使用RSA數字簽名的認證方法。

·     IKE第一階段的協商模式為野蠻模式。

·     Device A側子網的IP地址為動態分配,並作為發起方。

圖1 IKE野蠻模式及RSA數字簽名認證典型組網圖

 

3.2  配置步驟

說明

在開始下麵的配置之前,假設已完成如下配置:

·     DeviceA已獲取到CA證書ca.cer和服務器證書server1.pfx。

·     DeviceB已獲取到CA證書ca.cer和服務器證書server2.pfx。

 

3.2.1  配置Device A

# 配置各接口的IP地址,具體略。

# 配置IPv4高級ACL 3101,定義要保護由子網10.1.1.0/24去往子網10.1.2.0/24的數據流。

<DeviceA> system-view

[DeviceA] acl advanced 3101

[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[DeviceA-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceA] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceA-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為DES,認證算法為HMAC-SHA1。

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceA-ipsec-transform-set-tran1] quit

# 配置PKI域domain1。

[DeviceA] pki domain domain1

[DeviceA-pki-domain-domain1] undo crl check enable

[DeviceA-pki-domain-domain1] quit

# 導入CA證書ca.cer和服務器證書server1.pfx。

[DeviceA] pki import domain domain1 der ca filename ca.cer

[DeviceA] pki import domain domain1 p12 local filename server1.pfx

# 配置證書訪問策略policy1。

[DeviceA] pki certificate access-control-policy policy1

[DeviceA-pki-cert-acp-policy1] rule 1 permit group1

[DeviceA-pki-cert-acp-policy1] quit

# 配置證書屬性規則。

[DeviceA] pki certificate attribute-group group1

[DeviceA-pki-cert-attribute-group-group1] attribute 1 subject-name dn ctn 1

[DeviceA-pki-cert-attribute-group-group1] quit

對端證書subject-name DN中需包含(ctn)規則中定義的字符串才被認為是有效的證書。本例使用的證書subject-name DN中包含字符“1”,因此在這裏使用參數ctn 1。

# 創建IKE profile,名稱為profile1。

[DeviceA] ike profile profile1

# 指定引用的PKI域為domain1。

[DeviceA-ike-profile-profile1] certificate domain domain1

# 配置第一階段的協商模式為野蠻模式。

[DeviceA-ike-profile-profile1] exchange-mode aggressive

# 配置使用本端數字證書中獲得的DN名作為本端身份標識。

[DeviceA-ike-profile-profile1] local-identity dn

# 配置匹配對端身份規則為對端數字證書中的DN名。

[DeviceA-ike-profile-profile1] match remote certificate policy1

[DeviceA-ike-profile-profile1] quit

# 創建IKE提議10。

[DeviceA] ike proposal 10

# 指定IKE提議使用的認證算法為HMAC-MD5。

[DeviceA-ike-proposal-10] authentication-algorithm md5

# 指定使用RSA數字簽名認證方法。

[DeviceA-ike-proposal-10] authentication-method rsa-signature

[DeviceA-ike-proposal-10] quit

# 創建一條IKE協商方式的IPsec安全策略,名稱為map1,順序號為10。

[DeviceA] ipsec policy map1 10 isakmp

# 配置IPsec隧道的對端IP地址為2.2.2.2。

[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2

# 指定引用的安全提議為tran1。

[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1

# 指定引用ACL 3101。

[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101

# 指定引用的IKE profile為profile1。

[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1

[DeviceA-ipsec-policy-isakmp-map1-10] quit

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略map1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1

[DeviceA-GigabitEthernet1/0/1] quit

# 配置到Host B所在子網的靜態路由。1.1.1.2為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceA] ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

3.2.2  配置Device B

# 配置各接口的IP地址,具體略。

# 配置IPv4高級ACL 3101,定義要保護由子網10.1.2.0/24去往子網10.1.1.0/24的數據流。

<DeviceB> system-view

[DeviceB] acl advanced 3101

[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[DeviceB-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceB] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceB-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為DES,認證算法為HMAC-SHA1。

[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc

[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceB-ipsec-transform-set-tran1] quit

# 配置PKI域domain2。

[DeviceB] pki domain domain2

[DeviceB-pki-domain-domain2] undo crl check enable

[DeviceB-pki-domain-domain2] quit

# 導入CA證書ca.cer和服務器證書server2.pfx。

[DeviceB] pki import domain domain2 der ca filename ca.cer

[DeviceB] pki import domain domain2 p12 local filename server2.pfx

# 配置證書訪問策略policy1。

[DeviceB] pki certificate access-control-policy policy1

[DeviceB-pki-cert-acp-policy1] rule 1 permit group1

[DeviceB-pki-cert-acp-policy1] quit

# 配置證書屬性規則。

[DeviceB] pki certificate attribute-group group1

[DeviceB-pki-cert-attribute-group-group1] attribute 1 subject-name dn ctn 1

[DeviceB-pki-cert-attribute-group-group1] quit

對端證書subject-name DN中需包含(ctn)規則中定義的字符串才被認為是有效的證書。本例使用的證書subject-name DN中包含字符“1”,因此在這裏使用參數ctn 1。

# 創建IKE profile,名稱為profile2。

[DeviceB] ike profile profile2

# 指定引用的PKI域為domain2。

[DeviceB-ike-profile-profile2] certificate domain domain2

# 配置第一階段的協商模式為野蠻模式。

[DeviceB-ike-profile-profile2] exchange-mode aggressive

# 配置使用本端數字證書中獲得的DN名作為本端身份標識。

[DeviceB-ike-profile-profile2] local-identity dn

# 配置匹配對端身份規則為對端數字證書中的DN名。

[DeviceB-ike-profile-profile2] match remote certificate policy1

[DeviceB-ike-profile-profile2] quit

# 創建IKE提議10。

[DeviceB] ike proposal 10

# 指定IKE提議使用的認證算法為HMAC-MD5。

[DeviceB-ike-proposal-10] authentication-algorithm md5

# 指定使用RSA數字簽名認證方法。

[DeviceB-ike-proposal-10] authentication-method rsa-signature

[DeviceB-ike-proposal-10] quit

# 創建一條IPsec安全策略模板,名稱為template1,順序號為1。

[DeviceB] ipsec policy-template template1 1

# 指定引用的安全提議為tran1。

[DeviceB-ipsec-policy-template-template1-1] transform-set tran1

# 指定引用ACL 3101。

[DeviceB-ipsec-policy-template-template1-1] security acl 3101

# 指定引用的IKE profile為profile2。

[DeviceB-ipsec-policy-template-template1-1] ike-profile profile2

[DeviceB-ipsec-policy-template-template1-1] quit

# 引用IPsec安全策略模板創建一條IPsec安全策略,名稱為use1,順序號為1。

[DeviceB] ipsec policy use1 1 isakmp template template1

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略use1。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1

[DeviceB-GigabitEthernet1/0/1] quit

# 配置到Host A所在子網的靜態路由。2.2.2.1為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1

3.3  驗證配置

以上配置完成後,Device A和Device B之間如果有子網10.1.1.0/24與子網10.1.2.0/24之間的報文通過,將觸發IKE協商。

# 可通過如下顯示信息查看到Device A和Device B上的IKE提議。

[DeviceA] display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

 10       RSA-SIG            MD5        DES-CBC     Group 1        86400

 default  PRE-SHARED-KEY     SHA1       DES-CBC     Group 1        86400

 

[DeviceB] display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

 10       RSA-SIG            MD5        DES-CBC     Group 1        86400

 default  PRE-SHARED-KEY     SHA1       DES-CBC     Group 1        86400

# 可通過如下顯示信息查看到Device A上IKE第一階段協商成功後生成的IKE SA。

[DeviceA] display ike sa

    Connection-ID   Remote                Flag         DOI

------------------------------------------------------------------

    1               2.2.2.2               RD           IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 可通過如下顯示信息查看到Device A上IKE第二階段協商生成的IPsec SA。

[DeviceA] display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/1

-------------------------------

 

  -----------------------------

  IPsec policy: map1

  Sequence number: 10

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1456

    Tunnel:

        local  address: 1.1.1.1

        remote address: 2.2.2.2

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

    [Inbound ESP SAs]

      SPI: 3264152513 (0xc28f03c1)

      Connection ID: 90194313219

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max received sequence-number:

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 738451674 (0x2c03e0da)

      Connection ID: 64424509441

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max sent sequence-number:

      UDP encapsulation used for NAT traversal: N

      Status: Active

Device B上也會產生相應的IKE SA和IPsec SA,查看方式與Device A同,此處略。

4  IKE國密主模式及SM2-DE數字信封認證配置舉例

4.1  組網需求

在Device A和Device B之間建立一個IPsec隧道,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。

·     Device A和Device B之間采用IKE協商方式建立IPsec SA。

·     Device A和DeviceB均使用SM2-DE數字信封的認證方法。

·     IKE第一階段的協商模式為國密主模式。

圖2 IKE國密主模式及SM2-DE數字信封認證配置組網圖

 

4.2  配置步驟

說明

僅在安裝以下網絡數據加密模塊後支持配置SM1算法:SIC-CNDE、SIC-CNDE-SJK、SIC-4G-CNDE-SJK、SIC-D4G-CNDE-SJK和HMIM-CNDE-SJK。

在開始下麵的配置之前,假設已完成如下配置:

·     DeviceA已獲取到CA證書ca.cer和服務器證書server1.pfx。

·     DeviceB已獲取到CA證書ca.cer和服務器證書server2.pfx。

 

4.2.1  配置Device A

# 配置各接口的IP地址,具體略。

# 配置IPv4高級ACL 3101,定義要保護由子網10.1.1.0/24去子網10.1.2.0/24的數據流。

<DeviceA> system-view

[DeviceA] acl advanced 3101

[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[DeviceA-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceA] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceA-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為SM4-CBC,認證算法為SM3。

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm sm4-cbc

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sm3

[DeviceA-ipsec-transform-set-tran1] quit

# 配置PKI域domain1。

[DeviceA] pki domain domain1

[DeviceA-pki-domain-domain1] undo crl check enable

[DeviceA-pki-domain-domain1] quit

# 導入CA證書ca.cer和服務器證書server1.pfx。

[DeviceA] pki import domain domain1 der ca filename ca.cer

[DeviceA] pki import domain domain1 p12 local filename server1.pfx

# 創建IKE提議10。

[DeviceA] ike proposal 10

# 指定IKE提議使用的認證方法為SM2-DE。

[DeviceA-ike-proposal-10] authentication-method sm2-de

# 指定IKE提議使用的認證算法為SM3

[DeviceA-ike-proposal-10] authentication-algorithm sm3

# 指定IKE提議使用的加密算法為SM4-CBC

[DeviceA-ike-proposal-10] encryption-algorithm sm4-cbc

[DeviceA-ike-proposal-10] quit

# 創建IKE profile,名稱為profile1。

[DeviceA] ike profile profile1

# 配置第一階段的協商模式為國密主模式。

[DeviceA-ike-profile-profile1] exchange-mode gm-main

# 配置IKE協商采用SM2-DE數字信封認證時使用的PKI域為domain1。

[DeviceA-ike-profile-profile1] certificate domain domain1

# 配置引用序號為10的IKE安全提議。

[DeviceA-ike-profile-profile1] proposal 10

# 配置本端的身份信息為IP地址1.1.1.1。

[DeviceA-ike-profile-profile1] local-identity address 1.1.1.1

# 配置匹配對端身份的規則為IP地址2.2.2.2/16。

[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.0.0

[DeviceA-ike-profile-profile1] quit

# 創建一條IKE協商方式的IPsec安全策略,名稱為map1,順序號為10。

[DeviceA] ipsec policy map1 10 isakmp

# 配置IPsec隧道的對端IP地址為2.2.2.2。

[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2

# 指定引用ACL 3101。

[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101

# 指定引用的安全提議為tran1。

[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1

# 指定引用的IKE profile為profile1。

[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1

[DeviceA-ipsec-policy-isakmp-map1-10] quit

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略map1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1

[DeviceA-GigabitEthernet1/0/1] quit

# 配置到Host B所在子網的靜態路由。1.1.1.2為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceA] ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

4.2.2  配置Device B

# 配置各接口的IP地址,具體略。

# 配置IPv4高級ACL 3101,定義要保護由子網10.1.2.0/24去往子網10.1.1.0/24的數據流。

<DeviceB> system-view

[DeviceB] acl advanced 3101

[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[DeviceB-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceB] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceB-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為SM4-CBC,認證算法為SM3。

[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm sm4-cbc

[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sm3

[DeviceB-ipsec-transform-set-tran1] quit

# 配置PKI域domain2。

[DeviceB] pki domain domain2

[DeviceB-pki-domain-domain2] undo crl check enable

[DeviceB-pki-domain-domain2] quit

# 導入CA證書ca.cer和服務器證書server2.pfx。

[DeviceB] pki import domain domain2 der ca filename ca.cer

[DeviceB] pki import domain domain2 p12 local filename server2.pfx

# 創建IKE提議10。

[DeviceB] ike proposal 10

# 指定IKE提議使用的認證方法為SM2-DE。

[DeviceB-ike-proposal-10] authentication-method sm2-de

# 指定IKE提議使用的認證算法為SM3

[DeviceB-ike-proposal-10] authentication-algorithm sm3

# 指定IKE提議使用的加密算法為SM4-CBC

[DeviceB-ike-proposal-10] encryption-algorithm sm4-cbc

[DeviceB-ike-proposal-10] quit

# 創建IKE profile,名稱為profile1。

[DeviceB] ike profile profile1

# 配置第一階段的協商模式為國密主模式。

[DeviceB-ike-profile-profile1] exchange-mode gm-main

# 配置IKE協商采用SM2-DE數字信封認證時使用的PKI域為domain2。

[DeviceB-ike-profile-profile1] certificate domain domain2

# 配置引用序號為10的IKE安全提議。

[DeviceB-ike-profile-profile1] proposal 10

# 配置本端的身份信息為IP地址2.2.2.2。

[DeviceB-ike-profile-profile1] local-identity address 2.2.2.2

# 配置匹配對端身份的規則為IP地址1.1.1.1/16。

[DeviceB-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.0.0

[DeviceB-ike-profile-profile1] quit

# 創建一條IKE協商方式的IPsec安全策略,名稱為use1,順序號為10。

[DeviceB] ipsec policy use1 10 isakmp

# 配置IPsec隧道的對端IP地址為1.1.1.1。

[DeviceB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1

# 指定引用ACL 3101。

[DeviceB-ipsec-policy-isakmp-use1-10] security acl 3101

# 指定引用的安全提議為tran1。

[DeviceB-ipsec-policy-isakmp-use1-10] transform-set tran1

# 指定引用的IKE profile為profile1。

[DeviceB-ipsec-policy-isakmp-use1-10] ike-profile profile1

[DeviceB-ipsec-policy-isakmp-use1-10] quit

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略use1。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1

# 配置到Host A所在子網的靜態路由。2.2.2.1為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1

4.3  驗證配置

以上配置完成後,Device A和Device B之間如果有子網10.1.1.0/24與子網10.1.2.0/24之間的報文通過,將觸發IKE協商。

# 可通過如下顯示信息查看到Device A和Device B上的IKE提議。

[DeviceA] display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

10       SM2-DE             SM3         SM4-CBC         Group 1       86400

default  PRE-SHARED-KEY     SHA1        DES-CBC         Group 1       86400

 

[DeviceB] display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

10       SM2-DE             SM3         SM4-CBC         Group 1       86400

default  PRE-SHARED-KEY     SHA1        DES-CBC         Group 1       86400

# 可通過如下顯示信息查看到Device A上IKE第一階段協商成功後生成的IKE SA。

[DeviceA] display ike sa

    Connection-ID   Remote                Flag         DOI

------------------------------------------------------------------

    1               2.2.2.2               RD           IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 可通過如下顯示信息查看到IKE第二階段協商生成的IPsec SA。

[DeviceA] display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/1

-------------------------------

 

  -----------------------------

  IPsec policy: map1

  Sequence number: 10

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1456

    Tunnel:

        local  address: 1.1.1.1

        remote address: 2.2.2.2

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

 

    [Inbound ESP SAs]

      SPI: 1451246811 (0x568044db)

      Connection ID: 90194313219

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max received sequence-number:

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 2692887942 (0xa0823586)

      Connection ID: 64424509441

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max sent sequence-number:

      UDP encapsulation used for NAT traversal: N

      Status: Active

# Device B上也會產生相應的IKE SA和IPsec SA,查看方式與Device A同,此處略。

5  IKEv2 RSA數字簽名認證配置舉例

5.1  組網需求

在Device A和Device B之間建立IPsec隧道,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。

·     Device A和Device B之間采用IKEv2協商方式建立IPsec SA。

·     Device A和DeviceB均使用RSA數字簽名的認證方法。

·     Device A側子網的IP地址為動態分配,並作為發起方。

圖3 IKEv2 RSA數字簽名認證典型組網圖

 

5.2  配置步驟

說明

在開始下麵的配置之前,假設已完成如下配置:

·     DeviceA已獲取到CA證書ca.cer和服務器證書server1.pfx。

·     DeviceB已獲取到CA證書ca.cer和服務器證書server2.pfx。

 

5.2.1  配置Device A

# 配置各接口的IP地址,具體略。

# 配置ACL 3101,定義要保護由子網10.1.1.0/24去往子網10.1.2.0/24的數據流。

<DeviceA> system-view

[DeviceA] acl advanced 3101

[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[DeviceA-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceA] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceA-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為DES,認證算法為HMAC-SHA1。

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceA-ipsec-transform-set-tran1] quit

# 配置PKI域domain1。

[DeviceA] pki domain domain1

[DeviceA-pki-domain-domain1] undo crl check enable

[DeviceA-pki-domain-domain1] quit

# 導入CA證書ca.cer和服務器證書server1.pfx。

[DeviceA] pki import domain domain1 der ca filename ca.cer

[DeviceA] pki import domain domain1 p12 local filename server1.pfx

# 配置證書訪問策略policy1。

[DeviceA] pki certificate access-control-policy policy1

[DeviceA-pki-cert-acp-policy1] rule 1 permit group1

[DeviceA-pki-cert-acp-policy1] quit

# 配置證書屬性規則。

[DeviceA] pki certificate attribute-group group1

[DeviceA-pki-cert-attribute-group-group1] attribute 1 subject-name dn ctn 1

[DeviceA-pki-cert-attribute-group-group1] quit

對端證書subject-name DN中需包含(ctn)規則中定義的字符串才被認為是有效的證書。本例使用的證書subject-name DN中包含字符“1”,因此在這裏使用參數ctn 1。

# 創建IKEv2 profile,名稱為profile1。

[DeviceA] ikev2 profile profile1

# 指定本端的身份認證方式為RSA數字簽名。

[DeviceA-ikev2-profile-profile1] authentication-method local rsa-signature

# 指定對端的身份認證方式為RSA數字簽名。

[DeviceA-ikev2-profile-profile1] authentication-method remote rsa-signature

# 指定引用的PKI域為domain1。

[DeviceA-ikev2-profile-profile1] certificate domain domain1

# 配置使用本端數字證書中獲得的DN名作為本端身份標識。

[DeviceA-ikev2-profile-profile1] identity local dn

# 配置匹配對端身份規則為對端數字證書中的DN名。

[DeviceA-ikev2-profile-profile1] match remote certificate policy1

[DeviceA-ikev2-profile-profile1] quit

# 創建IKEv2提議10。

[DeviceA] ikev2 proposal 10

# 指定IKEv2提議使用的完整性校驗算法為HMAC-MD5。

[DeviceA-ikev2-proposal-10] integrity md5

# 指定IKEv2提議使用的加密算法為3DES。

[DeviceA-ikev2-proposal-10] encryption 3des-cbc

# 指定IKEv2提議使用的DH group為group1。

[DeviceA-ikev2-proposal-10] dh group1

# 指定IKEv2提議使用的PRF算法為HMAC-MD5。

[DeviceA-ikev2-proposal-10] prf md5

[DeviceA-ikev2-proposal-10] quit

# 創建IKEv2安全策略1。

[DeviceA] ikev2 policy 1

# 指定引用的IKEv2 proposal 10。

[DeviceA-ikev2-policy-1] proposal 10

[DeviceA-ikev2-policy-1] quit

# 創建一條IKEv2協商方式的IPsec安全策略,名稱為map1,順序號為10。

[DeviceA] ipsec policy map1 10 isakmp

# 配置IPsec隧道的對端IP地址為2.2.2.2。

[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2

# 指定引用的安全提議為tran1。

[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1

# 指定引用ACL 3101。

[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101

# 指定引用的IKEv2 profile為profile1。

[DeviceA-ipsec-policy-isakmp-map1-10] ikev2-profile profile1

[DeviceA-ipsec-policy-isakmp-map1-10] quit

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略map1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1

[DeviceA-GigabitEthernet1/0/1] quit

# 配置到Host B所在子網的靜態路由。1.1.1.2為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceA] ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

5.2.2  配置Device B

# 配置各接口的IP地址,具體略。

# 配置ACL 3101,定義要保護由子網10.1.2.0/24去子網10.1.1.0/24的數據流。

[DeviceB] acl advanced 3101

[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[DeviceB-acl-ipv4-adv-3101] quit

# 創建IPsec安全提議tran1。

[DeviceB] ipsec transform-set tran1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[DeviceB-ipsec-transform-set-tran1] protocol esp

# 配置ESP協議采用的加密算法為DES,認證算法為HMAC-SHA-1-96。

[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc

[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceB-ipsec-transform-set-tran1] quit

# 配置PKI域domain2。

[DeviceB] pki domain domain2

[DeviceB-pki-domain-domain2] undo crl check enable

[DeviceB-pki-domain-domain2] quit

# 導入CA證書ca.cer和服務器證書server2.pfx。

[DeviceB] pki import domain domain2 der ca filename ca.cer

[DeviceB] pki import domain domain2 p12 local filename server2.pfx

# 配置證書訪問策略policy1。

[DeviceB] pki certificate access-control-policy policy1

[DeviceB-pki-cert-acp-policy1] rule 1 permit group1

[DeviceB-pki-cert-acp-policy1] quit

# 配置證書屬性規則。

[DeviceB] pki certificate attribute-group group1

[DeviceB-pki-cert-attribute-group-group1] attribute 1 subject-name dn ctn 1

[DeviceB-pki-cert-attribute-group-group1] quit

對端證書subject-name DN中需包含(ctn)規則中定義的字符串才被認為是有效的證書。本例使用的證書subject-name DN中包含字符“1”,因此在這裏使用參數ctn 1。

# 創建IKEv2 profile,名稱為profile2。

[DeviceB] ikev2 profile profile2

# 指定本端的身份認證方式為RSA數字簽名。

[DeviceB-ikev2-profile-profile2] authentication-method local rsa-signature

# 指定對端的身份認證方式為RSA數字簽名。

[DeviceB-ikev2-profile-profile2] authentication-method remote rsa-signature

# 配置使用本端數字證書中獲得的DN名作為本端身份標識。

[DeviceB-ikev2-profile-profile2] identity local dn

# 配置匹配對端身份規則為對端數字證書中的DN名。

[DeviceB-ikev2-profile-profile2] match remote certificate policy1

[DeviceB-ikev2-profile-profile2] quit

# 創建IKEv2提議10。

[DeviceB] ikev2 proposal 10

# 指定IKEv2提議使用的完整性校驗算法為HMAC-MD5。

[DeviceB-ikev2-proposal-10] integrity md5

# 指定IKEv2提議使用的加密算法為3DES。

[DeviceB-ikev2-proposal-10] encryption 3des-cbc

# 指定IKEv2提議使用的DH group為group1。

[DeviceB-ikev2-proposal-10] dh group1

# 指定IKEv2提議使用的PRF算法為HMAC-MD5。

[DeviceB-ikev2-proposal-10] prf md5

[DeviceB-ikev2-proposal-10] quit

# 創建IKEv2安全策略1。

[DeviceB] ikev2 policy 1

# 指定引用的IKEv2 proposal 10。

[DeviceB-ikev2-policy-1] proposal 10

[DeviceB-ikev2-policy-1] quit

# 創建一條IPsec安全策略模板,名稱為template1,順序號為1。

[DeviceB] ipsec policy-template template1 1

# 配置IPsec隧道的對端IP地址為1.1.1.1。

[DeviceB-ipsec-policy-template-template1-1] remote-address 1.1.1.1

# 指定引用ACL 3101。

[DeviceB-ipsec-policy-template-template1-1] security acl 3101

# 指定引用的安全提議為tran1。

[DeviceB-ipsec-policy-template-template1-1] transform-set tran1

# 指定引用的IKEv2 profile為profile2。

[DeviceB-ipsec-policy-template-template1-1] ikev2-profile profile2

[DeviceB-ipsec-policy-template-template1-1] quit

# 引用IPsec安全策略模板創建一條IPsec安全策略,名稱為use1,順序號為1。

[DeviceB] ipsec policy use1 1 isakmp template template1

# 在接口GigabitEthernet1/0/1上應用IPsec安全策略use1。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1

[DeviceB-GigabitEthernet1/0/1] quit

# 配置到Host A所在子網的靜態路由。2.2.2.1為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。

[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1

5.3  驗證配置

以上配置完成後,Device A和Device B之間如果有子網10.1.1.0/24與子網10.1.2.0/24之間的報文通過,將觸發IKEv2協商。

# 可通過如下顯示信息查看到Device A和Device B上的IKEv2提議。

[DeviceA] display ikev2 proposal 10

IKEv2 proposal : 10

  Encryption : 3DES-CBC

  Integrity : MD5

  PRF : MD5

  DH Group : MODP768/Group1

[DeviceB] display ikev2 proposal 10

IKEv2 proposal : 10

  Encryption : 3DES-CBC

  Integrity : MD5

  PRF : MD5

  DH Group : MODP768/Group1

# 可通過如下顯示信息查看到Device A和Device B上的IKEv2安全策略。

[DeviceA] display ikev2 policy 1

IKEv2 policy : 1

  Priority: 100

  Match Local : any

  Match VRF : public

  Proposal : 10

[DeviceB] display ikev2 policy 1

IKEv2 policy : 1

  Priority: 100

  Match Local : any

  Match VRF : public

  Proposal : 10

# 可通過如下顯示信息查看到Device A上IKEv2協商成功後生成的IKEv2 SA。

[DeviceA] display ikev2 sa

Tunnel ID   Local                       Remote                      Status

---------------------------------------------------------------------------

  1        1.1.1.1/500                  2.2.2.2/500                  EST

Status:

IN-NEGO: Negotiating, EST: Established, DEL:Deleting

# 可通過如下顯示信息查看到Device A上IKEv2協商生成的IPsec SA。

[DeviceA] display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/1

-------------------------------

 

  -----------------------------

  IPsec policy: map1

  Sequence number: 10

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1456

    Tunnel:

        local  address: 1.1.1.1

        remote address: 2.2.2.2

    Flow:

        sour addr: 10.1.1.0/255.255.255.0   port: 0  protocol: ip

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

 

    [Inbound ESP SAs]

      SPI: 3264152513 (0xc28f03c1)

      Connection ID: 141733920771

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max received sequence-number:

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 738451674 (0x2c03e0da)

      Connection ID: 141733920770

      Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3484

      Max sent sequence-number:

      UDP encapsulation used for NAT traversal: N

      Status: Active

Device B上也會產生相應的IKEv2 SA和IPsec SA,查看方式與Device A同,此處略。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們