H3C MSR係列路由器

手機與網關之間采用IKEv2方式建立保護IPv4報文的IPsec隧道典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目  錄

1 簡介

2 配置前提

3 典型配置

3.1 組網需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事項

3.5 配置步驟

3.5.1 配置Device

3.5.2 配置手機

3.6 驗證配置

3.7 配置文件

4 相關資料

 

1  簡介

本文檔介紹手機與網關之間采用IKEv2方式建立保護IPv4報文的IPsec隧道典型配置舉例。

2  配置前提

本文檔適用於使用Comware V7軟件版本的MSR係列路由器，如果使用過程中與產品實際情況有差異，請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解IPsec特性。

3  典型配置

3.1  組網需求

在手機和Device之間建立一個IPsec隧道，對手機和Device之間的數據流進行安全保護。具體要求如下：

·     封裝形式為隧道模式。

·     安全協議采用ESP協議。

·     手機和Device之間采用IKEv2協商方式建立IPsec SA。

·     Device對手機進行IKE擴展認證方法為不認證，Device為手機分配IPv4地址

圖1 手機與網關之間通過IKEv2方式保護IPv4報文組網圖

 

3.2  配置思路

·     為了在手機和Device之間建立IPsec隧道，需要在Device上完成IKEv2和IPsec相關配置。

·     為了實現Device為手機分配IPv4地址，需要在Device上完成ISP域和本地用戶相關配置。

3.3  使用版本

本舉例是在E6749L04版本的MSR830-10HI路由器和iOS版本16.0.2的iPhone11手機上進行配置和驗證的。

3.4  配置注意事項

請確保手機已和AP建立連接，AP和Device之間網絡互通。

3.5  配置步驟

3.5.1  配置Device

(1)     配置接口的IP地址。

<Device> system-view

[Device] interface GigabitEthernet0/1

[Device-GigabitEthernet0/1] ip address 192.168.200.233 255.255.255.0

[Device-GigabitEthernet0/1] quit

(2)     配置為對端分配IPv4地址的IKEv2本地IPv4地址池。

# 配置IKEv2本地IPv4地址池，名稱為1，地址池範圍為36.1.1.2～36.1.1.10，掩碼為255.255.255.255。

[Device] ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255

(3)     配置ISP域。

# 創建一個名稱為test的ISP域，並進入其視圖。

[Device] domain test

# 設置當前ISP域下的用戶授權屬性，指定為用戶分配IPv4地址的地址池。

[Device-isp-test] authorization-attribute ip-pool 1

# 為IKE擴展認證配置認證方法為none。

[Device-isp-test] authentication ike none

[Device-isp-test]quit

(4)     配置本地用戶。

# 創建本地用戶ikev2，用戶類型為網絡接入類。

[Device] local-user ikev2 class network

# 配置本地用戶ikev2的服務類型為ike。

[Device-luser-network-ikev2] service-type ike

# 指定本地用戶ikev2的授權用戶角色為network-operator。（缺省配置）

[Device-luser-network-ikev2] authorization-attribute user-role network-operator

# 指定為本地用戶ikev2分配IPv4地址的地址池。

[Device-luser-network-ikev2] authorization-attribute ip-pool 1

[Device-luser-network-ikev2] quit

(5)     配置IPsec安全提議。

# 配置安全提議1。

[Device] ipsec transform-set 1

# 配置安全協議對IP報文的封裝形式為隧道模式。

[Device-ipsec-transform-set-1] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[Device-ipsec-transform-set-1] protocol esp

# 配置ESP協議采用的加密算法為128比特的AES，認證算法為HMAC-SHA1。

[Device-ipsec-transform-set-1] esp encryption-algorithm aes-cbc-128

[Device-ipsec-transform-set-1] esp authentication-algorithm sha1

[Device-ipsec-transform-set-1] quit

# 配置安全提議2。

[Device] ipsec transform-set 2

# 配置安全協議對IP報文的封裝形式為隧道模式。

[Device-ipsec-transform-set-2] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[Device-ipsec-transform-set-2] protocol esp

# 配置ESP協議采用的加密算法為3DES，認證算法為HMAC-SHA1。

[Device-ipsec-transform-set-2] esp encryption-algorithm 3des-cbc

[Device-ipsec-transform-set-2] esp authentication-algorithm sha1

[Device-ipsec-transform-set-2] quit

# 配置安全提議3。

[Device] ipsec transform-set 3

# 配置安全協議對IP報文的封裝形式為隧道模式。

[Device-ipsec-transform-set-3] encapsulation-mode tunnel

# 配置采用的安全協議為ESP。

[Device-ipsec-transform-set-3] protocol esp

# 配置ESP協議采用的加密算法為128比特的AES，認證算法為HMAC-SHA384。

[Device-ipsec-transform-set-3] esp encryption-algorithm aes-cbc-128

[Device-ipsec-transform-set-3] esp authentication-algorithm sha384

[Device-ipsec-transform-set-3] quit

(6)     配置IKEv2 keychain，約定通信雙方使用的密鑰信息。

# 創建IKEv2 keychain，名稱為1。

[Device] ikev2 keychain 1

# 創建IKEv2對端，名稱為peer1。

[Device-ikev2-keychain-1] peer 1

# 指定對端1的主機地址為0.0.0.0/0。

[Device-ikev2-keychain-keychain1-peer-1] address 0.0.0.0 0.0.0.0

# 配置對端1使用的預共享密鑰為明文123。

[Device-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123

[Device-ikev2-keychain-keychain1-peer-peer1] quit

[Device-ikev2-keychain-keychain1] quit

(7)     配置IKEv2 profile，約定建立IKE SA所需的安全參數。

# 創建IKEv2 profile，名稱為1。

[Device] ikev2 profile 1

# 指定本端的身份認證方式為預共享密鑰。

[Device-ikev2-profile-1] authentication-method local pre-share

# 指定對端的身份認證方式為預共享密鑰。

[Device-ikev2-profile-1] authentication-method remote pre-share

# 指定引用的IKEv2 keychain為1。

[Device-ikev2-profile-1] keychain 1

# 配置對客戶端的AAA授權ISP域為test，用戶名為ikev2。

[Device-ikev2-profile-1] aaa authorization domain test username ikev2

# 配置匹配對端身份的規則為IP地址0.0.0.0/0。

[Device-ikev2-profile-1] match remote identity address 0.0.0.0 0.0.0.0

# 配置匹配對端身份的規則為FQDN名test。

[Device-ikev2-profile-1] match remote identity fqdn test

[Device-ikev2-profile-1] quit

(8)     配置IKEv2提議，定義雙方進行IKE協商所需的安全參數。

# 創建IKEv2提議10。

[Device] ikev2 proposal 10

# 指定IKEv2提議使用的完整性校驗算法為HMAC-SHA384、HMAC-SHA1。

[Device-ikev2-proposal-10] integrity sha384 sha1

# 指定IKEv2提議使用的加密算法為128比特的AES、3DES。

[Device-ikev2-proposal-10] encryption aes-cbc-128 3des-cbc

# 指定IKEv2提議使用的DH group為group14、group2、group5。

[Device-ikev2-proposal-10] dh group14 group5 group2

# 指定IKEv2提議使用的PRF算法為HMAC-SHA384、HMAC-SHA1。

[Device-ikev2-proposal-10] prf sha384 sha1

[Device-ikev2-proposal-10] quit

(9)     配置IKEv2安全策略，用於協商IKEv2 SA。

# 創建IKEv2安全策略10。

[Device] ikev2 policy 10

# 指定引用的IKEv2 proposal 10。

[Device-ikev2-policy-10] proposal 10

[Device-ikev2-policy-10] quit

(10)     配置IPsec安全策略模板。

# 創建並配置名為t，順序號為10的IPsec安全策略模板，引用安全提議1、安全提議2、安全提議3。

[Device] ipsec policy-template t 10

[Device-ipsec-policy-template-t-10] transform-set 1 2 3

# 指定引用的IKEv2 profile為1。

[Device-ipsec-policy-template-t-10] ikev2-profile 1

# 開啟IPsec反向路由注入功能。

[Device-ipsec-policy-template-t-10] reverse-route dynamic

[Device-ipsec-policy-template-t-10] quit

(11)     配置IKE協商方式的IPsec安全策略。

# 創建並配置名為1的IPsec安全策略，基於安全策略模板t創建。

[Device] ipsec policy 1 10 isakmp template t

(12)     在接口上應用IPsec安全策略1，對接口上的流量進行保護。

[Device] interface GigabitEthernet0/1

[Device-GigabitEthernet0/1] ipsec apply policy 1

[Device-GigabitEthernet0/1] quit

(13)     配置到網關的靜態路由，實際請以具體組網情況為準，本例中為192.168.200.1。

[Device] ip route-static 0.0.0.0 0 192.168.200.1

3.5.2  配置手機

(1)     進入手機設置界麵，如圖2所示，點擊<VPN>進入[VPN]界麵。

圖2 手機設置界麵

 

(2)     如圖3所示，在VPN管理界麵點擊<添加VPN配置…>進入[添加配置]界麵。

圖3 VPN界麵

 

(3)     如圖4所示，在[添加配置]界麵，進行如下具體配置：

¡     類型：選擇VPN類型為“IKEv2”

¡     描述：輸入VPN的描述信息，本次配置以“test”為例。

¡     服務器：輸入192.168.200.233

¡     遠程ID：輸入192.168.200.233

¡     用戶鑒定：選擇“無”

¡     使用證書：手動關閉

¡     密鑰：輸入123

¡     點擊<完成>，完成VPN添加配置並保存退出

圖4 添加配置界麵

 

3.6  驗證配置

以上配置完成後，手機和Device之間即可建立IKEv2方式的IPsec隧道。

# 在手機[VPN]界麵，選擇VPN test進行連接，可查看到VPN狀態變為綠色的“已連接”，表示手機已連接到Device，如圖5所示，點擊圖標可查看VPN連接詳情。

圖5 VPN界麵

 

# VPN詳情界麵，如圖6所示可查看到顯示手機已連接到Device，並獲取到IPv4地址為36.1.1.3。

圖6 VPN詳情界麵

 

3.7  配置文件

#

domain test

 authorization-attribute ip-pool 1

 authentication ike none

#

local-user ikev2 class network

 service-type ike

 authorization-attribute user-role network-operator

 authorization-attribute ip-pool 1

#

ipsec transform-set 1

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha1

#

ipsec transform-set 2

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec transform-set 3

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha384

#

ipsec policy-template t 10

 transform-set 1 2 3

 ikev2-profile 1

 reverse-route dynamic

#

ipsec policy 1 10 isakmp template t

#

 ikev2 address-group 1 36.1.1.2 36.1.1.10 255.255.255.255

#

ikev2 keychain 1

 peer 1

  address 0.0.0.0 0.0.0.0

  pre-shared-key ciphertext $c$3$yKfcFd5/ruY590JrZZdACVs6LMy1hA==

#

 

ikev2 profile 1

 authentication-method local pre-share

 authentication-method remote pre-share

 keychain 1

 aaa authorization domain test username ikev2

 match remote identity address 0.0.0.0 0.0.0.0

 match remote identity fqdn test

#

ikev2 proposal 10

 encryption aes-cbc-128 3des-cbc

 integrity sha384 sha1

 dh group14 group5 group2

 prf sha384 sha1

#

ikev2 policy 10

 proposal 10

#

 

interface GigabitEthernet0/1

 port link-mode route

 ip address 192.168.200.233 255.255.255.0

 ipsec apply policy 1

#

 ip route-static 0.0.0.0 0 192.168.200.1

4  相關資料

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全配置指導(V7)-R6749”中的“IPsec配置”

·     “H3C MSR610[810][830][1000S][2600][3600]路由器 安全命令參考(V7)-R6749”中的“IPsec命令”