国家 / 地区

H3C MSR系列路由器典型配置举例(V5)-6W100

53-MSR系列路由器与Windows XP使用共享密钥方式L2TP Over IPSec互通功能的配置举例

本章节下载  (1.55 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Typical_Configuration_Example/H3C_MSR_(V5)-6W100/201401/812764_30005_0.htm

53-MSR系列路由器与Windows XP使用共享密钥方式L2TP Over IPSec互通功能的配置举例

MSR系列路由器与Windows XP使用共享密钥方式L2TP over IPsec互通功能的配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 



1  简介

本文档介绍Windows XP与MSR使用共享密钥方式L2TP over IPsec互通功能的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解L2TP和IPsec特性。

3  配置举例

3.1  组网需求

图1所示,MSR路由器提供L2TP接入,XP主机使用自带L2TP工具拨号接入到MSR,并且使用共享密钥方式对L2TP流进行加密。

图1 MSR系列路由器XP与MSR使用共享密钥方式L2TP over IPsec互通功能的配置组网图

 

3.2  使用版本

本举例是在Release 2317版本上进行配置和验证的。

3.3  配置注意事项

·     注意主机配置和路由器配置的吻合。

·     通常将主机和安全网关之间的IPsec封装为传输模式。

3.4  配置步骤

3.4.1  Router的配置

# 配置接口Ethernet0/0的IP地址。

<Router> system-view

[Router] interface ethernet 0/0

[Router-Ethernet0/0] ip address 1.1.1.1 255.0.0.0

[Router-Ethernet0/0] quit

# 启用L2TP服务。

[Router] l2tp enable

# 采用ISP域的缺省配置。

[Router] domain system

#在域内配置IP地址池,用于分配给Host。

[Router-isp-system] ip pool 1 192.168.1.1 192.168.1.10

[Router-isp-system] quit

# 设置用户名、密码及服务类型。

[Router] local-user aaa

[Router-luser-aaa] password simple aaa

[Router-luser-aaa] service-type ppp

[Router-luser-aaa] quit

# 配置虚拟模板接口Virtual-Template0

[Router] interface Virtual-Template0

[Router-Virtual-Template0] ppp authentication-mode chap

[Router-Virtual-Template0] remote address pool 1

[Router-Virtual-Template0] ip address 192.168.1.254 255.255.255.0

[Router-Virtual-Template0] quit

# 设置一个L2TP组,不启用隧道验证。

[Router] l2tp-group 1

[Router-l2tp1] undo tunnel authentication

# 指定接收呼叫的虚拟模板接口。

[Router-l2tp1] allow l2tp virtual-template 0

[Router-l2tp1] quit

# 配置IKE对等体。

[Router] ike peer xp

[Router-ike-peer-xp] pre-shared-key 123

[Router-ike-peer-xp] quit

# 配置安全协议对IP报文的封装形式为传输模式。

[Router] ipsec proposal def

[Router-ipsec-transform-set-def] encapsulation-mode transport

# 配置ESP协议采用sha1认证算法。

[Router-ipsec-transform-set-def] esp authentication-algorithm sha1

[Router-ipsec-transform-set-def] esp encryption-algorithm des

[Router-ipsec-transform-set-def] quit

# 配置IPsec安全策略模板。

[Router] ipsec policy-template test 1

[Router-ipsec-policy-template-test-1] ike-peer xp

[Router-ipsec-policy-template-test-1] proposal def

[Router-ipsec-policy-template-test-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略。

[Router] ipsec policy policy 1 isakmp template test

# 在接口Ethernet0/0上应用安全策略。

[Router] interface ethernet 0/0

[Router-Ethernet0/0] ipsec policy policy

[Router-Ethernet0/0] quit

3.4.2  Host的配置

# 修改Windows的注册表,禁用XP默认的IPsec证书的验证方式,然后重启电脑。

图2 修改注册表

yl.jpg

 

# 重启电脑后,进入控制面板à网络连接,创建一个新的连接。

图3 创建一个新连接

yl2.jpg

 

# 根据提示选择“下一步”。

图4 新连接向导

yl3.jpg

 

# 在单选框中选择“连接到我的工作场所的网络”,然后点击“下一步”。

图5 新建连接向导

yl4.jpg

 

# 在单选框中选择“虚拟专用网络连接”,点击“下一步”。

图6 新建连接向导

yl5.jpg

 

# 输入连接的名字,此名字可以随便输入。

图7 新建连接向导

yl6.jpg

 

# 输入VPN接入服务器地址,即路由器的地址1.1.1.1。

图8 新建连接向导

yl8.jpg

 

# 设定使用权限。

图9 新建连接向导

yl9.jpg

 

# 点击“完成”,结束向导配置。

图10 新建连接向导

yl10.jpg

 

# 点击“取消”,退出连接。

图11 连接页面

yl11.jpg

 

# 进入控制面板à管理工具à本地安全策略,进行IPsec相关配置。

图12 本地安全配置

yl12.jpg

 

# 根据向导,选择“下一步”。

图13 IP安全策略向导

yl13.jpg

 

# 输入IPsec安全策略的名字,然后单击“下一步”。

图14 IP安全策略向导

yl14.jpg

 

# 将“激活默认响应规则”的勾选取消,单击“下一步”。

图15 IP安全策略向导

yl15.jpg

 

# 保持“编辑属性”的勾选,点击“完成”。

图16 IP安全策略向导

yl16.jpg

 

# 在安全策略的属性窗口的规则页,将右下角使用“添加向导”的勾选取消,点击“添加”。

图17 安全策略属性

yl17.jpg

 

# “新规则属性”的第一页是“IP筛选器列表”,即路由器上的ACL的配置工作,选择“添加”。

图18 新规则属性

yl18.jpg

 

# 取消使用“添加向导”的勾选后,继续点击“添加”。

图19 IP筛选器列表

yl19.jpg

 

# 在“筛选器属性”页面,“源地址”不变,在目标地址中选择“一个特定的IP地址”并输入路由器地址。

图20 筛选器属性

yl20.jpg

 

# 点击“确定”后,返回IP筛选器列表窗口,选择“确定”,完成筛选器的配置。

图21 返回筛选器列表

yl21.jpg

 

# 上述步骤完成后返回“新规则属性”窗口,在筛选器列表的单选框中,选中刚创建的“新IP筛选器列表”。

图22 返回新规则属性窗口

yl22.jpg

 

# 在“筛选器操作”页面,配置IPsec安全提议,选择单选框中“需要安全”,点击“编辑”。

图23 新规则属性

yl23.jpg

 

# 将ESP加密和完整性的DES和SHA1组合上移到第一位,勾选“接受不安全的通讯……”,然后点击“确定”后,返回“新规则属性”页面。

图24 需要安全属性

yl24.jpg

 

# 进入“身份验证方法”页面,即IKE对等体的配置,选择“添加”。

图25 身份验证方法

yl25.jpg

 

# 单击单选框中“使用此字符串(预共享密钥)”方法,输入预共享密钥“123”,之后点击“确定”。

图26 身份验证方法

yl26.jpg

 

# 上述配置完成后返回属性页面,将刚才生成的“预先共享的密钥”上移到首位。

图27 身份验证方法

yl27.jpg

 

# 进入“隧道设置”页面,选择“此规则不指定IPsec隧道”。

图28 隧道设置

yl28.jpg

 

# 点击“应用”结束规则属性配置,然后返回安全策略属性页面。

图29 安全策略属性

yl29.jpg

 

# 将新建的策略进行指派。

图30 策略指派

yl30.jpg

 

# 完成所有上述配置后,就可以进行L2TP连接了。

图31 L2TP连接

yl31.jpg

 

3.5  验证配置

完成所有配置后,输入用户名和密码进行L2TP连接就可以连接成功,在MSR上通过display ike sadisplay ipsec sa命令可以查看IPsec建立情况。

3.6  配置文件

#

 l2tp enable

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 ip pool 1 192.168.1.1 192.168.1.10

#

ike peer xp

 pre-shared-key cipher $c$3$kOie70QkjKPQWhSZBzrHAhLvPOh0SA==

#

ipsec transform-set def

 encapsulation-mode transport

 transform esp

 esp authentication-algorithm sha1

esp encryption-algorithm des

#

ipsec policy-template test 1

 ike-peer xp

 transform-set def

#

ipsec policy policy 1 isakmp template test

#

local-user aaa

 password cipher $c$3$fPNGdEFUHNFynUC+zEoyYhc8Bm9XJA==

 service-type ppp

#

l2tp-group 1

 undo tunnel authentication

 allow l2tp virtual-template 0

#

interface Ethernet0/0

 port link-mode route

ip address 1.1.1.1 255.0.0.0

 ipsec policy policy

#

interface Virtual-Template0

 ppp authentication-mode chap

 remote address pool 1

 ip address 192.168.1.254 255.255.255.0

#

4  相关资料

·     H3C MSR 系列路由器 命令参考(V5)-R2311

·     H3C MSR 系列路由器 配置指导(V5)-R2311

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!