H3CMSR系列路由器IPsec典型配置举例(V7).pdfVIP

1 简介 2 配置前提 3 使用 iNode 客户端基于证书认证的 L2TP over IPsec 功能配置举例 3.1 组网需求 3.2 配置思路 3.3 使用版本 3.4 配置步骤 3.4.1 Device 的配置 3.4.2 Host 的配置 3.5 验证配置 3.6 配置文件 4 IPsec over GRE 的典型配置举例 4.1 组网需求 4.2 配置思路 4.3 使用版本 4.4 配置步骤 4.4.1 Device A 的配置 4.4.2 Device B 的配置 4.5 验证配置 4.6 配置文件 5 GRE over IPsec 的典型配置举例 5.1 组网需求 5.2 配置思路 5.3 使用版本 5.4 配置步骤 5.4.1 Device A 的配置 5.4.2 Device B 的配置 5.5 验证配置 5.6 配置文件 6 IPsec 同流双隧道的典型配置举例 6.1 组网需求 6.2 使用版本 6.3 配置步骤 6.3.1 Device A 的配置 6.3.2 Device B 的配置 6.4 验证配置 6.5 配置文件 7 相关资料 1 简介 本文档介绍 IPsec 的典型配置举例。 2 配置前提 本文档适用于使用 Comware V7 软件版本的 MSR 系列路由器， 如果使用过程中与产 品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证， 配置前设备的所有参数均采 用出厂时的缺省配置。 如果您已经对设备进行了配置， 为了保证配置效果， 请确认现 有配置和以下举例中的配置不冲突。 本文档假设您已了解 IPsec 特性。 3 使用 iNode 客户端基于证书认证的 L2TP over IPsec 功能配置举例 3.1 组网需求 如 图 1 所示， PPP 用户 Host 与 Device 建立 L2TP 隧道， Windows server 2003 作 为 CA 服务器，要求： 通过 L2TP 隧道访问 Corporate network 。 用 IPsec 对 L2TP 隧道进行数据加密。 采用 RSA 证书认证方式建立 IPsec 隧道。 图 1 基于证书认证的 L2TP over IPsec 配置组网图 3.2 配置思路 由于使用证书认证方式建立 IPsec 隧道，所以需要在 ike profile 中配置 local-identity 为 dn ，指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在 R0106 版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device 的配置 (1) 配置