• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

18-IPsec加密AC与AP间隧道典型配置举例(V5)

本章节下载 18-IPsec加密AC与AP间隧道典型配置举例(V5)  (208.08 KB)

18-IPsec加密AC与AP间隧道典型配置举例(V5)

IPsec加密AC与AP间隧道典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍IPsec加密AC与AP间隧道的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec和WLAN特性。

3  配置举例

3.1  组网需求

图1所示组网,Client和AP通过DHCP动态获取IP地址,要求:配置IPsec对AC和AP间的隧道进行加密保护。

图1 IPsec加密AP与AC间隧道组网图

 

 

3.2  配置思路

·     为了配置AP方的IPsec,需要在AC上通过AP预配置的方式下发IPsec配置到AP设备。

·     为了及时检测IKE对等体的存活状态,可以配置IKE DPD功能。

·     为了使IPsec生效,需要将IPsec策略应用在AP对应的VLAN接口下。

·     为了避免IPsec隧道一端安全网关出现问题时,造成IPsec流量黑洞现象,需要配置IPsec无效SPI恢复功能。

3.3  配置注意事项

·     IKE peer配置的对端地址必须包含AP地址;

·     AP和AC的配置的预共享密钥需要保持一致;

·     AC上使用命令save wlan ap provision保存AP配置时,需要等待一段时间以保证AP能够将下发的配置成功写入存储介质。

·     对于不同的软件版本配置IPsec安全提议的命令略有差异,对于较低的软件版本,请使用ipsec proposal proposal-name,对于较高的软件版本,请使用ipsec transform-set transform-set-name,本例使用较高软件版本配置和验证。

·     配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

3.4  配置步骤

(1)     配置AC的基本信息

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan 100

[AC-Vlan-interface100] ip address 8.133.1.2 24

[AC-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLANClient的业务VLAN,并配置VLAN 200接口的IP地址。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan 200

[AC-Vlan-interface200] ip address 8.133.2.2 24

[AC-Vlan-interface200] quit

# 配置DHCP地址池。其中地址池vlan100给AP分配8.133.1.0/24网段地址,地址池vlan200给client分配8.133.2.0/24网段地址。

[AC] dhcp server ip-pool vlan100

[AC-dhcp-pool-vlan100] network 8.133.1.0 24

[AC-dhcp-pool-vlan100] quit

[AC] dhcp server ip-pool vlan200

[AC-dhcp-pool-vlan200] network 8.133.2.0 24

[AC-dhcp-pool-vlan200] quit

# 启用DHCP服务。

[AC] dhcp enable

(2)     配置无线服务

# 创建WLAN-ESS1接口。

[AC] interface wlan-ess 1

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid pvid vlan 200

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

[AC-WLAN-ESS1] quit

# 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear

# 配置当前服务模板的SSID为office。

[AC-wlan-st-1] ssid office

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1

# 启用无线服务。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(3)     配置射频接口并绑定服务模板

# 创建AP模板,名称为testap,型号名称选择WA2620-AGN,并配置序列号。

[AC] wlan ap testap model WA2620E-AGN

[AC-wlan-ap-testap] serial-id 21023529G007C000020

# 进入radio1射频视图。

[AC-wlan-ap-testap] radio 1

#设置radio1接口的信道为149。

[AC-wlan-ap-testap-radio-1] channel 149

# 在radio1下绑定服务模板1。

[AC-wlan-ap-testap-radio-1] service-template 1

# 开启radio 1。

[AC-wlan-ap-testap-radio-1] radio enable

[AC-wlan-ap-testap-radio-1] quit

[AC-wlan-ap-testap] quit

(4)     配置IPsec

# 配置IKE心跳报文发送间隔为20s,超时为60s。

[AC] ike sa keepalive-timer interval 20

[AC] ike sa keepalive-timer timeout 60

# 配置IPsec无效SPI恢复功能。

[AC] ipsec invalid-spi-recovery enable

# 配置IPsec安全提议的名称为tran1。

[AC] ipsec transform-set tran1

# 配置ESP协议采用的认证算法为SHA-1,加密算法为aes-cbc-128。

[AC-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[AC-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[AC-ipsec-transform-set-tran1] quit

# 创建IKE提议,并指定一个供IKE提议使用的加密算法为aes-cbs-128以及配置IKE阶段1密钥协商时所使用的DH密钥交换参数为dh group2。

[AC] ike proposal 1

[AC-ike-proposal-1] encryption-algorithm aes-cbc 128

[AC-ike-proposal-1] dh group2

[AC-ike-proposal-1] quit

# 创建IKE DPD,并采用其默认配置。

[AC] ike dpd dpd

[AC-ike-dpd-dpd] quit

# 创建IKE对等体peer1。

[AC] ike peer peer1

# 应用DPD。

[AC-ike-peer-peer1] dpd dpd

# 应用proposal。

[AC-ike-peer-peer1] proposal 1

# 配置预共享密钥为123456。

[AC-ike-peer-peer1] pre-shared-key simple 123456

# 配置对端安全网关IP地址为8.133.1.0~8.133.1.255。

[AC-ike-peer-peer1] remote-address 8.133.1.0 8.133.1.255

[AC-ike-peer-peer1] quit

# 创建IPsec策略模板pt。

[AC] ipsec policy-template pt 1

# 配置IPsec安全策略引用名字为tran1的IPsec安全提议。

[AC-ipsec-policy-template-pt-1] transform-set tran1

# 配置在IPsec安全策略中引用名字为peer1的IKE对等体。

[AC-ipsec-policy-template-pt-1] ike-peer peer1

[AC-ipsec-policy-template-pt-1] quit

# 引用策略模板pt创建名字为map,顺序号为1的一条IPsec安全策略。

[AC] ipsec policy map 1 isakmp template pt

# 在VLAN 100接口上应用名为map的IPsec策略。

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ipsec policy map

[AC-Vlan-interface100] quit

(5)     通过AP预配置功能下发IPsec的配置

# 进入AP预配置视图。

[AC] wlan ap testap

[AC-wlan-ap-testap] provision

# 以明文方式配置AP使用IPsec加密控制隧道。

[AC-wlan-ap-testap-prvs] tunnel encryption ipsec pre-shared-key simple 123456

# 配置AP使用IPsec密钥加密数据隧道。

[AC-wlan-ap-testap-prvs] data-tunnel encryption enable

# 将AP预配置信息保存到testap的私有配置文件中。

[AC-wlan-ap-testap-prvs] save wlan ap provision name testap

[AC-wlan-ap-testap-prvs] return

# 重启AP之后,AP会采用IPsec加密上线。

<AC> reset wlan ap name testap

 This command will reset all master connection AP's.

 Do you want to continue [Y/N]:y

3.5  验证配置

# 使用命令display ipsec sa brief可查看存在的IPsec sa。

[AC] display ipsec sa brief

 total phase-2 SAs: 4

Src Address     Dst Address     SPI        Protocol  Algorithm

--------------------------------------------------------------

8.133.1.2       8.133.0.2       3534306385 ESP       E:DES

                                                     A:HMAC-SHA1-96

8.133.1.2       8.133.0.2       2343364398 ESP       E:DES

                                                     A:HMAC-SHA1-96

8.133.0.2       8.133.1.2       1289347059 ESP       E:DES

                                                     A:HMAC-SHA1-96

8.133.0.2       8.133.1.2       1098232824 ESP       E:DES

                                                     A:HMAC-SHA1-96

# 使用命令display wlan client查看无线客户端可以正常上线。

[AC] display wlan client

 Total Number of Clients           : 1

                               Client Information

 SSID: office

--------------------------------------------------------------------------------

MAC Address    User Name            APID/RID IP Address                     VLAN

--------------------------------------------------------------------------------

0022-3f90-938e -NA-                 1   /1   0.0.0.0                          200

3.6  配置文件

#

 ike sa keepalive-timer interval 20

 ike sa keepalive-timer timeout 60

#

 ipsec invalid-spi-recovery enable

#

vlan 100

#

vlan 200

#

ike proposal 1

 encryption-algorithm aes-cbc 128

 dh group2

#

ike dpd dpd

#

ike peer peer1

proposal 1

 pre-shared-key cipher $c$3$MiYotExKrcBnqhWvmo7aZ55fIw0deYMvtg==

 remote-address 8.133.0.0 8.133.255.255

 dpd dpd

#

ipsec transform-set tran1

 encapsulation-mode tunnel

 transform esp

 esp authentication-algorithm sha1

esp encryption-algorithm aes-cbc-128

#

ipsec policy-template pt 1

 ike-peer peer1

 transform-set tran1

#

ipsec policy map 1 isakmp template pt

#

dhcp server ip-pool vlan100

 network 8.133.1.0 mask 255.255.255.0

#

dhcp server ip-pool vlan200

 network 8.133.2.0 mask 255.255.255.0

#

wlan service-template 1 clear

 ssid office

 bind WLAN-ESS 1

 service-template enable

#

interface Vlan-interface100

 ip address 8.133.1.2 255.255.255.0

 ipsec policy map

#

interface Vlan-interface200

 ip address 8.133.2.254 255.255.255.0

#

interface WLAN-ESS1

 port link-type hybrid

undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

#

wlan ap testap model WA2620E-AGN id 1

 serial-id 21023529G007C000020

 provision

  vlan untagged 1

  tunnel encryption ipsec pre-shared-key cipher xz8n+yXxN+I=

  data-tunnel encryption enable

 radio 1

  channel 149

  service-template 1

  radio enable

 radio 2

#

dhcp enable

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。

·     《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们