Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2113818
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 10:08:47

本节所介绍的配置是针对DVPN服务器端进行的参数设置,并制定相关的策略,即是否对VAM的协议报文进行保护,ServerClient的认证方式等等。

配置任务如表13-2所示。其中绝大多数是必需配置的。

13-2  VAM Server配置任务

配置任务

说明

创建VPN

必选

启动VAM Server功能

必选

配置监听的IP地址和端口号

必选

配置HubIP地址

必选

配置VAM Server的预共享密钥

必选

配置VAM协议报文的安全参数

可选

配置对客户端的认证方式

可选

配置Keepalive报文参数

可选

 1.  创建VPN域(必选)

创建VPN域的方法是在系统视图下使用vam server vpn vpn-name命令。创建VPN域后进入VPN域视图。参数vpn-name用来指定所创建的VPN域名,为1~15个字符的字符串,不区分大小写。所使用的字符可以是A~Za~z0~9“.”如果VPN域已经存在,则直接进入该VPN域视图。可用undo vam server vpn vpn-name命令删除指定VPN域。缺省情况下,无VPN域存在。

在同一台DVPN VAM服务器上最多可以支持200DVPN域,可以同时作为200DVPN域的服务器设备。

以下示例是创建VPN1,并进入其视图。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1]

2.  启动VAM Server功能(必选)

该配置用来启动服务器端VPN域的VAM服务功能。这里可以有两种启动方式,一种是在系统视图下使用vam server enable { all | vpn vpn-name }命令启动所有或指定VPN域的VAM Server功能,另一种是在对应VPN域下使用server enable命令启动指定VPN域的VAM Server功能。根据实际需要选择其中一种方式。缺省情况下,VAM Server功能处于关闭状态。

vam server enable { all | vpn vpn-name }”系统视图命令的配置可用undo vam server enable { all | vpn vpn-name }”命令来取消,也就是关闭原来所启动的VPN域的VAM Server功能。缺省情况下,VAM Server功能处于关闭状态。命令中的两个二选一选项说明如下:

*              all:二选一选项,指定所有已配置的VPN域中的VAM Server功能。

*              vpn vpn-name:二选一选项,指定某个已配置的VPN域的VAM Server功能。其中参数vpn-name用来指定对应的VPN域名。

以下示例是启动所有VPN域的VAM功能。

system-view

[Sysname] vam server enable all

server enable”VPN域视图命令的配置可用undo server enable命令来取消,也就关闭原来所启动的指定VPN域的VAM Server功能。

以下示例是启动VPN1VAM Server功能。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] server enable

3. 监听IP地址和端口号配置(必选)

该项配置用来指定VAM服务器上进行VAM客户端VPN连接监听的IP地址和UDP端口号。配置的方法是在系统视图下使用vam server ip-address ip-address [ port port-number ]”命令。命令中的可选项和参数说明如下:

*              ip-address:指定VAM服务器用来监听VAM客户端注册请求的IP地址。

*              port-number:指定VAM服务器用来监听VAM客户端注册请求的UDP端口号,取值范围为1025~65535,缺省值为18000

VAM服务器只在配置的IP地址和UDP端口上监听VAM客户端发送的报文。对于所有VPN域,VAM服务器监听的IP地址和UDP端口均相同。重复执行本命令,新的配置将覆盖原有的配置。

可用undo vam server ip-address命令删除配置的监听IP地址和UDP端口号。缺省情况下,没有配置监听IP地址和UDP端口号。

以下示例是配置VAM服务器的监听IP地址为10.1.1.1UDP端口号为2000

system-view

[Sysname] vam server ip-address 10.1.1.1 port 2000

4.  HubIP地址配置(必选)

该项配置用来指定VPN域中担当Hub角色的路由器的IP地址配置的方法是在对应的VPN域视图下使用hub private-ip private-ip-address [ public-ip public-ip-address ]”命令配置HubIP地址。可用undo hub private-ip private-ip-address命令删除指定HubIP地址。缺省情况下,没有配置HubIP地址。命令中的参数说明如下:

*              private-ip-address:指定Hub路由器连接私网的接口的私网IP地址,对应所服务的Hub上的对应VPN域中的Tunnel接口IP地址

*              public-ip-address:可选参数,指定Hub路由器连接公网的接口的公网IP地址。

以下示例是指定VPN1域中某Hub路由器的公私网IP地址分别为123.0.0.110.1.1.1

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] hub private-ip 10.1.1.1 public-ip 123.0.0.1

【说明】可以只配置Hub的私网地址,当该Hub加入VPN域时,向VAM服务器进行注册,注册成功后VAM服务器会向其它VAM客户端下发该Hub的公私网地址映射信息。如果指定了公网地址,只有向Server注册的Client的公私网地址与配置值一致,才被认为是Hub设备,否则认为该VAM客户端注册不成功。

目前,在一个VPN域内最多只能配置两个Hub200Spoke

5.  VAM服务器预共享密钥配置(必选)

预共享密钥是VAM服务器用来和VAM客户端建立安全通道的公共密钥材料。在连接初始化阶段预共享密钥用来生成验证和加密连接请求、连接响应报文的初始密钥;如果选择对后续的报文进行加密和验证,则预共享用来生成验证和加密后续报文的连接密钥。

配置VAM服务器预共享密钥的方法是在对应的VPN域视图下使用pre-shared-key { cipher | simple } key-string命令,所配置的预共享密钥VAM协议报文加密和完整性验证算法提供公共密钥材料。命令中的二选一选项和参数说明如下:

*              cipher:二选一选项,指定以密文方式显示预共享密钥。

*              simple:二选一选项,指定以明文方式显示预共享密钥。

*              key-string:指定所设置的预共享密钥,为1~31个字符的字符串,区分大小写。

可用undo pre-shared-key命令用来删除配置的预共享密钥。缺省情况下,无预共享密钥。

以下示例是配置VAM服务器的预共享密钥为123456,且以明文方式显示。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] pre-shared-key simple 123456

6.  VAM协议报文的安全参数配置(可选)

该项配置用来设置VAM协议报文的验证、加密算法及其优先级。VAM服务器根据这里所配置的报文完整性验证、加密算法以及优先级与VAM客户端发送的算法列表进行协商,协商后的算法分别作为两端协议报文的完整性验证算法和加密算法。但VAM服务器都有对应报文的安全参数默认设置,所以此项配置为可选配置。如果不专门配置,则直接采用默认设置。

VAM协议报文的验证、加密算法及其优先级的配置步骤如表13-3所示。

13-3 协议报文的安全参数的配置步骤

步骤

命令

说明

Step 1

system-view

例如:

system-view

进入系统视图

Step 2

vam server vpn vpn-name

例如:

[Sysname] vam server vpn 1

进入VPN域视图

Step 3

authentication-algorithm { none | { md5 | sha-1 } }

例如:

[Sysname-vam-server-vpn-1] authentication-algorithm sha-1

(可选)配置协议报文的验证算法及其优先级。缺省情况下,验证算法为SHA-1

Step 4

encryption-algorithm { { 3des | aes-128 | des } | none }

例如:

[Sysname-vam-server-vpn-1] encryption-algorithm aes-128

(可选)配置协议报文的加密算法及其优先级。缺省情况下,使用AES-1283DESDES三种加密算法,算法的优先级由高到低依次是AES-1283DESDES

下面介绍以上配置步骤中的两个主要命令。

1authentication-algorithm命令

authentication-algorithm { none | { md5 | sha-1 } * }”VPN域视图命令用来设置协议报文的验证算法及其优先级。命令中的多选项说明如下:

*              none:多选项,指定不对协议报文验证。

*              md5:多选项,指定采用MD5验证算法。

*              sha-1:多选项,指定采用SHA-1验证算法。

这些算法可多选,验证算法在配置中的出现顺序(也就是如果多选的话,可以自由调整它们的前后顺序)决定其使用优先级。VAM Server根据配置的验证算法以及它们对应的优先级与VAM客户端发送的算法列表进行协商,协商后的算法作为两端的协议报文消息验证算法。

可用undo authentication-algorithm命令恢复缺省情况。缺省情况下,认证算法为SHA-1

 以下示例是设置在VPN1中使用MD5SHA-1两种验证算法,并且SHA-1算法的优先级高于MD5算法。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] authentication-algorithm sha-1 md5

【说明】连接初始化阶段VAM客户端发送的连接请求和VAM服务器发送的连接响应报文,使用固定的验证算法SHA-1进行验证。后续的报文可以通过上述验证算法配置确定是否验证。

报文的验证算法在配置中的出现顺序决定其使用优先级。

2encryption-algorithm命令

encryption-algorithm { { 3des | aes-128 | des } * | none }”VPN域视图命令用来配置协议报文的加密算法及其优先级。命令中的选项说明如下:

*              3des:多选项,指定采用3DES加密算法。

*              aes-128:多选项,指定采用AES加密算法,密钥长度128位。

*              des:多选项,指定采用DES加密算法。

以上三个选项可多选,共同构成一个二选一选项。所选的加密算法在配置中的出现顺序决定了它们的使用优先级。VAM服务器根据配置的加密算法以及优先级与VAM客户端发送的算法列表进行协商,协商后的算法作为两端的协议报文加密算法。

*              none:二选一选项,指定不对协议报文作加密。

可用undo encryption-algorithm命令恢复缺省情况。缺省情况下,使用AES-1283DESDES三种加密算法,算法的优先级由高到低依次是AES-1283DESDES

以下示例是配置在VPN1中使用AES-1283DES加密算法,AES-128的优先级高于3DES

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] encryption-algorithm aes-128 3des

【说明】连接初始化阶段VAM客户端发送的连接请求和VAM服务器发送的连接响应报文,使用固定的加密算法AES-128进行验证。后续的报文可以通过上述加密算法配置确定是否加密。

报文的加密算法在配置中的出现顺序决定其使用优先级。

 7. 客户端认证方式的配置(可选)

该项配置用来设置VAM服务器对VAM客户端的认证方式。对于VAM服务器启用AAAVAM客户端进行认证的情况,目前只支持PAPCHAP两种身份验证方式。

配置VAM服务器对VAM客户端认证方式的方法是在对应的VPN域视图下使用authentication-method { none | { chap | pap } [ domain name-string ] }”命令进行的。命令中的选项和参数说明如下:

*              none:二选一选项,指定不对客户端进行认证。

*              pap:二选一子选项,指定使用PAP认证方式。

*              chap:二选一子选项,指定使用CHAP认证方式。

*              domain name-string:指定认证使用的ISP域。其中参数name-string表示ISP域名,为1~24个字符的字符串,不区分大小写。

可用undo authentication-method命令恢复缺省情况。缺省情况下,使用CHAP验证方式,ISP域为用户配置的系统默认域。

以下示例是配置VAM服务器对VAM客户端采用CHAP方式进行身份认证。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] authentication-method chap

8. Keepalive报文参数配置(可选)

VAM客户端通过定期发送Keepalive报文与VAM服务器保持联系,VAM服务器在收到Keepalive报文后发送回应报文,以证明自己的存在。如果VAM服务器在指定的时间内没有收到VAM客户端的Keepalive报文,则删除该VAM客户端的节点信息并使其下线。

本项配置用来设置VAM客户端发送Keepalive报文的发送时间间隔和重试次数。在VAM客户端注册成功后,VAM服务器将该参数在注册响应中下发给VAM客户端。具体配置步骤如表13-4所示。

13-4  Keepalive报文参数的配置步骤

步骤

命令

说明

Step 1

system-view

例如:

system-view

进入系统视图

Step 2

vam server vpn vpn-name

例如:

[Sysname] vam server vpn 1

进入VPN域视图

Step 3

keepalive interval time-interval

例如:

[Sysname-vam-server-vpn-1] keepalive interval 40

(可选)配置VAM ClientVAM Server发送Keepalive报文的时间间隔。缺省情况下,Keepalive报文的发送时间间隔为10

Step 4

keepalive retry retry-times

例如:

[Sysname-vam-server-vpn-1] keepalive retry 5

(可选)配置VAM ClientVAM Server发送Keepalive报文的重试次数。缺省情况下,Keepalive报文的重发次数为3

下面介绍以上配置步骤中的两个主要命令。 

1keepalive interval命令

keepalive interval time-interval”VPN域视图命令用来配置VAM客户端向VAM服务器发送Keepalive报文的时间间隔。参数time-interval用来指定VAM客户端发送Keepalive报文的时间间隔,取值范围为5~60秒。可用undo keepalive interval命令恢复缺省情况。缺省情况下,VAM客户端发送Keepalive报文的时间间隔为10秒。

【注意】这里的配置会由VAM服务器在响应VAM客户端注册的报文中下发给VAM客户端,同一个VPN域中所有VAM客户端的Keepalive报文参数都是相同的。但是,如果VAM服务器改变Keepalive报文参数,则修改后的参数只对新注册的VAM客户端生效,已经注册的客户端不受影响。

以下示例是设置VAM客户端向VAM服务器发送Keepalive报文的时间间隔为40秒。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] keepalive interval 40

2keepalive retry命令

keepalive retry retry-times命令用于配置VAM客户端向VAM服务器发送Keepalive报文的重试次数。当Keepalive报文的重发次数达到配置的值时仍没有收到响应,则认为VAM客户端与VAM服务器的连接中断。参数retry-times用来指定VAM客户端发送Keepalive报文的重试次数,取值范围为1~6。可用undo keepalive retry命令恢复缺省情况。缺省情况下,VAM客户端发送Keepalive报文的最多重试次数为3次。

【注意】这里的配置会由VAM服务器在响应VAM客户端注册的报文中下发给VAM客户端,同一个VPN域中所有VAM客户端的Keepalive报文参数都是相同的。但是,如果VAM服务器改变Keepalive报文参数,则修改后的参数只对新注册的VAM客户端生效,已经注册的客户端不受影响。

以下示例是配置VAM客户端发送Keepalive报文的最多重试次数为5次。

system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] keepalive retry 5

本文摘自《路由器配置与管理完全手册(H3C)试读样章》第十三章
阅读(3712) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~