Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2113813
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 10:09:26

通过本节所介绍的VAM客户端配置,可以指定客户端所在的VPN域、客户端进行注册的主/VAM服务器地址、端口号,以及VAM客户端的本地用户信息等。本节所介绍的配置需要在所有DVPN客户端配置。建议在所有VAM客户端配置完成后再启动VAM客户端服务,使这些配置生效。

VAM客户端配置任务如表13-5所示。

13-5  VAM客户端的配置任务

配置任务

说明

创建VAM客户端

必选

VAM客户端所属的VPN域的配置

必选

VAM服务器的IP地址和端口号的配置

必选

备份VAM服务器的IP地址和端口号的配置

可选

VAM客户端的预共享密钥的配置

必选

本地用户帐户的配置

可选

VAM协议报文重发间隔时间的配置

可选

启动VAM客户端服务

必选

1. 创建VAM客户端(必选)

VAM客户端的创建就是为客户端指定一个VAM客户端名称,然后就可以进入对应的VAM客户端视图,进行其他VAM客户端配置了。在一个VAM客户端设备可以为不同的VPN域创建多个不同的VAM客户端名称。创建VAM客户端的方法是在系统视图下使用vam client name client-name命令进行的,参数client-name用来指定VAM客户端名称,为1~31个字符的字符串,不区分大小写。所使用的字符限定为A-Za-z0-9.。可用undo vam client name client-name命令删除指定的VAM客户端。缺省情况下,没有配置VAM客户端名称

以下示例是创建一个名为c1VAM客户端

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1]

客户端所属VPN域的配置(必选)

前面说了,一个VAM服务器上可以配置多个VPN域(一个VPN域相当于一组相同属性配置的VPN通信),这样就必须把一个VAM客户端指定到对应的VPN域中。配置的方法是在对应的VAM客户端视图下使用vpn vpn-name命令。参数vpn-name用来指定VAM客户端所属的VPN域名,为1~15个字符的字符串,不区分大小写。所使用的字符限定为A-Za-z0-9“.”

可用undo vpn命令删除VAM Client所属的VPN域。缺省情况下,VAM客户端不属于任何VPN域。

以下示例是配置名为VPN1VAM客户端属于VPNvpn1

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] vpn vpn1

3. /VAM服务器的公网IP地址和UDP端口号配置

一个VAM客户端可以配置一个主VAM服务器和一个备份VAM服务器。这些VAM服务器是通过IP地址和所用端口号指定的。主VAM服务器是必须要指定的,备VAM服务器为可选配置。

VAM服务器的指定是在对应的VAM客户端视图下使用server primary ip-address ip-address [ port port-number ]”命令进行的,备VAM服务器的指定是在对应的VAM客户端视图下使用server secondary ip-address ip-address [ port port-number]”命令进行的。两命令中的参数说明如下:

*              ip-address:指定主/VAM服务器的公网IP地址。

*              port-number:可选参数,指定主/VAM服务器的UDP端口号,取值范围为1025~65535,缺省值为18000

【注意】重复执行本命令,新的配置将覆盖原有配置。

以下示例指定主VAM服务器的公网IP地址为1.1.1.1、端口号为2000

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] server primary ip-address 1.1.1.1 port 2000

以下示例是指定备份VAM服务器的公网IP地址为1.1.1.2、端口号为3000

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] server secondary ip-address 1.1.1.2 port 3000

4. VAM客户端预共享密钥的配置(必选)

预共享密钥是VAM客户端用来和VAM服务器建立安全通道的公共密钥材料。预共享密钥的配置方法是在对应VAM客户端视图下使用“pre-shared-key { cipher | simple } key-string”命令进行。要注意的是,同一个VPN域中所有设备上的预共享密钥必须相同。且,同一个VPN域中,VAM客户端配置的预共享密钥必须和前面介绍的VAM服务器配置的预共享密钥一致,否则认证将失败。命令中的二选一选项和参数说明如下:

*              cipher:二选一选项,指定以密文方式显示预共享密钥。

*              simple:二选一选项,指定以明文方式显示预共享密钥。

*              key-string:二选一选项,指定预共享密钥,为1~31个字符的字符串,区分大小写。

可用“undo pre-shared-key”命令删除VAM客户端配置的预共享密钥,即对协议报文不进行加密和认证。缺省情况下,无预共享密钥。

以下示例是配置VAM客户端的预共享密钥为123456,且以明文方式显示。

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] pre-shared-key simple 123456

5. 本地用户帐户的配置(可选)

这里配置的VAM客户端用户名和密码是用于向VAM服务器进行身份认证的,以防止非法用户使用VPN通信。如果不要进行身份认证,则可不配置客户端的本地用户帐户。配置VAM客户端的本地用户帐户名和密码的方法是在对应的VAM客户端视图下使用user username password { cipher | simple } string命令。命令中的二选一选项和参数说明如下:

*              username:指定要配置的VAM客户端本地用户帐户名,为1~55个字符的字符串,区分大小写,不能包含/:*?<>@|\"等特殊字符。

*              cipher:二选一选项,指定以密文方式显示密码。

*              simple:二选一选项,指定以明文方式显示密码。

*              string:指定VAM客户端的本地用户帐户的密码,为1~63个字符的字符串,区分大小写。

只能为一个VAM客户端配置一个本地用户帐户。可用“undo user”命令取消已经配置的本地用户帐户名和密码。缺省情况下,没有配置本地用户帐户名和密码。

以下示例是配置本地用户帐户名为winda、以明文方式显示的密码为123456

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] user winda password simple 123456

6. VAM协议报文重发间隔时间的配置(可选)

VAM客户端在向VAM服务器发送UDP协议报文(如连接请求报文、初始化完成报文、注册请求报文和认证请求报文)时,如果在指定的时间间隔内没有收到响应报文,则VAM客户端将重新发送该协议报文。VAM协议报文的重发次数固定为3次,不可配置。本项配置就是进行这个VAM客户端重发协议报文的时间间隔。配置方法是在对应VAM客户端视图下使用resend interval time-interval命令进行。参数time-interval用来配置VAM客户端协议报文重发的时间间隔,取值范围为3~30秒。可用undo resend interval命令用来恢复缺省情况。缺省情况下,VAM协议报文重发间隔时间为5秒。

以下示例是设置VAM客户端重发VAM协议报文的时间间隔为10秒。

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] resend interval 10

7. VAM客户端服务启动(必选)

在完成了前面各所需配置项的配置后,就可以在对应的VAM客户端启动VAM客户端服务,使VAM协议在客户端生效。

与上节介绍的启动VAM服务器服务一样,VAM客户端服务的启动也可以有两种方式,一个是在系统视图下使用vam client enable { all | name client-name }”命令启动所有或指定的VAM客户端服务,另一个是在对应的VAM客户端视图下使用client enable命令启动指定的VAM Client服务。这两种启动方式必选其一。可用undo vam client enable { all | name client-name }命令关闭所有或指定的VAM客户端功能,用undo client enable命令恢复对应VAM客户端的VAM客户端功能缺省情况。缺省情况下,没有启动VAM客户端服务。

vam client enable { all | name client-name }”命令中的两个二选一选项说明如下:

*              all:二选一选项,指定在所有已配置的VAM客户端上启用VAM客户端服务。

*              name client-name:指示为指定VAM客户端启用VAM客户端服务。其中,参数client-name用来指定要启用VAM客户端服务的VAM客户端名称,为1~31个字符的字符串,不区分大小写,所使用的字符限定为A-Za-z0-9.

以下示例是启动所有客户端的VAM客户端服务。

system-view

[Sysname] vam client enable all

以下示例是启动客户端c1VAM客户端服务。

system-view

[Sysname] vam client name c1

[Sysname-vam-client-name-c1] client enable

本文摘自《路由器配置与管理完全手册(H3C)试读样章》第十三章
阅读(4238) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~