13.2.3 VAM服务器的配置步骤及示例(2)
http://book.51cto.com 2010-10-20 14:04 王达 华中科技大学出版社 我要评论(0)
- 摘要:《路由器配置与管理完全手册-H3C篇》第13章H3C路由器DM×××配置与管理,本章详细介绍了上各主要功能配置思路、方法和步骤,并在本章后面介绍了两个典型的全互联结构和Hub-Spoke结构下的D×××配置示例。本节为大家介绍VAM服务器的配置步骤及示例。
- 标签:VAM服务器 路由器 H3C 路由器配置与管理完全手册-H3C篇
13.2.3 VAM服务器的配置步骤及示例(2)
5. VAM服务器预共享密钥配置(必选)
预共享密钥是VAM服务器用来和VAM客户端建立安全通道的公共密钥"材料"。在连接初始化阶段预共享密钥用来生成验证和加密连接请求、连接响应报文的初始密钥;如果选择对后续的报文进行加密和验证,则预共享用来生成验证和加密后续报文的连接密钥。
配置VAM服务器预共享密钥的方法是在对应的×××域视图下使用"pre-shared-key { cipher | simple } key-string"命令,所配置的预共享密钥为VAM协议报文加密和完整性验证算法提供公共密钥材料。命令中的二选一选项和参数说明如下:
cipher:二选一选项,指定以密文方式显示预共享密钥。
simple:二选一选项,指定以明文方式显示预共享密钥。
key-string:指定所设置的预共享密钥,为1~31个字符的字符串,区分大小写。
可用"undo pre-shared-key"命令用来删除配置的预共享密钥。缺省情况下,无预共享密钥。
以下示例是配置VAM服务器的预共享密钥为123456,且以明文方式显示。
- <Sysname> system-view
- [Sysname] vam server vpn 1
- [Sysname-vam-server-vpn-1] pre-shared-key simple 123456
6. VAM协议报文的安全参数配置(可选)
该项配置用来设置VAM协议报文的验证、加密算法及其优先级。VAM服务器根据这里所配置的报文完整性验证、加密算法以及优先级与VAM客户端发送的算法列表进行协商,协商后的算法分别作为两端协议报文的完整性验证算法和加密算法。但VAM服务器都有对应报文的安全参数默认设置,所以此项配置为可选配置。如果不专门配置,则直接采用默认设置。
VAM协议报文的验证、加密算法及其优先级的配置步骤如表13-3所示。
表13-3 协议报文的安全参数的配置步骤
|
步骤 |
命令 |
说明 |
|
Step 1 |
system-view
例如:
<Sysname> system-view |
进入系统视图 |
|
Step 2 |
vam server vpn vpn-name
例如:
[Sysname] vam server vpn 1 |
进入×××域视图 |
|
Step 3 |
authentication-algorithm
{ none | { md5 | sha-1 } }
例如:
[Sysname-vam-server-vpn-1]
authentication-algorithm sha-1 |
(可选)配置协议报文的
验证算法及其优先级。缺省情
况下,验证算法为SHA-1 |
|
Step 4 |
encryption-algorithm { { 3des
| aes-128 | des } | none }
例如:
[Sysname-vam-server-vpn-1]
encryption-algorithm aes-128 |
(可选)配置协议报文的加
密算法及其优先级。缺省情况下,
使用AES-128、3DES和
DES三种加密算法,算法
的优先级由高到低依
次是AES-128、3DES、DES |
下面介绍以上配置步骤中的两个主要命令。
1)authentication-algorithm命令
"authentication-algorithm { none | { md5 | sha-1 } * }"×××域视图命令用来设置协议报文的验证算法及其优先级。命令中的多选项说明如下:
none:多选项,指定不对协议报文验证。
md5:多选项,指定采用MD5验证算法。
sha-1:多选项,指定采用SHA-1验证算法。
这些算法可多选,验证算法在配置中的出现顺序(也就是如果多选的话,可以自由调整它们的前后顺序)决定其使用优先级。VAM Server根据配置的验证算法以及它们对应的优先级与VAM客户端发送的算法列表进行协商,协商后的算法作为两端的协议报文消息验证算法。
可用"undo authentication-algorithm"命令恢复缺省情况。缺省情况下,认证算法为SHA-1。
以下示例是设置在×××域1中使用MD5和SHA-1两种验证算法,并且SHA-1算法的优先级高于MD5算法。
- <Sysname> system-view
- [Sysname] vam server vpn 1
- [Sysname-vam-server-vpn-1] authentication-algorithm sha-1 md5
【说明】连接初始化阶段VAM客户端发送的连接请求和VAM服务器发送的连接响应报文,使用固定的验证算法SHA-1进行验证。后续的报文可以通过上述验证算法配置确定是否验证。
报文的验证算法在配置中的出现顺序决定其使用优先级。
【责任编辑:云霞 TEL:(010)68476606】
