• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全命令参考

11-IPsec命令

本章节下载 11-IPsec命令  (255.45 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/CR/CR19000/Command/Command_Manual/H3C_CR19000_CR-R1218-5W100/10/201909/1226112_30005_0.htm

11-IPsec命令


1 IPsec

1.1  IPsec配置命令

1.1.1  ah authentication-algorithm

ah authentication-algorithm命令用来配置AH协议采用的认证算法。

undo ah authentication-algorithm命令用来恢复缺省情况。

【命令】

ah authentication-algorithm { md5 | sha256 | sha384 | sha512 | sm3 } *

undo ah authentication-algorithm

【缺省情况】

AH协议未采用任何认证算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

md5:采用HMAC-MD5认证算法,密钥长度128比特。

sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。

sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。

sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。

sm3:采用HMAC-SM3认证算法,密钥长度256比特。

【使用指导】

每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。

对于手工方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。

【举例】

# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA-256算法,密钥长度为256比特。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha256

1.1.2  description

description命令用来配置IPsec安全策略/IPsec安全框架的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

无描述信息。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

text:IPsec安全策略/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。

【使用指导】

当系统中存在多个IPsec安全策略/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。

【举例】

# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。

<Sysname> system-view

[Sysname] ipsec policy policy1 1 manual

[Sysname-ipsec-policy-manual-policy1-1] description CenterToA

1.1.3  display ipsec { ipv6-policy | policy }

display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。

【命令】

display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ipv6-policy:显示IPv6 IPsec安全策略的信息。

policy:显示IPv4 IPsec安全策略的信息。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。

【使用指导】

如果不指定任何参数,则显示所有IPsec安全策略的信息。

如果指定了policy-nameseq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。

【举例】

# 显示所有IPv4 IPsec安全策略的信息。

<Sysname> display ipsec policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Mode: Manual

  -----------------------------

  The policy configuration is incomplete:

           ACL not specified

           Incomplete transform-set configuration

  Description: This is my first IPv4 manual policy

  Security data flow:

  Remote address: 2.5.2.1

  Transform set: transform

 

  Inbound AH setting:

    AH SPI: 1200 (0x000004b0)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 1400 (0x00000578)

    ESP string-key:

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 1300 (0x00000514)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 1500 (0x000005dc)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

-------------------------------------------

IPsec Policy: mycompletepolicy

Interface: LoopBack2

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Mode: Manual

  -----------------------------

  Description: This is my complete policy

  Security data flow: 3100

  Remote address: 2.2.2.2

  Transform set: completetransform

 

  Inbound AH setting:

    AH SPI: 5000 (0x00001388)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 7000 (0x00001b58)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 6000 (0x00001770)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 8000 (0x00001f40)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

# 显示所有IPv6 IPsec安全策略的详细信息。

<Sysname> display ipsec ipv6-policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Mode: Manual

  -----------------------------

  Description: This is my first IPv6 policy

  Security data flow: 3600

  Remote address: 1000::2

  Transform set: mytransform

 

  Inbound AH setting:

    AH SPI: 1235 (0x000004d3)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 1236 (0x000004d4)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 1237 (0x000004d5)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 1238 (0x000004d6)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表

字段

描述

IPsec Policy

IPsec安全策略的名称

Interface

应用了IPsec安全策略的接口名称

Sequence number

IPsec安全策略表项的顺序号

Mode

IPsec安全策略采用的协商方式

·     Mannul:手工方式

The policy configuration is incomplete

IPsec安全策略配置不完整,可能的原因包括:

·     ACL未配置

·     IPsec安全提议未配置

·     ACL中没有permit规则

·     IPsec安全提议配置不完整

·     IPsec隧道对端IP地址未指定

·     IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配

Description

IPsec安全策略的描述信息

Traffic Flow Confidentiality

TFC(Traffic Flow Confidentiality)填充功能的开启状态

Security data flow

IPsec安全策略引用的ACL

Selector mode

IPsec安全策略的数据流保护方式

·     standard:标准方式

·     aggregation:聚合方式

·     per-host:主机方式

Remote address

IPsec隧道的对端IP地址或主机名

Transform set

IPsec安全策略引用的IPsec安全提议的名称

IKE profile

IPsec安全策略引用的IKE Profile的名称(当前版本暂不支持)

IKEv2 profile

IPsec安全策略引用的IKEv2 Profile的名称(当前版本暂不支持)

SA duration(time based)

基于时间的IPsec SA生命周期,单位为秒

SA duration(traffic based)

基于流量的IPsec SA生命周期,单位为千字节

SA idle time

IPsec SA的空闲超时时间,单位为秒

Inbound AH setting

入方向采用的AH协议的相关设置

Outbound AH setting

出方向采用的AH协议的相关设置

AH SPI

AH协议的SPI

AH string-key

AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空

AH authentication hex key

AH协议的十六进制密钥,若配置,则显示为******,否则显示为空

Inbound ESP setting

入方向采用的ESP协议的相关设置

Outbound ESP setting

出方向采用的ESP协议的相关设置

ESP SPI

ESP协议的SPI

ESP string-key

ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空

ESP encryption hex key

ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空

ESP authentication hex key

ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空

 

【相关命令】

·     ipsec { ipv6-policy | policy }

1.1.4  display ipsec profile

display ipsec profile命令用来显示IPsec安全框架的信息。

【命令】

display ipsec profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。

【举例】

# 显示所有IPsec安全框架的配置信息。

<Sysname> display ipsec profile

-----------------------------------------------

IPsec profile: profile

Mode: Manual

-----------------------------------------------

  Transform set: prop1

 

  Inbound AH setting:

    AH SPI: 12345 (0x00003039)

    AH string-key:

    AH authentication hex key: ******

  Inbound ESP setting:

    ESP SPI: 23456 (0x00005ba0)

    ESP string-key:

    ESP encryption hex-key: ******

    ESP authentication hex-key: ******

  Outbound AH setting:

    AH SPI: 12345 (0x00003039)

    AH string-key:

    AH authentication hex key: ******

  Outbound ESP setting:

    ESP SPI: 23456 (0x00005ba0)

    ESP string-key:

    ESP encryption hex key: ******

    ESP authentication hex key: ******

表1-2 display ipsec profile命令显示信息描述表

字段

描述

IPsec profile

IPsec安全框架的名称

Mode

IPsec安全框架采用的协商方式

Description

IPsec安全框架的描述信息

Transform set

IPsec安全策略引用的IPsec安全提议的名称

Inbound AH setting

入方向采用的AH协议的相关设置

Outbound AH setting

出方向采用的AH协议的相关设置

AH SPI

AH协议的SPI

AH string-key

AH协议的字符类型的密钥

AH authentication hex key

AH协议的十六进制密钥

Inbound ESP setting

入方向采用的ESP协议的相关设置

Outbound ESP setting

出方向采用的ESP协议的相关设置

ESP SPI

ESP协议的SPI

ESP string-key

ESP协议的字符类型的密钥

ESP encryption hex key

ESP协议的十六进制加密密钥

ESP authentication hex key

ESP协议的十六进制认证密钥

 

【相关命令】

·     ipsec profile

1.1.5  display ipsec sa

display ipsec sa命令用来显示IPsec SA的相关信息。

【命令】

display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

brief:显示所有的IPsec SA的简要信息。

count:显示IPsec SA的个数。

interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。

ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。

policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略的顺序号,取值范围为1~65535。

profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。

profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。

ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。

【使用指导】

如果不指定任何参数,则显示所有IPsec SA的详细信息。

【举例】

# 显示IPsec SA的简要信息。

<Sysname> display ipsec sa brief

-----------------------------------------------------------------------

Interface/Global   Dst Address      SPI         Protocol  Status

-----------------------------------------------------------------------

GE1/2/0/1          10.1.1.1         400         ESP       Active

GE1/2/0/1          255.255.255.255  4294967295  ESP       Active

GE1/2/0/1          100::1/64        500         AH        Active

Global             --               600         ESP       Active

表1-3 display ipsec sa brief命令显示信息描述表

字段

描述

Interface/Global

IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成)

Dst Address

IPsec隧道对端的IP地址

IPsec安全框架生成的SA中,该值无意义,显示为“--”

SPI

IPsec SA的SPI

Protocol

IPsec采用的安全协议

Status

IPsec SA的状态:主用(Active)、备用(Standby)

·     多机备份环境下,取值为Active表示主用、取值为Standby表示备用

·     单机运行环境下,仅为Active,表示SA处于可用状态

 

# 显示IPsec SA的个数。

<Sysname> display ipsec sa count

Total IPsec SAs count:4

# 显示所有IPsec SA的详细信息。

<Sysname> display ipsec sa

-------------------------------

Interface: GigabitEthernet1/2/0/1

-------------------------------

 

  -----------------------------

  IPsec policy: r2

  Sequence number: 1

  Mode: Manual

  -----------------------------

    Tunnel id: 3

    Encapsulation mode: tunnel

    Path MTU: 1443

    Tunnel:

        local  address: 2.2.2.2

        remote address: 1.1.1.2

    Flow:

        as defined in ACL 3101

    [Inbound ESP SA]

      SPI: 3564837569 (0xd47b1ac1)

      Connection ID:90194313219

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 64424509441

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      No duration limit for this SA

-------------------------------

Global IPsec SA

-------------------------------

 

  -----------------------------

  IPsec profile: profile

  Mode: Manual

  -----------------------------

    Encapsulation mode: transport

    [Inbound AH SA]

      SPI: 1234563 (0x0012d683)

      Connection ID: 64426789452

      Transform set: AH-SHA1

      No duration limit for this SA

    [Outbound AH SA]

      SPI: 1234563 (0x002d683)

      Connection ID: 64428999468

      Transform set: AH-SHA1

      No duration limit for this SA

表1-4 display ipsec sa命令显示信息描述表

字段

描述

Interface

IPsec SA所在的接口

Global IPsec SA

全局IPsec SA

IPsec policy

采用的IPsec安全策略名

IPsec profile

采用的IPsec安全框架名

Sequence number

IPsec安全策略表项顺序号

Mode

IPsec安全策略采用的协商方式

·     Mannul:手工方式

Flow table status

IPsec下发引流规则的状态,包括以下取值:

·     Inactive:引流规则下发失败

·     Active:引流规则下发成功

Tunnel id

IPsec隧道的ID号

Encapsulation mode

采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式

Perfect Forward Secrecy

此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Extended Sequence Numbers enable

ESN(Extended Sequence Number,扩展序列号)功能是否开启

Traffic Flow Confidentiality enable

TFC(Traffic Flow Confidentiality)填充功能是否开启

Inside VRF

被保护数据所属的VRF实例名称

Path MTU

IPsec SA的路径MTU值

Tunnel

IPsec隧道的端点地址信息

local address

IPsec隧道的本端IP地址

remote address

IPsec隧道的对端IP地址

Flow

受保护的数据流信息

sour addr

数据流的源IP地址

dest addr

数据流的目的IP地址

port

端口号

protocol

协议类型,取值包括:

·     ip:IPv4协议

·     ipv6:IPv6协议

Inbound ESP SAs

入方向的ESP协议的IPsec SA信息

Outbound ESP SAs

出方向的ESP协议的IPsec SA信息

Inbound AH SAs

入方向的AH协议的IPsec SA信息

Outbound AH SAs

出方向的AH协议的IPsec SA信息

SPI

IPsec SA的SPI

Connection ID

IPsec SA标识

Transform set

IPsec安全提议所采用的安全协议及算法

SA duration (kilobytes/sec)

IPsec SA生存时间,单位为千字节或者秒

SA remaining duration (kilobytes/sec)

剩余的IPsec SA生存时间,单位为千字节或者秒

Max received sequence-number

入方向接收到的报文最大序列号

Max sent sequence-number

出方向发送的报文最大序列号

Anti-replay check enable

抗重放检测功能是否开启

Anti-replay window size

抗重放窗口宽度

UDP encapsulation used for NAT traversal

此IPsec SA是否使用NAT穿越功能

Status

IPsec SA的状态:

·     多机备份环境下,取值为Active表示主用、取值为Standby表示备用

·     单机运行环境下,取值仅为Active,表示SA处于可用状态

No duration limit for this SA

手工方式创建的IPsec SA无生命周期

 

【相关命令】

·     ipsec sa global-duration

·     reset ipsec sa

1.1.6  display ipsec statistics

display ipsec statistics命令用来显示IPsec处理的报文的统计信息。

【命令】

display ipsec statistics [ tunnel-id tunnel-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。

【使用指导】

如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。

【举例】

# 显示所有IPsec处理的报文统计信息。

<Sysname> display ipsec statistics

  IPsec packet statistics:

    Received/sent packets: 47/64

    Received/sent bytes: 3948/5208

    Dropped packets (received/sent): 0/45

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 45

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

# 显示ID为1的IPsec隧道处理的报文统计信息。

<Sysname> display ipsec statistics tunnel-id 1

  IPsec packet statistics:

    Received/sent packets: 5124/8231

    Received/sent bytes: 52348/64356

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

表1-5 display ipsec statistics命令显示信息描述表

字段

描述

IPsec packet statistics

IPsec处理的报文统计信息

Received/sent packets

接收/发送的受安全保护的数据包的数目

Received/sent bytes

接收/发送的受安全保护的字节数目

Dropped packets (received/sent)

被设备丢弃了的受安全保护的数据包的数目(接收/发送)

Dropped packets statistics

被丢弃的数据包的详细信息

No available SA

因为找不到IPsec SA而被丢弃的数据包的数目

Wrong SA

因为IPsec SA错误而被丢弃的数据包的数目

Invalid length

因为数据包长度不正确而被丢弃的数据包的数目

Authentication failure

因为认证失败而被丢弃的数据包的数目

Encapsulation failure

因为加封装失败而被丢弃的数据包的数目

Decapsulation failure

因为解封装失败而被丢弃的数据包的数目

Replayed packets

被丢弃的重放的数据包的数目

ACL check failure

因为ACL检测失败而被丢弃的数据包的数目

MTU check failure

因为MTU检测失败而被丢弃的数据包的数目

Loopback limit exceeded

因为本机处理的次数超过限制而被丢弃的数据包的数目

Crypto speed limit exceeded

因为加密速度的限制而被丢弃的数据包的数目

 

【相关命令】

·     reset ipsec statistics

1.1.7  display ipsec transform-set

display ipsec transform-set命令用来显示IPsec安全提议的信息。

【命令】

display ipsec transform-set [ transform-set-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。

【举例】

# 显示所有IPsec安全提议的信息。

<Sysname> display ipsec transform-set

IPsec transform set: mytransform

  State: incomplete

  Encapsulation mode: tunnel

  ESN: Enabled

  PFS:

  Transform: ESP

 

IPsec transform set: completeTransform

  State: complete

  Encapsulation mode: transport

  ESN: Enabled

  PFS:

  Transform: AH-ESP

  AH protocol:

    Integrity: SHA1

  ESP protocol:

    Integrity: SHA1

    Encryption: AES-CBC-128

表1-6 display ipsec transform-set命令显示信息描述表

字段

描述

IPsec transform set

IPsec安全提议的名称

State

IPsec安全提议是否完整

Encapsulation mode

IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式

ESN

ESN(Extended Sequence Number,扩展序列号)功能的开启状态

PFS

PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Transform

IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议)

AH protocol

AH协议相关配置

ESP protocol

ESP协议相关配置

Integrity

安全协议采用的认证算法

Encryption

安全协议采用的加密算法

 

【相关命令】

·     ipsec transform-set

1.1.8  display ipsec tunnel

display ipsec tunnel命令用来显示IPsec隧道的信息。

【命令】

display ipsec tunnel { brief | count | tunnel-id tunnel-id }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

brief:显示IPsec隧道的简要信息。

count:显示IPsec隧道的个数。

tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。

【使用指导】

IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。

【举例】

# 显示所有IPsec隧道的简要信息。

<Sysname> display ipsec tunnel brief

----------------------------------------------------------------------------

Tunn-id   Src Address     Dst Address     Inbound SPI   Outbound SPI  Status

----------------------------------------------------------------------------

0         --              --              1000          2000          Active

                                          3000          4000

1         1.2.3.1         2.2.2.2         5000          6000          Active

                                          7000          8000

表1-7 display ipsec tunnel brief命令显示信息描述表

字段

描述

Tunn-id

IPsec隧道的ID号

Src Address

IPsec隧道的源地址

在IPsec Profile生成的SA中,该值无意义,显示为“--”

Dst Address

IPsec隧道的目的地址

在IPsec Profile生成的SA中,该值无意义,显示为“--”

Inbound SPI

IPsec隧道中生效的入方向SPI

如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI

Outbound SPI

IPsec隧道中生效的出方向SPI

如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI

Status

IPsec SA的状态:

·     多机备份环境下,取值为Active表示主用、取值为Standby表示备用

·     单机运行环境下,取值仅为Active,表示SA处于可用状态

 

# 显示IPsec隧道的数目。

<Sysname> display ipsec tunnel count

Total IPsec Tunnel Count: 2

# 显示所有IPsec隧道的详细信息。

<Sysname> display ipsec tunnel

Tunnel ID: 0

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  2000        (0x000007d0)   [AH]

    inbound:   1000        (0x000003e8)   [AH]

    outbound:  4000        (0x00000fa0)   [ESP]

    inbound:   3000        (0x00000bb8)   [ESP]

Tunnel:

    local  address:

    remote address:

Flow:

 

Tunnel ID: 1

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  6000        (0x00001770)   [AH]

    inbound:   5000        (0x00001388)   [AH]

    outbound:  8000        (0x00001f40)   [ESP]

    inbound:   7000        (0x00001b58)   [ESP]

Tunnel:

    local  address: 1.2.3.1

    remote address: 2.2.2.2

Flow:

    as defined in ACL 3100

# 显示ID号为1的IPsec隧道的详细信息。

<Sysname> display ipsec tunnel tunnel-id 1

Tunnel ID: 1

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  6000        (0x00001770)   [AH]

    inbound:   5000        (0x00001388)   [AH]

    outbound:  8000        (0x00001f40)   [ESP]

    inbound:   7000        (0x00001b58)   [ESP]

Tunnel:

    local  address: 1.2.3.1

    remote address: 2.2.2.2

Flow:

    as defined in ACL 3100

表1-8 display ipsec tunnel命令显示信息描述表

字段

描述

Tunnel ID

IPsec隧道的ID,用来唯一地标识一个IPsec隧道

Status

IPsec隧道的状态:

·     多机备份环境下,取值为Active表示主用、取值为Standby表示备用

·     单机运行环境下,取值仅为Active,表示隧道处于可用状态

Perfect forward secrecy

此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Inside vpn-instance

被保护数据所属的VPN实例名

SA's SPI

出方向和入方向的IPsec SA的SPI

Tunnel

IPsec隧道的端点地址信息

local  address

IPsec隧道的本端IP地址

remote address

IPsec隧道的对端IP地址

Flow

IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议

as defined in ACL 3001

手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流

 

1.1.9  encapsulation-mode

encapsulation-mode命令用来配置安全协议对报文的封装模式。

undo encapsulation-mode命令用来恢复缺省情况。

【命令】

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

【缺省情况】

使用隧道模式对IP报文进行封装。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

transport:采用传输模式。

tunnel:采用隧道模式。

【使用指导】

传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。

隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。

在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。

【举例】

# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport

【相关命令】

·     ipsec transform-set

1.1.10  esn enable

esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。

undo esn enable命令用来关闭ESN功能。

【命令】

esn enable [ both ]

undo esn enable

【缺省情况】

ESN功能处于关闭状态。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。

【使用指导】

ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。

只有发起方和响应方都开启了ESN功能,ESN功能才能生效。

【举例】

# 在IPsec安全提议中开启ESN功能。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esn enable

【相关命令】

·     display ipsec transform-set

1.1.11  esp authentication-algorithm

esp authentication-algorithm命令用来配置ESP协议采用的认证算法。

undo esp authentication-algorithm命令用来恢复缺省情况。

【命令】

esp authentication-algorithm { md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *

undo esp authentication-algorithm

【缺省情况】

ESP协议未采用任何认证算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

md5:采用HMAC-MD5认证算法,密钥长度128比特。

sha1:采用HMAC-SHA1认证算法,密钥长度160比特。

sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。

sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。

sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。

sm3:采用HMAC-SM3认证算法,密钥长度256比特。

【使用指导】

每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。

对于手工方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。

【举例】

# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1

【相关命令】

·     ipsec transform-set

1.1.12  esp encryption-algorithm

esp encryption-algorithm命令用来配置ESP协议采用的加密算法。

undo esp encryption-algorithm命令用来恢复缺省情况。

【命令】

esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | null } *

undo esp encryption-algorithm.

【缺省情况】

ESP协议未采用任何加密算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。

aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。

aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。

aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。

des-cbc:采用CBC模式的DES算法,密钥长度为64比特。

null:采用NULL加密算法,表示不进行加密。

【使用指导】

每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。

对于手工方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。

【举例】

# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

【相关命令】

·     ipsec transform-set

1.1.13  ipsec { ipv6-policy | policy }

ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。

undo ipsec { ipv6-policy | policy }命令用来删除IPsec安全策略。

【命令】

ipsec { ipv6-policy | policy } policy-name seq-number [ manual ]

undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]

【缺省情况】

不存在IPsec安全策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略的顺序号,取值范围为1~65535。

manual:指定用手工方式建立IPsec SA。

【使用指导】

创建IPsec安全策略时,必须指定协商方式。进入已创建的IPsec安全策略时,可以不指定协商方式。

不能修改已创建的IPsec安全策略的协商方式。

一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。

对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。

IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。

【举例】

# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。

<Sysname> system-view

[Sysname] ipsec policy policy1 101 manual

[Sysname-ipsec-policy-manual-policy1-101]

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     ipsec apply

1.1.14  ipsec apply

ipsec apply命令用来在接口上应用IPsec安全策略。

undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。

【命令】

ipsec apply { ipv6-policy | policy } policy-name

undo ipsec apply { ipv6-policy | policy }

【缺省情况】

接口上未应用IPsec安全策略。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。

手工方式的IPsec安全策略只能应用到一个接口上。

【举例】

# 在接口GigabitEthernet1/2/0/1上应用名为policy1的IPsec安全策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/0/1

[Sysname-GigabitEthernet1/2/0/1] ipsec apply policy policy1

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     ipsec { ipv6-policy | policy }

1.1.15  ipsec decrypt-check enable

ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。

undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。

【命令】

ipsec decrypt-check enable

undo ipsec decrypt-check enable

【缺省情况】

解封装后IPsec报文的ACL检查功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。

【举例】

# 开启解封装后IPsec报文的ACL检查功能。

<Sysname> system-view

[Sysname] ipsec decrypt-check enable

1.1.16  ipsec df-bit

ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。

undo ipsec df-bit命令用来恢复缺省情况。

【命令】

ipsec df-bit { clear | copy | set }

undo ipsec df-bit

【缺省情况】

接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。

copy:表示外层IP头的DF位从原始报文IP头中拷贝。

set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。

【使用指导】

该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。

该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。

如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。

转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。

【举例】

# 在接口GigabitEthernet1/2/0/2上设置IPsec封装后外层IP头的DF位。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/0/2

[Sysname-GigabitEthernet1/2/0/2] ipsec df-bit set

【相关命令】

·     ipsec global-df-bit

1.1.17  ipsec fragmentation

ipsec fragmentation命令用来配置IPsec分片功能。

undo ipsec fragmentation命令用来恢复缺省情况。

【命令】

ipsec fragmentation { after-encryption | before-encryption }

undo ipsec fragmentation

【缺省情况】

IPsec分片功能为封装前分片。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

after-encryption:表示开启IPsec封装后分片功能。

before-encryption:表示开启IPsec封装前分片功能。

【使用指导】

IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果待报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。

IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。

【举例】

# 开启IPsec封装后分片功能。

<Sysname>system-view

[Sysname] ipsec fragmentation after-encryption

1.1.18  ipsec global-df-bit

ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。

undo ipsec global-df-bit命令用来恢复缺省情况。

【命令】

ipsec global-df-bit { clear | copy | set }

undo ipsec global-df-bit

【缺省情况】

IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。

copy:表示外层IP头的DF位从原始报文IP头中拷贝。

set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。

【使用指导】

该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。

该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。

转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。

【举例】

# 为所有接口设置IPsec封装后外层IP头的DF位。

<Sysname> system-view

[Sysname] ipsec global-df-bit set

【相关命令】

·     ipsec df-bit

1.1.19  ipsec limit max-tunnel

ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。

undo ipsec limit max-tunnel命令用来恢复缺省情况。

【命令】

ipsec limit max-tunnel tunnel-limit

undo ipsec limit max-tunnel

【缺省情况】

不限制本端允许建立IPsec隧道的最大数。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。

【使用指导】

本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。

【举例】

# 配置本端允许建立IPsec隧道的最大数为5000。

<Sysname> system-view

[Sysname] ipsec limit max-tunnel 5000

1.1.20  ipsec logging packet enable

ipsec logging packet enable命令用来开启IPsec报文日志记录功能。

undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。

【命令】

ipsec logging packet enable

undo ipsec logging packet enable

【缺省情况】

IPsec报文日志记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。

【举例】

# 开启IPsec报文日志记录功能。

<Sysname> system-view

[Sysname] ipsec logging packet enable

1.1.21  ipsec profile

ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。

undo ipsec profile命令用来删除IPsec安全框架。

【命令】

ipsec profile profile-name [ manual ]

undo ipsec profile profile-name

【缺省情况】

不存在IPsec安全框架。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

manual:手工方式的IPsec安全框架。

【使用指导】

创建IPsec安全框架时,必须指定协商方式;进入已创建的IPsec安全框架时,可以不指定协商方式。

手工方式IPsec profile专门用于为应用协议配置IPsec安全策略,它相当于一个手工方式创建的IPsec安全策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。

【举例】

# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。

<Sysname> system-view

[Sysname] ipsec profile profile1 manual

[Sysname-ipsec-profile—manual-profile1]

【相关命令】

·     display ipsec profile

1.1.22  ipsec transform-set

ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。

undo ipsec transform-set命令用来删除指定的IPsec安全提议。

【命令】

ipsec transform-set transform-set-name

undo ipsec transform-set transform-set-name

【缺省情况】

不存在IPsec安全提议。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。

【举例】

# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-transform-set-tran1]

【相关命令】

·     display ipsec transform-set

1.1.23  protocol

protocol命令用来配置IPsec安全提议采用的安全协议。

undo protocol命令用来恢复缺省情况。

【命令】

protocol { ah | ah-esp | esp }

undo protocol

【缺省情况】

使用ESP安全协议。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

ah:采用AH协议对报文进行保护。

ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。

esp:采用ESP协议对报文进行保护。

【使用指导】

在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。

【举例】

# 配置IPsec安全提议采用AH协议。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] protocol ah

1.1.24  qos pre-classify

qos pre-classify命令用来开启QoS预分类功能。

undo qos pre-classify命令用来关闭QoS预分类功能。

【命令】

qos pre-classify

undo qos pre-classify

【缺省情况】

QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

【使用指导】

QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。

【举例】

# 在IPsec安全策略中开启QoS预分类功能。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify

1.1.25  remote-address

remote-address命令用来指定IPsec隧道的对端IP地址。

undo remote-address命令用来恢复缺省情况。

【命令】

remote-address { ipv4-address | ipv6 ipv6-address }

undo remote-address { ipv4-address | ipv6 ipv6-address }

【缺省情况】

未指定IPsec隧道的对端IP地址。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

【参数】

ipv4-address:IPsec隧道的对端IPv4地址。

ipv6 ipv6-address:IPsec隧道的对端IPv6地址。

【使用指导】

手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。

【举例】

# 指定IPsec隧道的对端IPv4地址为10.1.1.2。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 manual

[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2

【相关命令】

·     ip host(三层技术-IP业务/域名解析)

·     local-address

1.1.26  reset ipsec sa

reset ipsec sa命令用来清除已经建立的IPsec SA。

【命令】

reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。

·     ipv6-policy:IPv6 IPsec安全策略。

·     policy:IPv4 IPsec安全策略。

·     policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

·     seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。

profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

remote:表示根据对端IP地址清除IPsec SA。

·     ipv4-address:对端的IPv4地址。

·     ipv6 ipv6-address:对端的IPv6地址。

spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。

·     ipv4-address:对端的IPv4地址。

·     ipv6 ipv6-address:对端的IPv6地址。

·     ah:AH协议。

·     esp:ESP协议。

·     spi-num:安全参数索引,取值范围为256~4294967295。

【使用指导】

如果不指定任何参数,则清除所有的IPsec SA。

如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。

对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。

通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。

【举例】

# 清除所有IPsec SA。

<Sysname> reset ipsec sa

# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。

<Sysname> reset ipsec sa spi 10.1.1.2 ah 256

# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。

<Sysname> reset ipsec sa remote 10.1.1.2

# 清除IPsec安全策略名称为policy1、顺序号为10的所有IPsec SA。

<Sysname> reset ipsec sa policy policy1 10

# 清除IPsec安全策略policy1中的所有IPsec SA。

<Sysname> reset ipsec sa policy policy1

【相关命令】

·     display ipsec sa

1.1.27  reset ipsec statistics

reset ipsec statistics命令用来清除IPsec的报文统计信息。

【命令】

reset ipsec statistics [ tunnel-id tunnel-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。

【举例】

# 清除IPsec的所有报文统计信息。

<Sysname> reset ipsec statistics

【相关命令】

·     display ipsec statistics

1.1.28  sa hex-key authentication

sa hex-key authentication命令用来为手工创建的IPsec SA配置认证密钥。

undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。

【命令】

sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string

undo sa hex-key authentication { inbound | outbound } { ah | esp }

【缺省情况】

未配置IPsec SA使用的认证密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

inbound:指定入方向IPsec SA使用的认证密钥。

outbound:指定出方向IPsec SA使用的认证密钥。

ah:指定AH协议。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:HMAC-MD5算法,密钥长度为16个字节;HMAC-SHA1算法,密钥长度为20个字节;HMAC-SM3算法,密钥长度为32个字节。密文密钥为1~85个字符的字符串,区分大小写。

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向的IPsec SA参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。

对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。

在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00

【相关命令】

·     display ipsec sa

·     sa string-key

1.1.29  sa hex-key encryption

sa hex-key encryption命令用来为手工创建的IPsec SA配置加密密钥。

undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。

【命令】

sa hex-key encryption { inbound | outbound } esp { cipher | simple } string

undo sa hex-key encryption { inbound | outbound } esp

【缺省情况】

未配置IPsec SA使用的加密密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

inbound:指定入方向IPsec SA使用的加密密钥。

outbound:指定出方向IPsec SA使用的加密密钥。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-9。密文密钥为1~117个字符的字符串,区分大小写。

表1-9 算法与密钥长度对照表

算法

密钥长度(字节)

DES-CBC

8

3DES-CBC

24

AES128-CBC

16

AES192-CBC

24

AES256-CBC

32

SM4128-CBC

16

 

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向的IPsec SA参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。

对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。

相同方向的情况下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234

【相关命令】

·     display ipsec sa

·     sa string-key

1.1.30  sa spi

sa spi命令用来配置IPsec SA的SPI。

undo sa spi命令用来删除指定的IPsec SA的SPI。

【命令】

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

【缺省情况】

不存在IPsec SA的SPI。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

inbound:指定入方向IPsec SA的SPI。

outbound:指定出方向IPsec SA的SPI。

ah:指定AH协议。

esp:指定ESP协议。

spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。

【使用指导】

此命令仅用于手工方式的IPsec安全策略以及IPsec安全框架。

必须分别配置inboundoutbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。

在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:

·     本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;

·     同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP4+,是BGP4+邻居之间或邻居所在的一个组。

【举例】

# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000

[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000

【相关命令】

·     display ipsec sa

1.1.31  sa string-key

sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。

undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。

【命令】

sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string

undo sa string-key { inbound | outbound } { ah | esp }

【缺省情况】

未配置IPsec SA使用的密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

inbound:指定入方向IPsec SA的密钥。

outbound:指定出方向IPsec SA的密钥。

ah:指定AH协议。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向IPsec SA的参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。

在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:

·     本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;

·     同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab

# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。

<Sysname> system-view

[Sysname] ipsec ipv6-policy policy1 100 manual

[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef

[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef

【相关命令】

·     display ipsec sa

·     sa hex-key

1.1.32  security acl

security acl命令用来指定IPsec安全策略引用的ACL。

undo security acl命令用来恢复缺省情况。

【命令】

security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation ]

undo security acl

【缺省情况】

IPsec安全策略未引用ACL。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

【参数】

ipv6:指定IPv6 ACL。

acl-number:ACL编号,取值范围为3000~3999。

name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

手工方式的IPsec安全策略缺省使用聚合方式,且仅支持聚合方式。

【举例】

# 配置IPsec安全策略引用IPv4高级ACL 3001。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] security acl 3001

【相关命令】

·     display ipsec sa

·     display ipsec tunnel

1.1.33  snmp-agent trap enable ipsec

snmp-agent trap enable ipsec命令用来开启IPsec告警功能。

undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。

【命令】      

snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach tunnel-start | tunnel-stop] *

undo snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *

【缺省情况】

IPsec的所有告警功能均处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

auth-failure:表示认证失败时的告警功能。

decrypt-failure:表示解密失败时的告警功能。

encrypt-failure:表示加密失败时的告警功能。

global表示全局告警功能。

invalid-sa-failure:表示无效SA的告警功能。

no-sa-failure:表示无法查找到SA时的告警功能。

policy-add:表示添加IPsec安全策略时的告警功能。

policy-attach:表示将IPsec安全策略应用到接口时的告警功能。

policy-delete:表示删除IPsec安全策略时的告警功能。

policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。

tunnel-start:表示创建IPsec隧道时的告警功能。

tunnel-stop:表示删除IPsec隧道时的告警功能。

【使用指导】

如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。

如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。

【举例】

# 开启全局IPsec Trap告警。

<Sysname> system-view

[Sysname] snmp-agent trap enable ipsec global

# 开启创建IPsec隧道时的告警功能。

[Sysname] snmp-agent trap enable ipsec tunnel-start

1.1.34  transform-set

transform-set命令用来指定IPsec安全策略/IPsec安全框架所引用的IPsec安全提议。

undo transform-set命令用来取消IPsec安全策略/IPsec安全框架引用的IPsec安全提议。

【命令】

transform-set transform-set-name&<1-6>

undo transform-set [ transform-set-name ]

【缺省情况】

IPsec安全策略/IPsec安全框架未引用IPsec安全提议。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

【参数】

transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。

【使用指导】

对于手工方式的IPsec安全策略,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。

若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。

【举例】

# 配置IPsec安全策略引用名称为prop1的IPsec安全提议。

<Sysname> system-view

[Sysname] ipsec transform-set prop1

[Sysname-ipsec-transform-set-prop1] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1

【相关命令】

·     ipsec { ipv6-policy | policy }

·     ipsec profile

·     ipsec transform-set

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们