- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-IPsec命令
本章节下载: 05-IPsec命令 (593.05 KB)
1.1.1 ah authentication-algorithm
1.1.5 display ipsec policy-template
1.1.9 display ipsec statistics
1.1.10 display ipsec transform-set
1.1.14 esp authentication-algorithm
1.1.15 esp encryption-algorithm
1.1.16 ike-peer (IPsec policy view/IPsec policy template view/IPsec profile view)
1.1.17 ikev2 profile (IPsec policy view / IPsec policy template view / IPsec profile view)
1.1.18 ipsec anti-replay check
1.1.19 ipsec anti-replay window
1.1.21 ipsec cpu-backup enable
1.1.23 ipsec fragmentation before-encryption
1.1.24 ipsec invalid-spi-recovery enable
1.1.25 ipsec no-nat-process enable
1.1.26 ipsec policy (interface view)
1.1.27 ipsec policy (system view)
1.1.28 ipsec policy isakmp template
1.1.29 ipsec policy local-address
1.1.31 ipsec profile (system view)
1.1.32 ipsec profile (tunnel interface view)
1.1.33 ipsec sa global-duration
1.1.34 ipsec session idle-time
1.1.45 reverse-route preference
1.1.53 tfc enable (IPsec policy view/ IPsec policy template view/IPsec profile view)
2.1.1 authentication-algorithm
2.1.15 ike next-payload check disabled
2.1.16 ike oscca-main-mode enable
2.1.19 ike sa keepalive-timer interval
2.1.20 ike sa keepalive-timer timeout
2.1.21 ike sa nat-keepalive-timer interval
2.1.30 proposal (IKE peer view)
3.1.2 authentication (ikev2 profile view)
3.1.3 client configuration address respond
3.1.9 display ikev2 statistics
3.1.10 dpd (IKEv2 profile view)
3.1.12 group (ikev2 proposal view)
3.1.14 identity (IKEv2 peer view)
3.1.16 ikev2 { ip-pool | ipv6-pool }
3.1.22 ikev2 profile (system view)
3.1.34 peer (IKEv2 keyring view)
3.1.35 pki domain (IKEv2 profile view)
3.1.36 pre-shared-key (IKEv2 peer view)
3.1.37 prf (IKEv2 proposal view)
3.1.38 proposal (IKEv2 policy view)
对于安全策略的数据流保护方式,MSR系列路由器同时支持标准方式和聚合方式。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sm3 } *
undo ah authentication-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
aes-xcbc-mac:采用AES-XCBC-MAC认证算法。
md5:采用MD5认证算法,密钥长度128位。
sha1:采用SHA-1认证算法,密钥长度160位。
sm3:采用SM3认证算法,密钥长度为256位。
【描述】
ah authentication-algorithm命令用来配置AH协议采用的认证算法。undo ah authentication-algorithm命令用来恢复缺省情况。
缺省情况下:
· 在FIPS模式下,设备不支持MD5和SM3算法,缺省认证算法为SHA-1。
· 在非FIPS模式下,缺省未指定认证算法。
需要注意的是,只有先使用transform命令选择了ah或ah-esp安全协议后,才能够配置ah认证算法。
相关配置可参考命令ipsec transform-set和transform。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置IPsec安全提议prop1,设定AH协议采用SHA-1算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
[Sysname-ipsec-transform-set-prop1] ah authentication-algorithm sha1
【命令】
connection-name name
undo connection-name
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
name:IPsec连接的名称,为1~32个字符的字符串,不区分大小写。
【描述】
connection-name命令用来配置IPsec连接名,该连接名用于描述一个IPsec安全策略。undo connection-name命令用来恢复缺省情况。
缺省情况下,无IPsec连接名。
【举例】
# 配置一个IPsec连接名来描述序号为1的IPsec安全策略policy1。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] connection-name CenterToA
【命令】
cryptoengine enable
undo cryptoengine enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
cryptoengine enable命令用来使能加密引擎功能。undo cryptoengine enable命令用来禁止加密引擎功能。
缺省情况下,加密引擎功能处于开启状态。
【举例】
# 使能加密引擎功能。
<Sysname> system-view
[Sysname] cryptoengine enable
【命令】
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有安全策略的简要信息。
name:显示指定安全策略的详细信息。
policy-name:指定安全策略的名字,为1~15个字符的字符串。
seq-number:指定安全策略的顺序号,取值范围为1~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec policy命令用来显示IPsec安全策略的信息。
需要注意的是:
· 如果不指定任何参数,则显示所有IPsec安全策略的详细信息。
· 如果指定了name policy-name,而没有指定seq-number,则显示指定的IPsec安全策略组的详细信息。
相关配置可参考命令ipsec policy (system-view)。
【举例】
# 显示所有安全策略的简要信息。
<Sysname> display ipsec policy brief
IPsec Policy Name Mode ACL IKE Peer Name Mapped Template
------------------------------------------------------------------------
bbbbbbbbbbbbbbb-1 template aaaaaaaaaaaaaaa
man-1 manual 3400
map-1 isakmp 3000 peer
nat-1 isakmp 3500 nat
test-1 isakmp 3200 test
toccccc-1 isakmp 3003 tocccc
IPsec Policy Name Mode ACL Local Address Remote Address
------------------------------------------------------------------------
man-1 manual 3400 3.3.3.1 3.3.3.2
表1-1 display ipsec policy brief命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Name |
安全策略的名字和顺序号(例如map-1表示安全策略组名为map、顺序号为1) |
|
Mode |
安全策略采用的协商方式 · manual:手工方式 · isakmp:IKE协商方式 · template:策略模板方式 · gdoi:GDOI方式 |
|
ACL |
安全策略引用的访问控制列表 |
|
IKE Peer Name |
对等体的名称 |
|
Mapped Template |
引用的安全策略模板名 |
|
Local Address |
本端的IP地址 |
|
Remote Address |
对端的IP地址 |
# 显示所有安全策略的详细信息。
<Sysname> display ipsec policy
===========================================
IPsec Policy Group: "policy_isakmp"
Interface: Ethernet1/1
===========================================
------------------------------------
IPsec policy name: "policy_isakmp"
sequence number: 10
acl version: ACL4
mode: isakmp
-------------------------------------
encapsulation mode: tunnel
security data flow : 3000
selector mode: standard
ike-peer name: per
PFS: N
transform-set name: prop1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
===========================================
IPsec Policy Group: "policy_man"
Interface: Ethernet1/2
===========================================
-----------------------------------------
IPsec policy name: "policy_man"
sequence number: 10
acl version: ACL4
mode: manual
-----------------------------------------
encapsulation mode: tunnel
security data flow : 3002
tunnel local address: 162.105.10.1
tunnel remote address: 162.105.10.2
transform-set name: prop1
inbound AH setting:
AH spi: 12345 (0x3039)
AH string-key:
AH authentication hex key : ******
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi: 54321 (0xd431)
AH string-key:
AH authentication hex key: ******
outbound ESP setting:
ESP spi: 65432 (0xff98)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
===========================================
IPsec Policy Group: "manual"
Interface:
Protocol: OSPFv3, RIPng, BGP
===========================================
-----------------------------
IPsec policy name: "policy001"
sequence number: 10
acl version: None
mode: manual
-----------------------------
encapsulation mode: tunnel
security data flow :
tunnel local address:
tunnel remote address:
transform-set name: prop1
inbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
outbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
===========================================
IPsec Policy Group: "gdoi-map"
Interface: Ethernet1/1
===========================================
------------------------------------
IPsec policy name: " gdoi-map "
sequence number: 10
mode: gdoi
-------------------------------------
group name :gdoi-group
表1-2 display ipsec policy命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Group |
IPsec安全策略组的名称 |
|
security data flow |
IPsec安全策略引用的访问控制列表 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Protocol |
应用了IPsec安全策略的协议名称(策略未应用在任何路由协议上时,不显示该字段) |
|
IPsec policy name |
IPsec安全策略的名称 |
|
sequence number |
IPsec安全策略的顺序号 |
|
acl version |
访问控制列表的版本,包括ACL4和ACL6两个版本 若未引用访问控制列表,则显示为None |
|
mode |
IPsec安全策略采用的协商方式 · mannul:手工方式 · isakmp:IKE协商方式 · template:策略模板方式 · gdoi:GDOI协商方式 |
|
encapsulation mode |
IPsec对IP报文的封装模式 · tunnel:隧道模式 · transport:传输模式 |
|
policy template name |
IPsec安全策略模板名称 |
|
selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 |
|
ike-peer name |
IPsec安全策略引用的IKE对等体名称 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH组,取值可包括1、2、5、14 |
|
tunnel local address |
隧道本端的IP地址 |
|
tunnel remote address |
隧道对端的IP地址 |
|
transform-set name |
IPsec安全策略引用的提议的名字 |
|
policy enable |
IPsec安全策略是否被使能 |
|
tfc enable |
TFC填充功能是否被使能 |
|
synchronization inbound anti-replay-interval |
入方向同步防重放窗口的间隔,单位为报文数 |
|
synchronization outbound anti-replay-interval |
出方向同步防重放序号的间隔,单位为报文数 |
|
inbound/outbound AH/ESP setting |
输入/输出端采用AH/ESP协议的有关设置,包括SPI和密钥 |
|
group name |
GDOI组的名称 |
【命令】
display ipsec policy-template [ brief | name template-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有IPsec安全策略模板的简要信息。
name:显示指定IPsec安全策略模板的详细信息。
template-name:指定IPsec安全策略模板的名字,为1~41个字符的字符串。
seq-number:指定IPsec安全策略模板的顺序号,取值范围为1~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec policy-template命令用来显示IPsec安全策略模板的信息。
需要注意的是:
· 如果不指定任何参数,则显示所有IPsec安全策略模板的详细信息。
· 如果指定了name template-name,而没有指定seq-number,则显示指定的IPsec安全策略模板组的详细信息。
相关配置可参考命令ipsec policy-template。
【举例】
# 显示所有IPsec安全策略模板的简要信息。
<Sysname> display ipsec policy-template brief
Policy-template-Name acl Remote-Address
------------------------------------------------------
test-tplt300 2200
表1-3 display ipsec policy-template brief命令显示信息描述表
|
字段 |
描述 |
|
Policy-template-Name |
IPsec安全策略模板的名字和顺序号(例如test-tplt300表示IPsec安全策略组名为test-tplt、顺序号为300) |
|
acl |
IPsec安全策略模板引用的访问控制列表 |
|
Remote Address |
对端的IP地址 |
# 显示所有IPsec安全策略模板详细信息。
<Sysname> display ipsec policy-template
===============================================
IPsec Policy Template Group: "test"
===============================================
---------------------------------
Policy template name: "test"
sequence number: 1
---------------------------------
encapsulation mode: tunnel
security data flow :
ACL’s Version: acl4
ike-peer name: per
PFS: N
transform-set name: testprop
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
表1-4 display ipsec policy-template命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template Group |
IPsec安全策略模板组名称 |
|
Policy template name |
IPsec安全策略模板名称 |
|
sequence number |
IPsec安全策略模板的序号 |
|
encapsulation mode |
IPsec对IP报文的封装模式 · tunnel:隧道模式 · transport:传输模式 |
|
security data flow |
IPsec安全策略模板引用的访问控制列表 |
|
ACL’s Version |
访问控制列表的版本,包括如下取值: · acl4:IPv4 ACL · acl6:IPv6 ACL |
|
ike-peer name |
IPsec安全策略模板引用的IKE对等体名称 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH组,取值可包括1、2、5、14 |
|
transform-set name |
IPsec安全策略模板引用的提议的名字 |
|
synchronization inbound anti-replay-interval |
入方向IPsec SA防重放窗口的间隔,以报文数量为单位 |
|
synchronization outbound anti-replay-interval |
出方向IPsec SA防重放序号的间隔,以报文数量为单位 |
|
IPsec sa local duration(time based) |
安全联盟的基于时间的本地生存时间 |
|
IPsec sa local duration(traffic based) |
安全联盟的基于流量的本地生存时间 |
【命令】
display ipsec profile [ name profile-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
name profile-name:显示指定IPsec安全框架的配置信息。其中,profile-name表示IPsec安全框架的名称,为1~15个字符的字符串,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec profile命令用来显示IPsec安全框架的配置信息。
需要注意的是,如果没有指定IPsec安全框架的名称,则显示所有IPsec安全框架的配置信息。
相关配置可参考命令ipsec profile。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
===========================================
IPsec profile: "2"
Interface: Tunnel2
===========================================
-----------------------------
IPsec profile name: "2"
mode: dvpn
-----------------------------
encapsulation mode: tunnel
security data flow :
ike-peer name: peer1
PFS: Y, DH group: 2
transform-set name: prop1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
===========================================
IPsec profile: "btoa"
Interface: Tunnel1
===========================================
-----------------------------
IPsec profile name: "btoa"
mode: tunnel
-----------------------------
encapsulation mode: tunnel
security data flow :
ike-peer name: btoa
PFS: N
transform-set name: method1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
表1-5 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
IPsec profile |
指定的IPsec安全框架 |
|
Interface |
应用了安全框架的接口名称 |
|
IPsec profile name |
IPsec安全框架的名称 |
|
mode |
IPsec安全框架所采用的封装模式 · dvpn:DVPN隧道模式 · tunnel:IPsec虚拟隧道模式 |
|
encapsulation mode |
IPsec对IP报文的封装模式 · tunnel:隧道模式 · transport:传输模式 |
|
security data flow |
IPsec安全策略引用的访问控制列表 由于IPsec安全框架无需引用任何访问控制列表,因此此处显示无任何实际意义 |
|
ike-peer name |
IPsec安全框架引用的IKE对等体名称 |
|
synchronization inbound anti-replay-interval |
入方向同步防重放窗口的间隔,单位为报文数 |
|
synchronization outbound anti-replay-interval |
出方向同步防重放序号的间隔,单位为报文数 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH组,取值可包括1、2、5、14 |
|
transform-set name |
IPsec安全框架引用的IPsec安全提议的名称 |
|
IPsec sa local duration(time based) |
安全联盟的基于时间的本地生存时间 |
|
IPsec sa local duration(traffic based) |
安全联盟的基于流量的本地生存时间 |
|
policy enable |
IPsec安全策略是否被使能 |
|
tfc enable |
TFC填充功能是否被使能 |
【命令】
display ipsec sa [ brief | policy policy-name [ seq-number ] | remote ip-address ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有的安全联盟的简要信息。
policy:显示由指定IPsec安全策略创建的安全联盟的详细信息。
policy-name:指定IPsec安全策略的名字,为1~15个字符的字符串。
seq-number:指定IPsec安全策略的顺序号,取值范围为1~65535。
remote ip-address:显示指定对端IP地址的安全联盟的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec sa命令用来显示安全联盟的相关信息。
需要注意的是,当未指定任何参数时,显示所有的安全联盟的信息。
相关配置可参考命令reset ipsec sa和ipsec sa global-duration。
【举例】
# 显示安全联盟的简要信息。
<Sysname> display ipsec sa brief
total phase-2 IPv4 SAs: 0
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
10.1.1.1 10.1.1.2 300 ESP E:DES;
A:HMAC-MD5-96
10.1.1.2 10.1.1.1 400 ESP E:DES;
A:HMAC-MD5-96
total phase-2 IPv6 SAs: 0
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
表1-6 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Src Address |
本端的IP地址,“—”表示不关心该地址 |
|
Dst Address |
对端的IP地址,“—”表示不关心该地址 |
|
SPI |
安全参数索引 |
|
Protocol |
IPsec采用的安全协议 |
|
Algorithm |
安全协议采用的认证算法和加密算法,其中,以“E:”开头表示加密算法;以“A:”开头表示认证算法;NULL表示未指定相关算法 |
【命令】
display ipsec session [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
integer:显示指定IPsec隧道的会话信息,取值范围为1~2000000000。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec session命令用来显示IPsec会话的信息。
需要注意的是,如果不指定任何参数,则显示所有IPsec会话信息。
通过会话可以直接查找到匹配的隧道,节省了大量的中间匹配过程,提高了IPsec的转发效率。会话用协议、源地址、源端口、目的地址、目的端口五元组来标识。
相关配置可参考命令reset ipsec session。
【举例】
# 显示所有的IPsec会话信息。
<Sysname> display ipsec session
------------------------------------------------------------
total sessions : 2
------------------------------------------------------------
tunnel-id : 3
session idle time/total duration (sec) : 36/300
session flow : (8 times matched)
Sour Addr : 15.15.15.1 Sour Port: 0 Protocol : 1
Dest Addr : 15.15.15.2 Dest Port: 0 Protocol : 1
------------------------------------------------------------
tunnel-id : 4
session idle duration/total duration (sec) : 7/300
session flow : (3 times matched)
Sour Addr : 12.12.12.1 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.1 Dest Port: 0 Protocol : 1
# 显示IPsec隧道ID为5的会话信息。
<Sysname> display ipsec session tunnel-id 5
------------------------------------------------------------
total sessions : 1
------------------------------------------------------------
tunnel-id : 5
session idle time/total duration (sec) : 30/300
session flow : (4 times matched)
Sour Addr : 12.12.12.2 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.2 Dest Port: 0 Protocol : 1
表1-7 display ipsec session命令显示信息描述表
|
字段 |
描述 |
|
total sessions |
IPsec会话的总个数 |
|
tunnel-id |
IPsec的隧道标识 |
|
session idle time |
IPsec会话的空闲时间,单位为秒 |
|
total duration |
IPsec会话总的生命周期,单位为秒,缺省值为300秒 |
|
session flow |
IPsec会话的流信息 |
|
times matched |
匹配此IPsec会话的报文数 |
|
Sour Addr |
IPsec会话源IP地址 |
|
Dest Addr |
IPsec会话目的IP地址 |
|
Sour Port |
IPsec会话的源端口号 |
|
Dest Port |
IPsec会话的目的端口号 |
|
Protocol |
IPsec保护报文的协议号,例如:1代表ICMP |
【命令】
display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
tunnel-id integer:显示指定IPsec隧道的报文统计信息。其中,integer为隧道的ID号,取值范围为1~2000000000。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec statistics命令用来显示IPsec处理报文的统计信息。
需要注意的是,如果不指定任何参数,则显示所有IPsec处理的报文统计信息。
相关配置可参考命令reset ipsec statistics。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
the security packet statistics:
input/output security packets: 47/62
input/output security bytes: 3948/5208
input/output dropped security packets: 0/45
dropped security packet detail:
not enough memory: 0
can't find SA: 45
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
ACL check failure: 0
# 显示隧道ID为3的IPsec报文统计信息。
<Sysname> display ipsec statistics tunnel-id 3
------------------------------------------------
Connection ID : 3
------------------------------------------------
the security packet statistics:
input/output security packets: 5124/8231
input/output security bytes: 52348/64356
input/output dropped security packets: 0/0
dropped security packet detail:
not enough memory: 0
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
ACL check failure: 0
表1-8 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
Connection ID |
隧道ID号 |
|
input/output security packets |
受安全保护的输入/输出数据包 |
|
input/output security bytes |
受安全保护的输入/输出字节数 |
|
input/output dropped security packets |
被设备丢弃了的受安全保护的输入/输出数据包 |
|
dropped security packet detail |
被丢弃的输入/输出数据包的详细信息(包括以下各项) |
|
not enough memory |
因为内存不足而被丢弃的数据包的数目 |
|
can't find SA |
因为找不到安全联盟而被丢弃的数据包的数目 |
|
queue is full |
因为队列满而被丢弃的数据包的数目 |
|
authentication has failed |
因为认证失败而被丢弃的数据包的数目 |
|
wrong length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
replay packet |
重放的数据包的数目 |
|
packet too long |
因为数据包过长而被丢弃的数据包的数目 |
|
wrong SA |
因为安全联盟不正确而被丢弃的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
【命令】
display ipsec transform-set [ transform-set-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
transform-set-name:显示指定的IPsec安全提议。transform-set-name表示IPsec安全提议的名字,为1~32个字符的字符串。如果不指定本参数,则显示所有IPsec安全提议的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec transform-set命令用来显示IPsec安全提议的信息。
如果没有指定IPsec安全提议的名字,则显示所有IPsec安全提议的信息。
相关配置可参考命令ipsec transform-set。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform-set name: tran1
encapsulation mode: tunnel
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
IPsec transform-set name: tran2
encapsulation mode: transport
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
表1-9 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform-set name |
IPsec安全提议的名字 |
|
encapsulation mode |
提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
transform |
提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议采用的认证算法 |
|
ESP protocol |
ESP协议采用的认证算法和加密算法 |
【命令】
display ipsec tunnel [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec tunnel命令用来显示IPsec隧道的信息。
不指定任何参数的情况下,则显示所有IPsec隧道的信息。
【举例】
# 显示IPsec隧道的信息。
<Sysname> display ipsec tunnel
total tunnel : 2
------------------------------------------------
connection id: 3
perfect forward secrecy:
SA's SPI:
inbound: 187199087 (0xb286e6f) [ESP]
outbound: 3562274487 (0xd453feb7) [ESP]
tunnel:
local address: 44.44.44.44
remote address : 44.44.44.55
flow:
sour addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
dest addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
current Encrypt-card:
------------------------------------------------
connection id: 5
perfect forward secrecy:
SA's SPI:
inbound: 12345 (0x3039) [ESP]
outbound: 12345 (0x3039) [ESP]
tunnel:
flow:
current Encrypt-card:
# 显示聚合方式下的IPsec隧道信息。
<Sysname> display ipsec tunnel
total tunnel: 2
------------------------------------------------
connection id: 4
perfect forward secrecy:
SA's SPI:
inbound : 2454606993 (0x924e5491) [ESP]
outbound : 675720232 (0x2846ac28) [ESP]
tunnel :
local address: 44.44.44.44
remote address : 44.44.44.45
flow :
as defined in acl 3001
current Encrypt-card :
表1-10 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
connection id |
连接标识符,用来唯一地标识一个IPsec Tunnel |
|
perfect forward secrecy |
完善的前向安全,标志IKE第二阶段快速模式使用哪个DH组 |
|
SA's SPI |
出方向和入方向的安全策略索引 |
|
tunnel |
IPsec隧道端点的地址 |
|
flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in acl 3001 |
IPsec隧道保护ACL 3001中定义的所有数据流 |
|
current Encrypt-card |
当前Tunnel使用的加密卡接口,若未使用,则不显示 |
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【视图】
IPsec安全提议视图/IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省级别】
2:系统级
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【描述】
encapsulation-mode命令用来配置安全协议对IP报文的封装形式。undo encapsulation-mode命令用来恢复缺省情况。
缺省情况下,安全协议采用隧道模式对IP报文进行封装。
若要配置应用于IPv6路由协议的手工IPsec安全策略,则该IPsec安全策略引用的安全提议仅支持传输模式的封装模式。
需要注意的是:
· 采用IKEv1协商方式建立IPsec安全隧道时,此命令只适用于被IPsec安全提议引用,相关配置可参考命令ipsec transform-set。
· 采用IKEv2协商方式建立IPsec安全隧道时,此命令只适用于被IPsec安全策略、IPsec安全策略模板或IPsec安全框架引用,相关配置可参考命令ipsec policy (system view)、ipsec policy-template和ipsec profile (system view)。
相关配置可参考命令ipsec transform-set。
【举例】
# 采用IKEv1方式建立IPsec安全隧道时,配置名为tran1的安全提议采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
# 采用IKEv2方式建立IPsec安全隧道时,配置名为policy1且顺序号为100的安全策略采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] encapsulation-mode transport
【命令】
esn enable
undo esn enable
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
无
【描述】
esn enable命令用来使能ESN(Extended Sequence Number,扩展序列号)功能。undo esn enable命令用来关闭ESN功能。
缺省情况下,ESN功能处于关闭状态。
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都使能了ESN功能,ESN功能才能生效。
相关配置可参考命令ipsec transform-set。
【举例】
# 配置IPsec安全提议prop1,使能ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] esn enable
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sm3 } *
undo esp authentication-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
aes-xcbc-mac:采用AES-XCBC-MAC认证算法。
md5:采用MD5认证算法,密钥长度128位。
sha1:采用SHA-1认证算法,密钥长度160位。
sm3 : 采用SM3认证算法,密钥长度为256位。
【描述】
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。undo esp authentication-algorithm命令用来恢复缺省情况。
缺省情况下:
· 在FIPS模式下,设备不支持MD5和SM3算法,缺省认证算法为SHA-1。
· 在非FIPS模式下,缺省未指定认证算法。
需要注意的是:
· MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。对于保密及安全性要求较高的地方,建议采用SHA-1算法;对于普通安全需求,采用MD5算法即可。
· 未配置FIPS模式时,ESP协议允许对报文同时进行加密和认证,或只加密,或只认证;配置了FIPS模式时,ESP协议必须同时设置加密算法和认证算法。
相关配置可参考命令ipsec transform-set、esp encryption-algorithm。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置IPsec安全提议prop1采用ESP协议并使用SHA-1认证算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp authentication-algorithm sha1
【命令】
esp encryption-algorithm { 3des | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des | sm1-cbc-128 | sm1-cbc-192 | sm1-cbc-256 } *
undo esp encryption-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
3des:CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:CTR模式的AES算法,密钥长度为128比特。
aes-ctr-192:CTR模式的AES算法,密钥长度为192比特。
aes-ctr-256:CTR模式的AES算法,密钥长度为256比特。
camellia-cbc-128:CBC模式的camellia算法,密钥长度为128比特。
camellia-cbc-192:CBC模式的camellia算法,密钥长度为192比特。
camellia-cbc-256:CBC模式的camellia算法,密钥长度为256比特。
des:CBC模式的DES算法,密钥长度为56比特。
sm1-cbc-128:CBC模式的SM1算法,密钥长度为128比特。
sm1-cbc-192:CBC模式的SM1算法,密钥长度为192比特。
sm1-cbc-256:CBC模式的SM1算法,密钥长度为256比特。
【描述】
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。undo esp encryption-algorithm命令用来恢复缺省情况。
缺省情况下:
· 在FIPS模式下,设备不支持DES、3DES和SM1算法,缺省加密算法为AES-128。
· 在非FIPS模式下,缺省未指定加密算法。
需要注意的是,未配置FIPS模式时,ESP协议允许对报文同时进行加密和认证,或只加密,或只认证;配置了FIPS模式时,ESP协议必须对报文同时进行加密和认证,如果删除了加密或认证算法,其将会恢复到缺省情况。
相关配置可参考命令display ipsec transform-set和esp authentication-algorithm。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置IPsec安全提议prop1采用ESP协议并使用3DES加密算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp encryption-algorithm 3des
【命令】
ike-peer peer-name [ primary ]
undo ike-peer peer-name
【视图】
IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省级别】
2:系统级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
primary:指定该IKE对等体为primary IKE 对等体。
【描述】
ike-peer命令用来在IKE协商方式配置的IPsec安全策略、IPsec安全策略模板或者IPsec安全框架中引用IKE对等体。undo ike peer命令用来取消在IPsec安全策略、IPsec安全策略模板或者IPsec安全框架中引用IKE对等体。
如果创建的IPsec安全策略为isakmp方式,则可以在该视图下配置多条ike-peer命令,使安全策略引用多个IKE对等体,形成IKE对等体列表。如果使用当前IKE对等体协商失败,则会尝试使用列表中的下一个IKE对等体进行协商。
如果在配置ike-peer命令时指定了primary关键字,则该IKE对等体具有高优先级,每次触发协商时都将从这个IKE对等体开始。每个IPsec安全策略视图下最多只能有一个primary方式的IKE对等体。
在需要引用多条对等体的环境中,请尽量减少引用的对等体数量,同时指定一条对等体是primary IKE 对等体,这样可以提高协商效率。
相关配置可参考命令ipsec policy或ipsec profile。
【举例】
# 配置在IPsec安全策略中引用IKE对等体。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1
# 配置在IPsec安全策略中引用多个IKE对等体。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer2
# 配置在IPsec安全策略中引用多个IKE对等体,并指定一个IKE对等体为primary IKE对等体。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1 primary
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer2
# 配置在IPsec安全框架中引用IKE对等体。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile- profile1] ike-peer peer1
【命令】
ikev2 profile profile-name
undo ikev2 profile
【视图】
IPsec安全策略视图/IPsec安全策略模板视图/IPsec profile视图
【缺省级别】
2:系统级
【参数】
profile-name:IKEv2 profile的名称,为1~32的字符串,不区分大小写。
【描述】
ikev2 profile命令用来配置IPsec安全策略、IPsec安全策略策略模板以及IPsec profile引用的IKEv2 profile。undo ikev2 profile命令用来取消引用的IKEv2 profile。
缺省情况下,未引用任何IKEv2 profile。
需要注意的是:
· 在同一个IPsec安全策略或IPsec profile下不能同时指定IKE对等体和IKEv2 profile,IKE对等体用于IKEv1(第1版本的IKE协议)协商,IKEv2 profile用于IKEv2(第2版本的IKE协议)协商。
· 要引用的IKEv2 profile必须已经存在。
相关配置可参考命令ikev2 profile (system view)、ipsec policy (system view)和ipsec profile (system view)。
【举例】
# 配置IPsec安全策略引用名称为profile1的IKEv2 profile。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] ikev2 profile profile1
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
缺省情况下,IPsec抗重放检测功能处于开启状态。
【举例】
# 开启IPsec抗重放检测。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
width:IPsec抗重放窗口的宽度,可取的值为32、64、128、256、512、1024。
【描述】
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。undo ipsec anti-replay window命令用来恢复缺省情况。
缺省情况下,IPsec抗重放窗口的宽度为32。
需要注意的是,修改后的配置仅对于新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为64。
<Sysname> system-view
[Sysname] ipsec anti-replay window 64
【命令】
ipsec binding policy policy-name [ seq-number ] [ primary ]
undo ipsec binding policy policy-name [ seq-number ] [ primary ]
【视图】
加密卡接口视图
【缺省级别】
2:系统级
【参数】
policy-name:IPsec安全策略组或者IPsec安全框架的名字,为1~15个字符的字符串,不区分大小写,字符可以是英文字母或者数字,不能包括减号“-”。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
primary:指定当前加密卡为IPsec安全策略(组)或者IPsec安全框架的主卡。即IPsec安全策略(组)或者IPsec安全框架优先使用该卡处理。
【描述】
ipsec binding policy命令用来在加密卡接口上绑定IPsec安全策略(组)或者IPsec安全框架。undo ipsec binding policy命令用来从加密卡接口上取消与IPsec安全策略(组)或者IPsec安全框架的绑定。
缺省情况下,没有绑定任何IPsec安全策略(组)或者IPsec安全框架。
需要注意的是:
· 加密卡绑定IPsec安全策略组与在接口上应用IPsec安全策略组没有先后顺序,但必须首先建立IPsec安全策略组。如果先在加密卡上绑定了IPsec安全策略组,要使匹配该策略的流量通过加密卡处理,则此IPsec安全策略组至少要应用到一个接口上。
· 在一个加密卡接口下,可以绑定多个IPsec安全策略(组)/安全框架。一个IPsec安全策略(组)/安全框架可以绑定到多个加密卡接口上。
· 加密卡接口下不能绑定IPsec安全策略模板,但是应用IPsec安全策略模板生成的IPsec安全策略则可以被绑定到加密卡接口下。
· 在一个加密卡接口上,绑定IPsec安全策略(组)/安全框架的同时可以指定当前加密卡为主卡,并以最后一次指定的主卡为有效主卡。但若此IPsec安全策略(组)/安全框架已经在当前加密卡上绑定过,先前绑定的相同名称的IPsec安全策略(组)/安全框架会被覆盖。
· 当使用加密卡对报文进行加密时,IPsec安全策略(组)/安全框架首先选取绑定的主卡作为当前使用加密卡。如果没有配置主卡,则按照绑定的先后顺序从绑定的加密卡中选取一块作为当前加密卡。一旦IPsec安全策略(组)/安全框架指定某块加密卡作为主卡,则立即将当前使用加密卡切换到主卡。
相关配置可参考命令ipsec policy (System view) 和ipsec profile (System view)。
MSR系列路由器各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
ipsec binding policy |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
支持(需要安装MIM加密模块) |
|
|
MSR 50 |
支持(需要安装FIC加密模块,MSR 50-06不支持) |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持(需要安装MIM加密模块) |
【举例】
# 在Encryp1/0接口上绑定名称为map的IPsec安全策略组。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map
# 在Encrypt1/0接口上绑定名称为map1,优先级为10的IPsec安全策略。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10
# 在Encryp1/0接口上绑定名称为map的IPsec安全策略组,并指定当前加密卡为IPsec安全策略组的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map primary
# 在Encrypt1/0接口上绑定名称为map1,优先级为10的IPsec安全策略,并指定当前加密卡为IPsec安全策略的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10 primary
# 在Encryp1/0接口上绑定名称为map1的IPsec安全框架。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1
【命令】
ipsec cpu-backup enable
undo ipsec cpu-backup enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec cpu-backup enable命令用来使能主体软件备份功能。undo ipsec cpu-backup enable命令用来禁止主体软件备份功能。
缺省情况下,主体软件备份功能处于使能状态。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
ipsec cpu-backup enable |
支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
支持 |
|
|
MSR 930 |
支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 使能主体软件备份功能。
<Sysname> system-view
[Sysname] ipsec cpu-backup enable
【命令】
ipsec decrypt check
undo ipsec decrypt check
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec decrypt check命令用来使能解封装后IPsec报文的ACL检查功能。undo ipsec decrypt check命令用来关闭解封装后IPsec报文的ACL检查功能。
缺省情况下,解封装后IPsec报文的ACL检查功能处于使能状态。
【举例】
# 使能对解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt check
【命令】
ipsec fragmentation before-encryption enable
undo ipsec fragmentation before-encryption enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec fragmentation before-encryption enable命令用来使能加密前分片功能。undo ipsec fragmentation before-encryption enable命令用来使能加密后分片功能。
缺省情况下,加密前分片功能处于开启状态。
使能加密前分片功能后,如果待封装报文封装后的大小超过接口MTU值,则对报文先分片再封装;使能加密后分片功能后,对待封装报文先进行封装,封装后的报文尺寸如果超过接口MTU值,则再进行分片。
需要注意的是:
· 使能加密前分片功能后,如果满足分片要求的待封装报文被设置了DF位,则丢弃该报文,并发送ICMP差错控制报文。
· 若设备的某接口上应用了IPsec GDOI安全策略,则必须使能加密前分片功能,否则会导致对端接口上报文尺寸大于接口MTU的报文解密失败。
【举例】
# 使能加密前分片功能。
<Sysname> system-view
[Sysname] ipsec fragmentation before-encryption enable
【命令】
ipsec invalid-spi-recovery enable
undo ipsec invalid-spi-recovery enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec invalid-spi-recovery enable命令用来使能IPsec无效SPI(Security Parameter Index,安全参数索引)恢复功能。undo ipsec invalid-spi-recovery enable命令用来恢复缺省情况。
缺省情况下,IPsec无效SPI恢复功能处于关闭状态,将丢弃收到的无效SPI的IPsec报文。
使能了IPsec无效SPI恢复功能的接收端收到无效SPI的IPsec报文后,即根据报文中的SPI查找不到指定的IPsec SA时,则触发本端IKE向报文的源端发送INVALID SPI NOTIFY消息,通知源端删除此SPI对应的SA,若源端后续还存在到本端的流量时,则可触发IPsec通信两端重建SA。
【举例】
# 使能IPsec无效SPI恢复功能。
<Sysname> system-view
[Sysname] ipsec invalid-spi-recovery enable
【命令】
ipsec no-nat-process enable
undo ipsec no-nat-process enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec no-nat-process enable命令用来使能接口下的NAT业务将报文透传给IPSec业务处理,不进行NAT转换。undo ipsec no-nat-process enable命令用来恢复缺省状态。
缺省状态下,如果接口下同时配置了NAT和IPSec,则接口发送的报文,会依次经过NAT业务和IPSec业务的处理。
在某些特殊的应用环境下,用户要求需要被IPSec业务处理的报文,不经过NAT业务处理,即不做NAT地址转换,而直接由IPSec业务进行处理。对于这种情况,可以通过使能本命令,允许接口下的NAT业务将报文透传给IPSec业务处理,不进行NAT转换。
【举例】
# 使能接口下的NAT业务将报文透传给IPSec业务处理,不进行NAT转换。
<Sysname> system-view
[Sysname] interface ethernet 0/0
[Sysname-Ethernet0/0] ipsec no-nat-process enable
【命令】
ipsec policy policy-name
undo ipsec policy [ policy-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
policy-name:指定应用在接口上的IPsec安全策略组的名字,为1~15个字符的字符串。在系统视图下,必须已经配置了名字为policy-name的IPsec安全策略组。
【描述】
ipsec policy命令用来在接口上应用指定的IPsec安全策略组。undo ipsec policy命令用来从接口上取消应用的IPsec安全策略组,使此接口不再具有IPsec的安全保护功能。
需要注意的是:
· 在一个接口上,只能应用一个IPsec安全策略组。在一个接口上应用一个IPsec安全策略组,实际上是同时应用了IPsec安全策略组中所有的IPsec安全策略,从而能够对不同的数据流采用不同的安全联盟进行保护。如果要在接口上应用另一个IPsec安全策略组,必须先从接口上取消应用的IPsec安全策略组。一个IPsec安全策略组可应用到多个接口上。
· 当从一个接口发送报文时,将按照顺序号从小到大的顺序查找IPsec安全策略组中每一条IPsec安全策略。如果报文匹配了一条IPsec安全策略引用的访问控制列表,则使用这条IPsec安全策略对报文进行处理;如果报文没有匹配IPsec安全策略引用的访问控制列表,则继续查找下一条IPsec安全策略;如果报文对所有IPsec安全策略引用的访问控制列表都不匹配,则报文直接被发送(IPsec不对报文加以保护)。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 在Serial2/2接口上应用名为pg1的IPsec安全策略组。
<Sysname> system-view
[Sysname] interface serial 2/2
[Sysname-Serial2/2] ipsec policy pg1
【命令】
ipsec policy policy-name seq-number [ gdoi | isakmp | manual ]
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:IPsec安全策略的名字,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
gdoi:指定采用GDOI方式建立安全联盟。
isakmp:指定通过IKE协商建立安全联盟。
manual:指定用手工方式建立安全联盟。
【描述】
ipsec policy命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。undo ipsec policy命令用来删除指定的IPsec安全策略。
缺省情况下,没有任何IPsec安全策略存在。
需要注意的是:
· 使用此命令创建IPsec安全策略时,必须指定协商方式,但进入已创建的IPsec安全策略时,可以不指定协商方式。
· 不能修改已创建的IPsec安全策略的协商方式,只能先删除该IPsec安全策略,再重新创建。
· 具有相同名字的IPsec安全策略一起组成一个IPsec安全策略组。由名字和顺序号一起确定一条唯一的IPsec安全策略。在一个IPsec安全策略组中,顺序号seq-number越小的IPsec安全策略,优先级越高。
· 不带seq-number参数的undo命令用来删除一个IPsec安全策略组。
· 对于构建Group Domain VPN的组网环境,需要在GM上配置采用GDOI方式建立安全联盟的安全策略。Group Domain VPN的相关配置请参见“安全配置指导”中的“Group Domain VPN”。
相关配置可参考命令ipsec policy (Interface view)和display ipsec policy。
【举例】
# 配置名字为policy1,顺序号为101,采用手工方式建立安全联盟的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【命令】
ipsec policy policy-name seq-number isakmp template template-name
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:IPsec安全策略的名字,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板的名字。
【描述】
ipsec policy isakmp template命令用来引用IPsec安全策略模板创建一条IPsec安全策略,该IPsec安全策略由IKE协商建立安全联盟。undo ipsec policy命令用来删除指定的IPsec安全策略。
需要注意的是:
· 不带seq-number参数的undo命令用来删除一个IPsec安全策略组;
· 在配置此命令前,必须已经创建IPsec安全策略模板。
· 引用IPsec安全策略模板创建一条IPsec安全策略之后,就不能进入该IPsec安全策略视图下进行IPsec安全策略的配置与修改了,只能进入IPsec安全策略模板视图下配置或修改。
· 不能修改已创建的IPsec安全策略的协商方式,只能先删除该IPsec安全策略,再重新创建。
相关配置可参考命令ipsec policy (system view)和ipsec policy-template。
【举例】
# 引用策略模板temp1创建名字为policy2,顺序号为200的一条IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【命令】
ipsec policy policy-name local-address loopback number
undo ipsec policy policy-name local-address
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:IPsec安全策略组的名字,为1~15个字符的字符串,不区分大小写,字符可以是英文字母或者数字,不能包括减号“-”。
loopback number:指定共享源接口为Loopback接口,其中number表示Loopback接口编号。
【描述】
ipsec policy local-address命令用来配置IPsec安全策略组为共享源接口IPsec安全策略组,即将指定的IPsec安全策略组与一个源接口(目前仅支持Loopback接口)进行绑定。undo ipsec policy local-address命令用来取消IPsec安全策略组为共享源接口IPsec安全策略组的配置。
需要注意的是:
· 引用的IPsec安全策略组与Loopback接口必须已经创建,否则配置不成功。
· 引用的IPsec安全策略组必须配置了具体的IPsec安全策略,否则配置不能生效。
· 当非共享源接口IPsec安全策略组应用于业务接口,并已经生成IPsec SA时,如果将该安全策略组配置为共享源接口IPsec安全策略组,则已经生成的IPsec SA将被删除。
· 共享源接口如果配置了主地址和从地址,只按照共享源接口的主地址进行协商,此时IKE-peer视图下配置的local-address无效。
相关配置可参考命令ipsec policy (System view)和ipsec policy (Interface view)。
【举例】
# 配置IPsec安全策略组map为共享源接口IPsec安全策略组,共享源接口为Loopback0。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] quit
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 5.5.5.5 32
[Sysname-LoopBack0] quit
[Sysname] ipsec policy map local-address loopback 0
【命令】
ipsec policy-template template-name seq-number
undo ipsec policy-template template-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
template-name:为IPsec安全策略模板的名字,为1~41个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:为此IPsec安全策略模板的顺序号,取值范围为1~65535。在一个IPsec安全策略模板中,顺序号越小的IPsec安全策略模板,优先级越高。
【描述】
ipsec policy-template命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。undo ipsec policy-template命令用来删除指定的一个IPsec安全策略模板。
缺省情况下,没有任何IPsec安全策略模板存在。
需要注意的是,不带seq-number参数的undo命令用来删除一个IPsec安全策略模板组。
相关配置可参考命令display ipsec policy-template。
【举例】
# 创建一个模板名字为template1,顺序号为100的IPsec安全策略模板。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【命令】
ipsec profile profile-name
undo ipsec profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:IPsec安全框架的名称,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
【描述】
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。IPsec安全框架定义了对数据流进行IPsec保护所使用的IPsec安全提议,以及用于自动协商安全联盟所需要的IKE协商参数。undo ipsec profile命令用于删除指定的IPsec安全框架。
缺省情况下,没有IPsec安全框架存在。
目前,IPsec安全框架只能应用于DVPN虚拟隧道接口和IPsec虚拟隧道接口下。
相关配置可参考命令ipsec profile (Tunnel interface view)和display ipsec profile。
【举例】
# 创建IPsec安全框架profile1,并进入该IPsec安全框架视图。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1]
【命令】
ipsec profile profile-name
undo ipsec profile
【视图】
Tunnel接口视图
【缺省级别】
2:系统级
【参数】
profile-name:IPsec安全框架名称,为1~15个字符的字符串,不区分大小写。
【描述】
ipsec profile命令用于在DVPN隧道接口或IPsec虚拟隧道接口上应用IPsec安全框架。undo ipsec profile命令用于取消在DVPN隧道接口或IPsec虚拟隧道接口上应用IPsec安全框架。
缺省情况下,DVPN隧道接口或IPsec虚拟隧道接口上没有引用任何IPsec安全框架,即不对隧道进行保护。
需要注意的是:
· 一个隧道接口上只能应用一个IPsec安全框架。
· 如果隧道接口上需要应用新的IPsec安全框架,则需要先取消当前应用的IPsec安全框架。
· 同一个IPsec安全框架不能同时应用在DVPN隧道接口和IPsec虚拟隧道接口上。
相关配置可参考命令ipsec profile (System view)和“三层技术-IP业务命令参考/隧道”中命令的interface tunnel。
【举例】
# 在IPsec虚拟隧道接口上应用保护IPsec隧道的IPsec安全框架vtiprofile。
<Sysname> system-view
[Sysname] interface tunnel 0
[Sysname-Tunnel0] tunnel-protocol ipsec ipv4
[Sysname-Tunnel0] ipsec profile vtiprofile
# 在DVPN隧道接口上引用保护DVPN隧道的IPsec安全框架dvpnprofile。
<Sysname> system-view
[Sysname] interface tunnel 1
[Sysname-Tunnel1] tunnel-protocol dvpn udp
[Sysname-Tunnel1] ipsec profile dvpnprofile
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定基于时间的全局生存周期,取值范围为180~604800,单位为秒。
kilobytes:指定基于流量的全局生存周期,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存周期到期。
【描述】
ipsec sa global-duration命令用来配置全局的安全联盟生存周期。undo ipsec sa global-duration命令用来恢复缺省情况。
缺省情况下,安全联盟基于时间的全局生存周期为3600秒,基于流量的全局生存周期为1843200千字节。
需要注意的是:
· 当IKE协商安全联盟时,如果采用的IPsec安全策略或者IPsec安全框架没有配置自己的生存周期,将采用此命令所定义的全局生存周期与对端协商。如果IPsec安全策略或者IPsec安全框架配置了自己的生存周期,则系统使用IPsec安全策略或者IPsec安全框架自己的生存周期与对端协商。
· IKE为IPsec协商建立安全联盟时,采用本地配置的生存周期和对端提议的生存周期中较小的一个。
· 可同时配置基于时间和基于流量的生存周期,只要到达指定的时间或指定的流量,SA就会老化。
· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用,对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令sa duration。
【举例】
# 配置全局的安全联盟生存周期为2小时。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的安全联盟生周期为10M字节,即传输10M字节的流量后,当前的安全联盟即过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【命令】
ipsec session idle-time seconds
undo ipsec session idle-time
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:IPsec会话的空闲超时时间,取值范围为60~3600,单位为秒。
【描述】
ipsec session idle-time命令用来配置IPsec会话的空闲超时时间。undo ipsec session idle-time命令用来恢复缺省情况。
缺省情况下,IPsec会话的空闲超时时间为300秒。
【举例】
# 配置IPsec会话的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec session idle-time 600
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
transform-set-name:指定IPsec安全提议的名字,为1~32个字符的字符串,不区分大小写。
【描述】
ipsec transform-set命令用来创建一个IPsec安全提议,并进入IPsec提议视图。undo ipsec transform-set命令用来删除指定的IPsec安全提议。
缺省情况下,没有任何IPsec安全提议存在。
相关配置可参考命令display ipsec transform-set。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1]
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
ipv4-address:指定本端安全网关的IPv4地址。
ipv6 ipv6-address:指定本端安全网关的IPv6地址。
【描述】
local-address命令用来配置本端安全网关的IP地址。undo local-address命令用来恢复缺省情况。
缺省情况下,本端安全网关的IP地址为引用IPsec安全策略的接口地址。
IKEv2协商发起方必须配置本端安全网关的IP地址,响应方可选配置。
【举例】
# 配置本端安全网关的IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 }
undo pfs
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
dh-group1:指定使用768-bit Diffie-Hellman组,该参数在FIPS模式下不可用。
dh-group2:指定使用1024-bit Diffie-Hellman组。
dh-group5:指定使用1536-bit Diffie-Hellman组。
dh-group14:指定使用2048-bit Diffie-Hellman组。
【描述】
pfs命令用来配置使用此IPsec安全策略或IPsec安全框架发起协商时使用完善的前向安全(Perfect Forward Secrecy)特性。undo pfs命令用来配置在协商时不使用PFS特性。
缺省情况下,IPsec安全策略或IPsec安全框架发起协商时没有使用PFS特性。
需要注意的是:
· 2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)安全性和需要的计算时间依次递减。
· 此命令使IPsec在使用此IPsec安全策略或IPsec安全框架发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。
· 本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败。
· 此命令仅在通过IKE方式建立安全联盟时才可以进行配置。
相关配置可参考命令ipsec policy-template、ipsec policy (System view)和ipsec profile(System view)。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置使用IPsec安全策略policy1进行协商时使用PFS特性。
<Sysname> system-view
[Sysname] ipsec policy policy1 200 isakmp
[Sysname-ipsec-policy-isakmp-policy1-200] pfs dh-group1
【命令】
policy enable
undo policy enable
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
policy enable命令用来使能IPsec安全策略。undo policy enable命令用来去使能IPsec安全策略。
缺省情况下,IPsec安全策略处于使能状态。
需要注意的是:
· 本命令不适用于手工方式的IPsec安全策略;
· 如果IKE对等体未使能IPsec安全策略,则不能触发IKE协商或是作为响应方参与IKE协商。
相关配置可参考命令ipsec policy (System view)和ipsec policy-template。
【举例】
# 使能名字为policy1,顺序号为100的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] policy enable
【命令】
qos pre-classify
undo qos pre-classify
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
qos pre-classify命令用来配置报文信息的预提取功能。undo qos pre-classify命令用来恢复缺省情况。
缺省情况下,未配置报文信息的预提取功能。
QoS预分类功能是指,在报文进行IPsec封装之前,QoS根据原始IP头信息进行报文分类。
相关配置可参考命令ipsec policy (System view) 和ipsec policy-template。
【举例】
# 配置报文信息的预提取功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
【命令】
remote-address { [ ipv6 ] host-name [ dynamic ] | ipv4-address | ipv6 ipv6-address }
undo remote-address { [ ipv6 ] host-name [ dynamic ] | ipv4-address | ipv6 ipv6-address }
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
ipv6:指定IPv6 IPsec对端安全网关。如果不指定该参数,则表示指定IPv4 IPsec对端安全网关。
hostname:IPsec对端安全网关的主机名,为1~255个字符的字符串,不区分大小写。该主机名是IPsec对端在网络中的唯一标识,可被DNS服务器解析为IP地址。
dynamic:表示IPsec对端安全网关的主机名会进行动态地址解析。如果不配置该参数,则表示仅在配置对端主机名后执行一次DNS查询。
ipv4-address:指定对端安全网关的IPv4地址。
ipv6 ipv6-address:指定对端安全网关的IPv6地址。
【描述】
remote-address命令用来配置对端安全网关的IP地址。undo remote-address命令用来恢复缺省情况。
缺省情况下,未配置对端安全网关的IP地址。
IKEv2协商发起方必须配置对端安全网关的IP地址,响应方可选配。
【举例】
# 配置对端安全网关的IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] remote-address 1.1.1.1
【命令】
reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
parameters:指定一个安全联盟所对应的目的IP地址、安全协议、SPI。dest-address:指定目的地址。
protocol:指定安全协议,可选关键字为ah或esp,不区分大小写。
spi:指定安全参数索引,取值范围为256~4294967295。
policy:指定安全策略或者安全框架。
policy-name:指定IPsec安全策略或者IPsec安全框架的名字,为1~15个字符的字符串,区分大小写,字符可以是英文字母或者数字。
seq-number:指定安全策略的顺序号,取值范围为1~65535。如果不指定seq-number,则是指名字为policy-name的安全策略组中所有安全策略。
remote ip-address:指定安全联盟对应的对端IP地址。
ip-address:指定对端IP地址。
【描述】
reset ipsec sa命令用来清除已经建立的IPsec SA(无论是手工建立的还是通过IKE协商建立的)。
如果不指定任何参数,则清除所有的IPsec SA。
需要注意的是:
· 通过手工建立的IPsec SA被清除后,系统会自动根据对应的手工IPsec安全策略建立新的IPsec SA。
· 通过IKE协商建立的IPsec SA被清除后,如果有报文重新触发IKE协商,IKE将重新协商建立新的IPsec SA。
· 如果指定了parameters关键字,由于IPsec SA是成对出现的,清除了一个方向的IPsec SA,另一个方向的IPsec SA也会被清除。
相关配置可参考命令display ipsec sa。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除对端地址为10.1.1.2的IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除安全策略模板policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
# 清除安全策略名字为policy1、顺序号为10的IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除对端地址为10.1.1.2、安全协议为AH、安全参数索引为10000的IPsec SA。
<Sysname> reset ipsec sa parameters 10.1.1.2 ah 10000
# 清除安全框架policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【命令】
reset ipsec session [ tunnel-id integer ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
integer:显示指定IPsec隧道的会话信息,取值范围为1~2000000000。
【描述】
reset ipsec session命令用来清除设备上IPsec隧道的会话。
相关配置可参考命令display ipsec session。
【举例】
# 清除所有的IPsec会话。
<Sysname> reset ipsec session
# 清除IPsec隧道ID为5的会话。
<Sysname> reset ipsec session tunnel-id 5
【命令】
reset ipsec statistics
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
无
【描述】
reset ipsec statistics命令用来清除IPsec的报文统计信息,所有的统计信息都被设置成零。
相关配置可参考命令display ipsec statistics。
【举例】
# 清除IPsec的报文统计信息。
<Sysname> reset ipsec statistics
【命令】
reverse-route [ remote-peer ip-address [ gateway | static ] | static ]
undo reverse-route
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
static:采用静态方式生成静态路由。若未指定本参数,则表示采用动态方式生成静态路由。该参数仅在安全策略视图下支持,安全策略模板下不支持。
remote-peer ip-address:指定静态路由的下一跳地址。手工指定下一跳地址的静态路由可用于实现路由备份或者负载分担。
gateway:表示利用静态路由的路由迭代功能,自动生成两条路由,一条路由的目的地址为对端私网,下一跳地址为隧道对端地址;另外一条路由的目的地址为隧道对端地址,下一跳地址为ip-address指定的地址,出接口为应用安全策略的接口。通常,在IKE协商方式的安全策略中指定该参数,可为受该安全策略保护的IPsec流量指定一条明确的缺省转发路径。
【描述】
reverse-route命令用来开启IPsec反向路由注入功能。undo reverse-route命令用来关闭反向路由注入功能。
缺省情况下,IPsec反向路由注入功能处于关闭状态。
当本命令中指定关键字static时,即表示通过静态方式生成静态路由,生成的静态路由指向的目的IP地址和IP地址的掩码,均通过本策略应用的ACL来获取,下一跳可通过参数ip-address指定,不指定该参数的情况下为配置的隧道对端地址,具体情况如下:
· reverse-route static命令用来根据本安全策略下引用的ACL的目的地址信息和对端安全网关地址静态生成路由:目的地址为ACL规则的目的地址,下一跳地址为IPsec安全策略视图下配置的tunnel remote地址(手工IPsec安全策略方式)或IKE-Peer视图下配置的remote-address地址(IKE协商IPsec安全策略方式)。
· reverse-route remote-peer ip-address static命令用来根据本IPsec安全策略策略下引用的ACL规则的目的地址信息和ip-address静态生成路由:目的地址为ACL规则的目的地址,下一跳地址为配置的ip-address。
当本命令中不指定static关键字时,即表示通过动态方式来生成静态路由,生成的静态路由指向的目的IP地址和IP地址掩码从成功建立的IPsec SA中获取,下一跳通过参数ip-address配置或为从协商成功的IPsec SA中获取的隧道对端地址,若指定参数gateway的情况下,可根据IPsec SA生成两条路由,具体情况如下:
· reverse-route命令用来自动生成一条路由:目的地址为受保护的对端私网,下一跳地址为对端隧道地址。
· reverse-route remote-peer ip-address命令用来自动生成一条路由:目的地址为受保护的对端私网,下一跳地址为配置的ip-address,该地址通常为应用本策略接口的下一跳地址。
· reverse-route remote-peer ip-address gateway命令用来自动生成两条路由:一条路由的目的地址为受保护的对端私网网段,下一跳地址为隧道对端地址;另外一条路由的目的地址为隧道对端地址,下一跳地址为配置的ip-address,出接口为应用安全策略的接口。
需要注意的是:
· 当配置(开启、关闭或修改)反向路由注入功能时,会删除本策略生成的或协商出的所有IPsec SA。
· 由于静态方式生成静态路由,需要根据安全策略下引用的ACL中的目的地址信息生成,所以若选择通过静态方式生成静态路由,则安全策略下必须引用ACL。
· 动态方式生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。
· 需要查看生成的路由信息时,可以通过display ip routing-table命令查看,关于路由表项的详细信息,请参见“三层技术-IP路由配置指导”中的“IP路由基础”。
· 若IKE-Peer视图下配置的remote-address地址为一个地址范围,则配置的静态反向路由注入功能不生效。
相关配置可参考命令reverse-route preference和reverse-route tag。
【举例】
# 根据ACL 3000的信息和对端安全网关地址静态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ike peer 1
[Sysname-ike-peer-1] remote-address 1.1.1.2
[Sysname-ike-peer-1] quit
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 permit ip source 2.0.0.0 0.0.0.255 destination 3.0.0.0 0.0.0.255
[Sysname-acl-adv-3000] quit
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] security acl 3000
[Sysname-ipsec-policy-isakmp-1-1] transform-set tran1
[Sysname-ipsec-policy-isakmp-1-1] ike-peer 1
[Sysname-ipsec-policy-isakmp-1-1] reverse-route static
[Sysname-ipsec-policy-isakmp-1-1] quit
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] ipsec policy 1
[Sysname-Ethernet1/1]quit
# 可立即查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根据ACL 3000的信息静态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为指定的1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 static
[Sysname-ipsec-policy-isakmp-1-1] quit
# 可立即查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根据协商成功的IPsec SA动态生成静态路由,且指定下一跳地址为1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根据协商成功的IPsec SA动态生成两条静态路由:一条路由的目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为隧道对端地址1.1.1.2;另外一条路由的目的地址为隧道对端地址1.1.1.2/32,下一跳地址为1.1.1.3。
[Sysname]ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 gateway
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
1.1.1.2/32 Static 60 0 1.1.1.3 Eth1/1
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
【命令】
reverse-route preference preference-value
undo reverse-route preference
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
preference-value:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。
【描述】
reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。undo reverse-route preference命令用来恢复缺省情况。
缺省情况下,IPsec反向路由注入功能生成的静态路由的优先级为60。
需要注意的是,若对静态路由优先级进行修改,则在静态工作机制下的反向路由注入功能会根据新的路由优先级重新生成静态路由,而在动态工作机制下的反向路由注入功能不会修改已生成的静态路由的优先级,修改后的路由优先级仅对新增的静态路由有效。
相关配置可参考命令reverse-route。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【命令】
reverse-route tag tag-value
undo reverse-route tag
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
tag-value:静态路由的Tag值,取值范围为1~4294967295。
【描述】
reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值,该值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制。undo reverse-route tag命令用来恢复缺省情况。
缺省情况下,IPsec反向路由注入功能生成的静态路由的Tag值为0。
需要注意的是,若对静态路由Tag值进行修改,则在静态工作机制下的反向路由注入功能会根据新的路由Tag值重新生成静态路由,而在动态工作机制下的反向路由注入功能不会修改已生成的静态路由的Tag值,修改后的路由Tag值仅对新增的静态路由有效。
关于路由策略的详细介绍请参见“三层技术-IP路由配置指导”中的“路由策略”。
相关配置可参考命令reverse-route。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【命令】
sa authentication-hex { inbound | outbound } { ah | esp } [ cipher | simple ] hex-key
undo sa authentication-hex { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
cipher hex-key:表示以密文方式设置认证密钥。hex-key为1~117个字符的字符串,区分大小写。
simple hex-key:表示以明文方式设置认证密钥。hex-key为以十六进制格式输入的明文密钥,不区分大小写,对于不同的算法,密钥长度不同(MD5:16字节;SHA1:20字节;AES-XBC-MAC:16字节)。
不指定cipher或simple时,表示以明文方式设置认证密钥。
【描述】
sa authentication-hex命令用来对配置安全联盟的认证密钥。undo sa authentication-hex命令用来删除配置的安全联盟的认证密钥。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置manual方式的安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。
· 对于要应用于IPv6路由协议的IPsec安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
· 以明文或密文方式设置的认证密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用AH协议的入方向安全联盟的认证密钥为明文的0x112233445566778899aabbccddeeff00;出方向安全联盟的认证密钥为明文的0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah simple aabbccddeeff001100aabbccddeeff00
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
seconds:指定基于时间的生存周期,取值范围为180~604800,单位为秒。
kilobytes:指定基于流量的生存周期,取值范围为2560~4294967295,单位为千字节。
【描述】
sa duration命令用来为IPsec安全策略或者IPsec安全框架配置安全联盟的生存周期。undo sa duration命令用来恢复缺省情况。
缺省情况下,IPsec安全策略或者IPsec安全框架的安全联盟生存周期为当前全局的安全联盟生存周期值。
需要注意的是:
· 当IKE协商安全联盟时,如果采用的IPsec安全策略或者IPsec安全框架没有配置自己的生存周期,将采用全局生存周期(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略或者IPsec安全框架配置了自己的生存周期,则系统使用IPsec安全策略或者IPsec安全框架自己的生存周期与对端协商。
· IKE为IPsec协商建立安全联盟时,采用本地配置的生存周期和对端提议的生存周期中较小的一个。
· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用,而对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令ipsec sa global-duration、ipsec policy (System view)和ipsec profile (System view)。
【举例】
# 配置IPsec安全策略policy1的安全联盟生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的安全联盟生存周期为20M字节,即传输20480千字节的流量后,当前的安全联盟就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
# 配置IPsec安全框架profile1的安全联盟生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration time-based 7200
# 配置IPsec安全框架profile1的安全联盟生存周期为20M字节,即传输20480千字节的流量后,当前的安全联盟就过期。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration traffic-based 20480
【命令】
sa encryption-hex { inbound | outbound } esp [ cipher | simple ] hex-key
undo sa encryption-hex { inbound | outbound } esp
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
esp:采用ESP协议。
cipher hex-key:表示以密文方式设置加密密钥。hex-key为1~117个字符的字符串,区分大小写。
simple hex-key:表示以明文方式设置加密密钥。hex-key为以十六进制格式输入的明文密钥,不区分大小写,对于不同的算法,密钥长度不同(DES-CBC:8字节;3DES-CBC:24字节;AES128-CBC:16字节;AES192-CBC:24字节;AES256-CBC:32字节;AESCTR-128:20字节;camellia128-CBC:16字节;camellia192-CBC:24字节;camellia256-CBC:32字节)。
不指定cipher或simple时,表示以明文方式设置加密密钥。
【描述】
sa encryption-hex命令用来配置安全联盟的加密密钥参数。undo sa encryption-hex命令用来删除配置的安全联盟的加密密钥参数。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样;本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。
· 对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
· 以明文或密文方式设置的加密密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用ESP协议的入方向安全联盟的加密算法的密钥为明文0x1234567890abcdef;出方向加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp simple abcdefabcdef1234
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
spi-number:安全联盟三元组标识中的安全参数索引,取值范围为256~4294967295。
【描述】
sa spi命令用来配置安全联盟的安全参数索引参数。undo sa spi命令用来删除配置的安全联盟的安全参数索引参数。
缺省情况下,不存在SA的安全参数索引。
需要注意的是:
· 此命令仅用于manual方式的IPsec安全策略。
· 对于isakmp方式的IPsec安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数。
· 在配置IPsec安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。配置基于ACL的IPsec手工安全策略时,必须保证SA的唯一性,即不同SA对应不同的SPI。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。
在配置应用于IPv6路由协议的安全策略时,还需要注意的是:
· 本端出方向SA的SPI必须和本端入方向SA的SPI保持一致;
· 同一个范围内的,所有设备上的SA的SPI均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置入方向安全联盟的SPI为10000,出方向安全联盟的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【命令】
sa string-key { inbound | outbound } { ah | esp } [ cipher | simple ] string-key
undo sa string-key { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥。
string-key:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。不指定cipher或simple时,表示以明文方式设置密钥。对不同的算法,均可输入不超过长度范围的字符串,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【描述】
sa string-key命令用来配置安全联盟的密钥。undo sa string-key命令用来删除配置的安全联盟的密钥。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置IPsec安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端入方向安全联盟的密钥必须和对端出方向安全联盟的密钥一样;本端出方向安全联盟的密钥必须和对端入方向安全联盟的密钥一样。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
· 以明文或密文方式设置的密钥,均以密文的方式保存在配置文件中。
· 此命令在FIPS模式下不可用。
在配置应用于IPv6路由协议的IPsec安全策略时,还需要注意的是:
· 本端出方向SA的密钥必须和本端入方向SA的密钥保持一致;
· 同一个范围内的,所有设备上的SA的密钥均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
相关配置可参考命令ipsec policy (System view)。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置采用AH协议的入方向安全联盟的密钥为明文字符串abcdef;出方向安全联盟的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在要应用于IPv6路由协议的安全策略中,配置采用AH协议的入方向安全联盟的密钥为明文字符串abcdef;出方向安全联盟的密钥为明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【命令】
security acl acl-number [ aggregation ]
undo security acl
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省级别】
2:系统级
【参数】
acl-number:指定IPsec安全策略所引用的访问控制列表号,取值范围为3000~3999。
aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。如果不指定该参数,则IPsec安全策略的数据流保护方式为标准方式。
【描述】
security acl命令用来配置IPsec安全策略引用的访问控制列表。undo security acl命令用来取消IPsec安全策略引用的访问控制列表。
缺省情况下,IPsec安全策略没有指定访问控制列表。
配置IKE协商安全策略的情况下,IPsec安全策略的数据流保护方式包括以下两种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护;
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。
需要注意的是:
· 聚合方式仅用于和老版本的设备互通。这种情况下,要求两端的配置必须一致,即两端同时配置聚合方式。
· 一条安全策略只能引用一条访问控制列表,如果设置安全策略引用了多于一个访问控制列表,最后配置的那条访问控制列表才有效。
· 对于IPsec GDOI安全策略视图视图,不能配置IPv6类型的ACL,不能配置aggregation参数,如果引用的ACL中存在permit规则,则与permit规则匹配的任何报文将被丢弃。
相关配置可参考命令ipsec policy (system view)。
【举例】
# 配置IPsec安全策略引用ACL 3001。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【命令】
tfc enable
undo tfc enable
【视图】
IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tfc enable命令用来使能TFC(Traffic Flow Confidentiality)填充功能。undo tfc enable命令用来恢复缺省情况。
缺省情况下,TFC填充功能处于关闭状态。
TFC填充功能可通过隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用AH协议封装的UDP报文以及使用ESP协议封装的原始IP报文生效。
【举例】
# 使能TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ikev2-policy-isakmp-map-1] tfc enable
【命令】
transform { ah | ah-esp | esp }
undo transform
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
ah:采用AH协议。
ah-esp:先用ESP协议对报文进行保护,再用AH协议进行保护。
esp:采用ESP协议。
【描述】
transform命令用来配置提议采用的安全协议。undo transform命令用来恢复缺省情况。
缺省情况下,采用ESP协议。
需要注意的是,在安全隧道的两端,IPsec提议所使用的安全协议需要匹配。
相关配置可参考命令ipsec transform-set。
【举例】
# 配置一个采用AH协议的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-name-set ]
【视图】
IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省级别】
2:系统级
【参数】
transform-set-name&<1-6>:所采用的提议名字,为1~32个字符的字符串。&<1-6>表示前面的参数最多可以输入6次。
【描述】
transform-set命令用来配置IPsec安全策略或IPsec安全框架所引用的IPsec安全提议。undo transform-set命令用来取消IPsec安全策略或IPsec安全框架引用的IPsec安全提议。
缺省情况下,IPsec安全策略或IPsec安全框架没有引用任何IPsec安全提议。
需要注意的是:
· 引用的IPsec安全提议必须已经存在。
· 如果IPsec安全策略是手工(manual)方式的,则IPsec安全策略在引用提议时只能指定一个IPsec安全提议。如果需要改变已配置好的IPsec安全提议,必须先使用命令undo transform-set取消原先的IPsec安全提议,再配置新的IPsec安全提议。
· 如果IPsec安全策略是IKE(isakmp)协商方式的,则一条IPsec安全策略最多可以引用六个IPsec安全提议,IKE协商时将在IPsec安全策略中搜索能够完全匹配的IPsec安全提议。
· 一条IPsec安全框架最多可以引用六个IPsec安全提议,IKE协商时将在IPsec安全框架中搜索能够完全匹配的IPsec安全提议。
相关配置可参考命令ipsec transform-set、ipsec policy (System view)和ipsec profile (System view)。
【举例】
# 配置IPsec安全策略引用名字为tran1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set tran1
# 配置IPsec安全框架引用名字为tran2的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set tran2
[Sysname-ipsec-transform-set-prop2] quit
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] transform-set tran2
【命令】
tunnel local ip-address
undo tunnel local
【视图】
IPsec安全策略视图
【缺省级别】
2:系统级
【参数】
ip-address:本端地址。
【描述】
tunnel local命令用来配置安全隧道的本端地址。undo tunnel local命令用来删除在安全隧道中设定的本端地址。
缺省情况下,没有配置安全隧道的本端地址。
需要注意的是:
· 仅用于manual方式的IPsec安全策略。
· 如果没有设置本端地址,本端地址将采用IPsec安全策略应用的接口地址。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置安全隧道的本端地址为Loopback0的地址10.0.0.1。
<Sysname> system-view
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 10.0.0.1 32
[Sysname-LoopBack0] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] tunnel local 10.0.0.1
【命令】
tunnel remote ip-address
undo tunnel remote [ ip-address ]
【视图】
IPsec安全策略视图
【缺省级别】
2:系统级
【参数】
ip-address:安全策略的隧道对端地址。
【描述】
tunnel remote命令用来配置安全隧道的对端地址。undo tunnel remote命令用来删除安全隧道的对端地址。
缺省情况下,没有配置安全隧道的对端地址。
需要注意的是:
· 仅用于manual方式的安全策略;
· 设置新的对端地址将会覆盖已经设置的对端地址;
· 安全隧道是建立在本端和对端之间,在安全隧道的两端,当前端点的对端地址需要与对端的本端地址保持一致。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置IPsec安全策略的对端地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-policy1-10] tunnel remote 10.1.1.2
【命令】
authentication-algorithm { md5 | sha | sm3 }
undo authentication-algorithm
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
sm3: 指定认证算法为SM3。
【描述】
authentication-algorithm命令用来指定一个供IKE提议使用的认证算法。undo authentication-algorithm命令用来恢复缺省情况。
缺省情况下,IKE提议使用SHA1认证算法。
需要注意的是,在FIPS模式下不支持MD5和SM3算法。
相关配置可参考命令ike proposal和display ike proposal。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 指定IKE提议10的认证算法为MD5。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-algorithm md5
【命令】
authentication-method { pre-share | rsa-signature | oscca-rsa | oscca-sm2 }
undo authentication-method
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
pre-share:指定认证方法为预共享密钥方法。
rsa-signature:指定认证方法为RSA数字签名方法。
oscca-rsa : 指定认证方法为国密办RSA方法。
oscca-sm2 : 指定认证方法为国密办SM2方法。
【描述】
authentication-method命令用来指定一个供IKE提议使用的认证方法。undo authentication-method命令用来恢复缺省情况。
缺省情况下,IKE提议使用预共享密钥的认证方法。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-method pre-share
【命令】
certificate domain domain-name
undo certificate domain
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
domain-name:指定的PKI域名称,为1~64个字符的字符串。
【描述】
certificate domain命令用来配置IKE协商采用数字签名认证时,证书所属的PKI域。undo certificate domain命令用来取消配置证书所属的PKI域。
相关配置可参考命令authentication-method,以及“安全命令参考/PKI”中的命令pki domain。
【举例】
# 配置IKE协商所使用的PKI域为abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] certificate domain abcde
【命令】
dh { group1 | group2 | group5 | group14 }
undo dh
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman组,该参数在FIPS模式下不可用。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman组。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman组。
【描述】
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。undo dh命令用来恢复缺省情况。
缺省情况下:
· 在FIPS模式下,IKE阶段1密钥协商时所使用的DH密钥交换参数为group2,即1024-bit的Diffie-Hellman组。
· 在非FIPS模式下,IKE阶段1密钥协商时所使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman组。
相关配置可参考命令ike proposal和display ike proposal。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 指定IKE提议10使用768-bit的Diffie-Hellman组。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] dh group1
【命令】
display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike dpd命令用来显示DPD配置的参数。
如果不指定参数dpd-name,将显示所有DPD配置的参数。
相关配置可参考命令ike dpd。
【举例】
# 显示DPD配置的参数。
<Sysname> display ike dpd
---------------------------
IKE dpd: dpd1
references: 1
interval-time: 10
time_out: 5
---------------------------
表2-1 display ike dpd命令显示信息描述表
|
字段 |
描述 |
|
references |
引用该DPD配置的IKE对等体的个数 |
|
Interval-time |
经过多长时间没有从对端收到IPsec报文则触发DPD,单位为秒 |
|
time_out |
DPD报文的重传时间间隔,单位为秒 |
【命令】
display ike peer [ peer-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike peer命令用来显示IKE对等体配置的参数。
相关配置可参考命令ike peer。
【举例】
# 显示IKE对等体配置的参数信息。
<Sysname> display ike peer
---------------------------
IKE Peer: rtb4tunn
exchange mode: main on phase 1
pre-shared-key ******
peer id type: ip
peer ip address: 44.44.44.55
local ip address:
peer name:
nat traversal: disable
dpd: dpd1
inside vpn instance: vrf1
---------------------------
表2-2 display ike peer命令显示信息描述表
|
字段 |
描述 |
|
exchange mode |
IKE第一阶段的协商模式 |
|
pre-shared-key |
IKE第一阶段协商所使用的预共享密钥,配置值显示为****** |
|
peer id type |
IKE第一阶段的协商过程中使用ID的类型 |
|
peer ip address |
对端安全网关的IP地址 |
|
local ip address |
本端安全网关的IP地址 |
|
peer name |
对端安全网关的名字 |
|
nat traversal |
是否启动IPsec/IKE的NAT穿越功能 |
|
dpd |
对等体存活检测的名称 |
|
inside vpn instance |
被保护数据所属的MPLS L3VPN |
【命令】
display ike proposal [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike proposal命令用来显示所有IKE提议配置的参数。
IKE提议按照优先级的先后顺序显示。
相关配置可参考命令authentication-method、ike proposal、encryption-algorithm、authentication-algorithm、dh和sa duration。
【举例】
# 显示IKE提议配置的参数信息。
<Sysname> display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group (seconds)
--------------------------------------------------------------------------
10 PRE_SHARED SHA DES_CBC MODP_1024 5000
11 PRE_SHARED MD5 DES_CBC MODP_768 50000
default PRE_SHARED SHA DES_CBC MODP_768 86400
表2-3 display ike proposal命令显示信息描述表
|
字段 |
描述 |
|
priority |
IKE提议的优先级 |
|
authentication method |
IKE提议使用的认证方法 |
|
authentication algorithm |
IKE提议使用的认证算法 |
|
encryption algorithm |
IKE提议使用的加密算法 |
|
Diffie-Hellman group |
IKE阶段1密钥协商时所使用的DH密钥交换参数 |
|
duration (seconds) |
IKE提议的ISAKMP SA存活时间(秒) |
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address remote-address ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
verbose:显示当前IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
remote-address:指定对端IP地址。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike sa命令用来显示当前IKE SA的信息。
需要注意的是,若不选择任何参数则显示当前IKE SA和IPsec SA的摘要信息。
相关配置可参考命令ike proposal和ike peer。
【举例】
# 显示当前IKE SA和IPsec SA的摘要信息。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK—REKEY
# 显示GDOI类型的IKE SA和Rekey SA的摘要信息。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 GROUP
2 202.38.0.2 RD|RK 1 GROUP
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK-REKEY
表2-4 display ike sa命令显示信息描述表
|
字段 |
描述 |
|
total phase-1 SAs |
所有第一阶段安全联盟的总数 |
|
connection-id |
IKE SA和IPsec SA的标识符 |
|
peer |
此安全联盟的对端的IP地址 |
|
flag |
显示此安全联盟的状态: · RD(READY):表示此安全联盟已建立成功 · ST(STAYALIVE):表示此端是隧道协商发起方 · RL(REPLACED):表示此隧道已经被新的隧道代替,一段时间后将被删除 · FD(FADING):表示此隧道已发生过一次软超时,目前还在使用,在硬超时发生时,会删除此隧道 · TO(TIMEOUT):表示此安全联盟在上次keepalive超时发生后还没有收到keepalive报文,如果在下次keepalive超时发生时仍没有收到keepalive报文,此安全联盟将被删除 · RK(REKEY):表示此安全联盟是Rekey SA |
|
phase |
此安全联盟所属阶段: · Phase 1:建立安全隧道进行通信的阶段,此阶段建立IKE SA · Phase 2:协商安全服务的阶段,此阶段建立IPsec SA |
|
doi |
安全联盟所属解释域 · IPSEC:表示使用IKE协议协商 · GROUP:表示使用GDOI协议协商 |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
connection id: 2
vpn instance:
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 86379
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照连接标识符显示IKE SA的详细信息。
<Sysname> display ike sa verbose connection-id 2
---------------------------------------------
connection id: 2
vpn instance:
inside vpn instance: vrf1
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82480
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照对端地址显示IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
connection id: 2
vpn instance:
inside vpn instance: vrf1
transmitting entity: initiator
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82236
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
表2-5 display ike sa verbose命令显示信息描述表
|
字段 |
描述 |
|
connection id |
IKE SA和IPsec SA的标识符 |
|
vpn instance |
接收报文的接口所属的MPLS L3VPN |
|
inside vpn instance |
被保护数据所属的MPLS L3VPN |
|
transmitting entity |
IKE协商中的实体 |
|
local ip |
本端安全网关的IP地址 |
|
local id type |
本端安全网关的ID类型 |
|
local id |
本端安全网关的ID |
|
remote ip |
对端安全网关的IP地址 |
|
remote id type |
对端安全网关的ID类型 |
|
remote id |
对端安全网关的ID |
|
authentication-method |
IKE提议使用的认证方法 |
|
authentication-algorithm |
IKE提议使用的认证算法 |
|
encryption-algorithm |
IKE提议使用的加密算法 |
|
life duration(sec) |
IKE SA的生命周期(秒) |
|
remaining key duration(sec) |
IKE SA的剩余生命周期(秒) |
|
exchange-mode |
IKE第一阶段的协商模式 |
|
diffie-hellman group |
IKE第一阶段密钥协商时所使用的DH密钥交换参数 |
|
nat traversal |
是否使能NAT穿越功能 |
【命令】
dpd dpd-name
undo dpd
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
【描述】
dpd命令用来为IKE对等体应用一个DPD。undo dpd命令用来取消IKE对等体对DPD的应用。
缺省情况下,IKE对等体没有应用DPD。
【举例】
# 为对等体peer1应用名称为dpd1的DPD。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] dpd dpd1
【命令】
encryption-algorithm { 3des-cbc | aes-cbc [ key-length ] | des-cbc | sm1-cbc-128 | sm1-cbc-192 | sm1-cbc-256 }
undo encryption-algorithm
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法。3DES算法采用168 bits的密钥进行加密。
aes-cbc:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128 bits、192bits、256bits的密钥进行加密。
key-length:AES算法采用的密钥长度,取值可以为128、192、256,缺省值为128。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56 bits的密钥进行加密。
sm1-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,密钥长度为128比特。
sm1-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,密钥长度为192比特。
sm1-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,密钥长度为256比特。
【描述】
encryption-algorithm命令用来指定一个供IKE提议使用的加密算法。undo encryption-algorithm命令用来恢复缺省情况。
缺省情况下:
· 在FIPS模式下,设备不支持DES-CBC、3DES-CBC和SM1,IKE提议使用CBC模式的128-bit AES-CBC加密算法。
· 在非FIPS模式下,IKE提议使用CBC模式的56-bit DES加密算法。
相关配置可参考命令ike proposal和display ike proposal。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 指定IKE提议10的加密算法为CBC模式的56-bit DES。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] encryption-algorithm des-cbc
【命令】
exchange-mode { aggressive | main }
undo exchange-mode
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
aggressive:野蛮模式,该参数在FIPS模式下不可用。
main:主模式。
【描述】
exchange-mode命令用来选择IKE阶段的协商模式。undo exchange-mode命令用来恢复缺省情况。
缺省情况下,IKE阶段的协商模式使用主模式。
需要注意的是:
· 当对端的IP地址为自动获取(如一端用户为拨号方式),且采用预共享密钥认证方式时,建议将本端的协商模式配置为aggressive。
· 在FIPS模式下,设备不支持aggressive协商模式。
相关配置可参考命令id-type。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置IKE使用主模式。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] exchange-mode main
【命令】
id-type { ip | name | user-fqdn | dn }
undo id-type
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
ip:选择IP地址作为IKE协商过程中使用的ID。
name:选择FQDN(Fully Qualified Domain Name,完全合格域名)类型的名字作为IKE协商过程中使用的ID。
user-fqdn:选择User FQDN类型的名字作为IKE协商过程中使用的ID。
dn:选择DN类型的名字作为IKE协商过程中使用的ID。
【描述】
id-type命令用来选择IKE协商过程中使用的ID的类型。undo id-type命令用来恢复缺省情况。
缺省情况下,使用IP地址作为IKE协商过程中使用的ID。
需要注意的是:
· 在预共享密钥认证的主模式下,只能使用IP地址类型的身份进行IKE协商,建立安全联盟。
· 在IKE野蛮模式下,不但可以使用IP地址类型的身份进行协商,也可以使用FQDN或者User FQDN类型的身份进行IKE协商,并建立安全联盟。
· 若选择使用FQDN类型的ID,为保证IKE协商成功,建议本端网关的名称配置为不携带@字符的字符串,例如foo.bar.com。
· 若选择使用User FQDN类型的ID,为保证IKE协商成功,建议本端网关的名称配置为携带@字符的字符串,例如test@foo.bar.com。
相关配置可参考命令local-name、ike local-name、remote-name、remote-address、local-address和exchange-mode。
【举例】
# 配置使用名字作为IKE协商过程中使用的ID。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] id-type name
【命令】
ike dpd dpd-name
undo ike dpd dpd-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
【描述】
ike dpd命令用来创建一个DPD,并进入DPD视图。undo ike dpd命令用来删除指定名字的DPD配置。
【举例】
# 创建一个名称为dpd2的DPD。
<Sysname> system-view
[Sysname] ike dpd dpd2
【命令】
ike local-name name
undo ike local-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
name:指定IKE协商时的本端安全网关的名字,为1~255个字符的字符串,区分大小写。
【描述】
ike local-name命令用来配置本端安全网关的名字。undo ike local-name命令用来恢复缺省情况。
缺省情况下,使用设备名作为本端安全网关的名字。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端需要配置本端安全网关的名字,该名字既可以在系统视图下进行配置(使用命令ike local-name),也可以在IKE对等体视图下配置(使用命令local-name),若两个视图下都配置了本端安全网关的名字,则采用IKE对等体视图下的配置。
在IKE协商过程中,发起端会将本端安全网关的名字发送给对端来标识自己的身份,而响应端使用配置的对端安全网关的名字(使用命令remote-name)来认证发起端,故此时响应端上配置的对端安全网关的名字应与发起端上所配的本端安全网关的名字保持一致。
相关配置可参考命令remote-name和id-type。
【举例】
# 为IKE配置本端安全网关的名字为app。
<Sysname> system-view
[Sysname] ike local-name app
【命令】
ike next-payload check disabled
undo ike next-payload check disabled
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ike next-payload check disabled命令用来配置在IKE协商过程中取消对最后一个payload的next payload域的检查,以便与某些公司的产品互通。undo ike next-payload check disabled命令用来恢复缺省情况。
缺省情况下,在IKE协商过程中对next payload域进行检查。
【举例】
# 配置在IKE协商过程中取消对最后一个payload的next payload域的检查。
<Sysname> system-view
[Sysname] ike next-payload check disabled
【命令】
ike oscca-main-mode enable
undo ike oscca-main-mode enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ike oscca-main-mode enable命令用来使能国密办主模式协商方式。undo ike oscca-main-mode enable命令用来恢复缺省情况。
缺省情况下,使用标准IKEv1进行主模式协商。
【举例】
# 使能国密办主模式协商方式。
<Sysname> system-view
[Sysname] ike oscca-main-mode enable
【命令】
ike peer peer-name
undo ike peer peer-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
【描述】
ike peer命令用来创建一个IKE对等体,并进入IKE-Peer视图。undo ike peer命令用来删除一个IKE对等体。
【举例】
# 创建IKE对等体为peer1,并进入IKE-Peer视图。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1]
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。在进行IKE协商的时候,会从序号最小的IKE提议进行匹配,如果匹配则直接使用,否则继续查找。
【描述】
ike proposal命令用来创建IKE提议,并进入IKE提议视图。undo ike proposal命令用来删除一个IKE提议。
缺省情况下,系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议具有缺省的参数,包括:
· 加密算法:DES-CBC
· 认证算法:HMAC-SHA1
· 认证方法:预共享密钥
· DH组标识:MODP_768
· 安全联盟的存活时间:86400秒
相关配置可参考命令display ike proposal。
【举例】
# 创建IKE提议10,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10]
【命令】
ike sa keepalive-timer interval seconds
undo ike sa keepalive-timer interval
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定通过ISAKMP SA向对端发送Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【描述】
ike sa keepalive-timer interval命令用来配置ISAKMP SA向对端发送Keepalive报文的时间间隔。undo ike sa keepalive-timer interval命令用来取消该功能。
缺省情况下,ISAKMP SA不向对端发送Keepalive报文。
需要注意的是,本端配置的Keepalive报文的发送时间间隔应小于对端等待Keepalive报文的超时时间。
相关配置可参考命令ike sa keepalive-timer timeout。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer interval 200
【命令】
ike sa keepalive-timer timeout seconds
undo ike sa keepalive-timer timeout
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA等待对端发送Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【描述】
ike sa keepalive-timer timeout命令用来配置ISAKMP SA等待Keepalive报文的超时时间。undo ike sa keepalive-timer timeout命令用来使此功能失效。
缺省情况下,ISAKMP SA不向对端发送Keepalive报文。
需要注意的是,本端配置的Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的Keepalive报文的发送时间间隔的三倍。
相关配置可参考命令ike sa keepalive-timer interval。
【举例】
# 配置本端等待对端发送Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer timeout 20
【命令】
ike sa nat-keepalive-timer interval seconds
undo ike sa nat-keepalive-timer interval
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【描述】
ike sa nat-keepalive-timer interval命令用来配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔。undo ike sa nat-keepalive-timer interval命令用来使此功能失效。
缺省情况下,ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为20秒。
【举例】
# 配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike sa nat-keepalive-timer interval 5
inside-vpn vpn-instance vpn-name
IKE-Peer视图
2:系统级
vpn-instance vpn-name:保护的数据属于指定的VPN。vpn-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【描述】
inside-vpn 命令用来指定内部VPN实例。undo inside-vpn 命令用来取消指定的内部VPN实例。
缺省情况下,设备在与外网相同的VPN中查找路由。如果不希望在与外网相同的VPN中查找路由去转发解封装后的报文,则可以通过此命令指定一个内部VPN实例,指定设备通过查找该内部VPN实例中的路由来转发解封装后的报文。当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个MPLS L3VPN实例中查找相应的路由。
需要注意的是:
· 当通过inside-vpn命令指定VPN实例后,需要IPsec策略引用的ACL规则中也配置相同的VPN实例。
· 如果已经存在IPsec SA,则inside-vpn配置会在下次IPsec SA到期协商新的IPsec SA后才生效。若希望配置立即生效,则需要先执行reset ipsec sa。
相关配置可参考命令ip vpn-instance、reset ipsec sa。
# 在IKE peer peer1中指定内部VPN实例为vpn1。
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] inside-vpn vpn-instance vpn1
【命令】
interval-time interval-time
undo interval-time
【视图】
IKE-DPD视图
【缺省级别】
2:系统级
【参数】
interval-time:指定经过多长时间没有从对端收到IPsec报文,则触发DPD,取值范围为1~300,单位为秒。
【描述】
interval-time命令用来为IKE DPD配置触发DPD的时间间隔。undo interval-time命令用来恢复缺省情况。
缺省情况下,触发DPD的时间间隔为10秒。
【举例】
# 为dpd2配置触发DPD的时间间隔为1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] interval-time 1
【命令】
local { multi-subnet | single-subnet }
undo local
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
local命令用来配置IKE协商时本端安全网关的子网类型。undo local命令用来恢复缺省情况。
缺省情况下,为单子网类型。
本命令用于与NETSCREEN设备互通时使用。
【举例】
# 配置IKE协商时本端安全网关的子网类型为多子网类型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local multi-subnet
【命令】
local-address ip-address
undo local-address
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
ip-address:IKE协商时的本端安全网关的IP地址。
【描述】
local-address命令用来配置IKE协商时的本端安全网关的IP地址。undo local-address命令用来取消本端安全网关的IP地址。
缺省情况下,IKE协商时的本端安全网关IP地址使用应用IPsec安全策略的接口的主地址。只有当用户需要指定特殊的本端安全网关地址时才需要配置此命令。
【举例】
# 配置本端安全网关IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local-address 1.1.1.1
【命令】
local-name name
undo local-name
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
name:IKE协商时的本端安全网关的名字,为1~255个字符的字符串,区分大小写。
【描述】
local-name命令用来配置本端安全网关的名字。undo local-name命令用来恢复缺省情况。
缺省情况下,未定义本端安全网关的名字,使用系统视图下本端安全网关的名字。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端需要配置本端安全网关的名字,该名字既可以在系统视图下进行配置(使用命令ike local-name),也可以在IKE对等体视图下配置(使用命令local-name),若两个视图下都配置了本端安全网关的名字,则采用IKE对等体视图下的配置。
在IKE协商过程中,发起端会将本端安全网关的名字发送给对端来标识自己的身份,而响应端使用配置的对端安全网关的名字(使用命令remote-name)来认证发起端,故此时响应端上配置的对端安全网关的名字应与发起端上所配的本端安全网关的名字保持一致。
相关配置可参考命令remote-name和id-type。
【举例】
# 为IKE对等体peer1配置本端安全网关的名字为localgw。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] local-name localgw
【命令】
nat traversal
undo nat traversal
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat traversal命令用来配置IPsec/IKE的NAT穿越功能。undo nat traversal命令用来取消IPsec/IKE的NAT穿越功能。
缺省情况下,没有配置NAT穿越功能。
【举例】
# 为IKE对等体peer1配置NAT穿越功能。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] nat traversal
【命令】
peer { multi-subnet | single-subnet }
undo peer
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
peer命令用来配置IKE协商时对端安全网关的子网类型。undo peer命令用来恢复缺省情况。
缺省情况下,为单子网类型。
本命令用于与NETSCREEN设备互通时使用。
【举例】
# 配置IKE协商时对端安全网关的子网类型为多子网类型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] peer multi-subnet
【命令】
pre-shared-key [ cipher | simple ] key
undo pre-shared-key
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
cipher:表示以密文方式设置预共享密钥。
simple:表示以明文方式设置预共享密钥。
string-key:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。不指定cipher或simple时,表示以明文方式设置密钥。
【描述】
pre-shared-key命令用来配置IKE协商采用预共享密钥认证时,所使用的预共享密钥,undo pre-shared-key命令用来取消IKE协商所使用的预共享密钥。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
在FIPS模式下,密钥至少需要设置为8位,包含数字、大写字母、小写字母和特殊符号。
相关配置可参考命令authentication-method。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【举例】
# 配置IKE协商所使用的预共享密钥为明文abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] pre-shared-key simple abcde
【命令】
proposal proposal-number&<1-6>
undo proposal [ proposal-number ]
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
proposal-number&<1-6>:IKE安全提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【描述】
proposal命令用来配置IKE对等体引用的IKE安全提议。undo proposal命令用来取消指定的或所有引用的IKE安全提议。
缺省情况下,IKE对等体未引用任何IKE安全提议,使用系统视图下已配置的IKE安全提议进行IKE协商。
IKE第一阶段的协商过程中,如果本端引用了指定的IKE安全提议,那么就使用指定的安全提议与对端进行协商;如果没有指定,则使用系统视图下已配置的IKE安全提议与对端进行协商。
需要注意的是:
· 一个IKE对等体中最多可以引用六个IKE安全提议。
· IKE协商中的响应方使用系统视图下已经配置的安全提议与对端发送的安全提议进行协商。
相关配置可参考命令ike proposal和ike peer (System view)。
【举例】
# 设置IKE对等体peer1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] proposal 10
【命令】
remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] }
undo remote-address
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
hostname:IPsec对端安全网关的主机名,为1~255个字符的字符串,不区分大小写。该主机名是IPsec对端在网络中的唯一标识,可被DNS服务器解析为IP地址。
dynamic:表示IPsec对端安全网关的主机名会进行动态地址解析。如果不配置该参数,则表示仅在配置对端主机名后执行一次DNS查询。
low-ip-address:IPsec对端安全网关的IP地址。如果配置对端安全网关IP地址为连续的地址范围,则该参数为地址范围中的最小地址。
high-ip-address:如果配置对端安全网关IP地址为连续的地址范围,则该参数为地址范围中的最大地址。
【描述】
remote-address命令用来配置IPsec对端安全网关的IP地址。undo remote-address命令用来删除IPsec对端安全网关的IP地址。
需要注意的是:
· 本端通过命令remote-address配置的对端安全网关的IP地址,应该与对端IKE协商时使用的本端安全网关的IP地址一致(可通过local-address命令配置,若不配置,则为应用IPsec安全策略的接口的主地址)。
· 如果配置对端地址为精确值(主机名方式与之等价),则本端可以作为IKE协商的发起端;如果配置对端地址为一个地址范围,则本端只能作为响应方,而这个范围表示的是本端能接受的协商对象的地址范围。
· 如果对端地址经常变动,建议配置对端主机名时采用dynamic 参数,以便本端在IKE协商协商时及时更新对端地址。
相关配置可参考命令id-type ip和local-address。
【举例】
# 配置对端安全网关IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-address 10.0.0.1
# 配置对端安全网关地址为test.com,并采用动态更新方式。
<Sysname> system-view
[Sysname] ike peer peer2
[Sysname-ike-peer-peer2] remote-address test.com dynamic
【命令】
remote-name name
undo remote-name
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
name:指定IKE协商时对端的名字,为1~255字符的字符串。
【描述】
remote-name命令用来配置对端安全网关的名字。undo remote-name命令用来取消对端安全网关名称的配置。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端会发送自己名字给对端来标识自己的身份,而对端使用remote-name name来认证发起端,故此时name应与发起端上令所配的本端安全网关的名字保持一致。
相关配置可参考命令id-type、local-name和ike local-name。
【举例】
# 为IKE对等体peer1配置对端安全网关名字为apple。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-name apple
【命令】
reset ike sa [ connection-id ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
【描述】
reset ike sa命令用来清除IKE SA。
需要注意的是:
· 如果未指定任何参数,则表示清除所有IKE SA。
· 清除本地的IPsec SA时,如果相应的IKE SA还存在,将在此IKE SA的保护下,向对端发送删除消息,通知对方清除相应的IPsec SA。
· 如果先清除IKE SA,那么再清除本地IPsec SA时,就无法通知对端清除相应的IPsec SA。
相关配置可参考命令display ike sa。
【举例】
# 清除连接ID号为2 的IKE SA。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT RK--REKEY
<Sysname> reset ike sa 2
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK--REKEY
【命令】
undo sa duration
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA存活时间,取值范围为60~604800,单位为秒。
【描述】
sa duration命令用来指定一个IKE提议的ISAKMP SA存活时间,超时后ISAKMP SA将自动更新。undo sa duration命令用来恢复缺省情况。
缺省情况下,IKE提议的ISAKMP SA存活时间为86400秒。
在设定的存活时间超时前,会提前协商另一个安全联盟来替换旧的安全联盟。在新的安全联盟还没有协商完之前,依然使用旧的安全联盟;在新的安全联盟建立后,将立即使用新的安全联盟,而旧的安全联盟在存活时间超时后,被自动清除。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的ISAKMP SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] sa duration 600
【命令】
time-out time-out
undo time-out
【视图】
IKE-DPD视图
【缺省级别】
2:系统级
【参数】
time-out:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。
【描述】
time-out命令用来为IKE DPD配置DPD报文的重传时间间隔。undo time-out命令用来恢复缺省情况。
缺省情况下,DPD报文的重传时间间隔为5秒。
【举例】
# 配置dpd2的DPD报文重传时间间隔为1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] time-out 1
【命令】
address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
【视图】
IKEv2对等体视图
【缺省级别】
2:系统级
【参数】
ipv4-address:IKEv2对等体的IPv4主机地址。
mask-length:IPv4地址的掩码长度,取值范围为0~32。
ipv6 ipv6-address:IKEv2对等体的IPv6主机地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【描述】
address命令用来指定一个IKEv2对等体的主机地址或者地址范围,用于IKEv2发起方在IKEv2协商时识别IKEv2对等体。undo address命令用来删除指定的IKEv2对等体的主机地址或者地址范围。
缺省情况下,未指定IKEv2对等体的主机地址或者地址范围。
相关配置可参考命令peer (IKEv2 keyring view)。
【举例】
# 创建一个IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2对等体的IP地址为3.3.3.3,掩码为255.255.255.0。
[Sysname-ikev2-keyring-keyr1-peer-peer1] address 3.3.3.3 255.255.255.0
【命令】
authentication { local | remote } { pre-share | rsa-sig }
undo authentication { local | remote { pre-share | rsa-sig } }
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
local:指定本端的身份认证方式。
remote:指定对端的身份认证方式。
pre-share:表示身份认证方式为预共享密钥方式。
rsa-sig:表示身份认证方式为RSA数字签名方式。
【描述】
authentication命令用来指定IKEv2本端和对端的身份认证方式。undo authentication命令用来删除指定的IKEv2本端或对端身份认证方式。
缺省情况下,本端和对端认证方式均为预共享密钥方式(pre-share)。
需要注意的是:
· 本端和对端可以采用不同的身份认证方式。
· 只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。
· 如果本端或对端的身份认证方式为RSA数字签名方式(rsa-sig),则还必须通过命令pki domain(IKEv2 profile view)指定PKI域来获取用于签名和验证的数字证书;如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本IKEv2 profile引用的keyring中指定对等体的预共享密钥。
相关配置可参考命令display ikev2 profile、pki domain(IKEv2 profile view)和keyring。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的认证方式为预共享密钥方式,对端的认证方式为RSA数字签名方式。
[Sysname-ikev2-profile-profile1] authentication local pre-share
[Sysname-ikev2-profile-profile1] authentication remote rsa-sig
# 指定本端用于签名和验证的PKI域为genl。
[Sysname-ikev2-profile-profile1] pki domian genl
# 指定IKEv2 profile引用的keyring为keyring1。
[Sysname-ikev2-profile-profile1] keyring keyring1
【命令】
client configuration address respond
undo client configuration address respond
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
无
【描述】
client configuration address respond命令用来配置本端可接收对端的IP地址分配请求。undo client configuration address respond命令用来恢复缺省情况。
缺省情况下,本端不接收对端的IP地址分配请求。
在远程移动用户通过IPsec VPN接入企业中心网络的组网环境下,若远程用户终端需要由企业分支为其临时分配IP地址用于IPsec数据的传输,则可以在IKEv2协商过程中向企业中心侧安全网关提交IP地址分配请求,中心侧安全网关通过该配置来决定是否接收该请求,若配置为可接收该请求,则会将成功分配的IP地址携带在IKEv2协商的响应报文中发送给用户终端,否则忽略该请求。
相关配置可参考命令display ikev2 profile和connect auto。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置可接收对端的IP地址分配请求。
[Sysname-ikev2-profile-profile1] client configuration address respond
【命令】
connect auto
undo connect auto
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
无
【描述】
connect auto命令用来使能本端自动发起IP地址请求。undo connect auto命令用来恢复缺省情况。
缺省情况下,本端不会发起IP地址请求。
在企业分支通过IPsec VPN接入企业中心网络的组网环境下,若分支侧用户需要由企业中心侧安全网关为其临时分配IP地址用于IPsec数据的传输,则可以通过本命令来指定在IKEv2协商过程中向企业中心侧安全网关提交IP地址分配请求,若中心侧安全网关为可接收该请求,则会将成功分配的IP地址携带在IKEv2协商的响应报文中发送给分支侧安全网关,否则该地址请求将被忽略。
相关配置可参考命令display ikev2 profile和client configuration address respond。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置自动发起IP地址请求。
[Sysname-ikev2-profile-profile1] connect auto
【命令】
display ikev2 policy [ policy-name | default ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
policy-name:IKEv2安全策略的名称,为1~32个字符的字符串,不区分大小写。
default:缺省的IKEv2安全策略。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ikev2 policy命令用来显示IKEv2安全策略的配置信息。
如果不指定任何参数,则显示所有IKEv2安全策略的配置信息,包括用户自定义的和系统缺省的安全策略。
相关配置可参考命令ikev2 policy、proposal和match address local。
【举例】
# 显示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy : 1
Match local : 1.1.1.1
1:1::1:1
Proposal : 1
2
3
4
IKEv2 policy : default
Match local : any
Proposal : default
表3-1 display ikev2 policy命令显示信息描述表
|
字段 |
描述 |
|
IKEv2 policy |
IKEv2安全策略的名称 |
|
Match local |
匹配IKEv2安全策略的本端IP地址 |
|
Proposal |
IKEv2安全策略引用的IKEv2安全提议名称 |
【命令】
display ikev2 profile [ profile-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
profile-name:IKEv2 profile的名称,为1~32个字符的字符串,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ikev2 profile命令用来显示IKEv2 profile的配置信息。
如果不指定任何参数,则显示所有IKEv2 profile的配置信息。
相关配置可参考命令ikev2 profile (system view)。
【举例】
# 显示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile : 1
Match : match address local 1.1.1.1
match address local interface Ethernet0/1/1
match address local ipv6 1:1::1:1
Identity : identity local address 1.1.1.1
identity local dn
identity local fqdn 11111111
Auth type : authentication local pre-share
authentication remote pre-share
Keyring : kering1
Sign domain : domain1
Verify domain : domain2
Lifetime : 500 seconds
DPD : enabled
表3-2 display ikev2 profile命令显示信息描述表
|
字段 |
描述 |
|
IKEv2 profile |
IKEv2 profile的名称 |
|
Match |
查找IKEv2 profile的匹配条件 |
|
Identity |
本端身份信息 |
|
Auth type |
本端和对端认证方法 |
|
Keyring |
IKEv2 profile引用的keyring |
|
Sign domain |
用于签名的PKI域 |
|
Verify domain |
用于验证的PKI域 |
|
Lifetime |
IKE SA生命周期 |
|
DPD |
DPD功能是否使能 |
【命令】
display ikev2 proposal [ proposal-name | default ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
proposal-name:IKEv2安全提议的名称,为1~32个字符的字符串,不区分大小写。
default:缺省的IKEv2安全提议。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。
如果不指定任何参数,则显示所有IKEv2安全提议的配置信息,包括用户自定义的和系统缺省的安全提议。
相关配置可参考命令ikev2 proposal、encryption、integrity和group。
【举例】
# 显示所有IKEv2安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption : 3DES-CBC
AES-CBC-128
AES-CTR-192
CAMELLIA-CBC-128
Integrity : MD5
AES-XCBC
PRF : MD5
AES-XCBC
DH Group : MODP768/Group 2
MODP768/Group 5
IKEv2 proposal : default
Encryption : AES-CBC-128
3DES-CBC
Integrity : SHA1
MD5
PRF : SHA1
MD5
DH Group : MODP768/Group 5
MODP768/Group 2
表3-3 display ikev2 proposal命令显示信息描述表
|
字段 |
描述 |
|
IKEv2 proposal |
IKEv2安全提议的名称 |
|
Encryption |
IKEv2安全提议引用的加密算法 |
|
Integrity |
IKEv2安全提议引用的完整性校验算法 |
|
PRF |
IKEv2安全提议引用的PRF算法 |
|
DH Group |
IKEv2安全提议引用的DH组 |
【命令】
display ikev2 sa [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] [ verbose ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
local:按照本端IP地址显示IKEv2 SA的信息。
remote:按照对端IP地址显示IKEv2 SA的信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
verbose:显示当前IKEv2 SA的详细信息。不指定该参数,则显示IKEv2 SA的简要信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ikev2 sa命令用来显示当前IKEv2 SA的信息。
如果不指定任何参数,则显示当前所有IKEv2 SA的摘要信息。
【举例】
# 显示当前所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
total SAs: 1
connection-id peer flag
------------------------------------------------------------------------
1 1.1.1.2 RD|ST
flag meaning
RD--READY ST--STAYALIVE FD--FADING TO--TIMEOUT
# 显示当前所有IKEv2 SA的详细信息。
<Sysname> display ikev2 sa verbose
-----------------------------------------------
connection id : 1
vpn-instance :
transmitting entity : initiator
local spi : 8f8af3dbf5023a00
remote spi : 0131565b9b3155fa
-----------------------------------------------
local ip : 1.1.1.1
local id type : ID_FQDN
local id : router_a
remote ip : 1.1.1.2
remote id type : ID_FQDN
remote id : router_b
authentication-method : PRE-SHARED-KEY
authentication-algorithm : HMAC_MD5
prf-algorithm : HMAC_MD5
encryption-algorithm : AES-CBC-192
life duration(sec) : 86400
remaining key duration(sec): 85604
diffie-hellman group : GROUP2
nat traversal : NO
DPD configured interval : 0 seconds
local window : 1
remote window : 1
local req msg id : 2
remote req msg id : 2
local next msg id : 0
remote next msg id : 0
# 显示对端地址为1.1.1.2的IKE SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
total SAs: 1
connection-id peer flag
------------------------------------------------------------------------
1 1.1.1.2 RD|ST
flag meaning
RD--READY ST--STAYALIVE FD--FADING TO--TIMEOUT
表3-4 display ikev2 sa命令显示信息描述表
|
字段 |
描述 |
|
connection-id |
IKEv2 SA的连接标识符 |
|
vpn-instance |
被保护数据所属的VPN实例名称 |
|
transmitting entity |
IKEv2协商中的实体 |
|
local spi |
本端安全参数索引 |
|
remote spi |
对端安全参数索引 |
|
local ip |
本端安全网关的IP地址 |
|
local id type |
本端安全网关的ID类型 |
|
local id |
本端安全网关的ID |
|
remote ip |
对端安全网关的IP地址 |
|
remote id type |
对端安全网关的ID类型 |
|
remote id |
对端安全网关的ID |
|
authentication-method |
IKEv2安全提议中使用的认证方法 |
|
authentication-algorithm |
IKEv2安全提议中使用的认证算法 |
|
prf-algorithm |
IKEv2安全提议中使用的PRF算法 |
|
encryption-algorithm |
IKEv2安全提议中使用的加密算法 |
|
life duration(sec) |
IKEv2 SA的生命周期(秒) |
|
remaining key duration(sec) |
IKEv2 SA的剩余生命周期(秒) |
|
diffie-hellman group |
IKEv2第一阶段密钥协商时所使用的DH密钥交换参数 |
|
nat traversal |
是否使能NAT穿越功能 |
|
DPD configured interval |
DPD探测的时间间隔 |
|
local window |
本端IKEv2 协商的窗口大小 |
|
remote window |
对端IKEv2 协商的窗口大小 |
|
local req msg id |
本端请求消息的序号 |
|
remote req msg id |
对端请求消息的序号 |
|
local next msg id |
本端期望下一个接收消息的序号 |
|
remote next msg id |
对端期望下一个接收消息的序号 |
【命令】
display ikev2 statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ikev2 statistics命令用来显示IKEv2协商的统计信息。
相关配置可参考命令reset ikev2 statistics。
【举例】
# 显示IKEv2协商的统计信息。
<Sysname> display ikev2 statistics
------------------------------------------------------------------------
IKEV2 SA Statistics
------------------------------------------------------------------------
Max IKEv2 SAs: 10000 Max in nego: 1000
Total IKEv2 SA Count: 0 active : 0 negotiating: 0
Incoming IKEv2 Requests: 0 accepted: 0 rejected : 0
Outgoing IKEv2 Requests: 0 accepted: 0 rejected : 0
Rejected IKEv2 Requests: 0 SA limit: 0
Incoming IKEV2 Cookie Challenged Requests: 0
accepted: 0 rejected: 0 rejected no cookie: 0
表3-5 display ikev2 statistics命令显示信息描述表
|
字段 |
描述 |
|
Max IKEv2 SAs |
允许成功建立的IKEv2 SA的最大个数 |
|
Max in nego |
允许并发协商的IKEv2 SA的最大个数 |
|
Total IKEv2 SA Count |
IKEv2 SA的总数 |
|
active |
已经建立的IKEv2 SA个数 |
|
negotiating |
正在协商的IKEv2 SA个数 |
|
Incoming IKEv2 Requests |
收到的IKEv2协商请求数 |
|
accepted |
接受的IKEv2协商请求数 |
|
rejected |
拒绝的IKEv2协商请求数 |
|
Outgoing IKEv2 Requests |
发送的IKEv2协商请求数 |
|
accepted |
被对方接受的IKEv2协商请求数 |
|
rejected |
被对方拒绝的IKEv2协商请求数 |
|
Rejected IKEv2 Requests |
拒绝的IKEv2协商请求的总数 |
|
SA limit |
因为超过本端允许的IKEv2 SA的最大值而被拒绝的IKEv2协商请求数 |
|
Incoming IKEV2 Cookie Challenged Requests: |
收到的IKEv2 Cookie-challenge请求数 |
|
accepted |
接受的IKEv2 Cookie-challenge请求数 |
|
rejected |
拒绝的IKEv2 Cookie-challenge请求数 |
|
rejected no cookie |
由于没有携带cookie载荷而被拒绝的Cookie-challenge请求数 |
【命令】
dpd interval { on-demand | periodic }
undo dpd
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
interval :指定IKEv2 DPD探测的间隔时间,单位为秒,取值范围为1~300。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。
【描述】
dpd命令用来配置IKEv2 DPD探测功能。undo dpd命令用来关闭IKEv2 DPD探测功能。
缺省情况下,IKEv2 DPD功能处于关闭状态。
如果IKEv2 profile视图下配置了DPD探测功能,则本视图下的DPD配置生效,否则采用系统视图下的DPD配置。
相关配置可参考命令display ikev2 profile和ikev2 dpd。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置流量触发IKEv2 DPD探测间隔时间为15秒,探测模式为按需探测。
[Sysname-ikev2-profile-profile1] dpd 15 on-demand
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
【视图】
IKEv2安全提议视图
【缺省级别】
2:系统级
【参数】
des-cbc:CBC模式的DES算法,采用56比特的密钥进行加密。
3des-cbc:CBC模式的3DES算法,采用168比特的密钥进行加密。
aes-cbc-128:CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:CTR模式的AES算法,密钥长度为128比特。
aes-ctr-192:CTR模式的AES算法,密钥长度为192比特。
aes-ctr-256:CTR模式的AES算法,密钥长度为256比特。
camellia-cbc-128:CBC模式的camellia算法,密钥长度为128比特。
camellia-cbc-192:CBC模式的camellia算法,密钥长度为192比特。
camellia-cbc-256:CBC模式的camellia算法,密钥长度为256比特。
【描述】
encryption命令用来指定IKEv2安全提议使用的加密算法。undo encryption命令用来删除为IKEv2安全提议指定的加密算法。
缺省情况下,未定义任何加密算法。
需要注意的是:
· DES、3DES、128位的AES-CBC、192位的AES-CBC、256位的AES-CBC的安全性和运算花费的时间依次递增。
· 一个IKEv2安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。
· 一个IKEv2安全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。
相关配置可参考命令ikev2 proposal和display ikev2 proposal。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的加密算法为aes-cbc-192和3des,且优先选择aes-cbc-192。
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-192 3des-cbc
【命令】
group { 1 | 2 | 5 | 14 } *
undo group
【视图】
IKEv2安全提议视图
【缺省级别】
2:系统级
【参数】
1:指定IKEv2安全提议使用768-bit Diffie-Hellman组。
2:指定IKEv2安全提议使用1024-bit Diffie-Hellman组。
5:指定IKEv2安全提议使用1536-bit Diffie-Hellman组。
14:指定IKEv2安全提议使用2048-bit Diffie-Hellman组。
【描述】
group命令用来指定IKEv2安全提议使用的DH组。undo group 命令用来删除为IKEv2安全提议指定的DH组。
缺省情况下,未定义任何DH组。
需要注意的是:
· 一个IKEv2安全提议中至少需要配置一个DH组,否则该安全提议不完整。
· 2048-bit Diffie-Hellman组(group14)、1536-bit Diffie-Hellman组(group5)、1024-bit Diffie-Hellman组(group2)、768-bit Diffie-Hellman组(group1)的安全性和运算花费的时间均依次递减。
· 一个IKEv2安全提议中可以配置多个DH组,其使用优先级按照配置顺序依次降低。
相关配置可参考命令ikev2 proposal和display ikev2 proposal。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的DH组为group5和group2,且优先选择group5。
[Sysname-ikev2-proposal-prop1] group 5 2
【命令】
hostname host-name
undo hostname host-name
【视图】
IKEv2对等体视图
【缺省级别】
2:系统级
【参数】
host-name:IKEv2对等体主机名称,为1~255个字符的字符串,不区分大小写。
【描述】
hostname命令用来指定IKEv2对等体的主机名称,用于IKEv2发起方在IKEv2协商时识别IKEv2对等体。undo hostname命令用来删除指定的IKEv2对等体主机名称。
缺省情况下,未指定IKEv2对等体的主机名称。
需要注意的是,主机名仅适用于在基于IPsec安全策略的IKEv2协商中查询对等体,不适用于基于IPsec虚拟隧道接口的IKEv2协商。
相关配置可参考命令peer (IKEv2 keyring view)。
【举例】
# 创建一个IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2对等体的主机名为test。
[Sysname-ikev2-keyring-keyr1-peer-peer1] hostname test
【命令】
identity { address { ipv4-address | ipv6 ipv6-address } | email email-string | fqdn fqdn-name | key-id key-id }
undo identity { address { ipv4-address | ipv6 ipv6-address } | email email-string | fqdn name | key-id key-id }
【视图】
IKEv2对等体视图
【缺省级别】
2:系统级
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识对等体身份的IP地址,其中ipv4-address为标识对等体身份的IPv4地址,ipv6-address为标识对等体身份的IPv6地址。
email email-string :指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@abc.com。
fqdn fqdn-name :指定标识对等体身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。
key-id key-id:指定标识对等体身份的Key-ID名称。key-id为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【描述】
identity命令用来指定一个IKEv2对等体的身份信息,用于IKEv2响应方在IKEv2协商时识别IKEv2对等体。undo identity命令用来删除指定的IKEv2对等体的身份信息。
缺省情况下,未指定IKEv2对等体的身份信息。
需要注意的是:
· 本命令指定的对等体身份信息仅用于IKEv2协商的响应方查询对等体使用的预共享密钥,因为发起方在发起IKEv2协商时并不知道对端的身份信息。
· 不同的IKEv2对等体不能配置相同的对端身份信息。
相关配置可参考命令peer (IKEv2 keyring view)。
【举例】
# 创建一个IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2对等体的FQDN名称为 www.test.com。
[Sysname-ikev2-keyring-keyr1-peer-peer1] identiy fqdn www.test.com
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id }
undo identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id }
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用DN名作为本端身份。
email email-string:指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如esec@test.com。
fqdn fqdn-name:指定标识本端身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。
key-id key-id:指定标识本端身份的Key-ID名称。key-id为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【描述】
identity local命令用来配置IKEv2本端的身份信息,用于在IKE认证协商阶段向对端标识自己的身份。undo identity local命令用来删除配置的IKEv2本端的身份信息。
缺省情况下,未定义本端身份信息。
如果本端的认证方式为RSA数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除dn之外的其它类型的身份信息。
响应方通过match identity remote命令指定的对端身份信息要与发起方通过本命令配置的身份信息相匹配,匹配成功则可查找到对应的IKEv2 profile。
需要注意的是,可通过多次执行本命令配置多个身份。
相关配置可参考命令display ikev2 profile。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【命令】
ikev2 { ip-pool pool-name ipv4-start-address ipv4-end-address | ipv6-pool pool-name ipv6-start-address ipv6-end-address }
undo ikev2 { ip-pool | ipv6-pool } pool-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-pool pool-name:IPv4地址池名称,为1~32个字符的字符串,不区分大小写。
ipv6-pool pool-name:IPv6地址池名称,为1~32个字符的字符串,不区分大小写。
ipv4-start-address ipv4-end-address:IPv4地址池的地址范围。其中,ipv4-start-address为IPv4地址池的起始地址,ipv4-end-address为IPv4地址池的结束地址。
ipv6-start-address ipv6-end-address:IPv6地址池的地址范围。其中,ipv6-start-address为IPv6地址池的起始地址,ipv6-end-address为IPv6地址池的结束地址。
【描述】
ikev2 { ip-pool | ipv6-pool }命令用来配置为对端分配IP地址的IKEv2本地地址池。undo ikev2 { ip-pool | ipv6-pool }命令用来删除指定的IKEv2本地地址池。
缺省情况下,未定义IKEv2本地地址池。
需要注意的是:
· 目前只支持为对端分配IPv6地址,不支持为对端分配IPv4地址,IPv4地址池虽然可以配置,但是不生效。
· 同一协议类型的地址池(IPv4地址池或IPv6地址池)不能同名。
· 每个地址池中包括的IPv4或IPv6地址的最大数目为8192。
相关配置可参考命令client cofiguration address respond。
【举例】
# 配置IKEv2本地IPv4地址池,名称为ipv4pool,地址池范围为1.1.1.1~1.1.1.2。
<Sysname> system-view
[Sysname] ikev2 ip-pool ipv4pool 1.1.1.1 1.1.1.2
# 配置IKEv2本地IPv6地址池,名称为ipv6pool,地址池范围为1:1::1:1~1:1::1:2。
<Sysname> system-view
[Sysname] ikev2 ipv6-pool ipv6pool 1:1::1:1 1:1::1:2
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
number:指定响应方启用cookie-challenge功能的阀值,取值范围为1~1000。
【描述】
ikev2 cookie-challenge命令用来使能cookie-challenge功能(响应方要求发起方使用指定的cookie重传第一条报文),并配置响应方启用cookie-challenge功能的阀值。当响应方接收到半开状态的IKE SA个数超过指定的cookie-challenge阀值时(半开状态的IKE SA是指那些正在协商过程中的IKE SA),则启用cookie-challenge功能,目的是防止由于源IP仿冒对响应方的Dos攻击,从而造成CPU和内存资源耗尽。undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。
缺省情况下,IKEv2 cookie-challenge功能处于关闭状态。
【举例】
# 使能cookie-challenge功能,并配置启用cookie-challenge功能的阀值为450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
【命令】
ikev2 dpd interval { on-demand | periodic }
undo ikev2 dpd
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
interval :指定触发IKEv2 DPD探测的时间间隔,单位为秒,取值范围为1~300。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。
【描述】
ikev2 dpd命令用来配置IKEv2 DPD探测功能。undo ikev2 dpd命令用来关闭IKEv2 DPD探测功能。
缺省情况下,IKEv2 DPD功能处于关闭状态。
【举例】
# 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd 15 on-demand
# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd 15 periodic
【命令】
ikev2 keyring keyring-name
undo ikev2 keyring keyring-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
keyring-name:IKEv2 keyring的名称,为1~32个字符的字符串,不区分大小写。
【描述】
ikev2 keyring命令用来创建一个IKEv2 keyring,并进入一个IKEv2 keyring视图,该视图用于配置IKEv2对等体的密钥信息。undo ikev2 keyring命令用来删除指定的IKEv2 keyring以及IKEv2对等体的密钥信息。
缺省情况下,不存在任何IKEv2 keyring。
本命令可以创建并进入一个IKEv2 keyring视图,该视图下可以配置多个IKEv2对等体,每个IKEv2对等体中包含了一个预共享密钥以及用于查找该对等体的匹配条件,可包括对等体的主机名称(由命令hostname配置)、对等体的IP地址或地址范围(由命令address配置)和对等体的身份(由命令identity配置)。
· 对于IKEv2发起方,IKEv2协商时使用的密钥是通过对等体的主机名称或对等体的IP地址(或地址范围)来查询的;
· 对于IKEv2响应方,IKEv2协商时使用的密钥是通过对等体的身份或对等体的IP地址(或地址范围)来查询的。
相关配置可参考命令peer (IKEv2 keyring view)、address、hostname和identity。
【举例】
# 创建IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 配置IKEv2对等体peer1,并指定对等体的IP地址为3.3.3.3/24,共享密钥为abcdef。
[Sysname-ikev2-keyring-keyr1] peer peer1
[Sysname-ikev2-keyring-keyr1-peer-peer1] address 3.3.3.3 255.255.255.0
[Sysname-ikev2-keyring-keyr1-peer-peer1] pre-shared-key abcdef
# 配置IKEv2对等体peer2,并指定对等体的IP地址为3.3.3.3,共享密钥为123456。
[Sysname-ikev2-keyring-keyr1] peer peer2
[Sysname-ikev2-keyring-keyr1-peer-peer2] address 3.3.3.3 255.255.255.255
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key 123456
基于以上配置,查找IP地址为3.3.3.3的对等体使用的预共享密钥时,会先模糊匹配到对等体peer1,然后精确匹配到对等体peer2,因此最终的查找结果是123456。
【命令】
ikev2 limit { max-in-negotation-sa | max-sa } limit
undo ikev2 limit { max-in-negotation-sa | max-sa }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
max-in-negotation-sa limit:指定本端允许同时处于协商状态的IKEv2 SA的最大数,取值范围为1~2000。该值不包括rekey时正在协商的IKEv2 SA的数目。
max-sa limit:指定本端允许建立的IKEv2 SA的最大数,取值范围为100~20000。该值不包括rekey后建立的IKEv2 SA的数目。
【描述】
ikev2 limit命令用来配置对本端IKEv2 SA数目的限制。undo ikev2 limit命令用来恢复缺省情况。
缺省情况下,限制同时处于协商状态的IKEv2 SA数目为1000,限制允许接入的IKEv2 SA数目为10000。
【举例】
# 配置本端允许同时处于协商状态的IKEv2 SA最大数为100。
<Sysname> system-view
[Sysname] ikev2 limit max-in-negotation-sa 100
# 配置本端允许成功建立的IKEv2 SA的最大数为5000。
<Sysname> system-view
[Sysname] ikev2 limit max-sa 5000
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:IKEv2安全策略的名称,为1~32个字符的字符串,不区分大小写。
【描述】
ikev2 policy命令用来创建一个IKEv2安全策略,并进入IKEv2安全策略视图。undo ikev2 policy命令用来删除指定的IKEv2安全策略。
缺省情况下,系统中存在一个名称为default的缺省IKEv2安全策略,该缺省的策略中包含一个缺省的IKEv2安全提议,且可与所有的本端地址相匹配。
IKE_INIT_SA协商时根据本端地址来选择要使用的IKEv2安全策略。IKEv2安全策略中包含了用于协商加密算法、完整性校验算法、PRF算法和DH组的IKEv2安全提议,与本端地址相匹配的策略中的安全提议将被使用。
需要注意的是:
· 一个IKEv2安全策略中必须包含一个IKEv2安全提议,否则该策略不完整。
· 一个IKEv2安全策略中可以包含多个IKEv2安全提议和多个本端地址匹配条件(通过命令match address local指定),未指定本端地址匹配条件的安全策略可与任意本端地址相匹配。
· 两个内容完全相同的IKEv2安全策略的匹配顺序为它们的配置顺序。
· 根据本端地址匹配IKEv2安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。
· 如果没有配置IKEv2安全策略,则使用默认的IKEv2安全策略default。
相关配置可参考命令display ikev2 policy、proposal和match address local。
【举例】
# 配置IKEv2安全策略prop1,引用IKEv2安全提议prop1,并指定用于匹配的本端地址为2.2.2.2。
<Sysname> system-view
[Sysname] ikev2 policy prop1
[Sysname-ikev2-policy-prop1] proposal prop1
[Sysname-ikev2-policy-prop1] match address local 2.2.2.2
基于以上配置,协商本端地址为2.2.2.2的IKEv2 SA时,将使用IKEv2安全策略prop1中的IKEv2安全提议。
# 配置IKEv2安全策略policy1,引用IKEv2安全提议prop1,并指定用于匹配的本端地址为3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal prop1
[Sysname-ikev2-policy-policy1] match address local 3.3.3.3
# 配置IKEv2安全策略policy2,引用IKEv2安全提议prop2,并指定用于匹配的本端地址为3.3.3.3。
[Sysname] ikev2 policy policy2
[Sysname-ikev2-policy-policy2] proposal prop2
[Sysname-ikev2-policy-policy2] match address local 3.3.3.3
基于以上配置,协商本地地址为3.3.3.3的IKEv2 SA时,将优先使用先配置的IKEv2安全策略prop1中的IKEv2安全提议。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:IKEv2 profile的名称,为1~32个字符的字符串,不区分大小写。
【描述】
ikev2 profile命令用来配置创建一个IKEv2 profile,并进入IKEv2 profile视图。undo ikev2 profile命令用来删除指定的IKEv2 profile。
缺省情况下,无IKEv2 profile存在。
IKEv2 profile用于保存非协商的IKEv2 SA的参数,如本端和对端的身份、本端和对端的认证方式,以及用于查找IKEv2 profile的匹配条件等。
相关配置可参考命令display ikev2 profile、authentication、identity local、keyring和match。
【举例】
# 创建名为profile1的IKEv2 profile,并进入IKEv2 profile视图。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
proposal-name:指定IKEv2安全提议的名字,为1~32个字符的字符串,不区分大小写,且不能为default。
【描述】
ikev2 proposal命令用来创建一个IKEv2安全提议,并进入IKEv2安全提议视图。undo ikev2 proposal命令用来删除指定的IKEv2安全提议。
缺省情况下,系统中存在一个名称为default的缺省IKEv2安全提议,该提议中定义的加密算法为aes-cbc-128和3des,完整性校验算法为sha1和md5,PRF算法为sha1和md5,DH组为group5和group2。
IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数,包括加密算法、完整性验证算法、PRF(pseudo-random function)算法和DH组。
需要注意的是:
· 在一个IKEv2安全提议中,至少需要配置一组安全参数,即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。
· 在一个IKEv2安全提议中,可以配置多组安全参数,即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组,这些安全参数在实际协商过程中,将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在IKEv2安全提议中仅配置了一套安全参数。
· 一个IKEv2安全策略必须与IKEv2安全提议相关联,如果本端没有配置任何IKEv2安全提议,则IKEv2协商时将采用缺省的IKEv2安全策略default,该策略中引用了缺省的IKEv2安全提议default。
相关配置可参考命令display ikev2 proposal、encryption、integrity、prf和group。
【举例】
# 创建IKEv2安全提议prop1,并为其配置一组安全参数:加密算法为aes-cbc-128,完整性校验算法为sha1,PRF算法为sha1,DH组为group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] group 2
# 创建IKEv2安全提议prop2,并为其配置多组安全参数:加密算法为aes-cbc-128和3des,完整性校验算法为sha1和md5,PRF算法为sha1和md5,DH组为group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop2
[Sysname-ikev2-proposal-prop2] encryption aes-cbc-128 3des-cbc
[Sysname-ikev2-proposal-prop2] integrity sha1 md5
[Sysname-ikev2-proposal-prop2] prf sha1 md5
[Sysname-ikev2-proposal-prop2] group 2
以上配置将会组合成如下几组安全参数:
· aes-cbc-128、sha1、sha1、2
· aes-cbc-128、sha1、md5、2
· aes-cbc-128、md5、md5、2
· aes-cbc-128、md5、sha1、2
· 3des、sha1、sha1、2
· 3des、sha1、md5、2
· 3des、md5、md5、2
· 3des、md5、sha1、2
# 在发起端创建IKEv2安全提议prop1,并为其配置多组安全参数:加密算法为aes-cbc-128和3des,完整性校验算法为sha1和md5,PRF算法为sha1和md5,DH组为group2和group5。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128 3des-cbc
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
[Sysname-ikev2-proposal-prop1] prf sha1 md5
[Sysname-ikev2-proposal-prop1] group 2 5
# 在响应端创建IKEv2安全提议prop1,并为其配置多组安全参数:加密算法为aes-cbc-128和3des,完整性校验算法为md5和sha1,PRF算法为md5和sha1,DH组为group5和group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity md5 sha1
[Sysname-ikev2-proposal-prop1] prf md5 sha1
[Sysname-ikev2-proposal-prop1] group 5 2
基于以上配置,由于发起端的安全参数将会被优先选择使用,因此,最终协商使用的安全参数为:加密算法aes-cbc-128,完整性校验算法sha1,PRF算法sha1,DH组group2。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 } *
undo integrity
【视图】
IKEv2安全提议视图
【缺省级别】
2:系统级
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的完整性校验算法为AES-XCBC-MAC。
md5:指定IKEv2安全提议采用的完整性校验算法为MD5。
sha1:指定IKEv2安全提议采用的完整性校验算法为SHA-1。
【描述】
integrity命令用来指定IKEv2安全提议使用的完整性校验算法。undo integrity命令用来删除为IKEv2安全提议指定的完整性校验算法。
缺省情况下,未定义任何完整性校验算法。
需要注意的是:
· 一个IKEv2安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。
· 一个IKEv2安全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。
相关配置可参考命令display ikev2 proposal。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的完整性校验算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1m] integrity sha1 md5
【命令】
ip-mask mask-length
undo ip-mask
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
mask-length:IPv4本地地址池中IPv4地址的掩码长度,取值范围为0~32。
【描述】
ip-mask命令用来指定IKEv2 profile引用的IPv4本地地址池的掩码长度。undo ip-mask命令用来恢复缺省情况。
缺省情况下,IKEv2 profile引用的IPv4本地地址池掩码长度为32。
相关配置可参考命令ikev2 ip-pool和ip-pool。
【举例】
# 创建一个名为profile1的IKEv2 profile,配置该profile所引用的IPv4地址池的掩码长度为28。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ip-mask 28
【命令】
ip-pool pool-name
undo ip-pool
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
pool-name:指定IKEv2 profile引用的IPv4本地地址池名称,为1~32个字符的字符串,不区分大小写。
【描述】
ip-pool命令用来指定IKEv2 profile引用的IPv4本地地址池。undo ip-pool命令用来删除IKEv2 profile引用的IPv4本地地址池。
缺省情况下,IKEv2 profile没有引用任何本地地址池。
若在IKEv2协商过程中对端请求本端为其分配IPv4地址,且本端配置为可接收该请求,则本端会从当前使用的IKEv2 profile中指定的本地地址池中选择可用的IPv4地址,并将其携带在IKEv2协商的响应报文中发送给对端。
相关配置可参考命令ikev2 ip-pool和ip-mask。
【举例】
# 创建一个名为profile1的IKEv2 profile,该profile引用名为ipv4pool的IPv4本地地址池。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv4-pool ipv4pool
【命令】
ipv6-mask prefix-length
undo ipv6-mask
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
prefix-length:本地IPv6地址池中IPv6地址的前缀长度,取值范围为0~128。
【描述】
ipv6-mask命令用来指定IKEv2 profile引用的IPv6本地地址池的前缀长度。undo ipv6-mask命令用来恢复缺省情况。
缺省情况下,IKEv2 profile引用的IPv6地址池的前缀长度为128。
相关配置可参考命令ikev2 ipv6-pool和ipv6-pool。
【举例】
# 创建一个名为profile1的IKEv2 profile,配置该profile所引用的IPv6地址池的前缀长度为64。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv6-mask 64
【命令】
ipv6-pool pool-name
undo ipv6-pool
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
pool-name:指定IKEv2 profile引用的IPv6本地地址池名称,为1~32个字符的字符串,不区分大小写。
【描述】
ipv6-pool命令用来指定IKEv2 profile引用的IPv6本地地址池。undo ipv6-pool命令用来删除IKEv2 profile引用的本地IPv6地址池。
缺省情况下,IKEv2 profile没有引用任何本地地址池。
若在IKEv2协商过程中对端请求本端为其分配IPv6地址,且本端配置为可接收该请求,则本端会从当前使用的IKEv2 profile中指定的本地地址池中选择可用的IPv6地址,并将其携带在IKEv2协商的响应报文中发送给对端。
相关配置可参考命令ikev2 ipv6-pool和ipv6-mask。
【举例】
# 创建一个名为profile1的IKEv2 profile,该profile引用名为ipv6pool的IPv6本地地址池。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv6-pool ipv6pool
【命令】
keyring keyring-name
undo keyring
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
keyring-name:IKEv2 keyring名称,为1~32个字符的字符串,不区分大小写,字符可以是英文字母或者数字。被引用的keyring必须已经配置。
【描述】
keyring命令用来指定IKEv2 profile引用的keyring。undo keyring命令用来删除IKEv2 profile引用的keyring。
缺省情况下,IKEv2 profile中未引用任何keyring。
需要注意的是:
· 采用预共享密钥认证方式时,IKEv2 profile下必须引用keyring,且只能引用一个。
· 不同的IKEv2 profile可以共享同一个IKEv2 keyring,但一个IKEv2 profile中只能指定一个IKEv2 keyring 。
相关配置可参考命令display ikev2 profile和ikev2 keyring。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keyring,keyring的名称为keyring1。
[Sysname-ikev2-profile-profile1] keyring keyring1
【命令】
lifetime seconds
undo lifetime
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
seconds:IKEv2 SA的生命周期,单位为秒,取值范围为120~86400。
【描述】
lifetime命令用来配置IKEv2 SA的生命周期。undo lifetime命令用来恢复缺省情况。
缺省情况下,IKEv2 SA的生命周期为86400秒。
在一个IKEv2 SA的生命周期到达之前,可以用该IKEv2 SA进行其它IKEv2协商,因此一个生命周期较长的IKE SA可以节省很多用于重新协商的时间。但是,IKEv2 SA的生命周期越长,攻击者越容易收集到更多的报文信息来对它实施攻击,因此它也越容易遭到攻击。
本端和对端的IKEv2 SA生命周期可以不一致,也不需要进行协商,由生命周期较短的一方在本端IKEv2 SA生命周期到达之后发起重协商。
相关配置可参考命令display ikev2 profile。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生命周期为1200秒。
[Sysname-ikev2-profile-profile1] lifetime 1200
【命令】
match { address local { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address } | certificate access-control-policy string | identity remote { address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] } | email email-string | fqdn fqdn-name | key-id key-id } }
undo match { address local { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address } | certificate access-control-policy string | identity remote { { address ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] } | email email-string | fqdn fqdn-name | key-id key-id } }
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
address local:基于指定的本端地址信息匹配IKEv2 profile。当采用数字签名方式的身份验证方式时,响应方需要根据本端的地址信息查找IKEv2 profile并发起证书请求,因此必须指定该参数,且只能指定为应用IPsec策略的接口或接口的主IP地址。
· ipv4-address:本端IPv4地址。
· ipv6-address:本端IPv6地址。
· interface interface-type interface-number:本端接口地址。其中,interface-type interface-number为接口类型和接口编号。
certificate access-control-policy string:基于对端数字证书中的信息匹配IKEv2 profile。其中,string是证书访问控制策略的名称,为1~32的字符的字符串。本参数用于响应方根据收到的发起方证书中的subject name字段来过滤使用的IKEv2 profile。
identity remote:基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。
· address ipv4-address [ mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,取值范围为1~32。
· ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀长度,取值范围为0~128。
· email email-string:对端E-mail地址,为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@test.com。
· fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
· key-id key-id:对端Key-ID名称,为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
·
【描述】
match命令用来配置查找IKEv2 profile的匹配条件。undo match命令用来删除指定的匹配条件。
缺省情况下,未定义任何匹配条件。
该配置仅用于响应方根据匹配条件来查找要使用的IKEv2 profile;发起方不需要进行本配置,直接使用在IPsec策略中指定的IKEv2 profile。
可以在一个IKEv2 profile下指定多个匹配条件,这些匹配条件中,相同类型的匹配条件之间是或的关系,即只要满足其中之一即可,不同类型的匹配条件之间是与的关系,即各类型的匹配条件均要满足。
相关配置可参考命令display ikev2 profile和identity local。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定用于查找IKEv2 profile的匹配条件。
[Sysname-ikev2-profile-profile1] match address local 3.3.3.3
[Sysname-ikev2-profile-profile1] match address local 4.4.4.4
[Sysname-ikev2-profile-profile1] match identity remote fqdn www.test.com
基于以上配置形成的最终匹配条件为:本地IP地址为3.3.3.3或者4.4.4.4,并且对端FQDN名称为www.test.com。
【命令】
match address local { ipv4-address | ipv6 ipv6-address }
undo match address local { ipv4-address | ipv6 ipv6-address }
【视图】
IKEv2安全策略视图
【缺省级别】
2:系统级
【参数】
ipv4-address:指定用来匹配IKEv2安全策略的本端IPv4地址。
ipv6 ipv6-address:指定用来匹配IKEv2安全策略的本端IPv6地址。
【描述】
match address local命令用来指定匹配IKEv2安全策略的本端地址。undo match address local命令用来删除配置的用于匹配IKEv2安全策略的本端地址。
缺省情况下,未指定用于匹配IKEv2安全策略的本端地址,本策略可匹配所有的本端地址。
在IKE_INIT_SA协商时,系统根据配置的本端安全网关的IP地址来查找可用的IKEv2安全策略,与本端安全网关的IP地址相匹配的IKEv2安全策略中的安全提议将被使用。
相关配置可参考命令display ikev2 policy。
【举例】
# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match address local 3.3.3.3
【命令】
nat keepalive seconds
undo nat keepalive
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
seconds:发送NAT keepalive报文的时间间隔,单位为秒,取值范围为5~3600。
【描述】
nat keepalive命令用来配置IKEv2发送NAT keepalive报文的时间间隔。undo nat keepalive命令用来恢复缺省情况。
缺省情况下,IKEv2发送NAT keepalive报文的时间间隔为10秒。
在IKEv2对等体之间存在NAT网关设备的情况下,设备通过定期向对端发送NAT keepalive报文防止已有的NAT会话表项因长时间无流量匹配而被老化。
相关配置可参考命令display ikev2 profile。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置发送NAT keepalive报文的时间间隔为1200秒。
[Sysname-ikev2-profile-profile1] nat keepalive 1200
【命令】
peer peer-name
undo peer peer-name
【视图】
IKEv2 keyring视图
【缺省级别】
2:系统级
【参数】
peer-name:IKEv2对等体名称,为1~32个字符的字符串,不区分大小写。
【描述】
peer命令用来配置一个IKEv2对等体,并进入IKEv2对等体视图。undo peer命令用来删除配置的IKEv2对等体。
缺省情况下,不存在任何IKEv2对等体。
一个IKEv2对等体中包含了一个预共享密钥以及用于查找该对等体的匹配条件,包括对端的主机名称(由命令hostname配置)、对端的IP地址(由命令address配置)和对端的身份(由命令identity配置)。其中,IKEv2协商的发起方使用对端的主机名称和IP地址查找对等体,响应方使用对端的身份或对端的IP地址查找对等体。
相关配置可参考命令address、hostname、identity和pre-shared-key (IKEv2 peer view)。
【举例】
# 创建一个IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-keyr1-keyr1] peer peer1
【命令】
pki domain domain-name [ sign | verify ]
undo pki domain domain-name [ sign | verify ]
【视图】
IKEv2 profile视图
【缺省级别】
2:系统级
【参数】
domain-name:PKI域的名称,为1~64个字符的字符串,不区分大小写。
sign:指定本端使用该PKI域中的证书生成数字签名。
verify:指定本端使用该PKI域中的证书来验证对端发送的数字签名。
【描述】
pki domain命令用来指定IKEv2 profile引用的PKI域。undo pki domain命令用来删除IKEv2 profile引用的PKI域。
缺省情况下,使用系统中已有的PKI域来验证证书。
需要注意的是:
· 如果没有指定任何参数,则表示指定的PKI域既用于签名也用于验证。
· 可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。
· 如果本端的认证方式配置为RSA数字签名方式,则必须通过本命令指定PKI域来获取用于签名的数字证书;如果对端的认证方式配置为RSA数字签名方式,则必须通过本命令指定PKI域来获取用于验证的数字证书。
相关配置可参考命令display ikev2 profile、authentication以及“安全命令参考/PKI”中的命令pki domain。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域pki-local用于签名,PKI域pki-remote用于验证。
[Sysname-ikev2-profile-profile1] pki domain pki-local sign
[Sysname-ikev2-profile-profile1] pki domain pki-remote verify
【命令】
pre-shared-key [ local | remote ] [ cipher | simple ] key
undo pre-shared-key [ local | remote ]
【视图】
IKEv2对等体视图
【缺省级别】
2:系统级
【参数】
[ local | remote ]:表示指定非对称密钥。其中,local表示签名密钥,remote表示验证密钥。若参数local和remote均不指定,则表示指定的是对称密钥。
cipher:表示以密文方式设置预共享密钥。
simple:表示以明文方式设置预共享密钥。
string-key:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。不指定cipher或simple时,表示以明文方式设置密钥。
【描述】
pre-shared-key命令用来配置一个IKEv2对等体的预共享密钥。undo pre-shared-key命令用来删除一个IKEv2对等体的预共享密钥。
缺省情况下,未配置IKEv2对等体的预共享密钥。
以明文或密文方式设置的预共享密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令peer (IKEv2 keyring view)。
【举例】
· 发起方示例
# 创建一个IKEv2 keyring,名称为keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 配置IKEv2对等体peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keyring-keyr1-peer-peer1] pre-shared-key simple 111-key
[Sysname-ikev2-keyring-keyr1-peer-peer1] quit
# 创建一个IKEv2对等体,名称为peer2。
[Sysname-ikev2-keyring-keyr1] peer peer2
# 配置IKEv2对等体peer2的非对称预共享密钥,签名密钥为明文111-key-a,验证密钥为明文111-key-b。
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key local simple 111-key-a
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key remote simple 111-key-b
· 响应方示例
# 创建一个IKEv2 keyring,名称为telecom。
<Sysname> system-view
[Sysname] ikev2 keyring telecom
# 创建一个IKEv2对等体,名称为peer1。
[Sysname-ikev2-keyring-telecom] peer peer1
# 配置IKEv2对等体peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keyring-telecom-peer-peer1] pre-shared-key simple 111-key
[Sysname-ikev2-keyring-telecom-peer-peer1] quit
# 创建一个IKEv2对等体,名称为peer2。
[Sysname-ikev2-keyring-telecom] peer peer2
# 配置IKEv2对等体的非对称预共享密钥,签名密钥为明文111-key-b,验证密钥为明文111-key-a。
[Sysname-ikev2-keyring-telecom-peer-peer2] pre-shared-key local simple 111-key-b
[Sysname-ikev2-keyring-telecom-peer-peer2] pre-shared-key remote simple 111-key-a
【命令】
prf { aes-xcbc-mac| md5 | sha1 } *
undo prf
【视图】
IKEv2安全提议视图
【缺省级别】
2:系统级
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的PRF算法为AES-XCBC。
md5:指定IKEv2安全提议采用的PRF算法为MD5。
sha1:指定IKEv2安全提议采用的PRF算法为SHA1。
【描述】
prf命令用来指定IKEv2安全提议使用的PRF算法。undo prf命令用来删除为IKEv2安全提议指定的PRF算法。
缺省情况下,未定义任何PRF算法。
需要注意的是:
· 一个IKEv2安全提议中至少需要配置一个PRF算法,否则该安全提议不完整。
· 一个IKEv2安全提议中可以配置多个PRF算法,其使用优先级按照配置顺序依次降低。
相关配置可参考命令display ikev2 proposal。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的PRF算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1m] prf sha1 md5
【命令】
proposal proposal-name&<1-6>
undo proposal [ proposal-name ]
【视图】
IKEv2安全策略视图
【缺省级别】
2:系统级
【参数】
proposal-name&<1-6>:被引用的IKEv2安全提议的名称,为1~32个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【描述】
proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。undo proposal命令用来删除IKEv2安全策略引用的IKEv2安全提议。
缺省情况下,IKEv2安全策略未引用任何IKEv2安全提议。
需要注意的是:
· 若同时指定了多个IKEv2安全提议,则它们的优先级按照配置顺序依次降低。
· 要引用的IKEv2安全提议必须已经存在。
· 若不指定任何参数,则undo proposal命令表示删除所有引用的IKEv2安全提议。
相关配置可参考命令display ikev2 policy。
【举例】
# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1和proposal2,且优先选择proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1 proposal2
【命令】
reset ikev2 sa [ { local-address | remote-address } { ipv4-address | ipv6 ipv6-address } ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
remote-address:表示按照对端IP地址删除IKEv2 SA。
local-address:表示按照本端IP地址删除IKEv2 SA。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
【描述】
reset ikev2 sa命令用来删除IKE SA及生成的IPsec SA。
需要注意的是,如果不指定任何参数,则表示删除所有的IKE SA及其协商生成的IPsec SA。
相关配置可参考命令display ikev2 sa。
【举例】
# 删除本端地址为1.1.1.1的IKE SA及其IPsec SA。
<Sysname> reset ikev2 sa local-address 1.1.1.1
# 删除对端地址为1.1.1.1的IKE SA及其IPsec SA。
<Sysname> reset ikev2 sa remote-address 1.1.1.1
# 删除所有IKE SA及其协商生成的IPsec SA。
<Sysname> reset ikev2 sa
【命令】
reset ikev2 statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset ikev2 statistics命令用来清除IKEv2的统计信息。
相关配置可参考命令display ikev2 statistics。
【举例】
# 清除IKEv2的统计信息。
<Sysname> reset ikev2 statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
