- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-IPsec命令
本章节下载: 05-IPsec命令 (379.12 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.5 display ipsec policy-template
1.1.10 display ipsec statistics
1.1.13 esp authentication-algorithm
1.1.14 esp encryption-algorithm
1.1.15 ike-peer (IPsec policy view/IPsec policy template view/IPsec profile view)
1.1.16 ipsec anti-replay check
1.1.17 ipsec anti-replay window
1.1.19 ipsec cpu-backup enable
1.1.21 ipsec invalid-spi-recovery enable
1.1.22 ipsec policy (interface view)
1.1.23 ipsec policy (system view)
1.1.24 ipsec policy isakmp template
1.1.25 ipsec policy local-address
1.1.27 ipsec profile (system view)
1.1.28 ipsec profile (tunnel interface view)
1.1.30 ipsec sa global-duration
1.1.31 ipsec session idle-time
1.1.34 proposal (IPsec policy view/ IPsec policy template view/ IPsec profile view)
1.1.40 reverse-route preference
2.1.1 authentication-algorithm
2.1.15 ike next-payload check disabled
2.1.18 ike sa keepalive-timer interval
2.1.19 ike sa keepalive-timer timeout
2.1.20 ike sa nat-keepalive-timer interval
2.1.28 proposal (IKE peer view)
对于安全策略的数据流保护方式,ICG系列信息通信网关同时支持标准方式和聚合方式。
【命令】
ah authentication-algorithm { md5 | sha1 }
undo ah authentication-algorithm
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
md5:采用MD5认证算法。
sha1:采用SHA-1认证算法。
【描述】
ah authentication-algorithm命令用来配置AH协议采用的认证算法。undo ah authentication-algorithm命令用来恢复缺省情况。
缺省情况下,AH协议采用MD5认证算法。
需要注意的是,只有先使用transform命令选择了ah或ah-esp安全协议后,才能够配置ah认证算法。
相关配置可参考命令ipsec proposal和transform。
【举例】
# 配置安全提议prop1,设定AH协议采用SHA-1算法。
<Sysname> system-view
[Sysname] ipsec proposal prop1
[Sysname-ipsec-proposal-prop1] transform ah
[Sysname-ipsec-proposal-prop1] ah authentication-algorithm sha1
【命令】
connection-name name
undo connection-name
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
name:IPsec连接的名称,为1~32个字符的字符串,不区分大小写。
【描述】
connection-name命令用来配置IPsec连接名,该连接名用于描述一个IPsec安全策略。undo connection-name命令用来恢复缺省情况。
缺省情况下,无IPsec连接名。
【举例】
# 配置一个IPsec连接名来描述序号为1的安全策略policy1。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] connection-name CenterToA
【命令】
cryptoengine enable
undo cryptoengine enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
cryptoengine enable命令用来使能加密引擎功能。undo cryptoengine enable命令用来禁止加密引擎功能。
【举例】
# 使能加密引擎功能。
<Sysname> system-view
[Sysname] cryptoengine enable
【命令】
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有安全策略的简要信息。
name:显示指定安全策略的详细信息。
policy-name:指定安全策略的名字,为1~15个字符的字符串。
seq-number:指定安全策略的顺序号,取值范围为1~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec policy命令用来显示安全策略的信息。
需要注意的是:
· 如果不指定任何参数,则显示所有安全策略的详细信息。
· 如果指定了name policy-name,而没有指定seq-number,则显示指定的安全策略组的详细信息。
相关配置可参考命令ipsec policy (system-view)。
【举例】
# 显示所有安全策略的简要信息。
<Sysname> display ipsec policy brief
IPsec-Policy-Name Mode acl ike-peer name Mapped Template
------------------------------------------------------------------------
bbbbbbbbbbbbbbb-1 template aaaaaaaaaaaaaaa
man-1 manual 3400
map-1 isakmp 3000 peer
nat-1 isakmp 3500 nat
test-1 isakmp 3200 test
toccccc-1 isakmp 3003 tocccc
IPsec-Policy-Name Mode acl Local-Address Remote-Address
------------------------------------------------------------------------
man-1 manual 3400 3.3.3.1 3.3.3.2
表1-1 display ipsec policy brief命令显示信息描述表
|
字段 |
描述 |
|
IPsec-Policy-Name |
安全策略的名字和顺序号(例如map-1表示安全策略组名为map、顺序号为1) |
|
Mode |
安全策略采用的协商方式 · manual:手工方式 · isakmp:IKE协商方式 · template:策略模板方式 |
|
acl |
安全策略引用的访问控制列表 |
|
ike-peer name |
对等体的名称 |
|
Mapped Template |
引用的安全策略模板名 |
|
Local-Address |
本端的IP地址 |
|
Remote-Address |
对端的IP地址 |
# 显示所有安全策略的详细信息。
<Sysname> display ipsec policy
===========================================
IPsec Policy Group: "policy_isakmp"
Interface: Ethernet1/1
===========================================
------------------------------------
IPsec policy name: "policy_isakmp"
sequence number: 10
mode: isakmp
-------------------------------------
security data flow : 3000
selector mode: standard
ike-peer name: per
perfect forward secrecy: None
proposal name: prop1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
===========================================
IPsec Policy Group: "policy_man"
Interface: Ethernet1/2
===========================================
-----------------------------------------
IPsec policy name: "policy_man"
sequence number: 10
mode: manual
-----------------------------------------
security data flow : 3002
tunnel local address: 162.105.10.1
tunnel remote address: 162.105.10.2
proposal name: prop1
inbound AH setting:
AH spi: 12345 (0x3039)
AH string-key:
AH authentication hex key : 1234567890123456789012345678901234567890
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: 1234567890abcdef1234567890abcdef1234567812345678
ESP authentication hex key: 1234567890abcdef1234567890abcdef
outbound AH setting:
AH spi: 54321 (0xd431)
AH string-key:
AH authentication hex key: 1122334455667788990011223344556677889900
outbound ESP setting:
ESP spi: 65432 (0xff98)
ESP string-key:
ESP encryption hex key: 11223344556677889900aabbccddeeff1234567812345678
ESP authentication hex key: 11223344556677889900aabbccddeeff
===========================================
IPsec Policy Group: "manual"
Interface:
Protocol: OSPFv3, RIPng, BGP
===========================================
-----------------------------
IPsec policy name: "policy001"
sequence number: 10
mode: manual
-----------------------------
security data flow :
tunnel local address:
tunnel remote address:
proposal name: prop1
inbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: 1234567890abcdef1234567890abcdef1234567812345678
ESP authentication hex key: 1234567890abcdef1234567890abcdef
outbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
outbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: 1234567890abcdef1234567890abcdef1234567812345678
ESP authentication hex key: 1234567890abcdef1234567890abcdef
表1-2 display ipsec policy命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Group |
安全策略组的名称 |
|
security data flow |
安全策略引用的访问控制列表 |
|
Interface |
应用了安全策略的接口名称 |
|
Protocol |
应用了安全策略的协议名称(策略未应用在任何路由协议上时,不显示该字段) |
|
IPsec policy name |
安全策略的名称 |
|
sequence number |
安全策略的顺序号 |
|
mode |
安全策略采用的协商方式 · mannul:手工方式 · isakmp:IKE协商方式 · template:策略模板方式 |
|
policy template name |
安全策略模板名称 |
|
selector mode |
安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 |
|
ike-peer name |
安全策略引用的IKE对等体名称 |
|
tunnel local address |
隧道本端的IP地址 |
|
tunnel remote address |
隧道对端的IP地址 |
|
perfect forward secrecy |
是否采用了完善的前向安全性(PFS) |
|
proposal name |
安全策略引用的提议的名字 |
|
policy enable |
安全策略是否被使能 |
|
inbound/outbound AH/ESP setting |
输入/输出端采用AH/ESP协议的有关设置,包括SPI和密钥 |
【命令】
display ipsec policy-template [ brief | name template-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有安全策略模板的简要信息。
name:显示指定安全策略模板的详细信息。
template-name:指定安全策略模板的名字,为1~41个字符的字符串。
seq-number:指定安全策略模板的顺序号,取值范围为1~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec policy-template命令用来显示安全策略模板的信息。
需要注意的是:
· 如果不指定任何参数,则显示所有安全策略模板的详细信息。
· 如果指定了name template-name,而没有指定seq-number,则显示指定的安全策略模板组的详细信息。
相关配置可参考命令ipsec policy-template。
【举例】
# 显示所有安全策略模板的简要信息。
<Sysname> display ipsec policy-template brief
Policy-template-Name acl Remote-Address
------------------------------------------------------
test-tplt300 2200
表1-3 display ipsec policy-template brief命令显示信息描述表
|
字段 |
描述 |
|
Policy-template-Name |
安全策略模板的名字和顺序号(例如test-tplt300表示安全策略组名为test-tplt、顺序号为300) |
|
acl |
安全策略模板引用的访问控制列表 |
|
Remote Address |
对端的IP地址 |
# 显示所有安全策略模板详细信息。
<Sysname> display ipsec policy-template
===============================================
IPsec Policy Template Group: "test"
===============================================
---------------------------------
Policy template name: "test"
sequence number: 1
---------------------------------
security data flow :
ike-peer name: None
perfect forward secrecy:
proposal name: testprop
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
表1-4 display ipsec policy-template命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template Group |
安全策略模板组名称 |
|
Policy template name |
安全策略模板名称 |
|
sequence number |
安全策略模板的序号 |
|
security data flow |
安全策略模板引用的访问控制列表 |
|
ike-peer name |
安全策略模板引用的IKE对等体名称 |
|
perfect forward secrecy |
是否采用了完善的前向安全性(PFS) |
|
proposal name |
安全策略模板引用的提议的名字 |
|
IPsec sa local duration(time based) |
安全联盟的基于时间的本地生存时间 |
|
IPsec sa local duration(traffic based) |
安全联盟的基于流量的本地生存时间 |
【命令】
display ipsec profile [ name profile-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
name profile-name:显示指定安全框架的配置信息。其中,profile-name表示安全框架的名称,为1~15个字符的字符串,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec profile命令用来显示安全框架的配置信息。
需要注意的是,如果没有指定安全框架的名称,则显示所有安全框架的配置信息。
相关配置可参考命令ipsec profile。
【举例】
# 显示所有安全框架的配置信息。
<Sysname> display ipsec profile
===========================================
IPsec profile: "2"
Using interface: {Tunnel2}
===========================================
-----------------------------
IPsec profile name: "2"
mode: dvpn
-----------------------------
security data flow : 0
ike-peer name: peer1
perfect forward secrecy: None
proposal name: prop1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
===========================================
IPsec profile: "btoa"
Using interface: {Tunnel1}
===========================================
-----------------------------
IPsec profile name: "btoa"
mode: tunnel
-----------------------------
security data flow : 0
ike-peer name: btoa
perfect forward secrecy: None
proposal name: method1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
表1-5 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
IPsec profile |
指定的安全框架 |
|
Using interface |
应用了安全框架的接口名称 |
|
IPsec profile name |
安全框架的名称 |
|
mode |
安全框架所采用的封装模式 · dvpn:DVPN隧道模式 · tunnel:IPsec虚拟隧道模式 |
|
security data flow |
安全策略引用的访问控制列表 由于安全框架无需引用任何访问控制列表,因此此处显示为“0”,但无任何实际意义 |
|
ike-peer name |
安全框架引用的IKE对等体名称 |
|
perfect forward secrecy |
是否采用了完善的前向安全性(PFS) |
|
proposal name |
安全框架引用的提议的名称 |
|
IPsec sa local duration(time based) |
安全联盟的基于时间的本地生存时间 |
|
IPsec sa local duration(traffic based) |
安全联盟的基于流量的本地生存时间 |
【命令】
display ipsec proposal [ proposal-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
proposal-name:指定提议的名字,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec proposal命令用来显示安全提议的信息。
如果没有指定提议的名字,则显示所有安全提议的信息。
相关配置可参考命令ipsec proposal。
【举例】
# 显示所有安全提议的信息。
<Sysname> display ipsec proposal
encapsulation mode: tunnel
transform: ah-new
AH protocol: authentication sha1-hmac-96
IPsec proposal name: prop1
encapsulation mode: transport
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
表1-6 display ipsec proposal命令显示信息描述表
|
字段 |
描述 |
|
IPsec proposal name |
提议的名字 |
|
encapsulation mode |
提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
transform |
提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议采用的认证算法 |
|
ESP protocol |
ESP协议采用的认证算法和加密算法 |
【命令】
display ipsec sa [ brief | policy policy-name [ seq-number ] | remote ip-address ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有的安全联盟的简要信息。
policy:显示由指定安全策略创建的安全联盟的详细信息。
policy-name:指定安全策略的名字,为1~15个字符的字符串。
seq-number:指定安全策略的顺序号,取值范围为1~65535。
remote ip-address:显示对端地址为ip-address的安全联盟的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec sa命令用来显示安全联盟的相关信息。
需要注意的是,当未指定任何参数时,显示所有的安全联盟的信息。
相关配置可参考命令reset ipsec sa和ipsec sa global-duration。
【举例】
# 显示安全联盟的简要信息。
<Sysname> display ipsec sa brief
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
10.1.1.1 10.1.1.2 300 ESP E:DES;
A:HMAC-MD5-96
10.1.1.2 10.1.1.1 400 ESP E:DES;
A:HMAC-MD5-96
表1-7 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Src Address |
本端的IP地址 |
|
Dst Address |
对端的IP地址 |
|
SPI |
安全参数索引 |
|
Protocol |
IPsec采用的安全协议 |
|
Algorithm |
安全协议采用的认证算法和加密算法,其中,以“E:”开头表示加密算法;以“A:”开头表示认证算法;NULL表示未指定相关算法 |
【命令】
display ipsec session [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
integer:显示指定IPsec隧道的会话信息,取值范围为1~2000000000。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec session命令用来显示IPsec会话的信息。
需要注意的是,如果不指定任何参数,则显示所有IPsec会话信息。
通过会话可以直接查找到匹配的隧道,节省了大量的中间匹配过程,提高了IPsec的转发效率。会话用协议、源地址、源端口、目的地址、目的端口五元组来标识。
相关配置可参考命令reset ipsec session。
【举例】
# 显示所有的IPsec会话信息。
<Sysname> display ipsec session
------------------------------------------------------------
total sessions : 2
------------------------------------------------------------
tunnel-id : 3
session idle time/total duration (sec) : 36/300
session flow : (8 times matched)
Sour Addr : 15.15.15.1 Sour Port: 0 Protocol : 1
Dest Addr : 15.15.15.2 Dest Port: 0 Protocol : 1
------------------------------------------------------------
tunnel-id : 4
session idle duration/total duration (sec) : 7/300
session flow : (3 times matched)
Sour Addr : 12.12.12.1 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.1 Dest Port: 0 Protocol : 1
# 显示IPsec隧道ID为5的会话信息。
<Sysname> display ipsec session tunnel-id 5
------------------------------------------------------------
total sessions : 1
------------------------------------------------------------
tunnel-id : 5
session idle time/total duration (sec) : 30/300
session flow : (4 times matched)
Sour Addr : 12.12.12.2 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.2 Dest Port: 0 Protocol : 1
表1-8 display ipsec session命令显示信息描述表
|
字段 |
描述 |
|
total sessions |
IPsec会话的总个数 |
|
tunnel-id |
IPsec的隧道标识,与IPsec SA的connection-id相同 |
|
session idle time |
IPsec会话的空闲时间,单位为秒 |
|
total duration |
IPsec会话总的生命周期,单位为秒,缺省值为300秒 |
|
session flow |
IPsec会话的流信息 |
|
times matched |
匹配此IPsec会话的报文数 |
|
Sour Addr |
IPsec会话源IP地址 |
|
Dest Addr |
IPsec会话目的IP地址 |
|
Sour Port |
IPsec会话的源端口号 |
|
Dest Port |
IPsec会话的目的端口号 |
|
Protocol |
IPsec保护报文的协议号,例如:1代表ICMP |
【命令】
display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
tunnel-id integer:显示指定IPsec隧道的报文统计信息。其中,integer为隧道的ID号,取值范围为1~2000000000。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec statistics命令用来显示IPsec处理报文的统计信息。
需要注意的是,如果不指定任何参数,则显示所有IPsec处理的报文统计信息。
相关配置可参考命令reset ipsec statistics。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
the security packet statistics:
input/output security packets: 47/62
input/output security bytes: 3948/5208
input/output dropped security packets: 0/45
dropped security packet detail:
not enough memory: 0
can't find SA: 45
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
# 显示隧道ID为3的IPsec报文统计信息。
<Sysname> display ipsec statistics tunnel-id 3
------------------------------------------------
Connection ID : 3
------------------------------------------------
the security packet statistics:
input/output security packets: 5124/8231
input/output security bytes: 52348/64356
input/output dropped security packets: 0/0
dropped security packet detail:
not enough memory: 0
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
表1-9 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
Connection ID |
隧道ID号 |
|
input/output security packets |
受安全保护的输入/输出数据包 |
|
input/output security bytes |
受安全保护的输入/输出字节数 |
|
input/output dropped security packets |
被设备丢弃了的受安全保护的输入/输出数据包 |
|
dropped security packet detail |
被丢弃的输入/输出数据包的详细信息(包括以下各项) |
|
not enough memory |
因为内存不足而被丢弃的数据包的数目 |
|
can't find SA |
因为找不到安全联盟而被丢弃的数据包的数目 |
|
queue is full |
因为队列满而被丢弃的数据包的数目 |
|
authentication has failed |
因为认证失败而被丢弃的数据包的数目 |
|
wrong length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
replay packet |
重放的数据包的数目 |
|
packet too long |
因为数据包过长而被丢弃的数据包的数目 |
|
wrong SA |
因为安全联盟不正确而被丢弃的数据包的数目 |
【命令】
display ipsec tunnel [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec tunnel命令用来显示IPsec隧道的信息。
不指定任何参数的情况下,则显示所有IPsec隧道的信息。
【举例】
# 显示IPsec隧道的信息。
<Sysname> display ipsec tunnel
total tunnel : 2
------------------------------------------------
connection id: 3
perfect forward secrecy:
SA's SPI:
inbound: 187199087 (0xb286e6f) [ESP]
outbound: 3562274487 (0xd453feb7) [ESP]
tunnel:
local address: 44.44.44.44
remote address : 44.44.44.55
flow:
sour addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
dest addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
current Encrypt-card: None
------------------------------------------------
connection id: 5
perfect forward secrecy:
SA's SPI:
inbound: 12345 (0x3039) [ESP]
outbound: 12345 (0x3039) [ESP]
tunnel:
flow:
current Encrypt-card:
# 显示聚合方式下的IPsec隧道信息。
<Sysname> display ipsec tunnel
total tunnel: 2
------------------------------------------------
connection id: 4
perfect forward secrecy:
SA's SPI:
inbound : 2454606993 (0x924e5491) [ESP]
outbound : 675720232 (0x2846ac28) [ESP]
tunnel :
local address: 44.44.44.44
remote address : 44.44.44.45
flow :
as defined in acl 3001
current Encrypt-card : None
表1-10 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
connection id |
连接标识符,用来唯一地标识一个IPsec Tunnel |
|
perfect forward secrecy |
完善的前向安全,标志IKE第二阶段快速模式使用哪个DH组 |
|
SA's SPI |
出方向和入方向的安全策略索引 |
|
tunnel |
IPsec隧道端点的地址 |
|
flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in acl 3001 |
IPsec隧道保护ACL 3001中定义的所有数据流 |
|
current Encrypt-card |
当前Tunnel使用的加密卡接口 |
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【描述】
encapsulation-mode命令用来配置安全协议对IP报文的封装形式。undo encapsulation-mode命令用来恢复缺省情况。
缺省情况下,安全协议采用隧道模式对IP报文进行封装。
若要配置应用于IPv6路由协议的手工安全策略,则该安全策略引用的安全提议仅支持传输模式的封装模式。
相关配置可参考命令ipsec proposal。
【举例】
# 配置名为prop2的提议采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec proposal prop2
[Sysname-ipsec-proposal-prop2] encapsulation-mode transport
【命令】
esp authentication-algorithm { md5 | sha1 }
undo esp authentication-algorithm
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
md5:采用MD5认证算法,密钥长度128位。
sha1:采用SHA-1认证算法,密钥长度160位。
【描述】
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。undo esp authentication-algorithm命令用来配置ESP协议不对报文进行认证。
缺省情况下,ESP协议采用MD5认证算法。
需要注意的是:
· MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。对于保密及安全性要求较高的地方,建议采用SHA-1算法;对于普通安全需求,采用MD5算法即可。
· ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。
· ESP协议采用的加密算法和认证算法不能同时设置为空。当加密算法不为空时,undo esp authentication-algorithm命令才起作用。
相关配置可参考命令ipsec proposal、esp encryption-algorithm、proposal和transform。
【举例】
# 配置提议prop1采用ESP协议并使用SHA-1认证算法。
<Sysname> system-view
[Sysname] ipsec proposal prop1
[Sysname-ipsec-proposal-prop1] transform esp
[Sysname-ipsec-proposal-prop1] esp authentication-algorithm sha1
【命令】
esp encryption-algorithm { 3des | aes [ key-length ] | des }
undo esp encryption-algorithm
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
3des:指定安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168bits的密钥进行加密。
aes:指定安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128bits、192bits、256bits的密钥进行加密。
key-length:AES算法采用的密钥长度,取值可以为128、192、256,缺省值为128。采用AES算法时,此参数有效。
des:指定安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56bits的密钥进行加密。
【描述】
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。undo esp encryption-algorithm命令用来配置ESP协议不对报文进行加密。
缺省情况下,ESP协议采用DES加密算法。
需要注意的是:
· 对于保密及安全性要求非常高的地方,采用3DES算法可以满足需要,但3DES加密速度比较慢;对于普通的安全要求,DES算法就可以满足需要。
· ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。
· ESP协议采用的加密算法和认证算法不能同时设置为空。当认证算法不为空时,undo esp encryption-algorithm命令才起作用。
相关配置可参考命令ipsec proposal、esp authentication-algorithm、proposal和transform。
【举例】
# 配置提议prop1采用ESP协议并使用3DES加密算法。
<Sysname> system-view
[Sysname] ipsec proposal prop1
[Sysname-ipsec-proposal-prop1] transform esp
[Sysname-ipsec-proposal-prop1] esp encryption-algorithm 3des
【命令】
ike-peer peer-name
undo ike-peer peer-name
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
【描述】
ike-peer命令用来在IKE协商方式配置的安全策略、安全策略模板或者安全框架中引用IKE对等体。undo ike peer命令用来取消在安全策略、安全策略模板或者安全框架中引用IKE对等体。
相关配置可参考命令ipsec policy或ipsec profile。
【举例】
# 配置在安全策略中引用IKE对等体。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1
# 配置在安全框架中引用IKE对等体。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile- profile1] ike-peer peer1
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
缺省情况下,IPsec抗重放检测功能处于开启状态。
【举例】
# 开启IPsec抗重放检测。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
width:IPsec抗重放窗口的宽度,可取的值为32、64、128、256、512、1024。
【描述】
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。undo ipsec anti-replay window命令用来恢复缺省情况。
缺省情况下,IPsec抗重放窗口的宽度为32。
需要注意的是,修改后的配置仅对于新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为64。
<Sysname> system-view
[Sysname] ipsec anti-replay window 64
【命令】
ipsec binding policy policy-name [ seq-number ] [ primary ]
undo ipsec binding policy policy-name [ seq-number ] [ primary ]
【视图】
加密卡接口视图
【缺省级别】
2:系统级
【参数】
policy-name:安全策略组或者安全框架的名字,为1~15个字符的字符串,不区分大小写,字符可以是英文字母或者数字,不能包括减号“-”。
seq-number:安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
primary:指定当前加密卡为安全策略(组)或者安全框架的主卡。即安全策略(组)或者安全框架优先使用该卡处理。
【描述】
ipsec binding policy命令用来在加密卡接口上绑定安全策略(组)或者安全框架。undo ipsec binding policy命令用来从加密卡接口上取消与安全策略(组)或者安全框架的绑定。
缺省情况下,没有绑定任何安全策略(组)或者安全框架。
需要注意的是:
· 加密卡绑定安全策略组与在接口上应用安全策略组没有先后顺序,但必须首先建立安全策略组。如果先在加密卡上绑定了安全策略组,要使匹配该策略的流量通过加密卡处理,则此安全策略组至少要应用到一个接口上。
· 在一个加密卡接口下,可以绑定多个安全策略(组)/安全框架。一个安全策略(组)/安全框架可以绑定到多个加密卡接口上。
· 加密卡接口下不能绑定安全策略模板,但是应用安全策略模板生成的安全策略则可以被绑定到加密卡接口下。
· 在一个加密卡接口上,绑定安全策略(组)/安全框架的同时可以指定当前加密卡为主卡,并以最后一次指定的主卡为有效主卡。但若此安全策略(组)/安全框架已经在当前加密卡上绑定过,先前绑定的相同名称的安全策略(组)/安全框架会被覆盖。
· 当使用加密卡对报文进行加密时,安全策略(组)/安全框架首先选取绑定的主卡作为当前使用加密卡。如果没有配置主卡,则按照绑定的先后顺序从绑定的加密卡中选取一块作为当前加密卡。一旦安全策略(组)/安全框架指定某块加密卡作为主卡,则立即将当前使用加密卡切换到主卡。
相关配置可参考命令ipsec policy (System view) 和ipsec profile (System view)。
【举例】
# 在Encryp1/0接口上绑定名称为map的安全策略组。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map
# 在Encrypt1/0接口上绑定名称为map1,优先级为10的安全策略。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10
# 在Encryp1/0接口上绑定名称为map的安全策略组,并指定当前加密卡为安全策略组的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map primary
# 在Encrypt1/0接口上绑定名称为map1,优先级为10的安全策略,并指定当前加密卡为安全策略的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10 primary
# 在Encryp1/0接口上绑定名称为map1的安全框架。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1
【命令】
ipsec cpu-backup enable
undo ipsec cpu-backup enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec cpu-backup enable命令用来使能主体软件备份功能。undo ipsec cpu-backup enable命令用来禁止主体软件备份功能。
缺省情况下,主体软件备份功能处于使能状态。
ICG系列信息通信网关各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
命令 |
ICG 2000B |
ICG 2000 |
ICG 2200 ICG 3000B ICG 3000S ICG 3000 |
ICG 5000B ICG 5000 |
|
ipsec cpu-backup enable |
No |
No |
Yes |
Yes |
【举例】
# 使能主体软件备份功能。
<Sysname> system-view
[Sysname] ipsec cpu-backup enable
【命令】
ipsec decrypt check
undo ipsec decrypt check
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec decrypt check命令用来使能解封装后IPsec报文的ACL检查功能。undo ipsec decrypt check命令用来关闭解封装后IPsec报文的ACL检查功能。
缺省情况下,解封装后IPsec报文的ACL检查功能处于使能状态。
【举例】
# 使能对解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt check
【命令】
ipsec invalid-spi-recovery enable
undo ipsec invalid-spi-recovery enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipsec invalid-spi-recovery enable命令用来使能IPsec无效SPI(Security Parameter Index,安全参数索引)恢复功能。undo ipsec invalid-spi-recovery enable命令用来恢复缺省情况。
缺省情况下,IPsec无效SPI恢复功能处于关闭状态,将丢弃收到的无效SPI的IPsec报文。
使能了IPsec无效SPI恢复功能的接收端收到无效SPI的IPsec报文后,即根据报文中的SPI查找不到指定的IPsec SA时,则触发本端IKE向报文的源端发送INVALID SPI NOTIFY消息,通知源端删除此SPI对应的SA,若源端后续还存在到本端的流量时,则可触发IPsec通信两端重建SA。
【举例】
# 使能IPsec无效SPI恢复功能。
<Sysname> system-view
[Sysname] ipsec invalid-spi-recovery enable
【命令】
ipsec policy policy-name
undo ipsec policy [ policy-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
policy-name:指定应用在接口上的安全策略组的名字,为1~15个字符的字符串。在系统视图下,必须已经配置了名字为policy-name的安全策略组。
【描述】
ipsec policy命令用来在接口上应用指定的安全策略组。undo ipsec policy命令用来从接口上取消应用的安全策略组,使此接口不再具有IPsec的安全保护功能。
需要注意的是:
· 在一个接口上,只能应用一个安全策略组。在一个接口上应用一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,从而能够对不同的数据流采用不同的安全联盟进行保护。如果要在接口上应用另一个安全策略组,必须先从接口上取消应用的安全策略组。一个安全策略组可应用到多个接口上。
· 当从一个接口发送报文时,将按照顺序号从小到大的顺序查找安全策略组中每一条安全策略。如果报文匹配了一条安全策略引用的访问控制列表,则使用这条安全策略对报文进行处理;如果报文没有匹配安全策略引用的访问控制列表,则继续查找下一条安全策略;如果报文对所有安全策略引用的访问控制列表都不匹配,则报文直接被发送(IPsec不对报文加以保护)。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 在Serial2/2接口上应用名为pg1的安全策略组。
<Sysname> system-view
[Sysname] interface serial 2/2
[Sysname-Serial2/2] ipsec policy pg1
【命令】
ipsec policy policy-name seq-number [ isakmp | manual ]
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:安全策略的名字,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立安全联盟。
manual:指定用手工方式建立安全联盟。
【描述】
ipsec policy命令用来创建一条安全策略,并进入安全策略视图。undo ipsec policy命令用来删除指定的安全策略。
缺省情况下,没有任何安全策略存在。
需要注意的是:
· 使用此命令创建安全策略时,必须指定协商方式,但进入已创建的安全策略时,可以不指定协商方式。
· 不能修改已创建的安全策略的协商方式,只能先删除该安全策略,再重新创建。
· 具有相同名字的安全策略一起组成一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略。在一个安全策略组中,顺序号seq-number越小的安全策略,优先级越高。
· 不带seq-number参数的undo命令用来删除一个安全策略组。
相关配置可参考命令ipsec policy (Interface view)和display ipsec policy。
【举例】
# 配置名字为policy1,顺序号为101,采用手工方式建立安全联盟的安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【命令】
ipsec policy policy-name seq-number isakmp template template-name
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:安全策略的名字,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的安全策略模板的名字。
【描述】
ipsec policy isakmp template命令用来引用安全策略模板创建一条安全策略,该安全策略由IKE协商建立安全联盟。undo ipsec policy命令用来删除指定的安全策略。
需要注意的是:
· 不带seq-number参数的undo命令用来删除一个安全策略组;
· 在配置此命令前,必须已经创建策略模板。
相关配置可参考命令ipsec policy (System view)和ipsec policy-template。
【举例】
# 引用策略模板temp1创建名字为policy2,顺序号为200的一条安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【命令】
ipsec policy policy-name local-address loopback number
undo ipsec policy policy-name local-address
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:安全策略组的名字,为1~15个字符的字符串,不区分大小写,字符可以是英文字母或者数字,不能包括减号“-”。
loopback number:指定共享源接口为Loopback接口,其中number表示Loopback接口编号。
【描述】
ipsec policy local-address命令用来配置安全策略组为共享源接口安全策略组,即将指定的安全策略组与一个源接口(目前仅支持Loopback接口)进行绑定。undo ipsec policy local-address命令用来取消安全策略组为共享源接口安全策略组的配置。
需要注意的是:
· 引用的安全策略组与Loopback接口必须已经创建,否则配置不成功。
· 引用的安全策略组必须配置了具体的安全策略,否则配置不能生效。
· 当非共享源接口安全策略组应用于业务接口,并已经生成IPsec SA时,如果将该安全策略组配置为共享源接口安全策略组,则已经生成的IPsec SA将被删除。
相关配置可参考命令ipsec policy (System view)和ipsec policy (Interface view)。
【举例】
# 配置IPsec安全策略组map为共享源接口安全策略组,共享源接口为Loopback0。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] quit
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 5.5.5.5 24
[Sysname-LoopBack0] quit
[Sysname] ipsec policy map local-address loopback 0
【命令】
ipsec policy-template template-name seq-number
undo ipsec policy-template template-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
template-name:为安全策略模板的名字,为1~41个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:为此安全策略模板的顺序号,取值范围为1~65535。在一个安全策略模板中,顺序号越小的安全策略模板,优先级越高。
【描述】
ipsec policy-template命令用来创建一个安全策略模板,并进入安全策略模板视图。undo ipsec policy-template命令用来删除指定的一个安全策略模板。
缺省情况下,没有任何安全策略模板存在。
需要注意的是,不带seq-number参数的undo命令用来删除一个安全策略模板组。
相关配置可参考命令display ipsec policy-template。
【举例】
# 创建一个模板名字为template1,顺序号为100的安全策略模板。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【命令】
ipsec profile profile-name
undo ipsec profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:安全框架的名称,为1~15个字符的字符串,不区分大小写。
【描述】
ipsec profile命令用来创建一个安全框架,并进入安全框架视图。安全框架定义了对数据流进行IPsec保护所使用的安全提议,以及用于自动协商安全联盟所需要的IKE协商参数。undo ipsec profile命令用于删除指定的安全框架。
缺省情况下,没有安全框架存在。
目前,安全框架只能应用于DVPN虚拟隧道接口和IPsec虚拟隧道接口下。
相关配置可参考命令ipsec profile (Tunnel interface view)和display ipsec profile。
【举例】
# 创建IPsec安全框架profile1,并进入该IPsec安全框架视图。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1]
【命令】
ipsec profile profile-name
undo ipsec profile
【视图】
Tunnel接口视图
【缺省级别】
2:系统级
【参数】
profile-name:安全框架名称,为1~15个字符的字符串,不区分大小写。
【描述】
ipsec profile命令用于在DVPN隧道接口或IPsec虚拟隧道接口上应用安全框架。undo ipsec profile命令用于取消在DVPN隧道接口或IPsec虚拟隧道接口上应用安全框架。
缺省情况下,DVPN隧道接口或IPsec虚拟隧道接口上没有引用任何安全框架,即不对隧道进行保护。
需要注意的是:
· 一个隧道接口上只能应用一个安全框架。
· 如果隧道接口上需要应用新的安全框架,则需要先取消当前应用的安全框架。
· 同一个安全框架不能同时应用在DVPN隧道接口和IPsec虚拟隧道接口上。
相关配置可参考命令ipsec profile (System view)和“三层技术-IP业务命令参考/隧道”中命令的interface tunnel。
【举例】
# 在IPsec虚拟隧道接口上应用保护IPsec隧道的安全框架vtiprofile。
<Sysname> system-view
[Sysname] interface tunnel 0
[Sysname-Tunnel0] tunnel-protocol ipsec ipv4
[Sysname-Tunnel0] ipsec profile vtiprofile
# 在DVPN隧道接口上引用保护DVPN隧道的安全框架dvpnprofile。
<Sysname> system-view
[Sysname] interface tunnel 1
[Sysname-Tunnel1] tunnel-protocol dvpn udp
[Sysname-Tunnel1] ipsec profile dvpnprofile
【命令】
ipsec proposal proposal-name
undo ipsec proposal proposal-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
proposal-name:指定安全提议的名字,为1~32个字符的字符串,不区分大小写。
【描述】
ipsec proposal命令用来创建一个安全提议,并进入IPsec提议视图。undo ipsec proposal命令用来删除指定的安全提议。
缺省情况下,没有任何安全提议存在。
需要注意的是,在使用该命令创建一个新的IPsec安全提议后,其缺省参数为采用ESP协议、DES加密算法、MD5认证算法。
相关配置可参考命令display ipsec proposal。
【举例】
# 创建名为newprop1的安全提议。
<Sysname> system-view
[Sysname] ipsec proposal newprop1
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定基于时间的全局生存周期,取值范围为180~604800,单位为秒。
kilobytes:指定基于流量的全局生存周期,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存周期到期。
【描述】
ipsec sa global-duration命令用来配置全局的安全联盟生存周期。undo ipsec sa global-duration命令用来恢复缺省情况。
缺省情况下,安全联盟基于时间的全局生存周期为3600秒,基于流量的全局生存周期为1843200千字节。
需要注意的是:
· 当IKE协商安全联盟时,如果采用的安全策略或者安全框架没有配置自己的生存周期,将采用此命令所定义的全局生存周期与对端协商。如果安全策略或者安全框架配置了自己的生存周期,则系统使用安全策略或者安全框架自己的生存周期与对端协商。
· IKE为IPsec协商建立安全联盟时,采用本地配置的生存周期和对端提议的生存周期中较小的一个。
· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用,对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令sa duration。
【举例】
# 配置全局的安全联盟生存周期为2小时。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的安全联盟生周期为10M字节,即传输10M字节的流量后,当前的安全联盟即过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【命令】
ipsec session idle-time seconds
undo ipsec session idle-time
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:IPsec会话的空闲超时时间,取值范围为60~3600,单位为秒。
【描述】
ipsec session idle-time命令用来配置IPsec会话的空闲超时时间。undo ipsec session idle-time命令用来恢复缺省情况。
缺省情况下,IPsec会话的空闲超时时间为300秒。
【举例】
# 配置IPsec会话的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec session idle-time 600
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 }
undo pfs
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
dh-group1:指定使用768-bit Diffie-Hellman组。
dh-group2:指定使用1024-bit Diffie-Hellman组。
dh-group5:指定使用1536-bit Diffie-Hellman组。
dh-group14:指定使用2048-bit Diffie-Hellman组。
【描述】
pfs命令用来配置使用此安全策略或安全框架发起协商时使用完善的前向安全(Perfect Forward Secrecy)特性。undo pfs命令用来配置在协商时不使用PFS特性。
缺省情况下,安全策略或安全框架发起协商时没有使用PFS特性。
需要注意的是:
· 2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)安全性和需要的计算时间依次递减。
· 此命令使IPsec在使用此安全策略或安全框架发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。
· 本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败。
· 此命令仅在通过IKE方式建立安全联盟时才可以进行配置。
相关配置可参考命令ipsec policy-template、ipsec policy (System view)和ipsec profile(System view)。
【举例】
# 配置使用安全策略policy1进行协商时使用PFS特性。
<Sysname> system-view
[Sysname] ipsec policy policy1 200 isakmp
[Sysname-ipsec-policy-isakmp-policy1-200] pfs dh-group1
【命令】
policy enable
undo policy enable
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
policy enable命令用来使能安全策略。undo policy enable命令用来去使能安全策略。
缺省情况下,安全策略处于使能状态。
需要注意的是:
· 本命令不适用于手工方式的安全策略;
· 如果IKE对等体未使能安全策略,则不能触发IKE协商或是作为响应方参与IKE协商。
相关配置可参考命令ipsec policy (System view)和ipsec policy-template。
【举例】
# 使能名字为policy1,顺序号为100的安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] policy enable
【命令】
proposal proposal-name&<1-6>
undo proposal [ proposal-name ]
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
proposal-name&<1-6>:所采用的提议名字,为1~32个字符的字符串。&<1-6>表示前面的参数最多可以输入6次。
【描述】
proposal命令用来配置安全策略或安全框架所引用的提议。undo proposal命令用来取消安全策略或安全框架引用的提议。
缺省情况下,安全策略或安全框架没有引用任何提议。
需要注意的是:
· 在使用此命令之前,必须已经配置了相应的安全提议。
· 如果安全策略是手工(manual)方式的,则安全策略在引用提议时只能指定一个安全提议。如果需要改变已配置好的安全提议,必须先使用命令undo proposal取消原先的安全提议,再配置新的安全提议。
· 如果安全策略是IKE(isakmp)协商方式的,则一条安全策略最多可以引用六个安全提议,IKE协商时将在安全策略中搜索能够完全匹配的安全提议。
· 一条安全框架最多可以引用六个安全提议,IKE协商时将在安全框架中搜索能够完全匹配的安全提议。
相关配置可参考命令ipsec proposal、ipsec policy (System view)和ipsec profile (System view)。
【举例】
# 配置安全策略引用名字为prop1的安全提议。
<Sysname> system-view
[Sysname] ipsec proposal prop1
[Sysname-ipsec-proposal-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] proposal prop1
# 配置安全框架引用名字为prop2的安全提议。
<Sysname> system-view
[Sysname] ipsec proposal prop2
[Sysname-ipsec-proposal-prop2] quit
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] proposal prop2
【命令】
qos pre-classify
undo qos pre-classify
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
qos pre-classify命令用来配置报文信息的预提取功能。undo qos pre-classify命令用来恢复缺省情况。
缺省情况下,未配置报文信息的预提取功能。
QoS预分类功能是指,在报文进行IPsec封装之前,QoS根据原始IP头信息进行报文分类。
相关配置可参考命令ipsec policy (System view) 和ipsec policy-template。
【举例】
# 配置报文信息的预提取功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
【命令】
reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
parameters dest-address protocol spi:指定一个安全联盟所对应的目的IP地址、安全协议、SPI。dest-address:指定目的地址。
protocol:指定安全协议,可选关键字为ah或esp,不区分大小写。
spi:指定安全参数索引,取值范围为256~4294967295。
policy:指定安全策略或者安全框架。
policy-name:指定安全策略或者安全框架的名字,为1~15个字符的字符串,区分大小写,字符可以是英文字母或者数字。
seq-number:指定安全策略的顺序号,取值范围为1~65535。如果不指定seq-number,则是指名字为policy-name的安全策略组中所有安全策略。
remote ip-address:指定对端地址。
【描述】
reset ipsec sa命令用来清除已经建立的安全联盟(无论是手工建立的还是通过IKE协商建立的)。
如果不指定任何参数,则清除所有的安全联盟。
需要注意的是:
· 通过手工建立的安全联盟被清除后,系统会自动根据对应的手工安全策略建立新的安全联盟。
· 通过IKE协商建立的安全联盟被清除后,如果有报文重新触发IKE协商,IKE将重新协商建立新的安全联盟。
· 如果指定了parameters关键字,由于安全联盟是成对出现的,清除了一个方向的安全联盟,另一个方向的安全联盟也会被清除。
相关配置可参考命令display ipsec sa。
【举例】
# 清除所有安全联盟。
<Sysname> reset ipsec sa
# 清除对端地址为10.1.1.2的安全联盟。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除安全策略模板policy1中的所有安全联盟。
<Sysname> reset ipsec sa policy policy1
# 清除安全策略名字为policy1、顺序号为10的安全联盟。
<Sysname> reset ipsec sa policy policy1 10
# 清除对端地址为10.1.1.2、安全协议为AH、安全参数索引为10000的安全联盟。
<Sysname> reset ipsec sa parameters 10.1.1.2 ah 10000
# 清除安全框架policy1中的所有安全联盟。
<Sysname> reset ipsec sa policy policy1
【命令】
reset ipsec session [ tunnel-id integer ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
integer:显示指定IPsec隧道的会话信息,取值范围为1~2000000000。
【描述】
reset ipsec session命令用来清除设备上IPsec隧道的会话。
相关配置可参考命令display ipsec session。
【举例】
# 清除所有的IPsec会话。
<Sysname> reset ipsec session
# 清除IPsec隧道ID为5的会话。
<Sysname> reset ipsec session tunnel-id 5
【命令】
reset ipsec statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset ipsec statistics命令用来清除IPsec的报文统计信息,所有的统计信息都被设置成零。
相关配置可参考命令display ipsec statistics。
【举例】
# 清除IPsec的报文统计信息。
<Sysname> reset ipsec statistics
【命令】
reverse-route [ remote-peer ip-address [ gateway | static ] | static ]
undo reverse-route
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
static:采用静态方式生成静态路由。若未指定本参数,则表示采用动态方式生成静态路由。该参数仅在安全策略视图下支持,安全策略模板下不支持。
remote-peer ip-address:指定静态路由的下一跳地址。手工指定下一跳地址的静态路由可用于实现路由备份或者负载分担。
gateway:表示利用静态路由的路由迭代功能,自动生成两条路由,一条路由的目的地址为对端私网,下一跳地址为隧道对端地址;另外一条路由的目的地址为隧道对端地址,下一跳地址为ip-address指定的地址,出接口为应用安全策略的接口。通常,在IKE协商方式的安全策略中指定该参数,可为受该安全策略保护的IPsec流量指定一条明确的缺省转发路径。
【描述】
reverse-route命令用来开启IPsec反向路由注入功能。undo reverse-route命令用来关闭反向路由注入功能。
缺省情况下,IPsec反向路由注入功能处于关闭状态。
当本命令中指定关键字static时,即表示通过静态方式生成静态路由,生成的静态路由指向的目的IP地址和IP地址的掩码,均通过本策略应用的ACL来获取,下一跳可通过参数ip-address指定,不指定该参数的情况下为配置的隧道对端地址,具体情况如下:
· reverse-route static命令用来根据本安全策略下引用的ACL的目的地址信息和对端安全网关地址静态生成路由:目的地址为ACL规则的目的地址,下一跳地址为安全策略视图下配置的tunnel remote地址(手工安全策略方式)或IKE-Peer视图下配置的remote-address地址(IKE协商安全策略方式)。
· reverse-route remote-peer ip-address static命令用来根据本安全策略策略下引用的ACL规则的目的地址信息和ip-address静态生成路由:目的地址为ACL规则的目的地址,下一跳地址为配置的ip-address。
当本命令中不指定static关键字时,即表示通过动态方式来生成静态路由,生成的静态路由指向的目的IP地址和IP地址掩码从成功建立的IPsec SA中获取,下一跳通过参数ip-address配置或为从协商成功的IPsec SA中获取的隧道对端地址,若指定参数gateway的情况下,可根据IPsec SA生成两条路由,具体情况如下:
· reverse-route命令用来自动生成一条路由:目的地址为受保护的对端私网,下一跳地址为对端隧道地址。
· reverse-route remote-peer ip-address命令用来自动生成一条路由:目的地址为受保护的对端私网,下一跳地址为配置的ip-address,该地址通常为应用本策略接口的下一跳地址。
· reverse-route remote-peer ip-address gateway命令用来自动生成两条路由:一条路由的目的地址为受保护的对端私网网段,下一跳地址为隧道对端地址;另外一条路由的目的地址为隧道对端地址,下一跳地址为配置的ip-address,出接口为应用安全策略的接口。
需要注意的是:
· 当配置(开启、关闭或修改)反向路由注入功能时,会删除本策略生成的或协商出的所有IPsec SA。
· 由于静态方式生成静态路由,需要根据安全策略下引用的ACL中的目的地址信息生成,所以若选择通过静态方式生成静态路由,则安全策略下必须引用ACL。
· 动态方式生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。
· 需要查看生成的路由信息时,可以通过display ip routing-table命令查看,关于路由表项的详细信息,请参见“三层技术-IP路由配置指导”中的“IP路由基础”。
· 若IKE-Peer视图下配置的remote-address地址为一个地址范围,则配置的静态反向路由注入功能不生效。
相关配置可参考命令reverse-route preference和reverse-route tag。
【举例】
# 根据ACL 3000的信息和对端安全网关地址静态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ike peer 1
[Sysname-ike-peer-1] remote-address 1.1.1.2
[Sysname-ike-peer-1] quit
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 permit ip source 2.0.0.0 0.0.0.255 destination 3.0.0.0 0.0.0.255
[Sysname-acl-adv-3000] quit
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] security acl 3000
[Sysname-ipsec-policy-isakmp-1-1] proposal tran1
[Sysname-ipsec-policy-isakmp-1-1] ike-peer 1
[Sysname-ipsec-policy-isakmp-1-1] reverse-route static
[Sysname-ipsec-policy-isakmp-1-1] quit
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] ipsec policy 1
[Sysname-Ethernet1/1]quit
# 可立即查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根据ACL 3000的信息静态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为指定的1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 static
[Sysname-ipsec-policy-isakmp-1-1] quit
# 可立即查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根据协商成功的IPsec SA动态生成静态路由,且指定下一跳地址为1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根据协商成功的IPsec SA动态生成两条静态路由:一条路由的目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为隧道对端地址1.1.1.2;另外一条路由的目的地址为隧道对端地址1.1.1.2/32,下一跳地址为1.1.1.3。
[Sysname]ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 gateway
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
1.1.1.2/32 Static 60 0 1.1.1.3 Eth1/1
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
【命令】
reverse-route preference preference-value
undo reverse-route preference
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
preference-value:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。
【描述】
reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。undo reverse-route preference命令用来恢复缺省情况。
缺省情况下,IPsec反向路由注入功能生成的静态路由的优先级为60。
需要注意的是,若对静态路由优先级进行修改,则在静态工作机制下的反向路由注入功能会根据新的路由优先级重新生成静态路由,而在动态工作机制下的反向路由注入功能不会修改已生成的静态路由的优先级,修改后的路由优先级仅对新增的静态路由有效。
相关配置可参考命令reverse-route。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【命令】
reverse-route tag tag-value
undo reverse-route tag
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
tag-value:静态路由的Tag值,取值范围为1~4294967295。
【描述】
reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值,该值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制。undo reverse-route tag命令用来恢复缺省情况。
缺省情况下,IPsec反向路由注入功能生成的静态路由的Tag值为0。
需要注意的是,若对静态路由Tag值进行修改,则在静态工作机制下的反向路由注入功能会根据新的路由Tag值重新生成静态路由,而在动态工作机制下的反向路由注入功能不会修改已生成的静态路由的Tag值,修改后的路由Tag值仅对新增的静态路由有效。
关于路由策略的详细介绍请参见“三层技术-IP路由配置指导”中的“路由策略”。
相关配置可参考命令reverse-route。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【命令】
sa authentication-hex { inbound | outbound } { ah | esp } hex-key
undo sa authentication-hex { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
hex-key:指定安全联盟的认证密钥,以16进制格式输入。如果使用MD5算法,密钥长度为16个字节;如果使用SHA1算法,密钥长度为20个字节。
【描述】
sa authentication-hex命令用来对配置安全联盟的认证密钥。undo sa authentication-hex命令用来删除配置的安全联盟的认证密钥。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置manual方式的安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。
· 对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用AH协议的入方向安全联盟的认证密钥为0x112233445566778899aabbccddeeff00;出方向安全联盟的认证密钥为0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah aabbccddeeff001100aabbccddeeff00
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【视图】
安全策略视图/安全策略模板视图/安全框架视图
【缺省级别】
2:系统级
【参数】
seconds:指定基于时间的生存周期,取值范围为180~604800,单位为秒。
kilobytes:指定基于流量的生存周期,取值范围为2560~4294967295,单位为千字节。
【描述】
sa duration命令用来为安全策略或者安全框架配置安全联盟的生存周期。undo sa duration命令用来恢复缺省情况。
缺省情况下,安全策略或者安全框架的安全联盟生存周期为当前全局的安全联盟生存周期值。
需要注意的是:
· 当IKE协商安全联盟时,如果采用的安全策略或者安全框架没有配置自己的生存周期,将采用全局生存周期(通过命令ipsec sa global-duration设置)与对端协商。如果安全策略或者安全框架配置了自己的生存周期,则系统使用安全策略或者安全框架自己的生存周期与对端协商。
· IKE为IPsec协商建立安全联盟时,采用本地配置的生存周期和对端提议的生存周期中较小的一个。
· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用,而对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令ipsec sa global-duration、ipsec policy (System view)和ipsec profile (System view)。
【举例】
# 配置安全策略policy1的安全联盟生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置安全策略policy1的安全联盟生存周期为20M字节,即传输20480千字节的流量后,当前的安全联盟就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
# 配置安全框架profile1的安全联盟生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration time-based 7200
# 配置安全框架profile1的安全联盟生存周期为20M字节,即传输20480千字节的流量后,当前的安全联盟就过期。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration traffic-based 20480
【命令】
sa encryption-hex { inbound | outbound } esp hex-key
undo sa encryption-hex { inbound | outbound } esp
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
esp:采用ESP协议。
hex-key:指定安全联盟的加密密钥。以16进制格式输入,输入的密钥长度必须符合所采用的加密算法的要求:DES-CBC算法,密钥长度为8个字节;3DES-CBC算法,密钥长度为24个字节;AES128-CBC算法,密钥长度为16字节;AES192-CBC算法,密钥长度为24字节;AES256-CBC算法,密钥长度为32字节。
【描述】
sa encryption-hex命令用来配置安全联盟的加密密钥参数。undo sa encryption-hex命令用来删除配置的安全联盟的加密密钥参数。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样;本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。
· 对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用ESP协议的入方向安全联盟的加密算法的密钥为0x1234567890abcdef;出方向加密算法的密钥为0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp abcdefabcdef1234
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
spi-number:安全联盟三元组标识中的安全参数索引,取值范围为256~4294967295。
【描述】
sa spi命令用来配置安全联盟的安全参数索引参数。undo sa spi命令用来删除配置的安全联盟的安全参数索引参数。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 对于isakmp方式的安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数。
· 在配置安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。配置基于ACL的IPsec手工安全策略时,必须保证SA的唯一性,即不同SA对应不同的SPI。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。
在配置应用于IPv6路由协议的安全策略时,还需要注意的是:
· 本端出方向SA的SPI必须和本端入方向SA的SPI保持一致;
· 同一个范围内的,所有设备上的SA的SPI均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置入方向安全联盟的SPI为10000,出方向安全联盟的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【命令】
sa string-key { inbound | outbound } { ah | esp } string-key
undo sa string-key { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
string-key:指定安全联盟的密钥,为1~255个字符的字符串。对不同的算法,均可输入不超过长度范围的字符串,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【描述】
sa string-key命令用来配置安全联盟的密钥。undo sa string-key命令用来删除配置的安全联盟的密钥。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端入方向安全联盟的密钥必须和对端出方向安全联盟的密钥一样;本端出方向安全联盟的密钥必须和对端入方向安全联盟的密钥一样。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
在配置应用于IPv6路由协议的安全策略时,还需要注意的是:
· 本端出方向SA的密钥必须和本端入方向SA的密钥保持一致;
· 同一个范围内的,所有设备上的SA的密钥均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用AH协议的入方向安全联盟的密钥为字符串abcdef;出方向安全联盟的密钥为字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah efcdab
# 在要应用于IPv6路由协议的安全策略中,配置采用AH协议的入方向安全联盟的密钥为字符串abcdef;出方向安全联盟的密钥为字符串abcdef。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah abcdef
【命令】
security acl acl-number [ aggregation ]
undo security acl
【视图】
安全策略视图/安全策略模板视图
【缺省级别】
2:系统级
【参数】
acl-number:指定安全策略所引用的访问控制列表号,取值范围为3000~3999。
aggregation:指定安全策略的数据流保护方式为聚合方式。如果不指定该参数,则安全策略的数据流保护方式为标准方式。
【描述】
security acl命令用来配置安全策略引用的访问控制列表。undo security acl命令用来取消安全策略引用的访问控制列表。
缺省情况下,安全策略没有指定访问控制列表。
配置IKE协商安全策略的情况下,安全策略的数据流保护方式包括以下两种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护;
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。
需要注意的是,对于聚合方式和标准方式都支持的设备,要求两端的配置必须一致,即两端要么同时配置聚合方式,要么同时配置标准方式。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置安全策略引用ACL 3001。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置安全策略引用ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【命令】
transform { ah | ah-esp | esp }
undo transform
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
ah:采用AH协议。
ah-esp:先用ESP协议对报文进行保护,再用AH协议进行保护。
esp:采用ESP协议。
【描述】
transform命令用来配置提议采用的安全协议。undo transform命令用来恢复缺省情况。
缺省情况下,采用ESP协议。
需要注意的是:
· 如果采用ESP协议,则缺省的加密算法为DES,认证算法为MD5。
· 如果采用AH协议,则缺省的认证算法为MD5。
· 如果指定参数ah-esp,则AH缺省的认证算法为MD5;ESP协议缺省的加密算法为DES,不使用认证算法。
· 在安全隧道的两端,IPsec提议所使用的安全协议需要匹配。
相关配置可参考命令ipsec proposal。
【举例】
# 配置一个采用AH协议的提议。
<Sysname> system-view
[Sysname] ipsec proposal prop1
[Sysname-ipsec-proposal-prop1] transform ah
【命令】
tunnel local ip-address
undo tunnel local
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
ip-address:本端地址。
【描述】
tunnel local命令用来配置安全隧道的本端地址。undo tunnel local命令用来删除在安全隧道中设定的本端地址。
缺省情况下,没有配置安全隧道的本端地址。
需要注意的是:
· 仅用于manual方式的安全策略。
· 如果没有设置本端地址,本端地址将采用安全策略应用的接口地址。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置安全隧道的本端地址为Loopback0的地址10.0.0.1。
<Sysname> system-view
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 10.0.0.1 32
[Sysname-LoopBack0] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] tunnel local 10.0.0.1
【命令】
tunnel remote ip-address
undo tunnel remote [ ip-address ]
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
ip-address:安全策略的隧道对端地址。
【描述】
tunnel remote命令用来配置安全隧道的对端地址。undo tunnel remote命令用来删除安全隧道的对端地址。
缺省情况下,没有配置安全隧道的对端地址。
需要注意的是:
· 仅用于manual方式的安全策略;
· 设置新的对端地址将会覆盖已经设置的对端地址;
· 安全隧道是建立在本端和对端之间,在安全隧道的两端,当前端点的对端地址需要与对端的本端地址保持一致。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置安全策略的对端地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-policy1-10] tunnel remote 10.1.1.2
【命令】
authentication-algorithm { md5 | sha }
undo authentication-algorithm
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
【描述】
authentication-algorithm命令用来指定一个供IKE提议使用的认证算法。undo authentication-algorithm命令用来恢复缺省情况。
缺省情况下,IKE提议使用SHA1认证算法。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的认证算法为MD5。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-algorithm md5
【命令】
authentication-method { pre-share | rsa-signature }
undo authentication-method
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
pre-share:指定认证方法为预共享密钥方法。
rsa-signature:指定认证方法为RSA数字签名方法。
【描述】
authentication-method命令用来指定一个供IKE提议使用的认证方法。undo authentication-method命令用来恢复缺省情况。
缺省情况下,IKE提议使用预共享密钥的认证方法。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-method pre-share
【命令】
certificate domain domain-name
undo certificate domain
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
domain-name:指定的PKI域名称,为1~15个字符的字符串。
【描述】
certificate domain命令用来配置IKE协商采用数字签名认证时,证书所属的PKI域。undo certificate domain命令用来取消配置证书所属的PKI域。
相关配置可参考命令authentication-method,以及“安全命令参考/PKI”中的命令pki domain。
【举例】
# 配置IKE协商所使用的PKI域为abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] certificate domain abcde
【命令】
dh { group1 | group2 | group5 | group14 }
undo dh
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman组。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman组。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman组。
【描述】
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。undo dh命令用来恢复缺省情况。
缺省情况下,IKE阶段1密钥协商时所使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman组。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10使用768-bit的Diffie-Hellman组。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] dh group1
【命令】
display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike dpd命令用来显示DPD配置的参数。
如果不指定参数dpd-name,将显示所有DPD配置的参数。
相关配置可参考命令ike dpd。
【举例】
# 显示DPD配置的参数。
<Sysname> display ike dpd
---------------------------
IKE dpd: dpd1
references: 1
interval-time: 10
time_out: 5
---------------------------
表2-1 display ike dpd命令显示信息描述表
|
字段 |
描述 |
|
references |
引用该DPD配置的IKE对等体的个数 |
|
Interval-time |
经过多长时间没有从对端收到IPsec报文则触发DPD,单位为秒 |
|
time_out |
DPD报文的重传时间间隔,单位为秒 |
【命令】
display ike peer [ peer-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike peer命令用来显示IKE对等体配置的参数。
相关配置可参考命令ike peer。
【举例】
# 显示IKE对等体配置的参数信息。
<Sysname> display ike peer
---------------------------
IKE Peer: rtb4tunn
exchange mode: main on phase 1
pre-shared-key simple 123
peer id type: ip
peer ip address: 44.44.44.55
local ip address:
peer name:
nat traversal: disable
dpd: dpd1
---------------------------
表2-2 display ike peer命令显示信息描述表
|
字段 |
描述 |
|
exchange mode |
IKE第一阶段的协商模式 |
|
pre-shared-key |
IKE第一阶段协商所使用的预共享密钥 |
|
peer id type |
IKE第一阶段的协商过程中使用ID的类型 |
|
peer ip address |
对端安全网关的IP地址 |
|
local ip address |
本端安全网关的IP地址 |
|
peer name |
对端安全网关的名字 |
|
nat traversal |
是否启动IPsec/IKE的NAT穿越功能 |
|
dpd |
对等体存活检测的名称 |
【命令】
display ike proposal [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike proposal命令用来显示所有IKE提议配置的参数。
IKE提议按照优先级的先后顺序显示。
相关配置可参考命令authentication-method、ike proposal、encryption-algorithm、authentication-algorithm、dh和sa duration。
【举例】
# 显示IKE提议配置的参数信息。
<Sysname> display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group (seconds)
--------------------------------------------------------------------------
10 PRE_SHARED SHA DES_CBC MODP_1024 5000
11 PRE_SHARED MD5 DES_CBC MODP_768 50000
default PRE_SHARED SHA DES_CBC MODP_768 86400
表2-3 display ike proposal命令显示信息描述表
|
字段 |
描述 |
|
priority |
IKE提议的优先级 |
|
authentication method |
IKE提议使用的认证方法 |
|
authentication algorithm |
IKE提议使用的认证算法 |
|
encryption algorithm |
IKE提议使用的加密算法 |
|
Diffie-Hellman group |
IKE阶段1密钥协商时所使用的DH密钥交换参数 |
|
duration (seconds) |
IKE提议的ISAKMP SA存活时间(秒) |
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address remote-address ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
verbose:显示当前IKE SA的详细信息。
connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:按照对端地址显示IKE SA的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ike sa命令用来显示当前IKE SA的信息。
需要注意的是,若不选择任何参数则显示当前IKE SA和IPsec SA的摘要信息。
相关配置可参考命令ike proposal和ike peer。
【举例】
# 显示当前IKE SA和IPsec SA的摘要信息。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
表2-4 display ike sa命令显示信息描述表
|
字段 |
描述 |
|
total phase-1 SAs |
所有第一阶段安全联盟的总数 |
|
connection-id |
IKE SA和IPsec SA的标识符 |
|
peer |
此安全联盟的对端的IP地址 |
|
flag |
显示此安全联盟的状态: · RD(READY):表示此安全联盟已建立成功 · ST(STAYALIVE):表示此端是隧道协商发起方 · RL(REPLACED):表示此隧道已经被新的隧道代替,一段时间后将被删除 · FD(FADING):表示此隧道已发生过一次软超时,目前还在使用,在硬超时发生时,会删除此隧道 · TO(TIMEOUT):表示此安全联盟在上次keepalive超时发生后还没有收到keepalive报文,如果在下次keepalive超时发生时仍没有收到keepalive报文,此安全联盟将被删除 |
|
phase |
此安全联盟所属阶段: · Phase 1:建立安全隧道进行通信的阶段,此阶段建立IKE SA · Phase 2:协商安全服务的阶段,此阶段建立IPsec SA |
|
doi |
安全联盟所属解释域 |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
connection id: 2
vpn-instance: 1
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 86379
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照连接标识符显示IKE SA的详细信息。
<Sysname> display ike sa verbose connection-id 2
---------------------------------------------
connection id: 2
vpn-instance: vpn1
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82480
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照对端地址显示IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
connection id: 2
vpn-instance: vpn1
transmitting entity: initiator
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82236
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
表2-5 display ike sa verbose命令显示信息描述表
|
字段 |
描述 |
|
connection id |
IKE SA和IPsec SA的标识符 |
|
vpn-instance |
被保护数据所属的MPLS L3VPN |
|
transmitting entity |
IKE协商中的实体 |
|
local ip |
本端安全网关的IP地址 |
|
local id type |
本端安全网关的ID类型 |
|
local id |
本端安全网关的ID |
|
remote ip |
对端安全网关的IP地址 |
|
remote id type |
对端安全网关的ID类型 |
|
remote id |
对端安全网关的ID |
|
authentication-method |
IKE提议使用的认证方法 |
|
authentication-algorithm |
IKE提议使用的认证算法 |
|
encryption-algorithm |
IKE提议使用的加密算法 |
|
life duration(sec) |
IKE SA的生命周期(秒) |
|
remaining key duration(sec) |
IKE SA的剩余生命周期(秒) |
|
exchange-mode |
IKE第一阶段的协商模式 |
|
diffie-hellman group |
IKE第一阶段密钥协商时所使用的DH密钥交换参数 |
|
nat traversal |
是否使能NAT穿越功能 |
【命令】
dpd dpd-name
undo dpd
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
【描述】
dpd命令用来为IKE对等体应用一个DPD。undo dpd命令用来取消IKE对等体对DPD的应用。
缺省情况下,IKE对等体没有应用DPD。
【举例】
# 为对等体peer1应用名称为dpd1的DPD。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] dpd dpd1
【命令】
encryption-algorithm { 3des-cbc | aes-cbc [ key-length ] | des-cbc }
undo encryption-algorithm
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法。3DES算法采用168 bits的密钥进行加密。
aes-cbc:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128 bits、192bits、256bits的密钥进行加密。
key-length:AES算法采用的密钥长度,取值可以为128、192、256,缺省值为128。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56 bits的密钥进行加密。
【描述】
encryption-algorithm命令用来指定一个供IKE提议使用的加密算法。undo encryption-algorithm命令用来恢复缺省情况。
缺省情况下,IKE提议使用CBC模式的56-bit DES加密算法。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的加密算法为CBC模式的56-bit DES。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] encryption-algorithm des-cbc
【命令】
exchange-mode { aggressive | main }
undo exchange-mode
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
aggressive:野蛮模式。
main:主模式。
【描述】
exchange-mode命令用来选择IKE阶段的协商模式。undo exchange-mode命令用来恢复缺省情况。
缺省情况下,IKE阶段的协商模式使用主模式。
需要注意的是,当对端的IP地址为自动获取(如一端用户为拨号方式),且采用预共享密钥认证方式时,建议将本端的协商模式配置为aggressive。
相关配置可参考命令id-type。
【举例】
# 配置IKE使用主模式。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] exchange-mode main
【命令】
id-type { ip | name | user-fqdn }
undo id-type
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
ip:选择IP地址作为IKE协商过程中使用的ID。
name:选择FQDN(Fully Qualified Domain Name,完全合格域名)类型的名字作为IKE协商过程中使用的ID。
user-fqdn:选择User FQDN类型的名字作为IKE协商过程中使用的ID。
【描述】
id-type命令用来选择IKE协商过程中使用的ID的类型。undo id-type命令用来恢复缺省情况。
缺省情况下,使用IP地址作为IKE协商过程中使用的ID。
需要注意的是:
· 在预共享密钥认证的主模式下,只能使用IP地址类型的身份进行IKE协商,建立安全联盟。
· 在IKE野蛮模式下,不但可以使用IP地址类型的身份进行协商,也可以使用FQDN或者User FQDN类型的身份进行IKE协商,并建立安全联盟。
· 若选择使用FQDN类型的ID,为保证IKE协商成功,建议本端网关的名称配置为不携带@字符的字符串,例如foo.bar.com。
· 若选择使用User FQDN类型的ID,为保证IKE协商成功,建议本端网关的名称配置为携带@字符的字符串,例如test@foo.bar.com。
相关配置可参考命令local-name、ike local-name、remote-name、remote-address、local-address和exchange-mode。
【举例】
# 配置使用名字作为IKE协商过程中使用的ID。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] id-type name
【命令】
ike dpd dpd-name
undo ike dpd dpd-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dpd-name:指定DPD的名字,为1~32个字符的字符串。
【描述】
ike dpd命令用来创建一个DPD,并进入DPD视图。undo ike dpd命令用来删除指定名字的DPD配置。
【举例】
# 创建一个名称为dpd2的DPD。
<Sysname> system-view
[Sysname] ike dpd dpd2
【命令】
ike local-name name
undo ike local-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
name:指定IKE协商时的本端安全网关的名字,为1~32个字符的字符串,区分大小写。
【描述】
ike local-name命令用来配置本端安全网关的名字。undo ike local-name命令用来恢复缺省情况。
缺省情况下,使用设备名作为本端安全网关的名字。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端需要配置本端安全网关的名字,该名字既可以在系统视图下进行配置(使用命令ike local-name),也可以在IKE对等体视图下配置(使用命令local-name),若两个视图下都配置了本端安全网关的名字,则采用IKE对等体视图下的配置。
在IKE协商过程中,发起端会将本端安全网关的名字发送给对端来标识自己的身份,而响应端使用配置的对端安全网关的名字(使用命令remote-name)来认证发起端,故此时响应端上配置的对端安全网关的名字应与发起端上所配的本端安全网关的名字保持一致。
相关配置可参考命令remote-name和id-type。
【举例】
# 为IKE配置本端安全网关的名字为app。
<Sysname> system-view
[Sysname] ike local-name app
【命令】
ike next-payload check disabled
undo ike next-payload check disabled
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ike next-payload check disabled命令用来配置在IKE协商过程中取消对最后一个payload的next payload域的检查,以便与某些公司的产品互通。undo ike next-payload check disabled命令用来恢复缺省情况。
缺省情况下,在IKE协商过程中对next payload域进行检查。
【举例】
# 配置在IKE协商过程中取消对最后一个payload的next payload域的检查。
<Sysname> system-view
[Sysname] ike next-payload check disabled
【命令】
ike peer peer-name
undo ike peer peer-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
peer-name:IKE对等体名,为1~32个字符的字符串。
【描述】
ike peer命令用来创建一个IKE对等体,并进入IKE-Peer视图。undo ike peer命令用来删除一个IKE对等体。
【举例】
# 创建IKE对等体为peer1,并进入IKE-Peer视图。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1]
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。在进行IKE协商的时候,会从序号最小的IKE提议进行匹配,如果匹配则直接使用,否则继续查找。
【描述】
ike proposal命令用来创建IKE提议,并进入IKE提议视图。undo ike proposal命令用来删除一个IKE提议。
缺省情况下,系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议具有缺省的参数,包括:
· 加密算法:DES-CBC
· 认证算法:HMAC-SHA1
· 认证方法:预共享密钥
· DH组标识:MODP_768
· 安全联盟的存活时间:86400秒
相关配置可参考命令display ike proposal。
【举例】
# 创建IKE提议10,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10]
【命令】
ike sa keepalive-timer interval seconds
undo ike sa keepalive-timer interval
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定通过ISAKMP SA向对端发送Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【描述】
ike sa keepalive-timer interval命令用来配置ISAKMP SA向对端发送Keepalive报文的时间间隔。undo ike sa keepalive-timer interval命令用来取消该功能。
缺省情况下,ISAKMP SA不向对端发送Keepalive报文。
需要注意的是,本端配置的Keepalive报文的发送时间间隔应小于对端等待Keepalive报文的超时时间。
相关配置可参考命令ike sa keepalive-timer timeout。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer interval 200
【命令】
ike sa keepalive-timer timeout seconds
undo ike sa keepalive-timer timeout
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA等待对端发送Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【描述】
ike sa keepalive-timer timeout命令用来配置ISAKMP SA等待Keepalive报文的超时时间。undo ike sa keepalive-timer timeout命令用来使此功能失效。
缺省情况下,ISAKMP SA不向对端发送Keepalive报文。
需要注意的是,本端配置的Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的Keepalive报文的发送时间间隔的三倍。
相关配置可参考命令ike sa keepalive-timer interval。
【举例】
# 配置本端等待对端发送Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer timeout 20
【命令】
ike sa nat-keepalive-timer interval seconds
undo ike sa nat-keepalive-timer interval
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【描述】
ike sa nat-keepalive-timer interval命令用来配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔。undo ike sa nat-keepalive-timer interval命令用来使此功能失效。
缺省情况下,ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为20秒。
【举例】
# 配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike sa nat-keepalive-timer interval 5
【命令】
interval-time interval-time
undo interval-time
【视图】
IKE-DPD视图
【缺省级别】
2:系统级
【参数】
interval-time:指定经过多长时间没有从对端收到IPsec报文,则触发DPD,取值范围为1~300,单位为秒。
【描述】
interval-time命令用来为IKE DPD配置触发DPD的时间间隔。undo interval-time命令用来恢复缺省情况。
缺省情况下,触发DPD的时间间隔为10秒。
【举例】
# 为dpd2配置触发DPD的时间间隔为1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] interval-time 1
【命令】
local { multi-subnet | single-subnet }
undo local
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
local命令用来配置IKE协商时本端安全网关的子网类型。undo local命令用来恢复缺省情况。
缺省情况下,为单子网类型。
本命令用于与NETSCREEN设备互通时使用。
【举例】
# 配置IKE协商时本端安全网关的子网类型为多子网类型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local multi-subnet
【命令】
local-address ip-address
undo local-address
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
ip-address:IKE协商时的本端安全网关的IP地址。
【描述】
local-address命令用来配置IKE协商时的本端安全网关的IP地址。undo local-address命令用来取消本端安全网关的IP地址。
缺省情况下,IKE协商时的本端安全网关IP地址使用应用安全策略的接口的主地址。只有当用户需要指定特殊的本端安全网关地址时才需要配置此命令。
【举例】
# 配置本端安全网关IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local-address 1.1.1.1
【命令】
local-name name
undo local-name
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
name:IKE协商时的本端安全网关的名字,为1~32个字符的字符串,区分大小写。
【描述】
ike local-name命令用来配置本端安全网关的名字。undo ike local-name命令用来恢复缺省情况。
缺省情况下,未定义本端安全网关的名字,使用系统视图下本端安全网关的名字。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端需要配置本端安全网关的名字,该名字既可以在系统视图下进行配置(使用命令ike local-name),也可以在IKE对等体视图下配置(使用命令local-name),若两个视图下都配置了本端安全网关的名字,则采用IKE对等体视图下的配置。
在IKE协商过程中,发起端会将本端安全网关的名字发送给对端来标识自己的身份,而响应端使用配置的对端安全网关的名字(使用命令remote-name)来认证发起端,故此时响应端上配置的对端安全网关的名字应与发起端上所配的本端安全网关的名字保持一致。
相关配置可参考命令remote-name和id-type。
【举例】
# 为IKE对等体peer1配置本端安全网关的名字为localgw。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] local-name localgw
【命令】
nat traversal
undo nat traversal
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat traversal命令用来配置IPsec/IKE的NAT穿越功能。undo nat traversal命令用来取消IPsec/IKE的NAT穿越功能。
缺省情况下,没有配置NAT穿越功能。
【举例】
# 为IKE对等体peer1配置NAT穿越功能。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] nat traversal
【命令】
peer { multi-subnet | single-subnet }
undo peer
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
peer命令用来配置IKE协商时对端安全网关的子网类型。undo peer命令用来恢复缺省情况。
缺省情况下,为单子网类型。
本命令用于与NETSCREEN设备互通时使用。
【举例】
# 配置IKE协商时对端安全网关的子网类型为多子网类型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] peer multi-subnet
【命令】
pre-shared-key [ cipher | simple ] key
undo pre-shared-key
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
key:指定以密文方式显示的明文预共享密钥,为1~128个字符的字符串,区分大小写。
cipher key:指定以密文方式显示的预共享密钥。其中,key表示密文的预共享密钥,为1~184个字符的字符串,区分大小写。
simple key:指定以明文方式显示的预共享密钥。其中,key表示明文的预共享密钥,为1~128个字符的字符串,区分大小写。
【描述】
pre-shared-key命令用来配置IKE协商采用预共享密钥认证时,所使用的预共享密钥,undo pre-shared-key命令用来取消IKE协商所使用的预共享密钥。
相关配置可参考命令authentication-method。
【举例】
# 配置IKE协商所使用的预共享密钥为abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] pre-shared-key abcde
【命令】
proposal proposal-number&<1-6>
undo proposal [ proposal-number ]
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
proposal-number&<1-6>:IKE安全提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【描述】
proposal命令用来配置IKE对等体引用的IKE安全提议。undo proposal命令用来取消指定的或所有引用的IKE安全提议。
缺省情况下,IKE对等体未引用任何IKE安全提议,使用系统视图下已配置的IKE安全提议进行IKE协商。
IKE第一阶段的协商过程中,如果本端引用了指定的IKE安全提议,那么就使用指定的安全提议与对端进行协商;如果没有指定,则使用系统视图下已配置的IKE安全提议与对端进行协商。
需要注意的是:
· 一个IKE对等体中最多可以引用六个IKE安全提议。
· IKE协商中的响应方使用系统视图下已经配置的安全提议与对端发送的安全提议进行协商。
相关配置可参考命令ike proposal和ike peer (System view)。
【举例】
# 设置IKE对等体peer1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] proposal 10
【命令】
remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] }
undo remote-address
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
hostname:IPsec对端安全网关的主机名,为1~255个字符的字符串,不区分大小写。该主机名是IPsec对端在网络中的唯一标识,可被DNS服务器解析为IP地址。
dynamic:表示IPsec对端安全网关的主机名会进行动态地址解析。如果不配置该参数,则表示仅在配置对端主机名后执行一次DNS查询。
low-ip-address:IPsec对端安全网关的IP地址。如果配置对端安全网关IP地址为连续的地址范围,则该参数为地址范围中的最小地址。
high-ip-address:如果配置对端安全网关IP地址为连续的地址范围,则该参数为地址范围中的最大地址。
【描述】
remote-address命令用来配置IPsec对端安全网关的IP地址。undo remote-address命令用来删除IPsec对端安全网关的IP地址。
需要注意的是:
· 本端通过命令remote-address配置的对端安全网关的IP地址,应该与对端IKE协商时使用的本端安全网关的IP地址一致(可通过local-address命令配置,若不配置,则为应用安全策略的接口的主地址)。
· 如果配置对端地址为精确值(主机名方式与之等价),则本端可以作为IKE协商的发起端;如果配置对端地址为一个地址范围,则本端只能作为响应方,而这个范围表示的是本端能接受的协商对象的地址范围。
· 如果对端地址经常变动,建议配置对端主机名时采用dynamic 参数,以便本端在IKE协商协商时及时更新对端地址。
相关配置可参考命令id-type ip和local-address。
【举例】
# 配置对端安全网关IP地址为10.0.0.1。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-address 10.0.0.1
# 配置对端安全网关地址为test.com,并采用动态更新方式。
<Sysname> system-view
[Sysname] ike peer peer2
[Sysname-ike-peer-peer2] remote-address test.com dynamic
【命令】
remote-name name
undo remote-name
【视图】
IKE-Peer视图
【缺省级别】
2:系统级
【参数】
name:指定IKE协商时对端的名字,为1~32字符的字符串。
【描述】
remote-name命令用来配置对端安全网关的名字。undo remote-name命令用来取消对端安全网关名称的配置。
当IKE协商的发起端使用安全网关名字进行协商时(即配置了id-type name或id-type user-fqdn),发起端会发送自己名字给对端来标识自己的身份,而对端使用remote-name name来认证发起端,故此时name应与发起端上令所配的本端安全网关的名字保持一致。
相关配置可参考命令id-type、local-name和ike local-name。
【举例】
# 为IKE对等体peer1配置对端安全网关名字为apple。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-name apple
【命令】
reset ike sa [ connection-id ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
connection-id:指定要清除的安全隧道的连接ID号,取值范围为1~2000000000。
【描述】
reset ike sa命令用来清除IKE建立的安全隧道。
需要注意的是:
· 如果未指定任何参数,则表示清除所有IKE SA。
· 如果仅指定connection-id,则表示清除指定连接ID的所有IKE SA,包括所有主用和备用IKE SA。
· 清除本地的IPsec SA时,如果相应的IKE SA还存在,将在此IKE SA的保护下,向对端发送删除消息,通知对方清除相应的IPsec SA。
· 如果先清除IKE SA,那么再清除本地IPsec SA时,就无法通知对端清除相应的IPsec SA。
相关配置可参考命令display ike sa。
【举例】
# 清除一个到202.38.0.2的安全隧道。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT
<Sysname> reset ike sa 2
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
【命令】
undo sa duration
【视图】
IKE提议视图
【缺省级别】
2:系统级
【参数】
seconds:指定ISAKMP SA存活时间,取值范围为60~604800,单位为秒。
【描述】
sa duration命令用来指定一个IKE提议的ISAKMP SA存活时间,超时后ISAKMP SA将自动更新。undo sa duration命令用来恢复缺省情况。
缺省情况下,IKE提议的ISAKMP SA存活时间为86400秒。
在设定的存活时间超时前,会提前协商另一个安全联盟来替换旧的安全联盟。在新的安全联盟还没有协商完之前,依然使用旧的安全联盟;在新的安全联盟建立后,将立即使用新的安全联盟,而旧的安全联盟在存活时间超时后,被自动清除。
相关配置可参考命令ike proposal和display ike proposal。
【举例】
# 指定IKE提议10的ISAKMP SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] sa duration 600
【命令】
time-out time-out
undo time-out
【视图】
IKE-DPD视图
【缺省级别】
2:系统级
【参数】
time-out:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。
【描述】
time-out命令用来为IKE DPD配置DPD报文的重传时间间隔。undo time-out命令用来恢复缺省情况。
缺省情况下,DPD报文的重传时间间隔为5秒。
【举例】
# 配置dpd2的DPD报文重传时间间隔为1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] time-out 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
