- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-IPsec命令
本章节下载: 07-IPsec命令 (202.62 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.4 display ipsec statistics
1.1.5 display ipsec transform-set
1.1.8 esp authentication-algorithm
1.1.9 esp encryption-algorithm
1.1.10 ipsec invalid-spi-recovery enable
1.1.11 ipsec policy (interface view)
1.1.12 ipsec policy (system view)
本文所涉及的路由器代表了一般意义下的路由器或运行了路由协议的三层交换机。
【命令】
ah authentication-algorithm { md5 | sha1 } *
undo ah authentication-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
md5:采用MD5认证算法。
sha1:采用SHA-1认证算法。
【描述】
ah authentication-algorithm命令用来配置AH协议采用的认证算法。undo ah authentication-algorithm命令用来恢复缺省情况。
缺省情况下,未指定AH协议采用的认证算法。
需要注意的是,只有先使用transform命令选择了ah或ah-esp安全协议后,才能够配置ah认证算法。
相关配置可参考命令ipsec transform-set和transform。
【举例】
# 配置IPsec安全提议prop1,设定AH协议采用SHA-1算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
[Sysname-ipsec-transform-set-prop1] ah authentication-algorithm sha1
【命令】
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有安全策略的简要信息。
name:显示指定安全策略的详细信息。
policy-name:指定安全策略的名字,为1~15个字符的字符串。
seq-number:指定安全策略的顺序号,取值范围为1~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec policy命令用来显示IPsec安全策略的信息。
需要注意的是:
· 如果不指定任何参数,则显示所有IPsec安全策略的详细信息。
· 如果指定了name policy-name,而没有指定seq-number,则显示指定的IPsec安全策略组的详细信息。
相关配置可参考命令ipsec policy (system-view)。
【举例】
# 显示所有安全策略的简要信息。
<Sysname> display ipsec policy brief
IPsec-Policy-Name Mode acl ike-peer name
------------------------------------------------------------------------
man-1 manual 3400
map-1 isakmp 3000 peer
nat-1 isakmp 3500 nat
test-1 isakmp 3200 test
toccccc-1 isakmp 3003 tocccc
IPsec-Policy-Name Mode acl Local-Address Remote-Address
------------------------------------------------------------------------
man-1 manual 3400 3.3.3.1 3.3.3.2
表1-1 display ipsec policy brief命令显示信息描述表
|
字段 |
描述 |
|
IPsec-Policy-Name |
安全策略的名字和顺序号(例如map-1表示安全策略组名为map、顺序号为1) |
|
Mode |
安全策略采用的协商方式 · manual:手工方式 · isakmp:IKE协商方式 |
|
acl |
安全策略引用的访问控制列表 |
|
ike-peer name |
对等体的名称 |
|
Local-Address |
本端的IP地址 |
|
Remote-Address |
对端的IP地址 |
# 显示所有安全策略的详细信息。
<Sysname> display ipsec policy
===========================================
IPsec Policy Group: "policy_isakmp"
Interface: GigabitEthernet3/1/1
===========================================
------------------------------------
IPsec policy name: "policy_isakmp"
sequence number: 10
acl version: IPv4
mode: isakmp
-------------------------------------
security data flow : 3000
selector mode: standard
ike-peer name: per
perfect forward secrecy:
transform-set name: prop1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
===========================================
IPsec Policy Group: "policy_man"
Interface: GigabitEthernet3/1/2
===========================================
-----------------------------------------
IPsec policy name: "policy_man"
sequence number: 10
acl version: IPv4
mode: manual
-----------------------------------------
security data flow : 3002
tunnel local address: 162.105.10.1
tunnel remote address: 162.105.10.2
transform-set name: prop1
inbound AH setting:
AH spi: 12345 (0x3039)
AH string-key:
AH authentication hex key : ******
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi: 54321 (0xd431)
AH string-key:
AH authentication hex key: ******
outbound ESP setting:
ESP spi: 65432 (0xff98)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
===========================================
IPsec Policy Group: "manual"
Interface:
Protocol: OSPFv3, RIPng, BGP
===========================================
-----------------------------
IPsec policy name: "policy001"
sequence number: 10
acl version: ACL4
mode: manual
-----------------------------
security data flow :
tunnel local address:
tunnel remote address:
transform-set name: prop1
inbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
outbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-2 display ipsec policy命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Group |
IPsec安全策略组的名称 |
|
security data flow |
IPsec安全策略引用的访问控制列表 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Protocol |
应用了IPsec安全策略的协议名称(策略未应用在任何路由协议上时,不显示该字段) |
|
IPsec policy name |
IPsec安全策略的名称 |
|
sequence number |
IPsec安全策略的顺序号 |
|
acl version |
访问控制列表的版本,包括ACL4和ACL6两个版本 若未引用访问控制列表,则显示为None |
|
mode |
IPsec安全策略采用的协商方式 · mannul:手工方式 · isakmp:IKE协商方式 |
|
selector mode |
IPsec安全策略的数据流保护方式:standard,即标准方式 |
|
ike-peer name |
IPsec安全策略引用的IKE对等体名称 |
|
tunnel local address |
隧道本端的IP地址 |
|
tunnel remote address |
隧道对端的IP地址 |
|
perfect forward secrecy |
是否采用了完善的前向安全性(PFS) |
|
transform-set name |
IPsec安全策略引用的提议的名字 |
|
policy enable |
IPsec安全策略是否被使能 |
|
inbound/outbound AH/ESP setting |
输入/输出端采用AH/ESP协议的有关设置,包括SPI和密钥 |
【命令】
display ipsec sa [ brief | policy policy-name [ seq-number ] | remote ip-address ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
brief:显示所有的安全联盟的简要信息。
policy:显示由指定IPsec安全策略创建的安全联盟的详细信息。
policy-name:指定IPsec安全策略的名字,为1~15个字符的字符串。
seq-number:指定IPsec安全策略的顺序号,取值范围为1~65535。
remote ip-address:显示指定对端IP地址的安全联盟的详细信息。设备暂不支持本关键字。
ip-address:指定对端IP地址。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec sa命令用来显示安全联盟的相关信息。
需要注意的是,当未指定任何参数时,显示所有的安全联盟的信息。
相关配置可参考命令reset ipsec sa和ipsec sa global-duration。
【举例】
# 显示安全联盟的简要信息。
<Sysname> display ipsec sa brief
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
10.1.1.1 10.1.1.2 300 ESP E:Rijndael/AES;
A:HMAC-SHA1-96
10.1.1.2 10.1.1.1 400 ESP E:Rijndael/AES;
A:HMAC-SHA1-96
表1-3 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Src Address |
本端的IP地址 |
|
Dst Address |
对端的IP地址 |
|
SPI |
安全参数索引 |
|
Protocol |
IPsec采用的安全协议 |
|
Algorithm |
安全协议采用的认证算法和加密算法,其中,以“E:”开头表示加密算法;以“A:”开头表示认证算法;NULL表示未指定相关算法 |
# 显示所有安全联盟的详细信息。
<Sysname> display ipsec sa
===============================
Interface: GigabitEthernet3/1/1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "r2"
sequence number: 1
acl version: ACL4
mode: isakmp
-----------------------------
connection id: 3
encapsulation mode: tunnel
perfect forward secrecy:
tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP
[inbound ESP SAs]
spi: 3564837569 (0xd47b1ac1)
transform-set: ESP-ENCRYPT-DES ESP-AUTH-MD5
max received sequence-number: 5
anti-replay check enable: Y
anti-replay window size: 32
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 801701189 (0x2fc8fd45)
transform-set: ESP-ENCRYPT-DES ESP-AUTH-MD5
max sent sequence-number: 6
udp encapsulation used for nat traversal: N
===============================
Protocol: OSPFv3
===============================
-----------------------------
IPsec policy name: "manual"
sequence number: 1
acl version: ACL4
mode: manual
-----------------------------
connection id: 2
encapsulation mode: transport
perfect forward secrecy:
tunnel:
flow :
[inbound AH SAs]
spi: 1234563 (0x12d683)
transform-set: AH-MD5HMAC96
[outbound AH SAs]
spi: 1234563 (0x12d683)
transform-set: AH-MD5HMAC96
表1-4 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
应用了IPsec安全策略的接口 |
|
path MTU |
从该接口发送出去的最大IP数据报文长度 |
|
Protocol |
应用了安全策略的协议 |
|
IPsec policy name |
采用的安全策略名 |
|
sequence number |
IPsec安全策略顺序号 |
|
acl version |
访问控制列表的版本,包括ACL4和ACL6两个版本 若未引用访问控制列表,则显示为None |
|
mode |
IPsec协商方式 |
|
connection id |
安全隧道标识符 |
|
encapsulation mode |
采用的封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
perfect forward secrecy |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH组,取值可包括none、2、5、14 |
|
tunnel |
安全隧道 |
|
local address |
安全隧道本端的IP地址 |
|
remote address |
安全隧道对端的IP地址 |
|
flow |
数据流 |
|
sour addr |
数据流的源地址 |
|
dest addr |
数据流的目的地址 |
|
port |
端口号 |
|
protocol |
协议类型 |
|
inbound |
输入端安全联盟的信息 |
|
spi |
安全参数索引号 |
|
transform-set |
IPsec安全提议所采用的安全协议及算法 |
|
sa remaining duration |
安全联盟剩余的生命周期 |
|
max received sequence-number |
接收的报文最大序列号(安全协议提供的防重放功能) |
|
udp encapsulation used for nat traversal |
此安全联盟是否使用NAT穿越功能 |
|
outbound |
输出端安全联盟的信息 |
|
max sent sequence-number |
发送的报文最大序列号(安全协议提供的防重放功能) |
|
anti-replay check enable |
抗重放检测开关是否使能 |
|
anti-replay window size |
抗重放窗口宽度 |
【命令】
display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
tunnel-id integer:显示指定IPsec隧道的报文统计信息。其中,integer为隧道的ID号,取值范围为1~2000000000。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec statistics命令用来显示IPsec处理报文的统计信息。
需要注意的是,如果不指定任何参数,则显示所有IPsec处理的报文统计信息。
相关配置可参考命令reset ipsec statistics。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
the security packet statistics:
input/output security packets: 47/62
input/output security bytes: 3948/5208
input/output dropped security packets: 0/45
dropped security packet detail:
not enough memory: 0
can't find SA: 45
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
# 显示隧道ID为3的IPsec报文统计信息。
<Sysname> display ipsec statistics tunnel-id 3
------------------------------------------------
Connection ID : 3
------------------------------------------------
the security packet statistics:
input/output security packets: 5124/8231
input/output security bytes: 52348/64356
input/output dropped security packets: 0/0
dropped security packet detail:
not enough memory: 0
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
表1-5 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
Connection ID |
隧道ID号 |
|
input/output security packets |
受安全保护的输入/输出数据包 |
|
input/output security bytes |
受安全保护的输入/输出字节数 |
|
input/output dropped security packets |
被设备丢弃了的受安全保护的输入/输出数据包 |
|
dropped security packet detail |
被丢弃的输入/输出数据包的详细信息(包括以下各项) |
|
not enough memory |
因为内存不足而被丢弃的数据包的数目 |
|
can't find SA |
因为找不到安全联盟而被丢弃的数据包的数目 |
|
queue is full |
因为队列满而被丢弃的数据包的数目 |
|
authentication has failed |
因为认证失败而被丢弃的数据包的数目 |
|
wrong length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
replay packet |
重放的数据包的数目 |
|
packet too long |
因为数据包过长而被丢弃的数据包的数目 |
|
wrong SA |
因为安全联盟不正确而被丢弃的数据包的数目 |
【命令】
display ipsec transform-set [ transform-set-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
transform-set-name:显示指定的IPsec安全提议。transform-set-name表示IPsec安全提议的名字,为1~15个字符的字符串。如果不指定本参数,则显示所有IPsec安全提议的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec transform-set命令用来显示IPsec安全提议的信息。
如果没有指定IPsec安全提议的名字,则显示所有IPsec安全提议的信息。
相关配置可参考命令ipsec transform-set。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform-set name: tran1
encapsulation mode: tunnel
ESN : disable
ESN scheme: NO
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
IPsec transform-set name: tran2
encapsulation mode: transport
ESN : disable
ESN scheme: NO
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
表1-6 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform-set name |
IPsec安全提议的名字 |
|
encapsulation mode |
提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN功能是否使能 |
|
ESN scheme |
ESN取值(NO表示不支持,YES表示支持) |
|
transform |
提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议采用的认证算法 |
|
ESP protocol |
ESP协议采用的认证算法和加密算法 |
【命令】
display ipsec tunnel [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipsec tunnel命令用来显示IPsec隧道的信息。
不指定任何参数的情况下,则显示所有IPsec隧道的信息。
【举例】
# 显示IPsec隧道的信息。
<Sysname> display ipsec tunnel
total tunnel : 2
------------------------------------------------
connection id: 3
perfect forward secrecy:
SA's SPI:
inbound: 187199087 (0xb286e6f) [ESP]
outbound: 3562274487 (0xd453feb7) [ESP]
tunnel:
local address: 44.44.44.44
remote address : 44.44.44.55
flow:
sour addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
dest addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
current Encrypt-card:
------------------------------------------------
connection id: 5
perfect forward secrecy:
SA's SPI:
inbound: 12345 (0x3039) [ESP]
outbound: 12345 (0x3039) [ESP]
tunnel:
flow:
current Encrypt-card:
表1-7 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
connection id |
连接标识符,用来唯一地标识一个IPsec Tunnel |
|
perfect forward secrecy |
完善的前向安全,标志IKE第二阶段快速模式使用哪个DH组 |
|
SA's SPI |
出方向和入方向的安全策略索引 |
|
tunnel |
IPsec隧道端点的地址 |
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【描述】
encapsulation-mode命令用来配置安全协议对IP报文的封装形式。undo encapsulation-mode命令用来恢复缺省情况。
缺省情况下,安全协议采用隧道模式对IP报文进行封装。
若要配置应用于IPv6路由协议的手工IPsec安全策略,则该IPsec安全策略引用的安全提议仅支持传输模式的封装模式。
相关配置可参考命令ipsec transform-set。
【举例】
# 采用IKEv1方式建立IPsec安全隧道时,配置名为tran1的安全提议采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【命令】
esp authentication-algorithm { md5 | sha1 } *
undo esp authentication-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
md5:采用MD5认证算法,密钥长度128位。
sha1:采用SHA-1认证算法,密钥长度160位。
【描述】
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。undo esp authentication-algorithm命令用来恢复缺省情况。
缺省情况下,未指定ESP协议采用的认证算法。
需要注意的是:
· MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。对于保密及安全性要求较高的地方,建议采用SHA-1算法;对于普通安全需求,采用MD5算法即可。
· ESP协议采用的加密算法和认证算法不能同时设置为空。
相关配置可参考命令ipsec transform-set、esp encryption-algorithm。
【举例】
# 配置IPsec安全提议prop1采用ESP协议并使用SHA-1认证算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp authentication-algorithm sha1
【命令】
esp encryption-algorithm { 3des | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des }
undo esp encryption-algorithm
【视图】
IPsec安全提议视图
【缺省级别】
2:系统级
【参数】
3des:CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:CBC模式的AES算法,密钥长度为256比特。
des:CBC模式的DES算法,密钥长度为56比特。
【描述】
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。undo esp encryption-algorithm命令用来恢复缺省情况。
缺省情况下,未指定ESP协议采用的加密算法。
需要注意的是,ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。在实际配置过程中,ESP协议采用的加密算法和认证算法不能同时为空,要求至少指定其中之一。
相关配置可参考命令display ipsec transform-set和esp authentication-algorithm。
【举例】
# 配置IPsec安全提议prop1采用ESP协议并使用AES-CBC-128加密算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp encryption-algorithm aes-cbc-128
【命令】
ipsec invalid-spi-recovery enable
undo ipsec invalid-spi-recovery enable
【视图】
系统视图
【命令】
ipsec policy policy-name
undo ipsec policy [ policy-name ]
【视图】
接口视图
【命令】
ipsec policy policy-name seq-number [ isakmp | manual ]
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-name:IPsec安全策略的名字,为1~15个字符的字符串,不区分大小写,不能包括减号“-”。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立安全联盟。设备暂不支持本关键字。
manual:指定用手工方式建立安全联盟。
【描述】
ipsec policy命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。undo ipsec policy命令用来删除指定的IPsec安全策略。
缺省情况下,没有任何IPsec安全策略存在。
需要注意的是:
· 使用此命令创建IPsec安全策略时,必须指定协商方式,但进入已创建的IPsec安全策略时,可以不指定协商方式。
· 不能修改已创建的IPsec安全策略的协商方式,只能先删除该IPsec安全策略,再重新创建。
· 具有相同名字的IPsec安全策略一起组成一个IPsec安全策略组。由名字和顺序号一起确定一条唯一的IPsec安全策略。在一个IPsec安全策略组中,顺序号seq-number越小的IPsec安全策略,优先级越高。
· 不带seq-number参数的undo命令用来删除一个IPsec安全策略组。
相关配置可参考命令ipsec policy (Interface view)和display ipsec policy。
【举例】
# 配置名字为policy1,顺序号为100,采用IKE方式协商安全联盟的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 配置名字为policy1,顺序号为101,采用手工方式建立安全联盟的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
transform-set-name:指定IPsec安全提议的名字,为1~32个字符的字符串,不区分大小写。
【描述】
ipsec transform-set命令用来创建一个IPsec安全提议,并进入IPsec提议视图。undo ipsec transform-set命令用来删除指定的IPsec安全提议。
缺省情况下,没有任何IPsec安全提议存在。
相关配置可参考命令display ipsec transform-set。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1]
【命令】
reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
parameters:指定一个安全联盟所对应的目的IP地址、安全协议和SPI。设备暂不支持本关键字。
dest-address:指定目的地址。
protocol:指定安全协议,可选关键字为ah或esp,不区分大小写。
spi:指定安全参数索引,取值范围为256~4294967295。
policy:指定安全策略。
policy-name:指定IPsec安全策略的名字,为1~15个字符的字符串,区分大小写,字符可以是英文字母或者数字。
seq-number:指定安全策略的顺序号,取值范围为1~65535。如果不指定seq-number,则是指名字为policy-name的安全策略组中所有安全策略。
remote ip-address:指定安全联盟对应的对端IP地址。设备暂不支持本关键字。
【描述】
reset ipsec sa命令用来清除已经建立的IPsec SA(无论是手工建立的还是通过IKE协商建立的)。
如果不指定任何参数,则清除所有的IPsec SA。
需要注意的是:
· 通过手工建立的IPsec SA被清除后,系统会自动根据对应的手工IPsec安全策略建立新的IPsec SA。
· 通过IKE协商建立的IPsec SA被清除后,如果有报文重新触发IKE协商,IKE将重新协商建立新的IPsec SA。
· 如果指定了parameters关键字,由于IPsec SA是成对出现的,清除了一个方向的IPsec SA,另一个方向的IPsec SA也会被清除。
相关配置可参考命令display ipsec sa。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除对端地址为10.1.1.2的IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除安全策略名字为policy1、顺序号为10的IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除对端地址为10.1.1.2、安全协议为AH、安全参数索引为10000的IPsec SA。
<Sysname> reset ipsec sa parameters 10.1.1.2 ah 10000
【命令】
reset ipsec statistics
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
无
【描述】
reset ipsec statistics命令用来清除IPsec的报文统计信息,所有的统计信息都被设置成零。
相关配置可参考命令display ipsec statistics。
【举例】
# 清除IPsec的报文统计信息。
<Sysname> reset ipsec statistics
【命令】
sa authentication-hex { inbound | outbound } { ah | esp } [ cipher string-key | simple hex-key ]
undo sa authentication-hex { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
cipher string-key:表示以密文方式设置认证密钥。string-key为1~117个字符的字符串。
simple hex-key:表示以明文方式设置认证密钥。hex-key为以十六进制格式输入的明文密钥,不区分大小写,对于不同的算法,密钥长度不同(MD5:16字节;SHA1:20字节)。
不指定cipher或simple时,表示以明文方式设置认证密钥。
【描述】
sa authentication-hex命令用来对配置安全联盟的认证密钥。undo sa authentication-hex命令用来删除配置的安全联盟的认证密钥。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置manual方式的安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。
· 对于要应用于IPv6路由协议的IPsec安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
· 以明文或密文方式设置的认证密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用AH协议的入方向安全联盟的认证密钥为明文的0x112233445566778899aabbccddeeff00;出方向安全联盟的认证密钥为明文的0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah simple aabbccddeeff001100aabbccddeeff00
【命令】
sa encryption-hex { inbound | outbound } esp [ cipher string-key | simple hex-key ]
undo sa encryption-hex { inbound | outbound } esp
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
esp:采用ESP协议。
cipher string-key:表示以密文方式设置加密密钥。string-key为1~117个字符的字符串。
simple hex-key:表示以明文方式设置加密密钥。hex-key为以十六进制格式输入的明文密钥,不区分大小写,对于不同的算法,密钥长度不同(DES-CBC:8字节;3DES-CBC:24字节;AES128-CBC:16字节;AES192-CBC:24字节;AES256-CBC:32字节)。
不指定cipher或simple时,表示以明文方式设置加密密钥。
【描述】
sa encryption-hex命令用来配置安全联盟的加密密钥参数。undo sa encryption-hex命令用来删除配置的安全联盟的加密密钥参数。
需要注意的是:
· 此命令仅用于manual方式的安全策略。
· 在配置安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样;本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。
· 对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。
· 以明文或密文方式设置的认证密钥,均以密文的方式保存在配置文件中。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置采用ESP协议的入方向安全联盟的加密算法的密钥为明文0x1234567890abcdef;出方向加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp simple abcdefabcdef1234
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【视图】
安全策略视图
【缺省级别】
2:系统级
【参数】
inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。
outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。
ah:采用AH协议。
esp:采用ESP协议。
spi-number:安全联盟三元组标识中的安全参数索引,取值范围为256~4294967295。
【描述】
sa spi命令用来配置安全联盟的安全参数索引参数。undo sa spi命令用来删除配置的安全联盟的安全参数索引参数。
缺省情况下,不存在SA的安全参数索引。
需要注意的是:
· 此命令仅用于manual方式的IPsec安全策略。
· 对于isakmp方式的IPsec安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数。
· 在配置IPsec安全策略时,必须分别配置inbound和outbound两个方向安全联盟的参数。配置基于ACL的IPsec手工安全策略时,必须保证SA的唯一性,即不同SA对应不同的SPI。
· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。
在配置应用于IPv6路由协议的安全策略时,还需要注意的是:
· 本端出方向SA的SPI必须和本端入方向SA的SPI保持一致;
· 同一个范围内的,所有设备上的SA的SPI均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
相关配置可参考命令ipsec policy (System view)。
【举例】
# 配置入方向安全联盟的SPI为10000,出方向安全联盟的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【命令】
transform { ah | ah-esp | esp }
undo transform
【视图】
安全提议视图
【缺省级别】
2:系统级
【参数】
ah:采用AH协议。
ah-esp:先用ESP协议对报文进行保护,再用AH协议进行保护。
esp:采用ESP协议。
【描述】
transform命令用来配置提议采用的安全协议。undo transform命令用来恢复缺省情况。
缺省情况下,采用ESP协议。
需要注意的是,在安全隧道的两端,IPsec提议所使用的安全协议需要匹配。
相关配置可参考命令ipsec transform-set。
【举例】
# 配置一个采用AH协议的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【视图】
IPsec安全策略视图
【缺省级别】
2:系统级
【参数】
transform-set-name&<1-6>:所采用的提议名字,为1~32个字符的字符串。&<1-6>表示前面的参数最多可以输入6次。
【描述】
transform-set命令用来配置IPsec安全策略所引用的IPsec安全提议。undo transform-set命令用来取消IPsec安全策略引用的IPsec安全提议。
缺省情况下,IPsec安全策略没有引用任何IPsec安全提议。
需要注意的是:
· 引用的IPsec安全提议必须已经存在。
· 如果IPsec安全策略是手工(manual)方式的,则IPsec安全策略在引用提议时只能指定一个IPsec安全提议。如果需要改变已配置好的IPsec安全提议,必须先使用命令undo transform-set取消原先的IPsec安全提议,再配置新的IPsec安全提议。
· 如果IPsec安全策略是IKE(isakmp)协商方式的,则一条IPsec安全策略最多可以引用六个IPsec安全提议,IKE协商时将在IPsec安全策略中搜索能够完全匹配的IPsec安全提议。
相关配置可参考命令ipsec transform-set、ipsec policy (System view)。
【举例】
# 配置IPsec安全策略引用名字为tran1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set tran1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
