操作	命令	说明
进入系统视图	system-view	-
配置未知域名的用户的ISP域	domain if-unknown isp-domain-name	缺省情况下，没有为未知域名的用户指定ISP域

1.2 指定未知域名的用户的ISP域配置命令

1.2.1 domain if-unknown

domain if-unknown命令用来为未知域名的用户指定ISP域。

undo domain if-unknown命令用来恢复缺省情况。

【命令】

domain if-unknown isp-domain-name

undo domain if-unknown

【缺省情况】

没有为未知域名的用户指定ISP域。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

isp-domain-name：ISP域名。为1～24个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指导】

设备将按照如下先后顺序选择认证域：接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。如果根据以上原则决定的认证域在设备上不存在，但设备上为未知域名的用户指定了ISP域，则最终使用该指定的ISP域认证，否则，用户将无法认证。

【举例】

# 为未知域名的用户指定ISP域为test。

<Sysname> system-view

[Sysname] domain if-unknown test

【相关命令】

· display domain

2 新增特性—配置802.1X认证的MAC地址绑定功能

2.1 配置802.1X认证的MAC地址绑定功能

开启802.1X认证的MAC地址绑定功能后，系统会将通过802.1X认证上线用户的MAC地址与用户接入端口绑定，自动生成802.1X认证用户的MAC地址与接入端口的绑定表项。同时，设备也支持通过命令行手工配置802.1X认证的MAC地址绑定表项。这两种方式产生的802.1X认证的MAC地址绑定表项都不会自动老化。因此，当这些MAC地址被绑定的用户再次进行802.1X认证时，如果更换了接入端口，将不能通过认证。实现了802.1X用户通过设备的指定端口连接网络，不能随意更换接入端口的需求。

此功能受接口允许同时接入802.1X用户数的最大值（通过dot1x max-user命令配置）影响，当表项数等于接口允许同时接入802.1X用户最大用户数时，只有MAC地址绑定表项里的用户可以进行802.1X认证，其他用户认证失败；并且新的表项也不能被创建。

需要注意的是：

· 只有在802.1X认证采用基于MAC的接入控制方式时，802.1X认证的MAC地址绑定功能才生效。

· 只有在802.1X认证的MAC地址绑定功能处于开启状态，且接口为基于MAC的接入控制方式的情况下，手工配置802.1X认证的MAC地址绑定表项才能生效。

· 802.1X认证的MAC地址绑定表项不会自动老化，即使该用户下线后或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding mac-address命令手工删除表项。用户在线时，不允许删除此表项。

表2 配置802.1X认证的MAC地址绑定功能

操作	命令	说明
进入系统视图	system-view	-
进入以太网接口视图	interface interface-type interface-number	-
开启802.1X认证的MAC地址绑定功能	dot1x mac-binding enable	缺省情况下，802.1X认证的MAC地址绑定功能处于关闭状态
（可选）手工配置MAC地址绑定表项	dot1x mac-binding mac-address	缺省情况下，接口没有配置802.1X认证的MAC地址绑定表项

2.2 802.1X认证的MAC地址绑定功能配置命令

2.2.1 dot1x mac-binding enable

dot1x mac-binding enable命令用来开启802.1X认证的MAC地址绑定功能并自动生成该接口与802.1X认证成功用户的MAC地址绑定表项。

undo dot1x mac-binding enable命令用来关闭802.1X认证的MAC地址绑定功能。

【命令】

dot1x mac-binding enable

undo dot1x mac-binding enable

【缺省情况】

802.1X认证的MAC地址绑定功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

此功能只有在802.1X认证采用基于MAC的接入控制方式时才生效。

802.1X认证的MAC地址绑定表项数受接口允许同时接入802.1X用户数的最大值（通过dot1x max-user命令配置）影响，当表项数等于接口允许同时接入802.1X用户最大用户数时，只有MAC地址绑定表项里的用户可以进行802.1X认证，其他用户认证失败；并且新的表项也不能被创建。

自动生成的接口与802.1X认证成功用户的MAC地址绑定表项不会老化，即使该用户下线后或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding mac-address命令删除此表项。用户在线时，不允许删除此表项。

【举例】

# 在接口GigabitEthernet1/0/1下开启802.1X认证的MAC地址绑定功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x mac-binding enable

【相关命令】

· dot1x mac-binding

· dot1x port-method

2.2.2 dot1x mac-binding

dot1x mac-binding命令用来手工配置802.1X认证的MAC地址绑定表项。

undo dot1x mac-binding命令用来删除指定的802.1X认证的MAC地址绑定表项。

【命令】

dot1x mac-binding mac-address

undo dot1x mac-binding { all | mac-address }

【缺省情况】

以太网接口下没有配置802.1X认证的MAC地址绑定表项。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

all: 表示删除接口下所有绑定的MAC地址。

mac-address：表示绑定的MAC地址，格式为H-H-H，取值不能为全0、全F（广播MAC）和组播MAC。

【使用指导】

只有在802.1X认证的MAC地址绑定功能处于开启状态，且接口为基于MAC的接入控制方式的情况下，手工配置802.1X认证的MAC地址绑定表项才能生效。

手工配置的802.1X认证MAC地址绑定表项不会老化，即使对应用户下线或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding mac-address命令删除此表项。用户在线时，不允许删除此表项。

【举例】

# 在接口GigabitEthernet1/0/1下配置802.1X认证的MAC地址绑定表项，与此接口绑定的MAC地址为000a-eb29-75f1。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x mac-binding 000a-eb29-75f1

【相关命令】

· dot1x mac-binding enable

· dot1x port-method

3 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

为支持动态申请IP地址的MAC地址认证用户在计费报文中携带IP地址功能，需要同时配置设备MAC地址认证功能和DHCP Snooping功能。

开启该功能后，在MAC地址认证用户通过DHCP服务器动态获得IP地址的组网中，用户认证通过后，向DHCP服务器发送DHCP请求报文，设备收到DHCP服务器回应的应答报文后生成DHCP Snooping表项和IP Source Guard绑定表项。

MAC地址认证功能模块通过IP Source Guard绑定表项获取到用户的IP地址，从而实现发送实时计费报文给RADUIS服务器中携带用户IP地址的功能。

4 新增特性—配置MAC地址重认证功能

4.1 MAC地址重认证功能配置

端口开启了MAC地址认证用户的周期性重认证功能后，设备会根据周期性重认证定时器（mac-authentication timer）设定的时间间隔定期启动对该端口上的在线用户进行MAC地址认证，以检测用户连接状态的变化，更新服务器下发的授权属性（例如ACL、VLAN）。对于已在线的MAC地址认证用户，要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

MAC地址认证用户进行重认证时，设备将按照如下由高到低的顺序为其选择周期性重认证超时间隔时间：服务器下发的重认证时间、端口上配置的重认证时间、系统视图配置的重认证时间、设备缺省的重认证时间。

表3 配置MAC地址重认证功能

配置步骤	命令	说明
进入系统视图	system-view	-
配置周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，周期性重认证定时器的值为3600秒
进入二层以太网接口视图	interface interface-type interface-number	-
开启端口上MAC地址周期性重认证功能	mac-authentication re-authenticate	缺省情况下，周期性重认证功能处于关闭状态
配置端口上周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，端口上未配置MAC地址周期性重认证定时器

4.2 MAC地址周期性重认证功能配置命令

4.2.1 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置全局MAC地址周期性重认证的定时器。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

全局周期性重认证定时器的值为3600秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

reauth-period reauth-period-value：表示MAC地址认证周期性重认证定时器。其中reauth-period-value表示周期性重认证定时器的值，取值范围为60～7200，单位为秒。

【使用指导】

端口下开启了周期性重认证功能（通过命令mac-authentication re-authenticate）后，设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户，要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

【举例】

# 配置MAC地址周期性重认证时间间隔150秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 150

4.2.2 mac-authentication re-authenticate

mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。

undo mac-authentication re-authenticate命令用来恢复缺省情况。

【命令】

mac-authentication re-authenticate

undo mac-authentication re-authenticate

【缺省情况】

MAC地址周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

端口开启了MAC地址认证用户的周期性重认证功能后，设备会根据周期性重认证定时器（mac-authentication timer reauth-period）设定的时间间隔定期启动对该端口上的在线用户进行MAC地址认证，以检测用户连接状态的变化，更新服务器下发的授权属性（例如ACL、VLAN）。

【举例】

# 在端口GigabitEthernet1/0/1上开启MAC地址重认证功能，并配置全局周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 1800

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate

4.2.3 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置端口上MAC地址重认证的定时器参数。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

端口上未配置MAC地址周期性重认证定时器，端口使用全局配置的MAC地址周期性重认证定时器的取值。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

端口上开启了周期性重认证功能（通过命令mac-authentication re-authenticate）后，设备端以周期性重认证定时器的值为间隔，对端口上的在线用户发起重认证。对于已在线的MAC地址认证用户，要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

【举例】

# 在端口GigabitEthernet1/0/1上配置MAC地址周期性重认证的时间间隔为90秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication timer reauth-period 90

5 新增特性—非MQC方式配置接口入方向对所有流的流量监管

5.1 非MQC方式配置接口入方向对所有流的流量监管

从本版本开始，设备支持通过非MQC方式配置接口入方向对所有流的流量监管。

表4 非MQC方式配置接口入方向对所有流的流量监管

操作	命令	说明
进入系统视图	system-view	-
进入以太网接口视图	interface interface-type interface-number	-
非MQC方式配置接口入方向对所有流的流量监管	qos car inbound any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ green action \| red action \| yellow action ] qos car inbound any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ green action \| red action \| yellow action ]	缺省情况下，接口上没有应用CAR策略

5.2 显示接口的流量监管配置情况和统计信息

非MQC方式配置接口入方向对所有流的流量监管后，在任意视图下执行display命令可以显示接口的流量监管配置情况和统计信息，通过查看显示信息验证配置的效果。

表5 显示接口的流量监管配置情况和统计信息

操作	命令
显示接口的流量监管配置情况和统计信息	display qos car interface [ interface-type interface-number ]

5.3 非MQC方式配置接口入方向对所有流的流量监管命令

5.3.1 display qos car interface

display qos car interface命令用来显示接口的流量监管配置情况和统计信息。

【命令】

display qos car interface [ interface-type interface-number ]

【视图】

任意视图

【缺省级别】

network-admin

network-operator

【参数】

interface-type interface-number：指定接口类型和接口编号。如果未指定本参数，将显示所有接口的流量监管配置情况和统计信息。

【举例】

# 显示非MQC方式配置接口GigabitEthernet1/0/1入方向对所有流的流量监管配置情况和统计信息。

<Sysname> display qos car interface gigabitethernet 1/0/1

Interface: GigabitEthernet1/0/1

Direction: inbound

Rule: If-match any

CIR 128 (kbps), CBS 5120 (Bytes), PIR 128 (kbps), EBS 512 (Bytes)

Green action : pass

Yellow action : pass

Red action : discard

Green packets : 0 (Packets), 0 (Bytes)

Yellow packets: 0 (Packets), 0 (Bytes)

Red packets : 0 (Packets), 0 (Bytes)

表6 display qos car interface命令显示信息描述表

字段	描述
Interface	接口名，由接口类型和接口编号结合在一起组成
Direction	指定流量监管的方向
Rule	数据包的匹配规则
CIR	承诺信息速率，单位为kbps
CBS	承诺突发尺寸，单位为byte
EBS	超出突发尺寸，单位为byte
PIR	峰值信息速率，单位为kbps
Green action	对绿色报文的动作
Yellow action	对黄色报文的动作
Red action	对红色报文的动作
Green packets	绿色报文的流量统计
Yellow packets	黄色报文的流量统计
Red packets	红色报文的流量统计

5.3.2 qos car inbound any (interface view)

qos car inbound any命令用来配置接口入方向对所有流的流量监管。

undo qos car inbound any命令用来取消接口入方向对所有流的流量监管的配置。

【命令】

qos car inbound any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ green action | red action | yellow action ]

qos car inbound any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ green action | red action | yellow action ]

undo qos car inbound any

【缺省情况】

接口上未配置流量监管。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

cir committed-information-rate：承诺信息速率，单位为kbps。千兆端口的取值范围为64～1048576，万兆端口的取值范围为64～10485760，用户配置的数值必须是64的倍数。

cbs committed-burst-size：承诺突发尺寸，单位为byte。

· 如果不指定cbs参数，缺省取值为与62.5×committed-information-rate，的乘积最接近且不小于512的整数倍，但是最大值不能超过134217728。

· 如果指定cbs参数，取值范围为512～134217728且必须为512的整数倍。

ebs excess-burst-size：超出突发尺寸，单位为byte。取值范围为0～4294967294。

pir peak-information-rate：峰值速率，单位为kbps。取值范围为0～4294967294。

green action：数据包的流量符合承诺速率时对数据包采取的动作，缺省动作为pass。

red action：数据包的流量既不符合承诺速率也不符合峰值速率时对数据包采取的动作，缺省动作为discard。

yellow action：数据包的流量不符合承诺速率但是符合峰值速率时对数据包采取的动作，缺省动作为pass。

action：对数据包采取的动作，有以下几种：

· remark-dot1p-continue new-cos：设置新的802.1P报文的优先级值，并继续由下一个CAR策略处理，取值范围为0～7。

· remark-dot1p-pass new-cos：设置新的802.1P报文的优先级值，并允许数据包通过，取值范围为0～7。

· remark-dscp-continue new-dscp：设置报文新的DSCP值，并继续由下一个CAR策略处理，取值范围为0～63；用文字表示时，可以选取af11、af12、af13、af21、af22、af23、af31、af32、af33、af41、af42、af43、cs1、cs2、cs3、cs4、cs5、cs6、cs7、default、ef。

· remark-dscp-pass new-dscp：设置报文新的DSCP值，并允许数据包通过，取值范围为0～63；用文字表示时，可以选取af11、af12、af13、af21、af22、af23、af31、af32、af33、af41、af42、af43、cs1、cs2、cs3、cs4、cs5、cs6、cs7、default、ef。

【使用指导】

在同一个接口上重复执行本命令最后一次执行的命令生效。

不配置峰值速率表示所配置的是单速率流量监管，否则表示双速率流量监管。

【举例】

# 配置接口GigabitEthernet1/0/1入方向对所有流的流量监管。报文正常流速为512kbps，在第一时间可以有大于正常流量的突发流量通过，以后速率小于等于512kbps时正常发送，大于512kbps时，报文dot1p优先级改为0并发送。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos car inbound any cir 512 cbs 5120 ebs 0 red remark-dot1p-pass 0

【相关命令】

· display qos car interface

6 新增特性—带宽保证组

6.1.1 带宽保证组简介

利用流量监管和端口限速功能，我们可以对从下游设备接收的流量在设备的下行端口上进行速率的限制。但与此同时，也必须考虑到设备实际的上行传输能力。如果所有下行端口的接收速率限制之和超过了设备的实际上行能力，也会影响到数据的传输质量。

为方便用户更准确的规划下行端口的速率限制，设备提供了带宽保证组功能。我们可以根据设备的实际组网情况，配置一个上行带宽的阈值，所有需要使用该上行带宽资源的下行端口，我们称之为UNI接口。当我们将接口配置为带宽保证组的UNI接口时，如果所有UNI接口的接收限制带宽之和超过了上行带宽阈值，设备会输出告警信息，提示用户重新配置该接口的接收限制带宽。

6.2 配置带宽保证组

6.2.1 配置限制和指导

配置带宽保证组时需要注意的是：

· 带宽保证组的上行带宽阈值必须大于或等于所有UNI接口接收限制带宽的和，其中UNI接口接收限制带宽为UNI接口通过非MQC方式配置入方向对所有流的流量监管中的承诺信息速率。有关非MQC方式配置接口接收限制带宽的详细介绍，请参见R3115P01特性变更中的“3 新增特性—非MQC方式配置接口入方向对所有流的流量监管”

· 设备上仅存在一个带宽保证组，多次执行qos nni bandwidth命令，最后一次执行的命令生效。

· 在配置接口为带宽保证组的UNI接口前，必须先通过非MQC方式配置该接口接收限制带宽。

6.2.2 配置步骤

表7 配置步骤

操作	命令	说明
进入系统视图	system-view	-
配置带宽保证组的上行带宽阈值	qos nni bandwidth bandwidth-value	必选缺省情况下，未配置带宽保证组的上行带宽阈值
进入接口视图	interface interface-type interface-number	必选
配置接口接收限制带宽	qos car inbound any cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] [ green action \| red action \| yellow action ] qos car inbound any cir committed-information-rate [ cbs committed-burst-size ] pir peak-information-rate [ ebs excess-burst-size ] [ green action \| red action \| yellow action ]	必选缺省情况下，未配置接口接收限制带宽
配置接口为带宽保证组的UNI接口	qos uni enable	必选缺省情况下，未配置接口为带宽保证组的UNI接口

6.3 带宽保证组显示与维护

在任意视图下执行display命令可以显示带宽保证组的运行情况，通过查看显示信息验证配置的效果。

表8 带宽保证组显示和维护

操作	命令
显示带宽保证组的上行带宽阈值以及所有UNI接口接收限制带宽的和	display qos nni bandwidth
显示设备的UNI接口以及UNI接口接收限制带宽	display qos uni interface [ interface-type interface-number ]

6.4 带宽保证组典型配置举例

6.4.1 带宽保证组基本组网配置举例

1.组网需求

在设备Device上配置带宽保证组的上行带宽阈值为1000kbps。要求当所有UNI接口的接收限制带宽之和超过了上行带宽阈值时，设备能够输出告警信息，提示用户UNI接口的接收限制带宽之和不能大于设备上行带宽阈值。

2.组网图

图1 带宽保证组基本组网图

3.配置步骤

# 配置带宽保证组的上行带宽阈值为1000kbps

<Device> system-view

[Device] qos nni bandwidth 1000

# 在接口GigabitEthernet1/0/1到接口GabitEthernet1/0/4上配置各接口接收限制带宽为200kbps，并配置各接口为带宽保证组的UNI接口。

[Device] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/4

[Device-if-range] qos car inbound any cir 200

[Device-if-range] qos uni enable

[Device-if-range] quit

# 在接口GabitEthernet1/0/5上配置接口接收限制带宽为300kbps，并配置接口为带宽保证组的UNI接口，此时由于带宽保证组中所有UNI接口接收限制带宽大于上行带宽阈值，设备将给出提示信息，用户需要修改接口GabitEthernet1/0/5的接收限制带宽。

[Device] interface gitethernet 1/0/5

[Device-GabitEthernet1/0/5] qos car inbound any cir 300

[Device-GabitEthernet1/0/5] qos uni enable

Total UNI bandwidth can’t be greater than NNI bandwidth

6.5 带宽保证组配置命令

6.5.1 display qos nni bandwidth

display qos nni bandwidth命令用来显示带宽保证组的上行带宽阈值以及所有UNI接口接收限制带宽的和。

【命令】

display qos nni bandwidth

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

如果未配置带宽保证组的上行带宽阈值，则执行本命令后不会出现任何显示信息。

【举例】

# 显示带宽保证组的上行带宽阈值以及所有UNI接口接收限制带宽的和。

<Sysname> display qos nni bandwidth

NNI bandwidth： 1000 kbps

Total UNI bandwidth: 500 kbps

表9 display qos nni bandwidth命令显示信息描述表

字段	描述
NNI bandwidth	上行带宽阈值
Total UNI bandwidth	所有UNI接口接收限制带宽的和，为所有UNI接口通过非MQC方式配置入方向对所有流的流量监管中的承诺信息速率之和

【相关命令】

· qos nni bandwidth

6.5.2 display qos uni interface

display qos uni interface命令用来显示设备的UNI接口及其对应的接收限制带宽。

【命令】

display qos uni interface [ interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数解释】

interface-type interface-number：接口类型和接口编号。如果未指定本参数，将显示所有UNI接口及其对应的接收限制带宽。

【举例】

# 显示所有下行口的配置情况。

<Sysname> display qos uni interface

Interface UNI Bandwidth (kbps)

---------------------------------------------------------------

GigabitEthernet1/0/1 100

GigabitEthernet1/0/2 200

GigabitEthernet1/0/2 300

表10 display qos uni interface命令显示信息描述表

字段	描述
Interface	UNI接口
UNI bandwidth	UNI接口接收限制带宽，为UNI接口通过非MQC方式配置入方向对所有流的流量监管中的承诺信息速率

【相关命令】

· qos uni enable

6.5.3 qos nni bandwidth

qos nni bandwidth命令用来配置带宽保证组的上行带宽阈值。

undo qos nni bandwidth命令用来恢复缺省情况。

【命令】

qos nni bandwidth bandwidth-value

undo qos nni bandwidth

【缺省情况】

没有配置带宽保证组的上行带宽阈值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

bandwidth-value：带宽保证组的上行带宽阈值，单位为kbps，取值范围为1000000～20000000。

【使用指导】

设备上仅存在一个带宽保证组，多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置带宽保证组的上行带宽阈值为1000kbps。

<Sysname> system-view

[Sysname] qos nni bandwidth 1000

【相关命令】

· display nni bandwidth

· qos car（interface view）

· qos uni enable

6.5.4 qos uni enable

qos uni enable命令用来配置接口为带宽保证组的UNI接口。

undo qos uni enable命令用来恢复缺省情况。

【命令】

qos uni enable

undo qos uni enable

【缺省情况】

接口不作为带宽保证组的UNI接口。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

在配置接口为带宽保证组的UNI接口前，必须先通过非MQC方式配置该接口的接收限制带宽。

【举例】

# 配置接口GigabitEthernet1/0/1为带宽保证组的UNI接口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos uni enable

【相关命令】

· display nni bandwidth

· qos car（interface view）

· qos nni bandwidth

7 新增特性—配置ARP Detection忽略端口匹配检查功能

7.1 配置ARP Detection忽略端口匹配检查功能

设备开启ARP Detection功能后，会对非信任端口执行用户合法性检查，包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查。使用这些表项进行检查时，其中会检查ARP报文入端口和表项中的端口是否匹配，如果不匹配则丢弃此报文。

开启ARP Detection忽略端口匹配检查功能后，ARP Detection在根据表项进行用户合法性检查时，会忽略ARP报文入端口和表项中的端口是否匹配的检查。

表11 配置ARP Detection忽略端口匹配检查功能

操作	命令	说明
进入系统视图	system-view	-
开启ARP Detection忽略端口匹配检查功能	arp detection port-match-ignore	缺省情况下，ARP Detection忽略端口匹配检查功能处于关闭状态

7.2 ARP Detection忽略端口匹配检查配置命令

7.2.1 arp detection port-match-ignore

arp detection port-match-ignore命令用来开启ARP Detection忽略端口匹配检查功能。

undo arp detection port-match-ignore命令用来关闭ARP Detection忽略端口匹配检查功能。

【命令】

arp detection port-match-ignore

undo arp detection port-match-ignore

【缺省情况】

ARP Detection忽略端口匹配检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启ARP Detection忽略端口匹配检查功能后，ARP Detection在进行IP Source Guard静态绑定表项检查、DHCP Snooping安全表项检查或802.1X安全表项检查时，忽略ARP报文入端口和表项中的端口是否匹配的检查。

【举例】

# 开启ARP Detection忽略端口匹配检查功能。

<Sysname> system-view

[Sysname] arp detection port-match-ignore

【相关命令】

arp detection enable

8 变更特性—在802.1X用户的上线成功日志信息中增加授权VLAN信息

8.1 特性变更说明

修改DOT1X_LOGIN_SUCC日志信息。VLANID字段改为AccessVLANID，表示802.1X用户的接入VLAN。在802.1X用户上线成功的日志信息中新增授权VLANID字段，显示用户在认证成功后被下发的授权VLAN信息。

原日志内容：

-IfName=[STRING]-MACAddr=[STRING]-VLANID=[STRING]-Username=[STRING]; User passed 802.1X authentication and came online.

修改后的日志内容：

-IfName=[STRING]-MACAddr=[STRING]-AccessVLANID=[STRING]-AuthorizationVLANID=[STRING]-Username=[STRING]; User passed 802.1X authentication and came online.

8.2 命令变更说明

无。

9 变更特性—在802.1X用户的上线失败日志信息中增加错误码

9.1 特性变更说明

修改DOT1X_LOGIN_ FAILURE日志信息。在802.1X用户上线失败的日志信息中新增授权ErrCode字段，显示用户认证失败的错误码。

原日志内容：

-IfName=[STRING]-MACAddr=[STRING]-VLANID=[STRING]-Username=[STRING]; User failed 802.1X authentication.

修改后的日志内容：

-IfName=[STRING]-MACAddr=[STRING]-VLANID=[STRING]-Username=[STRING] -ErrCode=[STRING]; User failed 802.1X authentication.

9.2 命令变更说明

无。

10 变更特性—MAC地址认证支持使用MAC地址作为用户名时自定义密码

10.1 特性变更说明

对于MAC地址认证功能，在使用MAC地址作为用户名进行MAC地址认证时，支持配置MAC地址认证用户的认证密码。

10.2 命令变更说明

10.2.1 修改-mac-authentication user-name-format

【原命令】

mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] }

undo mac-authentication user-name-format

【修改后的命令】

mac-authentication user-name-format { fixed [ account name ] | mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ] } [ password { cipher | simple } string ]

undo mac-authentication user-name-format

【视图】

系统视图

【修改说明】

修改前：mac-authentication user-name-format命令中不支持使用MAC地址作为用户名时自定义密码。使用MAC地址进行认证时，MAC地址同时作为认证时的用户名和密码。

修改后：

· mac-authentication user-name-format命令中支持使用MAC地址作为用户名时自定义密码。

· password：配置MAC地址认证用户的认证密码。

11 变更特性—配置指定队列最多可使用的固定区域的比例

11.1 特性变更说明

本版本新增支持配置packet资源中队列最多可使用的固定区域的比例。

11.2 命令变更说明

11.2.1 修改-buffer queue guaranteed

【原命令】

buffer egress [ slot slot-number ] cell queue queue-id guaranteed ratio ratio-value

undo buffer egress [ slot slot-number ] cell queue queue-id guaranteed

【修改后的命令】

buffer egress [ slot slot-number ] { cell | packet } queue queue-id guaranteed ratio ratio-value

undo buffer egress [ slot slot-number ] { cell | packet } queue queue-id guaranteed

【视图】

系统视图

【修改说明】

修改后：

· 缺省情况下，packet资源中每个队列最多可使用的固定区域的比例为11%。

· buffer queue guaranteed命令支持携带packet参数配置packet资源中队列最多可使用的固定区域的比例。

12 变更特性—配置指定队列最多可使用的共享区域的比例

12.1 特性变更说明

本版本新增支持：

· 配置packet资源中端口或队列最多可使用的共享区域的比例。

· 配置cell资源中端口最多可使用的共享区域的比例。

12.2 命令变更说明

12.2.1 修改-buffer queue shared

【原命令】

buffer egress [ slot slot-number ] cell queue queue-id shared ratio ratio-value

undo buffer egress [ slot slot-number ] cell queue queue-id shared

【修改后的命令】

buffer egress [ slot slot-number ] { cell | packet } [ queue queue-id ] shared ratio ratio-value

undo buffer egress [ slot slot-number ] { cell | packet } [ queue queue-id ] shared

【视图】

系统视图

【修改说明】

修改后：

· 缺省情况下，packet资源中每个端口最多可使用的共享区域的比例为100%。

· 缺省情况下，cell资源中每个队列最多可使用的共享区域的比例为100%。

· 缺省情况下，packet资源中每个队列最多可使用的共享区域的比例为60%。

· buffer queue shared命令支持携带packet参数配置packet资源中队列或端口最多可使用的共享区域的比例。

· buffer queue shared命令支持携带cell参数配置cell资源中端口最多可使用的共享区域的比例。

13 变更特性—配置数据缓冲区中共享区域的比例

13.1 特性变更说明

本版本新增支持配置packet资源中共享区域的比例。

13.2 命令变更说明

13.2.1 修改-buffer total-shared

【原命令】

buffer egress [ slot slot-number ] cell total-shared ratio ratio-value

undo buffer egress [ slot slot-number ] cell total-shared

【修改后的命令】

buffer egress [ slot slot-number ] { cell | packet } total-shared ratio ratio-value

undo buffer egress [ slot slot-number ] { cell | packet } total-shared

【视图】

系统视图

【修改说明】

修改后：

· 缺省情况下，packet资源中共享区域的比例为95%。

· buffer total-shared命令支持携带packet参数配置packet资源中共享区域的比例。

14 变更特性—Burst功能

14.1 特性变更说明

开启Burst功能后，数据缓冲区中固定区域和共享区域所占比例发生变化。

14.2 命令变更说明

14.2.1 修改-burst-mode enable

【原命令】

burst-mode enable

undo burst-mode enable

【视图】

系统视图

【修改说明】

修改前，开启Burst功能后数据缓冲区的参数如表1所示。

表12 修改前开启Burst功能后数据缓冲区参数

资源类型	缓冲区中共享区域所占比例	每个队列最多可使用的固定区域比例	每个端口最多可使用的共享区域比例
cell资源	77%	12%	85%

修改后，开启Burst功能后数据缓冲区的参数如表2所示。

表13 修改后开启Burst功能后数据缓冲区参数

资源类型	缓冲区中共享区域所占比例	每个队列最多可使用的固定区域比例	每个端口最多可使用的共享区域比例	每个队列最多可使用的共享区域的比例
cell资源	77%	12%	85%	100%
packet资源	95%	11%	100%	100%

15 变更特性—收集诊断信息

15.1 特性变更说明

从本版本开始，display diagnostic-information命令支持key-info关键字，用来收集关键的诊断信息。

15.2 命令变更说明

15.2.1 修改-display diagnostic-information

【原命令】

display diagnostic-information [ hardware | infrastructure | l2 | l3 | service ] [ filename ]

【修改后的命令】

display diagnostic-information [ hardware | infrastructure | l2 | l3 | service ] [ key-info ] [ filename ]

【视图】

任意视图

【修改说明】

修改前：不支持key-info参数，一次会收集当前全部诊断信息。

修改后：支持key-info参数。key-info表示收集关键诊断信息。当设备异常或者运行时间较长时，可能会产生较多诊断信息，此时，使用key-info关键字，即可以收集到关键的诊断信息，又可以缩短诊断信息的收集时间。不指定key-info参数时，收集当前全部诊断信息。

16 变更特性—配置允许通过的超长帧的最大长度

16.1 特性变更说明

配置以太网接口允许通过的超长帧的最大长度增加到12288字节。

16.2 命令变更说明

16.2.1 修改-jumboframe enable

【命令】

jumboframe enable [ value ]

undo jumboframe enable

【视图】

以太网接口视图

【修改说明】

修改前：value取值范围为1536～9216。

修改后：value取值范围为1536～12288。

17 变更特性—配置对SSH客户端的访问控制

17.1 特性变更说明

从本版本开始，指定二层ACL的命令中删除mac关键字。

17.2 命令变更说明

17.2.1 修改-ssh server acl

【原命令】

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

undo ssh server acl

【修改后的命令】

ssh server acl { advanced-acl-number | basic-acl-number | mac-acl-number }

undo ssh server acl

【视图】

系统视图

【修改说明】

修改前：通过二层ACL进行访问控制时，指定mac参数。

修改后：通过二层ACL进行访问控制时，不指定mac参数。

17.2.2 修改-ssh server ipv6 acl

【原命令】

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

undo ssh server ipv6 acl

【修改后的命令】

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac-acl-number }

undo ssh server ipv6 acl

【视图】

系统视图

【修改说明】

修改前：通过二层ACL进行访问控制时，指定mac参数。

修改后：通过二层ACL进行访问控制时，不指定mac参数。

18 变更特性—Debug调试开关

18.1 变更说明

从本版本开始，设备删除开启Debug调试开关时的all参数，即debugging命令不能同时开启所有模块的调试开关，但依旧可以使用undo debugging all命令同时关闭所有模块的调试开关。

18.2 命令变更说明

18.2.1 修改-debugging

【原命令】

debugging { all | module-name [ option ] }

undo debugging { all | module-name [ option ] }

【修改后的命令】

debugging module-name [ option ]

undo debugging { all | module-name [ option ] }

【视图】

用户视图

【修改说明】

修改前：debugging命令可以配置all参数来开启所有模块的调试开关。

修改后：debugging命令不能配置all参数来开启所有模块的调试开关。

19 变更特性—RADIUS服务器探测模板中支持指定用户密码

19.1 特性变更说明

对于RADIUS服务器探测功能，在定义RADIUS服务器探测模板时，支持指定携带在探测报文中的用户密码。通过指定用户密码，可以避免携带随机密码的探测报文被RADIUS服务器判定为攻击报文。

19.2 命令变更说明

19.2.1 修改-radius-server test-profile

【原命令】

radius-server test-profile profile-name username name [ interval interval ]

undo radius-server test-profile profile-name

【修改后的命令】

radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ]

undo radius-server test-profile profile-name

【视图】

系统视图

【修改说明】

修改前：radius-server test-profile命令中不支持指定探测报文中用户密码。探测报文中携带的用户密码为设备生成的随机密码。

修改后：radius-server test-profile命令中可以指定探测报文中的用户密码。若不指定，则表示探测报文中携带设备生成的随机密码。

· password：探测报文中的用户密码。若不指定该参数，则表示探测报文中携带的用户密码为设备生成的随机密码。为避免携带随机密码的探测报文被RADIUS服务器判定为攻击报文，建议指定用户密码。

· cipher：以密文方式设置用户密码。

· simple：以明文方式设置用户密码，该密码将以密文形式存储。

· string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串。

20 变更特性－NTP ACL过滤功能

20.1 特性变更说明

ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string

【修改后的命令】

ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *

【视图】

系统视图

【修改说明】

ntp-service authentication-keyid命令新增支持acl和ipv6 acl参数：

· acl ipv4-acl-number：对对端设备进行ACL过滤。通过ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv4-acl-number为IPv4基本ACL的编号，取值范围为2000～2999。

· ipv6 acl ipv6-acl-number：对对端设备进行IPv6 ACL过滤。通过IPv6 ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv6-acl-number为IPv6基本ACL的编号，取值范围为2000～2999。

20.2.4 修改-sntp authentication-keyid

【原命令】

sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string

【修改后的命令】

sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number | ipv6 acl ipv6-acl-number ] *

【视图】

系统视图

【修改说明】

sntp authentication-keyid命令新增支持acl和ipv6 acl参数：

21 变更特性－配置内核线程死循环检测功能

21.1 特性变更说明

从本版本开始，配置内核线程死循环检测功能时，如下命令行有变更：

· monitor kernel deadloop enable命令的缺省情况从关闭变更为开启，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

· monitor kernel deadloop time命令的缺省值从8秒钟变更为20秒钟。

21.2 命令变更说明

21.2.1 修改-monitor kernel deadloop enable

【命令】

monitor kernel deadloop enable [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，内核线程死循环检测功能处于关闭状态。

修改后：缺省情况下，内核线程死循环检测功能处于开启状态，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

21.2.2 修改-monitor kernel deadloop time

【命令】

monitor kernel deadloop time interval [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，当某内核线程连续运行超过8秒钟，则判定为死循环。

修改后：缺省情况下，当某内核线程连续运行超过20秒钟，则判定为死循环。

Release 3115版本

本版本特性变更情况：

· 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

· 新增特性—配置MAC地址重认证功能

· 变更特性－配置内核线程死循环检测功能

1 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

为支持动态申请IP地址的MAC地址认证用户在计费报文中携带IP地址功能，需要同时配置设备MAC地址认证功能和DHCP Snooping功能。

MAC地址认证功能模块通过IP Source Guard绑定表项获取到用户的IP地址，从而实现发送实时计费报文给RADUIS服务器中携带用户IP地址的功能。

2 新增特性—配置MAC地址重认证功能

2.1 MAC地址重认证功能配置

表1 配置MAC地址重认证功能

配置步骤	命令	说明
进入系统视图	system-view	-
配置周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，周期性重认证定时器的值为3600秒
进入二层以太网接口视图	interface interface-type interface-number	-
开启端口上MAC地址周期性重认证功能	mac-authentication re-authenticate	缺省情况下，周期性重认证功能处于关闭状态
配置端口上周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，端口上未配置MAC地址周期性重认证定时器

2.2 MAC地址周期性重认证功能配置命令

2.2.1 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置全局MAC地址周期性重认证的定时器。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

全局周期性重认证定时器的值为3600秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

【举例】

# 配置MAC地址周期性重认证时间间隔150秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 150

2.2.2 mac-authentication re-authenticate

mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。

undo mac-authentication re-authenticate命令用来恢复缺省情况。

【命令】

mac-authentication re-authenticate

undo mac-authentication re-authenticate

【缺省情况】

MAC地址周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

【举例】

# 在端口GigabitEthernet1/0/1上开启MAC地址重认证功能，并配置全局周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 1800

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate

2.2.3 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置端口上MAC地址重认证的定时器参数。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

端口上未配置MAC地址周期性重认证定时器，端口使用全局配置的MAC地址周期性重认证定时器的取值。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

【举例】

# 在端口GigabitEthernet1/0/1上配置MAC地址周期性重认证的时间间隔为90秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication timer reauth-period 90

3 变更特性－配置内核线程死循环检测功能

3.1 特性变更说明

从本版本开始，配置内核线程死循环检测功能时，如下命令行有变更：

· monitor kernel deadloop enable命令的缺省情况从关闭变更为开启，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

· monitor kernel deadloop time命令的缺省值从8秒钟变更为20秒钟。

3.2 命令变更说明

3.2.1 修改-monitor kernel deadloop enable

【命令】

monitor kernel deadloop enable [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，内核线程死循环检测功能处于关闭状态。

修改后：缺省情况下，内核线程死循环检测功能处于开启状态，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

3.2.2 修改-monitor kernel deadloop time

【命令】

monitor kernel deadloop time interval [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，当某内核线程连续运行超过8秒钟，则判定为死循环。

修改后：缺省情况下，当某内核线程连续运行超过20秒钟，则判定为死循环。

Release 3115版本

本版本特性变更情况：

· 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

· 新增特性—配置MAC地址重认证功能

· 变更特性－配置内核线程死循环检测功能

1 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

为支持动态申请IP地址的MAC地址认证用户在计费报文中携带IP地址功能，需要同时配置设备MAC地址认证功能和DHCP Snooping功能。

MAC地址认证功能模块通过IP Source Guard绑定表项获取到用户的IP地址，从而实现发送实时计费报文给RADUIS服务器中携带用户IP地址的功能。

2 新增特性—配置MAC地址重认证功能

2.1 MAC地址重认证功能配置

表1 配置MAC地址重认证功能

配置步骤	命令	说明
进入系统视图	system-view	-
配置周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，周期性重认证定时器的值为3600秒
进入二层以太网接口视图	interface interface-type interface-number	-
开启端口上MAC地址周期性重认证功能	mac-authentication re-authenticate	缺省情况下，周期性重认证功能处于关闭状态
配置端口上周期性重认证定时器	mac-authentication timer reauth-period reauth-period-value	缺省情况下，端口上未配置MAC地址周期性重认证定时器

2.2 MAC地址周期性重认证功能配置命令

2.2.1 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置全局MAC地址周期性重认证的定时器。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

全局周期性重认证定时器的值为3600秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

【举例】

# 配置MAC地址周期性重认证时间间隔150秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 150

2.2.2 mac-authentication re-authenticate

mac-authentication re-authenticate命令用来开启MAC地址周期性重认证功能。

undo mac-authentication re-authenticate命令用来恢复缺省情况。

【命令】

mac-authentication re-authenticate

undo mac-authentication re-authenticate

【缺省情况】

MAC地址周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

【举例】

# 在端口GigabitEthernet1/0/1上开启MAC地址重认证功能，并配置全局周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] mac-authentication timer reauth-period 1800

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication re-authenticate

2.2.3 mac-authentication timer reauth-period

mac-authentication timer reauth-period命令用来配置端口上MAC地址重认证的定时器参数。

undo mac-authentication timer reauth-period命令用来恢复缺省情况。

【命令】

mac-authentication timer reauth-period reauth-period-value

undo mac-authentication timer reauth-period

【缺省情况】

端口上未配置MAC地址周期性重认证定时器，端口使用全局配置的MAC地址周期性重认证定时器的取值。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

【举例】

# 在端口GigabitEthernet1/0/1上配置MAC地址周期性重认证的时间间隔为90秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication timer reauth-period 90

3 变更特性－配置内核线程死循环检测功能

3.1 特性变更说明

从本版本开始，配置内核线程死循环检测功能时，如下命令行有变更：

· monitor kernel deadloop enable命令的缺省情况从关闭变更为开启，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

· monitor kernel deadloop time命令的缺省值从8秒钟变更为20秒钟。

3.2 命令变更说明

3.2.1 修改-monitor kernel deadloop enable

【命令】

monitor kernel deadloop enable [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，内核线程死循环检测功能处于关闭状态。

修改后：缺省情况下，内核线程死循环检测功能处于开启状态，且当系统检测到内核线程死循环，不会自动重启整个系统来解除死循环。

3.2.2 修改-monitor kernel deadloop time

【命令】

monitor kernel deadloop time interval [ slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【修改说明】

修改前：缺省情况下，当某内核线程连续运行超过8秒钟，则判定为死循环。

修改后：缺省情况下，当某内核线程连续运行超过20秒钟，则判定为死循环。

Release 3113版本

本版本特性变更情况如下：

· 新增特性—配置以太网接口桥功能

· 新增特性—关闭可插拔模块告警信息开关

· 新增特性—Web认证

· 新增特性—配置生成树的网管功能

· 新增特性—AAA支持授权IP地址池

· 新增特性－配置端口下802.1X周期性重认证定时器功能

· 新增特性－配置强制端口下所有802.1X在线用户进行重认证功能

· 新增特性—开启向802.1X认证的Critical VLAN用户发送认证成功帧功能

· 新增特性—Triple认证

· 新增特性—开启端口安全Trap功能

· 新增特性－IPsec支持Suite B

· 新增特性－SSH支持Suite B

· 新增特性－公钥管理支持Suite B

· 新增特性－PKI支持Suite B

· 新增特性－SSL支持Suite B

· 新增特性—SAVI

· 新增特性—Packet Capture

· 新增特性—支持动态申请IP地址的802.1X用户在计费报文中携带IP地址功能

· 新增特性—配置端口工作在MAC地址认证的多VLAN模式

· 新增特性－RADIUS DAE服务器功能

· 新增特性—RADIUS服务器探测功能

· 新增特性—RADIUS服务器负载分担功能

· 新增特性—配置端口延迟加入802.1X的Guest VLAN功能

· 新增特性—开启端口发送802.1X协议报文不带Tag功能

· 新增特性—开启802.1X Critical voice VLAN功能

· 新增特性—开启MAC地址认证的Critical voice VLAN功能

· 新增特性—配置端口的MAC地址认证和802.1X认证并行处理功能

· 新增特性—配置RA Guard日志功能

· 新增特性—显示RA Guard的报文统计信息

· 新增特性—清除RA Guard的报文统计信息

· 新增特性—开启RRPP的告警功能

· 新增特性—禁止指定模块日志的输出

· 变更特性—802.1X显示信息新增Critical voice VLAN状态信息

· 变更特性—MAC地址认证显示信息新增Critical voice VLAN状态信息

· 变更特性—显示指定接口当前的运行状态和相关信息

· 变更特性—配置接口上允许发布的TLV类型

· 变更特性—配置RADIUS服务器

· 变更特性－配置SSH客户端的访问控制

· 变更特性—802.1X在线用户数显示方式

· 变更特性—MAC地址认证在线用户数显示方式

· 变更特性－配置本地Portal Web服务器时支持指定HTTPS服务侦听的TCP端口号

· 变更特性－FIPS自检算法

· 变更特性—配置LLDP兼容CDP功能的工作模式

· 删除特性－开启PSE的远程供电功能

1 新增特性—配置以太网接口桥功能

1.1 配置以太网接口桥功能

某端口收到数据报文后，会查找设备上的MAC地址表。若MAC地址表中包含与该报文目的MAC地址对应的表项，但该表项中的转发出端口是接收该报文的端口，设备将直接丢弃该报文。若在该端口上使能了端口桥功能后，上述情况下的报文将不会直接被丢弃，而是通过该端口发送出去。

表1 配置以太网接口桥功能

操作	命令	说明
进入系统视图	system-view	-
进入以太网接口视图	interface interface-type interface-number	-
配置以太网接口桥功能	port bridge enable	缺省情况下，未使能接口桥功能

1.2 配置以太网接口桥功能命令

1.2.1 port bridge enable

port bridge enable命令用来使能接口桥功能。

undo port bridge enable命令用来禁止接口桥功能。

【命令】

port bridge enable

undo port bridge enable

当以太网端口使能了该功能时，从该端口收到的满足以下条件的报文将会从这个端口转发出去：

· 设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项；

· 此对应MAC地址表项中的转发出端口与接收该报文的端口是同一端口。

【举例】

# 在二层以太网接口GigabitEthernet1/0/1上使能接口桥功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port bridge enable

2 新增特性—关闭可插拔模块告警信息开关

2.1 关闭可插拔模块告警信息开关

当设备上插入的光模块的生产或定制厂商不是H3C时，设备会不停打印Trap和Log信息提醒用户，要求用户更换成H3C的光模块，以便管理和维护光模块。而H3C早期销售的光模块，可能没有记录厂商信息，但为了保护用户投资，这样的光模块还能继续正常使用。此时，可以关闭可插拔模块告警信息开关，停止输出相关告警信息。

表2 关闭可插拔模块告警信息开关

操作	命令	说明
进入系统视图	system-view	-
关闭可插拔模块告警信息开关	transceiver phony-alarm-disable	缺省情况下，可插拔模块告警信息开关处于开启状态

2.2 关闭可插拔模块告警信息开关配置命令

2.2.1 transceiver phony-alarm-disable

transceiver phony-alarm-disable命令用来关闭可插拔模块告警信息开关。

undo transceiver phony-alarm-disable命令用来恢复缺省情况。

【命令】

transceiver phony-alarm-disable

undo transceiver phony-alarm-disable

【缺省情况】

可插拔模块告警信息开关处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

【举例】

# 关闭可插拔模块告警信息开关。

<Sysname> system-view

[Sysname] transceiver phony-alarm-disable

3 新增特性—Web认证

3.1 Web认证简介

3.1.1 Web认证概述

在采用了Web认证的组网环境中，未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务；当用户需要访问特定站点之外的其它信息时，必须在本地Portal Web服务器提供的网站上进行Web认证，只有认证通过后才可以访问特定站点之外的设备或资源。

根据是否为用户主动发起认证，可以将Web认证分为主动认证和强制认证两种类型：用户可以主动访问已知的本地Portal Web服务器的网站，输入用户名和密码进行认证，这种开始Portal认证的过程称作主动认证；用户访问任意非本地Portal Web服务器网站时，被强制访问本地Portal Web服务器网站，继而开始Web认证的过程称作强制认证。

Web认证是一种灵活的访问控制技术，可以在接入设备的二层接口上实施访问控制，具有如下优势：

· 可以不安装客户端软件，直接使用Web页面认证，使用方便。

· 可以为网络服务提供者提供方便的管理功能和业务拓展功能，例如网络服务提供者可以在认证页面上开展商业广告、社区服务、信息发布等个性化的业务。

3.1.2 Web认证的系统组成

Web认证的典型组网方式如图1-1所示，它由四个基本要素组成：认证客户端、接入设备、本地Portal Web服务器、AAA服务器。

图1 Web认证系统组成示意图

2.认证客户端

用户终端的客户端系统，为运行HTTP协议的浏览器。

1. 接入设备

交换机、路由器等宽带接入设备的统称，主要有三方面的作用：

· 在认证之前，将用户的所有HTTP请求都重定向到本地Portal Web服务器。

· 在认证过程中，与AAA服务器交互，完成身份认证/授权/计费的功能。

· 在认证通过后，允许用户访问被授权的网络资源。

2. 本地Portal Web服务器

设备作为本地Portal Web服务器，负责向认证客户端提供Web认证页面，并将认证客户端的认证信息（用户名、密码等）提交给接入设备的AAA模块。

3. AAA服务器

与接入设备进行交互，完成对用户的认证、授权和计费。目前RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器可支持对Web认证用户进行认证、授权和计费，以及LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）服务器可支持对Web认证用户进行认证。

3.1.3 Web认证过程

4. Web认证流程

目前，Web认证只支持本地Web认证，即由接入设备作为本地Portal Web服务器向用户提供Web认证服务，具体认证过程如下。

图2 Web认证流程图

(2) Web认证用户通过HTTP协议发起认证请求。HTTP报文经过开启了Web认证功能的接口时会被重定向到本地Portal Web服务器的监听IP地址，本地Portal Web服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal Web服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址（通常为Loopback接口的IP地址）。

(3) 接入设备与AAA服务器之间进行RADIUS协议报文的交互，对用户身份进行验证。

(4) 如果RADIUS认证成功，则接入设备上的本地Portal Web服务器向客户端发送登录成功页面，通知客户端认证（上线）成功。

5. 支持下发授权VLAN

Web认证支持认证服务器下发授权VLAN。当用户通过Web认证后，如果认证服务器上配置了下发VLAN功能，那么认证服务器会将授权VLAN信息下发给接入设备，由接入设备将认证成功的用户加入对应的授权VLAN中，则端口上会生成该用户MAC对应的MAC VLAN表项，若该VLAN不存在，则接入设备首先创建VLAN，而后端口将允许该VLAN的用户报文以不携带tag的方式通过。

通过支持下发授权VLAN，可实现对已认证用户可访问网络资源的控制。

6. 支持Auth-Fail VLAN

Auth-Fail VLAN功能允许用户在认证失败的情况下，可以访问某一特定VLAN中的资源，比如病毒补丁服务器，存储客户端软件或杀毒软件的服务器，进行升级客户端或执行其他一些用户升级程序。这个VLAN称之为Auth-Fail VLAN。

Web认证支持基于MAC的Auth-Fail VLAN，如果接入用户的端口上配置了Auth-Fail VLAN，则端口上会基于认证失败的MAC地址生成相应的MAC VLAN表项，认证失败的用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户可以访问该VLAN中免认证IP的资源，但用户的所有访问非免认证IP的HTTP请求会被重定向到接入设备上进行认证，若用户仍然没有通过认证，则将继续处于Auth-Fail VLAN内；若认证成功，则回到加入Auth-Fail VLAN之前端口所在的VLAN。

用户加入授权VLAN或Auth-Fail VLAN后，需要自动申请或者手动更新客户端IP地址，以保证可以与授权VLAN或Auth-Fail VLAN中的资源互通。若采用自动申请客户端IP地址的方式，则建议配置DHCP分配给客户端的IP地址的租约期限取60s。

7. 支持ACL下发

ACL（Access Control List，访问控制列表）提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时，如果服务器上配置了授权ACL，则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制；在服务器上配置授权ACL之前，需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

3.2 Web认证配置任务简介

表3 Web认证配置任务简介

配置任务	说明	详细配置
配置Web认证服务器	必选	1.3.1
指定Web认证用户使用的认证域	可选	1.3.2
开启Web认证功能	必选	1.3.3
配置Web认证用户免认证IP地址	可选	1.3.4
配置Web认证最大用户数	可选	1.3.5
开启Web认证用户在线探测功能	可选	1.3.6
配置Web认证的Auth-Fail VLAN	可选	1.3.7
配置Web认证支持Web代理	可选	1.3.8

3.3 配置准备

目前设备支持两种方式的Web认证，在接入设备上进行本地认证和通过RADIUS服务器进行远程认证。

本地认证方式进行Web认证：当选用本地认证方式进行Web认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码。

RADIUS服务器认证方式进行Web认证：当选用RADIUS服务器认证方式进行Web认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成Web认证。Web认证的配置前提：

· RADIUS服务器已安装并配置成功。

· 本地Portal Web服务器已配置完成，有关本地Portal Web服务器的相关配置请参见“安全配置指导”中的“Portal”。

· 用户、接入设备和RADIUS服务器之间路由可达。

· 如果通过远端RADIUS服务器进行认证，则需要在RADIUS服务器上配置相应的用户名和密码，然后在接入设备端进行RADIUS客户端的相关设置。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。

3.3.1 配置Web认证服务器

Web认证使用本地Portal Web服务器对认证用户提供认证页面，因此需要将设备上一个与Web客户端路由可达的三层接口IP地址指定为本地Portal Web服务器的监听IP地址，并强烈建议使用设备上空闲的Loopback接口的IP地址，利用LoopBack接口状态稳定的优点，避免因为接口故障导致用户无法打开认证页面的问题。另外，由于发送到LoopBack接口的报文不会被转发到网络中，当请求上线的用户数目较大时，可减轻对系统性能的影响。

配置的Web认证服务器的IP地址和端口号必须与重定向URL中配置的IP地址和端口号保持一致，同时也必须与本地Portal Web服务器中配置的侦听端口号保持一致。

表4 配置Web认证服务器

操作	命令	说明
进入系统视图	system-view	-
创建Web认证服务器，并进入Web认证服务器视图	web-auth server server-name	缺省情况下，不存在Web认证服务器
配置Web认证服务器的URL重定向	url url-string	缺省情况下，Web认证服务器下不存在URL重定向
配置Web认证服务器的IP地址	ip ipv4-address port port-number	缺省情况下，不存在Web认证服务器的IP地址和端口号

3.3.2 指定Web认证用户使用的认证域

通过在指定接口上配置Web认证用户使用的认证域，使得所有从该接口接入的Web认证用户被强制使用指定的认证域来进行认证、授权和计费。即使Web认证用户输入的用户名中携带的域名相同，接入设备的管理员也可以通过该配置对不同接口指定不同的认证域，从而增加了管理员部署Portal接入策略的灵活性。

从指定接口接入的Web认证用户将按照如下先后顺序选择认证域：接口上指定的Web认证用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于缺省ISP域的相关介绍请参见“安全配置指导”中的“AAA”。

表5 指定Web认证用户使用的认证域

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
Web认证用户使用的认证域	web-auth domain domain-name	缺省情况下，未指定Web认证用户使用的认证域

3.3.3 开启Web认证功能

为使Web认证功正常运行，不建议在接口上开启Web认证的同时开启端口安全功能和配置端口安全模式。

表6 开启Web认证功能

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
开启Web认证功能，并指定引用的Web认证服务器	web-auth enable apply server server-name	缺省情况下，Web认证功能处于关闭状态

3.3.4 配置Web认证用户免认证IP地址

在设备上配置此功能后，Web认证用户无需认证即可访问免认证IP地址网段中的资源。

表7 Web认证用户免认证IP地址

操作	命令	说明
进入系统视图	system-view	-
配置Web认证用户免认证IP地址	web-auht free-ip ip-address { mask-length \| mask }	缺省情况下，不存在Web认证用户免认证IP地址

3.3.5 配置Web认证最大用户数

如果配置Web认证最大用户数小于当前已经在线的Web认证用户数，则配置可以执行成功，且在线Web认证用户不受影响，但系统将不允许新的Web认证用户接入。

表8 配置Web认证最大用户数

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置Web认证最大用户数	web-auth max-user max-number	缺省情况下，默认最大用户限制为1024

3.3.6 开启Web认证用户在线探测功能

在接口上开启此功能后，设备会以此命令指定的间隔定期检测此接口上所有在线用户的MAC地址表项是否被刷新过，若检测到某用户的MAC地址表项未被刷新过或者已经老化，则认为一次检测失败，若连续两次检测失败，设备将强制该用户下线。

由于设备进行检测时若发现用户MAC地址表项已经老化，则会认为检测失败，因此，为避免这种无效检测，建议配置的检测时间间隔等于用户MAC地址表项的老化时间。

表9 开启Web认证用户在线探测功能

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
开启Web认证用户在线探测功能	web-auth offline-detect interval interval	缺省情况下，Web认证用户在线探测功能处于关闭状态

3.3.7 配置Web认证的Auth-Fail VLAN

接口上配置此功能后，认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源，需将资源服务器所在的IP地址设为免认证IP。

为使此功能生效，必须开启接口上的MAC VLAN功能，并将Auth-Fail VLAN的网段设为免认证IP。

因为MAC VLAN功能仅在Hybrid端口上生效，所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

如果某个VLAN被指定为Super VLAN，则该VLAN不能被指定为某个接口的Web认证的Auth-Fail VLAN；同样，如果某个VLAN被指定为某个接口的Web认证的Auth-Fail VLAN，则该VLAN不能被指定为Super VLAN。

禁止删除已被配置为Auth-Fail VLAN的VLAN，若要删除该VLAN，请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

表10 配置Web认证的Auth-Fail VLAN

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置Web认证的Auth-Fail VLAN	web-auth auth-fail vlan authfail-vlan-id	缺省情况下，不存在Web认证的Auth-Fail VLAN

3.3.8 配置Web认证支持Web代理

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Web认证。若用户使用配置了Web代理服务器的浏览器上网，则用户的这类HTTP请求报文将被丢弃，而不能触发Web认证。这种情况下，网络管理员可以通过在设备上添加Web认证代理服务器的TCP端口号，来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Web认证。

多次配置本命令可以添加多个Web认证代理服务器的TCP端口号。

配置Web认证代理服务器的TCP端口号时，需要注意的是：

· 如果用户浏览器采用WPAD（Web Proxy Auto-Discovery，Web代理服务器自动发现）方式自动配置Web代理，则不仅需要网络管理员在设备上添加Web代理服务器端口，还需要配置免认证规则，允许目的IP为WPAD主机IP地址的用户报文免认证。

· 除了网络管理员需要在设备上添加指定的Web代理服务器端口，还需要用户在浏览器上将设备的本地Portal Web服务器监听IP地址配置为Web代理服务器的例外地址，避免Web认证用户发送给本地Portal Web服务器的HTTP报文被发送到Web代理服务器上，从而影响正常的Web认证。

表11 配置允许触发Web认证的Web代理服务器端口

操作	命令	说明
进入系统视图	system-view
配置允许触发Web认证的Web代理服务器端口	web-auth proxy port port-number	缺省情况下，不存在允许触发Web认证的Web代理服务器端口

3.4 Web认证显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后Portal的运行情况，通过查看显示信息验证配置的效果。

表12 Web认证显示和维护

操作	命令
显示接口上Web认证置信息	display web-auth [ interface interface-type interface-number ]
显示所有Web认证用户免认证的IP地址	display web-auth free-ip
显示所有Web认证服务器信息	display web-auth server [ server-name ]
显示在线Web认证用户的信息和总数	display web-auth user [ interface interface-type interface-number \| slot slot-number ]

3.5 Web认证典型配置

3.5.1 采用本地认证方式进行Web认证的配置举例

1.组网需求

用户主机与接入设备直接相连，接入设备在接口GigabitEthernet1/0/1上对用户进行Web认证。具体要求如下：

· 使用本地认证方式进行认证和授权；

· Web认证服务器的监听IP地址为LoopBack 0接口IP地址，TCP端口号为80。设备向Web认证用户推出自定义的认证页面，并使用HTTP协议传输认证数据；

· 配置Web认证服务器的重定向URL为http://20.20.0.1/portal/；

· 配置接入设备LoopBack0接口的IP地址为20.20.0.1/24；

· 配置接口GigabitEthernet1/0/1的链路类型为hybrid。

2.组网图

图3 Web认证对接入用户进行本地认证

3.配置步骤

· 按照组网图配置设备各接口的IP地址，保证启动Web认证之前主机和设备之间的路由可达。

· 按照自定义认证页面文件编辑规范，完成认证页面的编辑。并上传到设备存储介质的根目录下。

(1) 配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型（略）。

(2) 配置本地用户。

# 创建名称为user1的网络接入类本地用户，并进入其视图。

<Device>system-view

[Device] local-user user1 class network

# 配置设备管理类本地用户user1的密码为明文user1@#。

[Device-luser-network-user1] password simple user1@#

# 配置设备管理类用户可以使用lan-access服务。

[Device-luser-network-user1] service-type lan-access

# 配置设备管理类本地用户user1的授权用户角色为network-admin。

[Device-luser-network-user1] authorization-attribute user-role network-admin

[Device-luser-network-user1] quit

(3) 配置IPS域

# 创建一个名称为local的ISP域，并进入其视图。

[Device] domain local

# 为lan-access用户配置认证、授权和计费方法均为local。

[Device-isp-local] authentication lan-access local

[Device-isp-local] authorization lan-access local

[Device-isp-local] accounting lan-access local

[Device-isp-local] quit

(4) 配置本地Portal Web服务器

# 创建本地Portal Web 服务器，进入本地Portal Web服务器视图，并指定使用HTTP协议和客户端交互认证信息。

[Device] portal local-web-server http

# 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip（设备的存储介质的根目录下必须已存在该认证页面文件，否则功能不生效）。

[Device-portal-local-websvr-http] default-logon-page abc.zip

# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。

[Device–portal-local-websvr-http] tcp-port 80

[Device-portal-local-websvr-http] quit

(5) 配置Web认证

# 创建名称为user的Web认证服务器，并进入其视图。

[Device] web-auth server user

# 配置Web认证服务器的重定向URL为http://20.20.0.1/portal/。

[Device-web-auth-server-user] url http://20.20.0.1/portal/

# 配置Web认证服务器的IP地址为20.20.0.1，端口为80。

[Device-web-auth-server-user] ip 20.20.0.1 port 80

[Device-web-auth-server-user] quit

# 指定Web认证用户使用的认证域为local。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] web-auth domain local

# 开启Web认证，并指定引用的Web认证服务器为user。

[Device-GigabitEthernet1/0/1] web-auth enable apply server user

[Device-GigabitEthernet1/0/1] quit

4.验证配置举例

以上配置完成且Web认证成功后，通过执行以下显示命令可查看在线Web认证用户的信息。

<Device> display web-auth user

Online web-auth users: 1

User Name: user1

MAC address: acf1-df6c-f9ad

Access interface: GigabitEthernet1/0/1

Initial VLAN: 14

Authorization VLAN: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

3.5.2 采用AAA服务器认证方式进行Web认证的配置举例

1.组网需求

用户主机与接入设备直接相连，接入设备在接口GigabitEthernet1/0/1上对用户进行Web认证。具体要求如下：

· 使用远程RADIUS服务器进行认证、授权和计费；

· Web认证服务器的监听IP地址为LoopBack 0接口IP地址，TCP端口号为80。设备向Web认证用户推出自定义的认证页面，并使用HTTP协议传输认证数据；

· 配置Web认证服务器的重定向URL为http://20.20.0.1/portal/；

· 配置接入设备LoopBack0接口的IP地址为20.20.0.1/24；

· 配置接口GigabitEthernet1/0/1的链路类型为hybrid。

2.组网图

图4 Web认证对接入用户进行RADIUS认证

3.配置步骤

· 按照组网图配置设备各接口的IP地址，保证启动Web认证之前各主机、服务器和设备之间的路由可达。

· 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行，用户名为user1。

· 按照自定义认证页面文件编辑规范，完成认证页面的编辑。并上传到设备存储介质的根目录下。

(6) 配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型（略）。

(7) 配置RADIUS方案

# 创建名称为rs1的RADIUS方案并进入该方案视图。

<Device> system-view

[Device] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Device-radius-rs1] primary authentication 192.168.0.112

[Device-radius-rs1] primary accounting 192.168.0.112

[Device-radius-rs1] key authentication simple radius

[Device-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Device-radius-rs1] user-name-format without-domain

[Device-radius-rs1] quit

(8) 配置认证域

# 创建并进入名称为dm1的ISP域。

[Device] domain dm1

# 配置ISP域使用的RADIUS方案rs1。

[Device-isp-dm1] authentication portal radius-scheme rs1

[Device-isp-dm1] authorization portal radius-scheme rs1

[Device-isp-dm1] accounting portal radius-scheme rs1

[Device-isp-dm1] quit

(9) 配置本地Portal Web服务器

# 创建本地Portal Web 服务器，进入本地Portal Web服务器视图，并指定使用HTTP协议和客户端交互认证信息。

[Device] portal local-web-server http

# 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip（设备的存储介质的根目录下必须已存在该认证页面文件，否则功能不生效）。

[Device-portal-local-websvr-http] default-logon-page abc.zip

# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。

[Device–portal-local-websvr-http] tcp-port 80

[Device-portal-local-websvr-http] quit

(10) 配置Web认证

# 创建名称为user的Web认证服务器，并进入其视图。

[Device] web-auth server user

# 配置Web认证服务器的重定向URL为http://20.20.0.1/portal/。

[Device-web-auth-server-user] url http://20.20.0.1/portal/

# 配置Web认证服务器的IP地址为20.20.0.1，端口为80。

[Device-web-auth-server-user] ip 20.20.0.1 port 80

[Device-web-auth-server-user] quit

# 指定Web认证用户使用的认证域为dm1。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] web-auth domain dm1

# 开启Web认证，并指定引用的Web认证服务器为user。

[Device-GigabitEthernet1/0/1] web-auth enable apply server user

[Device-GigabitEthernet1/0/1] quit

4.验证配置举例

以上配置完成且Web认证成功后，通过执行以下显示命令可查看在线Web认证用户的信息。

<Device> display web-auth user

Online web-auth users: 1

User Name: user1

MAC address: acf1-df6c-f9ad

Access interface: GigabitEthernet1/0/1

Initial VLAN: 14

Authorization VLAN: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

3.6 Web认证配置命令

3.6.1 display web-auth

display web-auth命令用来显示接口上Web认证的配置信息。

【命令】

display web-auth [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number：显示指定接口上Web认证的配置信息。其中interface-type interface-number表示接口类型和接口编号。若不指定本参数，则显示设备上所有Web认证的配置信息。

【举例】

# 显示接口GigabitEthernet1/0/1上Web认证的配置信息。

<Sysname> display web-auth interface gigabitethernet 1/0/1

Global Web-auth parameters:

Proxy Port Numbers : Not configured

Online web-auth users: 0

Gigabitethernet 1/0/1 is link-up

Port role : Authenticator

Web-auth domain : my-domain

Auth-Fail VLAN : Not configured

Offline-detect : Not configured

Max online users : 1024

Web authentication : Enabled

Online web-auth users: 0

表13 display web-auth命令显示信息描述表

字段	描述
interface is link-up	接口的状态，包括如下取值： · link-up：接口管理状态和物理状态均为开启 · link-down：接口处于关闭状态
Offline-detect	Web认证用户在线检测的时间间隔
Max online users	允许同时接入的Web认证最大用户数
Web-auth domain	Web认证用户使用的ISP域
Auth-fail VLAN	Web认证的认证失败VLAN
Web authentication	Web认证功能的开启状态，包括如下取值： · Enabled：开启 · Disabled：关闭

【相关命令】

· web-auth server

· web-auth max-user

· web-auth free-ip

· web-auth auth-fail

· web-auth domain

· web-auth offline-detect

· web-auth enable

3.6.2 display web-auth free-ip

display web-auth free-ip命令用来显示所有Web认证用户免认证的IP地址。

【命令】

display web-auth free-ip

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

无

【举例】

# 显示所有Web认证用户免认证的IP地址。

<Sysname> display web-auth free-ip

Free IP

: 1.1.0.0 255.255.0.0

: 1.2.0.0 255.255.0.0

【相关命令】

· web-auth free-ip

3.6.3 display web-auth server

display web-auth server命令用来显示Web认证服务器信息。

【命令】

display web-auth server [ server-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

server-name：Web认证服务器的名称，为1～32个字符的字符串，区分大小写。若不指定此参数，则显示设备上所有Web认证服务器的信息。

【举例】

# 显示Web认证服务器aaa的信息。

<Sysname> display web-auth server aaa

Web-auth server: aaa

IP : 8.8.8.8

Port : 80

URL : http://8.8.8.8/portal/

URL parameters : Not configured

表14 display web-auth server命令显示信息描述表

字段	描述
Web-auth server	Web认证服务器名称
IP	Web认证服务器的IP地址
Port	Web认证服务器的端口号
URL	Web认证服务器的重定向URL
URL parameters	设备重定向给用户的URL中携带的参数信息。（暂不支持）

【相关命令】

· web-auth server

· ip

· url

3.6.4 display web-auth user

display web-auth user命令用来显示在线Web认证用户的信息。

【命令】

display web-auth user [ interface interface-type interface-number | slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number：显示指定接口上在线Web认证用户的信息。其中interface-type interface-number表示接口类型和接口编号。若不指定该参数，则表示设备上所有接口上在线用户的信息。

slot slot-number：显示指定成员设备上所有接口在线Web认证用户的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数，则表示所有成员设备上在线Web认证用户的信息。

【举例】

# 显示接口GigabitEthernet1/0/1上在线用户的信息。

<Sysname> display web-auth user interface gigabitethernet 1/0/1

Online web-auth users: 1

User Name: user1

MAC address: a036-9f5c-74b2

Access interface: GigabitEthernet1/0/1

Initial VLAN: 1

Authorization VLAN: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

表15 display web-auth user命令显示信息描述表

字段	描述
User Name	在线用户的用户名
MAC address	在线用户的MAC地址
Access interface	在线用户所接入的接口
Authorization VLAN	授权在线用户的VLAN ID
Total 1 user matched	显示在线用户总数

3.6.5 ip

ip命令用来配置Web认证服务器的IP地址和端口号。

undo ip命令用来恢复缺省情况。

【命令】

ip ipv4-address port port-number

undo ip

【缺省情况】

不存在Web认证服务器的IP地址和端口号。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：表示Web认证服务器的IPv4地址，该地址为接入设备上一个与Web认证用户路由可达的三层接口IP地址。

port port-number：指定Web认证服务器的端口。port-number是端口号，取值范围为1～65535。

【使用指导】

此命令配置的IP地址和端口号必须与url命令中配置的IP地址和端口号保持一致，同时也必须与本地Portal Web服务器中配置的侦听端口号保持一致。有关本地Portal Web服务器的详细介绍请参见“安全配置指导”中的“Portal”。

配置的IP地址推荐使用LoopBack接口地址，利用LoopBack接口状态稳定的优点，避免因为接口故障导致用户无法打开认证页面的问题。另外，由于发送到LoopBack接口的报文不会被转发到网络中，当请求上线的用户数目较大时，可减轻对系统性能的影响。

同一个Web认证服务器视图下多次执行本命令，最后一次执行的命令生效。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

# 配置Web认证服务器wbs的IP地址为192.168.1.1，端口为8080。

[Sysname-web-auth-server-wbs] ip 192.168.1.1 port 8080

【相关命令】

· url

· tcp-port（安全命令参考/Portal）

3.6.6 url

url命令用来配置Web认证服务器的重定向URL。

undo url命令用来恢复缺省情况。

【命令】

url url-string

undo url

【缺省情况】

不存在Web认证服务器的重定向URL。

【视图】

Web认证服务器视图

【缺省用户角色】

network-admin

【参数】

url-string：表示Web认证服务器的重定向URL，为1～256个字符的字符串，区分大小写。

【使用指导】

本命令配置的Web认证服务器重定向URL是可以用标准HTTP或者HTTPS协议访问的URL，它必须以http://或者https://开头。如果该URL未以http://或者https://开头，则缺省以http://开头。

【举例】

# 进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

#配置Web认证服务器wbs的重定向URL为http://192.168.1.1:80/portal/。

[Sysname-web-auth-server-wbs] url http://192.168.1.1:80/portal/

【相关命令】

· ip

· tcp-port（安全命令参考/Portal）

3.6.7 web-auth auth-fail vlan

web-auth auth-fail vlan命令用来配置Web认证的Auth-Fail VLAN。

undo web-auth auth-fail vlan命令用来恢复缺省情况。

【命令】

web-auth auth-fail vlan authfail-vlan-id

undo web-auth auth-fail vlan

【缺省情况】

不存在Web认证的Auth-Fail VLAN。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

authfail-vlan-id：表示Web认证的Auth-Fail VLAN ID，取值范围为1～4094，该VLAN必须已经存在。

【使用指导】

接口上配置此功能后，认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源，需将资源服务器所在的IP地址设为免认证IP。

为使此功能生效，必须使能接口上的MAC VLAN功能，并将Auth-Fail VLAN的网段设为免认证IP。

因为MAC VLAN功能仅在Hybrid端口上生效，所以Web认证的Auth-Fail VLAN功能也只能在Hybrid端口上生效。

当用户认证失败后，会把用户的MAC地址与Auth-fail VLAN进行绑定。

禁止删除已被配置为Auth-Fail VLAN的VLAN，若要删除该VLAN，请先通过undo web-auth auth-fail vlan命令取消Web认证的 Auth-Fail VLAN配置。

【举例】

# 配置接口GigabitEthernet1/0/1上的Web认证的Auth-Fail VLAN为VLAN 5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] port link-type hybrid

[Sysname–GigabitEthernet1/0/1] mac-vlan enable

[Sysname–GigabitEthernet1/0/1] web-auth auth-fail vlan 5

【相关命令】

· display web-auth

3.6.8 web-auth domain

web-auth domain命令用来指定Web认证用户使用的认证域。

undo web-auth domain命令用来恢复缺省情况。

【命令】

web-auth domain domain-name

undo web-auth domain

【缺省情况】

未指定Web认证用户认证使用的认证域。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

domain-name：ISP认证域名，为1～24个字符的字符串，不区分大小写。

【使用指导】

在接口上执行此命令后，使得所有从该接口接入的Web认证用户强制使用该认证域。

【举例】

# 指定从接口GigabitEthernet1/0/1上接入的Web认证用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname–GigabitEthernet1/0/1] web-auth domain my-domain

3.6.9 web-auth enable

web-auth enable命令用来开启Web认证功能。

undo web-auth enable命令用来关闭Web认证功能。

【命令】

web-auth enable apply server server-name

undo web-auth enable

【缺省情况】

Web认证功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

server-name：表示引用的Web认证服务器的名称，为1～32个字符的字符串，区分大小写。

【使用指导】

此命令用来开启Web认证功能，并指定引用的Web认证服务器。

为使Web认证功正常运行，不建议在接口上开启Web认证的同时开启端口安全功能和配置端口安全模式。

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证功能，并指定引用的Web认证服务器为wbs。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth enable apply server wbs

【相关命令】

· web-auth server

3.6.10 web-auth free-ip

web-auth free-ip命令用来配置Web认证用户免认证的IP地址。

undo web-auth free-ip命令用来恢复缺省情况。

【命令】

web-auth free-ip ip-address { mask-length | mask }

undo web-auth free-ip { ip-address { mask-length | mask } | all }

【缺省情况】

不存在Web认证用户免认证的IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address：Web认证用户免认证网段的IP地址。

mask-length：Web认证用户免认证网段IP地址的掩码长度，取值范围为0～32。

mask：Web认证用户免认证网段IP地址的子网掩码，点分十进制格式。

all：所有Web认证用户免认证网段。

【使用指导】

在设备上执行此命令后，Web认证用户无需认证即可访问此命令指定IP地址网段中的资源。

可通过重复执行此命令来配置多个Web认证用户免认证的IP地址。

【举例】

# 配置Web认证用户免认证的IP地址为192.168.0.0/24。

<Sysname> system-view

[Sysname] web-auth free-ip 192.168.0.0 24

3.6.11 web-auth max-user

web-auth max-user命令用来配置Web认证最大用户数。

undo web-auth max-user命令用来恢复缺省情况。

【命令】

web-auth max-user max-number

undo web-auth max-user

【缺省情况】

配置Web认证最大用户为1024。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

max-number：表示接口上允许同时可接入的最大Web认证用户数，取值范围为1~2048。

【使用指导】

如果配置的Web认证最大用户数小于当前已经在线的Web认证用户数，则该命令可以执行成功，且在线Web认证用户不受影响，但系统将不允许新的Web认证用户接入。

该命令指定的最大用户数仅为IPv4 Web认证用户数。

【举例】

# 在接口GigabitEthernet1/0/1上配置Web认证最大用户数为32。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth max-user 32

【相关命令】

· display web-auth

3.6.12 web-auth offline-detect

web-auth offline-detect命令用来开启Web认证用户的在线检测功能。

undo web-auth offline-detect命令用来关闭Web认证用户的在线检测功能。

【命令】

web-auth offline-detect interval interval

undo web-auth offline-detect interval

【缺省情况】

Web认证用户在线检测功能处于关闭状态。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

interval：指定用户在线检测时间间隔，取值范围为60～65535，单位为秒。

【使用指导】

【举例】

# 在接口GigabitEthernet1/0/1上开启Web认证用户的在线检测功能，并指定在线检测的时间间隔为3600秒。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] web-auth offline-detect interval 3600

3.6.13 web-auth proxy port

web-auth proxy port命令用来配置允许触发Web认证的Web代理服务器端口。

undo web-auth proxy port命令用来删除指定的或所有的Web认证的Web代理服务器端口。

【命令】

web-auth proxy port port-number

undo web-auth proxy port { port-number | all }

【缺省情况】

不存在Web认证的Web代理服务器端口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

port-number：Web认证的Web代理服务器的TCP端口号，取值范围为1～65535。

all：指定所有Web认证的Web代理服务器的TCP端口号。

【使用指导】

设备默认只允许未配置Web代理服务器的用户浏览器发起的HTTP请求才能触发Portal认证。若用户使用配置了Web代理服务器的浏览器上网，则用户的这类HTTP请求报文将被丢弃，而不能触发Portal认证。这种情况下，网络管理员可以通过在设备上添加Web认证的Web代理服务器的TCP端口号，来允许使用Web代理服务器的用户浏览器发起的HTTP请求也可以触发Portal认证。

多次配置本命令可以添加多个Web认证的Web代理服务器的TCP端口号。

配置Web认证的Web代理服务器的TCP端口号，需要注意的是：

· 除了网络管理员需要在设备上添加指定的Web代理服务器端口，还需要用户在浏览器上将设备的本地Portal Web服务器监听IP地址配置为Web代理服务器的例外地址，避免Web认证用户发送给本地Portal Web服务器的HTTP报文被发送到Web代理服务器上，从而影响正常的Portal认证。

【举例】

# 配置Web认证的Web代理服务器的TCP端口号。

<Sysname> system-view

[Sysname] web-auth proxy port 7777

3.6.14 web-auth server

web-auth server命令用来创建Web认证服务器，并进入Web认证服务器视图。如果指定的Web认证服务器已经存在，则直接进入Web认证服务器视图。

undo web-auth server命令用来删除指定的Web认证服务器。

【命令】

web-auth server server-name

undo web-auth server server-name

【缺省情况】

不存在Web认证服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name：表示Web认证服务器的名称，为1～32个字符的字符串，区分大小写。

【使用指导】

在Web认证服务器视图下可以配置Web认证服务器侦听的IP地址、重定向URL。

【举例】

# 创建Web认证服务器，并进入Web认证服务器视图。

<Sysname> system-view

[Sysname] web-auth server wbs

[Sysname-web-auth-server-wbs]

【相关命令】

web-auth enable apply server

4 新增特性—配置生成树的网管功能

4.1 配置生成树的网管功能

开启生成树的告警功能之后，生成树会生成告警信息，用于报告本模块的重要事件。生成的告警信息将发送至SNMP模块，通过配置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”。

表16 开启生成树的告警功能

操作	命令	说明
进入系统视图	system-view	-
开启生成树的告警功能	snmp-agent trap enable stp [ new-root \| tc ]	缺省情况下，生成树的new-root告警功能处于关闭状态。在MSTP模式下，生成树的TC告警功能在MSTI 0中处于开启状态，在其他MSTI中处于关闭状态；在PVST模式下，生成树的TC告警功能在所有VLAN中处于关闭状态
配置在PVST模式下设备检测或接收到TC报文时打印日志信息	stp log enable tc	缺省情况下，PVST模式下设备检测或接收到TC报文后，不打印日志信息

4.2 配置生成树的告警功能命令

4.2.1 snmp-agent trap enable stp

snmp-agent trap enable stp命令用来开启生成树的告警功能。

undo snmp-agent trap enable stp命令用来关闭生成树的告警功能。

【命令】

snmp-agent trap enable stp

undo snmp-agent trap enable stp

【缺省情况】

生成树的new-root告警功能处于关闭状态。在MSTP模式下，生成树的TC告警功能在MSTI 0中处于开启状态，在其他MSTI中处于关闭状态；在PVST模式下，生成树的TC告警功能在所有VLAN中处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

new-root：在STP、RSTP或MSTP模式下，当设备在任意实例中由非根桥被选举为根桥后，打印Trap信息。

tc：在PVST模式下，当端口检测或接收到TC报文后，打印Trap信息。该参数只能控制PVST模式下的TC告警功能。

【使用指导】

执行该命令时，如果未指定任何参数：

· 在STP、RSTP或MSTP模式下，表示开启或关闭生成树的new-root告警功能。

· 在PVST模式下，表示开启或关闭生成树的TC告警功能。

【举例】

# 配置当设备在任意实例中由非根桥被选举为根桥后，打印Trap信息。

<Sysname> system-view

[Sysname] snmp-agent trap enable stp new-root

【相关命令】

· stp log enable tc

4.2.2 stp log enable tc

stp log enable tc命令用来配置在PVST模式下设备检测或接收到TC报文时打印日志信息。

undo stp log enable tc命令用来恢复缺省情况。

【命令】

stp log enable tc

undo stp log enable tc

【缺省情况】

PVST模式下设备检测或接收到TC报文后，不打印日志信息。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本命令仅在PVST模式下生效。

【举例】

# 配置在PVST模式下，设备检测或接收到TC报文，打印日志信息。

<Sysname> system-view

[Sysname] stp log enable tc

【相关命令】

· snmp-agent trap enable stp

5 新增特性—AAA支持授权IP地址池

5.1 AAA支持授权IP地址池功能配置

该功能使得认证成功的用户可以从指定的地址池中分配得到一个IPv4地址或IPv6地址。

表1-1 配置IP地址池授权属性（ISP域）

操作	命令	说明
进入系统视图	system-view	-
进入ISP域视图	domain isp-name	-
配置ISP域的IP地址池授权属性	authorization-attribute { ip-pool pool-name \| ipv6-pool ipv6-pool-name }	缺省情况下，未设置ISP域的授权属性

表1-2 配置IP地址池授权属性（本地用户）

操作	命令	说明
进入系统视图	system-view	-
进入本地用户视图	local-user user-name [ class { manage \| network } ]	-
配置本地用户的IP地址池授权属性	authorization-attribute { ip-pool pool-name \| ipv6-pool ipv6-pool-name } *	缺省情况下，未设置本地用户的授权属性

表1-3 配置IP地址池授权属性（用户组）

操作	命令	说明
进入系统视图	system-view	-
进入用户组视图	user-group group-name	-
配置用户组的IP地址池授权属性	authorization-attribute { ip-pool pool-name \| ipv6-pool ipv6-pool-name } *	缺省情况下，未设置用户组的授权属性

5.2 AAA支持授权IP地址池功能配置命令

5.2.1 authorization-attribute (ISP domain view)

authorization-attribute { ip-pool | ipv6-pool }命令用来配置IP地址池授权属性。

undo authorization-attribute { ip-pool | ipv6-pool }命令用来删除指定的IP地址池授权属性。

【命令】

authorization-attribute { ip-pool pool-name | ipv6-pool ipv6-pool-name }

undo authorization-attribute { ip-pool | ipv6-pool }

【缺省情况】

未设置授权属性。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ip-pool pool-name：指定为用户分配IPv4地址的地址池。其中，pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6-pool ipv6-pool-name：指定为用户分配IPv6地址的地址池。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

【举例】

# 在ISP域test下，配置名称为pool1的IPv4地址池授权属性。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute ip-pool pool1

5.2.2 authorization-attribute (Local user view/user group view)

authorization-attribute { ip-pool | ipv6-pool } *命令用来配置IP地址池授权属性。

undo authorization-attribute { ip-pool | ipv6-pool } *命令用来删除指定的IP地址池授权属性。

【命令】

authorization-attribute { ip-pool pool-name | ipv6-pool ipv6-pool-name } *

undo authorization-attribute { ip-pool | ipv6-pool } *

【缺省情况】

未设置授权属性。

【视图】

本地用户视图

用户组视图

【缺省用户角色】

network-admin

【参数】

ip-pool pool-name：指定为用户分配IPv4地址的地址池。其中，pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6-pool ipv6-pool-name：指定为用户分配IPv6地址的地址池。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

【举例】

# 配置网络接入类本地用户abc的授权IPv4地址池为pool1。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute ip-pool pool1

# 配置用户组abc的授权IPv4地址池为pool2。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute ip-pool pool2

6 新增特性－配置端口下802.1X周期性重认证定时器功能

6.1 配置端口下802.1X周期性重认证定时器功能

端口下开启了周期性重认证功能后（通过命令dot1x re-authenticate），设备将周期性地对该端口上认证成功的802.1X用户发起重认证。对于已在线的802.1X用户，要等当前重认证周期结束并且认证通过后才会按照新配置的周期进行后续的重认证。

端口下配置的周期性重认证定时器优先级高于全局配置的周期性重认证定时器。

表17 配置端口下重认证定时器

配置步骤	命令	说明
进入系统视图	system-view	-
进入二层以太网接口视图	interface interface-type interface-number	-
配置周期性重认证定时器	dot1x timer reauth-period reauth-period-value	缺省情况下，周期性重认证定时器的值为3600秒

6.2 端口下802.1X周期性重认证定时器配置命令

6.2.1 dot1x timer reauth-period

dot1x timer reauth-period命令用来配置端口下802.1X的重认证时间间隔。

undo dot1x timer reauth-period命令用来恢复缺省情况。

【命令】

dot1x timer reauth-period reauth-period-value

undo dot1x timer reauth-period

【缺省情况】

端口下周期性重认证定时器的值默认为3600秒。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

reauth-period-value：周期性重认证定时器的值，取值范围60～7200，单位为秒。

【使用指导】

端口下开启了周期性重认证功能（通过命令dot1x re-authenticate）后，设备以此间隔为周期对端口上认证成功的802.1X用户发起重认证。对于已在线的802.1X用户，要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

802.1X认证用户进行重认证时，设备将按照如下由高到低的顺序为其选择周期性重认证超时间隔时间：服务器下发的重认证时间、接口下配置的重认证时间、全局配置的重认证时间、设备缺省的重认证时间。

【举例】

# 在端口GigabitEthernet1/0/1上配置802.1X周期性重认证定时器超时时长为60s。

[Sysname] interface gabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x timer reauth-period 60

【相关命令】

dot1x timer

7 新增特性－配置强制端口下所有802.1X在线用户进行重认证功能

7.1 配置强制端口下所有802.1X在线用户进行重认证功能

配置了强制端口下所有802.1X在线用户进行重认证功能后，端口下的所有802.1X在线用户依次进行重认证操作，不论服务器是否下发重认证或端口下是否开启了周期性重认证功能，强制重认证功能都会正常执行。

端口对用户进行重认证过程中，重认证服务器不可达时端口上的802.1X用户状态均由端口上的配置（通过命令dot1x re-authenticate server-unreachable keep-online）决定。

表18 配置强制端口下所有802.1X在线用户进行重认证功能

配置步骤	命令	说明
进入系统视图	system-view	-
进入二层以太网接口视图	interface interface-type interface-number	-
配置强制端口下所有802.1X在线用户进行重认证功能	dot1x re-authenticate manual	-

7.2 配置强制端口下所有802.1X在线用户进行重认证功能命令

7.2.1 dot1x re-authenticate manual

dot1x re-authenticate manual命令用来强制端口下所有802.1X在线用户进行重认证。

【命令】

dot1x re-authenticate manual

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【举例】

# 强制接口GigabitEthernet1/0/1下所有802.1X在线用户进行重认证。

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate manual

【相关命令】

dot1x re-authenticate

8 新增特性—开启向802.1X认证的Critical VLAN用户发送认证成功帧功能

8.1 开启向802.1X认证的Critical VLAN用户发送认证成功帧功能

在接口上未配置此命令的情况下，当802.1X用户因认证服务器不可达而被加入Critical VLAN之后，设备会向客户端发送EAP-Failure报文。对于某些802.1X客户端（例如：Windows系统的802.1X客户端），在收到EAP-Failure报文后，若后续设备探测到服务器可达并向其发送EAP-Request/ID报文进行重认证时，并不会进行响应，从而导致该类用户的重认证失败。此时，可通过配置本功能向客户端发送认证成功帧（EAP-Success）来使其响应802.1X认证请求，进而重新进行认证。

表19 配置向802.1X认证的Critical VLAN用户发送认证成功帧

操作	命令	说明
进入系统视图	system-view	-
进入以太网接口视图	interface interface-type interface-number	-
配置指定端口的Critical VLAN	dot1x critical vlan vlan-id	必选缺省情况下，端口没有配置Critical VLAN 不同的端口可以配置不同的Critical VLAN，但一个端口最多只能配置一个Critical VLAN
配置向802.1X认证的Critical VLAN用户发送认证成功帧	dot1x critical eapol	必选缺省情况下，不会向802.1X认证的Critical VLAN用户发送认证成功帧

8.2 开启向802.1X认证的Critical VLAN用户发送认证成功帧命令

8.2.1 dot1x critical eapol

dot1x critical eapol命令用来配置当802.1X用户被加入到Critical VLAN后，设备向客户端发送一个EAP-Success报文。

undo dot1x critical eapol命令用来恢复缺省情况。

【命令】

dot1x critical eapol

undo dot1x critical eapol

【缺省情况】

当802.1X用户加入到Critical VLAN后，向客户端发送一个EAP-Failure报文。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

当客户端收到设备发送的EAP-Success报文后，则认为该802.1X用户上线成功，并能继续响应后续设备发送的EAP-Request/ID报文进行重认证。

在接口上未配置此命令的情况下，当802.1X用户因认证服务器不可达而被加入Critical VLAN之后，设备会向客户端发送EAP-Failure报文。对于某些802.1X客户端（例如：Windows系统的802.1X客户端），在收到EAP-Failure报文后，若后续设备探测到服务器可达并向其发送EAP-Request/ID报文进行重认证时，并不会进行响应，从而导致该类用户的重认证失败。因此，为解决这类用户的重认证失败问题，需要配置本命令。

【举例】

# 在端口GigabitEthernet1/0/1上配置当802.1X用户加入到Critical VLAN后，向客户端发送一个EAP-Success报文。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x critical eapol

【相关命令】

· dot1x critical vlan

9 新增特性—Triple认证

9.1 Triple认证简介

9.1.1 产生背景

在终端形式多样的网络环境中，不同终端支持的接入认证方式有所不同。如图1所示，有的终端只能进行MAC地址认证（比如打印机终端）；有的终端安装了802.1X客户端软件，可以进行802.1X认证；有的终端只希望通过Web访问进行认证。为了灵活地适应这种网络环境中的多种认证需求，需要在接入用户的端口上对三种认证方式进行统一部署，使得用户可以选择任何一种适合的认证机制来进行认证，且只需要成功通过一种方式的认证即可实现接入，无需通过多种认证。

图5 Triple认证典型应用组网图

Triple认证方案可满足以上需求，允许在设备的二层端口上同时开启Web认证、MAC地址认证和802.1X认证功能，使得选用其中任意一种方式进行认证的终端均可通过该端口接入网络。

· 802.1X认证必须配置为基于MAC的接入控制方式（macbased）。

· 关于802.1X、MAC地址认证、Web认证的详细介绍请分别参见“安全配置指导”中的“802.1X”、“MAC地址认证”和“Web认证”。

9.1.2 认证机制

当端口上同时开启了802.1X认证、MAC地址认证和Web认证功能后，不同类型的终端报文可触发不同的认证过程：

· 终端网卡接入网络时，如果发送ARP报文或者DHCP报文（广播报文），则首先触发MAC地址认证。若MAC地址认证成功，则不需要再进行其它认证；若MAC地址认证失败，则允许触发802.1X或者Web认证。

· 如果终端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文，或者在设备开启单播触发功能的情况下终端发送任意报文，则触发802.1X认证。

· 如果终端发送HTTP报文，则触发Web认证。

端口允许多种认证过程同时进行，且某一种认证失败不会影响同时进行的其它认证过程。一旦终端通过某一种认证，其它认证过程的进行情况有所不同：

· 如果终端首先通过MAC地址认证， Web认证会立即终止，但802.1X认证仍会继续进行。如果802.1X认证成功，则端口上生成的802.1X认证用户信息会覆盖已存在的MAC地址认证用户信息。否则，用户依然保持MAC地址认证在线，且允许再次触发802.1X认证，但不能再次触发Web认证。

· 如果终端首先通过802.1X认证或者Web认证，则端口上其他认证会立即终止，且不能被再次触发。

9.1.3 扩展功能

1.授权VLAN下发

服务器向通过认证的用户所在的端口下发授权VLAN，端口将用户加入对应的授权VLAN中。

2.认证失败的VLAN

用户认证失败后，端口将认证失败的用户加入已配置的认证失败的VLAN中。

· 对于802.1X认证用户，认证失败的VLAN为端口上配置的802.1X Auth-Fail VLAN。

· 对于Web认证用户，认证失败的VLAN为端口上配置的Web Auth-Fail VLAN。

· 对于MAC地址认证用户，认证失败的VLAN为端口上配置的Guest VLAN。

允许在同一个端口上配置不同类型的认证失败的VLAN，但最终端口上认证失败的用户所加入的VLAN与用户所经历的认证失败类型有关。通常情况下为用户第一次认证失败后加入的VLAN。但如果用户进行了802.1X认证且失败了，则用户会立刻离开之前已经加入的认证失败的VLAN而加入端口上配置的802.1X认证失败的VLAN。

3.ACL下发

设备能够根据服务器下发的授权ACL对通过认证的用户所在端口的数据流进行控制；在服务器上配置授权ACL之前，需要在设备上配置相应的规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

4.在线用户探测功能

· 对于Web认证用户，通过开启用户在线检测定时器来探测用户是否在线。

· 对于802.1X认证用户，通过开启端口上的在线用户握手功能或者重认证功能来探测用户是否在线。

· 对于MAC地址认证用户，通过开启下线检测定时器，来探测用户是否在线。

关于各扩展功能的详细介绍请分别参见“安全配置指导”中的“802.1X”、“MAC地址认证”、“Web认证”。

9.2 Triple认证配置任务简介

表20 Triple认证配置任务简介

配置任务	说明	详细配置
配置802.1X认证	三者至少选其一对于802.1X认证，必须为基于MAC的接入控制方式（macbased）	具体配置请参见“安全配置指导”的“802.1X”
配置MAC地址认证		具体配置请参见“安全配置指导”的“MAC地址认证”
配置 Web认证		具体配置请参见“安全配置指导”的“Web认证”

9.3 Triple认证典型配置举例

9.3.1 Triple认证基本功能配置举例

1.组网需求

如图2所示，用户通过接入设备Switch接入网络，要求在Switch的二层端口上对所有用户进行统一认证，且只要用户通过802.1X认证、Web认证、MAC地址认证中的任何一种认证，即可接入网络。具体需求如下：

· 终端上静态配置属于192.168.1.0/24网段的IP地址；

· 使用远程RADIUS服务器进行认证、授权和计费，且发送给RADIUS服务器的用户名不携带ISP域名；

· 本地Web认证服务器的监听IP地址为4.4.4.4，设备向Web认证用户推出系统默认的认证页面，并使用HTTP传输认证数据。

2.组网图

图6 Triple认证基本功能配置组网图

3.配置步骤

· 启动Web认证之前，确保各主机、服务器和设备之间路由可达。

· 确保Web认证用户的主机与本地Web认证服务器监听IP地址之间路由可达。

· 完成RADIUS服务器的配置，保证用户的认证/授权/计费功能正常运行。本例中，RADIUS服务器上配置一个802.1X用户（帐户名为userdot），一个Web认证用户（帐户名为userpt），以及一个MAC地址认证用户（帐户名、密码均为Printer的MAC地址f07d6870725f）。

· 完成自定义缺省认证页面文件的编辑，将其压缩为名为abc的Zip文件，之后通过FTP等方式上传到设备。

(1) 配置Web认证

# 配置端口属于VLAN及对应VLAN接口的IP地址（略）。

# 配置本地Portal Web服务器使用HTTP协议，且使用Portal Web服务器提供的缺省认证页面文件abc.zip。

<Switch> system-view

[Switch] portal local-web-server http

[Switch-portal-local-websvr-http] default-logon-page abc.zip

[Switch-portal-local-websvr-http] quit

# 配置LoopBack接口0的IP地址为4.4.4.4。

[Switch] interface loopback 0

[Switch-LoopBack0] ip address 4.4.4.4 32

[Switch-LoopBack0] quit

# 创建名称为webserver的Web认证服务器，并进入其视图。

[Switch] web-auth server webserver

# 配置Web认证服务器的重定向URL为http://4.4.4.4/portal/。

[Switch-web-auth-server-webserver] url http://4.4.4.4/portal/

# 配置Web认证服务器的IP地址为4.4.4.4，端口号为80。

[Switch-web-auth-server-webserver] ip 4.4.4.4 port 80

[Switch-web-auth-server-webserver] quit

# 开启端口GigabitEthernet1/0/1上的Web认证，并指定引用的Web认证服务器为webserver。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] web-auth enable apply server webserver

[Switch–GigabitEthernet1/0/1] quit

(2) 配置802.1X认证

# 开启全局802.1X认证。

[Switch] dot1x

# 开启端口GigabitEthernet1/0/1上的802.1X认证（必须为基于MAC的接入控制方式）。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] dot1x port-method macbased

[Switch–GigabitEthernet1/0/1] dot1x

[Switch–GigabitEthernet1/0/1] quit

(3) 配置MAC地址认证

# 开启全局MAC地址认证。

[Switch] mac-authentication

# 开启端口GigabitEthernet1/0/1上的MAC地址认证。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] mac-authentication

[Switch–GigabitEthernet1/0/1] quit

(4) 配置RADIUS方案

# 创建并进入名字为rs1的RADIUS方案视图。

[Switch] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key authentication simple radius

[Switch-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

(5) 配置认证域

# 创建并进入名字为triple的ISP域。

[Switch] domain triple

# 配置所有类型的用户使用RADIUS方案rs1进行认证、授权、计费。

[Switch-isp-triple] authentication lan-access radius-scheme rs1

[Switch-isp-triple] authorization lan-access radius-scheme rs1

[Switch-isp-triple] accounting lan-access radius-scheme rs1

[Switch-isp-triple] quit

# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。

[Switch] domain default enable triple

4.验证配置

# Web用户userpt通过Web浏览器访问外部网络，其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.html。用户根据网页提示输入正确的用户名和密码后，能够成功通过Web认证。通过display web-auth user命令查看已在线用户的信息。

[Switch] display web-auth user

User Name: userpt

MAC address: 6805-ca17-4a0b

Access interface: GigabitEthernet1/0/1

Initial VLAN: 14

Authorization VLAN: 14

Authorization ACL ID: N/A

Authorization user profile: N/A

Total 1 users matched.

# 打印机接入网络后，可成功通过MAC地址认证。通过display mac-authentication connection命令查看已在线用户的信息。

[Switch] display mac-authentication connection

Slot ID: 1

User MAC address: f07d-6870-725f

Access interface: GigabitEthernet1/0/1

Username: f07d6870725f

Authentication domain: triple

Initial VLAN: 14

Authorization untagged VLAN: 14

Authorization tagged VLAN: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Authorization URL: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/01/04 18:01:43

Online duration: 0h 0m 2s

Total 1 connections matched.

# 用户userdot通过802.1X客户端发起认证，输入正确的用户名和密码后，可成功通过802.1X认证。通过display dot1x connection命令查看已在线用户的信息。

[Switch] display dot1x connection

Slot ID: 1

User MAC address: 7446-a091-84fe

Access interface: GigabitEthernet1/0/1

Username: userdot

Authentication domain: triple

Authentication method: CHAP

Initial VLAN: 14

Authorization untagged VLAN: 14

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Authorization URL: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/01/04 18:13:01

Online duration: 0h 0m 14s

Total 1 connection(s) matched.

9.3.2 Triple认证配合VLAN下发及Auth-Fail VLAN功能配置举例

1.组网需求

如图3所示，用户通过接入设备Switch接入网络，要求在Switch的二层端口上对所有用户进行统一认证，且只要用户通过802.1X认证、Web认证、MAC地址认证中的任何一种认证，即可接入网络。具体需求如下：

· Web认证用户通过DHCP动态获取IP地址，认证前使用192.168.1.0/24网段的IP地址，认证成功后使用3.3.3.0/24网段的IP地址，认证失败后使用2.2.2.0/24网段的IP地址。 DHCP服务器可由接入设备充当也可外置，本例中由接入设备提供DHCP服务。

· 802.1X用户在认证前通过DHCP动态获取192.168.1.0/24网段的IP地址，认证成功后通过DHCP动态获取3.3.3.0/24网段的IP地址，认证失败后通过DHCP动态获取2.2.2.0/24网段的IP地址。

· 打印机成功接入网络后通过DHCP获取一个与它的MAC地址静态绑定的IP地址3.3.3.111/24。

· 使用远程RADIUS服务器进行认证、授权和计费，且发送给RADIUS服务器的用户名不携带ISP域名。

· Web认证服务器的监听IP地址为4.4.4.4，设备向Web认证用户推出自定义的认证页面，并使用HTTP协议传输认证数据。

· 认证成功的用户可被授权加入VLAN 3。

· 认证失败的用户将被加入VLAN 2，允许访问其中的Update服务器资源。

2.组网图

图7 Triple认证配合VLAN下发及Auth-Fail VLAN功能配置组网图

3.配置步骤

· 确保启动Web认证之前各主机、服务器和设备之间路由可达。

· 完成RADIUS服务器的配置，保证用户的认证/授权/计费功能正常运行。本例中，RADIUS服务器上配置一个802.1X用户（帐户名为userdot），一个Web认证用户（帐户名为userpt），以及一个MAC地址认证用户（帐户名、密码均为Printer的MAC地址f07d6870725f），并配置授权VLAN（VLAN 3）。

· 将Update服务器所在IP地址设为免认证IP。

· 完成自定义缺省认证页面文件的编辑，将其压缩为名为defaultfile的Zip文件，之后通过FTP等方式上传到设备。

(1) 配置DHCP服务

# 配置端口属于VLAN及对应VLAN接口的IP地址（略）。

# 开启DHCP服务。

<Switch> system-view

[Switch] dhcp enable

# 配置Update server的IP地址不参与自动分配。

[Switch] dhcp server forbidden-ip 2.2.2.2

# 配置DHCP地址池1（动态分配的网段、地址租用期限、网关地址）。建议配置较小的地址租用期限，以缩短终端认证成功或失败后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 1

[Switch-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0

[Switch-dhcp-pool-1] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-1] gateway-list 192.168.1.1

[Switch-dhcp-pool-1] quit

# 配置DHCP地址池2（动态分配的网段、地址租用期限、网关地址）。建议配置较小的地址租用期限，以缩短终端认证成功后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 2

[Switch-dhcp-pool-2] network 2.2.2.0 mask 255.255.255.0

[Switch-dhcp-pool-2] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-2] gateway-list 2.2.2.1

[Switch-dhcp-pool-2] quit

# 配置DHCP地址池3（动态分配的网段、地址租用期限、网关地址）。建议配置较小的地址租用期限，以缩短终端下线后重新获取IP地址的时间。

[Switch] dhcp server ip-pool 3

[Switch-dhcp-pool-3] network 3.3.3.0 mask 255.255.255.0

[Switch-dhcp-pool-3] expired day 0 hour 0 minute 1

[Switch-dhcp-pool-3] gateway-list 3.3.3.1

[Switch-dhcp-pool-3] quit

一般情况下，为缩小终端认证状态改变之后更新IP地址的时间，建议配置较小的地址租约期限，使得前一个状态的IP地址租约尽快过期，以触发新的IP地址申请。但是，地址租用期限的配置还要考虑终端的实现，例如iNode的802.1X客户端就可以选择在断开连接之后自动更新终端IP地址，而不必等待租约过期来重获IP地址，因此实际应用中需要根据当前组网环境合理调整取值。此处建议取值为60s。

# 配置DHCP地址池4，将MAC地址为f07d-6870-725f的打印机与IP地址3.3.3.111/24绑定。

[Switch] dhcp server ip-pool 4

[Switch-dhcp-pool-4] static-bind ip-address 3.3.3.111 mask 255.255.255.0 client-identifier f07d-6870-725f

[Switch-dhcp-pool-4] quit

(2) 配置Web认证

# 配置本地Portal Web服务器使用HTTP协议，且使用Portal Web服务器提供的缺省认证页面文件defaultfile.zip。

[Switch] portal local-server http

[Switch-portal-local-websvr-http] default-logon-page defaultfile.zip

[Switch-portal-local-websvr-http] quit

# 配置LoopBack接口0的IP地址为4.4.4.4。

[Switch] interface loopback 0

[Switch-LoopBack0] ip address 4.4.4.4 32

[Switch-LoopBack0] quit

# 创建名称为webserver的Web认证服务器，并进入其视图。

[Switch] web-auth server webserver

# 配置Web认证服务器的重定向URL为http://4.4.4.4/portal/。

[Switch-web-auth-server-webserver] url http://4.4.4.4/portal/

# 配置Web认证服务器的IP地址为4.4.4.4，端口号为80。

[Switch-web-auth-server-webserver] ip 4.4.4.4 port 80

[Switch-web-auth-server-webserver] quit

# 配置Update服务器的IP地址为免认证IP。

[Switch] web-auth free-ip 2.2.2.2 24

# 在端口GigabitEthernet1/0/1上开启Web认证，并配置认证失败的VLAN为 VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] port link-type hybrid

[Switch–GigabitEthernet1/0/1] mac-vlan enable

[Switch–GigabitEthernet1/0/1] web-auth enable apply server webserver

[Switch–GigabitEthernet1/0/1] web-auth auth-fail vlan 2

[Switch–GigabitEthernet1/0/1] quit

(3) 配置802.1X认证

# 开启全局802.1X认证。

[Switch] dot1x

# 开启端口GigabitEthernet1/0/1上802.1X认证（必须为基于MAC的接入控制方式），并配置认证失败的VLAN为 VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] dot1x port-method macbased

[Switch–GigabitEthernet1/0/1] dot1x

[Switch–GigabitEthernet1/0/1] dot1x auth-fail vlan 2

[Switch–GigabitEthernet1/0/1] quit

(4) 配置MAC地址认证

# 开启全局MAC地址认证。

[Switch] mac-authentication

# 开启端口GigabitEthernet1/0/1上MAC地址认证，并配置认证失败的VLAN为VLAN 2。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] mac-authentication

[Switch–GigabitEthernet1/0/1] mac-authentication guest-vlan 2

[Switch–GigabitEthernet1/0/1] quit

(5) 配置RADIUS方案

# 创建并进入名字为rs1的RADIUS方案视图。

[Switch] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key authentication simple radius

[Switch-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

(6) 配置认证域

# 创建并进入名字为triple的ISP域。

[Switch] domain triple

# 配置所有类型的用户使用RADIUS方案rs1进行认证、授权、计费。

[Switch-isp-triple] authentication lan-access radius-scheme rs1

[Switch-isp-triple] authorization lan-access radius-scheme rs1

[Switch-isp-triple] accounting lan-access radius-scheme rs1

[Switch-isp-triple] quit

# 配置系统缺省的ISP域为triple。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方案。

[Switch] domain default enable triple

4.验证配置

[Switch] display web-auth user

User Name: userpt

MAC address: 6805-ca17-4a0b

Access interface: GigabitEthernet1/0/1

Initial VLAN: 14

Authorization VLAN: 3

Authorization ACL ID: N/A

Authorization user profile: N/A

Total 1 users matched.

# 打印机接入网络后，可成功通过MAC地址认证。通过display mac-authentication connection命令查看已在线用户的信息。

[Switch] display mac-authentication connection

Slot ID: 1

User MAC address: f07d-6870-725f

Access interface: GigabitEthernet1/0/1

Username: f07d6870725f

Authentication domain: triple

Initial VLAN: 14

Authorization untagged VLAN: 3

Authorization tagged VLAN: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Authorization URL: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/01/04 18:01:43

Online duration: 0h 0m 2s

Total 1 connections matched.

# 用户userdot通过802.1X客户端发起认证，输入正确的用户名和密码后，可成功通过802.1X认证。通过display dot1x connection命令查看已在线用户的信息。

[Switch] display dot1x connection

Slot ID: 1

User MAC address: 7446-a091-84fe

Access interface: GigabitEthernet1/0/1

Username: userdot

Authentication domain: triple

Authentication method: CHAP

Initial VLAN: 14

Authorization untagged VLAN: 3

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Authorization URL: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/01/04 18:13:01

Online duration: 0h 0m 14s

Total 1 connection(s) matched.

# 通过display mac-vlan all命令查看到认证成功用户的MAC VLAN表项，该表项中记录了加入授权VLAN的MAC地址与端口上生成的基于MAC的VLAN之间的对应关系。

[Switch] display mac-vlan all

The following MAC VLAN addresses exist:

S:Static D:Dynamic

MAC ADDR MASK VLAN ID PRIO STATE

--------------------------------------------------------

6805-ca17-4a0b ffff-ffff-ffff 3 0 D

f07d-6870-725f ffff-ffff-ffff 3 0 D

7446-a091-84fe ffff-ffff-ffff 3 0 D

Total MAC VLAN address count:3

# 通过display dhcp server ip-in-use命令查看设备为在线用户分配的IP地址信息。

[Switch] display dhcp server ip-in-use

IP address Client-identifier/ Lease expiration Type

Hardware address

3.3.3.111 01f0-7d68-7072-5f Jan 4 18:14:17 2015 Auto:(C)

3.3.3.2 0168-05ca-174a-0b Jan 4 18:15:01 2015 Auto:(C)

3.3.3.3 0174-46a0-9184-fe Jan 4 18:15:03 2015 Auto:(C)

若用户认证失败，将被加入VLAN 2中，端口上生成的MAC VLAN表项及IP地址分配情况的查看方式同上，此处略。

10 新增特性—开启端口安全Trap功能

10.1 开启端口安全Trap功能

开启端口安全模块的告警功能后，该模块会生成告警信息，用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块，通过设置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”。

表21 配置Trap特性

操作	命令	说明
进入系统视图	system-view	-
打开指定告警信息的开关	snmp-agent trap enable port-security [ address-learned \| dot1x-failure \| dot1x-logoff \| dot1x-logon \| intrusion \| mac-auth-failure \| mac-auth-logoff \| mac-auth-logon ] *	缺省情况下，所有告警信息的开关处于关闭状

10.2 开启端口安全Trap命令

10.2.1 snmp-agent trap enable port-security

snmp-agent trap enable port-security命令用来开启端口安全告警功能。

undo snmp-agent trap enable port-security命令用来关闭指定的端口安全告警功能。

【命令】

【缺省情况】

端口安全的所有告警功能均处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

address-learned：表示端口学习到新MAC地址时的告警功能。

dot1x-failure：表示802.1X用户认证失败时的告警功能。

dot1x-logon：表示802.1X用户认证成功时的告警功能。

dot1x-logoff：表示802.1X用户认证下线时的告警功能。

intrusion：表示发现非法报文时的告警功能。

mac-auth-failure：表示MAC地址认证用户认证失败时的告警功能。

mac-auth-logoff：表示MAC地址认证用户认证下线时的告警功能。

mac-auth-logon：表示MAC地址认证用户认证成功时的告警功能。

【使用指导】

如果不指定任何参数，则表示开启或关闭所有类型的端口安全告警功能。

【举例】

# 开启端口学习到新MAC地址时的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable port-security address-learned

【相关命令】

· display port-security

· port-security enable

11 新增特性－IPsec支持Suite B

Suite B算法集是一种通用的加密和认证算法集，可满足高级别的安全标准要求。IPsec新增IKEv2和Suit B相关算法来增强设备安全性。

11.1 IKEv2简介

IPsec隧道两端通过共享密钥对IP报文提供机密性、完整性、以及数据来源认证服务。共享密钥可以手工建立，也可以通过协商方式自动建立。IKE协议定义了自动协商共享密钥的机制，并用于建立和维护IPsec安全联盟。IKEv2（Internet Key Exchange Version 2，互联网密钥交换协议第2版）是第1版本的IKE协议（本文简称IKEv1）的增强版本，它在保留了IKEv1中的大部分特性的基础上引入了一些新特性。

IKEv2与IKEv1相同，具有一套自保护机制，可以在不安全的网络上安全地进行身份认证、密钥分发、建立IPsec SA。相对于IKEv1，IKEv2具有抗攻击能力和密钥交换能力更强以及报文交互数量较少等特点。

11.1.1 IKEv2的协商过程

要建立一对IPsec SA，IKEv1需要经历两个阶段，至少需要交换6条消息。在正常情况下，IKEv2只需要进行两次交互，使用4条消息就可以完成一个IKEv2 SA和一对IPsec SA的协商建立，如果要求建立的IPsec SA的数目大于一对，则每增加一对IPsec SA只需要额外增加一次交互，也就是两条消息就可以完成，这相比于IKEv1简化了设备的处理过程，提高了协商效率。

IKEv2定义了三种交互：初始交换、创建子SA交换以及通知交换。

下面简单介绍一下IKEv2协商过程中的初始交换过程。

图8 IKEv2的初始交换过程

如图1所示，IKEv2的初始交换过程中包含两个交换：IKE_SA_INIT交换（两条消息）和IKE_AUTH交换（两条消息）。

· IKE_SA_INIT交换：完成IKEv2 SA参数的协商以及密钥交换；

· IKE_AUTH交换：完成通信对等体的身份认证以及IPsec SA的创建。

这两个交换过程顺序完成后，可以建立一个IKEv2 SA和一对IPsec SA。

创建子SA交换：当一个IKE SA需要创建多个IPsec SA时，使用创建子SA交换来协商多于一个的SA，另外还可用于进行IKE SA的重协商功能。

通知交换：用于传递控制信息，例如错误信息或通告信息。

11.1.2 IKEv2引入的新特性

1.IKEv2支持DH猜想

在IKE_SA_INIT交换阶段，发起方采用“猜”的办法，猜一个响应方最可能使用的DH组携带在第一条消息中发送。响应方根据发起方“猜”的DH组来响应发起方。如果发起方猜测成功，则这样通过两条消息就可以完成IKE_SA_INIT交换。如果发起方猜测错误，则响应方会回应一个INVALID_KE_PAYLOAD消息，并在该消息中指明将要使用的DH组。之后，发起方采用响应方指定的DH组重新发起协商。这种DH猜想机制，使得发起方的DH组配置更为灵活，可适应不同的响应方。

2.IKEv2支持cookie-challenge机制

在IKE_SA_INIT交换中消息是明文传输的，响应方接收到第一个消息后无法确认该消息是否来自一个仿冒的地址。如果此时一个网络攻击者伪造大量地址向响应方发送IKE_SA_INIT请求，根据IKEv1协议，响应方需要维护这些半开的IKE会话信息，从而耗费大量响应方的系统资源，造成对响应方的DoS攻击。

IKEv2使用cookie-challenge机制来解决这类DoS攻击问题。当响应方发现存在的半开IKE SA超过指定的数目时，就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后，构造一个Cookie通知载荷并响应发起方，若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求，则可以继续后续的协商过程。

半开状态的IKEv2 SA是指那些正在协商过程中的IKEv2 SA。若半开状态的IKEv2 SA数目减少到阈值以下，则cookie-challenge功能将会停止工作。

3.IKEv2 SA重协商

为了保证安全，IKE SA和IPsec SA都有一个生命周期，超过生命周期的SA需要重新协商，即SA 的重协商。与IKEv1不同的是，IKEv2 SA的生命周期不需要协商，由各自的配置决定，重协商总是由生命周期较小的一方发起，可尽量避免两端同时发起重协商造成冗余SA的生成，导致两端SA状态不一致。

4.IKEv2报文确认重传机制

与IKEv1不同，IKEv2中所有消息都是以“请求–响应”对的形式出现，IKEv2通过消息头中的一个Message ID字段来标识一个“请求–响应”对。发起方发送的每一条消息都需要响应方给予确认，例如建立一个IKE SA一般需要两个“请求-响应”对。如果发起方在规定时间内没有接收到确认报文，则需要对该请求消息进行重传。IKEv2消息的重传只能由发起方发起，且重传消息的Message ID必须与原始消息的Message ID一致。

11.1.3 协议规范

与IKEv2相关的协议规范有：

· RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)

· RFC 4306：Internet Key Exchange (IKEv2) Protocol

· RFC 4718：IKEv2 Clarifications and Implementation Guidelines

· RFC 2412：The OAKLEY Key Determination Protocol

· RFC 5996：Internet Key Exchange Protocol Version 2 (IKEv2)

11.2 IKEv2配置任务简介

为了配置过程顺利进行，在IKEv2配置之前，用户需要确定以下几个因素：

· 确定IKEv2初始交换过程中使用的算法的强度，即确定对初始交换进行安全保护的强度（包括加密算法、完整性校验算法、PRF算法和DH组算法）。不同的算法的强度不同，算法强度越高，受保护数据越难被破解，但消耗的计算资源越多。一般来说，密钥越长的算法强度越高。

· 确定本地认证方法以及对端的认证方法。若使用预共享密钥方式，则要确定通信双方预先约定的预共享密钥；若使用RSA数字签名方式，则要确定本端所使用的PKI域。关于PKI的配置，请参见“安全配置指导”中的“PKI”。

表22 IKEv2 配置任务简介

配置任务		说明	详细配置
配置IKEv2 profile		必选	7.3
配置IKEv2安全策略		必选	7.4
配置IKEv2安全提议		可选若IKEv2安全策略中指定了IKEv2提议，则必配	7.5
配置IKEv2 keychain		只要其中一端配置的认证方式为预共享密钥方式，则必选如果两端配置的认证方式都是RSA数字签名方式，则不需要配置	7.6
配置IKEv2全局参数	配置IKEv2 cookie-challenge功能	可选该功能仅对于响应方有意义	7.7.1
	配置IKEv2 DPD探测功能	可选	7.7.2
	配置IKEv2 NAT Keepalive功能	可选	7.7.3

11.3 配置IKEv2 profile

IKEv2 profile中包括以下配置：

(1) IKEv2协商时本端和对端采用的身份认证方式。只能指定一个本端身份认证方式，可以指定多个对端身份认证方式。本端和对端可以采用不同的身份认证方式。

(2) 根据IKEv2 profile中配置的认证方法，配置IKEv2 keychain或PKI域。

· 如果任意一方指定的身份认证方式为数字签名（dsa-signature、rsa-signature或者ecdsa-signature），则需要配置PKI域。

· 如果任意一方指定的身份认证方式为预共享密钥（pre-share），则需要配置IKEv2 keychain。

(3) 本端身份信息。

· 如果本端的认证方式为数字签名，则可以配置任何类型的身份信息。若配置的本端身份为IP地址，但这个IP地址与本地证书中的IP地址不同，设备将使用FQDN类型的本端身份，该身份的内容为设备的名称（可通过sysname命令配置）。

· 如果本端的认证方式为预共享密钥，则只能配置除DN之外的其它类型的身份信息。

(4) 匹配对端身份的规则。IKEv2对等体需要根据对端的身份信息查找一个本端的IKEv2 profile，然后使用此IKEv2 profile中的信息验证对端身份。对端身份信息若能满足本地某个IKEv2 profile中指定的匹配规则，则该IKEv2 profile为查找的结果。匹配IKEv2 profile的顺序取决于IKEv2 profile的优先级，优先级高的先匹配。

(5) IKEv2 DPD探测功能。该功能用于检测协商对端是否存活。如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能，则IKEv2 profile视图下的DPD配置生效，如果IKEv2 profile视图下没有配置DPD探测功能，则采用系统视图下的DPD配置。

(6) IKEv2 profile的使用范围。限制IKEv2 profile只能在指定的地址或指定接口的地址下使用（这里的地址指的是IPsec策略下配置的本端地址，若本端地址没有配置，则为引用IPsec策略的接口下地址）。

(7) IKEv2 profile的优先级。优先级仅用于响应方在查找IKEv2 profile时调整IKEv2 profile的匹配顺序。

(8) IKEv2 SA的时间生命周期。本端和对端的IKEv2 SA生命周期可以不一致，也不需要进行协商，由生命周期较短的一方在本端IKEv2 SA生命周期到达之后发起重协商。

(9) IKEv2发送NAT keepalive报文的时间间隔。在IKEv2 peer之间存在NAT网关的情况下，设备通过定期向对端发送NAT keepalive 报文，防止已有的NAT会话表项因长时间无流量匹配而被老化。

(10) 配置交换功能。企业分支使用虚拟隧道时，可以通过本功能向企业中心侧安全网关提交IP地址分配请求，中心侧安全网关接收该请求，会将成功分配的IP地址携带在IKEv2协商的响应报文中发送给分支侧设备，分支用此地址作为虚拟隧道地址与中心侧网关通信。企业中心侧网关也可以通过本功能主动推送IP地址给企业分支。配置交换包括请求数据、回应数据、主动推数据和回应推数据，请求和推送的数据可以为网关地址，内部地址，路由信息等。

表23 配置IKEv2 profile

操作	命令	说明
进入系统视图	system-view	-
创建一个IKEv2 profile，并进入IKEv2 Profile视图	ikev2 profile profile-name	缺省情况下，不存在IKEv2 profile
指定IKEv2本端和对端的身份认证方式	authentication-method { local \| remote } { dsa-signature \| ecdsa-signature \| pre-share \| rsa-signature }	缺省情况下，未配置本端和对端认证方式
配置采用预共享密钥认证时使用的Keychain	keychain keychain-name	二者至少选其一根据authentication-method命令使用的认证方法选择其中一个配置
配置采用数字签名认证时使用的PKI域	certificate domain domain-name [ sign \| verify ]	二者至少选其一根据authentication-method命令使用的认证方法选择其中一个配置
配置本端身份信息	identity local { address { ipv4-address \| ipv6 ipv6-address } \| dn \| email email-string \| fqdn fqdn-name \| key-id key-id-string }	缺省情况下，未配置本端身份信息。此时使用IP地址标识本端的身份，该IP地址为IPsec安全策略应用的接口的IP地址
配置匹配对端身份的规则	match remote { certificate policy-name \| identity { address { { ipv4-address [ mask \| mask-length ] \| range low-ipv4-address high-ipv4-address } \| ipv6 { ipv6-address [ prefix-length ] \| range low-ipv6-address high-ipv6-address } } \| fqdn fqdn-name \| email email-string \| key-id key-id-string } }	协商双方都必须配置至少一个match remote规则，当对端的身份与IKEv2 profile中配置的match remote规则匹配时，则使用此IKEv2 profile中的信息与对端完成认证
（可选）配置IKEv2 profile的使用范围	match local address { interface-type interface-number \| { ipv4-address \| ipv6 ipv6-address } }	缺省情况下，未限制IKEv2 profile的使用范围
（可选）配置IKEv2 profile的优先级	priority priority	缺省情况下，IKEv2 profile的优先级为100
（可选）配置IKEv2 SA生命周期	sa duration seconds	缺省情况下，IKEv2 SA的生命周期为86400秒
（可选）配置IKEv2 DPD探测功能	dpd interval interval [ retry seconds ] { on-demand \| periodic }	缺省情况下，IKEv2 profile视图下没有配置DPD探测功能，采用系统视图下的DPD配置。若两者没有配置，则不进行DPD探测
（可选）配置发送NAT keepalive的时间间隔	nat-keepalive seconds	缺省条件下，使用全局的IKEv2 NAT keepalive配置
（可选）开启指定的配置交换功能	config-exchange { request \| set { accept \| send } }	缺省条件下，所有的配置交换功能均处于关闭状态

11.4 配置IKEv2安全策略

在进行IKE_SA_INIT协商时，系统需要查找到一个与本端相匹配的IKEv2安全策略，并使用其中引用的安全提议进行安全参数的协商，匹配的依据为本端安全网关的IP地址。

· 若系统中配置了IKEv2安全策略，则根据本端安全网关的IP地址与所有已配置的IKEv2安全策略进行逐一匹配，如果未找到匹配的IKEv2安全策略或找到的安全策略中引用的安全提议配置不完整，则IKE_SA_INIT协商将会失败。

· 若系统中未配置任何IKEv2安全策略，则直接采用缺省的IKEv2安全策略default。

· 系统中存在多个IKEv2安全策略的情况下，系统根据安全策略的优先级从高到低的顺序依次匹配。如果通过match local address命令指定了匹配IKEv2安全策略的本端地址，则优先匹配指定了本端地址匹配条件的策略，其次匹配未指定本端地址匹配条件的策略。

表24 配置IKEv2安全策略

操作	命令	说明
进入系统视图	system-view
创建IKEv2安全策略，并进入IKEv2安全策略视图	ikev2 policy policy-name	缺省情况下，存在一个名称为default的缺省IKEv2安全策略
指定匹配IKEv2安全策略的本端地址	match local address { interface-type interface-number \| ipv4-address \| ipv6 ipv6-address }	缺省情况下，未指定用于匹配IKEv2安全策略的本端地址，表示本策略可匹配所有本端地址
指定IKEv2安全策略引用的IKEv2安全提议	proposal proposal-name	缺省情况下，IKEv2安全策略未引用IKEv2安全提议
指定IKEv2安全策略的优先级	priority priority	缺省情况下，IKEv2安全策略的优先级为100

11.5 配置IKEv2安全提议

IKEv2安全提议用于保存IKE_SA_INIT交换中使用的安全参数，包括加密算法、完整性验证算法、PRF算法和DH组，其中每类安全参数均可以配置多个，其优先级按照配置顺序依次降低。

一个完整的IKEv2安全提议中至少应该包含一组安全参数，即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。

若同时指定了多个IKEv2安全提议，则它们的优先级按照配置顺序依次降低。

表25 配置IKEv2安全提议

操作	命令	说明
进入系统视图	system-view
创建IKEv2安全提议，并进入IKEv2提议视图	ikev2 proposal proposal-name	缺省条件下，存在一个名称为default的缺省IKEv2安全提议非FIPS模式下，该提议中定义的加密算法为aes-cbc-128和3des，完整性校验算法为sha1和md5，PRF算法为sha1和md5，DH组为group5和group2 FIPS模式下，该提议中定义的加密算法为aes-cbc-128和aes-ctr-128，完整性校验算法为sha1和sha256，PRF算法为sha1和sha256，DH组为group14和group19
指定IKEv2安全提议使用的加密算法	非FIPS模式下： encryption { 3des-cbc \| aes-cbc-128 \| aes-cbc-192 \| aes-cbc-256 \| aes-ctr-128 \| aes-ctr-192 \| aes-ctr-256 \| camellia-cbc-128 \| camellia-cbc-192 \| camellia-cbc-256 \| des-cbc } * FIPS模式下： encryption { aes-cbc-128 \| aes-cbc-192 \| aes-cbc-256 \| aes-ctr-128 \| aes-ctr-192 \| aes-ctr-256 } *	缺省情况下，IKEv2安全提议未定义加密算法
指定IKEv2安全提议使用的完整性校验算法	非FIPS模式下： integrity { aes-xcbc-mac \| md5 \| sha1 \| sha256 \| sha384 \| sha512 } * FIPS模式下： integrity { sha1 \| sha256 \| sha384 \| sha512 } *	缺省情况下，IKEv2安全提议未定义完整性校验算法
指定IKEv2安全提议使用的DH组	非FIPS模式下： dh { group1 \| group14 \| group2 \| group24 \| group5 \| group19 \| group20 } * FIPS模式下： dh { group14 \| group24 \| group19 \| group20 } *	缺省情况下，IKEv2安全提议未定义DH组
指定IKEv2安全提议使用的PRF算法	非FIPS模式下： prf { aes-xcbc-mac \| md5 \| sha1 \| sha256 \| sha384 \| sha512 } * FIPS模式下： prf { sha1 \| sha256 \| sha384 \| sha512 } *	缺省情况下，IKEv2安全提议使用配置的完整性校验算法作为PRF算法

11.6 配置IKEv2 keychain

IKEv2 keychain用来指定与对端进行IKEv2协商时使用的共享密钥信息。一个IKEv2 keychain下可以指定多个IKEv2 peer，每个IKEv2 peer中包含了一个对称预共享密钥或一个非对称预共享密钥对，以及用于查找该IKEv2 peer的匹配参数（对等体的主机名称、IP地址或地址范围、身份信息）。其中，IKEv2协商的发起方使用对端的主机名称、IP地址或地址范围查找IKEv2 peer，响应方使用对端的IP地址、地址范围或身份信息查找IKEv2 peer。

表26 配置IKEv2 keychain

操作	命令	说明
进入系统视图	system-view	-
创建IKEv2 keychain，并进入IKEv2 keychain视图	ikev2 keychain keychain-name	缺省情况下，不存在IKEv2 keychain
创建IKEv2 peer，并进入IKEv2 peer视图	peer name	缺省情况下，不存在IKEv2 peer
指定IKEv2 peer的主机名称	hostname name	缺省情况下，未配置IKEv2 peer的主机名称
指定IKEv2 peer的主机地址	address { ipv4-address [ mask \| mask-length ] \| ipv6 ipv6-address [ prefix-length ] }	缺省情况下，未指定IKEv2 peer的主机地址不同的IKEv2 peer中不能指定相同的主机地址
指定IKEv2 peer的身份信息	identity { address { ipv4-address \| ipv6 { ipv6-address } } \| fqdn fqdn-name \| email email-string \| key-id key-id-string }	缺省情况下，未指定IKEv2 peer的身份信息
配置IKEv2 peer的预共享密钥	pre-shared-key [ local \| remote ] { ciphertext \| plaintext } string	缺省情况下，未配置IKEv2 peer的预共享密钥

11.7 配置IKEv2全局参数

11.7.1 配置IKEv2 cookie-challenge功能

IKEv2 cookie-challenge功能用来防止攻击者通过源IP仿冒对响应方造成DoS攻击。

开启IKEv2 cookie-challenge功能的同时需要指定启用cookie-challenge功能的阈值，当响应方本地存在的半开状态的IKEv2 SA数目达到指定的阈值时，则cookie-challenge功能开始生效。

表27 配置IKEv2 cookie-challenge功能

操作	命令	说明
进入系统视图	system-view	-
开启IKEv2 cookie-challenge功能	ikev2 cookie-challenge number	缺省情况下，IKEv2 cookie-challenge功能处于关闭状态

11.7.2 配置全局IKEv2 DPD探测功能

IKEv2 DPD探测功能用来探测对端是否存活，包括以下两种模式：

· 按需探测模式（on-demand）：根据流量来探测对端是否存活。在本端发送用户报文时，如果发现自最后一次收到对端报文之后，在指定的触发IKEv2 DPD的时间间隔内一直未收到对端报文，则发送DPD报文探测对端是否存活。

· 定时探测模式（periodic）：按照配置的触发IKEv2 DPD的时间间隔定时发送DPD报文，探测对端是否存活。

当系统视图下和IKEv2 profile视图下都配置DPD探测功能时，IKEv2 profile视图下的DPD配置覆盖系统视图下的全局DPD配置。若IKEv2 profile视图下没有配置DPD探测功能，则应用全局DPD配置。

表28 配置全局IKEv2 DPD探测功能

操作	命令	说明
进入系统视图	system-view	-
配置IKEv2 DPD探测功能	ikev2 dpd interval interval [ retry seconds ] { on-demand \| periodic }	缺省情况下，全局IKEv2 DPD探测功能处于关闭状态

11.7.3 配置IKEv2 NAT Keepalive功能

IKEv2 NAT Keepalive功能仅对位于NAT之后的设备（即该设备位于NAT设备连接的私网侧）有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文，以确保NAT设备上相应于该流量的会话存活，从而让NAT之外的设备可以访问NAT之后的设备。因此，配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。本功能必须在探测到NAT之后才能生效。

表29 配置IKEv2 NAT Keepalive功能

操作	命令	说明
进入系统视图	system-view	-
配置向对端发送NAT Keepalive报文的时间间隔	ikev2 nat-keepalive seconds	缺省情况下，探测到NAT后发送NAT Keepalive报文的时间间隔为10秒

11.8 IKEv2显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后IKEv2的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以删除IKEv2 SA。

表30 IKEv2显示和维护

操作	命令
显示IKEv2安全提议的配置信息	display ikev2 proposal [ name \| default ]
显示IKEv2安全策略的配置信息	display ikev2 policy [ policy-name \| default ]
显示IKEv2 profile的配置信息	display ikev2 profile [ profile-name ]
显示当前IKEv2 SA的信息	display ikev2 sa [ count \| [ { local \| remote } { ipv4-address \| ipv6 ipv6-address } ] [ verbose [ tunnel tunnel-id ] ] ]
显示IKEv2的统计信息	display ikev2 statistics
删除IKEv2 SA及其协商生成的Child SA	reset ikev2 sa [ [ { local \| remote } { ipv4-address \| ipv6 ipv6-address } ] \| tunnel tunnel-id ] [ fast ]
清除IKEv2的统计信息	reset ikev2 statistics

11.9 IPsec支持Suit B配置命令

11.9.1 新增-address命令

address命令用来指定IKEv2 peer的主机地址。

undo address命令用来恢复缺省情况。

【命令】

address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }

undo address

【缺省情况】

未指定IKEv2 peer的主机地址。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：IKEv2 peer的IPv4主机地址。

Mask：IPv4地址子网掩码。

mask-length：IPv4地址的掩码长度，取值范围为0～32。

ipv6 ipv6-address：IKEv2 peer的IPv6主机地址。

prefix-length：IPv6地址的前缀长度，取值范围为0～128。

【使用指导】

使用主机地址查询IKEv2 peer对于IKEv2协商中的发起方和响应方均适用。

同一keychain视图下的不同IKEv2 peer不能配置相同的地址。

【举例】

# 创建一个IKEv2 keychain，名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的IP地址为3.3.3.3，掩码为255.255.255.0。

[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0

【相关命令】

· ikev2 keychain

· peer

11.9.2 新增-authentication-method 命令

authentication-method命令用来指定IKEv2本端和对端的身份认证方式。

undo authentication-method 命令用来删除指定的IKEv2本端或对端身份认证方式。

【命令】

authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }

undo authentication-method local

undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }

【缺省情况】

未配置本端和对端的认证方式。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

local：指定本端的身份认证方式。

remote：指定对端的身份认证方式。

dsa-signature：表示身份认证方式为DSA数字签名方式。

ecdsa-signature：表示身份认证方式为ECDSA数字签名方式。

pre-share：表示身份认证方式为预共享密钥方式。

rsa-signature：表示身份认证方式为RSA数字签名方式。

【使用指导】

一个IKEv2 profile中，必须配置IKEv2本端和对端的身份认证方式。本端和对端可以采用不同的身份认证方式。

只能指定一个本端身份认证方式，可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下，可以通过多次执行本命令指定多个对端的身份认证方式。

如果本端或对端的身份认证方式为RSA、DSA或ECDSA数字签名方式（rsa-signature、dsa-signature或ecdsa-signature），则还必须通过命令certificate domain指定PKI域来获取用于签名和验证的数字证书。若没有指定PKI域，则使用系统视图下通过命令pki domain配置的PKI域。

如果本端或对端的认证方式为预共享密钥方式（pre-share），则还必须在本IKEv2 profile引用的keychain中指定对等体的预共享密钥。

【举例】

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定本端的认证方式为预共享密钥方式，对端的认证方式为RSA数字签名方式。

[Sysname-ikev2-profile-profile1] authentication local pre-share

[Sysname-ikev2-profile-profile1] authentication remote rsa-signature

# 指定对端用于签名和验证的certificate域为genl。

[Sysname-ikev2-profile-profile1] certificate domain genl

# 指定IKEv2 profile引用的keychain为keychain1。

[Sysname-ikev2-profile-profile1] keychain keychain1

【相关命令】

· display ikev2 profile

· certificate domain (ikev2 profile view)

· keychain (ikev2 profile view)

11.9.3 新增-certificate domain命令

certificate domain命令用来指定IKEv2协商采用数字签名认证时使用的PKI域。

undo certificate domain命令用来取消配置IKEv2协商时使用的PKI域。

【命令】

certificate domain domain-name [ sign | verify ]

undo certificate domain domain-name

【缺省情况】

使用系统视图下配置的PKI域来验证证书。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

domain-name：PKI域的名称，为1～31个字符的字符串，不区分大小写。

sign：指定本端使用该PKI域中的本地证书生成数字签名。

verify：指定本端使用该PKI域中的CA证书来验证对端证书。

【使用指导】

如果没有指定sign和verify，则表示指定的PKI域既用于签名也用于验证。一个PKI域用于签名还是验证取决于最后一次的配置，例如，先配了certificate domain abc sign，然后再配certificate domain abc verify，那么最终PKI域abc只用于验证功能。

可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。

如果本端的认证方式配置为RSA、DSA或ECDSA数字签名方式，则必须通过本命令指定PKI域来获取用于签名的本地证书；如果对端的认证方式配置为RSA、DSA或ECDSA数字签名方式，则使用本命令指定PKI域来获取用于验证的CA证书，若未指定PKI域，则使用系统视图下的所有PKI域来验证。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置IKEv2 profile引用的PKI域abc用于签名，PKI域def用于验证。

[Sysname-ikev2-profile-profile1] certificate domain abc sign

[Sysname-ikev2-profile-profile1] certificate domain def verify

【相关命令】

· authentication-method

· pki domain（安全命令参考/PKI）

11.9.4 新增-config-exchange命令

config-exchange命令用来开启指定的配置交换功能。

undo config-exchange命令用来关闭指定的配置交换功能。

【命令】

config-exchange { request | set { accept | send } }

undo config-exchange { request | set { accept | send } }

【缺省情况】

所有的配置交换功能均处于关闭状态。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

request：表示本端在Auth交换请求报文中携带配置交换请求载荷。

set：表示本端在Info报文中携带配置交换设置载荷。

accept：表示本端可接受配置交换设置载荷。

send：表示本端可发送配置交换设置载荷。

【使用指导】

配置交换包括请求数据、回应数据、主动推数据和回应推数据，请求和推送的数据可以为网关地址，内部地址，路由信息等，目前仅支持中心侧内部地址分配。分支侧可以申请地址，但申请到的地址暂无用。

本端可以同时配置request和set参数。

如果本端配置了request参数，则只要对端能通过AAA授权获取到对应的请求数据，就会对本端的请求进行响应。

如果本端配置了set send参数，则对端必须配置set accept参数来配合使用。

如果本端配置了set send参数，且没有收到配置请求时，IKEv2 SA协商成功后才会推送地址给对端。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置本端在Auth交换请求报文中携带配置交换请求载荷。

[Sysname-ikev2-profile-profile1] config-exchange request

【相关命令】

· aaa authorization

· configuration policy

· display ikev2 profile

11.9.5 新增-description

description命令用来配置IKE提议的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在IKE提议的描述信息。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

【参数】

text：IKE提议的描述信息，为1～80个字符的字符串，区分大小写。

【使用指导】

当系统中存在多个IKE提议时，可通过配置相应的描述信息来有效区分不同的IKE提议。

【举例】

# 配置序号为1的IKE提议的描述信息为test。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] description test

11.9.6 新增-display ikev2 policy命令

display ikev2 policy命令用来显示IKEv2安全策略的配置信息。

【命令】

display ikev2 policy [ policy-name | default ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name：IKEv2安全策略的名称，为1～63个字符的字符串，不区分大小写。

default：缺省的IKEv2安全策略。

【使用指导】

如果未指定任何参数，则表示显示所有IKEv2安全策略的配置信息。

【举例】

# 显示所有IKEv2安全策略的配置信息。

<Sysname> display ikev2 policy

IKEv2 policy: 1

Priority: 100

Match local address: 1.1.1.1

Match local address ipv6: 1:1::1:1

Match VRF:

Proposal: 1

Proposal: 2

IKEv2 policy: default

Match local address: Any

Match VRF: Any

Proposal: default

表31 display ikev2 policy命令显示信息描述表

字段	描述
IKEv2 policy	IKEv2安全策略的名称
Priority	IKEv2安全策略优先级
Match local address	匹配IKEv2安全策略的本端IPv4地址
Match local address ipv6	匹配IKEv2安全策略的本端IPv6地址
Match VRF	匹配IKEv2安全策略的VRF
Proposal	IKEv2安全策略引用的IKEv2安全提议名称

【相关命令】

· ikev2 policy

11.9.7 新增-display ikev2 profile命令

display ikev2 profile命令用来显示IKEv2 profile的配置信息。

【命令】

display ikev2 profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

profile-name：IKEv2 profile的名称，为1～63个字符的字符串，不区分大小写。如果不指定本参数，则表示显示所有IKEv2 profile的配置信息。

【举例】

# 显示所有IKEv2 profile的配置信息。

<Sysname> display ikev2 profile

IKEv2 profile: 1

Priority: 100

Match criteria:

Local address 1.1.1.1

Local address 1:1::1:1

Remote identity address 3.3.3.3/32

Inside VRF:

Local identity: address 1.1.1.1

Local authentication method: pre-share

Remote authentication methods: pre-share

Keychain: Keychain1

Sign certificate domain:

Domain1

abc

Verify certificate domain:

Domain2

SA duration: 500 seconds

DPD: Interval 32 secs, retry-interval 23 secs, periodic

Config exchange: request, set accept, set send

NAT keepalive: 10 seconds

Inside VRF:

AAA authorization: Domain domain1, username ikev2

表32 display ikev2 profile命令显示信息描述表

字段	描述
IKEv2 profile	IKEv2 profile的名称
Priority	IKEv2 profile的优先级
Match criteria	查找IKEv2 profile的匹配条件
Local identity	本端身份信息
Local authentication method	本端认证方法
Remote authentication methods	对端认证方法
Keychain	IKEv2 profile引用的keychain
Sign certificate domain	用于签名的PKI域
Verify certificate domain	用于验证的PKI域
SA duration	IKEv2 SA生命周期
DPD	DPD功能参数：探测的间隔时间（单位为秒）、重传时间间隔（单位为秒）、探测模式（按需探测或周期探测）若未开启DPD功能，则显示为Disabled
Config exchange	配置交换功能： · request：表示本端将在Auth交换请求报文中携带配置交换请求载荷 · set accept：表示本端可接受配置交换设置载荷 · set send：表示本端可发送配置交换设置载荷
NAT keepalive	发送NAT保活报文的时间间隔（单位为秒）
Inside vrf	内网VRF名称
AAA authorization	请求AAA授权信息时使用的参数：ISP域名、用户名

【相关命令】

· ikev2 profile

11.9.8 新增-display ikev2 proposal命令

display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。

【命令】

display ikev2 proposal [ name | default ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name：IKEv2安全提议的名称，为1～63个字符的字符串，不区分大小写。

default：缺省的IKEv2安全提议。

【使用指导】

IKEv2安全提议按照优先级从高到低的顺序显示。若不指定任何参数，则显示所有IKEv2提议的配置信息。

【举例】

# 显示所有IKEv2安全提议的配置信息。

<Sysname> display ikev2 proposal

IKEv2 proposal: 1

Encryption: 3DES-CBC, AES-CBC-128, AES-CTR-192, CAMELLIA-CBC-128

Integrity: MD5, SHA256, AES-XCBC

PRF: MD5, SHA256, AES-XCBC

DH group: MODP1024/Group 2, MODP1536/Group 5

IKEv2 proposal: default

Encryption: AES-CBC-128, 3DES-CBC

Integrity: SHA1, MD5

PRF: SHA1, MD5

DH group: MODP1536/Group 5, MODP1024/Group 2

表33 display ikev2 proposal命令显示信息描述表

字段	描述
IKEv2 proposal	IKEv2安全提议的名称
Encryption	IKEv2安全提议采用的加密算法
Integrity	IKEv2安全提议采用的完整性校验算法
PRF	IKEv2安全提议采用的PRF算法
DH group	IKEv2安全提议采用的DH组

【相关命令】

· ikev2 proposal

11.9.9 新增-display ikev2 sa命令

display ikev2 sa命令用来显示IKEv2 SA的信息。

【命令】

display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] [ verbose [ tunnel tunnel-id ] ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

count：显示IKEv2 SA的数量。

local：显示指定本端地址的IKEv2 SA信息。

remote：显示指定对端地址的IKEv2 SA信息。

ipv4-address：本端或对端的IPv4地址。

ipv6 ipv6-address：本端或对端的IPv6地址。

verbose：显示IKEv2 SA的详细信息。如果不指定该参数，则表示显示IKEv2 SA的摘要信息。

tunnel tunnel-id：显示指定IPsec隧道的IKEv2 SA详细信息。tunnel-id为IPsec隧道标识符，取值范围为1～2000000000。

【使用指导】

若不指定任何参数，则显示所有IKEv2 SA的摘要信息。

【举例】

# 显示所有IKEv2 SA的摘要信息。

<Sysname> display ikev2 sa

Tunnel ID Local Remote Status

--------------------------------------------------------------------

1 1.1.1.1/500 1.1.1.2/500 EST

2 2.2.2.1/500 2.2.2.2/500 EST

Status:

IN-NEGO: Negotiating, EST: Established, DEL: Deleting

# 显示对端地址为1.1.1.2的IKEv2 SA的摘要信息。

<Sysname> display ikev2 sa remote 1.1.1.2

Tunnel ID Local Remote Status

--------------------------------------------------------------------

1 1.1.1.1/500 1.1.1.2/500 EST

Status:

IN-NEGO: Negotiating, EST: Established, DEL: Deleting

表34 display ikev2 sa命令显示信息描述表

字段	描述
Tunnel ID	IKEv2 SA的隧道标识符
Local	IKEv2 SA的本端IP地址
Remote	IKEv2 SA的对端IP地址
Status	IKEv2 SA的状态： · IN-NEGO（Negotiating）：表示此IKE SA正在协商 · EST（Established）：表示此IKE SA已建立成功 · DEL（Deleting）：表示此IKE SA将被删除

# 显示所有IKEv2 SA的详细信息。

<Sysname> display ikev2 sa verbose

Tunnel ID: 1

Local IP/Port: 1.1.1.1/500

Remote IP/Port: 1.1.1.2/500

Outside VRF: -

Inside VRF: -

Local SPI: 8f8af3dbf5023a00

Remote SPI: 0131565b9b3155fa

Local ID type: FQDN

Local ID: router_a

Remote ID type: FQDN

Remote ID: router_b

Auth sign method: Pre-shared key

Auth verify method: Pre-shared key

Integrity algorithm: HMAC_MD5

PRF algorithm: HMAC_MD5

Encryption algorithm: AES-CBC-192

Life duration: 86400 secs

Remaining key duration: 85604 secs

Diffie-Hellman group: MODP1024/Group2

NAT traversal: Not detected

DPD：Interval 20 secs, retry interval 2 secs

Transmitting entity: Initiator

Local window: 1

Remote window: 1

Local request message ID: 2

Remote request message ID:2

Local next message ID: 0

Remote next message ID: 0

Pushed IP address: 192.168.1.5

Assigned IP address: 192.168.2.24

# 显示对端地址为1.1.1.2的IKEv2 SA的详细信息。

<Sysname> display ikev2 sa remote 1.1.1.2 verbose

Tunnel ID: 1

Local IP/Port: 1.1.1.1/500

Remote IP/Port: 1.1.1.2/500

Outside VRF: -

Inside VRF: -

Local SPI: 8f8af3dbf5023a00

Remote SPI: 0131565b9b3155fa

Local ID type: FQDN

Local ID: router_a

Remote ID type: FQDN

Remote ID: router_b

Auth sign method: Pre-shared key

Auth verify method: Pre-shared key

Integrity algorithm: HMAC_MD5

PRF algorithm: HMAC_MD5

Encryption algorithm: AES-CBC-192

Life duration: 86400 secs

Remaining key duration: 85604 secs

Diffie-Hellman group: MODP1024/Group2

NAT traversal: Not detected

DPD: Interval 30 secs, retry 10 secs

Transmitting entity: Initiator

Local window: 1

Remote window: 1

Local request message ID: 2

Remote request message ID: 2

Local next message ID: 0

Remote next message ID: 0

Pushed IP address: 192.168.1.5

Assigned IP address: 192.168.2.24

表35 display ikev2 sa verbose命令显示信息描述表

字段	描述
Tunnel ID	IKEv2 SA的隧道标识符
Local IP/Port	本端安全网关的IP地址/端口号
Remote IP/Port	对端安全网关的IP地址/端口号
Outside VRF	出方向被保护数据所属的VRF名称，-表示属于公网
Inside VRF	入方向被保护数据所属的VRF名称，-表示属于公网
Local SPI	本端安全参数索引
Remote SPI	对端安全参数索引
Local ID type	本端安全网关的身份信息类型
Local ID	本端安全网关的身份信息
Remote ID type	对端安全网关的身份信息类型
Remote ID	对端安全网关的身份信息
Auth sign method	IKEv2安全提议中认证使用的签名方法
Auth verify method	IKEv2安全提议中认证使用的验证方法
Integrity algorithm	IKEv2安全提议中使用的完整性算法
PRF algorithm	IKEv2安全提议中使用的PRF算法
Encryption algorithm	IKEv2安全提议中使用的加密算法
Life duration	IKEv2 SA的生命周期（单位为秒）
Remaining key duration	IKEv2 SA的剩余生命周期（单位为秒）
Diffie-Hellman group	IKEv2密钥协商时所使用的DH密钥交换参数
NAT traversal	是否检测到协商双方之间存在NAT网关设备
DPD	DPD探测的时间间隔和重传时间（单位为秒），若未开启DPD探测功能，则显示为Disabled
Transmitting entity	IKEv2协商中的实体角色：发起方、响应方
Local window	本端IKEv2协商的窗口大小
Remote window	对端IKEv2协商的窗口大小
Local request message ID	本端下一次要发送的请求消息的序号
Remote request message ID	对端下一次要发送的请求消息的序号
Local next message ID	本端期望下一个接收消息的序号
Remote next message ID	对端期望下一个接收消息的序号
Pushed IP address	对端推送给本端的IP地址
Assigned IP address	本端分配给对端的IP地址

11.9.10 新增-display ikev2 statistics命令

display ikev2 statistics命令用来显示IKEv2的统计信息。

【命令】

display ikev2 statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示IKEv2的统计信息。

<Sysname> display ikev2 statistics

IKEv2 statistics:

Unsupported critical payload: 0

Invalid IKE SPI: 0

Invalid major version: 0

Invalid syntax: 0

Invalid message ID: 0

Invalid SPI: 0

No proposal chosen: 0

Invalid KE payload: 0

Authentication failed: 0

Single pair required: 0

TS unacceptable: 0

Invalid selectors: 0

Temporary failure: 0

No child SA: 0

Unknown other notify: 0

No enough resource: 0

Enqueue error: 0

No IKEv2 SA: 0

Packet error: 0

Other error: 0

Retransmit timeout: 0

DPD detect error: 0

Del child for IPsec message: 0

Del child for deleting IKEv2 SA: 0

Del child for receiving delete message: 0

表36 display ikev2 statistics命令显示信息描述表

字段	描述
IKEv2 statistics	IKEv2统计信息
Unsupported critical payload	不支持的重要载荷
Invalid IKE SPI	无效的IKE SPI信息
Invalid major version	无效的主版本号
Invalid syntax	无效的语法
Invalid message ID	无效的Message ID
Invalid SPI	无效的SPI
No proposal chosen	提议不匹配
Invalid IKE payload	无效的IKE载荷
Authentication failed	认证失败
Single pair required	需要特定的地址对
TS unacceptable	不可接受的Traffic Selectors
Invalid selectors	无效的Selector
Temporary failure	临时错误
No child SA	找不到Child SA
Unknown other notify	未定义的其它通知类型
No enough resource	资源不够
Enqueue error	入队列错误
No IKEv2 SA	没有IKEv2 SA
Packet error	报文错误
Other error	其它错误
Retransmit timeout	重传超时
DPD detect error	DPD探测失败
Del child for IPsec message	由于收到IPsec消息删除Child SA
Del child for deleting IKEv2 SA	由于删除IKEv2 SA删除Chlid SA
Del child for receiving delete message	由于收到删除消息删除Child SA

11.9.11 新增-dh命令

dh命令用来配置IKEv2密钥协商时所使用的DH密钥交换参数。

undo dh命令用来恢复缺省情况。

【命令】

非FIPS模式下：

dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *

undo dh

FIPS模式下：

dh { group14 | group24 | group19 | group20 } *

undo dh

【缺省情况】

IKEv2安全提议未定义DH组。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

【参数】

group1：指定密钥协商时采用768-bit的Diffie-Hellman group。

group2：指定密钥协商时采用1024-bit的Diffie-Hellman group。

group5：指定密钥协商时采用1536-bit的Diffie-Hellman group。

group14：指定密钥协商时采用2048-bit的Diffie-Hellman group。

group24：指定密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

group19：指定密钥协商时采用ECP模式含256-bit的Diffie-Hellman group。

group20：指定密钥协商时采用ECP模式含384-bit的Diffie-Hellman group。

【使用指导】

group1提供了最低的安全性，但是处理速度最快。group24提供了最高的安全性，但是处理速度最慢。其他的group随着位数的增加，提供了更高的安全性，但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。

一个IKEv2安全提议中至少需要配置一个DH组，否则该安全提议不完整。

一个IKEv2安全提议中可以配置多个DH组，其使用优先级按照配置顺序依次降低。

【举例】

# 指定IKEv2提议1使用768-bit的Diffie-Hellman group。

<Sysname> system-view

[Sysname] ikev2 proposal 1

[Sysname-ikev2-proposal-1] dh group1

【相关命令】

· ikev2 proposal

11.9.12 新增-dpd命令

dpd用来配置IKEv2 DPD探测功能。

undo dpd命令用来关闭 IKEv2 DPD探测功能。

【命令】

dpd interval interval [ retry seconds ] { on-demand | periodic }

undo dpd interval

【缺省情况】

IKEv2 profile视图下的DPD探测功能处于关闭状态，使用全局的DPD配置。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

interval interval：指定IKEv2 DPD探测的间隔时间，取值范围为10～3600，单位为秒。对于按需探测模式，指定经过多长时间没有从对端收到IPsec报文，则本端发送IPsec报文时触发DPD探测；对于定时探测模式，指触发一次DPD探测的时间间隔。

retry seconds：指定DPD报文的重传时间间隔，取值范围为2～60，单位为秒。缺省值为5秒。

on-demand：指定按需探测模式，即根据流量来探测对端是否存活，在本端发送用户报文时，如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔，则触发DPD探测。

periodic：指定定时探测模式，即按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。

【使用指导】

IKEv2 DPD有两种模式：按需探测模式和定时探测模式。一般若无特别要求，建议使用按需探测模式，在此模式下，仅在本端需要发送报文时，才会触发探测；如果需要尽快地检测出对端的状态，则可以使用定时探测模式。在定时探测模式下工作，会消耗更多的带宽和计算资源，因此当设备与大量的IKEv2对端通信时，应优先考虑使用按需探测模式。

配置的interval一定要大于retry，保证在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 为IKEv2 profile1配置IKEv2 DPD功能，指定若10秒内没有从对端收到IPsec报文，则触发IKEv2

DPD探测，DPD请求报文的重传时间间隔为5秒，探测模式为按需探测。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand

【相关命令】

· ikev2 dpd

11.9.13 新增-encryption命令

encryption命令用来指定IKEv2安全提议使用的加密算法。

undo encryption命令用来恢复缺省情况。

【命令】

非FIPS模式下：

encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *

undo encryption

FIPS模式下：

encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 } *

undo encryption

【缺省情况】

IKEv2安全提议未定义加密算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

【参数】

3des-cbc：指定IKEv2安全提议采用的加密算法为CBC模式的3DES算法，3DES算法采用168比特的密钥进行加密。

aes-cbc-128：指定IKEv2安全提议采用的加密算法为CBC模式的AES算法，AES算法采用128比特的密钥进行加密。

aes-cbc-192：指定IKEv2安全提议采用的加密算法为CBC模式的AES算法，AES算法采用192比特的密钥进行加密。

aes-cbc-256：指定IKEv2安全提议采用的加密算法为CBC模式的AES算法，AES算法采用256比特的密钥进行加密。

aes-ctr-128：指定IKEv2安全提议采用的加密算法为CTR模式的AES算法，密钥长度为128比特。

aes-ctr-192：指定IKEv2安全提议采用的加密算法为CTR模式的AES算法，密钥长度为192比特。

aes-ctr-256：指定IKEv2安全提议采用的加密算法为CTR模式的AES算法，密钥长度为256比特。

camellia-cbc-128：指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法，密钥长度为128比特。

camellia-cbc-192：指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法，密钥长度为192比特。

camellia-cbc-256：指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法，密钥长度为256比特。

des-cbc：指定IKEv2安全提议采用的加密算法为CBC模式的DES算法，DES算法采用56比特的密钥进行加密。

【使用指导】

IKEv2安全提议中至少需要配置一个加密算法，否则该安全提议不完整，也不可用。一个IKEv2安全提议中可以配置多个加密算法，其使用优先级按照配置顺序依次降低。

【举例】

# 指定IKEv2安全提议1的加密算法为CBC模式的168-bit 3DES。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

[Sysname-ikev2-proposal-prop1] encryption 3des-cbc

【相关命令】

· ikev2 proposal

11.9.14 新增-hostname命令

hostname命令用来指定IKEv2 peer的主机名称。

undo hostname命令用来恢复缺省情况。

【命令】

hostname name

undo hostname

【缺省情况】

未配置IKEv2 peer的主机名称。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

【参数】

name：IKEv2 peer主机名称，为1～253个字符的字符串，不区分大小写。

【使用指导】

主机名仅适用于在基于IPsec安全策略的IKEv2协商中发起方查询IKEv2 peer，不适用于基于IPsec虚拟隧道接口的IKEv2协商。

【举例】

# 创建IKEv2 keychain，名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的主机名为test。

[Sysname-ikev2-keychain-key1-peer-peer1] hostname test

【相关命令】

· ikev2 keychain

· peer

11.9.15 新增-identity命令

identity命令用来指定IKEv2 peer的身份信息。

undo identity命令用来恢复缺省情况。

【命令】

identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }

undo identity

【缺省情况】

未指定IKEv2 peer的身份信息。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：对端IPv4地址。

ipv6 ipv6-address：对端IPv6地址。

fqdn fqdn-name：对端FQDN名称，为1～255个字符的字符串，区分大小写，例如www.test.com。

email email-string：指定标识对端身份的E-mail地址。email-string为按照RFC 822定义的1～255个字符的字符串，区分大小写，例如esec@test.com。

key-id key-id-string：指定标识对端身份的Key-ID名称。key-id-string为1～255个字符的字符串，区分大小写，通常为具体厂商的某种私有标识字符串。

【使用指导】

对等体身份信息仅用于IKEv2协商的响应方查询IKEv2 peer，因为发起方在发起IKEv2协商时并不知道对端的身份信息。

【举例】

# 创建一个IKEv2 keychain，名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的身份信息为地址1.1.1.2。

[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2

【相关命令】

· ikev2 keychain

· peer

11.9.16 新增-identity local命令

identity local命令用来配置本端身份信息，用于在IKEv2认证协商阶段向对端标识自己的身份。

undo identity local命令用来恢复缺省情况。

【命令】

identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }

undo identity local

【缺省情况】

未指定IKEv2本端身份信息，使用应用IPsec安全策略的接口的IP地址作为本端身份。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

address { ipv4-address | ipv6 ipv6-address }：指定标识本端身份的IP地址，其中ipv4-address为标识本端身份的IPv4地址，ipv6-address为标识本端身份的IPv6地址。

dn：使用从本端数字证书中获得的DN名作为本端身份。

email email-string：指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1～255个字符的字符串，区分大小写，例如sec@abc.com。

fqdn fqdn-name：指定标识本端身份的FQDN名称。fqdn-name为1～255个字符的字符串，区分大小写，例如www.test.com。

key-id key-id-string：指定标识本端身份的Key-ID名称。key-id-string为1～255个字符的字符串，区分大小写，通常为具体厂商的某种私有标识字符串。

【使用指导】

交换的身份信息用于协商双方在协商时识别对端身份。

【举例】

#创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定使用IP地址2.2.2.2标识本端身份。

[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2

【相关命令】

· peer

11.9.17 新增-ikev2 cookie-challenge命令

ikev2 cookie-challenge命令用来开启cookie-challenge功能。

undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。

【命令】

ikev2 cookie-challenge number

undo ikev2 cookie-challenge

【缺省情况】

IKEv2 cookie-challenge功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number：指定触发响应方启用cookie-challenge功能的阈值，取值范围为0～1000。

【使用指导】

若响应方配置了cookie-challenge功能，当响应方发现存在的半开IKE SA超过指定的数目时，就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后，构造一个Cookie通知载荷并响应发起方，若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求，则可以继续后续的协商过程，防止由于源IP仿冒而耗费大量响应方的系统资源，造成对响应方的DoS攻击。

【举例】

# 开启cookie-challenge功能，并配置启用cookie-challenge功能的阈值为450。

<Sysname> system-view

[Sysname] ikev2 cookie-challenge 450

11.9.18 新增-ikev2 dpd命令

ikev2 dpd命令用来配置全局IKEv2 DPD功能。

undo ikev2 dpd命令用来关闭全局IKEv2 DPD功能。

【命令】

ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }

undo ikev2 dpd interval

【缺省情况】

IKEv2 DPD探测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval interval：指定触发IKEv2 DPD探测的时间间隔，取值范围为10～3600，单位为秒。对于按需探测模式，指定经过多长时间没有从对端收到IPsec报文，则发送报文前触发一次DPD探测；对于定时探测模式，指触发一次DPD探测的时间间隔。

retry seconds：指定DPD报文的重传时间间隔，取值范围为2～60，单位为秒，缺省值为5秒。

on-demand：指定按需探测模式，即根据流量来探测对端是否存活，在本端发送IPsec报文时，如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔（即通过interval指定的时间），则触发DPD探测。

periodic：指定定时探测模式，即按照触发IKEv2 DPD探测的时间间隔（即通过interval指定的时间）定时探测对端是否存活。

【使用指导】

如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能，则IKEv2 profile视图下的DPD配置生效，如果IKEv2 profile视图下没有配置DPD探测功能，则采用系统视图下的DPD配置。

配置的interval一定要大于retry，保证在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。

<Sysname> system-view

[Sysname] ikev2 dpd interval 15 on-demand

# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。

<Sysname> system-view

[Sysname] ikev2 dpd interval 15 periodic

【相关命令】

· dpd（IKEv2 profile view）

11.9.19 新增-ikev2 keychain命令

ikev2 keychain命令用来创建IKEv2 keychain，并进入IKEv2 keychain视图。如果指定的IKEv2 keychain已经存在，则直接进入IKEv2 keychain视图。

undo ikev2 keychain命令用来删除指定的IKEv2 keychain。

【命令】

ikev2 keychain keychain-name

undo ikev2 keychain keychain-name

【缺省情况】

不存在IKEv2 keychain。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keychain-name：IKEv2 keychain的名称，为1～63个字符的字符串，不区分大小写，且不能包括字符“-”。

【使用指导】

任何一端采用了预共享密钥认证方式时，IKEv2 profile下必须引用keychain，且只能引用一个。配置的预共享密钥的值需要与对端IKEv2网关上配置的预共享密钥的值相同。

一个IKEv2 keychain下可以配置多个IKEv2 peer。

【举例】

# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。

<Sysname> system-view

[Sysname] ikev2 keychain key1

[Sysname-ikev2-keychain-key1]

11.9.20 新增-ikev2 nat-keepalive命令

ikev2 nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。

undo ikev2 nat-keepalive命令用来恢复缺省情况。

【命令】

ikev2 nat-keepalive seconds

undo ikev2 nat-keepalive

【缺省情况】

探测到NAT后发送NAT Keepalive报文的时间间隔为10秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

seconds：向对端发送NAT Keepalive报文的时间间隔，取值范围为5～3600，单位为秒。

【使用指导】

该命令仅对位于NAT之后的设备（即该设备位于NAT设备连接的私网侧）有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文，以确保NAT设备上相应于该流量的会话存活，从而让NAT之外的设备可以访问NAT之后的设备。因此，配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。

【举例】

# 配置向NAT发送NAT Keepalive报文的时间间隔为5秒。

<Sysname> system-view

[Sysname] ikev2 nat-keepalive 5

11.9.21 新增-ikev2 policy命令

ikev2 policy命令用来创建IKEv2安全策略，并进入IKEv2安全策略视图。如果指定的IKEv2安全策略已经存在，则直接进入IKEv2安全策略视图。

undo ikev2 policy命令用来删除指定的IKEv2安全策略。

【命令】

ikev2 policy policy-name

undo ikev2 policy policy-name

【缺省情况】

系统中存在一个名称为default的缺省IKEv2安全策略，该缺省的策略中包含一个缺省的IKEv2安全提议default，且可与所有的本端地址相匹配。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name：IKEv2安全策略的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

IKE_SA_INIT协商时，发起方根据应用IPsec安全策略的接口地址来选择要使用的IKEv2安全策略；响应方根据收到IKEv2报文的接口地址以来选择要使用的IKEv2安全策略。选定IKEv2安全策略后，设备将根据安全策略中的安全提议进行加密算法、完整性校验算法、PRF算法和DH组的协商。

可以配置多个IKEv2安全策略。一个IKEv2安全策略中必须至少包含一个IKEv2安全提议，否则该策略不完整。

若发起方配置的IPsec安全策略为IPsec共享源接口安全策略，则IKE_SA_INIT协商时，使用共享源接口地址来选择要使用的IKEv2安全策略。

相同匹配条件下，配置的优先级可用于调整匹配IKEv2安全策略的顺序。

如果没有配置IKEv2安全策略，则使用默认的IKEv2安全策略default。用户不能进入并配置默认的IKEv2安全策略default。

【举例】

# 创建IKEv2安全策略policy1，并进入IKEv2安全策略视图。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1]

【相关命令】

· display ikev2 policy

11.9.22 新增-ikev2 profile 命令

ikev2 profile命令用来创建IKEv2 profile，并进入IKEv2 profile视图。如果指定的IKEv2 profile已经存在，则直接进入IKEv2 profile视图。

undo ikev2 profile命令用来删除指定的IKEv2 profile。

【命令】

ikev2 profile profile-name

undo ikev2 profile profile-name

【缺省情况】

不存在IKEv2 profile。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name：IKEv2 profile的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

IKEv2 profile用于保存非协商的IKEv2 SA的参数，如本端和对端的身份、本端和对端的认证方式、用于查找IKEv2 profile的匹配条件等。

【举例】

# 创建IKEv2 profile，名称为profile1，并进入IKEv2 profile视图。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1]

【相关命令】

· display ikev2 profile

11.9.23 新增-ikev2 proposal 命令

ikev2 proposal命令用来创建IKEv2安全提议，并进入IKEv2安全提议视图。如果指定的IKEv2安全提议已经存在，则直接进入IKEv2安全提议视图。

undo ikev2 proposal命令用来删除指定的IKEv2安全提议。

【命令】

ikev2 proposal proposal-name

undo ikev2 proposal proposal-name

【缺省情况】

系统中存在一个名称为default的缺省IKEv2安全提议。

非FIPS模式下，缺省提议使用的算法：

· 加密算法：AES-CBC-128和3DES

· 完整性校验算法：HMAC-SHA1和HMAC-MD5

· PRF算法：HMAC-SHA1和HMAC-MD5

· DH：group5和group2

FIPS模式下，缺省提议使用的算法：

· 加密算法：AES-CBC-128和AES-CTR-128

· 完整性校验算法：HMAC-SHA1和HMAC-SHA256

· PRF算法：HMAC-SHA1和HMAC-SHA256

· DH：group14和group19

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

proposal-name：指定IKEv2安全提议的名称，为1～63个字符的字符串，不区分大小写，且不能为default。

【使用指导】

IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数，包括加密算法、完整性验证算法、PRF（pseudo-random function）算法和DH组。

在一个IKEv2安全提议中，至少需要配置一组安全参数，即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。

在一个IKEv2安全提议中，可以配置多组安全参数，即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组，这些安全参数在实际协商过程中，将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数，请保证在IKEv2安全提议中仅配置了一套安全参数。

【举例】

# 创建IKEv2安全提议prop1，并配置加密算法为aes-cbc-128，完整性校验算法为sha1，PRF算法为sha1，DH组为group2。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128

[Sysname-ikev2-proposal-prop1] integrity sha1

[Sysname-ikev2-proposal-prop1] prf sha1

[Sysname-ikev2-proposal-prop1] dh group2

【相关命令】

· encryption

· integrity

· prf

· dh

11.9.24 新增-integrity命令

integrity命令用来指定IKEv2安全提议使用的完整性校验算法。

undo integrity命令用来恢复缺省情况。

【命令】

非FIPS模式下：

integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo integrity

FIPS模式下：

integrity { sha1 | sha256 | sha384 | sha512 } *

undo integrity

【缺省情况】

未指定IKEv2安全提议使用的完整性校验算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

【参数】

aes-xcbc-mac：指定IKEv2安全提议采用的完整性校验算法为HMAC-AES-XCBC-MAC。

md5：指定IKEv2安全提议采用的完整性校验算法为HMAC-MD5。

sha1：指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-1。

sha256：指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-256。

sha384：指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-384。

sha512：指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-512。

【使用指导】

一个IKEv2安全提议中至少需要配置一个完整性校验算法，否则该安全提议不完整。一个IKEv2安全提议中可以配置多个完整性校验算法，其使用优先级按照配置顺序依次降低。

【举例】

# 创建IKEv2安全提议prop1。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

# 指定该安全提议使用的完整性校验算法为MD5和SHA1，且优先选择SHA1。

[Sysname-ikev2-proposal-prop1] integrity sha1 md5

【相关命令】

· ikev2 proposal

11.9.25 新增-keychain命令

keychain命令用来配置采用预共享密钥认证时使用的Keychain。

undo keychain命令用来恢复缺省情况。

【命令】

keychain keychain-name

undo keychain

【缺省情况】

IKEv2 profile中未引用Keychain。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

keychain-name：IKEv2 keychain名称，为1～63个字符的字符串，不区分大小写，且不能包括字符-。

【使用指导】

任何一端采用了预共享密钥认证方式时，IKEv2 profile下必须引用keychain，且只能引用一个。

不同的IKEv2 profile可以共享同一个IKEv2 keychain 。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定IKEv2 profile引用的keychain，keychain的名称为keychain1。

[Sysname-ikev2-profile-profile1] keychain keychain1

【相关命令】

· display ikev2 profile

· ikev2 keychain

11.9.26 新增-match local (IKEv2 profile view) 命令

match local命令用来限制IKEv2 profile的使用范围。

undo match local命令用来取消对IKEv2 profile使用范围的限制。

【命令】

match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

【缺省情况】

未限制IKEv2 profile的使用范围。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

address：指定IKEv2 profile只能用于指定地址或指定接口的地址上的IKEv2协商。

interface-type interface-number：本端接口编号和接口名称，可以是任意三层接口。

ipv4-address：本端接口IPv4地址。

ipv6 ipv6-address：本端接口IPv6地址。

【使用指导】

此命令用于限制IKEv2 profile只能用于指定地址或指定接口上的IKEv2协商，这里的地址指的是本端收到IKEv2报文的接口IP地址，即只有IKEv2协商报文从该地址接收时，才会采用该IKEv2 profile。IKEv2 profile优先级可以手工配置，先配置的优先级高。若希望本端在匹配某些IKEv2 profile的时候，不按照手工配置的顺序来查找，则可以通过本命令来指定这类IKEv2 profile的使用范围。例如，IKEv2 profile A中的match remote地址范围大（match remote identity address range 2.2.2.1 2.2.2.100），IKEv2 profile B中的match remote地址范围小（match remote identity address range 2.2.2.1 2.2.2.10），IKEv2 profile A先于IKEv2 profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口（假设接口地址为3.3.3.3）使用profile B与对端协商，可以配置profile B在指定地址3.3.3.3的接口上使用。

通过该命令可以指定多个本端匹配条件。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 限制IKEv2 profile profile1只能在IP地址为2.2.2.2的接口上使用。

[Sysname-ikev2-profile-profile1] match local address 2.2.2.2

【相关命令】

· match remote

11.9.27 新增-match local address (IKEv2 policy view) 命令

match local address命令用来指定匹配IKEv2安全策略的本端地址。

undo match local address命令用来删除指定的用于匹配IKEv2安全策略的本端地址。

【命令】

match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

【缺省情况】

未指定用于匹配IKEv2安全策略的本端地址，表示本策略可匹配所有本端地址。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number：本端接口编号和接口名称，可以是任意三层接口。

ipv4-address：本端接口IPv4地址。

ipv6 ipv6-address：本端接口IPv6地址。

【使用指导】

根据本端地址匹配IKEv2安全策略时，优先匹配指定了本端地址匹配条件的策略，其次匹配未指定本端地址匹配条件的策略。

【举例】

# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] match local address 3.3.3.3

【相关命令】

· display ikev2 policy

11.9.28 新增-match remote命令

match remote命令用来配置匹配对端身份的规则。

undo match remote命令用来删除一条用于匹配对端身份的规则。

【命令】

match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }

undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }

【缺省情况】

未配置用于匹配对端身份的规则。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

certificate policy-name：基于对端数字证书中的信息匹配IKEv2 profile。其中，policy-name是证书访问控制策略的名称，为1～31个字符的字符串，不区分大小写。本参数用于基于对端数字证书中的信息匹配IKEv2 profile。

identity：基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。

address ipv4-address [ mask | mask-length ]：对端IPv4地址或IPv4网段。其中，ipv4-address为IPv4地址，mask为子网掩码，mask-length为子网掩码长度，取值范围为0～32。

address range low-ipv4-address high-ipv4-address：对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址，high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。

address ipv6 ipv6-address [ prefix-length ]：对端IPv6地址或IPv6网段。其中，ipv6-address为IPv6地址，prefix-length为IPv6前缀长度，取值范围为0～128。

address ipv6 range low-ipv6-address high-ipv6-address：对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址，high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。

fqdn fqdn-name：对端FQDN名称，为1～255个字符的字符串，区分大小写，例如www.test.com。

email email-string：指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串，区分大小写，例如sec@abc.com。

key-id key-id-string：指定标识对等体身份的Key-ID名称。key-id-string为1～255个字符的字符串，区分大小写，通常为具体厂商的某种私有标识字符串。

【使用指导】

查找对端匹配的IKEv2 profile时，对端需要同时满足以下条件：

· 将对端的身份信息与本命令配置的匹配规则进行比较，二者必须相同

· 查找IKEv2 profile和验证对端身份时，需要使用match remote、match local address一起匹配，若有其中一项不符合，则表示该IKEv2 profile不匹配。

查找到匹配的IKEv2 profile后，本端设备将用该IKEv2 profile中的信息与对端完成认证。

为了使得每个对端能够匹配到唯一的IKEv2 profile，不建议在两个或两个以上IKEv2 profile中配置相同的match remote规则，否则能够匹配到哪个IKEv2 profile是不可预知的。match remote规则可以配置多个，并同时都有效，其匹配优先级为配置顺序。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定匹配采用FQDN作为身份标识、且取值为www.test.com的对端。

[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.com

# 指定匹配采用IP地址作为身份标识、且取值为10.1.1.1。

[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1

【相关命令】

· identity local

· match local address

11.9.29 新增-nat-keepalive命令

nat-keepalive命令用来配置发送NAT keepalive的时间间隔。

undo nat-keepalive命令用来恢复缺省情况。

【命令】

nat-keepalive seconds

undo nat-keepalive

【缺省情况】

使用全局的IKEv2 NAT keepalive配置。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

seconds：发送NAT keepalive报文的时间间隔，取值范围为5～3600，单位为秒。

【使用指导】

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置发送NAT keepalive报文的时间间隔为1200秒。

[Sysname-ikev2-profile-profile1]nat-keepalive 1200

【相关命令】

· display ikev2 profile

· ikev2 nat-keepalive

11.9.30 新增-peer 命令

peer命令用来创建IKEv2 peer，并进入IKEv2 peer视图。如果指定的IKEv2 peer已经存在，则直接进入IKEv2 peer视图。

undo peer命令用来删除指定的IKEv2 peer。

【命令】

peer name

undo peer name

【缺省情况】

不存在IKEv2 peer。

【视图】

IKEv2 keychain视图

【缺省用户角色】

network-admin

【参数】

name：IKEv2 peer名称，为1~63个字符的字符串，不区分大小写。

【使用指导】

一个IKEv2 peer中包含了一个预共享密钥以及用于查找该peer的匹配条件，包括对端的主机名称（由命令hostname配置）、对端的IP地址（由命令address配置）和对端的身份（由命令identity配置）。其中，IKEv2协商的发起方使用对端的主机名称或IP地址查找peer，响应方使用对端的身份或IP地址查找peer。

【举例】

# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

【相关命令】

· ikev2 keychain

11.9.31 新增-pre-shared-key命令

pre-shared-key命令用来配置IKEv2 peer的预共享密钥。

undo pre-shared-key命令用来删除IKEv2 peer的预共享密钥。

【命令】

pre-shared-key [ local | remote ] { ciphertext | plaintext } string

undo pre-shared-key [ local | remote ]

【缺省情况】

未配置IKEv2 peer的预共享密钥。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

【参数】

local：表示签名密钥。

remote：表示验证密钥。

ciphertext：以密文方式设置密钥。

plaintext：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。非FIPS模式下，明文密钥为1～128个字符的字符串；密文密钥为1～201个字符的字符串。FIPS模式下，明文密钥为15～128个字符的字符串；密文密钥为15～201个字符的字符串。

【使用指导】

如果指定了参数local或remote，则表示指定的是非对称密钥；若参数local和remote均不指定，则表示指定的是对称密钥。

执行undo命令时，指定要删除的密钥类型必须和已配置的密钥类型完全一致，该undo命令才会执行成功。例如，IKEv2 peer视图下仅有pre-shared-key local的配置，则执行undo pre-shared-key和undo pre-shared-key remote命令均无效。

多次执行本命令，最后一次执行的命令生效。

【举例】

· 发起方示例

# 创建一个IKEv2 keychain，名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 配置peer1的对称预共享密钥为明文111-key。

[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key

[Sysname-ikev2-keychain-key1-peer-peer1] quit

# 创建一个IKEv2 peer，名称为peer2。

[Sysname-ikev2-keychain-key1] peer peer2

# 配置peer2的非对称预共享密钥，签名密钥为明文111-key-a，验证密钥为明文111-key-b。

[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a

[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b

· 响应方示例

# 创建一个IKEv2 keychain，名称为telecom。

<Sysname> system-view

[Sysname] ikev2 keychain telecom

# 创建一个IKEv2 peer，名称为peer1。

[Sysname-ikev2-keychain-telecom] peer peer1

# 配置peer1的对称预共享密钥为明文111-key。

[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key

[Sysname-ikev2-keychain-telecom-peer-peer1] quit

# 创建一个IKEv2 peer，名称为peer2。

[Sysname-ikev2-keychain-telecom] peer peer2

# 配置IKEv2 peer的非对称预共享密钥，签名密钥为明文111-key-b，验证密钥为明文111-key-a。

[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b

[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a

【相关命令】

· ikev2 keychain

· peer

11.9.32 新增-prf命令

prf命令用来指定IKEv2安全提议使用的PRF算法。

undo prf命令用来恢复缺省情况。

【命令】

非FIPS模式下：

prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo prf

FIPS模式下：

prf { sha1 | sha256 | sha384 | sha512 } *

undo prf

【缺省情况】

IKEv2安全提议使用配置的完整性校验算法作为PRF算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

【参数】

aes-xcbc-mac：指定IKEv2安全提议采用的PRF算法为HMAC-AES-XCBC-MAC。

md5：指定IKEv2安全提议采用的PRF算法为HMAC-MD5。

sha1：指定IKEv2安全提议采用的PRF算法为HMAC-SHA-1。

sha256：指定IKEv2安全提议采用的PRF算法为 HMAC-SHA-256。

sha384:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-384。

sha512:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-512。

【使用指导】

一个IKEv2安全提议中可以配置多个PRF算法，其使用优先级按照配置顺序依次降低。

【举例】

# 创建IKEv2安全提议prop1。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

# 指定该安全提议使用的PRF算法为MD5和SHA1，且优先选择SHA1。

[Sysname-ikev2-proposal-prop1m] prf sha1 md5

【相关命令】

· ikev2 proposal

· integrity

11.9.33 新增-priority(IKEv2 policy view) 命令

priority命令用来指定IKEv2安全策略的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKEv2安全策略的优先级为100。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

【参数】

priority：IKEv2安全策略优先级，取值范围为1～65535。该数值越小，优先级越高。

【使用指导】

本命令配置的优先级仅用于响应方在查找IKEv2安全策略时调整IKEv2安全策略的匹配顺序。

【举例】

# 指定IKEv2安全策略policy1的优先级为10。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] priority 10

【相关命令】

· display ikev2 policy

11.9.34 新增-priority (IKEv2 profile view) 命令

priority命令用来配置IKEv2 profile的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKEv2 profile的优先级为100。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

priority：IKEv2 profile优先级，取值范围为1～65535。该数值越小，优先级越高。

【使用指导】

本命令配置的优先级仅用于响应方在查找IKEv2 Profile时调整IKEv2 Profile的匹配顺序。

【举例】

# 指定IKEv2 profile profile1的优先级为10。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1] priority 10

11.9.35 新增-proposal (IKEv2 policy view) 命令

proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。

undo proposal命令用来取消IKEv2安全策略引用的IKEv2安全提议。

【命令】

proposal proposal-name

undo proposal proposal-name

【缺省情况】

IKEv2安全策略未引用IKEv2安全提议。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

【参数】

proposal-name：被引用的IKEv2安全提议的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

若同时指定了多个IKEv2安全提议，则它们的优先级按照配置顺序依次降低。

【举例】

# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] proposal proposal1

【相关命令】

· display ikev2 policy

· ikev2 proposal

11.9.36 新增-reset ikev2 sa命令

reset ikev2 sa命令用来清除IKEv2 SA。

【命令】

reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] | tunnel tunnel-id ] [ fast ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

local：清除指定本端地址的IKEv2 SA信息。

remote：清除指定对端地址的IKEv2 SA信息。

ipv4-address：本端或对端的IPv4地址。

ipv6 ipv6-address：本端或对端的IPv6地址。

tunnel tunnel-id：清除指定IPsec隧道的IKEv2 SA信息，tunnel-id为IPsec隧道标识符，取值范围为1～2000000000。

fast：不等待对端的回应，直接删除本端的IKEv2 SA。若不指定本参数，则表示需要在收到对端的删除通知响应之后，再删除本端的IKEv2 SA。

【使用指导】

清除IKEv2 SA时，会向对端发送删除通知消息，同时删除子SA。

如果不指定任何参数，则删除所有IKEv2 SA及其协商生成的子SA。

【举例】

# 删除对端地址为1.1.1.2 的IKEv2 SA。

<Sysname> display ikev2 sa

Tunnel ID Local Remote Status

--------------------------------------------------------------------

1 1.1.1.1/500 1.1.1.2/500 EST

2 2.2.2.1/500 2.2.2.2/500 EST

Status:

IN-NEGO: Negotiating EST: Established, DEL: Deleting

<Sysname> reset ikev2 sa remote 1.1.1.2

<Sysname> display ikev2 sa

Tunnel ID Local Remote Status

--------------------------------------------------------------------

2 2.2.2.1/500 2.2.2.2/500 EST

Status:

IN-NEGO: Negotiating EST: Established, DEL: Deleting

【相关命令】

· display ikev2 sa

11.9.37 新增-reset ikev2 statistics命令

reset ikev2 statistics命令用来清除IKEv2统计信息。

【命令】

reset ikev2 statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除IKEv2的统计信息，显示IKEv2统计。

<Sysname> reset ikev2 statistics

11.9.38 新增-sa duration命令

sa duration命令用来配置IKEv2 SA的生命周期。

undo sa duration命令用来恢复缺省情况。

【命令】

sa duration seconds

undo sa duration

【缺省情况】

IKEv2 SA的生命周期为86400秒。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

【参数】

seconds：IKEv2 SA的生命周期，取值范围为120～86400，单位为秒。

【使用指导】

在一个IKEv2 SA的生命周期到达之前，可以用该IKEv2 SA进行其它IKEv2协商。因此一个生命周期较长的IKEv2 SA可以节省很多用于重新协商的时间。但是，IKEv2 SA的生命周期越长，攻击者越容易收集到更多的报文信息来对它实施攻击。

本端和对端的IKEv2 SA生命周期可以不一致，也不需要进行协商，由生命周期较短的一方在本端IKEv2 SA生命周期到达之后发起重协商。

【举例】

# 创建IKEv2 profile，名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置IKEv2 SA的生命周期为1200秒。

[Sysname-ikev2-profile-profile1] sa duration 1200

【相关命令】

l display ikev2 profile

11.9.39 新增-esn enable命令

esn enable命令用来开启ESN（Extended Sequence Number，扩展序列号）功能。

undo esn enable命令用来关闭ESN功能。

【命令】

esn enable [ both ]

undo esn enable

【缺省情况】

ESN功能处于关闭状态。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

【参数】

both：既支持扩展序列号，又支持非扩展序列号。若不指定该参数，则表示仅支持扩展序列号。

【使用指导】

ESN功能用于扩展防重放序列号的范围，可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下，该功能可避免防重放序列号被过快消耗而引发频繁地重协商。

只有发起方和响应方都开启了ESN功能，ESN功能才能生效。

【举例】

# 在IPsec安全提议中开启ESN功能。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esn enable

【相关命令】

· display ipsec transform-set

11.9.40 新增-display ike statistics命令

display ike statistics命令用来显示IKE的统计信息。

【命令】

display ike statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示IKE的统计信息。

<Sysname> display ike statistics

IKE statistics:

No matching proposal: 0

Invalid ID information: 0

Unavailable certificate: 0

Unsupported DOI: 0

Unsupported situation: 0

Invalid proposal syntax: 0

Invalid SPI: 0

Invalid protocol ID: 0

Invalid certificate: 0

Authentication failure: 0

Invalid flags: 0

Invalid message id: 0

Invalid cookie: 0

Invalid transform ID: 0

Malformed payload: 0

Invalid key information: 0

Invalid hash information: 0

Unsupported attribute: 0

Unsupported certificate type: 0

Invalid certificate authority: 0

Invalid signature: 0

Unsupported exchange type: 0

No available SA: 0

Retransmit timeout: 0

Not enough memory: 0

Enqueue fails: 0

表37 display ike statistics命令显示信息描述表

字段	描述
No matching proposal	提议不匹配
Invalid ID information	无效的ID信息
Unavailable certificate	本地未发现此证书
Unsupported DOI	不支持的DOI
Unsupported situation	不支持的形式
Invalid proposal syntax	无效的提议语法
Invalid SPI	无效的SPI
Invalid protocol ID	无效的协议ID
Invalid certificate	无效的证书
Authentication failure	认证失败
Invalid flags	无效的标记
Invalid message id	无效的消息ID
Invalid cookie	无效的cookie
Invalid transform ID	无效的transform ID
Malformed payload	畸形载荷
Invalid key information	无效的密钥信息
Invalid hash information	无效的hash信息
Unsupported attribute	不支持的属性
Unsupported certificate type	不支持的证书类型
Invalid certificate authority	无效的证书授权
Invalid signature	无效的签名
Unsupported exchange type	不支持的交换类型
No available SA	没有可用的SA
Retransmit timeout	重传超时
Not enough memory	内存不足
Enqueue fails	入队列失败

11.9.41 新增-ikev2-profile 命令

ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板引用的IKEv2 profile。

undo ikev2-profile命令用来删除IPsec安全策略视图/IPsec安全策略模板引用的IKEv2 profile。

【命令】

ikev2-profile profile-name

undo ikev2-profile

【缺省情况】

IPsec安全策略/IPsec安全策略模板没有引用任何IKEv2 profile。若系统视图下配置了IKEv2 profile，则使用系统视图下配置的IKEv2 profile进行性协商，否则使用全局的IKEv2参数进行协商。

【视图】

IPsec安全策略视图/IPsec安全策略模板视图

【缺省用户角色】

network-admin

【参数】

profile-name：IKEv2 profile的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

IPsec安全策略/IPsec安全策略模板引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。

一个IPsec安全策略视图或一个IPsec安全策略模板视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile，响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商，否则表示此IPsec策略允许用任何IKEv2 profile协商。

【举例】

# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1

【相关命令】

· display ipsec ipv6-policy

· display ipsec policy

· ikev2 profile（安全命令参考/IKEv2）

11.9.42 新增-tfc enable命令

tfc enable命令用来开启TFC（Traffic Flow Confidentiality）填充功能。

undo tfc enable命令用来关闭TFC填充功能。

【命令】

tfc enable

undo tfc enable

【缺省情况】

TFC填充功能处于关闭状态。

【视图】

IPsec安全策略视图/IPsec安全策略模板视图

【缺省用户角色】

network-admin

【使用指导】

TFC填充功能可隐藏原始报文的长度，但可能对报文的加封装及解封装处理性能稍有影响，且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。

【举例】

# 指定IPsec安全策略policy1中开启TFC填充功能。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable

【相关命令】

· display ipsec ipv6-policy

· display ipsec policy

11.9.43 修改-ah authentication-algorithm命令

【原命令】

非FIPS模式下：

ah authentication-algorithm { md5 | sha1 } *

undo ah authentication-algorithm

FIPS模式下：

ah authentication-algorithm sha1

undo ah authentication-algorithm

【修改后的命令】

非FIPS模式下：

ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo ah authentication-algorithm

FIPS模式下：

ah authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *

undo ah authentication-algorithm

【视图】

IPsec安全提议视图

【修改说明】

修改后，增加关键字aes-xcbc-mac、sha256、sha384、sha512，新增了HMAC-AES-XCBC-MAC、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512认证算法。

11.9.44 修改- dh命令

【原命令】

FIPS模式下：

dh group14

undo dh

【修改后的命令】

FIPS模式下：

dh { group14 | group24 }

undo dh

【视图】

IKE提议视图

【修改说明】

修改后，FIPS模式增加group24参数，表示指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

11.9.45 修改- display ipsec { ipv6-policy | policy }命令

【命令】

display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]

【视图】

任意视图

【修改说明】

修改后，增加以下字段：

· 增加字段Traffic Flow Confidentiality 表示TFC（Traffic Flow Confidentiality）填充功能的开启状态；

· 增加字段IKEv2 profile 表示IPsec安全策略引用的IKEv2 Profile的名称。

11.9.46 修改- display ipsec { ipv6-policy-template | policy-template }命令

【命令】

display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]

【视图】

任意视图

【修改说明】

修改后，增加以下字段。

· 增加字段Traffic Flow Confidentiality表示TFC（Traffic Flow Confidentiality）填充功能的开启状态；

· 增加字段Selector mode 表示IPsec安全策略模板的数据流保护方式；

· 增加字段Local address表示IPsec隧道的本端IP地址；

· 增加字段IKEv2 profile表示IPsec安全策略模板引用的IKEv2 Profile的名称；

· 增加字段SA idle time表示IPsec SA的空闲超时时间，单位为秒。

11.9.47 修改- display ipsec sa命令

【命令】

display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]

【视图】

任意视图

【修改说明】

修改后，增加或修改以下字段。

· 字段Perfect Forward Secrecy取值增加256-bit ECP模式 Diffie-Hellman组（dh-group19）、384-bit ECP模式 Diffie-Hellman组（dh-group20）

· 增加字段Extended Sequence Number enable表示ESN（Extended Sequence Number，扩展序列号）功能是否开启

· 增加字段Traffic Flow Confidentiality enable 表示TFC（Traffic Flow Confidentiality）填充功能是否开启

11.9.48 修改- display ipsec transform-set命令

【命令】

display ipsec transform-set [ transform-set-name ]

【视图】

任意视图

【修改说明】

修改后，增加以下字段。

· 增加字段ESN表示ESN（Extended Sequence Number，扩展序列号）功能的开启状态；

· 增加字段PFS表示PFS（Perfect Forward Secrecy，完善的前向安全性）特性的配置；

11.9.49 修改- display ipsec tunnel命令

【命令】

display ipsec tunnel { brief | count | tunnel-id tunnel-id }

【视图】

任意视图

【修改说明】

修改后，字段Perfect Forward Secrecy取值增加256-bit ECP模式 Diffie-Hellman组（dh-group19）和384-bit ECP模式 Diffie-Hellman组（dh-group20）。

11.9.50 修改- esp authentication-algorithm命令

【原命令】

非FIPS模式下：

esp authentication-algorithm { md5 | sha1 } *

undo esp authentication-algorithm

FIPS模式下：

esp authentication-algorithm sha1

undo esp authentication-algorithm

【修改后的命令】

非FIPS模式下：

esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo esp authentication-algorithm

FIPS模式下：

esp authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *

undo esp authentication-algorithm

【视图】

IPsec安全提议视图

【修改说明】

修改后，增加关键字aes-xcbc-mac、sha256、sha384、sha512，新增了HMAC-AES-XCBC-MAC、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512认证算法。

11.9.51 修改- esp encryption-algorithm命令

【原命令】

非FIPS模式下：

esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | null } *

undo esp encryption-algorithm

FIPS模式下：

esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }*

undo esp encryption-algorithm

【修改后的命令】

非FIPS模式下：

esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null } *

undo esp encryption-algorithm

FIPS模式下：

esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 }*

undo esp encryption-algorithm

【视图】

IPsec安全提议视图

【修改说明】

修改后，增加以下关键字：

· aes-ctr-128：采用CTR模式的AES算法，密钥长度为128比特。本参数仅适用于IKEv2协商。

· aes-ctr-192：采用CTR模式的AES算法，密钥长度为192比特。本参数仅适用于IKEv2协商。

· aes-ctr-256：采用CTR模式的AES算法，密钥长度为256比特。本参数仅适用于IKEv2协商。

· camellia-cbc-128：采用CBC模式的Camellia算法，密钥长度为128比特。本参数仅适用于IKEv2协商。

· camellia-cbc-192：采用CBC模式的Camellia算法，密钥长度为192比特。本参数仅适用于IKEv2协商。

· camellia-cbc-256：采用CBC模式的Camellia算法，密钥长度为256比特。本参数仅适用于IKEv2协商。

· gmac-128：采用GMAC算法，密钥长度为128比特。本参数仅适用于IKEv2协商。

· gmac-192：采用GMAC算法，密钥长度为192比特。本参数仅适用于IKEv2协商。

· gmac-256：采用GMAC算法，密钥长度为256比特。本参数仅适用于IKEv2协商。

· gcm-128：采用GCM算法，密钥长度为128比特。本参数仅适用于IKEv2协商。

· gcm-192：采用GCM算法，密钥长度为192比特。本参数仅适用于IKEv2协商。

· gcm-256：采用GCM算法，密钥长度为256比特。本参数仅适用于IKEv2协商。

11.9.52 修改- pfs命令

【原命令】

非FIPS模式下：

pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group24 }

undo pfs

FIPS模式下：

pfs dh-group14

undo pfs

【修改后的命令】

非FIPS模式下：

pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group19 | dh-group20 | dh-group24 }

undo pfs

FIPS模式下：

pfs { dh-group14 | dh-group19 | dh-group20 | dh-group24 }

undo pfs

【视图】

IPsec安全提议视图

【修改说明】

修改后，增加以下关键字：

· dh-group19：采用256-bit ECP模式 Diffie-Hellman组。本参数仅适用于IKEv2协商。

· dh-group20：采用384-bit ECP模式 Diffie-Hellman组。本参数仅适用于IKEv2协商。

12 新增特性－SSH支持Suite B

12.1 配置SSH支持Suite B

RFC6239（Suite B Cryptographic Suites for Secure Shell (SSH)）中定义了SSH支持SuiteB的相关规范，以及SSH服务器和SSH客户端在身份认证时的算法要求、协商过程以及认证过程。SSH服务器和SSH客户端可基于X.509v3证书进行身份认证。

12.1.1 配置SSH服务器所属的PKI域

SSH服务器利用所属的PKI域在密钥交换阶段发送证书给客户端，并用它来对连接的客户端进行认证。

表38 配置SSH服务器所属的PKI域

操作	命令	说明
进入系统视图	system-view	-
配置SSH服务器所属的PKI域	ssh server pki-domain domain-name	缺省情况下，不存在SSH服务器所属的PKI域

12.1.2 与远程的Stelnet服务器建立基于Suite B算法集的连接

该配置任务用来与远程的Stelnet服务器建立基于Suite B算法集的连接。

表39 与远程的Stelnet服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的Stelnet服务器建立基于Suite B算法集的连接

与远程的ipv4 Stelnet服务器建立基于Suite B算法集的连接

ssh2 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 Stelnet服务器建立基于Suite B算法集的连接

ssh2 ipv6 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ interface interface-type interface-number ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

12.1.3 与远程的SFTP服务器建立基于Suite B算法集的连接

该配置任务用来与远程的SFTP服务器建立基于Suite B算法集的连接，并进行文件传输。

表40 与远程的SFTP服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的SFTP服务器建立基于Suite B算法集的连接

与远程的ipv4 SFTP服务器建立基于Suite B算法集的连接

sftp server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 SFTP服务器建立基于Suite B算法集的连接

sftp ipv6 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ interface interface-type interface-number ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

12.1.4 与远程的SCP服务器建立基于Suite B算法集的连接

该配置任务用来与远程的SCP服务器建立基于Suite B算法集的连接，并进行文件传输。

表41 与远程的SCP服务器建立基于Suite B算法集的连接

操作

命令

说明

与远程的SCP服务器建立基于Suite B算法集的连接

与远程的ipv4 SCP服务器建立基于Suite B算法集的连接

scp server [ port-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ip ip-address } ] *

二者至少选其一

请在用户视图下执行本命令

与远程的ipv6 SCP服务器建立基于Suite B算法集的连接

scp ipv6 server [ port-number ] [ interface interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] *

12.1.5 配置SSH2协议算法集

1.配置SSH2协议密钥交换算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中，将使用指定的密钥交换算法优先列表进行密钥交换协商。密钥交换协商过程中，客户端采用的算法匹配顺序为优先列表中各算法的配置顺序，服务器根据客户端的算法来匹配和协商。

表42 配置SSH2协议密钥交换算法优先列表

操作

命令

说明

进入系统视图

system-view

配置SSH2协议密钥交换算法优先列表

非FIPS模式下：

ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

FIPS模式下：

ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

缺省情况下， SSH2协议所采用的密钥交换算法优先列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1、

dh-group1-sha1

2.配置SSH2协议主机签名算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中，将使用指定的主机签名算法优先列表进行主机签名算法协商。主机签名算法协商过程中，客户端采用的算法匹配顺序为优先列表中各算法的配置顺序，服务器根据客户端的算法来匹配和协商。

表43 配置SSH2协议主机签名算法优先列表

操作

命令

说明

进入系统视图

system-view

配置SSH2协议主机签名算法优先列表

非FIPS模式下：

ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

FIPS模式下：

ssh2 algorithm public-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

缺省情况下，SSH2协议所采用的主机签名算法优先列表为：x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa、dsa

3.配置SSH2协议加密算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中，将使用指定的加密算法优先列表进行加密算法协商。加密算法协商过程中，客户端采用的算法匹配顺序为优先列表中各算法的配置顺序，服务器根据客户端的算法来匹配和协商。

表44 配置SSH2协议加密算法优先列表

操作

命令

说明

进入系统视图

system-view

配置SSH2协议加密算法优先列表

非FIPS模式下：

ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

FIPS模式下：

ssh2 algorithm cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

缺省情况下，SSH2协议所采用的加密算法优先列表为：aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc、des-cbc

4.配置SSH2协议MAC算法优先列表

设备与对端建立Stelnet、SFTP、SCP会话过程中，将使用指定的MAC算法优先列表进行MAC算法协商。MAC算法协商过程中，客户端采用的算法匹配顺序为优先列表中各算法的配置顺序，服务器根据客户端的算法来匹配和协商。

表45 配置SSH2协议MAC算法优先列表

操作

命令

说明

进入系统视图

system-view

配置SSH2协议MAC算法优先列表

非FIPS模式下：

ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *

FIPS模式下：

ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *

缺省情况下，SSH2协议所采用的MAC算法优先列表为：sha2-256、sha2-512、sha1、md5、sha1-96、md5-96

12.2 SSH支持Suite B配置命令

12.2.1 新增-ssh server pki-domain

ssh server pki-domain命令用来配置服务器所属的PKI域。

undo ssh server pki-domain命令用来删除服务器所属的PKI域。

【命令】

ssh server pki-domain domain-name

undo ssh server pki-domain

【缺省情况】

未配置服务器所属的PKI域。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

domain-name：验证服务端的PKI域名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

【使用指导】

客户端使用保存在该PKI域中的CA证书对服务器证书进行合法性检查，无需提前保存服务器的公钥。

【举例】

# 配置SSH服务器所属的PKI域为serverpkidomain。

<Sysname> system-view

[Sysname] ssh server pki-domain serverpkidomain

12.2.2 新增-scp ipv6 suite-b命令

scp ipv6 suite-b命令用来与远程的ipv6 SCP服务器建立基于Suite B算法集的连接，并进行文件传输。

【命令】

scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ prefer-compress zlib ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv6地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

-i interface-type interface-number：当前SCP客户端连接所使用的出接口的接口类型和接口编号。本参数用于SCP服务器的地址是链路本地地址的情况，而且指定的出接口必须具有链路本地地址。

get：指定下载文件操作。

put：指定上传文件操作。

source-file-name：源文件名称。

destination-file-name：目的文件名称。若未指定本参数，则表示使用源文件名称作为目的文件名称。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

pki-domain domain-name：配置客户端证书的PKI域。domain-name为客户端证书的PKI域名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。

server-pki-domain domain-name：配置验证服务端证书的PKI域。domain-name为验证服务端证书的PKI域名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域，则缺省使用客户端证书所在的PKI域进行验证。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

source：指定与服务器通信的源IPv6地址或者源接口。缺省情况下，设备根据RFC 3484的规则自动选择一个源IPv6地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断，通常建议指定Loopback接口或者Dialer接口作为源接口，或者接口的IPv6地址作为源地址。

interface interface-type interface-number：指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv6地址作为发送报文的源IPv6地址。

ipv6 ipv6-address：指定源IPv6地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

【举例】

# SCP客户端采用安全级别为192-bit的Suite B算法集，与登录地址为2000::1的远程SCP服务器建立连接，下载名为abc.txt的文件，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp ipv6 2000::1 get abc.txt suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.3 新增-scp suite-b命令

scp suite-b命令用来与远程的IPv4 SCP服务器建立基于Suite B算法集的连接，并进行文件传输。

【命令】

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv4地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

get：指定下载文件操作。

put：指定上传文件操作。

source-file-name：源文件名称。

destination-file-name：目的文件名称。若未指定本参数，则表示使用源文件名称作为目的文件名称。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

source：指定与服务器通信的源IP地址或者源接口。缺省情况下，设备根据路由表项自动选择一个源IPv4地址。为保证客户端与服务器之间的通信不会因为所指定的接口发生故障而中断，通常建议指定Loopback接口或者Dialer接口作为源接口，或者接口的IP地址作为源地址。

interface interface-type interface-number：指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address：指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SCP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

【举例】

# SCP客户端采用安全级别为128-bit的Suite B算法集，与登录地址为200.1.1.1的远程SCP服务器建立连接，下载名为abc.txt的文件，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> scp 200.1.1.1 get abc.txt suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.4 新增-sftp ipv6 suite-b命令

sftp ipv6 suite-b命令用来与远程的ipv6 SFTP服务器建立基于Suite B算法集的连接，并进入SFTP客户端视图。

【命令】

sftp ipv6 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ -i interface-type interface-number ] [ prefer-compress zlib ] [ dscp dscp-value | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv6地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

-i interface-type interface-number：客户端连接服务器时使用的出接口。其中，interface-type interface-number表示接口类型和接口编号。本参数仅在客户端所连接的服务器的地址是链路本地地址时使用。指定的出接口必须具有链路本地地址。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

dscp dscp-value：指定客户端发送的IPv6 SFTP报文中携带的DSCP优先级，取值范围为0～63，缺省值为48。DSCP携带在IPv6报文中的Traffic class字段，用来体现报文自身的优先等级，决定报文传输的优先程度。

ipv6 ipv6-address：指定源IPv6地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

【举例】

# SFTP客户端采用安全级别为192-bit的Suite B算法集，与登录地址为2000::1的远程SFTP服务器建立连接，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.5 新增-sftp suite-b命令

sftp suite-b命令用来与远程的IPv4 SFTP服务器建立基于Suite B算法集的连接，并进入SFTP客户端视图。

【命令】

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv4地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

dscp dscp-value：指定客户端发送的SFTP报文中携带的DSCP优先级，取值范围为0～63，缺省值为48。DSCP携带在IP报文中的ToS字段，用来体现报文自身的优先等级，决定报文传输的优先程度。

interface interface-type interface-number：指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address：指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的SFTP服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

【举例】

# SFTP客户端采用安全级别为128-bit的Suite B算法集，与登录地址为10.1.1.2的远程SFTP服务器建立连接，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> sftp 10.1.1.2 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.6 新增-ssh2 ipv6 suite-b命令

ssh2 ipv6 suite-b命令用来与远程的ipv6 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

ssh2 ipv6 server [ port-number ] suite-b [ 128-bit | 192-bit ] pki-domain domain-name [ server-pki-domain domain-name ] [ -i interface-type interface-number ] [ prefer-compress zlib ] [ dscp dscp-value | escape character | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv6地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

dscp dscp-value：指定客户端发送的IPv6 SSH报文中携带的DSCP优先级，取值范围为0～63，缺省值为48。DSCP携带在IPv6报文中的Traffic class字段，用来体现报文自身的优先等级，决定报文传输的优先程度。

escape character：指定退出字符，该退出字符与字符.配合使用可以强制断开客户端与服务器连接（该方式通常用于服务器端重启或发生异常的情况下，客户端快速中断当前连接）。character为一个字符，区分大小写，缺省为~，即输入~.可以强制断开与服务端的连接。

ipv6 ipv6-address：指定源IPv6地址。

关于退出字符的使用，需要注意的是：

· 必须在一行中首先输入退出字符和.，该操作才能生效，若该行中曾经输入过其它字符或执行了其它操作（比如退格），则需要重新换行输入才能生效。

· 一般情况下，建议使用缺省退出字符，避免退出字符和.的组合与登录用户名相同。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

【举例】

# SSH客户端采用安全级别为192-bit的Suite B算法集，与登录地址为2000::1的远程Stelnet服务器建立连接，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 ipv6 2000::1 suite-b 192-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.7 新增-ssh2 suite-b命令

ssh2 suite-b命令用来与远程的IPv4 Stelnet服务器建立基于Suite B算法集的连接。

【命令】

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

server：服务器的IPv4地址或主机名称，为1～253个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为1～65535，缺省值为22。

suite-b：指定采用Suite B算法集。若未指定128-bit和192-bit参数，则表示同时采用128-bit和192-bit的算法集。

128-bit：指定客户端采用安全级别为128-bit的Suite B算法集。

192-bit：指定客户端采用安全级别为192-bit的Suite B算法集。

prefer-compress：服务器与客户端之间的首选压缩算法，缺省情况下，不支持压缩。

zlib：压缩算法ZLIB。

interface interface-type interface-number：指定源接口。interface-type interface-number为接口类型和接口编号。系统将使用该接口的IPv4地址作为发送报文的源IP地址。

ip ip-address：指定源IPv4地址。

【使用指导】

当客户端采用安全级别为128-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

当客户端采用安全级别为192-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp384。

当客户端未采用安全级别为128-bit和192-bit的Suite B算法集与远程的Stelnet服务器建立连接时，客户端算法要求：

· 密钥交换算法为ecdh-sha2-nistp256、ecdh-sha2-nistp384；

· 服务器到客户端的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的加密算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 服务器到客户端的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 客户端到服务器的HMAC算法为AEAD_AES_128_GCM、AEAD_AES_256_GCM；

· 主机公钥算法为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384。

关于退出字符的使用，需要注意的是：

· 一般情况下，建议使用缺省退出字符，避免退出字符和.的组合与登录用户名相同。

【举例】

# Stelnet客户端采用128-bit的Suite B算法集，与登录地址为3.3.3.3的远程Stelnet服务器建立连接，采用如下连接策略：指定客户端证书的PKI域名称为clientpkidomain，指定验证服务端证书的PKI域名称为serverpkidomain。

<Sysname> ssh2 3.3.3.3 suite-b 128-bit pki-domain clientpkidomain server-pki-domain serverpkidomain

12.2.8 新增-display ssh2 algorithm命令

display ssh2 algorithm命令用来显示设备上配置的SSH2协议使用的算法优先列表。

【命令】

display ssh2 algorithm

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示设备上配置的SSH2协议使用的算法优先列表。

<Sysname> display ssh2 algorithm

Key exchange algorithms : ecdh-sha2-nistp256 ecdh-sha2-nistp384 dh-group-exchange-sha1 dh-group14-sha1 dh-group1-sha1

Public key algorithms : x509v3-ecdsa-sha2-nistp256 x509v3-ecdsa-sha2-nistp384 ecdsa rsa dsa

Encryption algorithms : aes128-ctr aes192-ctr aes256-ctr aes128-gcm aes256-gcm aes128-cbc 3des-cbc aes256-cbc des-cbc

MAC algorithms : sha2-256 sha2-512 sha1 md5 sha1-96 md5-96

表46 display ssh2 algorithm命令显示信息描述表

字段	描述
Key exchange algorithms	按优先级前后顺序显示当前使用的密钥交换算法列表
Public key algorithms	按优先级前后顺序显示当前使用的主机算法列表
Encryption algorithms	按优先级前后顺序显示当前使用的加密算法列表
MAC algorithms	按优先级前后顺序显示当前使用的MAC算法列表

【相关命令】

· ssh2 algorithm key-exchange

· ssh2 algorithm public-key

· ssh2 algorithm cipher

· ssh2 algorithm mac

12.2.9 新增-ssh2 algorithm cipher命令

ssh2 algorithm cipher命令用来配置SSH2协议使用的加密算法列表。

undo ssh2 algorithm cipher命令用来恢复缺省情况。

【命令】

非FIPS模式下：

ssh2 algorithm cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

undo ssh2 algorithm cipher

FIPS模式下：

ssh2 algorithm cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } *

undo ssh2 algorithm cipher

【缺省情况】

SSH2协议采用的缺省加密算法从高到底的优先级列表为aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm、aes256-gcm、aes128-cbc、3des-cbc、aes256-cbc和des-cbc。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

3des-cbc：3DES-CBC加密算法。

aes128-cbc：128位AES-CBC加密算法。

aes256-cbc：256位AES-CBC加密算法。

des-cbc：DES-CBC加密算法。

aes128-ctr：128位AES-CTR加密算法。

aes192-ctr：192位AES-CTR加密算法。

aes256-ctr：256位AES-CTR加密算法。

aes256-gcm：256位AES-GCM加密算法。

aes128-gcm：128位AES-GCM加密算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定加密算法的情况下，可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的加密算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的加密算法为3des-cbc。

<Sysname> system-view

[Sysname] ssh2 algorithm cipher 3des-cbc

【相关命令】

· display ssh2 algorithm

· ssh2 algorithm key-exchange

· ssh2 algorithm mac

· ssh2 algorithm public-key

12.2.10 新增-ssh2 algorithm key-exchange命令

ssh2 algorithm key-exchange命令用来配置SSH2协议使用的密钥交换算法列表。

undo ssh2 algorithm key-exchange命令用来恢复缺省情况。

【命令】

非FIPS模式下：

ssh2 algorithm key-exchange { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

FIPS模式下：

ssh2 algorithm key-exchange { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } *

undo ssh2 algorithm key-exchange

【缺省情况】

SSH2协议采用的缺省密钥交换算法从高到底的优先级列表为ecdh-sha2-nistp256、ecdh-sha2-nistp384、dh-group-exchange-sha1、dh-group14-sha1和dh-group1-sha1。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dh-group-exchange-sha1：密钥交换算法diffie-hellman-group-exchange-sha1。

dh-group1-sha1：密钥交换算法diffie-hellman-group1-sha1。

dh-group14-sha1：密钥交换算法diffie-hellman-group14-sha1。

ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

【使用指导】

当设备运行环境要求SSH2只能采用特定密钥交换算法的情况下，可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的密钥交换算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的密钥交换算法为dh-group1-sha1。

<Sysname> system-view

[Sysname] ssh2 algorithm key-exchange dh-group1-sha1

【相关命令】

· display ssh2 algorithm

· ssh2 algorithm cipher

· ssh2 algorithm mac

· ssh2 algorithm public-key

12.2.11 新增-ssh2 algorithm mac命令

ssh2 algorithm mac命令用来配置SSH2协议使用的MAC算法列表。

undo ssh2 algorithm mac命令用来恢复缺省情况。

【命令】

非FIPS模式下：

ssh2 algorithm mac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

FIPS模式下：

ssh2 algorithm mac { sha1 | sha1-96 | sha2-256 | sha2-512 } *

undo ssh2 algorithm mac

【缺省情况】

SSH2协议使用的缺省MAC算法从高到底的优先级列表为sha2-256、sha2-512、sha1、md5、sha1-96和md5-96。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

md5：HMAC算法HMAC-MD5。

md5-96：HMAC算法HMAC-MD5-96。

sha1：HMAC算法HMAC-SHA1。

sha1-96：HMAC算法HMAC-SHA1-96。

sha2-256：HMAC算法HMAC-SHA2-256。

sha2-512：HMAC算法HMAC-SHA2-512。

【使用指导】

当设备运行环境要求SSH2只能采用特定MAC算法的情况下，可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的MAC算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的MAC算法为md5。

<Sysname> system-view

[Sysname] ssh2 algorithm mac md5

【相关命令】

· display ssh2 algorithm

· ssh2 algorithm cipher

· ssh2 algorithm key-exchange

· ssh2 algorithm public-key

12.2.12 新增-ssh2 algorithm public-key命令

ssh2 algorithm public-key命令用来配置SSH2协议使用的主机签名算法列表。

undo ssh2 algorithm public-key命令用来恢复缺省情况。

【命令】

非FIPS模式下：

ssh2 algorithm public-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

undo ssh2 algorithm public-key

FIPS模式下：

ssh2 algorithm public-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } *

undo ssh2 algorithm public-key

【缺省情况】

SSH2协议使用的缺省主机签名算法从高到底的优先级列表为x509v3-ecdsa-sha2-nistp256、x509v3-ecdsa-sha2-nistp384、ecdsa-sha2-nistp256、ecdsa-sha2-nistp384、rsa和dsa。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dsa：公钥算法为DSA。

ecdsa-sha2-nistp256：指定公钥长度为256的ECDSA算法。

ecdsa-sha2-nistp384：指定公钥长度为384的ECDSA算法。

rsa：公钥算法为RSA。

x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256证书算法。

x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384证书算法。

【使用指导】

当设备运行环境要求SSH2只能采用特定主机签名算法的情况下，可采用本命令将设备上的SSH2客户端、SSH2服务器所能使用的主机签名算法限定在配置的范围内。算法的配置顺序即为算法的优先级顺序。

【举例】

# 配置SSH2协议所使用的主机签名算法为dsa。

<Sysname> system-view

[Sysname] ssh2 algorithm public-key dsa

【相关命令】

· display ssh2 algorithm

· ssh2 algorithm cipher

· ssh2 algorithm key-exchange

· ssh2 algorithm mac

12.2.13 修改- display ssh server命令

【命令】

display ssh server status

【视图】

任意视图

【修改说明】

修改后，增加字段SSH Server PKI domain name表示SSH服务器PKI域配置。

12.2.14 修改- ssh user命令

【原命令】

非FIPS模式下：

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } assign { pki-domain domain-name | publickey keyname } }

undo ssh user username

FIPS模式下：

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey assign { pki-domain domain-name | publickey keyname } }

undo ssh user username

【修改后的命令】

非FIPS模式下：

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

FIPS模式下：

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | password-publickey [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

【视图】

系统视图

【修改说明】

修改前，用于验证客户端的参数assign { pki-domain domain-name | publickey keyname }为必选配置。

修改后，用于验证客户端的参数assign { pki-domain domain-name | publickey keyname }变成可选配置。

12.2.15 修改- scp命令

【原命令】

非FIPS模式下：

scp server [ port-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

scp server [ port-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

【修改后的命令】

非FIPS模式下：

scp server [ port-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

scp server [ port-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

¡ server-pki-domain domain-name：指定验证服务端证书的PKI域。其中，domain-name表示验证服务端证书的PKI域名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。如果客户端没有指定验证服务端证书所在的PKI域，则缺省使用客户端证书所在的PKI域进行验证。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-kex：密钥交换首选算法。修改前，非FIPS模式下，缺省算法为dh-group-exchange，FIPS模式下，缺省算法为dh-group14；修改后，缺省算法为ecdh-sha2-nistp256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

12.2.16 修改- scp ipv6命令

【原命令】

scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【修改后的命令】

scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

scp ipv6 server [ port-number ] [ -i interface-type interface-number ] { put | get } source-file-name [ destination-file-name ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

12.2.17 修改- sftp命令

【原命令】

非FIPS模式下：

sftp server [ port-number ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ dscp dscp-value | public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

sftp server [ port-number ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

【修改后的命令】

非FIPS模式下：

sftp server [ port-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

sftp server [ port-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

12.2.18 修改- sftp ipv6命令

【原命令】

非FIPS模式下：

sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ dscp dscp-value | public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【修改后的命令】

非FIPS模式下：

sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

sftp ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

12.2.19 修改- ssh2命令

【原命令】

非FIPS模式下：

ssh2 server [ port-number ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ dscp dscp-value | escape character | public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

ssh2 server [ port-number ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ escape character | public-key keyname | source { interface interface-type interface-number | ip ip-address } ] *

【修改后的命令】

非FIPS模式下：

ssh2 server [ port-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

FIPS模式下：

ssh2 server [ port-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ip ip-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

12.2.20 修改- ssh2 ipv6命令

【原命令】

非FIPS模式下：

ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * [ dscp dscp-value | escape character | public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { ecdsa | rsa } | prefer-compress zlib | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] * [ escape character | public-key keyname | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【修改后的命令】

非FIPS模式下：

ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { dsa | ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group-exchange-sha1 | dh-group1-sha1 | dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { 3des-cbc | aes128-cbc | aes256-cbc | des-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ dscp dscp-value | escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

FIPS模式下：

ssh2 ipv6 server [ port-number ] [ -i interface-type interface-number ] [ identity-key { ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | rsa | { x509v3-ecdsa-sha2-nistp384 | x509v3-ecdsa-sha2-nistp256 } pki-domain domain-name } | prefer-compress zlib | prefer-ctos-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-ctos-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } | prefer-kex { dh-group14-sha1 | ecdh-sha2-nistp256 | ecdh-sha2-nistp384 } | prefer-stoc-cipher { aes128-cbc | aes256-cbc | aes128-ctr | aes192-ctr | aes256-ctr | aes128-gcm | aes256-gcm } | prefer-stoc-hmac { sha1 | sha1-96 | sha2-256 | sha2-512 } ] * [ escape character | { public-key keyname | server-pki-domain domain-name } | source { interface interface-type interface-number | ipv6 ipv6-address } ] *

【视图】

用户视图

【修改说明】

修改后，有以下几处变更：

· 新增关键字pki-domain和server-pki-domain：

¡ pki-domain domain-name：指定客户端证书的PKI域，公钥算法为x509v3时，指定客户端证书所在PKI域名称，才能得到正确的本地证书。

· 客户端采用的公钥算法（关键字identity-key）修改关键字：ecdsa修改为ecdsa-sha2-nistp256和ecdsa-sha2-nistp384。

¡ ecdsa-sha2-nistp256表示指定公钥长度为256的ECDSA算法。

¡ ecdsa-sha2-nistp384表示指定公钥长度为384的ECDSA算法。

· 客户端publickey认证时采用的公钥算法（关键字identity-key）新增两种：

¡ x509v3-ecdsa-sha2-nistp256：x509v3-ecdsa-sha2-nistp256公钥算法。

¡ x509v3-ecdsa-sha2-nistp384：x509v3-ecdsa-sha2-nistp384公钥算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）新增以下几种：

¡ aes128-ctr：128位AES-CTR加密算法。

¡ aes192-ctr：192位AES-CTR加密算法。

¡ aes256-ctr：256位AES-CTR加密算法。

¡ aes256-gcm：256位AES-GCM加密算法。

¡ aes128-gcm：128位AES-GCM加密算法。

· 客户端到服务器端的首选加密算法（关键字prefer-ctos-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 客户端到服务器端的首选HMAC算法（关键字prefer-ctos-hmac）新增两种：

¡ sha2-256：HMAC算法HMAC-SHA2-256。

¡ sha2-512：HMAC算法HMAC-SHA2-512。

· 密钥交换首选算法（关键字prefer-kex）新增两种：

¡ ecdh-sha2-nistp256：密钥交换算法ecdh-sha2-nistp256。

¡ ecdh-sha2-nistp384：密钥交换算法ecdh-sha2-nistp384。

· 密钥交换首选算法（关键字prefer-kex）修改关键字：

¡ dh-group-exchange修改为dh-group-exchange-sha1。

¡ dh-group1修改为dh-group1-sha1。

¡ dh-group14修改为dh-group14-sha1。

· 服务器端到客户端的首选加密算法（关键字prefer-stoc-cipher）修改关键字：

¡ 3des修改为3des-cbc。

¡ aes128修改为aes128-cbc。

¡ aes256修改为aes256-cbc。

¡ des修改为des-cbc。

· 缺省值变更：

¡ prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法从sha1变为sha2-256。

¡ prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法从aes128变为aes128-ctr。

¡ prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法从sha1变为sha2-256。

13 新增特性－公钥管理支持Suite B

13.1 配置公钥管理支持Suite B

Suite B算法集是一种通用的加密和认证算法集，可满足高级别的安全标准要求。公钥管理模块有新增算法Suite B，新增两种本地ECDSA密钥对生成算法。

13.2 公钥管理支持Suite B配置命令

13.2.1 修改- public-key local create命令

【原命令】

非FIPS模式下：

public-key local create { dsa | ecdsa { secp192r1 | secp256r1 } | rsa } [ name key-name ]

FIPS模式下：

public-key local create { dsa | ecdsa secp256r1 | rsa } [ name key-name ]

【修改后的命令】

非FIPS模式下：

public-key local create { dsa | ecdsa { secp192r1 | secp256r1 | secp384r1 | secp521r1 } | rsa } [ name key-name ]

FIPS模式下：

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 | secp521r1 } | rsa } [ name key-name ]

【视图】

系统视图

【修改说明】

修改后，新增两种本地ECDSA密钥对生成算法：

· secp384r1：采用名称为secp384r1的椭圆曲线生成本地ECDSA密钥对，密钥长度为384比特。

· secp521r1：采用名称为secp521r1的椭圆曲线生成本地ECDSA密钥对，密钥长度为521比特。

14 新增特性－PKI支持Suite B

14.1 配置PKI支持Suite B

Suite B算法集是一种通用的加密和认证算法集，可满足高级别的安全标准要求。PKI模块有新增命令行支持Suite B 。

表47 指定证书申请时使用的ECDSA密钥对

配置任务	命令	说明
进入系统视图	system-view	-
创建一个PKI域，并进入PKI域视图	pki domain domain-name	缺省情况下，不存在PKI 域
指定证书申请时使用的ECDSA密钥对	public-key ecdsa name key-name [ secp192r1 \| secp256r1 \| secp384r1 \| secp521r1 ]	缺省情况下，未指定所使用的密钥对

14.2 PKI支持Suite B配置命令

14.2.1 新增-public-key ecdsa命令

public-key ecdsa命令用来指定证书申请使用的ECDSA密钥对。

undo public-key命令用来取消指定的密钥对。

【命令】

public-key ecdsa name key-name [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ]

PKI域视图

name key-name：密钥对的名称，为1～64个字符的字符串，不区分大小写，只能包含字母、数字和连字符“-”。

secp192r1：密钥对使用的椭圆曲线算法的名称为secp192r1，密钥长度为192比特。

secp256r1：密钥对使用的椭圆曲线算法的名称为secp256r1，密钥长度为256比特。

secp384r1：密钥对使用的椭圆曲线算法的名称为secp384r1，密钥长度为384比特。

secp521r1：采用名称为secp521r1的椭圆曲线生成本地ECDSA密钥对，密钥长度为521比特。

【使用指导】

本命令中引用的密钥对并不要求已经存在，可以通过以下任意一种途径获得：

· 通过执行public-key local create命令生成。

· 通过应用程序认证过程触发生成。例如IKE协商过程中，如果使用数字签名认证方式，则可能会触发生成密钥对。

· 通过导入证书（使用pki import命令）的方式从外界获得。

一个PKI域中只能同时存在一种算法（RSA、DSA或ECDSA）的密钥对。对于RSA密钥对来说，一个PKI域中只允许单独存在一种用途的RSA密钥对，或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此，在一个PKI域中，除RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖之外，其它类型的新的密钥对配置均会覆盖已有的密钥对配置。

本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时，设备上已经存在指定名称的密钥对，则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得，则通过本命令指定的密钥长度也没有意义。

【举例】

# 指定证书申请所使用的ECDSA密钥对为abc。

<Sysname> system-view

[Sysname] pki domain aaa

[Sysname-pki-domain-aaa] public-key ecdsa name abc

【相关命令】

· pki import

· public-key local create（安全命令参考/公钥管理）

15 新增特性－SSL支持Suite B

15.1 配置SSL支持Suite B

Suite B算法集是一种通用的加密和认证算法集，可满足高级别的安全标准要求。SSL模块有新增算法Suite B，同时新增命令行显示算法库的版本号。

任意视图下执行display crypto version命令可以显示。

表48 显示算法库的版本号

操作	命令
显示算法库的版本号	display crypto version

15.2 SSL支持Suite B配置命令

15.2.1 新增-display crypto version命令

display crypto version命令用来显示算法库的版本号。

【命令】

display crypto version

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

相同的算法库版本号表示了一套相同的密码学算法。

【举例】

# 显示当前设备算法库的版本号。

<Sysname> display crypto version

7.1.3290

表49 display crypto version命令显示信息描述表

字段	描述
7.1.3290	版本号信息，格式为7.1.X，其中7.1表示Comware V700R001，X表示算法库的版本号。

15.2.2 修改-ciphersuite命令

【原命令】

非FIPS模式下：

FIPS模式下：

ciphersuite { rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha } *

【修改后的命令】

非FIPS模式下：

ciphersuite { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha256 | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha256 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 } *

FIPS模式下：

cipher { rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha256 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 } *

【视图】

SSL服务器端策略视图

【修改说明】

修改后，新增如下算法：

· rsa_aes_128_cbc_sha256：密钥交换算法采用RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

· rsa_aes_256_cbc_sha256：密钥交换算法采用RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

· dhe_rsa_aes_128_cbc_sha256：密钥交换算法采用DHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

· dhe_rsa_aes_256_cbc_sha256：密钥交换算法采用DHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA256。

· ecdhe_rsa_aes_128_cbc_sha256：密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

· ecdhe_rsa_aes_256_cbc_sha384：密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

· ecdhe_rsa_aes_128_gcm_sha256：密钥交换算法采用ECDHE RSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

· ecdhe_rsa_aes_256_gcm_sha384：密钥交换算法采用ECDHE RSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

· ecdhe_ecdsa_aes_128_cbc_sha256：密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_CBC、MAC算法采用SHA256。

· ecdhe_ecdsa_aes_256_cbc_sha384：密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_CBC、MAC算法采用SHA384。

· ecdhe_ecdsa_aes_128_gcm_sha256：密钥交换算法采用ECDHE ECDSA、数据加密算法采用128位的AES_GCM、MAC算法采用SHA256。

· ecdhe_ecdsa_aes_256_gcm_sha384：密钥交换算法采用ECDHE ECDSA、数据加密算法采用256位的AES_GCM、MAC算法采用SHA384。

15.2.3 修改-prefer-cipher命令

【原命令】

非FIPS模式下：

FIPS模式下：

prefer-cipher { rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha }

【修改后的命令】

非FIPS模式下：

prefer-cipher { dhe_rsa_aes_128_cbc_sha | dhe_rsa_aes_256_cbc_sha | exp_rsa_des_cbc_sha | exp_rsa_rc2_md5 | exp_rsa_rc4_md5 | rsa_3des_ede_cbc_sha | rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha256 | dhe_rsa_aes_128_cbc_sha256 | dhe_rsa_aes_256_cbc_sha256 | ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 }

FIPS模式下：

prefer-cipher { rsa_aes_128_cbc_sha | rsa_aes_256_cbc_sha | rsa_aes_128_cbc_sha256 | rsa_aes_256_cbc_sha256| ecdhe_rsa_aes_128_cbc_sha256 | ecdhe_rsa_aes_256_cbc_sha384 | ecdhe_rsa_aes_128_gcm_sha256 | ecdhe_rsa_aes_256_gcm_sha384 | ecdhe_ecdsa_aes_128_cbc_sha256 | ecdhe_ecdsa_aes_256_cbc_sha384 | ecdhe_ecdsa_aes_128_gcm_sha256 | ecdhe_ecdsa_aes_256_gcm_sha384 }

【视图】

SSL客户端策略视图