- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-VPN命令
本章节下载 (516.75 KB)
目 录
1.1.6 interface virtual-template
2.1.3 display interface tunnel
3.1.1 ah authentication-algorithm
3.1.6 display ipsec policy-template
3.1.9 display ipsec statistics
3.1.13 esp authentication-algorithm
3.1.14 esp encryption-algorithm
3.1.21 ipsec sa global-duration
4.1.1 authentication-algorithm
4.1.12 ike next-payload check disabled
4.1.16 ike sa keepalive-timer interval
4.1.17 ike sa keepalive-timer timeout
4.1.18 ike sa nat-keepalive-timer interval
5.1.2 authentication-client method
5.1.3 authentication-server method
5.1.11 display dvpn online-user
5.1.13 dvpn client register-dumb
5.1.14 dvpn client register-interval
5.1.15 dvpn client register-retry
5.1.19 dvpn policy(Tunnel接口视图)
5.1.23 dvpn server authentication-client method
5.1.24 dvpn server map age-time
5.1.25 dvpn server pre-shared-key
5.1.35 session algorithm-suite
5.1.37 session keepalive-interval
【命令】
allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ]
【视图】
L2TP组视图
【参数】
virtual-template-number:指定用于创建新的虚拟访问接口(virtual access interface)时所用的虚接口模板,取值范围是整数0~1023。
remote-name:指定发起连接请求的隧道对端的名称,对大小写有区别,取值为字符串,长度为1~30。
domain-name:指定企业的名称,取值为字符串,长度为1~30。
【描述】
allow l2tp命令用来指定接受呼叫时隧道对端的名称及所使用的Virtual-Template,undo allow命令用来取消隧道对端的名称及所使用的Virtual-Template。
缺省情况下,为禁止接受呼入。
此命令在LNS端使用。
在L2TP多域应用中,必须配置参数domain-name。
使用L2TP组号1时(缺省的L2TP组号),可以不指定通道对端名remote-name,在组1下进行配置时,本命令的格式为:
allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]
如果在L2TP组1的配置模式下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。如在Windows 2000 beta 2版本中,VPN连接的本端名称为NONE,则路由器收到的对端名称为NONE。为了接收这种不知名的对端发起的通道请求连接,或者用于测试目的,可以设置一个缺省的L2TP组。
命令allow l2tp使用在LNS侧,如果配置了通道对端名称,必须确保通道对端的名称和LAC侧配置的本端名称一致。
相关配置可参考命令l2tp-group。
【举例】
# 接受名称为AS8010的对端(LAC)发起的L2TP隧道连接请求,并在virtual-template 1上创建virtual-access接口。
[H3C-l2tp2] allow l2tp virtual-template 1 remote AS8010
# 将L2TP组1作为缺省的L2TP组,接受任何对端发起的L2TP通道连接请求,并根据virtual-template 1创建virtual-access接口。
[H3C] l2tp-group 1
[H3C-l2tp1] allow l2tp virtual-template 1
【命令】
debugging l2tp { all | control | dump | error | event | hidden | payload | time-stamp }
undo debugging l2tp { all | control | dump | error | event | hidden | payload | time-stamp }
【视图】
用户视图
【参数】
all:表示打开所有L2TP调试信息开关。
control:表示打开控制报文调试开关。
dump:表示打开PPP报文调试开关。
error:表示打开差错信息的调试开关。
event:表示打开事件调试信息开关。
hidden:表示打开隐藏AVP的调试开始信息开关。
payload:表示打开L2TP数据报文调试开关。
time-stamp:表示打开显示时间戳的调试开关。
【描述】
debugging l2tp命令用来打开L2TP调试信息开关,undo debugging l2tp命令用来关闭L2TP调试信息开关。
【举例】
# 打开所有L2TP调试信息开关。
<H3C> debugging l2tp all
【命令】
display l2tp session
【视图】
任意视图
【参数】
无
【描述】
display l2tp session命令用来显示当前的L2TP会话的信息。
该命令的输出信息,可以帮助用户确定当前建立的L2TP会话信息。
相关配置可参考命令display l2tp tunnel。
【举例】
# 显示当前L2TP会话信息。
<H3C> display l2tp session
LocalSID RemoteSID LocalTID IdleTimeLeft
1 1 2 600
Total session = 1
表1-1 display L2tp session显示信息的域描述
|
域 |
描述 |
|
Total session |
Session的数目 |
|
LocalSID |
本端唯一标识一个会话的数值 |
|
RemoteSID |
对端唯一标识一个会话的数值 |
|
LocalTID |
隧道的本端标识号 |
|
Idle-Time-Left |
会话距离超时挂断剩余时间 |
【命令】
display l2tp tunnel
【视图】
任意视图
【参数】
无
【描述】
display l2tp tunnel命令用来显示当前的L2TP隧道的信息。
该命令的输出信息,可以帮助用户确定当前所建立的L2TP隧道信息。
相关配置可参考命令display l2tp session。
【举例】
# 显示当前L2TP隧道信息。
<H3C> display l2tp tunnel
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName KeepStanding
2 22849 11.1.1.1 1701 1 lns YES
Total tunnel = 1
表1-2 display L2tp tunnel显示信息的域描述
|
域 |
描述 |
|
Total tunnel |
Tunnel的数目 |
|
LocalTID |
本端唯一标识一个隧道的数值 |
|
RemoteTID |
对端唯一标识一个隧道的数值 |
|
RemoteAddress |
对端的IP地址 |
|
Port |
对端的端口号 |
|
Sesssions |
此隧道上的会话数目 |
|
RemoteName |
对端的名称 |
|
KeepStanding |
是否设置了连接保持功能 |
& 说明:
安全网关作为LNS时,当存在域用户和非域用户时,对于非域用户触发的隧道,在设备上可能会显示错误的L2TP信息。
【命令】
display l2tp user
【视图】
任意视图
【参数】
无
【描述】
display l2tp user命令用来显示当前L2TP用户的信息。
相关配置可参考命令display l2tp tunnel,display l2tp session。
【举例】
# 显示当前L2TP会话信息。
<H3C> display l2tp user
User Name LocalSID RemoteSID LocalTID
w@h3c 1 1 2
Total user = 1
表1-3 display l2tp user显示信息的域描述
|
域 |
描述 |
|
User Name |
用户名 |
|
LocalSID |
会话连接的本端标识号 |
|
RemoteSID |
会话连接的对端标识号 |
|
LocalTID |
隧道的本端标识号 |
|
Total user |
用户的数目 |
【命令】
interface virtual-template virtual-template-number
undo interface virtual-template virtual-template-number
【视图】
系统视图
【参数】
virtual-template-number:标识虚接口模板序号,取值为整数,范围是0~1023。
【描述】
interface virtual-template命令用来创建虚拟模板接口,undo interface virtual-template命令用来删除虚拟模板接口。
缺省情况下,系统没有创建虚拟模板接口。
虚拟模板接口主要用于配置路由器在运行过程中动态创建的虚接口的工作参数,如L2TP逻辑接口。
相关配置可参考命令allow l2tp。
【举例】
# 创建虚拟模板接口1并进入该视图。
[H3C] interface virtual-template 1
【命令】
l2tp enable
undo l2tp enable
【视图】
系统视图
【参数】
无
【描述】
l2tp enable命令用来启用L2TP功能,undo l2tp enable命令用来禁止L2TP功能。
缺省情况下,L2TP功能被禁止。
相关配置可参考命令l2tp-group。
【举例】
# 在路由器上启用L2TP功能。
[H3C] l2tp enable
【命令】
l2tp-auto-client enable
undo l2tp-auto-client enable
【视图】
虚拟模板接口视图
【参数】
无
【描述】
l2tp-auto-client enable命令用来使能LAC客户端建立L2TP隧道。undo l2tp-auto-client enable命令用来取消LAC客户端建立L2TP隧道。
【举例】
# 进入虚拟模板接口视图。
[H3C] interface virtual-template 1
# 使能LAC客户端建立L2TP隧道。
[H3C-Virtual-Template1] l2tp-auto-client enable
【命令】
l2tp-group group-number
undo l2tp-group group-number
【视图】
系统视图
【参数】
group-number:标识L2TP组号,取值为整数,范围为1~1000。
【描述】
l2tp-group命令用来创建L2TP组,undo l2tp-group命令用来删除L2TP组。
缺省情况下,系统没有创建L2TP组。
使用l2tp-group命令创建一个L2TP组(L2TP组1可以作为缺省的L2TP组)。使用undo l2tp-group命令删除L2TP组后,该组的所有配置信息也将被删除。
相关配置可参考命令allow l2tp,start l2tp。
【举例】
# 创建L2TP组2,并进入L2TP组2视图。
[H3C] l2tp-group 2
[H3C-l2tp2]
【命令】
l2tpmoreexam enable
undo l2tpmoreexam enable
【视图】
系统视图
【参数】
无
【描述】
本命令在LNS端配置。
l2tpmoreexam enable命令用来启用L2TP多域功能,undo l2tpmoreexam enable命令用来禁止L2TP多域功能。
缺省情况下,L2TP多域功能被禁止。
使用l2tpmoreexam enable命令启用L2TP多域功能,只有启用该功能后才能开展L2TP多域业务。
相关配置可参考命令l2tp enable。
【举例】
# 在路由器(LNS端)上启用L2TP多域功能。
[H3C] l2tpmoreexam enable
【命令】
mandatory-chap
undo mandatory-chap
【视图】
L2TP组视图
【参数】
无
【描述】
mandatory-chap命令用来强制LNS与用户端(Client)之间重新进行CHAP验证,undo mandatory-chap命令用来禁止CHAP的重新验证。
缺省情况下,系统不进行CHAP的重新验证。
在LAC对用户端进行代理验证后,LNS对用户端再次进行验证,可以增加安全性。如果使用mandatory-chap命令,则对于由接入服务器初始化隧道连接的VPN的用户端来说,会经过两次验证:一次是用户端在接入服务器端的验证,另一次是用户端在LNS端的验证。一些PPP用户端可能不支持进行第二次验证,这时,本端的CHAP验证会失败。
相关配置可参考命令mandatory-lcp。
【举例】
# 强制进行CHAP验证。
[H3C-l2tp1] mandatory-chap
【命令】
mandatory-lcp
undo mandatory-lcp
【视图】
L2TP组视图
【参数】
无
【描述】
mandatory-lcp命令用来在LNS与用户端(Client)之间重新进行链路控制协议(Link Control Protocol)的协商,undo mandatory-lcp命令用来禁止LCP的重新协商。
缺省情况下,系统不重新进行LCP协商。
对于NAS-Initialized VPN的用户端,在一个PPP会话开始时,将先和网络接入服务器(NAS)进行PPP协商。如果协商通过,则由接入服务器初始化隧道连接,并把与用户端协商收集到的信息传给LNS;LNS根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp命令可以强制LNS与用户端重新进行LCP协商,这就忽略NAS的代理验证信息。如果一些PPP用户端可能不支持LCP的重新协商,则LCP重新协商过程会失败。
相关配置可参考命令mandatory-chap。
【举例】
# 允许进行LCP重新协商。
[H3C-l2tp1] mandatory-lcp
【命令】
reset l2tp session session-id
【视图】
用户视图
【参数】
session-id:会话连接的本端标识号。
【描述】
reset l2tp session命令用于强制断开一个会话连接。当用户再次呼入时,会话可以重新建立。
相关配置可参考命令reset l2tp tunnel。
【举例】
# 强制断开L2TP会话连接。
<H3C> reset l2tp session 1
【命令】
reset l2tp tunnel { name remote-name | id tunnel-id }
【视图】
用户视图
【参数】
remote-name:隧道对端的名称。
tunnel-id:隧道本端的标识号。
【描述】
reset l2tp tunnel命令用来断开指定的隧道(Tunnel)连接,同时断开隧道内的所有会话(session)连接。
reset l2tp tunnel命令用于强制断开一个隧道连接。当对端用户再次呼入时,隧道可以重新建立。通过指定隧道的对端名称来确定需要断开的隧道连接。如果没有符合条件的隧道连接存在,则对当前的隧道连接没有影响。如果有多个符合条件的隧道连接存在(同一个名称,不同IP地址),则断开所有符合条件的隧道连接。指定tunnel-id时,只断开对应的隧道连接。
相关配置可参考命令display l2tp tunnel。
【举例】
# 断开对端名称为AS8010的Tunnel连接。
<H3C> reset l2tp tunnel name AS8010
【命令】
reset l2tp user user-name
【视图】
用户视图
【参数】
user-name:L2TP的用户名。
【描述】
reset l2tp user命令用于强制断开该用户的连接。当用户再次呼入时,可以重新接入。
相关配置可参考命令reset l2tp tunnel,reset l2tp session。
【举例】
# 强制断开当前L2TP用户的连接。
<H3C> reset l2tp user user@h3c
【命令】
session idle-time time
undo session idle-time
【视图】
L2TP组视图
【参数】
time:超时时间长度,以秒为单位,取值范围为0~10000。缺省为0,表示不超时。
【描述】
session idle-time命令用来设置L2TP会话超时挂断的超时时间,并触发超时挂断功能。undo session idle-time命令用来禁止L2TP会话超时断开。
缺省情况下,L2TP会话不会超时。
【举例】
# 进入L2TP组视图。
[H3C] l2tp-group 1
# 设定L2TP会话超时挂断时间为600秒。
[H3C-l2tp1] session idle-time 600
【命令】
undo start
【视图】
L2TP组视图
【参数】
ip ip-addr:隧道对端(LNS)的IP地址,最多可以设置五个,彼此形成备份LNS。
domain-name:指定触发连接请求的用户域名,取值为字符串,长度为1~30。
user-name:指定触发连接请求的用户全名,取值为字符串,长度为1~32。
【描述】
start l2tp命令用来指定本端作为L2TP LAC端时发起呼叫的触发条件,undo start l2tp命令用来删除指定的触发条件。
此命令在LAC端使用。使用此命令指定LNS的IP地址,并支持多种触发连接请求。
l 可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为h3c.com,则可以指定包含h3c.com域名的用户为VPN用户。
l 可以直接通过用户全名来指定该用户为VPN用户。
如果发现是VPN用户,则本端(LAC)按照配置的LNS的先后顺序向某个LNS发送建立L2TP隧道的连接请求,当得到LNS的接收应答后,该LNS就作为隧道的对端;否则LAC向下一个LNS发起隧道连接请求。
这几种VPN用户判定方式之间可能存在冲突的情况,如对全用户名指定的LNS地址是1.1.1.1,而根据域名指定的LNS地址为1.1.1.2,有必要规定一下查找用户的先后顺序。查找的顺序为:先根据完整的用户名查看是否存在根据此用户名指定的L2TP组;如果没有找到,再根据域名进行查找。
【举例】
# 根据域名h3c.com来判断VPN用户,对应的总部L2TP接入服务器的IP地址为202.38.168.1。
[H3C-l2tp1] start l2tp ip 202.38.168.1 domain h3c.com
【命令】
start l2tp tunnel
【视图】
L2TP组视图
【参数】
无
【描述】
start l2tp tunnel命令用来启动L2TP LAC端发起呼叫。
此命令只在LAC端使用。
相关命令请参考tunnel keepstanding。
【举例】
# 启动LAC按照配置的LNS的先后顺序发送建立L2TP隧道的连接请求,即先向地址为1.1.1.1的LNS发起,没有应答则顺序向下一个地址为2.2.2.2的LNS发起。
[H3C-l2tp1] start l2tp ip 1.1.1.1 ip 2.2.2.2 fullusername vpdnuser
[H3C-l2tp1] start l2tp tunnel
注意:
该命令需要与tunnel keepstanding命令配合使用,否则隧道不会被建立。
【命令】
tunnel authentication
undo tunnel authentication
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel authentication命令用来启用L2TP的隧道验证功能,undo tunnel authentication命令用来取消L2TP隧道验证功能。
缺省情况下,系统对L2TP隧道进行验证。
L2TP隧道验证是缺省允许的。一般情况下,为了安全起见,隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可以不进行隧道验证。
【举例】
# 设置不验证隧道对端。
[H3C-l2tp1] undo tunnel authentication
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel avp-hidden命令用来配置对AVP(Attribute Value Pair,属性值对)数据采用隐藏的方式进行传输,undo tunnel avp-hidden命令用来恢复AVP数据的缺省传输方式。
缺省情况下,隧道采用明文方式传输AVP数据。
L2TP协议的一些参数是通过AVP数据来传输的,如果用户对这些数据的安全性要求高,可以使用本命令将AVP数据的传输方式配置成为隐藏传输。
【举例】
# 设置AVP数据隐含传输。
[H3C-l2tp1] tunnel avp-hidden
【命令】
tunnel flow-control
undo tunnel flow-control
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel flow-control命令用来开启L2TP通道流控功能,undo tunnel flow-control命令用来关闭通道流控功能。
缺省情况下,关闭L2TP通道流控功能。
使用此命令来开启L2TP通道流控功能,以达到流控目的。
【举例】
# 开启通道流控。
[H3C-l2tp1] tunnel flow-control
【命令】
tunnel keepstanding
undo tunnel keepstanding
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel keepstanding命令用来配置L2TP Tunnel连接保持功能。undo tunnel keepstanding命令用来取消L2TP Tunnel连接保持功能。
配置L2TP Tunnel连接保持功能后,即使隧道上没有Session也不会因超时而挂断。
注意:
此命令需要在隧道两端同时配置才会生效。
【举例】
# 进入L2TP组视图。
[H3C] l2tp-group 1
# 使能L2TP Tunnel连接保持功能。
[H3C-l2tp1] tunnel keepstanding
【命令】
tunnel name name
undo tunnel name
【视图】
L2TP组视图
【参数】
name:标识隧道本端的名称,取值为字符串,长度为1~30。
【描述】
tunnel name命令用来指定隧道本端的名称,undo tunnel name命令用来恢复本端名称为缺省值。
缺省情况下,系统的本端名称为路由器名。
当创建一个L2TP组时,本端名称将被初始化成路由器的名称。
相关配置可参考命令sysname。
【举例】
# 设置隧道本端名称为itsme。
[H3C-l2tp1] tunnel name itsme
【命令】
tunnel password { simple | cipher } password
undo tunnel password
【视图】
L2TP组视图
【参数】
simple:密码以明文方式显示。
cipher:密码以密文方式显示。
password:标识隧道验证时使用的密码,取值为字符串,长度为1~16。
【描述】
tunnel password命令用来指定隧道验证时的密码,undo tunnel password命令用来取消隧道验证的密码。
缺省情况下,系统的隧道验证密码为空。
【举例】
# 设置隧道验证的密码为yougotit,并且以密文方式显示。
[H3C-l2tp1] tunnel password cipher yougotit
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【视图】
L2TP组视图
【参数】
hello-interval:LAC或LNS在没有报文接收时发送Hello报文的时间间隔,单位为秒,范围为60~1000。
【描述】
tunnel timer hello命令用来设置隧道中Hello报文发送时间间隔,undo tunnel timer hello命令用来恢复隧道中Hello报文发送时间间隔为缺省值。
缺省情况下,Hello报文每隔60秒发送一次。
在LNS和LAC侧,可以分别配置不同的Hello报文时间间隔。
【举例】
# 设置发送Hello报文的时间间隔为99秒
[H3C-l2tp1] tunnel timer hello 99
【命令】
debugging tunnel
undo debugging tunnel
【视图】
用户视图
【参数】
无
【描述】
debugging tunnel命令用来打开tunnel调试信息开关,undo debugging tunnel命令用来关闭tunnel调试信息开关。
【举例】
# 打开tunnel调试信息开关。
<H3C> debugging tunnel
【命令】
destination ip-address
undo destination
【视图】
Tunnel接口视图
【参数】
ip-address:标识Tunnel对端使用的实际物理接口的IP地址。
【描述】
destination命令用来指定Tunnel接口进行封装时对添加的IP报头填入的目的端IP地址,undo destination命令用来删除设置的目的地址。
缺省情况下,系统不指定隧道的目的地址。
指定的隧道目的地址是接收GRE报文的实际物理接口的IP地址,该地址必须与对端Tunnel接口指定的源地址相同,并且要保证到对端物理接口的路由可达。
不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。
相关配置可参考命令interface tunnel,source。
【举例】
# 在路由器Router1的GigabitEthernet 1/0接口(IP地址是193.101.1.1)和Router2的GigabitEthernet 2/0接口(IP地址是192.100.1.1)间建立tunnel连接。
[H3C-Tunnel0] source 193.101.1.1
[H3C-Tunnel0] destination 192.100.1.1
[H3C-Tunnel1] source 192.100.1.1
[H3C-Tunnel1] destination 193.101.1.1
【命令】
display interface tunnel [ number ]
【视图】
任意视图
【参数】
【描述】
display interface tunnel命令用来显示Tunnel接口的工作状态。
执行display interface tunnel命令显示指定Tunnel接口的源地址、目的地址(收发GRE报文的实际物理接口地址)、封装模式、识别关键字及端到端校验等信息。
相关配置可参考命令source,destination,gre key,gre checksum,tunnel-protocol。
【举例】
# 显示当前Tunnel通道接口信息。
<H3C> display interface tunnel 2
Tunnel2 current state :UP
Line protocol current state :DOWN
Description : Tunnel0 Interface
The Maximum Transmit Unit is 64000
Internet Address is 192.168.2.1/24
Encapsulation is TUNNEL, loopback not set
Tunnel source 192.168.0.1 (GigabitEthernet1/0), destination 202.38.16.188
Tunnel keepalive disable
Tunnel protocol/transport GRE/IP, key disabled
Checksumming of packets disabled
Last 300 seconds input: 0 bytes/sec, 0 packets/sec
Last 300 seconds output: 0 bytes/sec, 0 packets/sec
0 packets input, 0 bytes
0 input error
0 packets output, 0 bytes
0 output error
表2-1 display interface tunnel 2显示信息的域描述
|
域 |
描述 |
|
Tunnel2 current state |
Tunnel接口的当前状态 |
|
Line protocol current state |
Tunnel接口协议的当前状态 |
|
Description |
Tunnel接口描述信息 |
|
The Maximum Transmit Unit |
Tunnel接口的MTU值 |
|
Internet Address |
Tunnel接口的IP地址 |
|
Encapsulation |
封装GRE协议形成隧道 |
|
Loopback |
是否启动回环测试 |
|
Tunnel source |
Tunnel源地址 |
|
destination |
Tunnel目的地址 |
|
Tunnel keepalive |
是否启用Tunnel Keepalive功能 |
|
Tunnel protocol/transport |
Tunnel封装协议和传输协议 |
|
key |
Tunnel接口的识别关键字 |
|
Checksumming of packets |
Tunnel端到端校验 |
|
Last 300 seconds input |
离现在最近的5分钟内,每秒输入的字节数和报文数 |
|
Last 300 seconds output |
离现在最近的5分钟内,每秒输出的字节数和报文数 |
|
packets input, bytes |
总计输入的报文数和字节数 |
|
packets output, bytes |
总计输出的报文数和字节数 |
|
input error |
在所有输入的报文中,出现错误的报文数 |
|
output error |
在所有输出的报文中,出现错误的报文数 |
【命令】
gre checksum
undo gre checksum
【视图】
Tunnel接口视图
【参数】
无
【描述】
gre checksum命令用来设置隧道两端进行端到端校验,从而验证报文的正确性,并丢掉验证不通过的报文,undo gre checksum命令用来取消校验。
缺省情况下,禁止Tunnel两端进行端到端校验。
隧道两端可以根据实际应用需要,配置校验和或禁止校验和。如果本端配置了校验和而对端没有配置,则本端将不会对接收到的报文进行校验和检查,但对发送的报文计算校验和;相反,如果本端没有配置校验和而对端已配置,则本端将对从对端发来的报文进行校验和检查,但对发送的报文不计算校验和。
相关配置可参考命令interface tunnel。
【举例】
# 路由器Router1和Router2之间建立隧道,在隧道两端设置校验。
[H3C-Tunnel3] gre checksum
[H3C-Tunnel2] gre checksum
【命令】
gre key key-number
undo gre key
【视图】
Tunnel接口视图
【参数】
key-number:标识隧道两端的识别关键字,取值为整数,范围为0~4294967295。
【描述】
gre key命令用来设置Tunnel接口的识别关键字,通过这种弱安全机制防止错误识别、接收其它地方来的报文,undo gre key命令用来取消当前配置。
缺省情况下,系统不设置隧道的识别关键字。
如果在隧道两端设置了key-number,则要求在一条隧道的两端必须指定相同的key-number;或隧道两端都不设置key-number。
相关配置可参考命令interface tunnel。
【举例】
# 路由器Router1和Router2之间建立隧道,设置隧道的识别关键字。
[H3C-Tunnel3] gre key 123
[H3C-Tunnel2] gre key 123
【命令】
interface tunnel number
undo interface tunnel number
【视图】
系统视图
【参数】
number:Tunnel接口号,范围0~1023。
【描述】
interface tunnel命令用来创建一个Tunnel接口,并进入该Tunnel接口视图,undo interface tunnel命令用来删除指定的Tunnel接口。
缺省情况下,系统无Tunnel接口。
执行interface tunnel命令进入指定隧道的接口视图。如果Tunnel接口尚未创建,则先创建再进入接口视图。
Tunnel接口号只具有本地意义,隧道两端可以使用相同或不同的接口号。
相关配置可参考命令source,destination,gre key,gre checksum,tunnel-protocol。
【举例】
# 创建接口Tunnel3。
[H3C] interface tunnel 3
【命令】
keepalive [ seconds [ times ] ]
undo keepalive
【视图】
Tunnel接口视图
【参数】
seconds:keepalive报文发送周期,缺省为10秒,取值范围为1~32767。
times:keepalive报文的最大传送次数,缺省为3次,取值范围为1~255。
【描述】
keepalive命令用来使能GRE的keepalive功能,并配置keepalive报文发送周期及最大发送次数,undo keepalive命令用来关闭keepalive功能。
缺省情况下,不启用GRE的keepalive。当配置了该命令后,路由器会从Tunnel口定期发送GRE的keepalive报文。如果超时时间内对端没有回应,则本端路由器重新发送keepalive报文。如果超过最大传送次数后仍然没有接受到对端的回应,则本端Tunnel口的协议状态将变为down。
相关配置可参考命令interface tunnel。
【举例】
# 配置GRE keepalive的报文发送周期20s,最大传送次数为5次。
[H3C-Tunnel5] keepalive 20 5
【命令】
source { ip-addr | interface-type interface-number }
undo source
【视图】
Tunnel接口视图
【参数】
ip-addr:使用A.B.C.D的地址形式来指定发出GRE报文的实际接口的IP地址。
interface-type interface-number:接口类型及接口号。
【描述】
source命令用来指定Tunnel接口进行封装时对添加的IP报头填入的源端IP地址,undo source命令用来删除设置的源地址。
缺省情况下,系统不指定隧道的源地址。
指定的隧道源地址是发出GRE报文的实际接口地址,该地址应和隧道对端指定的目的地址一致。
不能对两个或两个以上使用同种封装协议的Tunnel接口配置完全相同的源地址和目的地址。
相关配置可参考命令interface tunnel,destination。
【举例】
# 在路由器Router1上配置Tunnel5接口,此接口封装的报文实际出口为GigabitEthernet 1/0接口(接口IP地址为192.100.1.1)。
[H3C-Tunnel5] source 192.100.1.1
或使用接口形式:
[H3C-Tunnel5] source gigabitethernet 1/0
【命令】
tunnel-protocol gre
【视图】
Tunnel接口视图
【参数】
无
【描述】
tunnel-protocol gre命令用来设置Tunnel接口为GRE封装模式。
缺省情况下,是GRE模式。在GRE模式下,用户只能看见和执行GRE有关的配置命令;在其他模式下,用户才能看见和执行相应的配置命令。
相关配置可参考命令interface tunnel。
【举例】
# 路由器Router1和Router2之间建立隧道,配置封装协议为GRE。
[H3C-Tunnel3] tunnel-protocol gre
【命令】
ah authentication-algorithm { md5 | sha1 }
undo ah authentication-algorithm
【视图】
IPSec提议(ipsec proposal)视图
【参数】
md5:设置采用MD5认证算法。
sha1:设置采用SHA-1认证算法。
【描述】
命令ah authentication-algorithm用来设置IPSec安全提议中AH(Authentication Header)协议采用的认证算法,命令undo ah authentication-algorithm用来恢复缺省的认证算法。
缺省情况下,在IPSec安全提议中AH协议采用MD5认证算法。
AH协议没有加密的功能,只对报文进行认证。
MD5算法使用128位的消息摘要(message-digest),SHA-1算法使用160位的消息摘要(message-digest)。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。
在安全隧道的两端设置安全策略时,所引用的提议中,AH协议必须设置成采用同样的认证算法。
只有先使用transform命令选择了ah或ah-esp安全协议后,才能够配置AH认证算法。
相关配置可参考命令ipsec proposal,proposal,sa spi,transform。
【举例】
# 在配置安全提议prop1时,设定AH协议采用SHA-1算法。
[H3C] ipsec proposal prop1
[H3C-ipsec-proposal-prop1] transform ah
[H3C-ipsec-proposal-prop1] ah authentication-algorithm sha1
【命令】
debugging ike dpd
undo debugging ike dpd
【视图】
用户视图
【参数】
无
【描述】
debugging ike dpd命令打开IKE DPD调试开关,undo debugging ike dpd命令用来关闭IKE DPD调试开关。
【举例】
# 打开IKE DPD调试开关。
<H3C> debugging ike dpd
【命令】
debugging ipsec { all | sa | misc | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] }
undo debugging ipsec { all | sa | misc | packet [ policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ] }
【视图】
用户视图
【参数】
all:打开ipsec所有的调试开关。
sa:显示安全联盟的调试信息。
packet:显示IPSec数据报文的调试信息。
policy policy-name:显示安全策略名为policy-name的IPSec调试信息。
seq-number:显示安全策略顺序号为seq-number的IPSec调试信息。
parameters:显示由目的地址ip-address、protocol(ah或esp)、SPI(spi-number)所唯一确定的一个安全联盟的调试信息。
misc:显示IPSec其他调试信息。
【描述】
debugging ipsec命令用来打开IPSec调试开关, undo debugging ipsec命令用来关闭IPSec调试开关。
缺省情况下,关闭IPSec调试开关。
【举例】
# 打开IPSec的安全联盟的调试开关。
<H3C> debugging ipsec sa
【命令】
display ike dpd [ dpd-name ]
【视图】
任意视图
【参数】
dpd-name:DPD结构名。
【描述】
display ike dpd命令用来显示配置的DPD结构信息。
【举例】
# 显示配置的DPD结构信息。
[H3C] display ike dpd
---------------------------
IKE dpd: aaa
references: 0
interval-time: 10
time_out: 5
---------------------------
---------------------------
IKE dpd: xhy
references: 1
interval-time: 10
time_out: 5
表3-1 display ike dpd命令显示信息描述表
|
字段 |
描述 |
|
IKE dpd |
IKE DPD结构名 |
|
references |
引用计数 |
|
interval-time |
触发DPD查询的时间间隔 |
|
time_out |
单次DPD查询的超时间隔 |
【命令】
display ipsec policy [ brief | name policy-name [ seq-number ] ]
【视图】
任意视图
【参数】
brief:表示显示所有安全策略的简要信息。
name:表示显示名字为policy-name,顺序号为seq-number的安全策略的信息。
policy-name:指定安全策略的名称。
seq-number:指定安全策略的顺序号。
如果不指定任何参数,则表示要显示所有安全策略的详细信息。如果指定了name policy-name,而没有指定seq-number,则表示要显示指定的安全策略组的信息。
【描述】
display ipsec policy命令用来显示安全策略的信息。
brief参数表示将显示所有安全策略的简要信息,显示格式为简要格式(参见下面的举例)。利用brief参数可以快速查看所有的安全策略。简要信息包括:安全策略名及顺序号、协商方式、访问控制列表号、提议、本端地址、对端地址。
相关配置可参考命令ipsec policy(系统视图)。
【举例】
# 显示所有安全策略的简要信息。
[H3C] display ipsec policy brief
IPsec-Policy-Name Mode acl Local-Address Remote-Address
------------------------------------------------------------------------
policy1-1 isakmp 3000 172.16.2.1
policy2-1 manual 3001 172.16.2.1 172.16.2.2
表3-2 IPSec安全策略简要信息描述表
|
域名 |
描述 |
|
IPsec-Policy-Name |
安全策略组的名字和安全策略顺序号(其中策略组名和策略顺序号之间用“-”隔开) |
|
Mode |
安全策略采用的协商方式 |
|
acl |
安全策略引用的访问控制列表 |
|
Local Address |
本端的IP地址 |
|
Remote Address |
对端的IP地址 |
|
ike-peer name |
在ISAKMP协商模式下,安全策略所引用的IKE对等体的名称(manual模式下无此信息显示) |
# 显示所有安全策略的信息。
[H3C] display ipsec policy
===========================================
IPsec Policy Group: "policy1"
Using interface: {GigabitEthernet1/0}
===========================================
-----------------------------
IPsec policy name: "policy1"
sequence number: 1
mode: isakmp
-----------------------------
security data flow : 3000
ike-peer name: ikepeer
perfect forward secrecy: DH group 1
proposal name: proposal1
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
===========================================
IPsec Policy Group: "policy2"
Using interface: {GigabitEthernet2/0}
===========================================
-----------------------------
IPsec policy name: "policy2"
sequence number: 1
mode: manual
-----------------------------
security data flow : 3001
tunnel local address: 172.16.2.1
tunnel remote address: 172.16.2.2
proposal name: proposal2
inbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
inbound ESP setting:
ESP spi:
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
outbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
outbound ESP setting:
ESP spi:
ESP string-key:
ESP encryption hex key:
ESP authentication hex key: :
表3-3 IPSec安全策略详细信息显示描述表
|
域名 |
描述 |
|
IPsec policy name |
安全策略的名称 |
|
sequence number |
安全策略的序号 |
|
mode |
安全策略的协商方式:isakmp或manual |
|
security data flow |
安全策略引用的访问控制列表 |
|
ike-peer name |
引用的IKE对等体的名称 |
|
perfect forward secrecy |
完善的前向安全性(PFS)的配置信息 |
|
proposal name |
安全策略引用的提议的名字 |
|
IPsec sa local duration(time based) |
IPSec安全联盟的生存周期(基于时间的) |
|
IPsec sa local duration(traffic based) |
IPSec安全联盟的生存周期(基于流量的) |
|
tunnel local address |
隧道的本端IP地址 |
|
tunnel remote address |
隧道的对端IP地址 |
|
inbound AH setting |
入方向的AH协议的设置 |
|
inbound ESP setting: |
入方向的ESP协议的设置 |
|
outbound AH setting |
出方向的AH协议的设置 |
|
outbound ESP setting |
出方向的ESP协议的设置 |
【命令】
display ipsec policy-template [ brief | name template-name [ seq-number ] ]
【视图】
任意视图
【参数】
brief:表示显示所有安全策略模板的简要信息。
name:表示显示名字为template-name,顺序号为seq-number的安全策略模板的信息。
template-name:指定安全策略模板的名字。
seq-number:指定安全策略模板的顺序号。
如果不指定任何参数,则表示要显示所有安全策略模板的详细信息。如果指定了name template-name,而没有指定seq-number,则表示要显示指定的安全策略模板组的信息。
【描述】
命令display ipsec policy-template用来显示安全策略模板的信息。
brief参数表示将显示所有安全策略模板的简要信息,显示格式为简要格式(参见下面的举例)。利用brief参数,可以快速查看所有的安全策略模板。简要信息包括:安全策略模板名及顺序号、访问控制列表号、对端地址。
相关配置可参考命令ipsec policy-template(系统视图)。
【举例】
# 显示所有安全策略模板的简要信息。
[H3C] display ipsec policy-template brief
Policy-Template-Name acl Remote-Address
------------------------------------------------------
test-tplt300 3300
表3-4 IPSec安全策略模板简要信息描述表
|
域名 |
描述 |
|
Policy-Template-Name |
安全策略模板的名字和顺序号 |
|
acl |
安全策略模板引用的访问控制列表 |
|
Remote-Address |
对端的IP地址 |
【命令】
display ipsec proposal [ proposal-name ]
【视图】
任意视图
【参数】
proposal-name:指定安全提议的名称。
【描述】
display ipsec proposal命令用来显示安全提议的配置信息,如果没有指定安全提议的名称,则显示所有的提议的信息。
相关配置可参考命令ipsec proposal,display ipsec sa,display ipsec policy。
【举例】
# 显示所有的提议。
[H3C] display ipsec proposal
encapsulation mode: tunnel
transform: ah-new
AH protocol: authentication sha1-hmac-96
IPsec proposal name: prop1
encapsulation mode: transport
transform: esp-new
ESP protocol: authentication md5-hmac-96, encryption des
表3-5 IPSec安全提议信息显示描述表
|
域名 |
描述 |
|
IPsec proposal name |
提议的名字 |
|
encapsulation mode |
提议采用的模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
transform |
提议采用的安全协议,包括两种:AH协议和ESP协议 |
|
AH protocol |
AH协议采用的认证算法 |
|
ESP protocol |
ESP协议采用的认证算法和加密算法 |
【命令】
display ipsec sa [ brief | remote ip-address | policy policy-name [ seq-number ] | duration ]
【视图】
任意视图
【参数】
brief:表示显示所有的安全联盟的简要信息。
remote ip-address:表示显示对端地址为ip-address的安全联盟的信息。
policy:表示显示由指定安全策略创建的安全联盟的信息。
policy-name:指定安全策略的名称。
seq-number:指定安全策略的顺序号。
duration:表示显示全局的安全联盟生存周期。
【描述】
display ipsec sa命令用来显示安全联盟的相关信息。
使用brief参数显示所有的安全联盟的简要信息,显示格式为简要格式(参见下面的举例),简要信息包括:源地址、目的地址、安全参数索引、协议、算法。其中,算法的显示以“E:”开头的表示加密算法,以“A:”开头的表示认证算法。利用brief参数可以快速查看所有已经建立的安全联盟。
使用remote和policy参数均显示安全联盟的详细信息,显示格式是先显示安全策略的部分信息,再显示此安全策略中的安全联盟的详细信息。
使用duration参数显示全局的安全联盟的生存时间,包括“基于时间”和“基于流量”两种类型。参见下面的举例。
当未指定任何参数时,显示所有的安全联盟的信息。
相关配置可参考命令reset ipsec sa,ipsec sa global-duration,display ipsec policy。
【举例】
# 下面是display ipsec sa brief命令的输出:
[H3C] display ipsec sa brief
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
10.1.1.1 10.1.1.2 300 ESP E:DES; A:HMAC-MD5-96
10.1.1.2 10.1.1.1 400 ESP E:DES; A:HMAC-MD5-96
表3-6 IPSec安全联盟简要信息显示描述表
|
域名 |
描述 |
|
Src Address |
本端的IP地址 |
|
Dst Address |
对端的IP地址 |
|
SPI |
安全参数索引 |
|
Protocol |
IPSec采用的安全协议 |
|
Algorithm |
安全协议采用的认证算法和加密算法,其中,以“E:”开头表示加密算法;以“A:”开头表示认证算法 |
# 显示安全联盟的全局生存时间。
[H3C] display ipsec sa duration
IPsec sa global duration(traffic based): 1843200 kilobytes
IPsec sa global duration(time based): 3600 seconds
# 下面是display ipsec sa命令的输出:
<H3C> display ipsec sa
===============================
Interface: GigabitEthernet1/0
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "1"
sequence number: 1
mode: isakmp
-----------------------------
Created by: "Host"
connection id: 5
encapsulation mode: tunnel
perfect forward secrecy: None
tunnel:
local address: 2.1.1.1
remote address: 2.1.1.3
flow: (8 times matched)
sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
[inbound AH SAs]
spi: 1369228154 (0x519cc37a)
proposal: AH-SHA1HMAC96
sa remaining key duration (bytes/sec): 1887436256/3594
max received sequence-number: 4
udp encapsulation used for nat traversal: N
[inbound ESP SAs]
spi: 2673492781 (0x9f5a432d)
proposal: ESP-ENCRYPT-3DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436448/3594
max received sequence-number: 4
udp encapsulation used for nat traversal: N
[outbound ESP SAs]
spi: 1109683945 (0x42246ee9)
proposal: ESP-ENCRYPT-3DES ESP-AUTH-MD5
sa remaining key duration (bytes/sec): 1887436256/3594
max sent sequence-number: 5
udp encapsulation used for nat traversal: N
[outbound AH SAs]
spi: 3969283528 (0xec9675c8)
proposal: AH-SHA1HMAC96
sa remaining key duration (bytes/sec): 1887436160/3594
max sent sequence-number: 5
udp encapsulation used for nat traversal: N
表3-7 IPSec安全联盟详细信息显示描述表
|
域名 |
描述 |
|
Interface |
应用了安全策略的接口 |
|
path MTU |
从该接口发送出去的最大IP数据报文长度 |
|
IPsec policy |
采用的安全策略,包括策略名、顺序号和协商方式 |
|
Created by |
"Host"表示使用软件加密 |
|
connection id |
安全通道标识符 |
|
encapsulation mode |
IPSec采用的模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
perfect forward secrecy |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
tunnel local |
本端的IP地址 |
|
tunnel remote |
对端的IP地址 |
|
sour addr |
安全策略所引用的ACL的源地址 |
|
dest addr |
安全策略所引用的ACL的目的地址 |
|
inbound |
输入端SA的信息 |
|
transform |
安全策略所引用的提议 |
|
sa remaining key duration |
安全联盟剩余的存活时间 |
|
max received sequence-number |
接收的报文最大序列号(安全协议提供的防重放功能) |
|
udp encapsulation used for nat traversal |
是否使用IKE NAT穿越 |
|
outbound |
输出端SA的信息 |
|
max sent sequence-number |
发送的报文最大序列号(安全协议提供的防重放功能) |
【命令】
display ipsec statistics
【视图】
任意视图
【参数】
无
【描述】
显示IPSec处理报文的统计信息。包括输入输出的安全报文数、字节数、被丢弃的报文数以及被丢弃的报文的详细说明。
相关配置可参考命令reset ipsec statistics。
【举例】
# 显示IPSec的报文统计信息。
[H3C] display ipsec statistics
the security packet statistics:
input/output security packets: 5124/8231
input/output security bytes: 52348/64356
input/output dropped security packets: 0/0
dropped security packet detail:
no enough memory: 0
can't find SA: 0
queue is full: 0
authentication is failed: 0
wrong length: 0
replay packet: 0
too long packet: 0
wrong SA: 0
表3-8 IPSec处理报文的统计信息显示描述表
|
域名 |
描述 |
|
input/output security packets |
受安全保护的输入/输出数据包 |
|
input/output security bytes |
受安全保护的输入/输出字节数 |
|
input/output dropped security packets |
被路由器丢弃了的受安全保护的输入/输出数据包 |
【命令】
display ipsec tunnel
【视图】
任意视图
【参数】
无
【描述】
display ipsec tunnel命令用来显示IPSec的隧道信息。
【举例】
# 显示IPSec的隧道信息。
<H3C> display ipsec tunnel
------------------------------------------------
Connection ID : 5
Perfect forward secrecy: None
SA's SPI :
Inbound : 1369228154 (0x519cc37a) [AH]
2673492781 (0x9f5a432d) [ESP]
Outbound : 1109683945 (0x42246ee9) [ESP]
3969283528 (0xec9675c8) [AH]
Tunnel :
Local Address: 2.1.1.1 Remote Address : 2.1.1.3
Flow : (8 times matched)
Sour Addr : 0.0.0.0/0.0.0.0 Port: 0 Protocol : IP
Dest Addr : 0.0.0.0/0.0.0.0 Port: 0 Protocol : IP
【命令】
dpd dpd-name
undo dpd
【视图】
ike-peer视图
【参数】
dpd-name:DPD结构名。
【描述】
dpd命令用来为IKE Peer指定DPD结构,undo dpd用来取消IKE Peer的DPD结构。
指定的DPD结构应预先建立好,否则将返回错误信息。执行dpd命令时,该DPD结构的引用计数器加1;执行undo dpd命令时,该DPD结构的引用计数器减1。
相关配置可参考命令ike dpd。
【举例】
# 指定IKE Peer1的DPD结构为aaa
[H3C-ike-peer-peer1] dpd aaa
# 取消IKE Peer1的DPD结构。
[H3C-ike-peer-peer1] undo dpd
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【视图】
安全提议视图
【参数】
transport:设置IP报文的封装形式采用传输模式。
tunnel:设置IP报文的封装形式采用隧道模式。
【描述】
encapsulation-mode命令用来设置安全协议对IP报文的封装形式,有传输模式(transport)和隧道模式(tunnel)两种, undo encapsulation-mode命令用来恢复到缺省的报文封装形式。
缺省情况使用tunnel,即隧道模式。
使用IPSec对IP报文进行加密或认证有两种封装形式,分别是传输模式和隧道模式。对于传输模式,不增加新IP头,原始报文的源地址和目的地址就是安全隧道的端点;对于隧道模式,IPSec对整个IP报文进行保护,并在原IP报文的前面增加一个新的IP头,新IP头的源地址和目的地址分别是安全隧道的两个端点的IP地址。
通常,在两个路由器之间,总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此,必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。
传输模式适合两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。在两个安全网关之间的数据流量,绝大部分都不是安全网关本身的通讯量,因此,在安全网关之间不使用传输模式。
在安全隧道的两端设置的安全策略所引用的提议必须设置成采用同样的报文封装形式。
相关配置可参考命令ah authentication-algorithm,ipsec proposal,esp encryption-algorithm,esp authentication-algorithm,proposal,transform。
【举例】
# 设置名为prop2的提议采用传输模式对IP报文进行封装。
[H3C] ipsec proposal prop2
[H3C-ipsec-proposal-prop2] encapsulation-mode transport
【命令】
esp authentication-algorithm { md5 | sha1 }
undo esp authentication-algorithm
【视图】
安全提议视图
【参数】
md5:采用MD5认证算法,密钥长度128位。
sha1:采用SHA-1认证算法,密钥长度160位。
【描述】
esp authentication-algorithm命令用来设置ESP协议采用的认证算法,undo esp authentication-algorithm命令用来设置ESP协议不对报文进行认证。
缺省情况下,使用md5,即MD5认证算法。
MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。
ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。
ESP协议采用的加密算法和认证算法不能同时设置为空。
注意:undo esp authentication-algorithm命令不是恢复认证算法为缺省算法,而是设置认证算法为空,即不认证。当加密算法不为空时,undo esp authentication-algorithm命令才起作用。
在安全隧道的两端设置的安全策略所引用的提议必须设置成采用同样的认证算法。
相关配置可参考命令ipsec proposal,esp encryption-algorithm,proposal,transform。
【举例】
# 设定提议prop1采用ESP协议并使用SHA-1认证算法。
[H3C] ipsec proposal prop1
[H3C-ipsec-proposal-prop1] transform esp
[H3C-ipsec-proposal-prop1] esp authentication-algorithm sha1
【命令】
esp encryption-algorithm { 3des | des | aes }
undo esp encryption-algorithm
【视图】
安全提议视图
【参数】
des:即数据加密标准DES(Data Encryption Standard),是国际通用的加密算法,密钥长度56位。
3des:即3DES(Triple DES),也是一种国际通用的加密算法,密钥长度168位。
aes:即AES(Advanced Encryption Standard),是IETF标准要求的一种加密算法,Comware实现的密钥长度是128位、192位和256位。
【描述】
esp encryption-algorithm命令用来设置ESP协议采用的加密算法,undo esp encryption-algorithm命令用来设置ESP协议不对报文进行加密。
缺省情况使用des,即DES加密算法。
对于保密及安全性要求非常高的地方,采用3DES算法可以满足需要,但3DES加密速度比较慢;对于普通的安全要求,DES算法则可以满足需要。
ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。
ESP协议采用的加密算法和认证算法不能同时设置为空。当认证算法不为空时,undo esp encryption-algorithm命令才起作用。
相关配置可参考命令ipsec proposal,esp authentication-algorithm,proposal,transform。
【举例】
# 设定提议prop1采用ESP协议并使用3DES加密算法。
[H3C] ipsec proposal prop1
[H3C-ipsec-proposal-prop1] transform esp
[H3C-ipsec-proposal-prop1] esp encryption-algorithm 3des
【命令】
ike dpd dpd-name
undo ike dpd dpd-name
【视图】
系统视图
【参数】
dpd-name:DPD(Dead Peer Detection)结构名。
【描述】
ike dpd命令用来创建DPD结构并进入DPD结构视图,undo ike dpd命令用来删除一个DPD结构。
如DPD结构已经被IKE Peer引用,则不能删除。
相关配置可参考命令dpd。
【举例】
# 创建一个名称为aaa的DPD结构。
[H3C] ike dpd aaa
# 删除一个名称为aaa的DPD结构。
[H3C] undo ike dpd aaa
【命令】
interval-time seconds
undo interval-time
【视图】
DPD结构视图
【参数】
seconds:触发DPD查询的时间间隔,取值范围1~300秒。缺省情况下,seconds为10秒。
【描述】
interval-time命令用来配置触发DPD查询的时间间隔,undo interval-time命令用来恢复触发DPD查询的时间间隔为缺省值。
【举例】
# 设置interval-time为20秒。
[H3C-ike-dpd-aaa] interval-time 20
# 重置interval-time为10秒。
[H3C-ike-dpd-aaa]undo interval-time
【命令】
ipsec policy policy-name
undo ipsec policy [ policy-name ]
【视图】
接口视图
【参数】
policy-name:指定应用在接口上的安全策略组的名称。在系统视图下,必须已经配置了名称为policy-name的安全策略组。
【描述】
ipsec policy policy-name命令用来在接口上应用名称为policy-name的安全策略组,undo ipsec policy命令用来从接口上取消应用的所有的或特定的安全策略组,使此接口不再具有IPSec的安全保护功能。
在一个接口上,只能应用一个安全策略组。如果要在接口上应用另一个安全策略组,必须先从接口上取消应用的安全策略组,再在接口上应用另外一个安全策略组。一个安全策略组可应用到多个接口上。
当从一个接口发送报文时,将按照顺序号从小到大的顺序查找安全策略组中每一条安全策略。如果报文匹配了一条安全策略引用的访问控制列表,则使用这条安全策略对报文进行处理;如果报文没有匹配安全策略引用的访问控制列表,则继续查找下一条安全策略;如果报文对所有安全策略引用的访问控制列表都不匹配,则报文直接被发送(IPSec不对报文加以保护)。
想要实现在接口上不发送任何不加密的报文,需要结合防火墙和IPSec一起使用,用防火墙将不需要加密的报文全部丢弃。
相关配置可参考命令ipsec policy(系统视图)。
【举例】
# 在GigabitEthernet 2/0接口上应用名为pg1的安全策略组。
[H3C] interface gigabitethernet 2/0
[H3C-GigabitEthernet2/0] ipsec policy pg1
【命令】
ipsec policy policy-name seq-number [ manual | isakmp [ template template-name ] ]
undo ipsec policy policy-name [ seq-number ]
【视图】
系统视图
【参数】
policy-name:安全策略的名称。命名规则为:长度为1~15个字符,不区分大小写,字符可以是英文字母或者数字,不能带减号“-”。
seq-number:安全策略的顺序号,取值范围1~10000,值越小优先级越高。
manual:指定用手工方式建立安全联盟。
isakmp:指定通过IKE协商建立安全联盟。
template:指定采用策略模板动态创建安全联盟。
template-name:指定被引用的template的名称。此policy-name将引用template-name。template-name是一个策略模板。在此之前,名为template-name的安全策略模板必须已经创建。
【描述】
在系统视图下,ipsec policy命令用来创建或修改一条安全策略,并进入安全策略(ipsec policy)视图,undo ipsec policy命令用来删除安全策略。使用undo ipsec policy policy-name命令,用来删除名称为policy-name的安全策略组;使用undo ipsec policy policy-name seq-number命令,用来删除名称为policy-name,顺序号为seq-number的一条安全策略。
缺省情况下,没有安全策略存在。
使用此命令创建安全策略时,必须指定协商方式;在安全策略创建后,不能修改协商方式,如果要修改安全策略的协商方式,只能先删除这条安全策略,在重新创建安全策略时,指定新的协商方式。
具有相同名字的安全策略一起组成一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略。在一个安全策略组中最大可以设置500条安全策略。在一个安全策略组中,顺序号seq-number越小的安全策略,优先级越高。在一个接口上应用一个安全策略组,实际上是同时应用了安全策略组中所有的安全策略,从而能够对不同的数据流采用不同的安全联盟进行保护。
ipsec policy policy-name seq-number isakmp template template-name命令创建一个安全策略,该策略由IKE协商建立安全联盟,而策略的参数根据template-name指定的策略模板来确定。在配置此命令前,必须已经使用命令ipsec policy-template创建策略模板。在协商过程中进行策略匹配时,策略模板中定义的参数必须相符,而策略模板中没有定义的参数由发起方来决定,响应方接受发起方的建议。策略模板中必须定义的参数是提议(proposal),其它参数为可选配置。
注意:IKE不会用带有template参数的策略去发起协商。但可以用带有template参数的策略响应对方发起的协商。
相关配置可参考命令ipsec policy(接口视图),security acl,tunnel local,tunnel remote,sa duration,proposal,display ipsec policy,ipsec policy-template,ike-peer。
【举例】
# 设置名称为policy1,顺序号为100,采用ISAKMP方式协商的安全策略。
[H3C] ipsec policy policy1 100 isakmp
[H3C-ipsec-policy-isakmp-policy1-100]
【命令】
ipsec policy-template template-name seq-number
undo ipsec policy-template template-name [ seq-number ]
【视图】
系统视图
【参数】
template-name:安全策略模板的名称。命名规则为:长度为1~15个字符,不区分大小写,字符可以是英文字母或者数字,不能带减号“-”。
seq-number:为此安全策略模板的顺序号,取值范围1~10000。在一个安全策略模板中,顺序号越小的安全策略,优先级越高。
【描述】
ipsec policy-template命令用来创建或修改一个安全策略模板,并进入安全策略模板(ipsec policy template)视图,undo ipsec policy-template命令用来删除一个安全策略模板组或者安全策略模板组中的一个安全策略模板。使用undo ipsec policy-template template-name命令删除名称为template-name的安全策略模板组;使用undo ipsec policy-template template-name seq-number命令删除名称为template-name、序号为seq-number的一个安全策略模板。
缺省情况下,没有安全策略模板存在。
创建一个策略模板以后,在使用ipsec policy policy-name seq-number isakmp template template-name命令创建一个安全策略时,通过template-name参数引用此模板。
IPSec安全策略模板的参数与IPSec ISAKMP协商方式的安全策略的参数是一样的,包括所引用的IPSec proposal、保护的数据流、PFS特性、生存周期、隧道对端地址。但需要注意的是,proposal参数是必须配置的,而其它参数是可选的。在IKE协商时,如果使用IPSec策略模板进行策略匹配,则配置的参数必须匹配,而没有配置的参数采用发起方的。
相关配置可参考命令ipsec policy,security acl,tunnel local,tunnel remote,proposal,display ipsec policy,ike-peer。
【举例】
# 创建一个模板名称为template1,顺序号为100的安全策略模板。
[H3C] ipsec policy-template template1 100
[H3C-ipsec-policy-template-template1-100]
【命令】
ipsec proposal proposal-name
undo ipsec proposal proposal-name
【视图】
系统视图
【参数】
proposal-name:指定IPSec提议的名字。命名规则为:长度为1~15个字符,不区分大小写。
【描述】
ipsec proposal proposal-name命令用来创建或修改一个名称为proposal-name的IPSec提议,并进入IPSec提议视图,undo ipsec proposal proposal-name命令用来删除一个名称为proposal-name的IPSec提议。
缺省情况下,系统没有任何提议。
IPSec提议(Proposal)是用于实施IPSec安全时所采取的一系列的措施,提议包含了所采用的安全协议、加密和认证算法、报文封装形式。
在配置安全策略时,需要通过引用提议来确定在安全隧道的两端所采用的安全协议、加密和认证算法和报文封装形式。
在使用ipsec proposal命令创建一个新的IPSec安全提议后,其缺省参数为采用ESP协议、DES加密算法、MD5认证算法。
相关配置可参考命令ah authentication-algorithm,esp encryption-algorithm,esp authentication-algorithm,encapsulation-mode,proposal,display ipsec proposal,transform。
【举例】
# 创建名为newprop1的提议。
[H3C] ipsec proposal newprop1
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【视图】
系统视图
【参数】
time-based seconds:指定以时间为基准的全局生存周期,seconds的取值范围是30~604800,单位是秒,缺省值是3600秒。
traffic-based kilobytes:指定以流量为基准的全局生存周期,kilobytes的取值范围是256~4194303,单位是千字节,缺省值是1843200千字节,如果流量达到此值,则生存周期到期。
【描述】
ipsec sa global-duration命令用来设置全局的安全联盟生存周期,undo ipsec sa global-duration命令用来恢复全局的安全联盟生存周期的缺省值。
当IKE协商安全联盟时,如果采用的安全策略没有配置自己的生存周期,将采用此命令所定义的全局生存周期与对端协商。如果安全策略配置了自己的生存周期,则系统使用安全策略自己的生存周期与对端协商。IKE为IPSec协商建立安全联盟时,对于IKE第1阶段,安全联盟的生存周期由发起方决定;对于IKE第2阶段,采用本地设置的和对端提议的生存周期中较小的一个。
衡量生存周期有两种方式:“基于时间”的生存周期和“基于流量”的生存周期。基于时间的生存周期是从安全联盟建立开始到此安全联盟协商存活的时间;基于流量的生存周期是此安全联盟允许处理的最大流量。如果生存周期到达指定的时间或指定的流量,则安全联盟就会失效。安全联盟失效前,IKE将为IPSec协商建立新的安全联盟,这样,在旧的安全联盟失效前新的安全联盟就已经准备好。在新的安全联盟开始协商而没有协商好之前,继续使用旧的安全联盟保护通信。在新的安全联盟协商好之后,则立即采用新的安全联盟保护通信。
使用该命令可以改变安全联盟的全局生存周期,改变全局生存周期以后,没有单独配置生存周期的安全联盟,在下次IKE协商中,会使用新的全局生存周期。
安全联盟的生存周期只对通过IKE协商的安全联盟起作用,对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令sa duration,display ipsec sa duration。
【举例】
# 设置全局的安全联盟生存时间为2小时。
[H3C] ipsec sa global-duration time-based 7200
# 设置全局的安全联盟生存时间为:传输10M字节的流量后,安全联盟即过期。
[H3C] ipsec sa global-duration traffic-based 10000
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 }
undo pfs
【视图】
安全策略视图、安全策略模板视图
【参数】
dh-group1:指定使用768-bit Diffie-Hellman组。
dh-group2:指定使用1024-bit Diffie-Hellman组。
dh-group5:指定使用1536-bit Diffie-Hellman组。
dh-group14:指定使用2048bit Diffie-Hellman组。
【描述】
pfs命令用来设置使用此安全策略发起协商时使用完善的前向安全(Perfect Forward Secrecy)特性,undo pfs命令用来设置在协商时不使用PFS特性。
缺省情况下,没有使用PFS特性。
此命令使IPSec在使用此安全策略发起一个协商时,在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。本端和对端指定的Diffie-Hellman组必须一致,否则协商会失败。
此命令仅在通过IKE方式建立安全联盟时才可以进行配置。
相关配置可参考命令ipsec policy-template,ipsec policy(系统视图),ipsec policy(接口视图),tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 设置使用安全策略shanghai 200进行协商时使用PFS特性。
[H3C] ipsec policy shanghai 200 isakmp
[H3C-ipsec-policy-isakmp-shanghai-200] pfs dh-group1
【命令】
proposal proposal-name1 [ proposal-name2...proposal-name6 ]
undo proposal [ proposal-name ]
【视图】
安全策略视图、安全策略模板视图
【参数】
proposal-name1,…,proposal-name6:所采用的提议名。
【描述】
proposal命令用来设置安全策略所引用的提议,命令undo proposal用来取消安全策略引用的提议。
缺省情况下,不引用任何提议。
在使用此命令之前,必须已经配置了相应的安全提议。
如果安全策略是手工(manual)方式的,则安全策略在引用提议时只能指定一个安全提议。如果需要改变已配置好的安全提议,必须先使用命令undo proposal取消原先的安全提议,再设置新的安全提议。
如果安全策略是IKE(isakmp)协商方式的,则一条安全策略最多可以引用六个安全提议,IKE协商时将在安全策略中搜索能够完全匹配的安全提议。
如果是安全策略模板,则每个模板最多可以引用六个安全提议,IKE协商时将搜索能够完全匹配的安全提议。
相关配置可参考命令ipsec proposal,ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote。
【举例】
# 设置名称为prop1的安全提议,采用ESP协议和缺省算法。并设置安全策略引用此安全提议。
[H3C] ipsec proposal prop1
[H3C-ipsec-proposal-prop1] transform esp
[H3C-ipsec-proposal-prop1] quit
[H3C] ipsec policy policy1 100 manual
[H3C-ipsec-policy-manual-policy1-100] proposal prop1
【命令】
reset ipsec sa [ remote ip-address | policy policy-name [ seq-number ] | parameters ip-address protocol spi-number ]
【视图】
用户视图
【参数】
remote ip-address:指定对端地址为ip-address,地址为点分十进制格式。
policy:指定安全策略。
policy-name:指定安全策略的名称。命名规则为:长度为1~15个字符,不区分大小写,字符可以是英文字母或者数字。
seq-number:为可选参数,指定安全策略的顺序号。如果不指定seq-number,则是指名称为policy-name的安全策略组中所有安全策略。
parameters:指定一个安全联盟SA(Security Association)所对应的目的IP地址、安全协议、SPI(Security Parameter Index)。
ip-address:指定目的地址,格式为点分十进制的IP地址格式。
protocol:指定安全协议,可选关键字为ah或esp,不区分大小写。ah是指报文头认证(Authentication Header)协议,esp是指封装安全协议(Encapsulation Security Protocol)。
spi-number:指定安全参数索引,取值范围是256~4294967295。
【描述】
reset ipsec sa命令删除已经建立的安全联盟(无论是手工建立的还是通过IKE协商建立的)。如果未指定remote、policy、parameters,则删除所有的安全联盟。
一个安全联盟由三元组目的IP地址、安全协议、SPI唯一地标识,安全联盟可以通过手工建立,也可以通过IKE(Internet Key Exchange)协商建立。
通过手工建立的安全联盟被删除后,系统会自动根据对应的手工安全策略建立新的安全联盟。
而通过IKE协商建立的安全联盟被删除后,如果有报文重新触发IKE协商,IKE将重新协商并建立新的安全联盟。
如果指定了parameters关键字,由于安全联盟是成对出现的,删除了一个方向的安全联盟,另一个方向的安全联盟也会被删除。
相关配置可参考命令display ipsec sa。
【举例】
# 删除所有安全联盟。
<H3C> reset ipsec sa
# 删除对端地址为10.1.1.2的安全联盟。
<H3C> reset ipsec sa remote 10.1.1.2
# 删除安全策略模板policy1中的所有安全联盟。
<H3C> reset ipsec sa policy policy1
# 删除安全策略名称为policy1、顺序号为10的安全联盟。
<H3C> reset ipsec sa policy policy1 10
# 删除对端地址为10.1.1.2、安全协议为AH、安全参数索引为10000的安全联盟。
<H3C> reset ipsec sa parameters 10.1.1.2 ah 10000
【命令】
reset ipsec statistics
【视图】
用户视图
【参数】
无
【描述】
reset ipsec statistics命令用来清除IPSec的报文统计信息,所有的统计信息都被设置成0。
相关配置可参考命令display ipsec statistics。
【举例】
# 清除IPSec的报文统计信息。
<H3C> reset ipsec statistics
【命令】
sa authentication-hex { inbound | outbound } { ah | esp } hex-key
undo sa authentication-hex { inbound | outbound } { ah | esp }
【视图】
手工方式安全策略视图
【参数】
inbound:设置入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。
outbound:设置出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。
ah:设置采用AH协议的安全联盟的参数。如果安全策略引用的提议规定了采用AH协议,使用ah关键字来设置安全联盟的参数。
esp:设置采用ESP协议的安全联盟的参数。如果安全策略引用的提议规定了采用ESP协议,使用esp关键字来设置安全联盟的参数。
hex-key:指定安全联盟的认证密钥,以16进制格式输入。如果使用MD5算法,密钥长度为16个字节;如果使用SHA1算法,密钥长度为20个字节。
【描述】
sa authentication-hex命令用来对manual方式安全策略手工设置安全联盟的认证密钥,undo sa authentication-hex命令用来删除设置的安全联盟的认证密钥。
此命令仅用于manual方式的安全策略。
对于isakmp方式的安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数,该命令无效。
在配置manual方式的安全策略时,必须分别设置inbound和outbound两个方向安全联盟的参数。
在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。
输入密钥有两种方式:16进制方式和字符串方式。如果以字符串方式输入密钥,需要使用命令sa string-key。如果分别以两种方式输入了密钥,则最后设定的密钥有效。在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 在采用AH协议及MD5算法的安全策略中,设置输入安全联盟的SPI为10000,密钥为0x112233445566778899aabbccddeeff00;输出安全联盟的SPI为20000,密钥为0xaabbccddeeff001100aabbccddeeff00。
[H3C] ipsec proposal prop_ah
[H3C-ipsec-proposal-prop_ah] transform ah
[H3C-ipsec-proposal-prop_ah] ah authentication-algorithm md5
[H3C-ipsec-proposal-prop_ah] quit
[H3C] ipsec policy tianjin 100 manual
[H3C-ipsec-policy-manual-tianjin-100] proposal prop_ah
[H3C-ipsec-policy-manual-tianjin-100] sa spi inbound ah 10000
[H3C-ipsec-policy-manual-tianjin-100] sa authentication-hex inbound ah 112233445566778899aabbccddeeff00
[H3C-ipsec-policy-manual-tianjin-100] sa spi outbound ah 20000
[H3C-ipsec-policy-manual-tianjin-100] sa authentication-hex outbound ah aabbccddeeff001100aabbccddeeff00
【命令】
sa duration { traffic-based kilobytes | time-based seconds }
undo sa duration { traffic-based | time-based }
【视图】
安全策略视图、安全策略模板视图
【参数】
time-based seconds:指定以时间为基准的生存周期,seconds的取值范围是30~604800,单位是秒,缺省值是3600秒。
traffic-based kilobytes:指定以流量为基准的生存周期,kilobytes的取值范围是256~4194303,单位是千字节,缺省值是1843200千字节。
【描述】
sa duration命令用来为安全策略设置安全联盟的生存周期,undo sa duration命令用来取消设置的生存周期,即恢复使用设定的全局生存周期。
当IKE协商安全联盟时,如果采用的安全策略没有配置自己的生存周期,将采用全局生存周期与对端协商。如果安全策略配置了自己的生存周期,则系统使用安全策略自己的生存周期与对端协商。IKE为IPSec协商建立安全联盟时,对于IKE第1阶段,安全联盟的生存周期由发起方决定;对于IKE第2阶段,采用本地设置的生和对端提议的生存周期中较小的一个。
衡量生存周期有两种方式:“基于时间”的生存周期和“基于流量”的生存周期。基于时间的生存周期是从安全联盟建立开始,此安全联盟存活的时间;基于流量的生存周期是此安全联盟允许处理的最大流量。如果生存周期到达指定的时间或指定的流量,则安全联盟就会失效。安全联盟失效前,IKE将为IPSec协商建立新的安全联盟,这样,在旧的安全联盟失效前,新的安全联盟就已经准备好。在新的安全联盟开始协商而没有协商好之前,继续使用旧的安全联盟保护通信。在新的安全联盟协商好之后,则立即采用新的安全联盟保护通信。
安全联盟的生存周期只对通过IKE协商的安全联盟起作用,而对通过手工方式建立的安全联盟不起作用。
相关配置可参考命令ipsec sa global-duration,ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote,proposal。
【举例】
# 设置安全策略的安全联盟生存周期为两个小时,即7200秒。
[H3C] ipsec policy shenzhen 100 isakmp
[H3C-ipsec-policy-isakmp-shenzhen-100] sa duration time-based 7200
# 设置安全策略的安全联盟生存周期为20M字节,即20,000千字节。
[H3C] ipsec policy shenzhen 100 isakmp
[H3C-ipsec-policy-isakmp-shenzhen-100] sa duration traffic-based 20000
【命令】
sa encryption-hex { inbound | outbound } esp hex-key
undo sa encryption-hex { inbound | outbound } esp
【视图】
手工方式安全策略视图
【参数】
inbound:设置入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。
outbound:设置出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。
esp:设置采用ESP协议的安全联盟的参数。如果安全策略引用的提议规定了采用ESP协议,使用esp关键字来设置安全联盟的参数。
hex-key:使用ESP协议时,指定安全联盟的加密密钥。以16进制格式输入,输入的密钥长度必须符合所采用的加密算法的要求。如果使用DES算法,密钥长度为8个字节;如果使用3DES算法,密钥长度为24个字节。
【描述】
sa encryption-hex命令用来对manual方式的安全策略手工设置安全联盟的加密密钥参数,undo sa encryption-hex命令用来删除设置的安全联盟的加密密钥参数。
此命令仅用于manual方式的安全策略,来手工设置安全联盟的参数,实现手工创建安全联盟。
对于isakmp方式的安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数,该命令无效。
在为系统配置安全联盟时,必须分别设置inbound和outbound两个方向安全联盟的参数。
在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样;本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 在采用ESP协议及DES加密算法的安全策略中,设置入方向安全联盟的SPI为1001,加密算法的密钥为0x1234567890abcdef;输出安全联盟的SPI为2001,加密算法的密钥为0x abcdefabcdef1234。
[H3C] ipsec proposal prop_esp
[H3C-ipsec-proposal-prop_esp] transform esp
[H3C-ipsec-proposal-prop_esp] esp encryption-algorithm des
[H3C-ipsec-proposal-prop_esp] quit
[H3C] ipsec policy tianjin 100 manual
[H3C-ipsec-policy-manual-tianjin-100] proposal prop_esp
[H3C-ipsec-policy-manual-tianjin-100] sa spi inbound esp 1001
[H3C-ipsec-policy-manual-tianjin-100] sa encryption-hex inbound esp 1234567890abcdef
[H3C-ipsec-policy-manual-tianjin-100] sa spi outbound esp 2001
[H3C-ipsec-policy-manual-tianjin-100] sa encryption-hex outbound esp abcdefabcdef1234
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【视图】
手工方式安全策略视图
【参数】
inbound:设置入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。
outbound:设置出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。
ah:设置采用AH协议的安全联盟的参数。如果安全策略引用的提议规定了采用AH协议,使用ah关键字来设置安全联盟的参数。
esp:设置采用ESP协议的安全联盟的参数。如果安全策略引用的提议规定了采用ESP协议,使用esp关键字来设置安全联盟的参数。
spi-number:安全联盟三元组标识中的安全参数索引SPI(Security Parameter Index),取值范围为256~4294967295。在系统中,安全联盟的三元组标识<SPI、目的地址、安全协议>必须是唯一的。
【描述】
sa spi命令用来对manual方式的安全策略手工设置安全联盟的SPI(安全参数索引)参数,undo sa spi命令用来删除设置的安全联盟的SPI(安全参数索引)参数。
此命令仅用于manual方式的安全策略,用该命令手工设置安全联盟的参数,实现手工创建安全联盟。
对于isakmp方式的安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数,该命令无效。
在为系统配置安全联盟时,必须分别设置inbound和outbound两个方向安全联盟的参数。
在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 在采用AH协议及MD5算法的安全策略中设置输入安全联盟的SPI为10000,输出安全联盟的SPI为20000。
[H3C] ipsec proposal prop_ah
[H3C-ipsec-proposal-prop_ah] transform ah
[H3C-ipsec-proposal-prop_ah] ah authentication-algorithm md5
[H3C-ipsec-proposal-prop_ah] quit
[H3C] ipsec policy tianjin 100 manual
[H3C-ipsec-policy-manual-tianjin-100] proposal prop_ah
[H3C-ipsec-policy-manual-tianjin-100] sa spi inbound ah 10000
[H3C-ipsec-policy-manual-tianjin-100] sa spi outbound ah 20000
【命令】
sa string-key { inbound | outbound } { ah | esp } string-key
undo sa string-key { inbound | outbound } { ah | esp }
【视图】
手工方式安全策略视图
【参数】
inbound:设置入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。
outbound:设置出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。
ah:设置采用AH协议的安全联盟的参数。如果安全策略引用的提议规定了采用AH协议,使用ah关键字来设置安全联盟的参数。
esp:设置采用ESP协议的安全联盟的参数。如果安全策略引用的提议规定了采用ESP协议,使用esp关键字来设置安全联盟的参数。
string-key:指定安全联盟的密钥,以字符串格式输入,长度1~255个字符。对不同的算法,均可输入不超过长度范围的字符串,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【描述】
sa string-key命令用来对manual方式的安全策略手工设置安全联盟的参数,undo sa string-key命令用来删除设置的安全联盟的参数。
此命令仅用于manual方式的安全策略,用该命令手工设置安全联盟的参数,实现手工创建安全联盟。
对于isakmp方式的安全策略,IKE将自动协商安全联盟的参数并创建安全联盟,不需要手工设置安全联盟的参数,该命令无效。
在为系统配置安全联盟时,必须分别设置inbound和outbound两个方向安全联盟的参数。
在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端入方向安全联盟的密钥必须和对端出方向安全联盟的密钥一样;本端出方向安全联盟的密钥必须和对端入方向安全联盟的密钥一样。
输入密钥有两种方式:16进制方式和字符串方式。如果以16进制方式输入密钥需要使用命令sa authentication-hex和sa encryption-hex。如果分别以两种方式输入了密钥,则最后设定的密钥有效。在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 在采用AH协议及MD5算法的安全策略中,设置输入安全联盟的SPI为10000,密钥为字符串abcdef;输出安全联盟的SPI为20000,密钥为字符串efcdab。
[H3C] ipsec proposal prop_ah
[H3C-ipsec-proposal-prop_ah] transform ah
[H3C-ipsec-proposal-prop_ah] ah authentication-algorithm md5
[H3C-ipsec-proposal-prop_ah] quit
[H3C] ipsec policy tianjin 100 manual
[H3C-ipsec-policy-manual-tianjin-100] proposal prop_ah
[H3C-ipsec-policy-manual-tianjin-100] sa spi inbound ah 10000
[H3C-ipsec-policy-manual-tianjin-100] sa string-key inbound ah abcdef
[H3C-ipsec-policy-manual-tianjin-100] sa spi outbound ah 20000
[H3C-ipsec-policy-manual-tianjin-100] sa string-key outbound ah efcdab
【命令】
security acl acl-number
undo security acl
【视图】
安全策略视图、安全策略模板视图
【参数】
acl-number:指定安全策略所引用的访问控制列表号,取值范围是3000~3999。
【描述】
security acl命令用来设置安全策略引用的访问控制列表,undo security acl命令用来取消安全策略引用的访问控制列表。
缺省情况下,安全策略没有指定访问控制列表。
安全策略所保护的数据流由此命令指定的ACL来定义。在实施IPSec安全策略时,系统首先检查通过接口的报文是否与ACL中的规则匹配,如果匹配且是被访问控制列表允许(permit)的报文,则系统对报文进行IPSec保护后再发送。如果不匹配,或者访问控制列表拒绝(deny)的报文,则直接发送报文。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),tunnel local,tunnel remote,sa duration,proposal。
【举例】
# 设置安全策略引用3001号访问控制列表。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[H3C] ipsec policy beijing 100 manual
[H3C-ipsec-policy-manual-beijing-100] security acl 3001
【命令】
time-out seconds
undo time-out
【视图】
DPD结构视图
【参数】
seconds:等待DPD应答报文的超时时间,取值范围1~60秒。
【描述】
time-out命令用来配置等待DPD应答报文的超时时间,undo time-out命令用来恢复等待DPD应答报文超时时间为缺省值。
缺省情况下,超时时间为5秒。
【举例】
# 设置time-out为2秒。
[H3C-ike-dpd-aaa] time-out 2
# 重置time-out为5秒。
[H3C-ike-dpd-aaa] undo time-out
【命令】
transform { ah | ah-esp | esp }
undo transform
【视图】
安全提议视图
【参数】
ah:设置采用RFC 2402规定的AH协议。
ah-esp:设置先用ESP协议对报文进行保护,再用AH协议进行保护。
esp:设置采用RFC 2406规定的ESP协议。
【描述】
transform命令用来设置提议采用的安全协议,undo transform命令用来恢复缺省的安全协议。
缺省情况使用esp,即RFC 2406规定的ESP协议。
如果采用ESP协议,则缺省的加密算法为DES,认证算法为MD5。
如果采用AH协议,则缺省的认证算法为MD5。
如果指定参数ah-esp,则AH缺省的认证算法为MD5,ESP协议缺省使用的加密算法为DES,不使用认证算法。
AH协议提供数据源认证、数据完整性校验和防报文重放功能。
ESP协议提供数据源认证、数据完整性校验、防报文重放和数据加密功能。
在安全隧道的两端,IPSec提议所使用的安全协议需要匹配。
不同安全协议在transport和tunnel模式下的数据封装形式如下图:
上图中的data为原IP报文。
相关配置可参考命令ah authentication-algorithm,ipsec proposal,esp encryption-algorithm,esp authentication-algorithm,encapsulation-mode,proposal。
【举例】
# 设置一个采用AH协议的提议。
[H3C] ipsec proposal prop1
[H3C-ipsec-proposal-prop1] transform ah
【命令】
tunnel local ip-address
undo tunnel local
【视图】
手工方式安全策略视图
【参数】
ip-address:本端地址,格式为点分十进制格式。
【描述】
tunnel local命令用来设置安全策略的本端地址, undo tunnel local命令用来删除在安全策略中设定的本端地址。
缺省情况下,没有配置安全隧道的本端地址。
对于isakmp方式的安全策略,不需要设置本端地址,该命令无效。IKE能够自动从应用该安全策略的接口上获取本端地址。
对于manual方式的安全策略,必须设置本端地址才能够创建安全联盟。安全隧道是建立在本端和对端之间的,故必须正确设置本端地址和对端地址才能成功地建立一条安全隧道。
相关配置可参考命令ipsec policy(系统视图),ipsec policy (接口视图),security acl,tunnel remote,sa duration,proposal。
【举例】
# 设置安全策略的本地地址,该安全策略应用在IP地址为10.0.0.1的GigabitEthernet 2/0接口上。
[H3C] ipsec policy guangzhou 100 manual
[H3C-ipsec-policy-manual-guangzhou-100] tunnel local 10.0.0.1
[H3C-ipsec-policy-manual-guangzhou-100] quit
[H3C] interface gigabitethernet 2/0
[H3C-GigabitEthernet2/0] ipsec policy guangzhou
【命令】
tunnel remote ip-address
undo tunnel remote [ ip-address ]
【视图】
手工方式安全策略视图
【参数】
ip-address:安全策略的隧道对端地址,格式为点分十进制格式。
【描述】
tunnel remote命令用来设置安全策略的隧道对端地址,undo tunnel remote命令用来删除安全策略中设置的隧道对端地址。
缺省情况下,没有配置安全隧道的对端地址。
对于manual方式的安全策略,如果已经设置了对端地址,必须先删除原先的地址才能设置新的对端地址。
安全隧道是建立在本端和对端之间,在安全隧道的两端,均需要正确设置对端地址。
相关配置可参考命令ipsec policy(系统视图),ipsec policy(接口视图),security acl,tunnel local,sa duration,proposal。
【举例】
# 设置安全策略的对端地址为10.1.1.2。
[H3C] ipsec policy shanghai 10 manual
[H3C-ipsec-policy-manual-shanghai-10] tunnel remote 10.1.1.2
【命令】
authentication-algorithm { md5 | sha }
undo authentication-algorithm
【视图】
IKE提议视图
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
【描述】
authentication-algorithm命令用来指定一个供IKE提议使用的认证算法,undo authentication-algorithm命令用来设置认证算法为缺省值。
缺省使用SHA1认证算法。
相关配置可参考命令ike proposal,display ike proposal。
【举例】
# 指定IKE提议10的认证算法为MD5。
[H3C] ike proposal 10
[H3C-ike-proposal-10] authentication-algorithm md5
【命令】
authentication-method { pre-share | rsa-signature }
undo authentication-method
【视图】
IKE提议视图
【参数】
pre-share:指定认证方法为预共享密钥(pre-shared-key)方法。
rsa-signature:指定认证方法为PKI数字签名方法。
【描述】
authentication-method命令用来指定一个供IKE提议使用的认证方法,undo authentication-method命令用来设置认证方法为缺省值。
缺省情况下,使用pre-shared key的认证方法。
使用此命令指定一个IKE策略使用的认证方法。
使用pre-shared-key的认证方法时必须配置认证字,请参考命令pre-shared-key。
相关配置可参考命令pre-shared-key,ike proposal,display ike proposal,pki domain,pki entity。
& 说明:
关于PKI的配置,请参考本手册中的“PKI配置”部分。
【举例】
# 指定IKE提议10的认证方法为pre-shared key。
[H3C] ike proposal 10
[H3C-ike-proposal-10] authentication-method pre-share
【命令】
debugging ike { all | error | exchange | message | misc | transport }
undo debugging ike { all | error | exchange | message | misc | transport }
【视图】
用户视图
【参数】
all:所有IKE调试功能。
error:IKE错误调试信息。
exchange:IKE交换状态机调试信息。
message:IKE消息包调试信息。
misc:IKE所有其他调试信息。
transport:IKE传输功能调试信息。
【描述】
debugging ike命令用来打开IKE调试开关,undo debugging ike命令用来关闭IKE调试开关。
缺省情况下,IKE调试开关关闭。
【举例】
# 打开IKE错误信息调试开关。
<H3C> debugging ike error
【命令】
dh { group1 | group2 | group5 | group14 }
undo dh
【视图】
IKE提议视图
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman组。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman组。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman组。
【描述】
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数,undo dh命令用来设置Diffie-Hellman组标识为缺省值。
缺省为group1,即768-bit的Diffie-Hellman组。
相关配置可参考命令ike proposal,display ike proposal。
【举例】
# 指定IKE提议10使用1024-bit的Diffie-Hellman组。
[H3C] ike proposal 10
[H3C-ike-proposal-10] dh group2
【命令】
display ike peer [ peer-name ]
【视图】
任意视图
【参数】
peer-name:IKE对等体名,取值范围为长度1~15的字符串。
【描述】
display ike peer命令用来显示IKE对等体的相关配置信息。
【举例】
# 显示IKE对等体的相关配置信息。
[H3C] display ike peer
---------------------------
IKE Peer: remotepeer
exchange mode: main on phase 1
pre-shared-key: 1234567
peer id type: ip
peer ip address: 20.20.20.1
local ip address: 20.20.20.100
peer name:
nat traversal: disable
max-connection: 1
dpd: ikedpd
---------------------------
【命令】
display ike proposal
【视图】
任意视图
【参数】
无
【描述】
display ike proposal命令用来显示每个IKE提议配置的参数。
IKE提议按照优先级的先后顺序显示。
相关配置可参考命令authentication-method,ike proposal,encryption-algorithm,authentication-algorithm,dh,sa duration。
【举例】
# 下面是一个配置了两个IKE提议后显示的例子。
[H3C] display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group (seconds)
---------------------------------------------------------------------------
10 PRE_SHARED SHA DES_CBC MODP_1024 5000
11 PRE_SHARED MD5 DES_CBC MODP_768 50000
default PRE_SHARED SHA DES_CBC MODP_768 86400
【命令】
display ike sa [ verbose [ connection-id id | remote-address ip-address ] ]
【视图】
任意视图
【参数】
verbose:显示IKE安全联盟的详细信息。
connection-id id:IKE安全联盟的连接号。
remote-address ip-address:IKE安全联盟的对端IP地址。
【描述】
display ike sa命令用来显示当前由IKE建立的安全隧道。
相关配置可参考命令ike proposal。
【举例】
# 显示当前由IKE建立的安全通道。
[H3C] display ike sa
connection-id peer flag phase doi
----------------------------------------------------------
1 172.16.2.1 RD 1 IPSEC
2 172.16.2.1 RD 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
下表为显示信息各域的描述。
表4-1 IKE SA显示信息描述
|
域名 |
描述 |
|
connection-id |
安全通道的标识符 |
|
peer |
此安全联盟的对端的IP地址 |
|
flag |
显示此安全联盟的状态: RD(READY):表示此SA已建立成功; ST(STAYALIVE):表示此端是通道协商发起方; RL(REPLACED):表示此通道已经被新的通道代替,一段时间后将被删除; FD(FADING):表示此通道已发生过一次软超时,目前还在使用,在硬超时发生时,会删除此通道。 TO(TIMEOUT):表示此SA在上次keepalive超时发生后还没有收到keepalive报文,如果在下次keepalive超时发生时仍没有收到keepalive报文,此SA将被删除。 |
|
phase |
此SA所属阶段: Phase 1:建立安全通道进行通信的阶段,此阶段建立ISAKMP SA; Phase 2:协商安全服务的阶段,此阶段建立IPSec SA。 |
|
doi |
SA所属解释域 |
【命令】
encryption-algorithm { des-cbc | 3des-cbc | aes-cbc }
undo encryption-algorithm
【视图】
IKE提议视图
【参数】
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56 bits的密钥进行加密。
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法。3DES算法采用168 bits的密钥进行加密。
aes-cbc:指定IKE安全提议采用的加密算法为CBC模式的AES算法。
【描述】
encryption-algorithm命令用来指定一个IKE提议使用的加密算法,undo encryption-algorithm命令用来设置加密算法为缺省值。
缺省情况下,使用CBC模式的56-bit DES加密算法。
相关配置可参考命令ike proposal,display ike proposal。
【举例】
# 指定IKE提议10的加密算法为CBC模式的56-bit DES。
[H3C] ike proposal 10
[H3C-ike-proposal-10] encryption-algorithm des-cbc
【命令】
exchange-mode { aggressive | main }
undo exchange-mode
【视图】
ike-peer视图
【参数】
aggressive:野蛮模式。
main:主模式。
【描述】
exchange-mode命令用于选择IKE阶段1的协商模式,undo exchange-mode命令用来恢复缺省的协商模式。
缺省情况下使用主模式。
在主模式下,只能使用IP地址进行IKE协商建立SA,这种模式用于隧道两端都有固定IP地址的情况。
在IKE野蛮模式下,不但可以使用IP地址进行协商,也可以使用名称进行IKE协商建立SA。当安全隧道一端的IP地址为自动获取时(如一端用户为拨号方式),则协商模式必须配置为aggressive。
相关配置可参考命令id-type。
【举例】
# 配置IKE使用主模式。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] exchange-mode main
【命令】
id-type { ip | name }
undo id-type
【视图】
ike-peer视图
【参数】
ip:选择IP地址作为IKE协商过程中使用的ID。
name:选择名字作为IKE协商过程中使用的ID。
【描述】
id-type命令用于选择IKE协商过程中使用的ID的类型,undo id-type命令恢复缺省值。
在主模式下,只能使用IP地址进行IKE协商,建立SA。
在IKE野蛮模式下,不但可以使用IP地址进行协商,也可以使用名称进行IKE协商,建立SA。
缺省情况下,使用IP地址作为IKE协商过程中使用的ID。
相关配置可参考命令ike local-name。
【举例】
# 配置使用名称作为IKE协商的依据。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] id-type name
【命令】
ike local-name name
undo ike local-name
【视图】
系统视图
【参数】
name:指定IKE协商时的本端网关的名称,取值为1~32个字符。
【描述】
ike local-name命令用于配置本端网关的名称,undo ike local-name用来恢复本端网关的缺省名称。缺省情况下,直接使用安全网关名作为本端网关的名称。
当IKE协商的发起端使用网关名称进行协商时(即配置了id-type name),本端需要配置命令ike local-name。
相关配置可参考命令 remote-name。
【举例】
# 设置本端网关名为“beijing_VPN”。
[H3C] ike local-name beijing_VPN
【命令】
ike next-payload check disabled
undo ike next-payload check disabled
【视图】
系统视图
【参数】
无
【描述】
ike next-payload check disabled命令用来配置在IPSec协商过程中取消对最后一个payload的next payload域的检查,以便与某些公司的产品互通。undo ike next-payload check disabled命令用来恢复缺省设置。
缺省情况下,检查next payload 域。
Next payload是指在IKE协商报文(由几个payload组装而成)的最后一个payload的通用头中Next Payload域。按协议规定该域必须为0,但某些公司的设备会将该域赋其它值,为增强设备的互通性,可以通过ike next-payload check disabled命令取消IPSec协商过程对该域的检查。
【举例】
# 配置在IPSec协商过程中取消对最后一个payload的next payload域的检查。
[H3C] ike next-payload check disabled
【命令】
ike peer peer-name
undo ike peer peer-name
【视图】
系统视图
【参数】
peer-name:IKE对等体名,最多15个字符。
【描述】
ike peer命令用于配置一个IKE对等体,并进入ike peer视图,undo ike peer命令用于删除一个IKE对等体。
【举例】
# 配置IKE对等体为new_peer,并进入ike peer视图。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer]
【命令】
ike-peer peer-name
undo ike-peer [ peer-name ]
【视图】
安全策略视图、安全策略模板视图
【参数】
peer-name:IKE对等体名称,最多15个字符。
【描述】
ike-peer命令用于在安全策略或安全策略模板中引用IKE对等体,undo ike peer命令用于取消在安全策略或安全策略模板中引用IKE对等体。
相关配置可参考命令ipsec policy。
【举例】
# 配置在安全策略中引入IKE对等体。
[H3C-ipsec-policy-isakmp-policy-10] ike-peer new_peer
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【视图】
系统视图
【参数】
proposal-number:IKE提议序号,取值为1~100。该序号同时表示优先级,数值越小,优先级越高。在进行IKE协商的时候,会从序号最小的IKE提议进行匹配,如果匹配则直接使用,否则继续查找。
【描述】
ike proposal命令用来定义一个IKE提议。undo ike proposal命令用来删除一个IKE提议。
缺省情况下,系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。
在系统视图下,使用此命令后,将进入IKE提议视图。在IKE提议视图下,可以使用authentication-method、encryption-algorithm、dh、authentication-algorithm和sa duration命令为IKE提议定义一系列的参数,包括认证方法、加密算法、认证算法、DH组标识和生存周期。
缺省的提议具有缺省的参数,如下:
Encryption algorithm: DES-CBC
Authentication algorithm: HMAC-SHA1
Authentication method: Pre-Shared Key
DH group ID: MODP_768
SA duration: 86400 seconds
可以为进行IKE协商的每一端配置多条IKE提议,在协商时,将从优先级最高的提议开始,匹配双方都相同的提议。匹配的原则是:协商双方具有相同的加密算法、认证算法、认证方法和DH组标识,存活时间是由协商发起方决定的,两端不需要匹配。
相关配置可参考命令authentication-method,encryption-algorithm,dh,authentication-algorithm,sa duration,display ike proposal。
【举例】
# 以下命令定义了一个IKE提议10。
[H3C] ike proposal 10
[H3C-ike-proposal-10] authentication-algorithm md5
[H3C-ike-proposal-10] authentication-method pre-share
[H3C-ike-proposal-10] sa duration 5000
【命令】
ike sa keepalive-timer interval seconds
undo ike sa keepalive-timer interval
【视图】
系统视图
【参数】
seconds:指定通过ISAKMP SA向对端发送Keepalive报文的时间间隔。可以设定为20到28800之间的一个值。
【描述】
ike sa keepalive-timer interval命令用来配置通过ISAKMP SA向对端发送Keepalive报文的时间间隔,undo ike sa keepalive-timer interval命令用来使此功能失效。
缺省情况下,此功能无效。
配置通过ISAKMP SA向对端发送Keepalive报文的时间间隔。IKE通过此报文维护ISAKMP SA的隧道状态。一般在对端使用命令ike sa keepalive-timer timeout配置了超时时间时,必须在本端配置此Keepalive报文发送时间间隔。当对端在配置的超时时间内未收到此Keepalive报文时,如果该ISAKMP SA带有TIMEOUT标记,则删除该ISAKMP SA以及由其协商的IPSec SA;否则,将其标记为TIMEOUT。所以,在配置时,需使配置的超时时间比Keepalive报文发送时间长。
相关配置可参考命令ike sa keepalive-timer timeout。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为20秒。
[H3C] ike sa keepalive-timer interval 20
【命令】
ike sa keepalive-timer timeout seconds
undo ike sa keepalive-timer timeout
【视图】
系统视图
【参数】
seconds:指定ISAKMP SA等待对端发送Keepalive报文的超时时间。可以设定为20到28800之间的一个值。
【描述】
ike sa keepalive-timer timeout命令用来配置一个ISAKMP SA等待Keepalive报文的超时时间,undo ike sa keepalive-timer timeout命令用来使此功能失效。
缺省情况下,此功能无效。
配置等待对端发送Keepalive报文的超时时间。IKE通过此报文维护该条ISAKMP SA的链路状态。如果在配置的超时时间内未收到对端的Keepalive报文,如果该ISAKMP SA带有TIMEOUT标记,则删除该ISAKMP SA以及由其协商的IPSec SA;否则,将其标记为TIMEOUT。所以在配置时,需使配置的超时时间比Keepalive报文发送时间长。
在网络上,一般不会出现超过连续三次的报文丢失,所以,配置超时时间时,可以采用对端配置的Keepalive报文发送时间间隔的三倍。
相关配置可参考命令ike sa keepalive-timer interval。
【举例】
# 配置本端等待对端发送Keepalive报文的超时时间为20秒。
[H3C] ike sa keepalive-timer timeout 20
【命令】
ike sa nat-keepalive-timer interval seconds
undo ike sa nat-keepalive-timer interval
【视图】
系统视图
【参数】
seconds:IKE对等体发送NAT Keepalive报文的时间间隔,范围为5~300,单位为秒。
【描述】
ike sa nat-keepalive-timer interval命令用来配置IKE对等体发送NAT Keepalive报文的时间间隔,undo ike sa nat-keepalive-timer interval命令用来恢复发送NAT Keepalive报文的时间间隔为缺省值。
当配置此命令时,要确保配置的时间间隔小于NAT转换的超时时间。
缺省情况下,IKE对等体发送NAT Keepalive报文的时间间隔为20秒。
【举例】
# 配置IKE对等体发送NAT Keepalive报文的时间间隔为30秒。
[H3C] ike sa nat-keepalive-timer interval 30
【命令】
local { multi-subnet | single-subnet }
undo local
【视图】
ike-peer视图
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
local命令用来配置IKE协商时的子网类型,undo local命令用来恢复缺省的子网类型。
此命令用于与NETSCREEN设备互通时使用。
缺省情况下,子网类型为单子网类型。
【举例】
# 配置IKE协商时的子网类型为多子网类型。
[H3C-ike-peer-xhy] local multi-subnet
【命令】
local-address ip-address
undo local-address
【视图】
ike-peer视图
【参数】
ip-address:IKE协商时的本端网关的IP地址。
【描述】
local-address命令用来配置IKE协商时的本端网关的IP地址,undo local-address命令用来取消本端网关的IP地址。
一般情况下local-address不需要配置,只有当用户需要指定特殊的本端网关地址时才需要配置此命令。
【举例】
# 配置本端网关IP地址为1.1.1.1。
[H3C-ike-peer-xhy] local-address 1.1.1.1
【命令】
nat traversal
undo nat traversal
【视图】
ike-peer视图
【参数】
无
【描述】
nat traversal命令用于配置IPSec/IKE的NAT穿越功能,undo nat traversal命令用来取消IPSec/IKE的NAT穿越功能。
此命令适用于IPSec/IKE组建的VPN隧道中加入了NAT网关的情况。
为了节省IP地址空间,ISP经常会在公网中加入NAT网关,以便于将私有IP地址分配给用户,此时可能会导致IPSec/IKE隧道的两端一端为公网地址,另一端为私网地址,所以必须在隧道两端配置NAT穿越,保证隧道能够正常协商建立。
【举例】
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] nat traversal
【命令】
pre-shared-key key
undo pre-shared-key
【视图】
ike-peer视图
【参数】
key:指定的身份认证字,取值范围为1~128 个字符。
【描述】
pre-shared-key命令用于配置IKE协商所使用的身份认证字,undo pre-shared-key命令用来取消IKE协商所使用的身份认证字。
【举例】
# 配置IKE协商所使用的身份认证字为abcde。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] pre-shared-key abcde
【命令】
peer { multi-subnet | single-subnet }
undo peer
【视图】
ike-peer视图
【参数】
multi-subnet:指定多子网类型。
single-subnet:指定单子网类型。
【描述】
peer命令用来配置IKE协商时的子网类型,undo peer命令用来恢复缺省的子网类型。
本命令用于与NETSCREEN设备互通时使用。
缺省情况下,子网类型为单子网类型。
【举例】
# 配置IKE协商时的子网类型为多子网类型。
[H3C-ike-peer-xhy] peer multi-subnet
【命令】
remote-address low-ip-address [ high-ip-address ]
undo remote-address
【视图】
ike-peer视图
【参数】
low-ip-address:起始IP地址。
high-ip-address:结束IP地址。
【描述】
remote-address命令用来配置对端网关设备的IP地址,undo remote-address命令用来删除对端网关设备的IP地址。
当IKE协商的发起端使用地址进行协商时(即配置了id-type ip),发起端会发送自己的IP地址给对端来标识自己的身份,而对端使用remote-address ip-address来验证发起端,故此时ip-address应与发起端上local-address命令所配的IP地址保持一致。
【举例】
# 配置对端网关设备IP地址为10.0.0.1。
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] remote-address 10.0.0.1
【命令】
remote-name name
undo remote-name
【视图】
ike-peer视图
【参数】
name:指定IKE协商时对端的名称,取值范围为1~32字符。
【描述】
remote-name命令用来配置对端网关的名称,undo remote-name命令用来删除配置的对端网关的名称。
当IKE协商的发起端使用网关名称进行协商时(即配置了id-type name),发起端会发送自己名称给对端来标识自己的身份,而对端使用remote-name name来验证发起端,故此时name应与发起端上ike local-name命令所配置的名称保持一致。
【举例】
[H3C] ike peer new_peer
[H3C-ike-peer-new_peer] remote-name beijing
【命令】
reset ike sa [ connection-id ]
【视图】
用户视图
【参数】
connection-id:指定要删除的安全隧道的连接ID号。如果未指定此参数,所有的阶段1的SA都会被删除。
【描述】
reset ike sa命令用来删除IKE建立的安全隧道。
如果未指定connection-id,所有阶段1的SA都会被删除。删除本地的安全隧道时,如果阶段1的ISAKMP SA还存在,将在此安全通道的保护下,向对端发送删除消息,通知对方清除相应的安全联盟。
IKE使用了两个阶段的ISAKMP:第一阶段建立IKE安全联盟,即ISAKMP SA;第二阶段使用这个已经建立的ISAKMP SA为IPSec协商安全联盟,即建立IPSec SA。
相关配置可参考命令display ike sa。
【举例】
# 删除连接号为2的安全通道。
<H3C> display ike sa
connection-id peer flag phase doi
----------------------------------------------------------
1 172.16.2.1 RD 1 IPSEC
2 172.16.2.1 RD 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
<H3C> reset ike sa 2
<H3C> display ike sa
connection-id peer flag phase doi
----------------------------------------------------------
1 172.16.2.1 RD 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
注意:
如果先删除阶段1的SA,那么在删除阶段2的SA时,就无法通知对方清除相应的SA。
【命令】
undo sa duration
【视图】
IKE提议视图
【参数】
seconds:指定ISAKMP SA的生存周期,单位为秒,范围为60~604800。SA的生存周期超时时ISAKMP SA将自动更新。
【描述】
sa duration命令用来指定一个IKE提议的ISAKMP SA生存周期,undo sa duration命令用来设置ISAKMP SA生存周期为缺省值。
缺省情况下,生存周期为86400秒(一天)。
在设定的生存周期超时前,会提前协商另一个SA来替换旧的SA。在新的SA还没有协商完之前,依然使用旧的SA;在新的SA建立后,将立即使用新的SA,而旧的SA在存活时间超时时,被自动清除。
相关配置可参考命令ike proposal,display ike proposal。
【举例】
# 指定IKE提议10的ISAKMP SA生存周期600秒(10分钟)。
[H3C] ike proposal 10
[H3C-ike-proposal-10] sa duration 600
【命令】
algorithm-suite suite-number
undo algorithm-suite
【视图】
dvpn-class视图
【参数】
suite-number:Client注册过程中使用的算法套件,取值范围为1~12,缺省值为1。
1 DES_MD5_DHGROUP1
2 DES_MD5_DHGROUP2
3 DES_SHA1_DHGROUP1
4 DES_SHA1_DHGROUP2
5 3DES_MD5_DHGROUP1
6 3DES_MD5_DHGROUP2
7 3DES_SHA1_DHGROUP1
8 3DES_SHA1_DHGROUP2
9 AES128_MD5_DHGROUP1
10 AES128_MD5_DHGROUP2
11 AES128_SHA1_DHGROUP1
12 AES128_SHA1_DHGROUP2
【描述】
algorithm-suite命令用来配置客户端注册过程使用的算法套件,undo algorithm-suite命令用来恢复缺省的客户端注册使用的算法套件。
缺省情况下客户端使用的算法套件为1,即加密算法为DES、验证算法为MD5,使用DH-gropp1算法进行密钥协商。
【举例】
# 设置注册过程使用的加密算法为AES,验证算法使用SHA1,使用DH-gropp1算法进行密钥协商。
[H3C-dvpn-class-abc] algorithm-suite 11
【命令】
authentication-client method { none | { chap | pap } [ domain isp-name ] }
【视图】
dvpn-policy视图
【参数】
pap:表示Server使用PAP对Client进行验证。
none:表示Server不需要对Client进行验证。
chap:表示Server使用CHAP对Client进行验证。
domain isp-name:表示Server对Client采用域认证。
【描述】
authentication-client method命令用来配置使用该策略的DVPN服务器对客户端进行身份验证的方法。目前支持none、CHAP、和PAP三种认证方式。
缺省情况下,不对客户端进行验证。
【举例】
# 设置DVPN策略,Server对Client进行CHAP验证。
[H3C-dvpn-policy-abc] authentication-client method chap
【命令】
authentication-server method { none | pre-share }
【视图】
dvpn-class视图
【参数】
none:表示Client不需要对Server进行验证。
pre-share:表示Client使用预共享密钥对Server进行验证。
【描述】
authentication-server method命令用来配置客户端对其需要接入的服务器端进行身份验证。
缺省情况下,客户端不要求对服务器进行身份验证。
【举例】
# 设置Client使用pre-share方式对Server进行验证。
[H3C-dvpn-class-abc] authentication-server method pre-share
【命令】
data algorithm-suite suite-number
undo data algorithm-suite
【视图】
dvpn-policy视图
【参数】
suite-number:会话数据加密使用的算法套件,即IPSec SA使用的算法套件,取值范围为0~12,缺省值为1。
0 Without protection
1 DES_MD5_DHGROUP1
2 DES_MD5_DHGROUP2
3 DES_SHA1_DHGROUP1
4 DES_SHA1_DHGROUP2
5 3DES_MD5_DHGROUP1
6 3DES_MD5_DHGROUP2
7 3DES_SHA1_DHGROUP1
8 3DES_SHA1_DHGROUP2
9 AES128_MD5_DHGROUP1
10 AES128_MD5_DHGROUP2
11 AES128_SHA1_DHGROUP1
12 AES128_SHA1_DHGROUP2
【描述】
data algorithm-suite命令用来配置转发数据的IPSec SA使用的算法套件。undo data algorithm-suite命令用来恢复IPSec SA的算法套件为缺省值。
缺省情况下IPSec SA使用的算法套件为1,即加密算法为DES、验证算法为MD5、使用DH-gropp1算法进行密钥协商。
【举例】
# 设置不对报文进行加密保护,即算法套件0。
[H3C-dvpn-policy-abc] data algorithm-suite 0
【命令】
data ipsec-sa duration time-based time-interval
undo data ipsec-sa duration time-based
【视图】
dvpn-policy视图
【参数】
time-interval:DVPN数据加密的IPSec SA的生存周期,取值范围为180~604800秒,缺省值为3600秒。
【描述】
data ipsec-sa duration time-based命令用来配置DVPN的数据通信使用的加密IPSec SA的生存周期,undo data ipsec-sa duration time-based命令用来恢复IPSec SA的生存周期为缺省值。
缺省情况下IPSec SA的生存周期为3600秒。
【举例】
# 设置IPSec SA的生存周期为86400秒。
[H3C-dvpn-policy-abc] data ipsec-sa duration time-based 86400
【命令】
debugging dvpn { all | error | event { all | misc | register | session } | hexadecimal | packet { all | control | data | ipsec } }
undo debugging dvpn { all | error | event { all | register | session | misc } | hexadecimal | packet { all | control | data | ipsec } }
【视图】
用户视图
【参数】
all:打开所有调试信息;
error:打开DVPN错误调试信息;
event:打开DVPN的事件调试开关,包括register、session、misc事件;
hexadecimal:16进制报文显示调试开关;
packet:打开DVPN的报文调试开关,包括control控制报文、data数据报文及ipsec报文。
【描述】
debugging dvpn命令用来打开DVPN的调试信息开关。undo debugging dvpn命令用来关闭DVPN调试信息开关。
缺省情况下,DVPN调试信息开关是关闭的。
【举例】
# 打开DVPN的注册事件调试开关。
<H3C> debugging dvpn event register
【命令】
display dvpn ipsec-sa { all | dvpn-id dvpn-id [ private-ip private-ip ] }
【视图】
任意视图
【参数】
all:表示所有IPSec SA的信息。
dvpn-id dvpn-id:指定dvpn-id。取值范围为1~65535。
private-ip private-ip:指定私网IP地址。
【描述】
display dvpn ipsec-sa命令用来显示指定的IPSec SA的信息。
【举例】
# 显示DVPN 1的IPSec SA信息。
<H3C> display dvpn ipsec-sa dvpn-id 1
---------------------------
Session dvpn-id : 1
Session local : 10.0.0.3
Session remote : 10.0.0.2
sa mode : DVPN
---------------------------
[Inbound ESP SAs]
spi : 1549550209 (0x5c5c4281)
authentication-algorithm : ESP-AUTH-MD5
encryption-algorithm : ESP-ENCRYPT-3DES
life duration(bytes/sec): 0/180
remaining life duration(bytes/sec): 0/102
[Outbound ESP SAs]
spi : 2421434273 (0x905427a1)
authentication-algorithm : ESP-AUTH-MD5
encryption-algorithm : ESP-ENCRYPT-3DES
life duration(bytes/sec): 0/180
remaining life duration(bytes/sec): 0/102
【命令】
display dvpn map { all | dvpn-id dvpn-id | public-ip public-ip }
【视图】
任意视图
【参数】
all:表示所有的Map信息。
dvpn-id dvpn-id:指定dvpn-id。取值范围为1~65535。
public-ip public-ip:指定公网IP地址。
【描述】
display dvpn map命令用来显示指定DVPN的Map信息。
显示信息包括私网地址、公网地址、端口号、DVPN连接状态、DVPN连接类型和客户端标识。
【举例】
# 显示系统当前的所有map信息。
[H3C] display dvpn map all
vpn-id private-ip public-ip port state type client-id --------------------------------------------------------------------
1 10.0.0.2 211.1.1.2 9876 SUCCESS C->S 70433124
2 11.0.0.2 211.1.1.2 9876 SUCCESS C->S 70432548
【命令】
display dvpn session { all | dvpn-id dvpn-id [ private-ip private-ip ] }
【视图】
任意视图
【参数】
dvpn-id:指定dvpn-id。
private-IP:指定私网IP地址(指Tunnel口的IP地址)。
【描述】
display dvpn session命令用来显示当前节点所拥有的全部session信息。
【举例】
# 显示DVPN 2的所有的session信息。
<H3C> display dvpn session dvpn-id 2
vpn-id private-ip public-ip port state type
-------------------------------------------------------------
2 11.0.0.2 211.1.1.2 9876 SUCCESS C->S
2 11.0.0.4 211.1.1.100 12289 SUCCESS C->C
【命令】
display dvpn info { dvpn-id dvpn-id | global }
【视图】
任意视图
【参数】
dvpn-id:指定dvpn-id。取值范围为1~65535。
global:DVPN全局配置信息。
【描述】
display dvpn info命令用来显示指定DVPN的配置信息以及当前的运行信息。
可以使用display dvpn info global显示系统当前DVPN的全局配置信息和运行信息。
【举例】
# 显示DVPN 1的所有信息。
[H3C] display dvpn info dvpn-id 1
---------------------------------------------------
DVPN Domain 1 Information
---------------------------------------------------
type : client
register type : Undistributed | Forward
session number : 1
server : server0
server state : active
server public IP : 211.1.1.2
algorithm suite : DES_MD5_DHGROUP1
session encryption flag : Need encryption
data encryption flag : Need encryption
authentication server method : none
session algorithm suite : AES128_SHA1_DHGROUP1
session setup time : 10
session idle time : 300
session keepalive time : 10
data algorithm suite : 3DES_MD5_DHGROUP2
data ipsecsa duration time : 180
data ipsecsa duration byte : 0
input packets : 17160
input dropped packets : 0
output packets : 87
output direct send packets : 42
output error dropped packets : 3
output send ipsec packets : 42
output send ipsec fail packets : 0
【命令】
display dvpn online-user
【视图】
任意视图
【参数】
无
【描述】
display dvpn online-user命令用来显示DVPN用户的在线信息。当Server对Client进行身份验证时,可以通过该命令查看目前已经通过AAA验证接入到DVPN域的用户信息。
【举例】
# 显示DVPN的在线用户信息。
<H3C> dis dvpn online-user
username : dvpnuser@dvpn
authen-type : CHAP
DVPN total online-user count : 1
【命令】
dvpn class dvpn-class-name
undo dvpn class dvpn-class-name
【视图】
系统视图
【参数】
dvpn-class-name:创建的dvpn-class的名称,以字符串方式表示,字符串的最大长度为31个字符。
【描述】
dvpn class命令用来创建一个dvpn-class,并进入该视图。undo dvpn class命令用来删除dvpn-class。
dvpn-class视图可以配置目的Server的地址,注册使用的用户名、密码等。当该dvpn-class已经被接口应用,不能被直接删除。
缺省情况下,没有配置任何dvpn-class。
【举例】
# 创建一个名为“abc”的dvpn-class。
[H3C] dvpn class abc
【命令】
dvpn client register-dumb time
undo dvpn client register-dumb
【视图】
系统视图
【参数】
time:客户端连续注册失败后的静默时间,单位为秒,取值范围为60~3600。
【描述】
dvpn client register-dumb命令用来设置客户端连续注册失败达到最大次数时进入静默状态的时间,即多长时间后进行下一次注册。undo dvpn client register-dumb命令用来恢复客户端静默的时间间隔为缺省值。
缺省情况下,静默时间为300秒。
【举例】
# 设置客户端进行注册失败后的静默时间为600秒。
[H3C] dvpn client register-dumb 600
【命令】
dvpn client register-interval time-interval
undo dvpn client register-interval
【视图】
系统视图
【参数】
time-interval:客户端进行注册的时间间隔,单位为秒,取值范围为3~60。
【描述】
dvpn client register-interval命令用来设置客户端进行注册的时间间隔。undo dvpn client register-interval命令用来恢复客户端进行注册的时间间隔为缺省值。
DVPN客户端向服务器发起注册请求时,在一定的时间间隔内,若客户端注册不成功,客户端将重新发起注册请求。在达到失败的最大次数时,若仍不成功,DVPN客户端将进入dumb状态。
缺省情况下,客户端进行注册的时间间隔为10秒。
【举例】
# 设置客户端进行注册的时间间隔为20秒。
[H3C] dvpn client register-interval 20
【命令】
dvpn client register-retry times
undo dvpn client register-retry
【视图】
系统视图
【参数】
times:客户端连续进行注册的最大次数,取值范围为1~6。
【描述】
dvpn client register-retry命令用来设置客户端连续进行注册的最大次数;undo dvpn client register-retry命令用来恢复客户端连续进行注册的最大次数为缺省值。
缺省情况下,最大次数为3次。
【举例】
# 设置客户端连续进行注册的最大次数为6 次。
[H3C] dvpn client register-retry 6
【命令】
dvpn dvpn-id dvpn-id
undo dvpn dvpn-id
【视图】
Tunnel接口视图
【参数】
dvpn-id:接口所属的DVPN域编号,取值范围为1~65535。
【描述】
dvpn dvpn-id命令用来配置Tunnel接口所属的DVPN域,在Tunnel接口封装为UDP DVPN时有效,undo dvpn dvpn-id命令用来删除Tunnel接口指定的DVPN的标识。
缺省情况下,Tunnel接口没有指定任何DVPN标识。
相关配置请参考命令tunnel-protocol udp dvpn。
【举例】
# 设置Tunnel接口所属的DVPN域标示为100。
[H3C] interface tunnel 0
[H3C-Tunnel0] tunnel-protocol udp dvpn
[H3C-Tunnel0] dvpn dvpn-id 100
【命令】
dvpn interface-type { client | server }
undo dvpn interface-type
【视图】
Tunnel接口视图
【参数】
client:表示接口类型为Client。
server:表示接口类型为Server。
【描述】
dvpn interface-type命令用来指定了Tunnel接口的接口类型。undo dvpn interface-type命令用来恢复Tunnel接口的缺省类型。
缺省情况下,接口类型为Client。
【举例】
# 设置Tunnel接口为Server类型。
[H3C-Tunnel0] dvpn interface-type server
【命令】
dvpn policy dvpn-policy-name
undo dvpn policy dvpn-policy-name
【视图】
系统视图
【参数】
dvpn-polciy-name:创建的dvpn-policy的名称,以字符串方式表示,字符串的最大长度为31个字符。
【描述】
dvpn policy命令用来创建一个dvpn-policy,并进入该视图。undo dvpn policy命令用来删除dvpn-policy。
dvpn-policy视图用来配置对Client的身份的认证方式,会话使用的加密算法套件、转发数据使用的算法套件、以及各种时间参数等各种DVPN策略。如果一个dvpn-policy已经被接口使用,则需要删除接口的应用才可以删除该dvpn-policy。
缺省情况下,没有配置任何dvpn-policy。
【举例】
# 创建一个名为“abc”的dvpn-policy。
[H3C] dvpn policy abc
【命令】
dvpn policy dvpn-policy-name
undo dvpn policy dvpn-policy-name
【视图】
Tunnel接口视图
【参数】
policy-class-name:本接口使用的dvpn-policy的名称。
【描述】
dvpn policy命令用来配置作为Server端的Tunnel接口使用的dvpn-policy名称。undo dvpn policy命令用来删除Tunnel接口使用的dvpn-policy。
dvpn-policy是一个包含DVPN会话使用的算法、以及各种时间定时器的时间设置等信息的数据结构,该结构通过系统视图下的dvpn policy命令创建。
每个接口最多应用一个dvpn-policy;如果需要应用新的dvpn-policy,则必须删除原有的dvpn-policy;另外一个dvpn-Policy可以被多个接口同时使用。
只有配置为Server模式的Tunnel接口才能够使用dvpn-policy。
缺省情况下,Tunnel接口没有应用dvpn-policy。
相关配置请参考命令dvpn interface-type。
【举例】
# 设置Tunnel接口应用的policy“abc”。
[H3C-Tunnel0] dvpn interface-type server
[H3C-Tunnel0] dvpn policy abc
【命令】
dvpn register-type { forward | undistributed }*
undo dvpn register-type { forward | undistributed }*
【视图】
Tunnel接口视图
【参数】
forward:DVPN服务器转发从此客户端发送的数据包。
undistributed:不允许服务器向其它客户端发布本客户端的注册信息。
【描述】
dvpn register-type命令用来配置Client向Server注册时的附加信息类型。undo dvpn register-type命令用来取消所配置的Client向Server注册时的附加信息类型。
Server可以根据指定的类型确定是否发送重定向报文。
只有配置为Client模式的Tunnle接口才能够配置dvpn register-type命令。
相关配置请参考命令dvpn interface-type。
在缺省情况下,系统没有设置这里两个标志。
【举例】
# 设置注册的类型为不允许Server向其他节点发布本Client的信息。
[H3C-Tunnel0] dvpn register-type undistributed
【命令】
dvpn security acl acl-number
undo dvpn security acl
【视图】
Tunnel接口视图
【参数】
acl-number:接口进行IPSec加密数据流判断的ACL的编号,取值范围为3000~3999。
【描述】
dvpn security acl命令用来配置Tunnel接口的IPSec加密数据流匹配的ACL,undo dvpn security acl命令用来删除Tunnel接口指定的IPSec加密数据流匹配的ACL。
DVPN进行数据转发时,需要进行相应的ACL的匹配判断,对于被ACL拒绝的数据报文不进行IPSec处理,否则进行IPSec加密保护。
缺省情况下,对接口的所有数据进行IPSec加密。
& 说明:
dvpn security acl需要与acl以及rule命令配合使用,当rule命令匹配的关键字为deny时,表示对于rule命令deny掉的数据报文不进行IPSec加密,若rule命令匹配的关键字为permit,对于该配置则无实际意义。
【举例】
# 设置Tunnel接口IPSec加密数据流的ACL为3100。
[H3C-Tunnel0] dvpn security acl 3100
【命令】
dvpn server dvpn-class-name
undo dvpn server dvpn-class-name
【视图】
Tunnel接口视图
【参数】
dvpn-class-name:接口使用的dvpn-class的名称。
【描述】
dvpn server命令用来配置Tunnel接口使用的dvpn-class名称,undo dvpn server命令用来删除Tunnel接口使用的dvpn-class。
dvpn-class是一个包含Server端公网IP地址、私网(Tunnel)IP地址、注册用户名密码等信息的数据结构,该结构通过系统视图下的dvpn class命令创建。
目前每个接口最多支持一个DVPN Server,,同时一个dvpn-class只允许被一个接口使用。
缺省情况下,Tunnel接口没有配置dvpn-class。
【举例】
# 设置Tunnel接口使用dvpn-class“abc”。
[H3C-Tunnel0] dvpn server abc
【命令】
dvpn server authentication-client method { none | { chap | pap } [ domain isp-name ] }
【视图】
系统视图
【参数】
none:表示Server不需要对Client进行验证。
pap:表示Server使用pap对Client进行验证。
chap:表示Server使用chap对Client进行验证。
domain isp-name:表示Server对Client采用域认证。
【描述】
dvpn server authentication-client method命令用来设置服务器端默认对客户端的身份认证方式。
如果客户端注册时不指定需要接入的DVPN,则会使用默认的身份认证方式对客户端进行认证。目前支持none、CHAP、和PAP三种认证方式。
Client在Server进行注册过程中,会根据配置确定使用DVPN域的策略确定对Client使用的认证方式,如果没有对应的策略则使用全局配置的验证方式对Client进行身份验证。
缺省情况下,服务器对客户端进行PAP验证。
【举例】
# 设置服务器端默认使用CHAP对客户端进行身份认证。
[H3C] dvpn server authentication-client method chap
【命令】
dvpn server map age-time time
undo dvpn server map age-time
【视图】
系统视图
【参数】
time:服务器Map的超时时间,单位为秒,取值范围为10~180。
【描述】
dvpn server map age-time命令用来设置服务器端的注册不成功的Map的超时时间。undo dvpn server map age-time命令用来设置服务器端Map超时时间为缺省值。
当服务器端的Map在指定的超时时间内仍注册不成功时,将删除该Map。
缺省情况下,超时时间为30秒。
【举例】
# 设置服务器端Map超时时间为60秒。
[H3C] dvpn server map age-time 60
【命令】
dvpn server pre-shared-key key
undo dvpn server pre-shared-key
【视图】
系统视图
【参数】
key:设置的Server的身份密钥信息,以字符串方式表示,字符串的最大长度为127个字符。
【描述】
dvpn server pre-shared-key命令用来设置服务器的身份标识的预共享密钥信息。undo dvpn server pre-shared-key命令用来清除服务器的预共享密钥。
缺省情况下,服务器没有设置预共享密钥。
【举例】
# 设置服务器身份标示的密钥为“123”。
[H3C] dvpn server pre-shared-key 123
【命令】
dvpn service enable
undo dvpn service enable
【视图】
系统视图
【参数】
无
【描述】
dvpn service enable命令用来使能设备的DVPN功能,undo dvpn service enable命令用来禁止设备的DVPN功能。
缺省情况下,使能DVPN功能。
【举例】
# 使能DVPN功能。
[H3C] dvpn service enable
【命令】
local-user username password { simple | cipher } password
undo local-user
【视图】
dvpn-class视图
【参数】
username:Client的用户名,长度为1~80个字符的字符串。
password:Client的用户口令。
simple:表示不加密显示口令。
cipher:表示加密显示口令。
【描述】
local-user命令用来配置Client的用户名和密码,undo local-user命令用来取消已经配置的用户名和密码。
【举例】
# 设置Client进行身份认证的用户名user、密码为test。
[H3C-dvpn-class-abc] local-user user password simple test
【命令】
public-ip ip-address
undo public-ip
【视图】
dvpn-class视图
【参数】
ip-address:指定的Server的公网IP地址。
【描述】
public-ip命令用来配置指定的Server端的公网IP地址,undo public-ip命令用来删除指定的Server端的公网IP地址。
缺省情况下,没有配置Server端的公网IP地址。
【举例】
# 指定Server的公网IP地址为61.18.3.66。
[H3C-dvpn-class-abc] public-ip 61.18.3.66
【命令】
pre-shared-key key
undo pre-shared-key
【视图】
dvpn-class视图
【参数】
key:设置的Server的身份密钥信息,以字符串方式表示,字符串的最大长度为127个字符。
【描述】
pre-shared-key命令用来设置客户端需要对服务器进行身份认证的的预共享密钥,undo pre-shared-key命令用来清除客户端设置的服务器的预共享密钥。
【举例】
# 设置客户端的服务器的共享密钥为“123”。
[H3C-dvpn-class-abc] pre-shared-key 123
【命令】
private-ip ip-address
undo private-ip
【视图】
dvpn-class视图
【参数】
ip-address:指定的Server端的私网IP地址(即Tunnel接口的IP地址)。
【描述】
private-ip命令用来配置指定Server的私网IP地址,undo private-ip命令用来删除指定Server的私网IP地址。
缺省情况下,没有配置Server端的私网IP地址。
【举例】
# 指定Server的私网(Tunnel)IP地址为192.168.0.1。
[H3C-Dvpn-class-abc] private-ip 192.168.0.1
【命令】
reset dvpn all dvpn-id
【视图】
用户视图
【参数】
dvpn-id:指定的DVPN的标识。
【描述】
reset dvpn all命令用来清除指定DVPN的所有运行信息,对指定的DVPN进行初始化。
【举例】
# 重置DVPN 2。
<H3C> reset dvpn all 2
【命令】
reset dvpn map public-ip port [ client-id ]
【视图】
用户视图
【参数】
public-ip:公网IP地址。
port:指定的端口号,取值范围为1~65535。
client-id:Client端的ID。取值范围为1~4294967295。
【描述】
reset dvpn map命令用来清除指定的map。
如果已经建立了会话连接,则同时会清除相关的会话连接。如果该Map为Client注册使用的Map,则会清除使用该Map进行注册的DVPN Client的所有的会话。
【举例】
# 清除地址为10.0.0.2,端口号位9876,client-id为123456的Map。
<H3C> reset dvpn map 10.0.0.2 9876 123456
【命令】
reset dvpn session dvpn-id private-ip
【视图】
用户视图
【参数】
dvpn-id:指定的DVPN的标识ID。取值范围为1~65535。
private-ip:私网IP地址。
【描述】
reset dvpn session命令用来清除指定的session,如果该session为Client注册过程建立的session,则会清除使用该DVPN Client的所有的session。
【举例】
# 清除DVPN 2域中私网地址为10.0.0.2的session。
<H3C> reset dvpn session 2 10.0.0.2
【命令】
reset dvpn statistics
【视图】
用户视图
【参数】
无
【描述】
reset dvpn statistics命令用来清除DVPN的所有统计信息。
【举例】
# 清除DVPN的统计信息。
<H3C> reset dvpn statistics
【命令】
session algorithm-suite suite-number
undo session algorithm-suite
【视图】
dvpn-policy视图
【参数】
suite-number:会话控制报文加密保护使用的算法套件,取值范围为0~12。
0 Without protection
1 DES_MD5_DHGROUP1
2 DES_MD5_DHGROUP2
3 DES_SHA1_DHGROUP1
4 DES_SHA1_DHGROUP2
5 3DES_MD5_DHGROUP1
6 3DES_MD5_DHGROUP2
7 3DES_SHA1_DHGROUP1
8 3DES_SHA1_DHGROUP2
9 AES128_MD5_DHGROUP1
10 AES128_MD5_DHGROUP2
11 AES128_SHA1_DHGROUP1
12 AES128_SHA1_DHGROUP2
【描述】
session algorithm-suite命令用来配置会话使用的算法套件,undo session algorithm-suite命令用来恢复算法套件的缺省设置。
缺省情况下,会话控制报文使用的算法套件为1,即加密算法为DES,验证算法为MD5,密钥协商算法为DHGROUP1。
【举例】
# 设置不对会话控制报文进行加密保护,即使用套件0。
[H3C-dvpn-policy-abc] session algorithm-suite 0
【命令】
session idle-time time
undo session idle-time
【视图】
dvpn-policy视图
【参数】
time:会话的空闲超时时间,单位为秒,取值范围为60~86400。
【描述】
session idle-time命令用来配置会话的空闲超时时间,undo session idle-time命令用来恢复会话空闲超时时间的缺省设置。
如果会话在空闲超时时间内没有数据传输,该会话会被自动删除。
缺省情况下,空闲超时时间为300秒。
【举例】
# 设置会话空闲超时时间为180秒。
[H3C-dvpn-policy-abc] session idle-time 180
【命令】
session keepalive-interval time-interval
undo session keepalive-interval
【视图】
dvpn-policy视图
【参数】
time-interval:保持定时器的时间间隔,单位为秒,取值范围为5~300。
【描述】
session keepalive-interval命令用来配置DVPN会话状态的保持连接定时器的时间间隔,undo session keepalive-interval命令用来恢复保持连接定时器的缺省值。
Keepalive用来保持会话的连接状态。当会话建立成功后,主动方会定时发送Keepalive报文,被动端接收到Keepalive报文会回应Keepalive-ack报文。被动端不会主动发送Keepalive报文。
缺省情况下,时间间隔为10秒。
【举例】
# 设置会话状态的保持连接时间间隔为30秒。
[H3C-dvpn-policy-abc] session keepalive-interval 30
【命令】
session setup-interval time-interval
undo session setup-interval
【视图】
dvpn-policy视图
【参数】
time-interval:会话建立请求定时器的时间间隔,单位为秒,取值范围为5~60。
【描述】
session setup-interval命令用来配置会话建立请求(Setup Request)的时间间隔,每次超时将重新发送会话建立请求报文。undo session setup-interval命令用来恢复会话建立请求定时器的缺省值。
当Client端发送一个会话建立请求之后,在没有收到对端的应答之前,如果定时器超时则再向对端节点发送会话建立请求报文。
缺省情况下,时间间隔10秒。
【举例】
# 设置会话建立请求的时间间隔为30秒。
[H3C-dvpn-policy-abc] session setup-interval 30
【命令】
tunnel-protocol udp dvpn
【视图】
Tunnel接口视图
【参数】
udp dvpn:Tunnel接口采用UDP DVPN封装格式建立Tunnel。
【描述】
tunnel-protocol udp dvpn命令用来配置Tunnel接口的封装格式,设置Tunnel接口采用DVPN方式,接口将变成Multipoint属性,NBMA类型。
缺省情况下,Tunnel接口封装为GRE模式。
【举例】
# 设置Tunnel接口为UDP DVPN封装格式。
[H3C-Tunnel0] tunnel-protocol udp dvpn
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
