• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-网络管理命令参考

目录

14-标准IPsec命令

本章节下载 14-标准IPsec命令  (245.71 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/ACG1000_CR(R6612_E6453)/02/202104/1406733_30005_0.htm

14-标准IPsec命令


1 IPsec协议概述

1.1  IPSec协议概述

IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:

·     数据的机密性—IPSec的发送方对发给对端的数据进行加密

·     数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改

·     数据来源的认证—IPSec接收方验证数据的来源

·     抗重播—IPSec的接收方可以检测到重播的IP包丢弃

使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。IPSec使用 “封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。

相关术语解释:

·     鉴别头(AH):用于验证数据包的安全协议

·     封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作可也以单独工作

·     加密算法:ESP所使用的加密算法

·     验证算法:AH或ESP用来验证对方的验证算法

·     密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是默认的密钥自动交换协议

2 IPsec配置过程

IPSec VPN 提供了网关到网关和远程接入的安全服务功能,提供路由模式下的IPSec VPN传输,支持隧道模式。身份认证支持预共享密钥,RSA数字证书及国密数字认证。

配置IPSec VPN基本过程如下:

(1)     配置IKE协商策略,主要配置对端地址,认证方式,协商参数等。

(2)     配置IPSEC协商策略,主要配置IPSec加密算法,封装模式等。

(3)     IPsectunnel,通过配置tunnel接口来指定数据加密范围及原始报文的路由出接口。

(4)     配置IPsec路由,指定到达vpn对端加密的数据走哪个tunnel接口出去。

2.2  一阶段配置节点

vpn ipsec phase1用来进入IPsec一阶段配置节点

【命令】

vpn ipsec phase1 进入IPsec一阶段配置节点,此模式下,进行IKE策略的添加与删除。

【视图】

系统视图

2.2.1  IKE协商策略创建删除与编辑

【命令】

edit gateway NAME创建IKE一阶段

no edit gateway NAME删除IKE一阶段

【视图】

IKE配置视图

【参数】

name:IKE策略的名称

【使用指导】

执行此命令可以进入一个已经存在的IKE编辑节点,不存在则创建后进入IKE编辑节点。

【举例】

#创建或进入IKE:

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)#

2.2.2  IKE一阶段相关命令介绍

命令

描述

set mode (main|aggressive)

设置一阶段协商模式(主模式或野蛮模式),国密认证方式只支持主模式

set remotegw A.B.C.D

以IP地址方式设置对端网关

Set remotegw hostname HOSTNAME

以域名方式设置对端网关

set remotegw dynamic

设置对端网关为动态

set nat <10-900>

设置NAT保活报文发送间隔

set localid address A.B.C.D

设置本端ID

authentication (pre-share|rsa-rig| sm2-de)

设置一阶段认证方式(预共享秘钥或RSA数字证书、国密证书)

set preshared-key KEY

设置预共享秘钥

set local-cert NAME

设置证书认证所需要的用户证书(数字证书认证或国密证书认证)

set peer-cert NAME

设置证书认证所需要的对端证书(国密证书认证)

set ca-cert NAME

设置证书认证所需要的CA证书(数字证书认证或国密证书认证)

set localid fqdn NAME

设置本地的fqdn

set localid user-fqdn NAME

设置本地的user-fqdn

set localid address A.B.C.D

设置本地的id值

set peerid fqdn NAME

设置对端的fqdn

set peerid user-fqdn NAME

设置对端的user-fqdn

set peerid address A.B.C.D

设置对端的id值

set dpd <30-120>

设置dpd报文发送间隔

dpd (enable|disable)

启用或禁用dpd功能

set policy <1-3>

进入一阶段提案配置

group (1|2|5)

指定DH组

lifetime <120-86400>

设置一阶段SA生命周期

xauth-server (enable|disable)

开启或禁用扩展认证

set modecfg-server

进入模式配置

2.2.3  IKE设置对端网关

【命令】

set remotegw A.B.C.D设置ike对端为IP格式

set remotegw hostname HOSTNAME设置ike对端为域名格式

set remotegw dynamic 设置ike对端为动态接入方式

no set remotegw

【视图】

Ike编辑视图

【参数】

A.B.C.D:以IP地址方式设置对端网关。

HOSTNAME:以域名方式设置对端网关。

DYNAMIC:设置ike对端为动态接入方式。

【使用指导】

对端网关设置有三种方式:静态IP、域名和动态,分别对应上面三条set命令。

采用域名方式时,需在DNS模块配置dns地址。

【举例】

#指定IKE对端地址:

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set remotegw 1.1.1.1

host(config-phase1-ike_test)# set  remotegw hostname abc.com

host(config-phase1-ike_test)# set remotegw dynamic

2.2.4  IKE设置NAT间隔

【命令】

set nat <10-900> 设置NAT保活报文发送间隔。

no set nat 删除NAT保活报文发送间隔。

【视图】

Ike编辑视图

【参数】

<10-900>NAT保活报文发送间隔,默认10。

【举例】

#设置IKE NAT间隔

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set  nat 10

2.2.5  IKE本端ID

【命令】

set localid address A.B.C.D 设置本端ID。

no set localid address删除本端ID。

【视图】

Ike编辑视图

【参数】

A.B.C.D:IP地址形式的本端ID。

【使用指导】

如果不设置该项,本端ID默认采用出接口的IP。

【举例】

#设置IKE本端ID

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set localid address 1.1.1.10

2.2.6  IKE认证方式

【命令】

authentication (pre-share| rsa-sig |sm2-de) 设置IKE认证方式。

no authentication

【视图】

Ike编辑视图

【参数】

pre-share:预共享秘钥认证

rsa-sig数字证书认证

sm2-de国密证书认证

【使用指导】

默认pre-share。

·     选择pre-share方式,则需同时配置预共享秘钥。

·     选择rsa-sig方式,需同时配置相关数字证书。证书签发与导入请参考PKI章节。

·     选择sm2-de方式,需同时导入相关国密证书。国密证书及密钥导入请参考PKI章节。

【举例】

#设置IKE认证方式为预共享密钥

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 123456

#设置IKE认证方式为数字证书

host(config-phase1-ike_test)# authentication rsa-sig

host(config-phase1-ike_test)#  set ca-cert CA_gen.cer

host(config-phase1-ike_test)# set local-cert user_ca2.cer

#设置IKE认证方式为国密证书

host(config-phase1-ike_test)# authentication sm2-de

host(config-phase1-ike_test)#  set ca-cert CA_gen.cer

host(config-phase1-ike_test)# set local-cert topsecca1.pem.cer

host(config-phase1-ike_test)# set peer-cert topsecca2_myself.pem.cer

2.2.7  IKE DPD检测

【命令】

dpd (enable|disable) 开启或禁用dpd功能。

no dpd

【视图】

IKE编辑视图

【参数】

enable:开启DPD。

diable关闭DPD。

【使用指导】

DPD用来动态的检测ipsec隧道两端通信是否正常,如果dpd检测失败,则会主动删除当前创建的SA,建议双方都开启。

【举例】

#设置IKE开启dpd检测

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# dpd enable

2.2.8  IKE 加密提案

【命令】

set policy <1-3>添加、删除或修改一个加密提案。

no set policy <1-3>

【视图】

Ike编辑视图

【参数】

<1-3>:提案编号。

encrypt (3des|des|aes128|aes192|aes256| sm4)设置加密算法;缺省为3des。

hash (md5|sha|sm3)设置HASH认证算法;缺省为md5。

【使用指导】

需要至少配置一个加密提案才能和对端正常协商。

【举例】

#设置IKE 加密提案

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)#  set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

2.2.9  IKE DH

【命令】

group (1|2|5):设置DH

no group

【视图】

Ike编辑视图

【参数】

11

2:组2

55

【使用指导】

两端设备group要设置一致才能协商成功过。

【举例】

#设置IKE DH

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)#group 1

2.2.10  IKE 一阶段sa生命周期

【命令】

lifetime <120-86400>设置一阶段sa的生命周期。

no lifetime

【视图】

Ike编辑视图

【参数】

<120-86400>SA生命周期,单位为秒。

【使用指导】

默认86400,sa老化时间以发起方为准。

【举例】

#设置IKE Sa老化时间

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# lifetime 86400

2.2.11  IKE 扩展认证

【命令】

xauth-server (enable|disable) 开启或禁用扩展认证。

no xauth-server

【视图】

Ike编辑视图

【参数】

enable开启。

disable关闭。

【使用指导】

在远程接入的vpn场景中,可以开启扩展认证,进行二次认证。

开启此功能需要在用户管理模块添加用户。添加用户详细方法可以参考用户管理章节。

【举例】

#设置IKE 扩展认证

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# xauth-server enable

2.3  IPsec二阶段配置节点

vpn ipsec phase2

【命令】

Vpn-ipsec phase2 进入IPsec二阶段配置节点,此模式下,进行IPSEC策略的添加与删除。

【视图】

系统视图

2.3.1  IPsec二阶段协商策略创建删除与编辑

【命令】

edit tunnel NAME创建IPsec二阶段

no edit tunnel NAME删除IPsec二阶段

【视图】

IPsec配置视图

【参数】

name:IPsec策略的名称

命令

描述

set peer GATEWAY-NAME

指定一阶段策略

mode (tunnel|)

指定ISPEC封装模式

pfs (1|2|5)

指定完美向前保密组

set lifetime kilobytes <2560-536870912>

Ipsec sa最大流量限制

set lifetime seconds <120-86400>

Ipsec sa最大生命周期

auto-connect (enable|disable)

开启或禁用自动连接

auto-connect interval <2-3600>

设置自动连接重连间隔

set (proposal1|proposal2|proposal3|proposal4)

 (esp-3des-md5|esp-aes128-sha1|esp-aes256-null|

esp-null-md5|esp-3des-null|esp-aes192-md5|

esp-aes256-sha1|esp-null-null|esp-3des-sha1|

esp-aes192-null|esp-des-md5|esp-null-sha1|

esp-aes128-md5|esp-aes192-sha1|esp-des-null|

esp-aes128-null|esp-aes256-md5|esp-des-sha1| esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3| esp-aes256-sm3|esp-des-sm3|esp-null-sm3| esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null)

 (ah-md5-hmac| ah-null|ah-sha-hmac)

设置ipsec解密提案

 

【使用指导】

执行此命令可以进入一个已经存在的IPSEC编辑节点,不存在则创建后进入IPSEC编辑节点。

【举例】

#创建或进入IPsec二阶段:

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)#

2.3.2  IPsec指定一阶段策略

【命令】

set peer GATEWAY-NAMEIPSEC指定一个一阶段(IKE)协商策略。

no set peer删除协商策略。

【视图】

IPsec配置视图

【参数】

GATEWAY-NAME:IKE策略的名字。

【使用指导】

此命令为二阶段策略指定一个一阶段策略,被指定的一阶段策略必须存在。

【举例】

#设置IPsec二阶段策略

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)#

2.3.3  IPsec封装模式

【命令】

mode (tunnel|)指定IPSEC的封装模式。

no mode删除IPSEC的封装模式

【视图】

IPsec配置视图

【参数】

tunnel:隧道模式。

【使用指导】

目前只支持隧道模式,默认就是tunnel模式,可以不用配置。

【举例】

#设置IPsec封装模式

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

2.3.4  IPsec完美向前保密组

【命令】

pfs (1|2|5)指定完美向前保密组。

no pfs删除完美向前保密组。

【视图】

IPsec配置视图

【参数】

1:组1。

2组2。

5组5。

【使用指导】

完美向前保密默认为不启用,设备只有响应端会校验,主要是和第三方厂家对接使用,默认不配做即可。

【举例】

#设置IPsec完美向前保密组

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# pfs 1

2.3.5  IPsec二阶段sa生命周期

【命令】

set lifetime kilobytes <2560-536870912>设置单个ipsec sa最大流量限制。

set lifetime seconds <120-86400>设置Ipsec sa生命周期。

no set lifetime kilobytes删除单个ipsec sa最大流量限制。

no set lifetime seconds删除Ipsec sa生命周期。

【视图】

IPsec编辑视图

【参数】

<120-86400>:SA生命周期,单位为秒。

<2560-536870912>单个ipsec sa最大流量限制,单位为KB。

【使用指导】

默认没有流量限制(即为0),超时时间为28800秒,sa老化时间以发起方为准。

【举例】

#设置IPSec二阶段 Sa老化时间

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# set lifetime kilobytes 2560

host(config-phase2-ipsec_test)# set lifetime seconds 86400

2.3.6  IPsec二阶段自动连接

【命令】

auto-connect (enable|disable)开启或禁用自动连接。

no auto-connect

auto-connect interval <2-3600>设置自动连接重连时间间隔。

【视图】

IPsec编辑视图

【参数】

auto-connect interval <2-3600>:设置自动连接重连间隔;缺省为5秒。

【使用指导】

开启后,IPsec将自动向对端发起连接,如果失败,则会在设定的时间间隔后,重新发起连接,直至连接成功为止。如果没指定时间间隔,默认为5秒。

【举例】

#设置IPSec二阶段自动连接,时间为2秒。

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# auto-connect enable 

host(config-phase2-ipsec_test)# auto-connect interval 2

2.3.7  IPsec二阶段加密提案

【命令】

set (proposal1|proposal2|proposal3|proposal4)(esp-3des-md5|esp-aes128-sha1|esp-aes256-null|esp-null-md5|esp-3des-null|esp-aes192-md5|esp-aes256-sha1|esp-null-null|esp-3des-sha1|esp-aes192-null|esp-des-md5|esp-null-sha1|esp-aes128-md5|esp-aes192-sha1|esp-des-null|esp-aes128-null|esp-aes256-md5|esp-des-sha1|esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3|esp-aes256-sm3|esp-des-sm3|esp-null-sm3|esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null) (ah-md5-hmac| ah-null|ah-sha-hmac)用来设IPSEC加密提案。

no set (proposal1|proposal2|proposal3|proposal4)删除IPSEC加密提案。

【视图】

IPsec编辑视图

【参数】

参数

描述

proposal1

提案1

proposal2

提案2

proposal3

提案3

proposal4

提案4

esp-3des-md5

启用esp协议,加密算法为3des,认证算法为md5

esp-aes128-sha1

启用esp协议,加密算法为aes128,认证算法为sha1

esp-aes256-null

启用esp协议,加密算法为aes256,认证算法为null

esp-null-md5

启用esp协议,加密算法为null,认证算法为md5

esp-3des-null

启用esp协议,加密算法为3des,认证算法为null

esp-aes192-md5

启用esp协议,加密算法为aes192,认证算法为md5

esp-aes256-sha1

启用esp协议,加密算法为aes256,认证算法为sha1

esp-null-null

禁用esp协议

esp-3des-sha1

启用esp协议,加密算法为3des,认证算法为sha1

esp-aes192-null

启用esp协议,加密算法为aes192,认证算法为null

esp-des-md5

启用esp协议,加密算法为des,认证算法为md5

esp-null-sha1

启用esp协议,加密算法为null,认证算法为sha1

esp-aes128-md5

启用esp协议,加密算法为aes128,认证算法为md5

esp-aes192-sha1

启用esp协议,加密算法为aes192,认证算法为sha1

esp-des-null

启用esp协议,加密算法为des,认证算法为null

esp-aes128-null

启用esp协议,加密算法为aes128,认证算法为null

esp-aes256-md5

启用esp协议,加密算法为aes256,认证算法为md5

esp-des-sha1

启用esp协议,加密算法为des,认证算法为sha1

esp-3des-sm3

启用esp协议,加密算法为3des,认证算法为sm3

esp-aes128-sm3

启用esp协议,加密算法为aes128,认证算法为sm3

esp-aes192-sm3

启用esp协议,加密算法为aes192,认证算法为sm3

esp-aes256-sm3

启用esp协议,加密算法为aes256,认证算法为sm3

esp-des-sm3

启用esp协议,加密算法为des,认证算法为sm3

esp-null-sm3

启用esp协议,加密算法为null,认证算法为sm3

esp-sm4-md5

启用esp协议,加密算法为sm4,认证算法为md5

esp-sm4-sha1

启用esp协议,加密算法为sm4,认证算法为sha1

esp-sm4-sm3

启用esp协议,加密算法为sm4,认证算法为sm3

esp-sm4-null

启用esp协议,加密算法为sm4,认证算法为null

ah-md5-hmac

启用ah协议,认证算法为md5

ah-null

禁用ah协议

ah-sha-hmac

启用ah协议,认证算法为sha

 

【使用指导】

需要至少配置一个加密提案才能和对端正常协商,需保证两端加密提案一致,默认esp-aes256-sha1 ah-null

【举例】

#设置IPSec二阶段加密提案。

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel  ipsec_test

host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null

2.4  IPsec隧道接口

【命令】

interface tunnel <0-1023> mode ipsec配置IPSec 隧道接口。

【视图】

系统视图

【参数】

<0-1023>:tunnel接口编号。

【使用指导】

此命令创建一个ipsec隧道接口。然后需要在接口下绑定一个二阶段策略。也可以指定感兴趣流(默认不指定,即any-any)。可以通过配置静态路由的方法,将感兴趣流的路由出口指向此ipsec隧道口。

【举例】

#设置IPSec隧道接口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec ipsec_test

host(config-tunnel10)#tunnel-ipsec interested-subnet pair 10.1.1.0/24 20.1.1.0/24

2.5  查看命令

2.5.1  一阶段查看

【命令】

display ike sa

2.5.2  二阶段查看

【命令】

display ipsec sa

2.6  Sa清除命令

2.6.1  一阶段sa清除

【命令】

clear ike sa  all 删除所有一阶段sa

clear ike  sa  id xx 删除指定idsa

clear ike sa name xxx 删除指定名称的sa

2.6.2  二阶段sa清除

【命令】

clear ipsec sa  all删除所有二阶段sa

clear ipsec sa  id xx删除指定idsa

clear ipsec sa name xxx删除指定名称的sa

2.7  IPsec配置案例

步骤1     配置一阶段

host(config)# vpn ipsec phase1

host(config-phase1)# edit gateway ike_test

host(config-phase1-ike_test)# set mode main

host(config-phase1-ike_test)# set remotegw 192.168.1.97

host(config-phase1-ike_test)# lifetime 6000

host(config-phase1-ike_test)# set dpd 30

host(config-phase1-ike_test)# dpd enable

host(config-phase1-ike_test)# authentication pre-share

host(config-phase1-ike_test)# set preshared-key 111111

host(config-phase1-ike_test)# set nat 10

host(config-phase1-ike_test)# set policy 1

host(config-phase1-ike_test-policy1)# encrypt 3des

host(config-phase1-ike_test-policy1)# hash md5

host(config-phase1-ike_test-policy1)# exit

步骤2     配置二阶段

host(config)# vpn ipsec phase2

host(config-phase2)# edit tunnel ipsec_test

host(config-phase2-ipsec_test)# set peer ike_test

host(config-phase2-ipsec_test)# mode tunnel

host(config-phase2-ipsec_test)# set lifetime seconds 3600

host(config-phase2-ipsec_test)# pfs 2

host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null

host(config-phase2-ipsec_test)#exit

步骤3     配置tunnel接口

host(config)# interface tunnel 10 mode ipsec

host(config-tunnel10)#tunnel-ipsec ipsec_test

host(config-tunnel10)#tunnel-ipsec interested-subnet pair 10.1.1.0/24 20.1.1.0/24

步骤4     添加静态路由

host(config)#ip route 20.1.1.0/24 tunnel10

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们