- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-标准IPsec命令
本章节下载: 15-标准IPsec命令 (246.04 KB)
目 录
IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:
· 数据的机密性—IPSec的发送方对发给对端的数据进行加密
· 数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改
· 数据来源的认证—IPSec接收方验证数据的来源
· 抗重播—IPSec的接收方可以检测到重播的IP包丢弃
使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。IPSec使用 “封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。
相关术语解释:
· 鉴别头(AH):用于验证数据包的安全协议
· 封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作可也以单独工作
· 加密算法:ESP所使用的加密算法
· 验证算法:AH或ESP用来验证对方的验证算法
· 密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是默认的密钥自动交换协议
IPSec VPN 提供了网关到网关和远程接入的安全服务功能,提供路由模式下的IPSec VPN传输,支持隧道模式。身份认证支持预共享密钥,RSA数字证书及国密数字认证。
配置IPSec VPN基本过程如下:
(1) 配置IKE协商策略,主要配置对端地址,认证方式,协商参数等。
(2) 配置IPSEC协商策略,主要配置IPSec加密算法,封装模式等。
(3) IPsectunnel,通过配置tunnel接口来指定数据加密范围及原始报文的路由出接口。
(4) 配置IPsec路由,指定到达vpn对端加密的数据走哪个tunnel接口出去。
vpn ipsec phase1用来进入IPsec一阶段配置节点
Vpn-ipsec phase1 进入IPsec一阶段配置节点,此模式下,进行IKE策略的添加与删除。
【视图】
系统视图
【命令】
edit gateway NAME创建IKE一阶段
no edit gateway NAME删除IKE一阶段
【视图】
IKE配置视图
【参数】
name:IKE策略的名称
【使用指导】
执行此命令可以进入一个已经存在的IKE编辑节点,不存在则创建后进入IKE编辑节点。
【举例】
#创建或进入IKE:
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)#
|
命令 |
描述 |
|
set mode (main|aggressive) |
设置一阶段协商模式(主模式或野蛮模式),国密认证方式只支持主模式 |
|
set remotegw A.B.C.D |
以IP地址方式设置对端网关 |
|
Set remotegw hostname HOSTNAME |
以域名方式设置对端网关 |
|
set remotegw dynamic |
设置对端网关为动态 |
|
set nat <10-900> |
设置NAT保活报文发送间隔 |
|
set localid address A.B.C.D |
设置本端ID |
|
authentication (pre-share|rsa-rig| sm2-de) |
设置一阶段认证方式(预共享秘钥或RSA数字证书、国密证书) |
|
set preshared-key KEY |
设置预共享秘钥 |
|
set local-cert NAME |
设置证书认证所需要的用户证书(数字证书认证或国密证书认证) |
|
set peer-cert NAME |
设置证书认证所需要的对端证书(国密证书认证) |
|
set ca-cert NAME |
设置证书认证所需要的CA证书(数字证书认证或国密证书认证) |
|
set localid fqdn NAME |
设置本地的fqdn |
|
set localid user-fqdn NAME |
设置本地的user-fqdn |
|
set localid address A.B.C.D |
设置本地的id值 |
|
set peerid fqdn NAME |
设置对端的fqdn |
|
set peerid user-fqdn NAME |
设置对端的user-fqdn |
|
set peerid address A.B.C.D |
设置对端的id值 |
|
set dpd <30-120> |
设置dpd报文发送间隔 |
|
dpd (enable|disable) |
启用或禁用dpd功能 |
|
set policy <1-3> |
进入一阶段提案配置 |
|
group (1|2|5) |
指定DH组 |
|
lifetime <120-86400> |
设置一阶段SA生命周期 |
|
xauth-server (enable|disable) |
开启或禁用扩展认证 |
|
set modecfg-server |
进入模式配置 |
【命令】
set remotegw A.B.C.D设置ike对端为IP格式
set remotegw hostname HOSTNAME设置ike对端为域名格式
set remotegw dynamic 设置ike对端为动态接入方式
no set remotegw
【视图】
Ike编辑视图
【参数】
A.B.C.D:以IP地址方式设置对端网关。
HOSTNAME:以域名方式设置对端网关。
DYNAMIC:设置ike对端为动态接入方式。
【使用指导】
对端网关设置有三种方式:静态IP、域名和动态,分别对应上面三条set命令。
采用域名方式时,需在DNS模块配置dns地址。
【举例】
#指定IKE对端地址:
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set remotegw 1.1.1.1
host(config-phase1-ike_test)# set remotegw hostname abtnetworks.com
host(config-phase1-ike_test)# set remotegw dynamic
【命令】
set nat <10-900> 设置NAT保活报文发送间隔。
no set nat 删除NAT保活报文发送间隔。
【视图】
Ike编辑视图
【参数】
<10-900>:NAT保活报文发送间隔,默认10。
【举例】
#设置IKE NAT间隔
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set nat 10
【命令】
set localid address A.B.C.D 设置本端ID。
no set localid address删除本端ID。
【视图】
Ike编辑视图
【参数】
A.B.C.D:IP地址形式的本端ID。
【使用指导】
如果不设置该项,本端ID默认采用出接口的IP。
【举例】
#设置IKE本端ID
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set localid address 1.1.1.10
【命令】
authentication (pre-share|rsa-rig|sm2-de) 设置IKE认证方式。
no authentication
【视图】
Ike编辑视图
【参数】
pre-share:预共享秘钥认证
rsa-rig RSA:数字证书认证
sm2-de:国密证书认证
【使用指导】
默认pre-share。
· 选择pre-share方式,则需同时配置预共享秘钥。
· 选择rsa-rig方式,需同时配置相关数字证书。证书签发与导入请参考PKI章节。
· 选择sm2-de方式,需同时导入相关国密证书。国密证书及密钥导入请参考PKI章节。
【举例】
#设置IKE认证方式为预共享密钥
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set preshared-key 123456
#设置IKE认证方式为数字证书
host(config-phase1-ike_test)# set ca-cert CA_gen.cer
host(config-phase1-ike_test)# set local-cert user_ca2.cer
#设置IKE认证方式为国密证书
host(config-phase1-ike_test)# set ca-cert CA_gen.cer
host(config-phase1-ike_test)# set local-cert topsecca1.pem.cer
host(config-phase1-ike_test)# set peer-cert topsecca2_myself.pem.cer
【命令】
dpd (enable|disable) 开启或禁用dpd功能。
no dpd
【视图】
IKE编辑视图
【参数】
enable:开启DPD。
diable:关闭DPD。
【使用指导】
DPD用来动态的检测ipsec隧道两端通信是否正常,如果dpd检测失败,则会主动删除当前创建的SA,建议双方都开启。
【举例】
#设置IKE开启dpd检测
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# dpd enable
【命令】
set policy <1-3>添加、删除或修改一个加密提案。
no set policy <1-3>
【视图】
Ike编辑视图
【参数】
<1-3>:提案编号。
encrypt (3des|des|aes128|aes192|aes256| sm4):设置加密算法;缺省为3des。
hash (md5|sha|sm3):设置HASH认证算法;缺省为md5。
【使用指导】
需要至少配置一个加密提案才能和对端正常协商。
【举例】
#设置IKE 加密提案
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
【命令】
group (1|2|5):设置DH组
no group
【视图】
Ike编辑视图
【参数】
1:组1。
2:组2。
5:组5。
【使用指导】
两端设备group要设置一致才能协商成功过。
【举例】
#设置IKE DH组
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)#group 1
【命令】
lifetime <120-86400>设置一阶段sa的生命周期。
no lifetime
【视图】
Ike编辑视图
【参数】
<120-86400>:SA生命周期,单位为秒。
【使用指导】
默认86400,sa老化时间以发起方为准。
【举例】
#设置IKE Sa老化时间
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# lifetime 86400
【命令】
xauth-server (enable|disable) 开启或禁用扩展认证。
no xauth-server
【视图】
Ike编辑视图
【参数】
enable:开启。
disable:关闭。
【使用指导】
在远程接入的vpn场景中,可以开启扩展认证,进行二次认证。
开启此功能需要在用户管理模块添加用户。添加用户详细方法可以参考用户管理章节。
【举例】
#设置IKE 扩展认证
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# xauth-server enable
vpn ipsec phase2
【命令】
Vpn-ipsec phase2 进入IPsec二阶段配置节点,此模式下,进行IPSEC策略的添加与删除。
【视图】
系统视图
【命令】
edit tunnel NAME创建IPsec二阶段
no edit tunnel NAME删除IPsec二阶段
【视图】
IPsec配置视图
【参数】
name:IPsec策略的名称
|
命令 |
描述 |
|
set peer GATEWAY-NAME |
指定一阶段策略 |
|
mode (tunnel|) |
指定ISPEC封装模式 |
|
pfs (1|2|5) |
指定完美向前保密组 |
|
set lifetime kilobytes <2560-536870912> |
Ipsec sa最大流量限制 |
|
set lifetime seconds <120-86400> |
Ipsec sa最大生命周期 |
|
auto-connect (enable|disable) |
开启或禁用自动连接 |
|
auto-connect interval <2-3600> |
设置自动连接重连间隔 |
|
set (proposal1|proposal2|proposal3|proposal4) (esp-3des-md5|esp-aes128-sha1|esp-aes256-null| esp-null-md5|esp-3des-null|esp-aes192-md5| esp-aes256-sha1|esp-null-null|esp-3des-sha1| esp-aes192-null|esp-des-md5|esp-null-sha1| esp-aes128-md5|esp-aes192-sha1|esp-des-null| esp-aes128-null|esp-aes256-md5|esp-des-sha1| esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3| esp-aes256-sm3|esp-des-sm3|esp-null-sm3| esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null) (ah-md5-hmac| ah-null|ah-sha-hmac) |
设置ipsec解密提案 |
【使用指导】
执行此命令可以进入一个已经存在的IPSEC编辑节点,不存在则创建后进入IPSEC编辑节点。
【举例】
#创建或进入IPsec二阶段:
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)#
【命令】
set peer GATEWAY-NAME为IPSEC指定一个一阶段(IKE)协商策略。
no set peer删除协商策略。
【视图】
IPsec配置视图
【参数】
GATEWAY-NAME:IKE策略的名字。
【使用指导】
此命令为二阶段策略指定一个一阶段策略,被指定的一阶段策略必须存在。
【举例】
#设置IPsec二阶段策略
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)#
【命令】
mode (tunnel|)指定IPSEC的封装模式。
no mode删除IPSEC的封装模式。
【视图】
IPsec配置视图
【参数】
tunnel:隧道模式。
【使用指导】
目前只支持隧道模式,默认就是tunnel模式,可以不用配置。
【举例】
#设置IPsec封装模式
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
【命令】
pfs (1|2|5)指定完美向前保密组。
no pfs删除完美向前保密组。
【视图】
IPsec配置视图
【参数】
1:组1。
2:组2。
5:组5。
【使用指导】
完美向前保密默认为不启用,设备只有响应端会校验,主要是和第三方厂家对接使用,默认不配做即可。
【举例】
#设置IPsec完美向前保密组
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# pfs 1
【命令】
set lifetime kilobytes <2560-536870912>设置单个ipsec sa最大流量限制。
set lifetime seconds <120-86400>设置Ipsec sa生命周期。
no set lifetime kilobytes删除单个ipsec sa最大流量限制。
no set lifetime seconds删除Ipsec sa生命周期。
【视图】
IPsec编辑视图
【参数】
<120-86400>:SA生命周期,单位为秒。
<2560-536870912>:单个ipsec sa最大流量限制,单位为KB。
【使用指导】
默认没有流量限制(即为0),超时时间为28800秒,sa老化时间以发起方为准。
【举例】
#设置IPSec二阶段 Sa老化时间
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set lifetime kilobytes 2560
host(config-phase2-ipsec_test)# set lifetime seconds 86400
【命令】
auto-connect (enable|disable)开启或禁用自动连接。
no auto-connect
auto-connect interval <2-3600>设置自动连接重连时间间隔。
【视图】
IPsec编辑视图
【参数】
auto-connect interval <2-3600>:设置自动连接重连间隔;缺省为5秒。
【使用指导】
开启后,IPsec将自动向对端发起连接,如果失败,则会在设定的时间间隔后,重新发起连接,直至连接成功为止。如果没指定时间间隔,默认为5秒。
【举例】
#设置IPSec二阶段自动连接,时间为2秒。
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# auto-connect enable
host(config-phase2-ipsec_test)# auto-connect interval 2
【命令】
set (proposal1|proposal2|proposal3|proposal4)(esp-3des-md5|esp-aes128-sha1|esp-aes256-null|esp-null-md5|esp-3des-null|esp-aes192-md5|esp-aes256-sha1|esp-null-null|esp-3des-sha1|esp-aes192-null|esp-des-md5|esp-null-sha1|esp-aes128-md5|esp-aes192-sha1|esp-des-null|esp-aes128-null|esp-aes256-md5|esp-des-sha1|esp-3des-sm3|esp-aes128-sm3|esp-aes192-sm3|esp-aes256-sm3|esp-des-sm3|esp-null-sm3|esp-sm4-md5|esp-sm4-sha1|esp-sm4-sm3| esp-sm4-null) (ah-md5-hmac| ah-null|ah-sha-hmac)用来设置IPSEC加密提案。
no set (proposal1|proposal2|proposal3|proposal4)删除IPSEC加密提案。
【视图】
IPsec编辑视图
【参数】
|
参数 |
描述 |
|
proposal1 |
提案1 |
|
proposal2 |
提案2 |
|
proposal3 |
提案3 |
|
proposal4 |
提案4 |
|
esp-3des-md5 |
启用esp协议,加密算法为3des,认证算法为md5 |
|
esp-aes128-sha1 |
启用esp协议,加密算法为aes128,认证算法为sha1 |
|
esp-aes256-null |
启用esp协议,加密算法为aes256,认证算法为null |
|
esp-null-md5 |
启用esp协议,加密算法为null,认证算法为md5 |
|
esp-3des-null |
启用esp协议,加密算法为3des,认证算法为null |
|
esp-aes192-md5 |
启用esp协议,加密算法为aes192,认证算法为md5 |
|
esp-aes256-sha1 |
启用esp协议,加密算法为aes256,认证算法为sha1 |
|
esp-null-null |
禁用esp协议 |
|
esp-3des-sha1 |
启用esp协议,加密算法为3des,认证算法为sha1 |
|
esp-aes192-null |
启用esp协议,加密算法为aes192,认证算法为null |
|
esp-des-md5 |
启用esp协议,加密算法为des,认证算法为md5 |
|
esp-null-sha1 |
启用esp协议,加密算法为null,认证算法为sha1 |
|
esp-aes128-md5 |
启用esp协议,加密算法为aes128,认证算法为md5 |
|
esp-aes192-sha1 |
启用esp协议,加密算法为aes192,认证算法为sha1 |
|
esp-des-null |
启用esp协议,加密算法为des,认证算法为null |
|
esp-aes128-null |
启用esp协议,加密算法为aes128,认证算法为null |
|
esp-aes256-md5 |
启用esp协议,加密算法为aes256,认证算法为md5 |
|
esp-des-sha1 |
启用esp协议,加密算法为des,认证算法为sha1 |
|
esp-3des-sm3 |
启用esp协议,加密算法为3des,认证算法为sm3 |
|
esp-aes128-sm3 |
启用esp协议,加密算法为aes128,认证算法为sm3 |
|
esp-aes192-sm3 |
启用esp协议,加密算法为aes192,认证算法为sm3 |
|
esp-aes256-sm3 |
启用esp协议,加密算法为aes256,认证算法为sm3 |
|
esp-des-sm3 |
启用esp协议,加密算法为des,认证算法为sm3 |
|
esp-null-sm3 |
启用esp协议,加密算法为null,认证算法为sm3 |
|
esp-sm4-md5 |
启用esp协议,加密算法为sm4,认证算法为md5 |
|
esp-sm4-sha1 |
启用esp协议,加密算法为sm4,认证算法为sha1 |
|
esp-sm4-sm3 |
启用esp协议,加密算法为sm4,认证算法为sm3 |
|
esp-sm4-null |
启用esp协议,加密算法为sm4,认证算法为null |
|
ah-md5-hmac |
启用ah协议,认证算法为md5 |
|
ah-null |
禁用ah协议 |
|
ah-sha-hmac |
启用ah协议,认证算法为sha |
【使用指导】
需要至少配置一个加密提案才能和对端正常协商,需保证两端加密提案一致,默认esp-aes256-sha1 ah-null。
【举例】
#设置IPSec二阶段加密提案。
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null
【命令】
interface tunnel <0-1023> mode ipsec配置IPSec 隧道接口。
【视图】
系统视图
【参数】
<0-1023>:tunnel接口编号。
【使用指导】
此命令创建一个ipsec隧道接口。然后需要在接口下绑定一个二阶段策略。也可以指定感兴趣流(默认不指定,即any-any)。可以通过配置静态路由的方法,将感兴趣流的路由出口指向此ipsec隧道口。
【举例】
#设置IPSec隧道接口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec ipsec_test
host(config-tunnel10)#tunnel-ipsec interested-subnet pair 10.1.1.0/24 20.1.1.0/24
【命令】
【命令】
display ipsec sa
【命令】
clear ike sa all 删除所有一阶段sa
clear ike sa id xx 删除指定id的sa
clear ike sa name xxx 删除指定名称的sa
【命令】
host# clear ipsec sa all删除所有二阶段sa
host# clear ipsec sa id xx删除指定id的sa
host# clear ipsec sa name xxx删除指定名称的sa
步骤1 配置一阶段
host(config)# vpn ipsec phase1
host(config-phase1)# edit gateway ike_test
host(config-phase1-ike_test)# set mode main
host(config-phase1-ike_test)# set remotegw 192.168.1.97
host(config-phase1-ike_test)# lifetime 6000
host(config-phase1-ike_test)# set dpd 30
host(config-phase1-ike_test)# dpd enable
host(config-phase1-ike_test)# authentication pre-share
host(config-phase1-ike_test)# set preshared-key 111111
host(config-phase1-ike_test)# set nat 10
host(config-phase1-ike_test)# set policy 1
host(config-phase1-ike_test-policy1)# encrypt 3des
host(config-phase1-ike_test-policy1)# hash md5
host(config-phase1-ike_test-policy1)# exit
步骤2 配置二阶段
host(config)# vpn ipsec phase2
host(config-phase2)# edit tunnel ipsec_test
host(config-phase2-ipsec_test)# set peer ike_test
host(config-phase2-ipsec_test)# mode tunnel
host(config-phase2-ipsec_test)# set lifetime seconds 3600
host(config-phase2-ipsec_test)# pfs 2
host(config-phase2-ipsec_test)# set proposal1 esp-aes256-sha1 ah-null
host(config-phase2-ipsec_test)#exit
步骤3 配置tunnel接口
host(config)# interface tunnel 10 mode ipsec
host(config-tunnel10)#tunnel-ipsec ipsec_test
host(config-tunnel10)#tunnel-ipsec interested-subnet pair 10.1.1.0/24 20.1.1.0/24
步骤4 添加静态路由
host(config)#ip route 20.1.1.0/24 tunnel10
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
