- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-IPsec命令
本章节下载: 06-IPsec命令 (282.45 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.5 display ipsec statistics
1.1.6 display ipsec transform-set
1.1.10 esp authentication-algorithm
1.1.11 esp encryption-algorithm
1.1.16 ipsec logging packet enable
1.1.18 ipsec sa global-duration
1.1.23 sa hex-key authentication
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
ah authentication-algorithm { md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
sm3:采用HMAC-SM3认证算法,密钥长度256比特。
【使用指导】
每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【举例】
# 配置序号为1的IPsec安全框架profile1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] description CenterToA
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-1 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
IPsec profile |
IPsec安全框架的名称 |
|
Mode |
IPsec安全框架采用的协商方式 |
|
Description |
IPsec安全框架的描述信息 |
|
Transform set |
IPsec安全框架引用的IPsec安全提议的名称 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥 |
|
AH authentication hex key |
AH协议的十六进制密钥 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
【相关命令】
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE3/1/1 10.1.1.1 400 ESP Active
GE3/1/1 255.255.255.255 4294967295 ESP Active
GE3/1/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-2 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态:主用(Active)、备用(Standby) · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,仅为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
· reset ipsec sa
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-3 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-4 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel [ brief | count | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-5 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-6 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示隧道处于可用状态 |
|
Inside vpn-instance |
被保护数据所属的VPN实例名 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
esp authentication-algorithm { md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
sm3:采用HMAC-SM3认证算法,密钥长度256比特。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | null | sm4-cbc } *
undo esp encryption-algorithm.
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
null:采用NULL加密算法,表示不进行加密。
sm4-cbc:采用CBC模式的SM4算法,密钥长度为128比特。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【视图】f
接口视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 在接口GigabitEthernet3/1/2上设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/2
[Sysname-GigabitEthernet3/1/2] ipsec df-bit set
【相关命令】
· ipsec global-df-bit
ipsec fragmentation命令用来配置IPsec分片功能。
undo ipsec fragmentation命令用来恢复缺省情况。
【命令】
ipsec fragmentation before-encryption
undo ipsec fragmentation
【缺省情况】
IPsec分片功能为封装前分片。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
before-encryption:表示开启IPsec封装前分片功能。
【使用指导】
IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果该报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。
【举例】
# 开启IPsec封装前分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation before-encryption
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 为所有接口设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相关命令】
· ipsec df-bit
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
不限制本端可以配置的IPsec隧道数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
【举例】
# 开启IPsec报文日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。
undo ipsec profile命令用来删除IPsec安全框架。
【命令】
ipsec profile profile-name manual
undo ipsec profile profile-name
【缺省情况】
不存在IPsec安全框架。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
manual:手工方式的IPsec安全框架。
【使用指导】
手工方式IPsec profile的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。
【举例】
# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1]
【相关命令】
· display ipsec profile
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。
【举例】
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相关命令】
· display ipsec sa
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
不存在IPsec安全提议。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全提议用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相关命令】
· display ipsec transform-set
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情况】
使用ESP安全协议。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
【使用指导】
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
【举例】
# 配置IPsec安全提议采用AH协议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
reset ipsec sa命令用来清除已经建立的IPsec SA。
【命令】
reset ipsec sa [ profile profile-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则清除所有的IPsec SA。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即建立新的IPsec SA。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
【相关命令】
· display ipsec sa
reset ipsec statistics命令用来清除IPsec的报文统计信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。
【举例】
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
【相关命令】
· display ipsec statistics
sa hex-key authentication命令用来为手工创建的IPsec SA配置认证密钥。
undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:HMAC-MD5算法,密钥长度为16个字节;HMAC-SHA1算法,密钥长度为20个字节,HMAC-SM3算法,密钥长度为32个字节。密文密钥为1~85个字符的字符串,区分大小写。
【使用指导】
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-profile—manual-profile1] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相关命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用来为手工创建的IPsec SA配置加密密钥。
undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-7。密文密钥为1~117个字符的字符串,区分大小写。
|
算法 |
密钥长度(字节) |
|
DES-CBC |
8 |
|
3DES-CBC |
24 |
|
AES128-CBC |
16 |
|
AES192-CBC |
24 |
|
AES256-CBC |
32 |
|
SM4128-CBC |
16 |
【使用指导】
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
相同方向的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-profile—manual-profile1] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相关命令】
· display ipsec sa
· sa string-key
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
【使用指导】
必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;
· 同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于IPv6 BGP,是IPv6 BGP邻居之间或邻居所在的一个组。
【举例】
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] sa spi inbound ah 10000
[Sysname-ipsec-profile—manual-profile1] sa spi outbound ah 20000
【相关命令】
· display ipsec sa
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
必须分别配置inbound和outbound两个方向IPsec SA的参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;
· 同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于IPv6 BGP,是IPv6 BGP邻居之间或邻居所在的一个组。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] sa string-key inbound ah simple abcdef
[Sysname-ipsec-profile—manual-profile1] sa string-key outbound ah simple efcdab
【相关命令】
· display ipsec sa
· sa hex-key
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start |
tunnel-stop] *
【缺省情况】
IPsec的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示认证失败时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec安全策略时的告警功能。
policy-attach:表示将IPsec安全策略应用到接口时的告警功能。
policy-delete:表示删除IPsec安全策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
transform-set命令用来指定IPsec安全框架所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec安全框架引用的IPsec安全提议。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情况】
IPsec安全框架未引用IPsec安全提议。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。
若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。
【举例】
# 配置IPsec安全框架引用名称为prop1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1] transform-set prop1
【相关命令】
· ipsec profile
· ipsec transform-set
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
