- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
31-CloudSec命令
本章节下载: 31-CloudSec命令 (253.74 KB)
cloudsec peer命令用来创建CloudSec对等体,并进入该CloudSec对等体视图。如果指定的CloudSec对等体已经存在,则直接进入该CloudSec对等体视图。
undo cloudsec peer命令用来取消CloudSec对等体的配置。
【命令】
cloudsec peer { ipv4-address | ipv6-address }
undo cloudsec peer { ipv4-address | ipv6-address }
【缺省情况】
不存在CloudSec对等体。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定CloudSec对等体的IPv4地址。
ipv6-address:指定CloudSec对等体的IPv6地址。
【使用指导】
通过本命令创建CloudSec对等体后,可以在CloudSec对等体视图下配置CloudSec功能相关配置,包括引用Keychain和CloudSec策略(如加密套件、窗口大小等),以及配置发送和接收CloudSec报文的SCI值。
【举例】
# 配置IP地址为11.1.1.1的CloudSec对等体,并进入CloudSec对等体视图。
<Sysname> system-view
[Sysname] cloudsec peer 11.1.1.1
[Sysname-cloudsec-peer-11.1.1.1]
【相关命令】
· cloudsec policy
cloudsec policy命令用来创建一个CloudSec策略,并进入CloudSec策略视图。如果指定的CloudSec策略已存在,则直接进入CloudSec策略视图。
undo cloudsec policy命令用来删除指定的CloudSec策略。
【命令】
cloudsec policy policy-name
undo cloudsec policy policy-name
【缺省情况】
存在名称为default-policy的CloudSec策略。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-name:CloudSec策略的名称,为1~16个字符的字符串,区分大小写。
【使用指导】
通过本命令创建CloudSec策略后,可以在CloudSec策略视图下配置CloudSec的相关配置,包括加密套件、SAK密钥更新时间等。
多次执行本命令可以创建多个CloudSec策略。
名称为default-policy的缺省CloudSec策略不能被删除和修改。
【举例】
# 创建一个名称为abcd的CloudSec策略,并进入该CloudSec策略视图。
<Syaname> system-view
[Sysname] cloudsec policy abcd
[Sysname-cloudsec-policy-abcd]
【相关命令】
· cipher-suite
cloudsec source-interface命令用来配置CloudSec功能关联的源接口。
undo cloudsec source-interface命令用来取消CloudSec功能关联的源接口配置。
【命令】
cloudsec source-interface interface-type interface-number
undo cloudsec source-interface interface-type interface-number
【缺省情况】
未配置CloudSec功能关联的源接口。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface-type interface-number:源接口的接口类型和接口编号。
【使用指导】
通过本命令配置CloudSec功能关联的源接口后,设备将通过该源接口获取其对应的EVPN VXLAN隧道。当CloudSec功能配置完成后,设备将对特定的EVPN VXLAN隧道所承载的报文进行加密传输,保证EVPN VXLAN隧道传输报文的安全性。
可以使用本命令、cloudsec peer命令或cloudsec policy命令中的任意一条来开启CloudSec功能。通过多次执行本命令可以配置多个CloudSec功能关联的源接口。
【举例】
# 配置CloudSec功能关联的源接口。
<Sysname> system-view
[Sysname] cloudsec source-interface loopback 0
【相关命令】
· cloudsec peer
· cloudsec policy
cipher-suite命令用来配置CloudSec保护数据时使用的加密套件。
undo cipher-suite命令用来恢复缺省情况。
【命令】
cipher-suite { gcm-aes-128 | gcm-aes-256 | gcm-aes-xpn-128 | gcm-aes-xpn-256 }
undo cipher-suite
【缺省情况】
CloudSec使用的加密套件为GCM-AES-128。
【视图】
CloudSec策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
gcm-aes-128:采用GCM-AES-128加密套件。
gcm-aes-256:采用GCM-AES-256加密套件。
gcm-aes-xpn-128:采用GCM-AES-XPN-128加密套件。
gcm-aes-xpn-256:采用GCM-AES-XPN-256加密套件。
【使用指导】
两端设备上配置的加密套件必须相同,否则无法成功建立CloudSec会话。对等体两端需要同时更新加密套件,暂不支持单边切换到其他加密套件。
使用gcm-aes-xpn-128或gcm-aes-xpn-256加密套件对隧道报文加密或对端报文解密时,隧道的双向流量的收发物理端口必须在同一单板的相同芯片上,否则会导致加解密失败。如需查看端口是否在同一芯片上,可在probe视图下执行display hardware internal port mapping命令,通过LchipId字段查看端口芯片型号。
【举例】
# 在名称为abcd的CloudSec策略下,配置加密套件为GCM-AES-256。
<Syaname> system-view
[Sysname] cloudsec policy abcd
[Sysname-cloudsec-policy-abcd] cipher-suite gcm-aes-256
【相关命令】
· cloudsec policy
display cloudsec local命令用来显示本端的CloudSec信息。
【命令】
display cloudsec local [ ipv4-address | ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定IPv4地址。
ipv6-address:指定IPv6地址。
【使用指导】
如果没有指定ipv4-address和ipv6-address参数,则显示所有本端的CloudSec信息。
【举例】
# 显示本端的CloudSec信息。
<Sysname> display cloudsec local
Local address 1.1.1.1
Current SA : AN 1
Previous SA : AN N/A
Local address 3.3.3.3
Current SA : AN 1
Previous SA : AN N/A
# 显示本端1.1.1.1的CloudSec信息。
<Sysname> display cloudsec local 1.1.1.1
Local address 1.1.1.1
Current SA : AN 1
Previous SA : AN N/A
表1-1 display cloudsec local命令显示信息描述表
|
字段 |
描述 |
|
Local address |
本地地址 |
|
Current SA |
安全通道当前使用的SA 若无此信息,则对应的AN显示为N/A |
|
Previous SA |
安全通道使用的前一个SA 若无此信息,则对应的AN显示为N/A |
|
AN |
SA编号 |
【相关命令】
· cloudsec source-interface
display cloudsec peer命令用来显示对等体的CloudSec信息。
【命令】
display cloudsec peer [ ipv4-address | ipv6-address ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:对等体的IPv4地址。
ipv6-address:对等体的IPv6地址。
verbose:显示对等体的CloudSec详细信息。若不指定该参数,则显示对等体的CloudSec简要信息。
【使用指导】
如果没有指定ipv4-address和ipv6-address参数,则显示所有对等体的CloudSec信息。
【举例】
# 显示对等体2.2.2.2的CloudSec简要信息。
<Sysname> display cloudsec peer 2.2.2.2
Peer address 2.2.2.2
Active policy : PL01
TunnelNo : 1
# 显示对等体2.2.2.2的CloudSec详细信息。
<Sysname> display cloudsec peer 2.2.2.2 verbose
Peer address 2.2.2.2
Active policy : PL01
TunnelNo : 1
Included SCI : No
Cipher suite : GCM-AES-128
SAK rekey interval : 1800s
Tx secure channel:
SCI : 000C292179BC0004
Current SA : AN 1
表1-2 display cloudsec命令显示信息描述表
|
字段 |
描述 |
|
|
Peer address |
邻居地址 |
|
|
Active policy |
PEER绑定且生效的CloudSec策略,如果没有应用实际生效的策略,不显示该字段 |
|
|
TunnelNo |
CloudSec对等体对应的VXLAN隧道编号 |
|
|
Included SCI |
数据帧的SecTAG里是否携带SCI |
|
|
Cipher suite |
保护数据帧使用的加密套件,取值包括: · GCM-AES-128 · GCM-AES-256 · GCM-AES-XPN-128 · GCM-AES-XPN-256 |
|
|
SAK rekey interval |
SAK重生成时间间隔 |
|
|
|
Tx secure channel |
发送数据帧的安全通道信息 |
|
|
SCI |
SCI信息 |
|
|
Current SA |
安全通道当前使用的SA 若无此信息,则对应的AN显示为N/A |
|
|
AN |
SA编号 |
|
【相关命令】
· cloudsec peer
display cloudsec policy命令用来显示CloudSec策略相关信息。
【命令】
display cloudsec policy [ name policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name policy-name:指定CloudSec策略的名称。policy-name为1~16个字符的字符串,区分大小写。若不指定该参数,则表示显示所有当前已有的CloudSec策略。
【举例】
# 显示所有CloudSec策略相关信息。
<Sysname> display cloudsec policy
PolicyName : Policy-1
Included SCI : No
Cipher suite : GCM-AES-128
SAK rekey interval : 1800s
PolicyName : Policy-2
Included SCI : No
Cipher suite : GCM-AES-128
SAK rekey interval : 1800s
# 显示对等体2.2.2.2的CloudSec策略相关信息。
<Sysname> display cloudsec policy name Policy-1
PolicyName :Policy-1
Included SCI : No
Cipher suite : GCM-AES-128
SAK rekey interval : 1800s
表1-3 display cloudsec policy命令显示信息描述表
|
字段 |
描述 |
|
|
PolicyName |
CloudSec策略的名称 |
|
|
Included SCI |
是否包含SCI,取值包括: · No:表示不包含SCI · Yes:表示包含SCI |
|
|
Cipher suite |
加密套件,取值包括: · GCM-AES-128 · GCM-AES-256 · GCM-AES-XPN-128 · GCM-AES-XPN-256 |
|
|
SAK rekey interval |
SAK密钥更新时间间隔 |
|
· cloudsec policy
include sci命令用来配置加密数据帧的Sec TAG里面携带SCI。
undo include sci命令用来恢复缺省情况。
【命令】
include sci
undo include sci
【缺省情况】
未配置加密数据帧的Sec TAG里面携带SCI。
【视图】
CloudSec策略视图。
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
SCI(Secure Channel Identifier,安全通道标识)由配置生成,用来标识报文来源。
由于CloudSec功能实现可能存在差异,当互连的两台不同款型的设备进行CloudSec功能配置时,如果一端CloudSec数据帧的SecTAG里携带SCI,另一端CloudSec数据帧的SecTAG里不携带SCI,那么将导致两设备间的数据流量不通,因此建立CloudSec会话的两端设备关于是否携带SCI的配置必须保持一致。
【举例】
# 在CloudSec策略abcd中配置加密数据帧的Sec TAG里面携带SCI
<Syaname> system-view
[Sysname] cloudsec policy abcd
[Sysname-cloudsec-policy-abcd] include sci
【相关命令】
· cloudsec policy
interface-peer/peer advertise-cloudsec命令用来配置向对等体/对等体组发布CloudSec加密信息。
undo interface-peer/peer advertise-cloudsec命令用来取消向对等体/对等体组发布CloudSec加密信息。
【命令】
BGP IPv4单播地址族视图:
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } advertise-cloudsec
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } advertise-cloudsec
BGP IPv6单播地址族视图:
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | link-local-address interface interface-type interface-number } advertise-cloudsec
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] | link-local-address interface interface-type interface-number } advertise-cloudsec
BGP IPv4单播地址族视图/BGP IPv6单播地址族视图:
interface-peer interface-type interface-number advertise-cloudsec
undo interface-peer interface-type interface-number advertise-cloudsec
【缺省情况】
不向对等体/对等体组发布CloudSec加密信息。
【视图】
BGP IPv4单播地址族视图
BGP IPv6单播地址族视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
group-name:对等体组的名称,为1~47个字符的字符串,区分大小写。指定的对等体组必须已经创建。
ipv4-address:对等体的IPv4地址。指定的对等体必须已经创建。
mask-length:网络掩码,取值范围为0~32。如果指定本参数,则表示指定网段内的动态对等体。
ipv6-address:对等体的IPv6地址。指定的对等体必须已经创建。
prefix-length:前缀长度,取值范围为0~128。如果指定本参数,则表示指定网段内的动态对等体。
link-local-address:对等体的链路本地地址。
interface-type interface-number:指定连接对等体的接口。interface-type interface-number为接口类型和接口编号。
interface-peer interface-type interface-number:表示对等体的地址为指定接口学习到的ND表项中的链路本地地址。interface-type interface-number为接口类型和接口编号。指定的对等体必须已经创建。
【使用指导】
BGP在部署了CloudSec的网络中,用于传递CloudSec生成的加密信息,CloudSec通信过程中会加密数据报文,以进行加密通信。
BGP将CloudSec加密信息携带在Tunnel encapsulation(隧道封装)属性中。隧道封装属性作为BGP路径属性的类型值为23,以T(Type)-L(Length)-V(Value)形式组织,CloudSec加密信息在隧道封装属性中的类型值为18,表示为IANA组织定义的云安全(Cloud Security)隧道封装。
完成CloudSec配置后,本端建立VXLAN隧道使用的源地址将作为BGP单播路由前缀发布给本命令指定的对等体,并且在发布时将本端生成的加密信息通过隧道封装属性携带在路由中。对等体收到BGP单播路由后,通过VXLAN隧道发往本端的报文将使用路由中携带的加密信息进行加密。
隧道封装属性是可选过渡属性,请确保本命令指定的对等体也能够识别隧道封装属性并且能够识别其中携带的加密信息,否则该对等体无法使用加密信息对数据报文进行加密。
【举例】
# 在BGP IPv4单播地址族视图下,配置允许向对等体组test发布CloudSec加密信息。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] address-family ipv4 unicast
[Sysname-bgp-default-ipv4] peer test advertise-cloudsec
keychain命令用来配置CloudSec对等体引用的Keychain和CloudSec策略。
undo keychain命令用来恢复缺省情况。
【命令】
keychain keychain-name policy policy-name
undo keychain
【缺省情况】
CloudSec对等体未引用Keychain和CloudSec策略。
【视图】
CloudSec对等体视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keychain-name:Keychain名称,为1~63个字符的字符串,区分大小写。
policy policy-name:指定CloudSec对等体引用的CloudSec策略,其中policy-name为CloudSec策略名,为1~16个字符的字符串,区分大小写。
【使用指导】
引用keychain时必须指定其绑定的CloudSec策略。当对等体绑定了一个不存在的CloudSec策略时,会自动应用名称为default-policy的缺省CloudSec策略。后续,如果绑定的该策略被创建后,则对等体会自动应用配置的CloudSec策略。
当前一个设备上的对等体只支持绑定同一个Keychain和CloudSec策略。
CloudSec仅使用Keychain模块的密钥,不使用Keychain模块的认证算法。但是由于Keychain必须配置认证算法后,密钥才能激活。因此,CloudSec两端配置的Keychain模块的密钥(通过key-string命令配置)必须相同,Keychain模块的认证算法(通过authentication-algorithm命令配置)可以不同,但是必须配置。
【举例】
# 在CloudSec对等体下,引用名称为abcd的Keychain和名称为aa的CloudSec策略。
<Sysname> system-view
[Sysname] cloudsec peer-ip 11.1.1.1
[Sysname-cloudsec-peer-11.1.1.1] keychain abcd policy aa
【相关命令】
· authentication-algorithm(安全命令参考/keychain)
· cloudsec policy
· key-string(安全命令参考/keychain)
sak-rekey-interval命令用来配置SAK的密钥更新时间。
undo sak-rekey-interval命令用来恢复缺省情况。
【命令】
sak-rekey-interval interval
undo sak-rekey-interval
【缺省情况】
SAK密钥不会更新。
【视图】
CloudSec策略视图。
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:SAK密钥更新时间。取值范围为1800~2592000,单位为秒。
【使用指导】
SA(Security Association,安全联盟)是CA参与者之间用于建立安全通道的安全参数集合,包括对数据进行加密算法套件、进行完整性检查的密钥等。
一个安全通道中可包含多个SA,每一个SA拥有一个不同的密钥,这个密钥称为SAK。SAK由CAK根据算法推导产生,用于加密安全通道间传输的数据。通过本命令配置SAK的更新时间后,SAK将会定期进行更新,保证SAK密钥的安全性。
【举例】
# 在CloudSec策略abcd中设置SAK密钥更新时间为2000。
<Syaname> system-view
[Sysname] cloudsec policy abcd
[Sysname-cloudsec-policy-abcd] sak-rekey-interval 2000
【相关命令】
· cloudsec policy
sci rx命令用来配置CloudSec报文的接收SCI值。
undo sci rx命令用来恢复缺省情况。
【命令】
sci rx sci-value
undo sci rx
【缺省情况】
未配置CloudSec报文的接收SCI值。
【视图】
Cloudsec对等体视图。
【缺省用户角色】
network-admin
mdc-admin
【参数】
sci-value:CloudSec报文的接收SCI值,取值范围为1~4294967295。
【使用指导】
SCI(Secure Channel Identifier,安全通道标识)是一个安全通道标识。它用于唯一标识和区分不同的安全通道。SCI在CloudSec中的作用非常重要。它确保了在数据传输过程中,各个通信节点都能正确识别和验证安全通道,从而防止未经授权的节点插入或篡改数据。通过使用SCI标识安全通道,CloudSec能够提供更高的数据保护和安全性,确保数据的机密性和完整性。
发送方根据自身配置和策略,在数据包中的相应字段中填充SCI的值。接收方根据这个SCI值进行验证和识别,并与事先配置的策略进行比较,以确定数据包是否来自预期的安全通道。
配置本功能后,设备接收来自对端的CloudSec报文中时,解析CloudSec报文得到SCI值,并和本功能配置的接收SCI值进行比较,只有SCI值匹配的CloudSec报文才会被接收并解析。
【举例】
# 在Cloudsec对等体视图下配置接收SCI值为10000。
<Syaname> system-view
[Sysname] cloudsec peer 2.2.2.2
[Sysname-cloudsec-peer-2.2.2.2] sci rx 10000
【相关命令】
· cloudsec peer
sci tx命令用来配置CloudSec报文的发送SCI值。
undo sci tx命令用来恢复缺省情况。
【命令】
sci tx sci-value
undo sci tx
【缺省情况】
未配置CloudSec报文的发送SCI值。
【视图】
Cloudsec对等体视图。
【缺省用户角色】
network-admin
mdc-admin
【参数】
sci-value:CloudSec报文的发送SCI值,取值范围为1~4294967295。
【使用指导】
SCI(Secure Channel Identifier,安全通道标识)是一个安全通道标识。它用于唯一标识和区分不同的安全通道。SCI在CloudSec中的作用非常重要。它确保了在数据传输过程中,各个通信节点都能正确识别和验证安全通道,从而防止未经授权的节点插入或篡改数据。通过使用SCI标识安全通道,CloudSec能够提供更高的数据保护和安全性,确保数据的机密性和完整性。
发送方根据自身配置和策略,在数据包中的相应字段中填充SCI的值。接收方根据这个SCI值进行验证和识别,并与事先配置的策略进行比较,以确定数据包是否来自预期的安全通道。
配置本功能后,设备发送给对端的CloudSec报文中将携带该SCI值,对端收到报文后解析得到SCI值,并和其配置的接收SCI值进行比较,只有SCI值匹配的CloudSec报文才会被接收并解析。
【举例】
# 在CloudSec对等体视图下配置发送SCI值为10000。
<Syaname> system-view
[Sysname] cloudsec peer 2.2.2.2
[Sysname-cloudsec-peer-2.2.2.2] sci tx 10000
【相关命令】
· cloudsec peer
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
