- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-IPsec命令
本章节下载: 06-IPsec命令 (3.54 MB)
目 录
1.1.2 ah authentication-algorithm
1.1.4 display ipsec global-info
1.1.5 display ipsec { ipv6-policy | policy }
1.1.6 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec p2mp tunnel-table interface tunnel
1.1.9 display ipsec record rule
1.1.10 display ipsec record sa
1.1.12 display ipsec sdwan-sa local
1.1.13 display ipsec sdwan-sa remote
1.1.14 display ipsec sdwan-statistics
1.1.15 display ipsec sdwan-tunnel
1.1.16 display ipsec smart-link policy
1.1.17 display ipsec statistics
1.1.18 display ipsec transform-set
1.1.22 esp authentication-algorithm
1.1.23 esp encryption-algorithm
1.1.27 ipsec { ipv6-policy | policy }
1.1.28 ipsec { ipv6-policy | policy } template
1.1.29 ipsec { ipv6-policy | policy } local-address
1.1.30 ipsec { ipv6-policy-template | policy-template }
1.1.31 ipsec anti-replay check
1.1.32 ipsec anti-replay window
1.1.34 ipsec decrypt-check enable
1.1.36 ipsec flow-overlap check enable
1.1.40 ipsec logging ipsec-p2mp enable
1.1.41 ipsec logging negotiation enable
1.1.42 ipsec logging packet enable
1.1.44 ipsec no-nat-process enable
1.1.46 ipsec redundancy enable
1.1.47 ipsec sa global-duration
1.1.48 ipsec sa global-soft-duration buffer
1.1.50 ipsec smart-link policy
1.1.65 redundancy replay-interval
1.1.67 remote-address switch-back enable
1.1.70 reset ipsec sdwan-statistics
1.1.71 reset ipsec sdwan-tunnel
1.1.75 reverse-route preference
1.1.79 sa hex-key authentication
1.1.82 sa soft-duration buffer
SM1算法仅在安装了国密加密卡的设备上支持。
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
activate link命令用来手动激活指定的IPsec智能选路的链路。
【命令】
activate link link-id
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
link-id:需要激活的链路ID,取值范围为1~10,此ID指定的链路必须是在IPsec智能选路策略中已经配置的链路。
【使用指导】
非缺省vSystem不支持本命令。
在IPsec智能选路策略中,不仅可以根据链路的探测质量由设备自动顺序切换链路,也可以手动激活一条可用的链路来建立IPsec隧道。
在智能选路功能开启的情况下,手动激活链路后,如果该链路的丢包率或时延高于设定的阈值,设备同样会进行链路的循环切换。循环切换的起始链路是手动激活的这条链路,循环切换的终止链路仍然是优先级最低的链路。例如,有四条链路,手动激活第三条链路后,则立即切换到第三条链路。在第三条链路的丢包率或时延高于设定的阈值时,切换到第四条链路,之后继续按照1>2>3>4进行循环切换。
在智能选路功能关闭的情况下,手动激活链路后,不会进行链路自动切换。
【举例】
# 手动激活链路ID为2的IPsec智能选路的链路。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] activate link 2
【相关命令】
· display ipsec smart-link policy
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特。本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec策略/IPsec策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
text:IPsec策略/IPsec策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec策略/IPsec策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec global-info命令用来显示IPsec模块全局信息。
【命令】
display ipsec global-info
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【使用指导】
显示当前设备上IPsec模块相关全局运行数据。
【举例】
# 显示当前设备上IPsec模块相关全局运行数据。
<Sysname> display ipsec global-info
IPsec anti-replay check: enable
IPsec anti-replay window (packets): 1024
IPsec decrypt-check: enable
IPsec flow-redirect: enable
IPsec fragmentation: after-encryption
IPsec global-df-bit: copy
IPsec limit max-tunnel: 5000
IPsec redundancy: disable
IPsec sa global-duration time-based (seconds): 180
IPsec sa global-duration traffic-based (KBytes): 4096
IPsec sa idle-time (seconds): 120
IPsec sa global-soft-duration buffer time-based (seconds): 200
IPsec sa global-soft-duration buffer traffic-based (KBytes): 2000
表1-1 display ipsec global-info命令显示信息描述表
|
字段 |
描述 |
|
IPsec anti-replay check |
IPsec抗重放检测功能开启状态。取值包括: · disable:IPsec抗重放检测功能未开启 · enable:IPsec抗重放检测功能已开启 |
|
IPsec anti-replay window (packets) |
IPsec抗重放窗口大小,单位为报文 |
|
IPsec decrypt-check |
解封装后IPsec报文的ACL检查功能开启状态。取值包括: · disable:解封装后IPsec报文的ACL检查功能未开启 · enable:解封装后IPsec报文的ACL检查功能已开启 |
|
IPsec fragmentation |
IPsec分片时机。取值包括: · after-encryption:表示封装后分片 · before-encryption:表示封装前分片 |
|
IPsec global-df-bit |
IPsec封装外层IP头DF位填充方式。取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 |
|
IPsec limit max-tunnel |
本端允许建立IPsec隧道最大个数 |
|
IPsec redundancy |
IPsec冗余备份功能开始状态。取值包括: · disable:IPsec冗余备份功能未开启 · enable:IPsec冗余备份功能已开启 |
|
IPsec sa global-duration time-based (seconds) |
基于时间的IPsec SA生存时间,单位为秒 |
|
IPsec sa global-duration traffic-based (KBytes) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
IPsec sa idle-time (seconds) |
IPsec SA的空闲超时时间,单位为秒 |
|
IPsec sa global-soft-duration buffer time-based (seconds) |
基于时间的IPsec软超时缓冲参数,单位为秒 |
|
IPsec sa global-soft-duration buffer traffic-based (KBytes) |
基于流量的IPsec软超时缓冲参数,单位为千字节 |
display ipsec { ipv6-policy | policy }命令用来显示IPsec策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
ipv6-policy:显示IPv6 IPsec策略的信息。
policy:显示IPv4 IPsec策略的信息。
policy-name:IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec策略表项的信息。
【举例】
# 显示所有IPv4 IPsec策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: mypolicy-2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address: 5.2.2.1, primary, track 1 (track state: Positive)
Remote address: test, track 2 (track state: Positive)
Remote address switchback mode: Enabled
Transform set:
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-3
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: hub1-spoke2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.3.1, primary, track 3 (track state: Positive)
Remote address: test, track 4 (track state: Positive)
Remote address switchback mode: Enabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
# 显示所有IPv6 IPsec策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-2
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: hub1-spoke2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 1000::2
Remote address switchback mode: Disabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
表1-2 display ipsec { ipv6-policy | policy }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec策略的名称 |
|
Interface |
应用了IPsec策略的接口名称 |
|
Sequence number |
IPsec策略表项的顺序号 |
|
Alias |
IPsec策略表项的别名 |
|
Mode |
IPsec策略采用的协商方式 · Manual:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec策略的SPI和密钥不匹配 |
|
Description |
IPsec策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec策略引用的ACL |
|
Selector mode |
IPsec策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec策略下存在) |
|
Remote address |
IPsec隧道的对端IP地址或主机名 primary地址显示在第一条,其余IP地址或主机名按照配置顺序显示 IPsec隧道的对端IP地址或主机名track状态(track state),取值包括: · Positive · Negative · NotReady |
|
Remote address switchback mode |
对端地址回切至primary地址功能,取值包括: · Enabled:回切功能开启 · Disabled:回切功能未开启 |
|
Transform set |
IPsec策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec策略引用的IKE Profile的名称 |
|
IKEv2 profile |
IPsec策略引用的IKEv2 Profile的名称 |
|
smart-link policy |
智能选路策略 |
|
SA trigger mode |
触发建立IPsec SA的模式,包括: · Auto:自动触发模式 · Traffic-based:流量触发模式 |
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
SA df-bit |
IPsec SA封装后外层IP头的DF位,取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空 |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
AH authentication hex key |
AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec策略模板的信息。
policy-template:显示IPv4 IPsec策略模板的信息。
template-name:指定IPsec策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
Alias: template-template-1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
# 显示所有IPv6 IPsec策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
Alias: hub1-spoke1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
表1-3 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec策略模板名称 |
|
Sequence number |
IPsec策略模板表项的序号 |
|
Alias |
IPsec策略模板表项的别名 |
|
Description |
IPsec策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec策略模板引用的ACL |
|
Selector mode |
IPsec策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec策略模板引用的IKE Profile名称 |
|
IKEv2 profile |
IPsec策略引用的IKEv2 Profile的名称 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Transform set |
IPsec策略模板引用的安全提议的名称 |
|
IPsec SA local duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
SA df-bit |
IPsec SA封装后外层IP头的DF位,取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空 |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec p2mp tunnel-table interface tunnel命令用来显示点到多点IPsec隧道接口的隧道动态表项信息。
【命令】
display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv4:指定显示隧道IPv4动态表项信息。
ipv6:指定显示隧道IPv6动态表项信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
非缺省vSystem不支持本命令。
如果不指定任何参数,则显示所有点到多点IPsec隧道动态表项信息。
【举例】
# 显示指定slot上的点到多点IPsec隧道接口Tunnel0的隧道动态表项信息。
<Sysname> display ipsec p2mp tunnel-table interface tunnel 0 slot 0
Total number:2
Dest Addr Dest Port Tunnel Dest Addr Time
10.1.1.1 500 192.168.10.2 01:56:23
100::1 500 20::2 00:29:38
表1-4 display ipsec p2mp tunnel-table interface tunnel命令显示信息描述表
|
字段 |
描述 |
|
Total number |
隧道动态表项总个数 |
|
Dest Addr |
分支公网物理口地址 |
|
Dest Port |
分支公网端口号 |
|
Tunnel Dest Addr |
隧道的目的地址 |
|
Time |
隧道动态表项已创建的时间 |
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-------------------------------------------
IPsec profile: myprofile
Alias: ccc
Mode: isakmp
-------------------------------------------
Transform set: tran1
IKE profile: profile
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
SA df-bit:
Responder only: Disabled
-----------------------------------------------
IPsec profile: profile
Alias: dddd
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
-------------------------------------------
IPsec profile: myprofile
Mode: SDWAN
-------------------------------------------
Transform set: tran1
SA duration (time based): 3600 seconds
表1-5 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
|
IPsec profile |
IPsec安全框架的名称 |
|
|
Alias |
IPsec安全框架的别名 |
|
|
Mode |
IPsec安全框架采用的协商方式 · Manual:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 |
|
|
Description |
IPsec安全框架的描述信息 |
|
|
Transform set |
IPsec策略引用的IPsec安全提议的名称 |
|
|
IKE profile |
IPsec策略引用的IKE Profile的名称 |
|
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
|
SA df-bit |
IPsec SA封装后外层IP头的DF位,取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空 |
|
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
|
AH SPI |
AH协议的SPI |
|
|
AH string-key |
AH协议的字符类型的密钥 |
|
|
AH authentication hex key |
AH协议的十六进制密钥 |
|
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
|
ESP SPI |
ESP协议的SPI |
|
|
ESP string-key |
ESP协议的字符类型的密钥 |
|
|
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
|
|
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
|
【相关命令】
· ipsec profile
display ipsec record rule命令用来显示IPsec引流规则。
【命令】
display ipsec record rule slot slot-number
【视图】
任意视图
【缺省用户角色】
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的IPsec引流规则,slot-number表示设备在IRF中的成员编号。
【举例】
# 显示IPsec引流规则。
<Sysname> display ipsec record rule
Interface Local Addr/Port Remote Addr/Port Protocol DeviceID Time
Tunnel1 31.2.1.1/9000 221.1.1.2/9000 UDP 1 2025/01/17 13:54:17:786
表1-6 display ipsec record rule命令显示信息描述表
|
字段 |
描述 |
|
Interface |
流量入方向接口 |
|
Local Addr/Port |
IPsec隧道的本端IP地址/端口 |
|
Remote Addr/Port |
IPsec隧道的对端IP地址/端口 |
|
Protocol |
协议类型 |
|
DeviceID |
设备索引 |
|
Time |
引流规则下发驱动的时间 |
display ipsec record sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec record sa { inbound | outbound } slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
inbound:显示入方向上IPsec SA的相关信息。
outbound:显示出方向上IPsec SA的相关信息。
slot slot-number:显示指定成员设备上的IPsec SA的相关信息,slot-number表示设备在IRF中的成员编号。
【举例】
# 显示入方向上IPsec SA的相关信息。
<Sysname> display ipsec record sa inbound slot 0
SAIndex SPI DeviceID Time
1 1676269941 1 2025/01/22 15:44:03:548
0 618071149 1 2025/01/22 15:42:15:548
表1-7 display ipsec record sa命令显示信息描述表
|
字段 |
描述 |
|
SAIndex |
IPsec SA索引 |
|
SPI |
IPsec SA的安全参数索引 |
|
DeviceID |
设备索引 |
|
Time |
IPsec SA下发驱动的时间 |
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE1/0/1 10.1.1.1 400 ESP Active
GE1/0/1 255.255.255.255 4294967295 ESP Active
GE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------------
Tunnel-ID Name Dst Address(port) Protocol SPI
-----------------------------------------------------------------------------
0 1-1 <2.1.1.1(500) ESP 3997663042
0 1-1 >2.1.1.1(500) ESP 1094865611
表1-8 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
Tunnel-ID |
IPsec隧道的ID号 |
|
Name |
IPsec隧道的名称,显示配置的IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名 |
|
Dst Address(port) |
IPsec隧道的目的地址 “<”表示本端入方向IPsec SA,“>”表示本端出方向IPsec SA |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Alias: mypolicy
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1443
Tunnel:
local address/port: 2.2.2.2/500
remote address/port: 1.1.1.2/500
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID:90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID:64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Alias: abc
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-9 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表项顺序号 |
|
Alias |
IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名 |
|
Mode |
IPsec安全策略采用的协商方式 · Manual:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 |
|
Tunnel id |
IPsec隧道的ID号 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
|
Inside VPN |
被保护数据所属的VRF实例名称 |
|
Transmitting entity |
IKE方式协商中的实体角色包括: · Initiator:发起方 · Responder:响应方 |
|
Path MTU |
IPsec SA的路径MTU值 |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address/port |
IPsec隧道的本端IP地址和端口号 |
|
remote address/port |
IPsec隧道的对端IP地址和端口号 |
|
Flow |
受保护的数据流信息 |
|
sour addr |
数据流的源IP地址 |
|
dest addr |
数据流的目的IP地址 |
|
port |
端口号 |
|
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA标识 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒,IPsec SA流量生存时间为0 kilobytes,表示IPsec SA不限制流量大小 |
|
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒,剩余的IPsec SA流量生存时间为0 kilobytes,表示IPsec SA不限制流量大小 |
|
Max received sequence-number |
入方向接收到的报文最大序列号 |
|
Max sent sequence-number |
出方向发送的报文最大序列号 |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
No duration limit for this SA |
手工方式创建的IPsec SA无生存时间 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec sdwan-sa local命令用来显示本端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa local [ brief | count | interface tunnel tunnel-number | spi spi-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示本端所有SDWAN模式的IPsec SA的简要信息。
count:显示本端SDWAN模式的IPsec SA的个数。
interface:显示指定接口的SDWAN模式的IPsec SA。
tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。
spi spi-number:显示指定spi-number的SDWAN模式的IPsec SA。其中,spi-number为安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则显示所有SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有本端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local
-------------------------------
Interface: Tunnel1
-------------------------------
-----------------------------
IPsec profile: abc
Mode: SDWAN
-----------------------------
Site ID: 1
Device ID: 1
Interface ID: 1
Link ID: 273(0x111)
Encapsulation mode: transport
Local address: 10.1.1.1
[Inbound ESP SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Status: Active
[Inbound AH SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 1
Connection ID: 4294967296
Transform set: AH-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Status: Active
# 显示本端指定SPI的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local spi 1968608062
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968608062 (0x7556933e)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Status: Active
# 显示本端指定接口的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local interface tunnel 2
-------------------------------
Interface: Tunnel2
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968 (0x7b0)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Status: Active
表1-10 display ipsec sdwan-sa local命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的SDWAN隧道接口 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Mode |
IPsec安全框架采用的协商方式 · Manual:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
本端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (sec) |
IPsec SA的生存时间,单位为秒,未配置时显示为“--” |
|
SA remaining duration |
IPsec SA的剩余生存时间,单位为秒,未配置时显示为“--” |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
Status |
IPsec SA的状态: · IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示所有本端SDWAN模式的IPsec SA的简要信息
<Sysname> display ipsec sdwan-sa local brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Local address SPI Protocol Status
----------------------------------------------------------------------------------------
10 20 30 660510 200.200.200.10 1968 ESP Active
# 显示本端SDWAN模式的IPsec SA的个数
<Sysname> display ipsec sdwan-sa local count
Total IPsec Sdwan Local SAs count: 1
表1-11 display ipsec sdwan-sa local brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Local address |
IPsec隧道的本端IP地址 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Local SAs count |
本端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa local
display ipsec sdwan-sa remote命令用来显示对端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa remote [ brief | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示所有SDWAN模式的IPsec SA的简要信息。
count:显示SDWAN模式的IPsec的SA个数。
【使用指导】
如果不指定任何参数,则显示所有对端SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有对端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa remote
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 20
Device ID: 20
Interface ID: 35
Link ID: 1315875 (0x141423)
Encapsulation mode: transport
Remote address: 200.200.200.20
[Outbound ESP SAs]
SPI: 2360 (0x936)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 30
Device ID: 30
Interface ID: 30
Link ID: 1973790 (0x1e1e1e)
Encapsulation mode: transport
Remote address: 200.200.200.30
[Outbound ESP SAs]
SPI: 4137 (0x1029)
SA index: 3
Connection ID: 4294967299
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
表1-12 display ipsec sdwan-sa remote命令显示信息描述表
|
字段 |
描述 |
|
Mode |
IPsec安全框架采用的协商方式 · Manual:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
对端IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
对端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
Status |
IPsec SA的状态: IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示所有对端SDWAN模式的IPsec SA的简要信息。
<Sysname> display ipsec sdwan-sa remote brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Remote address SPI Protocol Status
----------------------------------------------------------------------------------------
20 20 35 1315875 200.200.200.20 2360 ESP Active
30 30 30 1973790 200.200.200.30 4137 ESP Active
# 显示所有对端SDWAN模式的IPsec SA的个数。
<Sysname> display ipsec sdwan-sa remote count
Total IPsec Sdwan Remote SAs count: 1
表1-13 display ipsec sdwan-sa remote brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
SPI |
对端IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Remote SAs count |
对端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa remote
display ipsec sdwan-statistics命令用来显示SDWAN模式的IPsec隧道的报文统计信息。
【命令】
display ipsec sdwan-statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
如果未指定任何参数,则显示所有SDWAN模式的IPsec隧道的报文统计信息。
【举例】
# 显示所有SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示IPsec隧道的ID号为1的SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-14 display ipsec sdwan-statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃的受安全保护的数据包数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因找不到IPsec SA而被丢弃的数据包数目 |
|
Wrong SA |
因IPsec SA错误而被丢弃的数据包数目 |
|
Invalid length |
因数据包长度错误被丢弃的数据包数目 |
|
Authentication failure |
因认证失败被丢弃的数据包数目 |
|
Encapsulation failure |
因加密封装失败被丢弃的数据包数目 |
|
Decapsulation failure |
因解封转失败被丢弃的数据包数目 |
|
Replayed packets |
被丢弃的重放数据包数目 |
|
MTU check failure |
因MTU检测失败被丢弃的数据包数目 |
|
Loopback limit exceeded |
因本机处理次数超过限制而被丢弃的数据包数目 |
|
Crypto speed limit exceeded |
因加密速度的限制而被丢弃的数据包数目 |
【相关命令】
· reset ipsec sdwan-statistics
display ipsec sdwan-tunnel命令用来显示SDWAN模式的IPsec隧道信息。
【命令】
display ipsec sdwan-tunnel [ brief | count | remote-site site-id device-id interface-id | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
remote-site site-id device-id interface-id:显示指定对端站点的IPsec隧道的详细信息。其中,site-id为站点ID,取值范围为1~65535,device-id为设备ID,取值范围为1~255,interface-id为SDWAN隧道接口的接口ID,取值范围1~255。
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。
若不指定任何参数,默认显示所有SDWAN模式的IPsec隧道的详细信息。
有关SDWAN的详细介绍,请参见“SDWAN配置指导”中的“SDWAN”。
【举例】
# 显示所有SDWAN模式的IPsec隧道的简略信息。
<Sysname> display ipsec sdwan-tunnel brief
----------------------------------------------------------------------------
Tunnel-ID Src Address Dst Address Inbound SPI Outbound SPI
----------------------------------------------------------------------------
1 1.2.3.1 2.2.2.2 5000 6000
表1-15 display ipsec sdwan-tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunnel-ID |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 |
|
Dst Address |
IPsec隧道的目的地址 |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI |
# 显示所有SDWAN模式的IPsec隧道的个数。
<Sysname> display ipsec sdwan-tunnel count
Total SDWAN IPsec tunnels: 2
# 显示所有SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示对端站点中站点ID为10,设备ID为10,接口ID为35的SDWAN模式的IPsec隧道详细信息
<Sysname> display ipsec sdwan-tunnel remote-site 10 10 35
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示ID号为1的SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
表1-16 display ipsec sdwan-tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道ID |
|
Status |
IPsec隧道的状态: IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
Path MTU |
SDWAN模式IPsec SA的路径MTU值 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Outbound |
IPsec隧道中生效的出方向SPI |
|
Inbound |
IPsec隧道中生效的入方向SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Remote Site |
远端站点 |
|
Site ID |
站点ID |
|
Device ID |
设备ID |
|
Interface ID |
接口ID |
|
Link ID |
为TTE分配的Link ID,用来标识一个TTE连接 |
【相关命令】
· reset ipsec sdwan-tunnel
display ipsec smart-link policy命令用来查看IPsec智能选路策略的配置信息。
【命令】
display ipsec smart-link policy [ brief | name policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
brief:查看所有IPsec智能选路策略的简要配置信息。
name policy-name:查看指定IPsec智能选路策略的详细配置信息。
【使用指导】
非缺省vSystem不支持本命令。
若不指定任何参数,则显示所有IPsec智能选路策略的详细配置信息。
【举例】
# 查看IPsec智能选路策略smlkpolicy1的详细配置信息。
<Sysname> display ipsec smart-link policy name smlkpolicy1
--------------------------------------------------------------------------
Policy name :smlkpolicy1
State :Enabled
Probe count :10
Probe interval :1 sec
Probe source IP address :1.1.1.1
Probe destination IP address :3.3.3.3
Max link switch cycles :3
IPsec policy name :ipsecpolicy1
Interface :GigabitEthernet1/0/1
IPsec policy sequence number :1
Link ID Local address Remote address Loss(%) Delay(ms) State
1 1.1.1.1 3.3.3.3 2 10 Active
2 2.2.2.2 4.4.4.4 0 0 Inactive(Available)
--------------------------------------------------------------------------
表1-17 display ipsec smart-link policy name命令显示信息描述表
|
字段 |
描述 |
|
Policy name |
IPsec智能选路策略的名称 |
|
State |
IPsec智能选路策略的状态,包括如下取值: · Enabled:IPsec智能选路功能已启用 · Disabled:IPsec智能选路功能未启用 |
|
Probe count |
一个探测周期内发送探测报文的个数 |
|
Probe interval |
发送探测报文的时间间隔,单位为秒 |
|
Probe source IP address |
探测报文使用的源IP地址 |
|
Probe destination IP address |
探测报文使用的目的IP地址 |
|
Max link switch cycles |
链路循环切换的最大次数 |
|
IPsec policy name |
引用该IPsec智能选路策略的IPsec策略的名称 |
|
IPsec policy sequence number |
安全策略的顺序号 |
|
Link ID |
链路的ID |
|
Local address |
链路本端使用的IP地址 |
|
Remote address |
链路对端使用的IP地址 |
|
Loss(%) |
最近一次链路探测的丢包率统计结果,丢包率为“--”时,表示没有进行探测 |
|
Delay(ms) |
最近一次链路探测的时延统计结果,时延为“--”时,表示没有进行探测,或者延迟超过3000ms |
|
State |
链路的激活状态,包括如下取值: · Actvie:链路处于激活状态,此链路正在使用中 · Inactive (Available):链路处于非激活状态,且此链路可用 · Inactive (Unavailable):链路处于非激活状态,且此链路不可用 |
# 查看所有IPsec智能选路策略的简要配置信息。
<Sysname> display ipsec smart-link policy brief
Name Active link ID Loss(%) Delay(ms)
policy1 1 0 10
policy2 2 -- --
表1-18 display ipsec smart-link policy brief命令显示信息描述表
|
字段 |
描述 |
|
Name |
IPsec智能选路策略的名称 |
|
Active link ID |
当前正在使用链路的ID |
|
Loss(%) |
最近一次链路探测的丢包率统计结果 |
|
Delay(ms) |
最近一次链路探测的时延统计结果,时延为“--”时,表示没有进行探测,或者延迟超过3000ms。 |
【相关命令】
· ipsec smart-link policy
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Received/sent packet rate: 5/5 packets/sec
Received/sent byte rate: 290/290 bytes/sec
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Received/sent packet rate: 4/4 packets/sec
Received/sent byte rate: 232/232 bytes/sec
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
表1-19 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Received/sent packet rate |
接收/发送的受安全保护的数据包的速率:packets/sec表示每秒接收或发送的数据包数目 |
|
Received/sent bytes rate |
接收/发送的受安全保护的字节速率:bytes/sec表示每秒接收或发送的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
|
Responder only limitation |
因为仅可作为响应方的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-20 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel [ brief | count | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
brief:显示IPsec隧道的简要信息。
本参数的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F5000系列 |
F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、 F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2 |
支持 |
|
F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030 |
支持 |
|
|
F1000系列 |
F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1180-G、F1000-AK1080-G、F1000-AK1050-G |
不支持 |
|
F1000-AK9130、F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G |
支持 |
|
|
插卡 |
LSEM1FWESD0 |
支持 |
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
如果不指定任何参数,则显示所有IPsec隧道的信息。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-21 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-22 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态,取值只能为Active,表示隧道处于可用状态 |
|
Perfect forward secrecy |
此IPsec策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Inside vpn-instance |
被保护数据所属的VPN实例名 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
通过interface tunnel mode ipsec创建的IPsec隧道不支持传输模式协商。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特,本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null | sm1-cbc-128 | sm4-cbc } *
undo esp encryption-algorithm
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
sm1-cbc-128:采用CBC模式的SM1算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
sm4-cbc:采用CBC模式的SM4算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
gateway命令用来配置接口的网关地址。
undo gateway命令用来删除接口的网关地址,并删除其下发的缺省路由。
【命令】
gateway gateway-address [ no-route ]
undo gateway
【缺省情况】
接口上未配置网关地址。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
gateway-address:接口的网关地址,为点分十进制形式。
no-route:不会生成缺省路由。若不配置此参数,则会生成一条缺省路由,下一跳为接口配置的网关地址。
【使用指导】
非缺省vSystem不支持本命令。
当IPsec智能选路链路中指定的本端接口上的IP地址是手工配置时,链路中没有指定下一跳且不能自动获取时,必须在此接口上配置网关地址。
设备下发缺省路由表项时,不会自动生成路由配置命令(ip route-static),因此无法通过undo ip route-static命令删除。
当本端接口通过DHCP或PPPoE方式获取IP地址时,配置的gateway不生效,本端接口通过DHCP或PPPoE服务器获取网关地址。
【举例】
# 配置IPsec智能选路链路中指定的本端接口GigabitEthernet1/0/1的网关地址为10.1.1.254,但不生成缺省路由。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] gateway 10.1.1.254 no-route
【相关命令】
· link
ike-profile命令用来指定IPsec策略/IPsec策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
未引用IKE profile。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec策略、IPsec策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec策略、IPsec策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec策略/IPsec策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ikev2-profile命令用来指定IPsec策略视图/IPsec策略模板视图/IPsec安全框架视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
IPsec策略/IPsec策略模板/IPsec安全框架视图引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec策略视图/一个IPsec策略模板视图/IPsec安全框架视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec策略policy1中引用的IKEv2 profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用来创建一条IPsec策略,并进入IPsec策略视图。如果指定的IPsec策略已经存在,则直接进入IPsec策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-policy:指定IPv6 IPsec策略。
policy:指定IPv4 IPsec策略。
policy-name:IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec策略时,必须指定协商方式(isakmp或manual )。进入已创建的IPsec策略时,可以不指定协商方式。
不能修改已创建的IPsec策略的协商方式。
一个IPsec策略是若干具有相同名称、不同顺序号的IPsec策略表项的集合。在同一个IPsec策略中,顺序号越小的IPsec策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec策略表项,不携带该参数时表示删除一个指定的IPsec策略。
IPv4 IPsec策略和IPv6 IPsec策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec策略,并进入IPsec策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec策略,并进入IPsec策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } template命令用来引用IPsec策略模板创建一条IKE协商方式的IPsec策略。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-policy:指定IPv6 IPsec策略。
policy:指定IPv4 IPsec策略。
policy-name:IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp:被引用的IPsec策略模板为isakmp类型模板。
template template-name:指定被引用的IPsec策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
对于undo命令,携带seq-number参数时表示删除一个IPsec策略表项,不携带该参数时表示删除一个指定的IPsec策略。
应用了该类IPsec策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec策略为共享源接口IPsec策略,即将指定的IPsec策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec策略为共享源接口IPsec策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec策略不是共享源接口IPsec策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-policy:指定IPv6 IPsec策略。
policy:指定IPv4 IPsec策略。
policy-name:共享该接口IP地址的IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec策略与一个源接口绑定,使之成为共享源接口IPsec策略,可以实现多个应用该共享源接口IPsec策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec策略不能配置为共享源接口IPsec策略。
一个IPsec策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec策略模板,并进入IPsec策略模板视图。如果指定的IPsec策略模板已经存在,则直接进入IPsec策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在IPsec策略模板。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-policy-template:指定IPv6 IPsec策略模板。
policy-template:指定IPv4 IPsec策略模板。
template-name:IPsec策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
【使用指导】
IPsec策略模板与直接配置的IKE协商方式的IPsec策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec策略模板表项。
· 一个IPsec策略模板是若干具有相同名称、不同顺序号的IPsec策略模板表项的集合。
· IPv4 IPsec策略模板和IPv6 IPsec策略模板名称可以相同。
【举例】
# 创建一个名称为template1、顺序号为100的IPsec策略模板,并进入IPsec策略模板视图。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相关命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。
undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情况】
IPsec抗重放检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过开启IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能开启与否对手工方式生成的IPsec SA没有影响。
【举例】
# 开启IPsec抗重放检测功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相关命令】
· ipsec anti-replay window
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。
undo ipsec anti-replay window命令用来恢复缺省情况。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情况】
IPsec抗重放窗口的宽度为64。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
width:IPsec抗重放窗口的宽度,取值可以为64、128、256、512、1024、2048、4096,单位为报文个数。
【使用指导】
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相关命令】
· ipsec anti-replay check
ipsec apply命令用来在接口上应用IPsec策略。
undo ipsec apply命令用来从接口上取消应用的IPsec策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上未应用IPsec策略。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6-policy:指定IPv6 IPsec策略。
policy:指定IPv4 IPsec策略。
policy-name:IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个接口下最多只能应用一个IPv4/IPv6类型的IPsec策略,但可以同时应用一个IPv4类型的IPsec策略和一个IPv6类型的IPsec策略。
在将IKE方式的IPsec策略可以应用到多个接口上时,请使用共享源接口的IPsec策略;手工方式的IPsec策略只能应用到一个接口上。
通过本命令在接口上应用IPsec策略后,不建议再通过link命令指定该接口为IPsec智能选路的链路本端接口。
【举例】
# 在接口GigabitEthernet1/0/1上应用名为policy1的IPsec策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec apply policy policy1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情况】
解封装后IPsec报文的ACL检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。
【举例】
# 开启解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 在接口GigabitEthernet1/0/2上设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ipsec df-bit set
【相关命令】
· ipsec global-df-bit
ipsec flow-overlap check enable命令用来开启IPsec流量重叠检测功能。
undo ipsec flow-overlap check enable命令用来关闭IPsec流量重叠检测功能。
【命令】
ipsec flow-overlap check enable
undo ipsec flow-overlap check enable
【缺省情况】
IPsec流量重叠检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
在中心-分支组网环境中,通常中心侧采用IPsec策略模板方式协商IPsec SA,当分支侧分支众多时,需保护的数据流范围可能会重叠。此时通过开启本功能,在协商IPsec SA时,设备会检测新建隧道与已有隧道的需保护数据流是否存在重叠。若重叠,则IPsec SA协商失败,设备将生成IPsec流量重叠检测失败的告警信息,提示用户当前需要保护的数据流存在流量重叠。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划分支侧的ACL配置。
中心侧设备判断是否存在IPsec流量重叠的方法为:检测待保护数据流的目的IP地址范围是否与已有隧道保护的数据流的目的IP地址范围重叠。若重叠,则认为待保护的数据流与已有隧道保护的数据流发生了重叠。
本功能的实现情况如下:
· 建议在中心-分支组网环境中的中心侧配置本功能。
· 仅在设备采用IPsec策略模板方式协商IPsec SA时生效。
· 仅支持对新建的IPsec SA进行流量重叠检测,不支持对已有的IPsec SA进行流量重叠检测。
· 仅支持在同一接口、同一VPN实例下进行流量重叠检测。
· 不支持对IPsec重协商后生成的IPsec SA进行流量重叠检测。
· 流量重叠检测时不会判断源IP地址范围是否与已有隧道保护的数据流的源IP地址范围重叠。
· 流量重叠检测对设备性能有一定的影响,建议仅在进行网络升级扩容等操作时开启,并在操作完成后及时关闭。
【举例】
# 开启IPsec流量重叠检测功能。
<Sysname> system-view
[Sysname] ipsec flow-overlap check enable
ipsec fragmentation命令用来配置IPsec分片功能。
undo ipsec fragmentation命令用来恢复缺省情况。
【命令】
ipsec fragmentation { after-encryption | before-encryption }
undo ipsec fragmentation
【缺省情况】
IPsec分片功能为封装前分片。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
after-encryption:表示开启IPsec封装后分片功能。
before-encryption:表示开启IPsec封装前分片功能。
【使用指导】
非缺省vSystem不支持本命令。
IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果该报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。
IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。
【举例】
# 开启IPsec封装后分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation after-encryption
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
非缺省vSystem不支持本命令。
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 为所有接口设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相关命令】
· ipsec df-bit
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
不限制本端允许建立IPsec隧道的最大数。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
非缺省vSystem不支持本命令。
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相关命令】
· ike limit
ipsec logging ipsec-p2mp enable命令用来开启IPsec P2MP模式隧道口日志记录功能。
undo ipsec logging ipsec-p2mp enable命令用来关闭IPsec P2MP模式隧道口日志记录功能。
【命令】
ipsec logging ipsec-p2mp enable
undo ipsec logging ipsec-p2mp enable
【缺省情况】
IPsec P2MP模式隧道口日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启IPsec P2MP模式隧道口日志记录功能后,当IPsec P2MP隧道学习表项和删除表项时,设备会输出相关日志信息。有关日志信息的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启IPsec P2MP模式隧道口日志功能。
<Sysname> system-view
[Sysname] ipsec logging ipsec-p2mp enable
ipsec logging negotiation enable命令用来开启IPsec协商事件日志功能。
undo ipsec logging negotiation enable命令用来关闭IPsec协商事件日志功能。
ipsec logging negotiation enable
undo ipsec logging negotiation enable
IPsec协商事件日志功能处于开启状态。
系统视图
context-admin
非缺省vSystem不支持本命令。
开启IPsec协商事件日志记录功能后,设备会输出IPsec协商过程中的相关日志。
# 开启IPsec协商事件日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging negotiation enable
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
【举例】
# 开启IPsec报文日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec netmask-filter命令用来配置IPsec掩码过滤功能。
undo ipsec netmask-filter命令用来恢复缺省情况。
【命令】
ipsec netmask-filter { destination-mask mask-length | source-mask mask-length } *
undo ipsec netmask-filter [ destination-mask | source-mask ]
【缺省情况】
未配置IPsec掩码过滤功能。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-mask mask-length:指定数据流的目的IP地址掩码长度,取值范围为1~32。
source-mask mask-length:指定数据流的源IP地址掩码长度,取值范围为1~32。
【使用指导】
非缺省vSystem不支持本命令。
仅IPv4网络支持本功能。
建议在中心-分支组网环境中的中心侧配置本功能。
本功能仅在设备采用IPsec策略模板方式协商IPsec SA时生效。
在中心-分支组网环境中,当有新的分支加入组网时,如果新分支侧配置的保护数据流范围过大,可能会导致其他分支的流量被引入到该分支,导致报文转发错误。配置本功能后,当中心侧设备与分支侧进行IPsec SA协商时,如果中心侧需要保护数据流的源、目的IP地址的掩码长度大于或等于本命令配置的值,则允许继续协商;否则,IPsec SA协商失败,设备将生成掩码过滤失败的告警信息,提示用户当前需要保护数据流的掩码设置过小。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划合理的ACL配置。
多次执行本命令,最后一次执行的命令生效。
如果不指定任何参数,则undo ipsec netmask-filter命令表示取消所有类型的掩码过滤功能。
【举例】
# 配置IPsec掩码过滤功能,过滤数据流的源IP地址掩码长度为24,目的IP地址掩码长度为24。
<Sysname> system-view
[Sysname] ipsec netmask-filter source-mask 24 destination-mask 24
ipsec no-nat-process enable命令用来在接口上开启IPsec流量不进行NAT转换功能。
undo ipsec no-nat-process enable命令用来恢复缺省情况。
【命令】
ipsec no-nat-process enable
undo ipsec no-nat-process enable
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F5000系列 |
F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2 |
不支持 |
|
F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G |
支持 |
|
|
F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030 |
支持 |
|
|
F1000系列 |
F1000-AK9130、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1180-G、F1000-AK1080-G、F1000-AK1050-G |
支持 |
|
F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G |
不支持 |
|
|
插卡 |
LSEM1FWESD0 |
支持 |
【缺省情况】
IPsec流量不进行NAT转换功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
该功能会影响NAT业务的处理流程,请谨慎使用。
在一个接口上同时配置了IPsec与NAT的情况下,对于出方向报文,设备先进行NAT转换,再进行IPsec处理。若接口上需要进行NAT转换的流量与需要进行IPsec处理的流量未能通过配置准确的区分,将会导致接口上的报文不能按照预期进行IPsec处理。而准确的区分可能导致配置复杂,难以维护。
开启本功能后,当前接口上需要进行IPsec处理的流量将不会进行NAT转换,减轻划分NAT与IPsec流量的工作量,进而降低接口上IPsec与NAT共存时配置的复杂度。
【举例】
# 在接口GigabitEthernet1/0/1上开启IPsec流量不进行NAT转换功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec no-nat-process enable
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。
undo ipsec profile命令用来删除指定的IPsec安全框架。
【命令】
ipsec profile profile-name [ isakmp | manual | sdwan ]
undo ipsec profile profile-name
【缺省情况】
不存在IPsec安全框架。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
isakmp:指定通过IKE协商建立安全联盟。
manual:手工方式的IPsec安全框架。
sdwan:SDWAN方式的IPsec安全框架。
【使用指导】
创建IPsec安全框架时,必须指定协商方式(manual或isakmp);进入已创建的IPsec安全框架时,可以不指定协商方式。
手工方式IPsec profile专门用于为应用协议配置IPsec策略,它相当于一个手工方式创建的IPsec策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。
IKE协商方式IPsec profile用于为应用协议模块自动协商生成安全联盟,不限制对端的地址,不需要进行ACL匹配,且适用于IPv4和IPv6应用协议,其中的应用协议模块包括但是不限于ADVPN等。
SDWAN方式的IPsec安全框架,用于在SDWAN设备上生成IPsec SA。该类型的IPsec安全框架不限制对端IP地址,不需要进行ACL配置,即所有路由到SDWAN接口的流量都会被IPsec保护,配置简单,易于维护。
【举例】
# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1]
# 配置名称为profile1的IPsec安全框架,通过IKE协商建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 isakmp
[Sysname-ipsec-profile-isakmp-profile1]
# 配置名称为profile1的IPsec安全框架,通过SDWAN方式建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 sdwan
[Sysname-ipsec-profile-sdwan-profile1]
【相关命令】
· display ipsec profile
ipsec redundancy enable命令用来开启IPsec冗余备份功能。
undo ipsec redundancy enable命令用来关闭IPsec冗余备份功能。
【命令】
ipsec redundancy enable
undo ipsec redundancy enable
【缺省情况】
IPsec冗余备份功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启冗余备份功能后,系统会根据命令redundancy replay-interval指定的备份间隔将接口上IPsec入方向抗重放窗口的左侧值和出方向IPsec报文的抗重放序号进行备份,当发生主备切换时,可以保证主备IPsec流量不中断和抗重放保护不间断。
【举例】
# 开启IPsec冗余备份功能。
<Sysname> system-view
[Sysname] ipsec redundancy enable
【相关命令】
· redundancy replay-interval
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为0、2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。如果基于流量的全局生存时间配置为0,表示不限制流量大小。
【使用指导】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
IKEv2为IPsec协商建立IPsec SA时,采用各自本地配置的生存时间。
可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。
【举例】
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相关命令】
· display ipsec sa
· sa duration
ipsec sa global-soft-duration buffer命令用来设置IPsec SA的全局软超时缓冲参数。
undo ipsec sa global-soft-duration buffer命令用来恢复缺省情况。
【命令】
ipsec sa global-soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-soft-duration buffer { time-based | traffic-based }
【缺省情况】
未配置全局软超时缓冲时间和全局软超时缓冲流量。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
time-based seconds:IPsec SA的全局软超时缓冲时间,取值范围为20~201600,单位为秒。
traffic-based kilobytes:IPsec SA的全局软超时缓冲流量,取值范围为1000~4294901760,单位为KB。
【使用指导】
本命令只对IKEv1有效。
在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。
若未配置软超时缓冲时间,则系统会基于IPsec SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IPsec SA协商。软超时缓冲流量同理。
同时配置了全局软超时缓冲参数和局部软超时缓冲参数时,以局部软超时缓冲为准。
【举例】
# 设置所有IPsec策略的IPsec SA的软超时缓冲时间为600秒。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer time-based 600
# 设置所有IPsec策略的IPsec SA的软超时缓冲流量为10000KB。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer traffic-based 10000
【相关命令】
· sa soft-duration buffer
ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。
undo ipsec sa idle-time命令用来关闭全局的IPsec SA空闲超时功能。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情况】
全局的IPsec SA空闲超时功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且需要通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。
从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。
IPsec策略/IPsec策略模板/IPsec安全框架视图下也可配置IPsec SA的空闲超时时间,若IPsec策略/IPsec策略模板/IPsec安全框架视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec策略/IPsec策略模板/IPsec安全框架视图下的配置值。
【举例】
# 开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相关命令】
· display ipsec sa
· sa idle-time
ipsec smart-link policy命令用来创建一个IPsec智能选路策略,并进入IPsec智能选路策略视图。如果指定的IPsec智能选路策略已经存在,则直接进入IPsec智能选路策略视图。
undo ipsec smart-link policy命令用来删除指定的IPsec智能选路策略。
【命令】
ipsec smart-link policy policy-name
undo ipsec smart-link policy policy-name
【缺省情况】
不存在IPsec智能选路策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:IPsec智能选路策略的名称,为1~63个字符的字符串,不区分大小写,只支持数字、字母、连字符及下划线。
【使用指导】
非缺省vSystem不支持本命令。
IPsec智能选路策略中定义了智能选路的链路和探测智能选路链路通信质量的相关参数。
设备中最多支持配置3个IPsec智能选路策略。
IPsec智能选路策略只能被IKE方式的IPsec策略引用,不能被模板方式、手工方式、GDOI方式、量子加密方式的IPsec策略引用。
一个IPsec智能选路策略只能被一个IPsec策略引用,一个IPsec策略也只能引用一个IPsec智能选路策略。
【举例】
# 创建名称为smlkpolicy1的IPsec智能选路策略。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1]
【相关命令】
· display ipsec smart-link policy
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
不存在IPsec安全提议。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全提议是IPsec策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相关命令】
· display ipsec transform-set
link命令用来配置IPsec智能选路的链路。
undo link命令用来删除指定IPsec智能选路的链路。
【命令】
link link-id interface interface-type interface-number [ local local-address nexthop nexthop-address ] remote remote-address
undo link link-id
【缺省情况】
不存在IPsec智能选路的链路。
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
link-id: IPsec智能选路链路的ID,取值范围为1~10。
interface interface-type interface-number:链路本端的接口。interface-type interface-number为接口类型和接口编号。
local local-address:链路本端的IP地址,为点分十进制形式,此IP地址必须与链路本端接口上的IP地址保持一致。若未配置此参数,则使用链路本端接口上的IP地址作为链路本端的IP地址。
nexthop nexthop-address:下一跳的IP地址,为点分十进制形式,此下一跳地址必须与链路接口的网关地址保持一致。若未配置此参数,则使用链路本端接口上的网关地址作为下一跳IP地址。若没有获取到本端接口上的网关地址,则使用链路的对端IP地址作为下一跳IP地址。
remote remote-address:链路对端的IP地址,为点分十进制形式。
【使用指导】
非缺省vSystem不支持本命令。
IPsec智能选路的链路用来建立IPsec隧道。当设备选中了某条链路来建立IPsec隧道时,设备将会把与此智能选路策略关联的IPsec策略下发到此链路指定的本端接口上。同时,设备会将IPsec策略的本端IP地址和对端IP地址设置为此链路中配置的本端IP地址和对端IP地址。
每个IPsec智能选路策略下,最多可配置10条链路。链路按配置的先后顺序排列优先级,先配置的链路优先级高,后配置的链路优先级低,也可使用move link命令移动链路的先后顺序来调整链路的优先级。当链路进行切换时,会按照链路的优先级从高到低顺序切换。
为保证IKE协商报文和IPsec报文的正确转发,设备会根据链路中配置的下一跳IP地址和对端IP地址,下发一条到对端IP地址的主机路由,路由的下一跳为链路中配置的下一跳IP地址。
通过本命令配置链路本端的接口后,不建议在该接口下再通过ipsec apply命令应用IPsec策略。
【举例】
# 配置IPsec智能选路的链路,链路ID为1,本端接口为GigabitEthernet1/0/1,本端IP地址为1.1.1.1,下一跳IP地址为1.1.1.254,对端IP地址为3.3.3.3。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link 1 interface gigabitethernet 1/0/1 local 1.1.1.1 nexthop 1.1.1.254 remote 3.3.3.3
【相关命令】
· gateway
link-probe命令用来配置IPsec智能选路链路探测报文的发送时间间隔和每个探测周期内发送探测报文的总数。
undo link-probe命令用来恢复缺省情况。
【命令】
link-probe { count number | interval interval }
undo link-probe { count | interval }
【缺省情况】
IPsec智能选路链路探测报文的发送时间间隔是1秒,每个探测周期内发送探测报文的总数是10个。
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
count number:每个探测周期内发送探测报文的总数,取值范围为1~30。
interval interval:探测报文的发送时间间隔,取值范围为1~3,单位为秒。
【使用指导】
非缺省vSystem不支持本命令。
对于当前正在探测的链路,设备连续发送完n(由count参数指定)个探测报文算作一个探测周期,设备每个探测周期结束后,均会对探测结果进行统计,计算出此链路的时延和丢包率,若时延或者丢包率高于设置的阈值,则会触发链路切换。
【举例】
# 配置IPsec智能选路链路探测报文的发送时间间隔为2秒,探测周期内发送的探测报文总数为15个。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe interval 2
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe count 15
【相关命令】
· link-probe source
· link-switch threshold
link-probe source命令用来配置IPsec智能选路链路探测报文的源IP地址和目的IP地址。
undo link-probe source命令用来删除IPsec智能选路链路探测的源IP地址和目的IP地址。
【命令】
link-probe source source-address destination destination-address
undo link-probe source source-address destination destination-address
【缺省情况】
使用IPsec智能选路链路中配置的本端IP地址和对端IP地址分别作为探测报文的源IP地址和目的IP地址。
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-address:探测报文的源IP地址,为点分十进制格式。
destination destination-address:探测报文的目的IP地址,为点分十进制格式。
【使用指导】
非缺省vSystem不支持本命令。
IPsec智能选路链路质量探测是通过发送ICMP报文探测IPsec隧道的质量。探测报文的源IP地址可以是本端设备或本端私网中的任意一个IP地址;探测报文的目的IP地址可以是对端私网内某台设备的上的IP地址,也可以是对端网关设备接口的IP地址。只要保证探测的目的IP地址与探测报文的源IP地址路由可达即可。
为保证请求类型的探测报文与目的地路由可达,设备会自动下发一条到探测报文目的IP地址的静态路由,路由的下一跳是对端IPsec隧道接口的IP地址(IPsec智能选路链路中配置的对端IP地址)。
并且设备会自动在此ACL中添加一条规则:rule permit ip source source-address 0 destination dest-address 0,保证请求类型的探测报文可以通过。
为保证IPsec智能选路链路质量探测报文的请求报文和回应报文正确转发,需要确保在总部设备上已正确配置如下内容:
· 在设备上需要手工在安全策略模板下添加相应的ACL规则,指定要保护的数据流。
· 为保证设备正确转发探测报文的响应报文,需要在设备上开启IPsec反向路由注入功能,或手工添加一条到探测报文源IP地址的静态路由。
【举例】
# 配置IPsec智能选路链路探测报文的源IP地址为10.3.1.10,目的IP地址为10.3.2.10。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe source 10.3.1.10 destination 10.3.2.10
【相关命令】
· link-probe
link-switch cycles命令用来配置IPsec智能选路链路循环切换的最大次数。
undo link-switch cycles命令用来恢复缺省情况。
【命令】
link-switch cycles number
undo link-switch cycles
【缺省情况】
IPsec智能选路链路循环切换的最大次数为3。
【视图】
IPsec智能选策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
number: IPsec智能选路链路循环切换的最大次数,取值范围是0~5。取值为0时,不限制链路循环切换的次数。
【使用指导】
非缺省vSystem不支持本命令。
当设备对链路时延和丢包率的探测结果高于设置的阈值时,设备会根据IPsec智能选路链路的配置顺序进行循环切换。循环切换的起始链路是当前使用的链路,循环切换的终止链路是优先级最低的链路。例如,有四条链路,如果当前使用的是第三条链路不符合质量要求,则立即切换到第四条链路,这是第一次循环。之后继续按照1>2>3>4进行循环切换,从中选择第一条符合质量要求的链路进行数据传输。如果没有找到符合质量要求的链路,循环切换次数达到配置的上限值后,设备会停止链路探测和循环切换。各链路丢包率和延迟存在差异的情况下选择相对最优的链路;如果丢包率和延迟都一样,则选择循环的最后一条链路。等待10分钟后,再重新开始一轮链路的探测和循环切换。
【举例】
# 配置IPsec智能选路链路循环切换的最大次数为2。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch cycles 2
【相关命令】
· link-switch threshold
link-switch threshold命令用来配置IPsec智能选路链路切换的阈值。
undo link-switch threshold命令用来恢复缺省情况。
【命令】
link-switch threshold { delay delay | loss loss-ratio }
undo link-switch threshold { delay | loss }
【缺省情况】
IPsec智能选路链路切换的丢包率阈值为30%,时延阈值为500毫秒。
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
delay delay:时延阈值,即接收到ICMP回应报文的时间与发送ICMP请求报文的时间的时间差,设备取一个探测周期内所有探测报文时间差的平均值作为此链路的时延,取值范围为1~3000,单位为毫秒。
loss loss-ratio:丢包率阈值百分比,即收到ICMP回应报文个数相对于已发送ICMP请求报文个数的百分比,取值范围为1~100。
【使用指导】
非缺省vSystem不支持本命令。
当每个探测周期结束后,若设备统计到当前链路的时延或丢包率中的一项高于链路切换的阈值,则会根据链路优先级进行链路切换。
【举例】
# 配置IPsec智能选路链路切换的丢包率阈值为10%,时延阈值为300毫秒。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold loss 10
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold delay 300
【相关命令】
· link-probe interval
local-address命令用来配置IPsec隧道的本端IP地址。
undo local-address命令用来恢复缺省情况。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情况】
IPsec隧道的本端IPv4地址为应用IPsec策略的接口的主IPv4地址,本端IPv6地址为应用IPsec策略的接口的第一个IPv6地址。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指导】
采用IKE协商方式的IPsec策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。
IPsec隧道的本端IP地址不得为应用IPsec策略的接口的从IP地址。
【举例】
# 配置IPsec隧道的本端IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相关命令】
· remote-address
move link命令用来调整IPsec智能选路的链路优先级。
【命令】
move link link-id1 before link-id2
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
link-id1:需要移动链路的ID,取值范围为1~10,此链路必须已存在。
before:将link-id1移动到link-id2之前。
link-id2:目标链路的ID,取值范围为1~10,此链路必须已存在。
【使用指导】
非缺省vSystem不支持本命令。
缺省情况下,设备按照智能选路链路的创建顺序进行顺序切换,用户也可以通过移动IPsec智能选路链路的先后顺序,来改变链路的切换顺序。通过display ipsec smart-link policy命令可以查看IPsec智能选路链路的配置顺序。
【举例】
# 将IPsec智能选路策略smlkpolicy1的链路5移动到链路1之前,使链路5的优先级高于链路1。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] move link 5 before 1
【相关命令】
· display ipsec smart-link policy
pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用来恢复缺省情况。
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group15 | dh-group16 | dh-group18 | dh-group19 | dh-group20 | dh-group21 | dh-group23 | dh-group24 }
undo pfs
【缺省情况】
使用IPsec安全策略发起IKE协商时不使用PFS特性。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
dh-group1:采用768-bit Diffie-Hellman组。
dh-group2:采用1024-bit Diffie-Hellman组。
dh-group5:采用1536-bit Diffie-Hellman组。
dh-group14:采用2048-bit Diffie-Hellman组。
dh-group15:指定密钥协商时采用3072-bit Diffie-Hellman组。
dh-group16:指定密钥协商时采用4096-bit Diffie-Hellman组。
dh-group18:指定密钥协商时采用8192-bit Diffie-Hellman组。
dh-group19:采用256-bit ECP模式 Diffie-Hellman组。
dh-group20:采用384-bit ECP模式 Diffie-Hellman组。
dh-group21:指定密钥协商时采用521-bit ECP模式Diffie-Hellman组。
dh-group23:指定密钥协商时采用2048-bit和224-bit子群Diffie-Hellman组。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。
【使用指导】
2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit和224-bit子群Diffie-Hellman组(dh-group23)、521-bit ECP模式 Diffie-Hellman组(dh-group21)、384-bit ECP模式 Diffie-Hellman组(dh-group20)、256-bit ECP模式 Diffie-Hellman组(dh-group19)、8192-bit Diffie-Hellman组(dh-group18)、4096-bit Diffie-Hellman组(dh-group16)、3072-bit Diffie-Hellman组(dh-group15)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。
IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。IKEv2协商时,发起方和响应方配置同类型的PFS。
不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。
【举例】
# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
policy alias命令用来配置IPsec策略表项或IPsec策略模板表项的别名。
undo policy alias命令用来恢复缺省情况。
【命令】
policy alias alias-name
undo policy alias
【缺省情况】
IPsec策略表项的别名为IPsec策略名-IPsec策略表项序号,IPsec策略模板表项的别名为template-IPsec策略模板名-IPsec策略模板表项序号。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
alias-name:别名,为1~127个字符的字符串,不区分大小写,别名中不能包含空格和问号。
【使用指导】
一个IPsec策略或IPsec策略模板拥有若干个名称相同,序号不同的IPsec策略表项或IPsec策略模板表项。在同一个IPsec策略或IPsec策略模板下的不同IPsec策略表项或IPsec策略模板表项,仅能通过序号来区分,用户记忆和识别起来较为困难。为了方便用户记忆和识别IPsec策略表项和IPsec策略模板表项,可以通过本命令为IPsec策略表项或IPsec策略模板表项设置别名,建议用户设置易于记忆和理解的别名。
IPv4 IPsec策略表项和IPv6 IPsec策略表项别名可以相同。
IPv4 IPsec策略模板表项和IPv6 IPsec策略模板表项别名可以相同。
IPv4 IPsec策略表项和IPv4 IPsec策略模板表项别名不能相同。
IPv6 IPsec策略表项和IPv6 IPsec策略模板表项别名不能相同。
在同一个IPsec策略视图或IPsec策略模板视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置名称为policy1,序号为100的IPsec策略表项的别名为abc。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] policy alias abc
policy enable命令用来启用IPsec策略表项或IPsec策略模板表项。
undo policy enable命令用来禁用IPsec策略表项或IPsec策略模板。
【命令】
policy enable
undo policy enable
【缺省情况】
IPsec策略表项和IPsec策略模板表项处于启用状态。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
本功能仅适用于IKE协商方式的IPsec策略及IPsec策略模板。
当用户需要暂时禁用某个IPsec策略或IPsec策略模板但又不想删除时,可以通过本命令对其进行禁用。禁用某个IPsec策略表项或IPsec策略模板表项后,基于该IPsec策略表项或IPsec策略模板表项建立的IPsec SA将被立即删除,且该策略表项将不能协商建立IPsec SA,直到其被重新启用。
【举例】
# 禁用名称为policy1,序号为10的IPsec策略表项。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] undo policy enable
profile alias命令用来配置IPsec安全框架的别名。
undo profile alias命令用来恢复缺省情况。
【命令】
profile alias alias-name
undo profile alias
【缺省情况】
IPsec安全框架的别名为profile-安全框架名称。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
alias-name:别名,为1~127个字符的字符串,不区分大小写,别名中不能包含空格和问号。
【使用指导】
为了方便用户记忆和识别IPsec安全框架,可以通过本命令为IPsec安全框架设置别名,建议用户设置易于记忆和理解的别名。
在同一个IPsec安全框架视图下,多次执行本命令,最后一次执行的命令生效。
SDWAN方式的IPsec安全框架下不支持配置本命令。
【举例】
# 配置名称为profile1的安全框架的别名为abc。
<Sysname> system-view
[Sysname] ipsec profile profile1 isakmp
[Sysname-ipsec-profile-isakmp-profile1] profile alias abc
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情况】
使用ESP安全协议。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
【使用指导】
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
【举例】
# 配置IPsec安全提议采用AH协议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
qos pre-classify命令用来开启QoS预分类功能。
undo qos pre-classify命令用来关闭QoS预分类功能。
【命令】
qos pre-classify
undo qos pre-classify
【缺省情况】
QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。
【举例】
# 在IPsec策略中开启QoS预分类功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
redundancy replay-interval命令用来配置抗重放窗口和序号的同步间隔。
undo redundancy replay-interval命令用来恢复缺省情况。
【命令】
redundancy replay-interval inbound inbound-interval outbound outbound-interval
undo redundancy replay-interval
【缺省情况】
同步入方向抗重放窗口的报文间隔为1000,同步出方向IPsec SA抗重放序号的报文间隔为100000。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
inbound inbound-interval:同步入方向IPsec SA抗重放窗口左侧值的报文间隔,取值范围为0~1000,单位为报文个数,取值为0,表示不同步防重放窗口。
outbound outbound-interval:同步出方向IPsec SA抗重放序号的报文间隔,取值范围为1000~100000,单位为报文个数。
【使用指导】
IPsec冗余备份功能处于开启状态时,抗重放序号同步间隔的配置才会生效。
调小同步的报文间隔,可以增加主备间保持抗重放窗口和序号一致的精度,但同时对转发性能会有一定影响。
【举例】
# 配置同步入方向抗重放窗口的报文间隔为800,同步出方向抗重放序号的报文间隔为50000。
<Sysname> system-view
[Sysname] ipsec policy test 1 manual
[sysname-ipsec-policy-manual-test-1] redundancy replay-interval inbound 800 outbound 50000
【相关命令】
· ipsec anti-replay check
· ipsec anti-replay window
· ipsec redundancy enable
remote-address命令用来指定IPsec隧道的对端IP地址。
undo remote-address命令用来恢复缺省情况。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address } [ primary ] [ track track-id ]
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定IPsec隧道的对端IP地址。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。
hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。
ipv4-address:IPsec隧道的对端IPv4地址。
ipv6-address:IPsec隧道的对端IPv6地址。
primary:将指定的对端地址配置为首选地址。未指定该参数时,先配置的地址优先级更高。
track track-id:指定地址关联的track项。非缺省vSystem不支持本参数。
【使用指导】
IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec策略模板的响应方可选配。
手工方式的IPsec策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。
对于主机名方式的对端地址,地址更新的查询过程有所不同。
· 若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。
· 若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec策略或IPsec策略模板中重新配置remote-address,本端解析到的对端IP地址将为更改后的IP地址。
例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:
# 在IPsec策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主机名test对应的IP地址为2.2.2.2。
[Sysname] ip host test 2.2.2.2
# 在IPsec策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
则,本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。
多次执行本命令可指定多个对端IP地址,形成对端IP地址列表。建立IPsec隧道时,本端依次按配置顺序向列表中的IP地址发起IPsec协商:协商成功,则与该地址建立IPsec隧道;否则尝试向列表中的下一个IP地址建立IPsec隧道,直至列表中最后一个IP地址。
如果执行本命令时配置了primary参数,则此地址拥有最高优先级,每次触发协商时都会优先向该地址发起协商,每个地址列表中最多可配置一条首选地址。
不能通过重复执行remote-address命令来修改首选地址。如需修改首选地址,请先通过undo remote-address命令删除当前首选地址,再执行remote-address命令。
如果需要关注对端地址是否可用,需要在remote-address后关联track项。配置相应track项之后,能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时打开了对端地址回切功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。
仅在安全策略视图下,支持remote-address命令配置多个对端地址、指定primary远端地址及指定地址关联的track项。
【举例】
# 指定IPsec隧道的对端IPv4地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2
【相关命令】
· ip host(三层技术-IP业务/域名解析)
· local-address
· remote-address switch-back enable
remote-address switch-back enable命令用来开启对端地址回切功能。
undo remote-address switch-back enable命令用来恢复缺省情况。
【命令】
remote-address switch-back enable
undo remote-address switch-back enable
【缺省情况】
对端地址回切功能处于关闭状态。
【视图】
IPsec策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
如果配置remote-address时指定了track项,IPsec能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时开启了本功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。
如果对端地址回切功能处于关闭状态,则当首选地址可用时,IPsec不会自动选择首选地址建立IPsec隧道。
【举例】
在IPsec策略policy1中开启对端地址回切功能。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address switch-back enable
【相关命令】
· remote-address
reset ipsec sa命令用来清除已经建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec策略名称清除IPsec SA。
· ipv6-policy:IPv6 IPsec策略。
· policy:IPv4 IPsec策略。
· policy-name:IPsec策略的名称,为1~63个字符的字符串,不区分大小写。
· seq-number:IPsec策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。
profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则清除所有的IPsec SA。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec策略建立新的IPsec SA。
通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec策略名称为policy1、顺序号为10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相关命令】
· display ipsec sa
reset ipsec sdwan-sa命令用来清除SDWAN模式的IPsec SA。
【命令】
reset ipsec sdwan-sa [ local [ interface tunnel tunnel-number ] | remote ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
local:清除本端SDWAN模式的IPsec SA。
interface:显示指定接口的SDWAN模式的IPsec SA。
tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。
remote:清除本端保存的对端SDWAN模式的IPsec SA。
【使用指导】
如果不指定任何参数,则清除所有的SDWAN模式的IPsec SA。
本端SDWAN模式的IPsec SA被清除后,设备会根据IPsec的配置信息重新生成本端SDWAN模式的IPsec SA,并同步给对端设备。
本端保存的对端SDWAN模式的IPsec SA被清除后,设备会向SDWAN重新获取对端设备的本端SDWAN模式的IPsec SA。
【举例】
# 清除所有本端SDWAN模式的IPsec SA。
<RouterA> reset ipsec sdwan-sa local
# 清除接口编号为1的本端SDWAN模式的IPsec SA。
<RouterA> reset ipsec sdwan-sa local interface tunnel 1
# 清除所有对端SDWAN模式的IPsec SA。
<RouterA> reset ipsec sdwan-sa remote
【相关命令】
· display ipsec sdwan-sa
reset ipsec sdwan-statistics命令用来清除SDWAN模式的IPsec隧道的报文统计信息。
【命令】
reset ipsec sdwan-statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
tunnel-id tunnel-id:清除指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
如果未指定任何参数,则清除所有SDWAN模式的IPsec隧道的报文统计信息。
【举例】
# 清除所有SDWAN模式的IPsec隧道的报文统计信息。
<RouterA> reset ipsec sdwan-statictics
【相关命令】
· display ipsec sdwan-statistics
reset ipsec sdwan-tunnel命令用来清除SDWAN模式的IPsec隧道信息。
【命令】
reset ipsec sdwan-tunnel [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
tunnel-id tunnel-id:清除指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。
若不指定任何参数,默认清除所有SDWAN模式的IPsec隧道信息。
【举例】
# 清除tunnel-id为1的SDWAN模式的IPsec隧道信息。
<Sysname> reset ipsec sdwan-tunnel tunnel-id 1
【相关命令】
· display ipsec sdwan-tunnel
reset ipsec statistics命令用来清除IPsec的报文统计信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。
【举例】
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
【相关命令】
· display ipsec statistics
responder-only enable命令用来开启本端仅作为协商IPsec SA的响应方功能。
undo responder-only enable命令用来关闭本端仅作为协商IPsec SA的响应方功能。
【命令】
responder-only enable
undo responder-only enable
【缺省情况】
本端仅作为协商IPsec SA的响应方功能处于关闭状态。
【视图】
IPsec安全框架视图
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
建议在中心-分支组网环境中的中心侧配置本功能。
缺省情况下,如果IPsec对等体两端都采用IKE协商方式的IPsec安全框架或者IPsec策略建立IPsec SA,则两端都会主动发起协商,对等体之间将存在两个协商IPsec SA的过程,但对等体之间最终只会建立一个IPsec SA,该协商过程将会造成设备CPU资源的浪费。此时可以配置本功能,指定本端只能作为建立IPsec SA的响应方,不主动发起协商,可以有效解决此问题,同时也有助于IPsec故障诊断和定位。
开启或关闭本功能,对当前已经存在的IPsec SA无影响。
【举例】
# 在IKE协商方式的IPsec安全框架prof1下,开启本端仅作为协商IPsec SA的响应方功能。
<Sysname> system-view
[Sysname] ipsec profile prof1 isakmp
[Sysname-ipsec-profile-prof1] responder-only enable
# 在IKE协商方式的IPsec策略map下,开启本端仅作为协商IPsec SA的响应方功能。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] responder-only enable
【相关命令】
· display ipsec { ipv6-policy | policy }
· display ipsec { ipv6-policy-template | policy-template }
· display ipsec profile
reverse-route dynamic命令用来开启IPsec反向路由注入功能。
undo reverse-route dynamic命令用来关闭IPsec反向路由注入功能。
【命令】
reverse-route [ next-hop [ ipv6 ] ip-address ] dynamic
undo reverse-route dynamic
【缺省情况】
IPsec反向路由注入功能处于关闭状态。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
next-hop:指定自动生成的静态路由下一跳地址。若未指定下一跳地址,则自动生成的静态路由下一跳为IPsec隧道的对端地址。
ipv6:指定自动生成的静态路由下一跳IPv6地址。若不指定此参数,则表示IPv4地址。
ip-address:下一跳的IPv4或IPv6地址。
【使用指导】
在企业中心侧网关设备上的某安全策略视图/安全策略模板视图下开启IPsec反向路由注入功能后,设备会根据协商的IPsec SA自动生成一条静态路由,该路由的目的地址为受保护的对端私网,下一跳地址缺省为IPsec隧道的对端地址;在有多条路径到达隧道对端目的地址的情况下,可以通过next-hop参数指定下一跳来控制隧道到达对端所经过的路径。
开启反向路由注入功能时,会删除本策略协商出的所有IPsec SA。当有新的流量触发生成IPsec SA时,根据新协商的IPsec生成路由信息。
关闭反向路由注入功能时,会删除本策略协商出的所有IPsec SA。
生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。
需要查看生成的路由信息时,可以通过display ip routing-table命令查看。
【举例】
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 GE1/0/1
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段4.0.0.0/24,指定下一跳地址为2.2.2.3。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route next-hop 2.2.2.3 dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,查看路由表,可以看到已生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
4.0.0.0/24 Static 60 0 2.2.2.3 GE1/0/1
【相关命令】
· display ip routing-table(三层技术-IP路由命令参考/IP路由基础)
· ipsec policy
· ipsec policy-template
reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。
undo reverse-route preference命令用来恢复缺省情况。
【命令】
reverse-route preference number
undo reverse-route preference
【缺省情况】
IPsec反向路由注入功能生成的静态路由的优先级为60。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
number:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。
【使用指导】
若对静态路由优先级进行修改,会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【相关命令】
· ipsec policy
· ipsec policy-template
reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值。
undo reverse-route tag命令用来恢复缺省情况。
【命令】
reverse-route tag tag-value
undo reverse-route tag
【缺省情况】
IPsec反向路由注入功能生成的静态路由的Tag值为0。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
tag-value:静态路由的Tag值,取值范围为1~4294967295。
【使用指导】
本Tag值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制,若对静态路由Tag值进行修改,则会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【相关命令】
· ipsec policy
· ipsec policy-template
sa df-bit命令用来设置IPsec SA封装后外层IP头的DF位。
undo sa df-bit命令用来恢复缺省情况。
【命令】
sa df-bit { clear | copy | set }
undo sa df-bit
【缺省情况】
未设置IPsec封装后外层IP头的DF位,采用接口或全局设置的DF位。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
只有IKE协商方式的IPsec才支持本功能。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
如果IPsec策略/IPsec策略模板/IPsec安全框架下未配置IPsec DF位,将使用接口下配置的IPsec DF位;如果接口下也未配置IPsec DF位,将使用IPsec 全局配置的DF位。
【举例】
# 配置IPsec策略policy1封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa df-bit set
【相关命令】
· ipsec df-bit
· ipsec global-df-bit
sa duration命令用来配置IPsec SA的生存时间。
undo sa duration命令用来删除指定的IPsec SA生存时间。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架的IPsec SA生存时间为当前全局的IPsec SA生存时间。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的生存时间,取值范围为0、2560~4294967295,单位为千字节。SDWAN方式的IPsec安全框架不支持本参数。如果基于流量的生存时间配置为0,表示不限制流量大小。
【使用指导】
当IKE协商IPsec SA时,如果采用的IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
IKEv2为IPsec协商建立IPsec SA时,采用各自本地配置的生存时间。
【举例】
# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
# 配置SDWAN方式的IPsec安全框架profile1的IPsec SA生存时间为500秒。
<Sysname> system-view
[Sysname] ipsec profile profile1 sdwan
[Sysname-ipsec-profile-sdwan-profile1] sa duration time-based 500
【相关命令】
· display ipsec sa
· ipsec sa global-duration
sa hex-key authentication命令用来为手工创建的IPsec SA配置十六进制形式的认证密钥。
undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
【视图】
IPsec策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-23。密文密钥为1~85个字符的字符串,区分大小写。
|
算法 |
密钥长度(字节) |
|
HMAC-MD5 |
16 |
|
HMAC-SHA1 |
20 |
|
HMAC-SM3 |
32 |
【使用指导】
此命令仅用于手工方式的IPsec策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相关命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用来为手工创建的IPsec SA配置十六进制形式的加密密钥。
undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
【视图】
IPsec策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-24。密文密钥为1~117个字符的字符串,区分大小写。
|
算法 |
密钥长度(字节) |
|
DES-CBC |
8 |
|
3DES-CBC |
24 |
|
AES128-CBC |
16 |
|
AES192-CBC |
24 |
|
AES256-CBC |
32 |
|
SM1128-CBC |
16 |
|
SM4128-CBC |
16 |
【使用指导】
此命令仅用于手工方式的IPsec策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
相同方向的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相关命令】
· display ipsec sa
· sa string-key
sa idle-time命令用来配置IPsec SA的空闲超时时间。
undo sa idle-time命令用来恢复缺省情况。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情况】
IPsec策略/IPsec策略模板/IPsec安全框架下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且需要通过全局ipsec sa idle-time命令或局部sa idle-time命令开启空闲超时功能后,本功能才会生效。
从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。
如果IPsec策略/IPsec策略模板/IPsec安全框架视图下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec策略/IPsec策略模板/IPsec安全框架视图下配置了IPsec SA 空闲超时时间,则优先使用IPsec策略/IPsec策略模板/IPsec安全框架视图下的配置值。
【举例】
# 配置IPsec策略的IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相关命令】
· display ipsec sa
· ipsec sa idle-time
sa soft-duration buffer命令用来设置IPsec SA的软超时缓冲参数。
undo sa soft-duration buffer命令用来恢复缺省配置。
【命令】
sa soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo sa soft-duration buffer { time-based | traffic-based }
【缺省情况】
未配置软超时缓冲时间或软超时缓冲流量。
【视图】
IPsec策略视图
IPsec 安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
time-based seconds:IPsec SA的软超时缓冲时间,取值范围为20~201600,单位为秒。
traffic-based kilobytes:IPsec SA的软超时缓冲流量,取值范围为1000~4294901760,单位为KB。
【使用指导】
本命令只对IKEv1有效。
在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。
若未配置软超时缓冲时间,则系统会基于IPsec SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IPsec SA协商。软超时缓冲流量同理。
【举例】
# 设置IPsec SA的软超时缓冲时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer time-based 600
# 设置IPsec SA的软超时缓冲流量为10000KB。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer traffic-based 10000
【相关命令】
· ipsec sa global-soft-duration buffer
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
【视图】
IPsec策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
【使用指导】
此命令仅用于手工方式的IPsec策略以及IPsec安全框架。对于IKE协商方式的IPsec策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。
必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;
· 同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP4+,是BGP4+邻居之间或邻居所在的一个组。
【举例】
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相关命令】
· display ipsec sa
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
【视图】
IPsec策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
此命令仅用于手工方式的IPsec策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向IPsec SA的参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;
· 同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec ipv6-policy policy1 100 manual
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【相关命令】
· display ipsec sa
· sa hex-key
sa trigger-mode命令用来配置触发建立IPsec SA的模式。
undo sa trigger-mode命令用来恢复缺省情况。
【命令】
sa trigger-mode { auto | traffic-based }
undo sa trigger-mode
【缺省情况】
触发建立IPSec SA的模式为流量触发。
【视图】
IPsec策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
auto:自动触发模式,完成IPsec的基本配置后设备自动触发协商建立IPsec SA。
traffic-based:流量触发模式,当存在符合IPsec策略条件的数据流时才会触发IPSec SA协商。
【使用指导】
此功能只适用于IKE协商方式的IPsec策略。
自动触发模式下,无论是否有流量需要保护,都会在配置条件满足的情况下触发建立IPsec SA,这在一定程度上占用了系统资源;而流量触发模式只在有流量需要保护时才会触发建立IPsec SA,相对于自动模式,系统资源占用率较低,但IPsec SA成功建立之前的流量不会受到保护。
如果IPsec策略下引用了智能选路策略,将自动触发建立IPsec SA,则此配置不会生效。
IPsec隧道两端的设备上并不要求配置一致的触发建立IPsec SA的模式。
修改模式,对当前已经存在的IPsec SA无影响。如果已经配置了auto模式,IPsec SA建立完成后,建议修改为traffic-based模式。
若IPsec策略/IPsec策略模板引用的ACL被指定为聚合方式或主机方式,则该IPsec策略/IPsec策略模板无法通过自动触发模式建立IPsec SA。
IKEv2 SA为自动协商模式时,设备会携带security acl命令指定的ACL规则。在与部分厂商设备对接时,由于部分厂商设备将端口号为0判定为非法端口号。在该情况下,security acl命令指定的ACL规则中应避免使用端口号0,否则可能会导致IPsec隧道建立失败。
【举例】
# 配置序号为10的IPsec策略policy1触发建立IPsec SA的模式为自动触发。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto
security acl命令用来指定IPsec策略/IPsec策略模板引用的ACL。
undo security acl命令用来恢复缺省情况。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情况】
IPsec策略/IPsec策略模板未引用ACL。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ipv6:指定IPv6 ACL。
acl-number:ACL编号,取值范围为3000~3999。
name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。
aggregation:指定IPsec策略的数据流保护方式为聚合方式。
per-host:指定IPsec策略的数据流保护方式为主机方式。
【使用指导】
对于IKE协商方式的IPsec策略,数据流的保护方式包括以下几种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregation和per-host参数的情况下,缺省采用此方式。
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。
· 主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。
手工方式的IPsec策略缺省使用聚合方式,且仅支持聚合方式;IKE协商方式的IPsec策略中可以通过配置来选择不同的保护方式。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示IPsec策略不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置IPsec策略引用IPv4高级ACL 3001。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec策略引用IPv4高级ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] quit
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【相关命令】
· display ipsec sa
· display ipsec tunnel
smart-link enable命令用来开启IPsec智能选路功能。
undo smart-link enable命令用来关闭IPsec智能选路功能。
【命令】
smart-link enable
undo smart-link enable
【缺省情况】
IPsec智能选路功能处于关闭状态。
【视图】
IPsec智能选路策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
只有在IPsec智能选路功能处于开启状态的情况下,链路质量探测功能和链路切换功能才会生效。关闭IPsec智能选路功能后,IPsec智能选路一直停留在当前处于激活状态的链路上。
【举例】
# 关闭IPsec智能选路功能。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] undo smart-link enable
【相关命令】
· smart-link policy
smart-link policy命令用来在IPsec策略中引用IPsec智能选路策略。
undo smart-link policy命令用来恢复缺省情况。
【命令】
smart-link policy policy-name
undo smart-link policy
【缺省情况】
IPsec策略中未引用IPsec智能选路策略。
【视图】
IPsec策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:IPsec智能选路策略的名称,此IPsec智能选路策略必须已存在。
【使用指导】
非缺省vSystem不支持本命令。
只有IKE方式的IPsec策略才能引用IPsec智能选路策略。
一个IPsec策略下只能引用一个智能选路策略。
当设备选中了某条IPsec智能选路的链路建立IPsec隧道时,设备会将此IPsec策略中的配置内容下发到此链路所指定的本端接口上。
当设备在系统视图下删除了在某IPsec策略中引用的IPsec智能选路策略时,设备会同时将此IPsec策略中智能选路策略配置删除。
【举例】
# 在IPsec策略policy1中引用IPsec智能选路策略smlkpolicy1。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] smart-link policy smlkpolicy1
【相关命令】
· smart-link enable
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
【缺省情况】
IPsec的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
auth-failure:表示认证失败时的告警功能。
connection-start:表示相同description的安全策略表项下创建第一个IPsec隧道时的告警功能。
connection-stop:表示相同description的安全策略表项下删除最后一个IPsec隧道时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec策略时的告警功能。
policy-attach:表示将IPsec策略应用到接口时的告警功能。
policy-delete:表示删除IPsec策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
【使用指导】
非缺省vSystem不支持本命令。
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
tfc enable命令用来开启TFC(Traffic Flow Confidentiality)填充功能。
undo tfc enable命令用来关闭TFC填充功能。
【命令】
tfc enable
undo tfc enable
【缺省情况】
TFC填充功能处于关闭状态。
【视图】
IPsec策略视图
IPsec策略模板视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
TFC填充功能可隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。
【举例】
# 指定IPsec策略policy1中开启TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
transform-set命令用来指定IPsec策略/IPsec策略模板/IPsec安全框架所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec策略/IPsec策略模板/IPsec安全框架引用的IPsec安全提议。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set
【缺省情况】
IPsec策略/IPsec策略模板/IPsec安全框架未引用IPsec安全提议。
【视图】
IPsec策略视图
IPsec策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。需要注意的是,同时指定的多个安全提议名称不可重复,否则提示参数出错。
【使用指导】
对于手工方式的IPsec策略或SDWAN方式的IPsec安全框架,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。
对于IKE协商方式的IPsec策略、IPsec安全框架或IPsec策略模版,一条IPsec策略、IPsec安全框架或IPsec策略模版最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec策略或IPsec安全框架中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。
undo transform-set命令表示删除所有引用的IPsec安全提议。
【举例】
# 配置IPsec策略引用名称为prop1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相关命令】
· ipsec { ipv6-policy | policy }
· ipsec profile
· ipsec transform-set
tunnel protection ipsec命令用来在隧道接口上应用IPsec安全框架。
undo tunnel protection ipsec命令用来恢复缺省情况。
【命令】
tunnel protection ipsec profile profile-name [ acl [ ipv6 ] { acl-number | name acl-name } ]
undo tunnel protection ipsec profile
【缺省情况】
Tunnel接口下未引用IPsec安全框架。
【视图】
Tunnel接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
profile profile-name:指定使用的IPsec安全框架,且必须为IKE协商方式或SDWAN方式的IPsec安全框架。其中,profile-name为IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
ipv6:指定ACL类型为IPv6 ACL。若不指定本参数,则表示IPv4 ACL。
acl-number:指定安全框架关联的ACL编号,取值范围为3000~3999。
name acl-name:指定安全框架关联的ACL名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在隧道接口上应用IKE协商方式的IPsec安全框架后,隧道两端会通过IKE协商建立IPsec隧道对隧道接口上传输的数据流进行IPsec保护。指定安全框架关联的ACL后,隧道接口上传输的数据流只有匹配ACL才会受到IPsec保护。
IPsec IPv4 模式下,安全框架关联IPv4 ACL。
IPsec IPv6 模式下,安全框架关联IPv6 ACL。
IPsec安全框架关联的ACL中不能配置vpn-instance参数,否则,此框架将无法发起IPsec协商。
在隧道接口上应用IPsec安全框架时,如果需要此IPsec隧道绑定VPN实例,请在该隧道接口上绑定VPN实例。因为,此种环境中IPsec SA中的VPN实例,由该隧道接口绑定的vpn-instance参数决定。
在SDWAN隧道接口上应用SDWAN方式的IPsec安全框架后,如果IPsec安全框架配置完整,SDWAN设备将创建本端IPsec SA,并通过SDWAN隧道将该IPsec SA通告给对端SDWAN设备,作为其对端IPsec SA。若对端设备需要向本端设备发送经过IPsec保护的报文,则对端设备需要使用该对端IPsec SA对报文进行加密,并发送给本端设备。本端设备采用本端创建的IPsec SA进行解密,并对未加密的报文进行丢弃。
由于IPsec SA是单向的,设备加密和解密采用不同的IPsec SA。通常情况下,本端IPsec SA仅用于解密,对端IPsec SA仅用于加密。
SDWAN类型的隧道接口仅支持profile参数,不支持配置ACL参数。
【举例】
# 配置使用IPsec安全框架prf1来保护接口Tunnel1的报文。
<Sysname> system-view
[Sysname] interface tunnel 1 mode advpn gre
[Sysname-Tunnel1] tunnel protection ipsec profile prf1
# 配置使用IPsec安全框架prf1来保护IPv4接口Tunnel1的报文,prf1与ACL 3000关联。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl 3000
# 配置使用IPsec安全框架prf1来保护IPv6接口Tunnel1的报文,prf1与IPv6 ACL 3000关联。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule 0 permit ipv6 source 1:1::/64 destination 2:2::/64
[Sysname-acl-ipv6-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec ipv6
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl ipv6 3000
# 配置使用SDWAN方式的IPsec安全框架保护SDWAN类型接口Tunnel1的报文。
<Sysname> system-view
[Sysname] interface tunnel 1 mode sdwan udp
[Sysname-Tunnel1] tunnel protection ipsec profile profile1
【相关命令】
· interface tunnel(VPN命令参考/隧道)
· display interface tunnel(VPN命令参考/隧道)
· ipsec profile
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
