06-VPN命令参考

08-IKE命令

1 IKE

非缺省vSystem不支持本特性的部分命令，具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

‌

1.1 IKE配置命令

1.1.1 aaa authorization

aaa authorization命令用来开启IKE的AAA授权功能。

undo aaa authorization命令用来关闭IKE的AAA授权功能。

【命令】

aaa authorization domain domain-name username user-name

undo aaa authorization

【缺省情况】

IKE的AAA授权功能处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

domain domain-name：申请授权属性时使用的ISP域名，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

username user-name：申请授权属性时使用的用户名，为1～55个字符的字符串，区分大小写。用户名不能携带域名，不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能为“a”、“al”或“all”。

【使用指导】

开启AAA授权功能后，IKE可以向AAA模块申请授权属性，例如IKE本地地址池属性。IKE模块使用指定的ISP域名和用户名向AAA模块发起授权请求，AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后，IKE本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。

【举例】

# 创建IKE profile，名称为profile1。

<Sysname> system-view

[Sysname] ike profile profile1

# 在IKE profile prof1中开启AAA授权功能，指定ISP域为abc，用户名为test。

[Sysname-ike-profile-profile1] aaa authorization domain abc username test

1.1.2 app-dev-info (IKE GDQUANTUM view)

app-dev-info命令用来配置设备唯一入网标识。

undo app-dev-info命令用来恢复缺省情况。

【命令】

app-dev-info app-dev-info

undo app-dev-info

本命令的支持情况与设备型号有关，请以设备的实际情况为准。

系列	型号	说明
F5000系列	F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2	支持
F5000系列	F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030	支持
F1000系列	F1000-AK9130、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1080-G、F1000-AK1050-G	不支持
F1000系列	F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G、F1000-AK1180-G	支持
插卡	LSEM1FWESD0	不支持

【缺省情况】

未配置设备唯一入网标识。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-dev-info：设备唯一入网标识，为9个字符的字符串，仅支持数字。

【使用指导】

非缺省vSystem不支持本命令。

设备唯一入网标识由国盾量子服务器统一分配，每个设备一个，且全网唯一。唯一入网标识和身份认证密钥（通过auth-key命令配置）一起用于登录国盾量子服务器。

设备唯一入网标识需要联系国盾量子服务器的管理员获取。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置设备唯一入网标识为185110851。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] app-dev-info 185110851

1.1.3 authentication-algorithm

authentication-algorithm命令用来指定IKE提议使用的认证算法。

undo authentication-algorithm命令用来恢复缺省情况。

【命令】

authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 | sm3 }

undo authentication-algorithm

【缺省情况】

IKE提议使用的认证算法为HMAC-SHA1

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

md5：指定认证算法为HMAC-MD5。

sha：指定认证算法为HMAC-SHA1。

sha256：指定认证算法为HMAC-SHA256。

sha384：指定认证算法为HMAC-SHA384。

sha512：指定认证算法为HMAC-SHA512。

sm3：指定认证算法为HMAC-SM3。

【举例】

# 指定IKE提议1的认证算法为HMAC-SHA1。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] authentication-algorithm sha

【相关命令】

· display ike proposal

1.1.4 authentication-method

authentication-method命令用来指定IKE提议使用的认证方法。

undo authentication-method命令用来恢复缺省情况。

【命令】

authentication-method { ecdsa-signature | dsa-signature | pre-share | rsa-de | rsa-signature | sm2-de }

undo authentication-method

【缺省情况】

IKE提议使用预共享密钥的认证方法。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ecdsa-signature：指定认证方法为ECDSA数字签名方法。

dsa-signature：指定认证方法为DSA数字签名方法。

pre-share：指定认证方法为预共享密钥方法。

rsa-de：指定认证方法为RSA数字信封方法。

rsa-signature：指定认证方法为RSA数字签名方法。

sm2-de：指定认证方法为SM2数字信封方法。

【使用指导】

认证方法分为预共享密钥认证、数字签名认证（包括RSA数字签名认证、DSA数字签名认证和ECDSA数字签名认证）和数字信封认证（包括RSA数字信封认证和SM2数字信封认证）。

· 预共享密钥认证机制简单、不需要证书，常在小型组网环境中使用；

· 数字签名认证安全性更高，常在“中心—分支”模式的组网环境中使用。例如，在“中心—分支”组网中使用预共享密钥认证进行IKE协商时，中心侧可能需要为每个分支配置一个预共享密钥，当分支很多时，配置会很复杂，而使用数字签名认证时中心只需配置一个PKI域；

· 数字信封认证用于设备需要符合国家密码管理局要求时使用，此认证方法只能在IKEv1的协商过程中支持。

协商双方必须有匹配的认证方法。

如果指定认证方法为RSA数字签名方法、DSA数字签名方法或者ECDSA数字签名方式，则还必须保证对端从CA（证书认证机构）获得数字证书。

如果指定认证方法为预共享密钥方法，必须使用pre-shared-key命令在两端配置相同的预共享密钥。

本命令配置不同参数时，需要注意：

· 在IKE提议下通过本命令配置ecdsa-signature、dsa-signature和rsa-signature参数时，若引用该IKE提议的IKE profile下未配置certificate domain命令引用PKI域，则设备会全局查找PKI域。

· 在IKE提议下通过本命令配置rsa-de和sm2-de参数时，若引用该IKE提议的IKE profile下未配置certificate domain命令引用PKI域，则设备不会全局查找PKI域。因此，在该情况下必须在IKE profile下配置certificate domain命令引用PKI域。

【举例】

# 指定IKE提议1的认证方法为预共享密钥。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] authentication-method pre-share

【相关命令】

· display ike proposal

· ike keychain

· pre-shared-key

1.1.5 auth-key

auth-key命令用来配置设备登录国盾量子服务器的身份认证密钥。

undo auth-key命令用来恢复缺省情况。

【命令】

auth-key { cipher | simple } key-value

undo auth-key

本命令的支持情况与设备型号有关，请以设备的实际情况为准。

系列	型号	说明
F5000系列	F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2	支持
F5000系列	F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030	支持
F1000系列	F1000-AK9130、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1080-G、F1000-AK1050-G	不支持
F1000系列	F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G、F1000-AK1180-G	支持
插卡	LSEM1FWESD0	不支持

【缺省情况】

未配置设备登录国盾量子服务器的身份认证密钥。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文的方式存储。

key-value：明文密钥为64个字符的字符串，区分大小写，每个字符为十六进制的数字；密文密钥为117个字符的字符串，区分大小写，每个字符为十六进制的数字。

【使用指导】

非缺省vSystem不支持本命令。

身份认证密钥用于国盾量子服务器验证设备身份，与设备唯一入网标识（通过app-dev-info命令配置）一一对应。当设备向国盾量子服务器发送登录请求时，只有携带了正确的设备唯一入网标识和身份认证密钥才能成功登录国盾量子服务器。

身份认证密钥需要联系国盾量子服务器的管理员获取。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置设备登录国盾量子服务器的身份认证密钥为明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0

1.1.6 certificate domain

certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。

undo certificate domain命令用来取消指定IKE协商时使用的PKI域。

【命令】

certificate domain domain-name

undo certificate domain domain-name

【缺省情况】

未指定用于IKE协商的PKI域。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

domain-name：PKI域的名称，为1～255个字符的字符串，不区分大小写。

【使用指导】

可通过多次执行本命令指定多个PKI域，一个IKE profile中最多可以引用六个PKI域。如果在IKE profile中指定了PKI域，则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域，则使用设备上配置的PKI域进行以上证书相关的操作。

IKE可以通过PKI自动获取CA证书、自动申请证书，对这种情况，有几点需要说明：

· 对于发起方：若在IKE profile中指定了PKI域，且PKI域中的证书申请为自动申请方式，则发起方会自动获取CA证书；若在IKE profile中没有指定PKI域，则发起方不会自动获取CA证书，需要手动获取CA证书。

· 对于响应方：第一阶段采用主模式的IKE协商时，响应方不会自动获取CA证书，需要手动获取CA证书；第一阶段采用野蛮模式的IKE协商时，若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域，且PKI域中的证书申请为自动申请方式，则会自动获取CA证书；否则，响应方不会自动获取CA证书，需要手动获取CA证书。

· 在IKE协商过程中先自动获取CA证书，再自动申请证书。若CA证书存在，则不获取CA证书，直接自动申请证书。

【举例】

# 在IKE profile 1中指定IKE协商时使用的PKI域。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] certificate domain abc

【相关命令】

· authentication-method

· pki domain（安全命令参考/PKI）

1.1.7 client-authentication

client-authentication命令用来开启对客户端的认证。

undo client-authentication命令用来关闭对客户端的认证。

【命令】

client-authentication xauth

undo client-authentication xauth

【缺省情况】

对客户端的认证处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

xauth：表示采用XAUTH （Extended Authentication within ISAKMP/Oakley）方式认证。

【使用指导】

在部署多分支远程访问企业中心的IPsec VPN应用时，为区别不同的客户端，通常需要中心侧的网管人员为每一个远程客户端设置不同IPsec策略和认证密码，此工作量巨大，也不方便管理。在中心侧开启了对客户端认证之后，远程客户端与中心侧设备进行IKE协商的过程中，中心侧设备可以利用RADIUS服务器来对客户端进行用户名和密码的验证，要求每个远程客户端在接入时，都需要提供不同的用户名和密码，这样可以简化中心侧的配置负担，保证了远程接入客户端的安全性。

【举例】

# 开启基于XAUTH方式的认证。

<Sysname> system-view

[Sysname] ike profile test

[Sysname-ike-profile-test] client-authentication xauth

【相关命令】

· local-user

1.1.8 client-authentication xauth

client-authentication xauth命令用来配置客户端认证所需的用户信息。

undo client-authentication xauth命令用来恢复缺省情况。

【命令】

client-authentication xauth { aaa-auth-server | user username password { cipher | simple } string }

undo client-authentication xauth { aaa-auth-server | user }

【缺省情况】

未配置客户端认证所需的用户信息。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aaa-auth-server：指定通过AAA服务器获取客户端认证所需的用户信息。

user：指定客户端认证使用的用户信息。

user-name：客户端认证使用的用户名称，为1～55个字符的字符串，区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能为“a”、“al”或“all”（不区分大小写）。

password：指定客户端认证使用的密码。

cipher：以密文方式设置密码。

simple：以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串。

【使用指导】

在多分支远程访问企业中心的IPsec VPN组网环境中，在企业分支侧可以通过以下两种方式配置用户信息，向企业中心侧发起扩展认证：

· 通过AAA服务器获取用户信息：此方式下，客户端需要通过AAA服务器获取用户身份信息，并发送至对端进行身份认证。当对端使用吉大服务器对客户端进行身份认证时，客户端需要配置为此方式。有关AAA的详细介绍，请参见“安全配置指导”中的“AAA”。

· 手工配置用户信息：此方式下，客户端将配置的用户名和密码发送至对端进行身份认证。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置客户端认证的用户名为abc，密文密码为123456TESTplat&!。

<Sysname> system-view

[Sysname] ike profile test

[Sysname-ike-profile-test] client-authentication xauth user abc password simple 123456TESTplat&!

# 配置通过AAA服务器获取用户信息，进行客户端认证。

<Sysname> system-view

[Sysname] ike profile abc

[Sysname-ike-profile-abc] client-authentication xauth aaa-auth-server

【相关命令】

· client-authentication

1.1.9 client source-udp-port dynamic

client source-udp-port dynamic命令用来配置发起方IKE协商使用的UDP源端口号为动态设置。

undo client source-udp-port dynamic命令用来恢复缺省情况。

【命令】

client source-udp-port dynamic

undo client source-udp-port dynamic

【缺省情况】

发起方IKE协商使用的UDP源端口号为500。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

本命令仅在发起方生效。

当发起方配置本命令后，发起方在IKE协商过程中将使用随机的UDP源端口号发送协商报文，响应方会根据收到的协商报文中的UDP端口号来发送接下来的协商报文。如果随机使用的UDP源端口号无法使IKE协商成功，IKE将再次随机使用一个UDP源端口号进行协商，直至协商成功。

正常情况下，IKE对等体之间协商IKE SA时，如果对等体之间存在NAT设备，IKE会将协商报文的UDP源和目的端口号都修改为4500。在某些组网环境中，网络中间设备会将UDP源端口号为4500的报文丢弃，从而导致IKE协商失败。将IKE协商报文的UDP源端口号设置为自动设置，可以避免IKE协商报文被网络中间设备丢弃。

修改本命令对已建立的IKE SA不影响。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在IKE profile prof1下，配置发起方IKE协商使用的UDP源端口号为动态设置。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] client source-udp-port dynamic

【相关命令】

· display ike sa

1.1.10 decrypt-quantum-key

decrypt-quantum-key命令用来配置国盾量子密钥的解密密钥。

undo decrypt-quantum-key命令用来恢复缺省情况。

【命令】

decrypt-quantum-key { cipher | simple } key-value

undo decrypt-quantum-key

本命令的支持情况与设备型号有关，请以设备的实际情况为准。

系列	型号	说明
F5000系列	F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2	支持
F5000系列	F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030	支持
F1000系列	F1000-AK9130、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1080-G、F1000-AK1050-G	不支持
F1000系列	F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G、F1000-AK1180-G	支持
插卡	LSEM1FWESD0	不支持

【缺省情况】

未配置国盾量子密钥的解密密钥。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文的方式存储。

key-value：明文密钥为64个字符的字符串，区分大小写，每个字符为十六进制的数字；密文密钥为117个字符的字符串，区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

设备成功登录国盾量子服务器后，可以主动申请量子密钥，申请的量子密钥为经过加密处理的密钥，需要通过本命令配置的解密密钥进行解密，解密之后的密钥才能供IPsec使用。

解密密钥需要联系国盾量子服务器的管理员获取。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置国盾量子密钥的解密密钥为明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0

1.1.11 description

description命令用来配置IKE提议的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在IKE提议的描述信息。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

text：IKE提议的描述信息，为1～80个字符的字符串，区分大小写。

【使用指导】

当系统中存在多个IKE提议时，可通过配置相应的描述信息来有效区分不同的IKE提议。

【举例】

# 配置序号为1的IKE提议的描述信息为test。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] description test

1.1.12 dh

dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。

undo dh命令用来恢复缺省情况。

【命令】

dh { group1 | group14 | group15 | group16 | group18 | group19 | group2 | group20 | group21 | group23 | group24 | group5 }

undo dh

【缺省情况】

IKE提议使用的DH密钥交换参数为group1，即768-bit的Diffie-Hellman group。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group1：指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。

group14：指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。

group15：指定密钥协商时采用3072-bit Diffie-Hellman组。

group16：指定密钥协商时采用4096-bit Diffie-Hellman组。

group18：指定密钥协商时采用8192-bit Diffie-Hellman组。

group19：指定阶段1密钥协商时采用256-bit的Diffie-Hellman group。

group2：指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。

group20：指定阶段1密钥协商时采用384-bit的Diffie-Hellman group。

group21：指定密钥协商时采用521-bit ECP模式Diffie-Hellman组。

group23：指定密钥协商时采用2048-bit和224-bit子群Diffie-Hellman组。

group24：指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

group5：指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。

【使用指导】

group1提供了最低的安全性，但是处理速度最快。group18提供了最高的安全性，但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性，但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。

【举例】

# 指定IKE提议1使用2048-bit的Diffie-Hellman group。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] dh group14

【相关命令】

· display ike proposal

1.1.13 display ike global-info

display ike global-info命令用来显示IKE模块全局信息。

【命令】

display ike global-info

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【使用指导】

显示当前设备上IKE模块相关全局运行数据。

【举例】

# 显示当前设备上IKE模块相关全局运行数据

<Sysname> display ike global-info

IKE identity type: FQDN

IKE identity: example.com

IKE dpd: on-demand

IKE dpd interval (seconds): 200

IKE dpd retry (seconds): 20

IKE invalid-spi-recovery: disable

IKE limit max-negotiating-sa: 1024

IKE limit max-sa: 512

IKE nat-keepalive (seconds): 60

IKE signature-identity from-certificate: disable

IKE keepalive timeout (seconds): 4096

IKE keepalive interval (seconds): 2048

表1-1 display ike global-info命令显示信息描述表

字段	描述
IKE identity type	IKE本端身份信息。取值包括： · IP-Address：以IP地址标识本端身份 · DN：使用从数字证书中获得的DN名作为本端身份 · FQDN：以FQDN名称标识本端身份 · User-FQDN：以User FQDN名称标识本端身份
IKE identity	IKE本端身份信息
IKE dpd	IKE DPD的探测模式。取值包括： · on-demand：指定按需探测模式 · periodic：指定定时探测模式
IKE dpd interval (seconds)	IKE DPD 探测间隔
IKE dpd retry (seconds)	IKE DPD 报文重传间隔
IKE invalid-spi-recovery	针对无效IPsec SPI的IKE SA恢复功能开启状态。取值包括： · disable：针对无效IPsec SPI的IKE SA恢复功能未开启 · enable：针对无效IPsec SPI的IKE SA恢复功能已开启
IKE limit max-negotiating-sa	允许同时处于协商状态的IKE一阶段和二阶段SA的最大总数
IKE limit max-sa	允许建立的IKE一阶段SA的最大数
IKE nat-keepalive (seconds)	向对端发送NAT Keepalive报文的间隔
IKE signature-identity from-certificate	设备使用由本端证书中获得的身份信息参与数字签名认证功能开启状态。取值包括： · disable：设备使用由本端证书中获得的身份信息参与数字签名认证功能未开启 · enable：设备使用由本端证书中获得的身份信息参与数字签名认证功能已开启
IKE keepalive timeout (seconds)	本端等待对端发送IKE Keepalive报文的超时时间
IKE keepalive interval (seconds)	通过IKE SA向对端发送IKE Keepalive报文的间隔

1.1.14 display ike proposal

display ike proposal命令用来显示所有IKE提议的配置信息。

【命令】

display ike proposal

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【使用指导】

IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议，则只显示缺省的IKE提议。

【举例】

# 显示IKE提议的配置信息。

<Sysname> display ike proposal

Priority Authentication Authentication Encryption Diffie-Hellman Duration

method algorithm algorithm group (seconds)

----------------------------------------------------------------------------

1 RSA-SIG MD5 DES-CBC Group 1 5000

11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000

default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400

表1-2 display ike proposal命令显示信息描述表

字段	描述
Priority	IKE提议的优先级
Authentication method	IKE提议使用的认证方法，包括： · DSA-SIG：DSA签名 · ECDSA-SIG：ECDSA签名 · PRE-SHARED-KEY：预共享密钥 · RSA-DE：RSA数字信封 · RSA-SIG：RSA签名 · SM2-DE：SM2数字信封
Authentication algorithm	IKE提议使用的认证算法，包括： · MD5：HMAC-MD5算法 · SHA1：HMAC-SHA1算法 · SHA256：HMAC-SHA256算法 · SHA384：HMAC-SHA384算法 · SHA512：HMAC-SHA512算法 · SM3：HMAC-SM3算法
Encryption algorithm	IKE提议使用的加密算法，包括： · 3DES-CBC：168位CBC模式的3DES算法 · AES-CBC-128：128位CBC模式的AES算法 · AES-CBC-192：192位CBC模式的AES算法 · AES-CBC-256：256位CBC模式的AES算法 · DES-CBC：56位CBC模式的DES算法 · SM1-CBC-128：128位CBC模式的SM1算法 · SM4-CBC：128位CBC模式的SM4算法
Diffie-Hellman group	IKE阶段1密钥协商时所使用的DH密钥交换参数，包括： · Group 1：DH group1 · Group 2：DH group2 · Group 5：DH group5 · Group 14：DH group14 · Group 19：DH group19 · Group 20：DH group20 · Group 24：DH group24
Duration (seconds)	IKE提议中指定的IKE SA存活时间，单位为秒

【相关命令】

· ike proposal

1.1.15 display ike sa

display ike sa命令用来显示当前IKE SA的信息。

【命令】

display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-instance-name ] ] | count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

verbose：显示当前IKE SA的详细信息。

connection-id connection-id：按照连接标识符显示IKE SA的详细信息，取值范围为1～2000000000。

remote-address：显示指定对端IP地址的IKE SA的详细信息。

ipv6：指定IPv6地址。

remote-address：对端的IP地址。

vpn-instance vpn-instance-name：显示指定VPN实例内的IKE SA的详细信息，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定该参数，则表示显示的IKE SA属于公网。

count：显示IKE SA的数量。

【使用指导】

若不指定任何参数，则显示当前所有IKE SA的摘要信息。

【举例】

# 显示当前所有IKE SA的摘要信息。

<Sysname> display ike sa

Connection-ID Local Remote Flag DOI

---------------------------------------------------------------

1 10.1.1.2 202.38.0.2/500 RD IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 显示当前所有IKE SA的摘要信息。‌

<Sysname> display ike sa

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

ID Profile Remote Flag Remote-Type Remote-ID

------------------------------------------------------------------------

13 1 2.1.1.2 RD IPV4_ADDR 2.1.1.2

表1-3 display ike sa命令显示信息描述表

字段	描述
Connection-ID	IKE SA的标识符
Local	此IKE SA的本端的IP地址
Remote	此IKE SA的对端的IP地址
Flags	IKE SA的状态，包括： · RD--READY：表示此IKE SA已建立成功 · RL--REPLACED：表示此IKE SA已经被新的IKE SA代替，一段时间后将被删除 · FD-FADING：表示此IKE SA正在接近超时时间，目前还在使用，但即将被删除 · RK-REKEY：表示此IKE SA是Rekey SA · Unknown：表示IKE协商的状态未知‌
DOI	IKE SA所属解释域，包括： · IPsec：表示此IKE SA使用的DOI为IPsec DOI
ID	表示IKE SA的标识符
Profile	IKE SA协商过程中匹配到的IKE profile的名称，如果协商过程中没有匹配到任何IKE profile，则该字段不会显示任何KE profile名称
Remote-Type	对端安全网关的身份信息类型
Remote-ID	对端安全网关的身份信息

# 显示当前IKE SA的详细信息。

<Sysname> display ike sa verbose

---------------------------------------------

Connection ID: 2

Outside VPN: 1

Inside VPN: 1

Profile: prof1

Transmitting entity: Initiator

Initiator cookie: 1bcf453f0a217259

Responder cookie: 5e32a74dfa66a0a4

Output interface name: 2

---------------------------------------------

Local IP/port: 4.4.4.4/500

Local ID type: IPV4_ADDR

Local ID: 4.4.4.4

Remote IP/port: 4.4.4.5/500

Remote ID type: IPV4_ADDR

Remote ID: 4.4.4.5

Authentication-method: PRE-SHARED-KEY

Authentication-algorithm: SHA1

Encryption-algorithm: AES-CBC-128

Life duration(sec): 86400

Remaining key duration(sec): 86379

Exchange-mode: Main

Diffie-Hellman group: Group 1

NAT traversal: Not detected

Extend authentication: Enabled

Assigned IP address: 192.168.2.1

Vendor ID index: 0xa1d

Vendor ID sequence number: 0x0

# 显示目的地址为4.4.4.5的IKE SA的详细信息。

<Sysname> display ike sa verbose remote-address 4.4.4.5

---------------------------------------------

Connection ID: 2

Outside VPN: 1

Inside VPN: 1

Profile: prof1

Transmitting entity: Initiator

Initiator cookie: 1bcf453f0a217259

Responder cookie: 5e32a74dfa66a0a4

---------------------------------------------

Local IP/port: 4.4.4.4/500

Local ID type: IPV4_ADDR

Local ID: 4.4.4.4

Remote IP/port: 4.4.4.5/500

Remote ID type: IPV4_ADDR

Remote ID: 4.4.4.5

Authentication-method: PRE-SHARED-KEY

Authentication-algorithm: SHA1

Encryption-algorithm: AES-CBC-128

Life duration(sec): 86400

Remaining key duration(sec): 86379

Exchange-mode: Main

Diffie-Hellman group: Group 1

NAT traversal: Not detected

Extend authentication: Enabled

Assigned IP address: 192.168.2.1

Vendor ID index: 0xa1d

Vendor ID sequence number: 0x0

表1-4 display ike sa verbose命令显示信息描述表

字段	描述
Connection ID	IKE SA的标识符
Outside VPN	接收报文的接口所属的MPLS L3VPN的VPN实例名称
Inside VPN	被保护数据所属的MPLS L3VPN的VPN实例名称
Profile	IKE SA协商过程中匹配到的IKE profile的名称，如果协商过程中没有匹配到任何profile，则该字段不会显示任何KE profile名称
Transmitting entity	IKE协商中的实体角色，包括： · Initiator：发起方 · Responder：响应方
Initiator cookie	IKE SA发起者Cookie
Responder cookie	IKE SA响应者Cookie
Output interface name	IKE协商报文的出接口名称
Local IP/port	本端安全网关的IP地址和端口号
Local ID type	本端安全网关的身份信息类型
Local ID	本端安全网关的身份信息
Remote IP/port	对端安全网关的IP地址和端口号
Remote ID type	对端安全网关的身份信息类型
Remote ID	对端安全网关的身份信息
Authentication-method	IKE提议使用的认证方法，包括： · DSA-SIG：DSA签名 · ECDSA-SIG：ECDSA签名 · PRE-SHARED-KEY：预共享密钥 · RSA-DE：RSA数字信封 · RSA-SIG：RSA签名 · SM2-DE：SM2数字信封
Authentication-algorithm	IKE提议使用的认证算法，包括： · MD5：HMAC-MD5算法 · SHA1：HMAC-SHA1算法 · SHA256：HMAC-SHA256算法 · SHA384：HMAC-SHA384算法 · SHA512：HMAC-SHA512算法 · SM3：HMAC-SM3算法
Encryption-algorithm	IKE提议使用的加密算法，包括： · 3DES-CBC：168位CBC模式的3DES算法 · AES-CBC-128：128位CBC模式的AES算法 · AES-CBC-192：192位CBC模式的AES算法 · AES-CBC-256：256位CBC模式的AES算法 · DES-CBC：56位CBC模式的DES算法 · SM1-CBC-128：128位CBC模式的SM1算法 · SM4-CBC：128位CBC模式的SM4算法
Life duration(sec)	IKE SA的存活时间，单位为秒
Remaining key duration(sec)	IKE SA的剩余存活时间，单位为秒
Exchange-mode	IKE第一阶段的协商模式，包括： · Aggressive：野蛮模式 · GM-main：国密主模式 · Main：主模式
Diffie-Hellman group	IKE第一阶段密钥协商时所使用的DH密钥交换参数，包括： · Group 1：DH group1 · Group 2：DH group2 · Group 5：DH group5 · Group 14：DH group14 · Group 19：DH group19 · Group 20：DH group20 · Group 24：DH group24 若IKE第一阶段协商模式为国密主模式，则不显示此字段
NAT traversal	是否检测到协商双方之间存在NAT网关设备
Extend authentication	是否开启扩展认证： · Enabled：开启 · Disabled：关闭
Assigned IP address	本端分配给对端的IP地址，如果没有分配则不显示
Vendor ID index	触发IKE协商时，使用的厂商自定义常量索引
Vendor ID sequence number	触发IKE协商时，使用的厂商自定义常量序列号

# 显示当前IKE SA的数量。

<Sysname> display ike sa count

Total: 10

Established: 6

Negotiating: 4

表1-5 display ike sa count命令显示信息描述表

字段	描述
Total	所有IKE SA个数总和
Established	已经协商成功的IKE SA个数
Negotiating	正在协商的IKE SA个数

1.1.16 display ike statistics

display ike statistics命令用来显示IKE的统计信息。

【命令】

display ike statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【举例】

# 显示IKE的统计信息。

<Sysname> display ike statistics

IKE statistics:

No matching proposal: 0

Invalid ID information: 0

Unavailable certificate: 0

Unsupported DOI: 0

Unsupported situation: 0

Invalid proposal syntax: 0

Invalid SPI: 0

Invalid protocol ID: 0

Invalid certificate: 0

Authentication failure: 0

Invalid flags: 0

Invalid message id: 0

Invalid cookie: 0

Invalid transform ID: 0

Malformed payload: 0

Invalid key information: 0

Invalid hash information: 0

Unsupported attribute: 0

Unsupported certificate type: 0

Invalid certificate authority: 0

Invalid signature: 0

Unsupported exchange type: 0

No available SA: 1

Retransmit timeout: 0

Not enough memory: 0

Enqueue fails: 0

Failures to send R_U_THERE DPD packets: 0

Failures to receive R_U_THERE DPD packets: 0

Failures to send ACK DPD packets: 0

Failures to receive ACK DPD packets: 0

Sent P1 SA lifetime change packets: 0

Received P1 SA lifetime change packets: total=0, process failures=0 (no SA=0, failures to reset SA soft lifetime=0, failures to reset SA hard lifetime=0)

Sent P2 SA lifetime change packets: 0

Received P2 SA lifetime change packets: total=0, process failures=0

In packets: 0

In dropped packets: 0

Out packets: 0

Out dropped packets: 0

Packets enqueued: 0

Packets processed: 0

表1-6 display ike statistics命令显示信息描述表

字段		描述
No matching proposal		提议不匹配
Invalid ID information		无效的ID信息
Unavailable certificate		本地未发现此证书
Unsupported DOI		不支持的DOI
Unsupported situation		不支持的形式
Invalid proposal syntax		无效的提议语法
Invalid SPI		无效的SPI
Invalid protocol ID		无效的协议ID
Invalid certificate		无效的证书
Authentication failure		认证失败
Invalid flags		无效的标记
Invalid message id		无效的消息ID
Invalid cookie		无效的cookie
Invalid transform ID		无效的transform ID
Malformed payload		畸形载荷
Invalid key information		无效的密钥信息
Invalid hash information		无效的hash信息
Unsupported attribute		不支持的属性
Unsupported certificate type		不支持的证书类型
Invalid certificate authority		无效的证书授权
Invalid signature		无效的签名
Unsupported exchange type		不支持的交换类型
No available SA		没有可用的SA
Retransmit timeout		重传超时
Not enough memory		内存不足
Enqueue fails		入队列失败
Failures to send R_U_THERE DPD packets		发送R_U_THERE类型DPD报文失败的次数
Failures to receive R_U_THERE DPD packets		接收R_U_THERE类型DPD报文失败的次数
Failures to send ACK DPD packets		发送DPD ACK报文失败的次数
Failures to receive ACK DPD packets		接收DPD ACK报文失败的次数
Sent P1 SA lifetime change packets		发送P1阶段改变生存周期的info类型报文的个数
Received P1 SA lifetime change packets: total=N, process failures=N (no SA=N, failures to reset SA soft lifetime=N, failures to reset SA hard lifetime=N)		接收P1阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数 ¡ 因为没有sa记录的个数 ¡ 软超时定时器流程处理失败的个数生存时间定时器流程处理失败的个数
Sent P2 SA lifetime change packets		发送P2阶段改变生存周期的info类型报文的个数
Received P2 SA lifetime change packets: total=N, process failures=N		接收P2阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数
In packets		设备接收的IKE报文总数，由于报文尚未解析，因此包括IKEv1和IKEv2报文
In dropped packets		设备接收报文时，丢弃的报文总数
Out packets		设备发送的报文总数
Out dropped packets		设备发送报文时，丢弃的报文总数
Packets enqueued	等待处理的报文总数
Packets processed		当前已处理的报文总数

【相关命令】

· reset ike statistics

1.1.17 dpd

dpd命令用来配置IKE DPD功能。

undo dpd命令用来关闭IKE DPD功能。

【命令】

dpd interval interval [ retry seconds ] { on-demand | periodic }

undo dpd interval

【缺省情况】

IKE DPD功能处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interval interval：指定触发IKE DPD探测的时间间隔，取值范围为1～300，单位为秒。对于按需探测模式，指定经过多长时间没有从对端收到IPsec报文，则触发一次DPD探测；对于定时探测模式，指触发一次DPD探测的时间间隔。

retry seconds：指定DPD报文的重传时间间隔，取值范围为1～60，单位为秒。缺省情况下，DPD报文的重传时间间隔为5秒。

on-demand：指定按需探测模式，根据流量来探测对端是否存活，在本端发送用户报文时，如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔，则触发DPD探测。

periodic：指定定时探测模式，按照触发IKE DPD探测的时间间隔定时探测对端是否存活。

【使用指导】

IKE DPD有两种模式：按需探测模式和定时探测模式。一般若无特别要求，建议使用按需探测模式，在此模式下，仅在本端需要发送报文时，才会触发探测；如果需要尽快地检测出对端的状态，则可以使用定时探测模式。在定时探测模式下工作，会消耗更多的带宽和计算资源，因此当设备与大量的IKE对端通信时，应优先考虑使用按需探测模式。

如果IKE profile视图下和系统视图下都配置了IKE DPD功能，则IKE profile视图下的DPD配置生效，如果IKE profile视图下没有配置IKE DPD功能，则采用系统视图下的DPD配置。

建议配置的interval时间大于retry时间，使得直到当前DPD探测结束才可以触发下一次DPD探测，在重传DPD报文过程中不会触发新的DPD探测。

【举例】

# 为IKE profile 1配置IKE DPD功能，指定若10秒内没有从对端收到IPsec报文，则触发IKE DPD探测，DPD请求报文的重传时间间隔为5秒，探测模式为按需探测。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand

【相关命令】

· ike dpd

1.1.18 encryption-algorithm

encryption-algorithm命令用来指定IKE提议使用的加密算法。

undo encryption-algorithm命令用来恢复缺省情况。

【命令】

encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | sm1-cbc-128 | sm4-cbc }

undo encryption-algorithm

【缺省情况】

IKE提议使用的加密算法为des-cbc，即CBC模式的56-bit DES加密算法。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

3des-cbc：指定IKE安全提议采用的加密算法为CBC模式的3DES算法，3DES算法采用168比特的密钥进行加密。

aes-cbc-128：指定IKE安全提议采用的加密算法为CBC模式的AES算法，AES算法采用128比特的密钥进行加密。

aes-cbc-192：指定IKE安全提议采用的加密算法为CBC模式的AES算法，AES算法采用192比特的密钥进行加密。

aes-cbc-256：指定IKE安全提议采用的加密算法为CBC模式的AES算法，AES算法采用256比特的密钥进行加密。

des-cbc：指定IKE安全提议采用的加密算法为CBC模式的DES算法，DES算法采用56比特的密钥进行加密。

sm1-cbc-128：指定IKE安全提议采用的加密算法为CBC模式的SM1算法，SM1算法采用128比特的密钥进行加密。

sm4-cbc：指定IKE安全提议采用的加密算法为CBC模式的SM4算法，SM4算法采用128比特的密钥进行加密。

【举例】

# 指定IKE提议1的加密算法为128比特的CBC模式的AES。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128

【相关命令】

· display ike proposal

1.1.19 exchange-mode

exchange-mode命令用来选择IKE第一阶段的协商模式。

undo exchange-mode命令用来恢复缺省情况。

【命令】

exchange-mode { aggressive | gm-main | main }

undo exchange-mode

【缺省情况】

IKE第一阶段的协商模式为主模式。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aggressive：野蛮模式。

gm-main：国密主模式。

main：主模式。

【使用指导】

当本端的IP地址为自动获取（如本端用户为拨号方式，IP地址为动态分配），且采用预共享密钥认证方式时，建议将本端的协商模式配置为野蛮模式。

本端的协商模式配置为国密主模式，必须使用RSA-DE或者SM2-DE数字信封方式认证。

本端作为响应方时，将自动适配发起方的协商模式。

【举例】

# 配置IKE第一阶段协商使用国密主模式。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] exchange-mode gm-main

# 配置IKE第一阶段协商使用主模式。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] exchange-mode main

【相关命令】

· display ike proposal

1.1.20 ike address-group

ike address-group命令用来配置为对端分配IPv4地址的IKE本地地址池。

undo ike address-group命令用来删除指定的IKE本地地址池。

【命令】

ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]

undo ike address-group group-name

【缺省情况】

未配置IKE本地IPv4地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group-name：IPv4地址池名称，为1～63个字符的字符串，不区分大小写。

start-ipv4-address end-ipv4-address：IPv4地址池的地址范围。其中，start-ipv4-address为IPv4地址池的起始地址，end-ipv4-address为IPv4地址池的结束地址。

mask：IPv4地址掩码。

mask-length：IPv4地址掩码长度。

【使用指导】

每个地址池中包括的IPv4地址的最大数目为30000。

如果修改或者删除地址池，则需要删除所有的IKE SA和IPsec SA，否则，可能会导致已经分配的地址无法回收。

【举例】

# 配置IKE本地IPv4地址池，名称为ipv4group，地址池范围为1.1.1.1～1.1.1.2，掩码为255.255.255.0。

<Sysname> system-view

[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0

# 配置IKE本地IPv4地址池，名称为ipv4group，地址池范围为1.1.1.1～1.1.1.2，掩码长度为32。

<Sysname> system-view

[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32

【相关命令】

· aaa authorization

1.1.21 ike compatible-gm-main enable

ike compatible-gm-main enable命令用来配置IKE协商国密主模式与老版本设备兼容。

undo ike compatible-gm-main enable命令用来恢复缺省情况。

【命令】

ike compatible-gm-main enable

undo ike compatible-gm-main enable

【缺省情况】

IKE协商国密主模式与现有版本设备及第三方设备兼容。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

同一时间，设备的IKE协商国密主模式只能兼容老版本设备，或兼容现有版本和第三方设备。

【举例】

# 配置IKE协商国密主模式与老版本设备兼容。

<Sysname> system-view

[Sysname] ike compatible-gm-main enable

1.1.22 ike compatible-sm4 enable

ike compatible-sm4 enable命令用来设置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。

undo ike compatible-sm4 enable命令用来恢复缺省情况。

【命令】

ike compatible-sm4 enable

undo ike compatible-sm4 enable

【缺省情况】

IKE协商过程中使用的sm4-cbc算法的密钥长度不兼容老版本。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

【举例】

# 配置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。

<Sysname> system-view

[Sysname] ike compatible-sm4 enable

1.1.23 ike dpd

ike dpd命令用来配置全局IKE DPD功能。

undo ike dpd命令用来关闭全局IKE DPD功能。

【命令】

ike dpd interval interval [ retry seconds ] { on-demand | periodic }

undo ike dpd interval

【缺省情况】

全局IKE DPD功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

retry seconds：指定DPD报文的重传时间间隔，取值范围为1～60，单位为秒，缺省值为5秒。

on-demand：指定按需探测模式，根据流量来探测对端是否存活，在本端发送IPsec报文时，如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔（即通过interval指定的时间），则触发DPD探测。

periodic：指定定时探测模式，按照触发IKE DPD探测的时间间隔（即通过interval指定的时间）定时探测对端是否存活。

【使用指导】

如果IKE profile视图下和系统视图下都配置了DPD探测功能，则IKE profile视图下的DPD配置生效，如果IKE profile视图下没有配置DPD探测功能，则采用系统视图下的DPD配置。

建议配置的interval大于retry，使得直到当前DPD探测结束才可以触发下一次DPD探测，在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 配置流量触发IKE DPD探测间隔时间为10秒，重传时间间隔为5秒，探测模式为按需探测。

<Sysname> system-view

[Sysname] ike dpd interval 10 retry 5 on-demand

【相关命令】

· dpd

1.1.24 ike dual-active address-alloc

ike dual-active address-alloc命令用来指定HA中主、从管理设备可以使用的IKE地址池范围。

undo ike dual-active address-alloc命令用来恢复缺省情况。

【命令】

ike dual-active address-alloc { primary | secondary }

undo ike dual-active address-alloc

【缺省情况】

HA中的主、从管理设备共用IKE地址池资源。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

primary：使用IKE地址池中的前半段地址。

secondary：使用IKE地址池中的后半段地址。

【使用指导】

非缺省vSystem不支持本命令。

配置或修改本命令均会导致使用了IKE地址池中地址的IKE SA及其对应的IPsec SA被删除，请谨慎操作。

应用场景

在双主模式的HA组网中，主、备设备同时处理业务，如果使用了相同的IKE本地地址池为对端分配地址，则会出现客户端地址冲突问题。

为了避免以上情况的发生，需要在主、从管理设备上分别配置可以使用的IKE地址池范围。例如，在HA主管理设备上配置ike dual-active address-alloc primary命令，使得HA主管理设备仅可以使用全部IKE地址池中的前半段地址；在HA从管理设备上配置ike dual-active address-alloc secondary命令，使得HA从管理设备仅可以使用全部IKE地址池中的后半段地址。有关HA的详细介绍，请参见“高可靠性配置指导”中的“双机热备（RBM）”。

注意事项

在主备模式的HA组网中，仅一台设备处理业务，不会出现IKE地址池中地址分配冲突，因此无需配置本功能，若配置了本功能将会导致部分地址无法使用。

配置本功能时，需要保证IKE地址池中的地址数量不少于两个，否则可能会导致设备无法为对端分配地址。

【举例】

# 在HA双主组网环境中指定主管理设备使用IKE地址池中的前半段地址。

<Sysname> system-view

[Sysname] ike dual-active address-alloc primary

Please ensure that no addresses have been assigned from address pools to IKE SAs.

The commmand will cause the IKE SAs with the assigned addresses to be deleted.

Continue?[Y/N]y

【相关命令】

· ike address-group

· ike ipv6-address-group

1.1.25 ike gd-quantum

ike gd-quantum命令用来开启国盾量子加密功能，并进入IKE GDQUANTUM视图。

undo ike gd-quantum命令用来关闭国盾量子加密功能。

【命令】

ike gd-quantum

undo ike gd-quantum

本命令的支持情况与设备型号有关，请以设备的实际情况为准。

系列	型号	说明
F5000系列	F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2	支持
F5000系列	F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030	支持
F1000系列	F1000-AK9130、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1080-G、F1000-AK1050-G	不支持
F1000系列	F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G、F1000-AK1180-G	支持
插卡	LSEM1FWESD0	不支持

【缺省情况】

国盾量子加密功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启国盾量子加密功能后，IPsec将使用国盾量子服务器提供的对称密钥，对需要IPsec保护的数据进行加密保护，进一步提升IPsec业务的安全性。

设备从国盾量子服务器获取密钥的过程如下：

(1) 连接国盾量子服务器：IKE GDQUANTUM视图下的所有命令配置完成后，设备将与指定的国盾量子服务器建立连接。

(2) 登录国盾量子服务器：建立连接后，设备将向国盾量子服务器发送登录请求，并携带唯一入网标识和身份认证密钥，只有上述参数验证无误后，才能成功登录国盾量子服务器。

(3) 获取国盾量子密钥：登录成功后，设备将在IKE一阶段协商完成后，向国盾量子服务器获取经过加密的量子密钥，然后再通过设备上配置的解密密钥进行解密，最终得到供IPsec使用的量子密钥。

开启国盾量子加密功能的同时，将进入IKE GDQUANTUM视图，该视图用于配置国盾量子服务器的IP地址和端口号、国盾量子服务器为设备分配的唯一入网标识和身份认证密钥，以及国盾量子密钥的解密密钥。

【举例】

# 开启国盾量子加密功能，并进入IKE GDQUANTUM视图。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum]

1.1.26 ike gm-main global-ike-version

ike gm-main global-ike-version命令用来配置IKE国密主模式协商时使用的全局国密IKE协议版本号。

undo ike gm-main global-ike-version命令用来恢复缺省情况。

【命令】

ike gm-main global-ike-version { 1.0 | 1.1 }

undo ike gm-main global-ike-version

【缺省情况】

IKE国密主模式协商时使用的全局国密IKE协议版本号为1.1。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

1.0：指定全局国密IKE协议版本号为1.0，即采用2008年发布的IPsec VPN技术规范。

1.1：指定全局国密IKE协议版本号为1.1，即采用GM/T 0022-2014 IPsec VPN技术规范。

【使用指导】

设备作为发起方与其他厂家设备进行IKE协商时，如果两端设备支持的国密IKE协议版本存在差异，需要通过本命令指定国密IKE协议版本号，保证两端设备使用相同版本的国密IKE协议进行协商。

本命令仅在新协商IKE SA时生效，对已协商成功的IKE SA不起作用。

当系统视图和IKE profile视图下均配置了国密IKE协议版本号，则以IKE profile视图下的配置为准。

【举例】

# 配置IKE国密主模式协商时使用的全局国密IKE协议版本号为1.0。

<Sysname> system-view

[Sysname] ike gm-main global-ike-version 1.0

【相关命令】

· ike gm-main ike-version

1.1.27 ike gm-main ike-version

ike gm-main ike-version命令用来配置IKE国密主模式协商时使用的国密IKE协议版本号。

undo ike gm-main ike-version命令用来恢复缺省情况。

【命令】

ike gm-main ike-version { 1.0 | 1.1 }

undo ike gm-main ike-version

【缺省情况】

国密IKE协议版本号与全局配置的国密IKE协议版本号一致。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

1.0：指定国密IKE协议版本号为1.0，即采用2008年发布的IPsec VPN技术规范。

1.1：指定国密IKE协议版本号为1.1，即采用GM/T 0022-2014 IPsec VPN技术规范。

【使用指导】

本命令仅在新协商IKE SA时生效，对已协商成功的IKE SA不起作用。

当系统视图和IKE profile视图下均配置了国密IKE协议版本号，则以IKE profile视图下的配置为准。

【举例】

# 在IKE profile视图下，配置IKE国密主模式协商时使用的国密IKE协议版本号为1.0。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] ike gm-main ike-version 1.0

【相关命令】

· ike gm-main global-ike-version

1.1.28 ike gm-main sm4-version

ike gm-main sm4-version命令用来配置IKE国密主模式协商时使用的SM4算法版本。

undo ike gm-main sm4-version命令用来恢复缺省情况。

【命令】

ike gm-main sm4-version { draft | standard }

undo ike gm-main sm4-version

【缺省情况】

IKE国密主模式协商时使用的SM4算法版本为standard。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

draft：指定SM4算法的版本为草案版本，SM4算法的属性值为127。

standard：指定SM4算法的版本为标准版本，SM4算法的属性值为129。

【使用指导】

由于SM4算法的版本存在差异，设备作为发起方与其他厂家设备进行IKE协商时，需要通过本命令指定SM4算法版本，保证两端设备使用相同版本的SM4算法进行协商。

本命令仅在新协商IKE SA时生效，对已协商成功的IKE SA不起作用。

【举例】

# 在IKE profile视图下，配置IKE国密主模式协商时使用的SM4算法版本为draft，即草案版本。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] ike gm-main sm4-version draft

1.1.29 ike identity

ike identity命令用来配置本端身份信息，用于在IKE认证协商阶段向对端标识自己的身份。

undo ike identity命令用来恢复缺省情况。

【命令】

ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }

undo ike identity

【缺省情况】

使用IP地址标识本端的身份，该IP地址为IPsec策略应用的接口IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address { ipv4-address | ipv6 ipv6-address }：指定标识本端身份的IP地址，其中ipv4-address为标识本端身份的IPv4地址，ipv6-address为标识本端身份的IPv6地址。

dn：使用从数字证书中获得的DN名作为本端身份。

fqdn fqdn-name：指定标识本端身份的FQDN名称，fqdn-name表示FQDN名称，为1～255个字符的字符串，区分大小写，例如test.example.com。不指定fqdn-name时，则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。

user-fqdn user-fqdn-name：指定标识本端身份的User FQDN名称，user-fqdn-name表示User FQDN名称，为1～255个字符的字符串，区分大小写，例如[email protected]。不指定user-fqdn-name时，则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。

【使用指导】

本命令用于全局配置IKE对等体的本端身份，适用于所有IKE SA的协商，而IKE profile下的local-identity为局部配置身份，仅适用于使用本IKE profile的IKE SA的协商。

如果本端的认证方式为数字签名方式，则本端可以配置任何类型的身份信息；如果本端的认证方式为预共享密钥方式，则只能配置除DN之外的其它类型的身份信息。

如果希望在采用数字签名认证时，总是从证书中的主题字段取得本端身份，则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate，并且IPsec策略或IPsec策略模板下指定的IKE profile中配置了本端身份（由local-identity命令指定），则使用IKE profile中配置的本端身份；若IPsec策略或IPsec策略模板下未指定IKE profile或IKE profile下没有配置本端身份，则使用全局配置的本端身份（由ike identity命令指定）。

野蛮模式下，如果本端的认证方式为数字签名方式，且配置的本端身份为DN名，则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商，则必须在系统视图下配置ike signature-identity from-certificate命令。

【举例】

# 指定使用IP地址2.2.2.2标识本端身份。

<sysname> system-view

[sysname] ike identity address 2.2.2.2

【相关命令】

· local-identity

· ike signature-identity from-certificate

1.1.30 ike invalid-spi-recovery enable

ike invalid-spi-recovery enable命令用来开启针对无效IPsec SPI的IKE SA恢复功能。

undo ike invalid-spi-recovery enable命令用来关闭针对无效IPsec SPI的IKE SA恢复功能。

【命令】

ike invalid-spi-recovery enable

undo ike invalid-spi-recovery enable

【缺省情况】

针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

在ADVPN组网环境下，不支持本功能，有关ADVPN的详细介绍，请参见“三层技术-IP业务配置指导”中的“ADVPN”。

当IPsec隧道一端的安全网关出现问题（例如安全网关重启）导致本端IPsec SA丢失时，会造成IPsec流量黑洞现象：一端（接收端）的IPsec SA已经完全丢失，而另一端（发送端）还持有对应的IPsec SA且不断地向对端发送报文，当接收端收到发送端使用此IPsec SA封装的IPsec报文时，就会因为找不到对应的SA而持续丢弃报文，形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复（只有等到发送端旧的IPsec SA生存时间超时，并重建IPsec SA后，两端的IPsec流量才能得以恢复），因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。

SA由SPI唯一标识，接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA，若接收方找不到处理该报文的IPsec SA，则认为此报文的SPI无效。如果接收端当前存在IKE SA，则会向对端发送删除对应IPsec SA的通知消息，发送端IKE接收到此通知消息后，就会立即删除此无效SPI对应的IPsec SA。之后，当发送端需要继续向接收端发送报文时，就会触发两端重建IPsec SA，使得中断的IPsec通信链路得以恢复；如果接收端当前不存在IKE SA，就不会触发本端向对端发送删除IPsec SA的通知消息，接收端将默认丢弃无效SPI的IPsec 报文，使得链路无法恢复。后一种情况下，如果开启了IPsec无效SPI恢复IKE SA功能，就会触发本端与对端协商新的IKE SA并发送删除消息给对端，从而使链路恢复正常。

由于开启此功能后，若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备，会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS（Denial of Service）攻击的风险，通常情况下，建议关闭针对无效IPsec SPI的IKE SA恢复功能。

设备采用IPsec策略模板方式建立IPsec SA时，本命令不生效。

【举例】

# 开启IPsec无效SPI恢复IKE SA功能。

<Sysname> system-view

[Sysname] ike invalid-spi-recovery enable

1.1.31 ike ipv6-address-group

ike ipv6-address-group命令用来创建IKE本地IPv6地址池。

undo ike ipv6-address-group命令用来删除指定的地址池。

【命令】

ike ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len

undo ike ipv6-address-group group-name

【缺省情况】

不存在IKE本地IPv6地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group-name：IPv6地址池名称，为1～63个字符的字符串，不区分大小写。

prefix prefix/prefix-len：指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度，其中，prefix-len取值范围为1～128。

assign-len assign-len：指定地址池分配给对端的前缀长度。assign-len的取值范围为1～128，必须大于或等于prefix-len，且与prefix-len之差小于或等于16。

【使用指导】

本命令创建的地址池用来为对端分配IPv6地址。与IPv4地址池不同，IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。

所有IKE本地IPv6地址池包含的前缀范围之间不能重叠，即前缀范围不能相交也不能相互包含。

【举例】

# 创建IKE本地IPv6地址池，名称为ipv6group，前缀为1:1::，前缀长度为64，分配给使用者的前缀长度为80。

<Sysname> system-view

[Sysname] ike ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80

【相关命令】

· aaa authorization

1.1.32 ike keepalive interval

ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。

undo ike keepalive interval命令用来恢复缺省情况。

【命令】

ike keepalive interval interval

undo ike keepalive interval

【缺省情况】

不向对端发送IKE Keepalive报文。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interval：指定向对端发送IKE SA的Keepalive报文的时间间隔，取值范围为20～28800，单位为秒。

【使用指导】

当有检测对方IKE SA和IPsec SA是否存活的需求时，通常建议配置IKE DPD，不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性，但支持IKE Keepalive功能时，才考虑配置IKE Keepalive功能。

本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失，所以，本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。

【举例】

# 配置本端向对端发送Keepalive报文的时间间隔为200秒。

<Sysname> system-view

[Sysname] ike keepalive interval 200

【相关命令】

· ike keepalive timeout

1.1.33 ike keepalive timeout

ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。

undo ike keepalive timeout命令用来恢复缺省情况。

【命令】

ike keepalive timeout seconds

undo ike keepalive timeout

【缺省情况】

未配置本端等待对端发送IKE Keepalive报文的超时时间。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds：指定本端等待对端发送IKE Keepalive报文的超时时间，取值范围为20～28800，单位为秒。

【使用指导】

当本端IKE SA在配置的超时时间内未收到IKE Keepalive报文时，则删除该IKE SA以及由其协商的IPsec SA。

本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失，所以，本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。

【举例】

# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。

<Sysname> system-view

[Sysname] ike keepalive timeout 20

【相关命令】

· ike keepalive interval

1.1.34 ike keychain

ike keychain命令用来创建IKE keychain，并进入IKE keychain视图。如果指定的IKE keychain已经存在，则直接进入IKE keychain视图。

undo ike keychain命令用来删除指定的IKE keychain。

【命令】

ike keychain keychain-name [ vpn-instance vpn-instance-name ]

undo ike keychain keychain-name [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在IKE keychain。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keychain-name：IKE keychain的名称，为1～63个字符的字符串，不区分大小写。

vpn-instance vpn-instance-name：指定IKE keychain所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。创建IKE keychain视图时，如果不指定该参数，则表示IKE keychain属于公网。删除IKE keychain视图时，如果指定该参数，则必须和创建时指定的参数保持一致才能删除，如果不指定该参数，则无论创建时是否指定该参数，都能将该视图删除。

【使用指导】

在IKE需要通过预共享密钥方式进行认证时，需要创建并指定IKE keychain。

【举例】

# 创建IKE keychain key1并进入IKE keychain视图。

<Sysname> system-view

[Sysname] ike keychain key1

[Sysname-ike-keychain-key1]

【相关命令】

· authentication-method

· pre-shared-key

1.1.35 ike limit

ike limit命令用来配置对本端IKE SA数目的限制。

undo ike limit命令用来恢复缺省情况。

【命令】

ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }

undo ike limit { max-negotiating-sa | max-sa }

【缺省情况】

同时处于协商状态的IKE SA和IPsec SA的最大总和数为200，不限制非协商状态的IKE SA数目。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-negotiating-sa negotiation-limit：指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数，取值范围为1～99999。

max-sa sa-limit：指定允许建立的IKE SA的最大数，取值范围为1～99999。

【使用指导】

非缺省vSystem不支持本命令。

可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA，以充分利用设备处理能力，以便在设备有较强处理能力的情况下得到更高的新建性能；可以通过该参数设置允许同时协商更少的IKE SA，以避免产生大量不能完成协商的IKE SA，以便在设备处理能力较弱时保证一定的新建性能。

可以通过max-sa参数设置允许建立更多的IKE SA，以便在设备有充足内存的情况下得到更高的并发性能；可以通过该参数设置允许建立更少的IKE SA，以便在设备没有充足的内存的情况下，使IKE不过多占用系统内存。

【举例】

# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。

<Sysname> system-view

[Sysname] ike limit max-negotiating-sa 200

# 配置本端允许成功建立的IKE SA的最大数为5000。

<Sysname> system-view

[Sysname] ike limit max-sa 5000

1.1.36 ike logging negotiation enable

ike logging negotiation enable命令用来开启IKE协商事件日志功能。

undo ike logging negotiation enable命令用来关闭IKE协商事件日志功能。

【命令】

ike logging negotiation enable

undo ike logging negotiation enable

【缺省情况】

IKE协商事件日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启IKE协商事件日志记录功能后，设备会输出IKE协商过程中的相关日志。

【举例】

# 开启IKE事件协商日志功能。

<Sysname> system-view

[Sysname] ike logging negotiation enable

1.1.37 ike nat-keepalive

ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。

undo ike nat-keepalive命令用来恢复缺省情况。

【命令】

ike nat-keepalive seconds

undo ike nat-keepalive

【缺省情况】

向对端发送NAT Keepalive报文的时间间隔为20秒。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds：指定向对端发送NAT Keepalive报文的时间间隔，取值范围为5～300，单位为秒。

【使用指导】

该命令仅对位于NAT之后的设备（即该设备位于NAT设备连接的私网侧）有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文，以便维持NAT设备上对应的IPsec流量的会话存活，从而让NAT之外的设备可以访问NAT之后的设备。

因此，需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。关于如何查看NAT表项的存活时间，请参见“NAT命令参考”。

【举例】

# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。

<Sysname> system-view

[Sysname] ike nat-keepalive 5

1.1.38 ike profile

ike profile命令用来创建一个IKE profile，并进入IKE profile视图。如果指定的IKE profile已经存在，则直接进入IKE profile视图。

undo ike profile命令用来删除指定的IKE profile。

【命令】

ike profile profile-name

undo ike profile profile-name

【缺省情况】

不存在IKE profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

profile-name：IKE profile名称，为1～63个字符的字符串，不区分大小写。

【举例】

# 创建IKE profile 1，并进入其视图。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1]

1.1.39 ike proposal

ike proposal命令用来创建IKE提议，并进入IKE提议视图。如果指定的IKE提议已经存在，则直接进入IKE提议视图。

undo ike proposal命令用来删除指定IKE提议。

【命令】

ike proposal proposal-number

undo ike proposal proposal-number

【缺省情况】

系统提供一条缺省的IKE提议，此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改，其参数包括：

· 加密算法：DES-CBC

· 认证算法：HMAC-SHA1

· 认证方法：预共享密钥

· DH密钥交换参数：group1

· IKE SA存活时间：86400秒

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

proposal-number：IKE提议序号，取值范围为1～65535。该序号同时表示优先级，数值越小，优先级越高。

【使用指导】

在进行IKE协商的时候，协商发起方会将自己的IKE提议发送给对端，由对端进行匹配。若发起方使用的IPsec策略中没有引用IKE profile，则会将当前系统中所有的IKE提议发送给对端；否则，发起方会将引用的IKE profle中的所有IKE提议发送给对端。

响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配，一旦找到匹配项则停止匹配并使用匹配的提议，否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议，则使用系统缺省的IKE提议进行匹配。

【举例】

# 创建IKE提议1，并进入IKE提议视图。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1]

【相关命令】

· display ike proposal

1.1.40 ike signature-identity from-certificate

ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。

undo ike signature-identity from-certificate命令用来恢复缺省情况。

【命令】

ike signature-identity from-certificate

undo ike signature-identity from-certificate

【缺省情况】

当使用数字签名认证方式时，本端身份信息由local-identity或ike identity命令指定。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

当使用数字签名认证方式时，本端的身份总是从本端证书的主题字段中获得，不论local-identity或ike identity如何配置。

在采用IPsec野蛮协商模式以及数字签名认证方式的情况下，与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。

如果没有配置ike signature-identity from-certificate，并且IPsec策略或IPsec策略模板下指定的IKE profile中配置了本端身份（由local-identity命令指定），则使用IKE profile中配置的本端身份；若IPsec策略或IPsec策略模板下未指定IKE profile或IKE profile下没有配置本端身份，则使用全局配置的本端身份（由ike identity命令指定）。

【举例】

# 在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。

<Sysname> system-view

[sysname] ike signature-identity from-certificate

【相关命令】

· local-identity

· ike identity

1.1.41 inside-vpn

inside-vpn 命令用来指定内部VPN实例。

undo inside-vpn 命令用来恢复缺省情况。

【命令】

inside-vpn vpn-instance vpn-instance-name

undo inside-vpn

【缺省情况】

IKE profile未指定内部VPN实例，设备在收到IPsec报文的接口所属的VPN中查找路由。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

vpn-instance vpn-instance-name：保护的数据属于指定的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时，设备需要知道在哪个MPLS L3VPN实例中查找相应的路由。缺省情况下，设备在与外网相同的VPN中查找路由。如果不希望在与外网相同的VPN中查找路由去转发解封装后的报文，则可以通过此命令指定一个内部VPN实例，指定设备通过查找该内部VPN实例中的路由来转发解封装后的报文。

本命令仅对引用了IKE profile的IPsec策略生效，对引用了IKE profile 的IPsec安全框架不生效。

【举例】

# 在IKE profile prof1中指定内部VPN实例为vpn1。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1

1.1.42 keychain

keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。

undo keychain命令用取消指定的IKE keychain。

【命令】

keychain keychain-name

undo keychain keychain-name

【缺省情况】

未指定采用预共享密钥认证时使用的IKE keychain。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keychain-name：IKE keychain名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

一个IKE profile中最多可以指定六个IKE keychain，先配置的IKE keychain优先级高。

为了使得每个对端能够匹配到唯一的IKE profile，不建议在两个或两个以上IKE profile中配置相同的IKE keychain，否则能够匹配到哪个IKE profile是不可预知的。

【举例】

# 在IKE profile 1中指定名称为abc的配置的IKE keychain。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] keychain abc

【相关命令】

· ike keychain

1.1.43 local-identity

local-identity命令用来配置本端身份信息，用于在IKE认证协商阶段向对端标识自己的身份。

undo local-identity命令用来恢复缺省情况。

【命令】

local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }

undo local-identity

【缺省情况】

未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置，则使用IP地址标识本端的身份，该IP地址为IPsec策略应用的接口的IP地址。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address { ipv4-address | ipv6 ipv6-address } ：指定标识本端身份的IP地址，其中ipv4-address为标识本端身份的IPv4地址，ipv6-address为标识本端身份的IPv6地址。

dn：使用从本端数字证书中获得的DN名作为本端身份。

fqdn fqdn-name：指定标识本端身份的FQDN名称，fqdn-name为1～255个字符的字符串，区分大小写，例如test.example.com。不指定fqdn-name时，则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。

user-fqdn user-fqdn-name：指定标识本端身份的user FQDN名称，user-fqdn-name为1～255个字符的字符串，区分大小写，例如[email protected]。不指定user-fqdn-name时，则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。

【使用指导】

如果本端的认证方式为数字签名方式，且配置的本端身份为IP地址，但这个IP地址与本端证书中的IP地址不同，则设备将使用FQDN类型的本端身份标识，该标识为使用sysname命令配置的设备名称。

响应方使用发起方的身份信息查找本地的IKE profile，通过与match remote命令中指定的发起方身份信息进行匹配，可查找到本端要采用的IKE profile。

一个IKE profile中只能配置一条本端身份信息。

IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息，则使用系统视图下配置的本端身份信息。

【举例】

# 指定使用IP地址2.2.2.2标识本端身份。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] local-identity address 2.2.2.2

【相关命令】

· match remote

· ike identity

· ike signature-identity from-certificate

1.1.44 match local address (IKE keychain view)

match local address命令用来限制IKE keychain的使用范围，即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。

undo match local address命令用来恢复缺省情况。

【命令】

match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo match local address

【缺省情况】

未限制IKE keychain的使用范围。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interface-type interface-number：本端接口名称。可以是任意的三层接口。

ipv4-address：本端接口的IPv4地址。

ipv6 ipv6-address：本端接口的IPv6地址。

vpn-instance vpn-instance-name：指定接口地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定该参数，则表示接口地址属于公网。

【使用指导】

此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商，这里的地址指的是IPsec策略/IPsec策略模板下配置的本端地址（通过命令local-address配置），若本端地址没有配置，则为引用IPsec策略的接口的IP地址。

一个IKE profile中最多可以指定六个IKE keychain，先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候，不按照配置的优先级来查找，则可以通过本命令来指定这类IKE keychain的使用范围。例如，IKE keychain A中的预共享密钥的匹配地址范围大（2.2.0.0/16），IKE keychain B中的预共享密钥的匹配地址范围小（2.2.2.0/24），IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6，那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口（假设接口地址为3.3.3.3）使用keychain B与对端协商，可以配置keychain B在指定地址3.3.3.3的接口上使用。

【举例】

# 创建IKE keychain，名称为key1。

<Sysname> system-view

[Sysname] ike keychain key1

# 限制IKE keychain key1只能在2.2.2.1的IP地址上使用。

[sysname-ike-keychain-key1] match local address 2.2.2.1

# 限制IKE keychain key1只能在名称为vpn1的VPN实例中IP地址为2.2.2.2的接口上使用。

[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1

1.1.45 match local address (IKE profile view)

match local address命令用来限制IKE profile的使用范围，即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。

undo match local address命令用来恢复缺省情况。

【命令】

match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo match local address

【缺省情况】

未限制IKE profile的使用范围。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interface-type interface-number：本端接口名称。可以是任意三层接口。

ipv4-address：本端接口IPv4地址。

ipv6 ipv6-address：本端接口IPv6地址。

【使用指导】

此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商，这里的地址指的是IPsec策略/IPsec策略模板下配置的本端地址（通过命令local-address配置），若本端地址没有配置，则为引用IPsec策略的接口的IP地址。

先配置的IKE profile优先级高，若希望本端在匹配某些IKE profile的时候，不按照配置的优先级来查找，则可以通过本命令来指定这类IKE profile的使用范围。例如，IKE profile A中的match remote地址范围大（match remote identity address range 2.2.2.1 2.2.2.100），IKE profile B中的match remote地址范围小（match remote identity address range 2.2.2.1 2.2.2.10），IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6，那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口（假设接口地址为3.3.3.3）使用profile B与对端协商，可以配置profile B在指定地址3.3.3.3的接口上使用。

【举例】

# 创建IKE profile，名称为prof1。

<Sysname> system-view

[Sysname] ike profile prof1

# 限制IKE profile prof1 只能在2.2.2.1的IP地址上使用。

[sysname-ike-profile-prof1] match local address 2.2.2.1

# 限制IKE profile prof1 只能在名称为vpn1的VPN中IP地址为2.2.2.2的接口上使用。

[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1

1.1.46 match remote

match remote命令用来配置一条用于匹配对端身份的规则。

undo match remote命令用来删除一条用于匹配对端身份的规则。

【命令】

match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | hostname host-name | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }

undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | hostname host-name | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }

【缺省情况】

未配置用于匹配对端身份的规则。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

certificate policy-name：基于对端数字证书中的信息匹配IKE profile。其中，policy-name是证书访问控制策略的名称，为1～31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。

identity：基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。

address ipv4-address [ mask | mask-length ]：对端IPv4地址或IPv4网段。其中，ipv4-address为IPv4地址，mask为子网掩码，mask-length为子网掩码长度，取值范围为0～32，不指定子网掩码相关参数时默认为32位掩码。

address hostname host-name：对端主机名。其中，host-name为1～253个字符的字符串，不区分大小写。

address range low-ipv4-address high-ipv4-address：对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址，high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。

address ipv6 ipv6-address [ prefix-length ] ：对端IPv6地址或IPv6网段。其中，ipv6-address为IPv6地址，prefix-length为IPv6前缀，取值范围为0～128，不指定IPv6前缀时默认为128位前缀。

address ipv6 range low-ipv6-address high-ipv6-address：对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址，high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。

fqdn fqdn-name：对端FQDN名称，为1～255个字符的字符串，区分大小写，例如test.example.com。

user-fqdn user-fqdn-name：对端User FQDN名称，为1～255个字符的字符串，区分大小写，例如[email protected]。

domain fqdn-domain-name：对端FQDN域名，为1～255个字符的字符串，区分大小写，例如：test.example.com。

vpn-instance vpn-instance-name：指定对端地址所属的VPN实例，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定该参数，则表示对端地址属于公网。

【使用指导】

响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份。

响应方必须配置至少一个match remote规则，当对端的身份与IKE profile中配置的match remote规则匹配时，则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile，不建议在两个或两个以上IKE profile中配置相同的match remote规则，否则能够匹配到哪个IKE profile是不可预知的。

以address方式设置match remote规则时，对于主机名方式的对端地址，地址更新的查询过程有所不同。

· 若此处指定对端主机名由支持DDNS功能的DNS服务器来解析，则本端向DNS服务器查询主机名对应的IP地址，当对端主机发生变化时，对端主机将作为DDNS客户端，向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求，DDNS服务器再通知DNS服务器更新域名解析表项，从而保证本端通过域名解析得到正确的对端IP地址。

· 若此处指定对端主机名由本地配置的静态域名解析（通过ip host命令配置）来解析，则本地更改此主机名对应的IP地址（通过ip host命令配置）之后，在旧的域名解析表项老化之后，本端解析到的对端IP地址将为更改后的IP地址。

例如，本端已经存在一条静态域名解析配置，它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置：

# 在IKE profile profile1中指定address方式match remote规则的对端主机名为test。

[Sysname] ike profile profile1

[Sysname-ike-profile-profile1] match remote identity address hostname test

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

则，本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。有关域名解析的详细介绍，请参见“三层技术-IP业务”中的“域名解析”。

match remote规则可以配置多个，并同时都有效，其匹配优先级为配置顺序。

【举例】

# 创建IKE profile，名称为prof1。

<Sysname> system-view

[Sysname] ike profile prof1

# 指定需要匹配对端身份类型为FQDN，取值为test.example.com。

[Sysname-ike-profile-prof1] match remote identity fqdn test.example.com

# 指定需要匹配对端身份类型为IP地址，取值为test。

[Sysname-ike-profile-prof1] match remote identity address hostname test

# 指定需要匹配对端身份类型为IP地址，取值为10.1.1.1。

[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1

【相关命令】

· local-identity

1.1.47 match remote address

match remote address命令用来配置使用IKE profile的对端地址。

undo match remote address命令用来恢复缺省情况。

【命令】

match remote address { ipv4-address | dynamic | ipv6 ipv6-address }

undo match remote address

【缺省情况】

未配置使用IKE profile的对端地址。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address ipv4-address：指定对端IPv4地址。

dynamic：对端IP地址动态变化。

address ipv6 ipv6-address：指定对端IPv6地址。

【使用指导】

在主模式下，当进行IKE一阶段协商时，响应方使用身份载荷匹配IKE profile，但是身份载荷只在IKE一阶段的最后加密发送，响应方无法在协商开始时就确定本次协商所使用的IKE profile，可能会造成IKE profile使用错误。

使用本命令指定IKE profile用于协商的对端地址，配合match local address命令配置本端地址或接口上的地址，使响应方能够在收到第一条IKE协商报文时，通过报文头中的地址信息，确定本次协商所使用的IKE profile，而不必等到后续携带身份载荷的协商报文到来时再匹配。

需要正确地配置本命令，当对端地址动态变化时，可以配置match remote address dynamic命令。

当两个IKE profile的match remote address和match local address都能匹配本次协商时，按照IKE profile的优先级匹配，相同优先级的按照配置顺序匹配。

本命令需要和match local address配合使用，单独配置本命令不生效。

本命令与match remote certificate和match remote identity不同，每个IKE profile仅可配置一条。

本配置对于协商发起方不生效。

【举例】

# 配置使用ike profile prof1的对端网关地址为10.0.0.2。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] match remote address 10.0.0.2

【相关命令】

· ike proposal

· match local address

1.1.48 pre-shared-key

pre-shared-key命令用来配置预共享密钥。

undo pre-shared-key命令用来取消指定的预共享密钥。

【命令】

pre-shared-key { address { ipv4-address [ mask | mask-length ] | hostname host-name | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string

undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | hostname host-name | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }

【缺省情况】

未配置预共享密钥。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address ipv4-address：对端的IPv4地址。

address ipv4-address mask：对端的IPv4地址掩码，缺省值为255.255.255.255。

address ipv4-address mask-length：对端的IPv4地址掩码长度，取值范围为0～32，缺省值为32。

address hostname host-name：对端主机名，为1～253个字符的字符串，不区分大小写。该主机名可被DDNS服务器或本地配置的静态域名解析（通过ip host命令配置）解析为IP地址。

address ipv6：指定对端的IPv6地址。

address ipv6 ipv6-address：对端的IPv6地址。

address ipv6 prefix-length：对端的IPv6地址前缀长度，取值范围为0～128，缺省值为128。

hostname host-name：对端FQDN名称。取值范围为1～255，区分大小写。

key：设置的预共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～128个字符的字符串；密文密钥为1～201个字符的字符串。有关STRING的详细配置说明，请参见“基础配置指导”中“CLI”模块的“STRING和TEXT类型参数的输入”章节。

【使用指导】

配置预共享密钥的同时，还可以通过参数address、hostname指定使用该预共享密钥的匹配条件，只有当对端的IP地址或对端的FQDN名称与本命令配置的条件匹配时，IKE协商才可以使用该预共享密钥。

以address方式设置预共享密钥时，对于主机名方式的对端地址，地址更新的查询过程有所不同。

例如，本端已经存在一条静态域名解析配置，它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置：

# 在IKE keychain keychain1中指定address方式预共享密钥的对端主机名为test。

[Sysname] ike keychain keychain1

[Sysname-ike-keychain-keychain1] pre-shared-key address hostname test key simple 123456

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

则，本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。有关域名解析的详细介绍，请参见“三层技术-IP业务”中的“域名解析”。

以hostname方式设置预共享密钥时，IKE协商只能采用野蛮模式，设备本身只能作为响应方，且对端IKE身份ID需采用FQDN方式来匹配主机名。

IKE协商双方必须配置了相同的预共享密钥，预共享密钥类型的身份认证才会成功。

【举例】

# 创建IKE keychain key1并进入IKE keychain视图。

<Sysname> system-view

[Sysname] ike keychain key1

# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。

[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!

# 配置与主机名为test的对端协商IKE SA时，使用的预共享密钥为明文1234TESTplat&!。

[Sysname-ike-keychain-key1] pre-shared-key address hostname test key simple 1234TESTplat&!

【相关命令】

· authentication-method

· keychain

1.1.49 priority (IKE keychain view)

priority命令用来指定IKE keychain的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKE keychain的优先级为100。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

priority priority：IKE keychain优先级，取值范围为1～65535。该数值越小，优先级越高。

【使用指导】

配置了match local address的IKE keychain，优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address，其次取决于它的优先级。

【举例】

# 指定IKE keychain key1的优先级为10。

<Sysname> system-view

[Sysname] ike keychain key1

[Sysname-ike-keychain-key1] priority 10

1.1.50 priority (IKE profile view)

priority 命令用来指定IKE profile的优先级。

undo priority 命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKE profile的优先级为100。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

priority priority：IKE profile优先级号，取值范围为1～65535。该数值越小，优先级越高。

【使用指导】

配置了match local address的IKE profile，优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address，其次决定于它的优先级。

【举例】

# 指定在IKE profile prof1的优先级为10。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] priority 10

1.1.51 proposal

proposal 命令用来配置IKE profile引用的IKE提议。

undo proposal 命令用来恢复缺省情况。

【命令】

proposal proposal-number&<1-6>

undo proposal

【缺省情况】

IKE profile未引用IKE提议，使用系统视图下配置的IKE提议进行IKE协商。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

proposal-number&<1-6>：IKE提议序号，取值范围为1～65535。该序号在IKE profile中与优先级无关，先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。

【使用指导】

IKE协商过程中，对于发起方，如果使用的IPsec策略下指定了IKE profile，则使用IKE profile中引用的IKE提议进行协商；对于响应方，则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。

【举例】

# 设置IKE profile prof1引用序号为10的IKE安全提议。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] proposal 10

【相关命令】

· ike proposal

1.1.52 remote-certificate serial

remote-certificate serial命令用来配置对端证书的序列号。

undo remote-certificate serial命令用来恢复缺省情况。

【命令】

remote-certificate serial serial-number

undo remote-certificate serial serial-number

【缺省情况】

未配置对端证书的序列号。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

serial-number：对端证书的序列号，为1～127个字符的字符串，不区分大小写。

【使用指导】

设备作为发起方与其他厂家设备进行IKE协商时，如果其他厂家设备的国密IKE协议版本不支持在线发送证书，为了完成IKE协商，需要在本端设备上手动导入对端证书，并在IKE profile视图下通过本命令关联该证书的序列号。已导入的对端证书的序列号可通过display pki certificate domain命令查看。有关证书导入的详细介绍请参见“安全配置指导”中的“PKI”。

本命令仅在新协商IKE SA时生效，对已协商成功的IKE SA不起作用。（安全命令参考中的“PKI”）

【举例】

# 在IKE profile视图下配置对端证书的序列号为2c2cee0a1c。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] remote-certificate serial 2c2cee0a1c

【相关命令】

· display pki certificate domain（安全命令参考/PKI）

· pki import（安全命令参考/PKI）

1.1.53 reset ike sa

reset ike sa命令用来清除IKE SA。

【命令】

reset ike sa [ connection-id connection-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

connection-id connection-id：清除指定连接ID的IKE SA，取值范围为1～2000000000。

【使用指导】

删除IKE SA时，会向对端发送删除通知消息。

【举例】

# 查看当前的IKE SA。

<Sysname> display ike sa

Connection-ID Remote Flag DOI

----------------------------------------------------------

1 202.38.0.2 RD IPsec

2 202.38.0.3 RD IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 清除连接ID号为2 的IKE SA。

<Sysname> reset ike sa connection-id 2

# 查看当前的IKE SA。

<Sysname> display ike sa

Connection-ID Remote Flag DOI

----------------------------------------------------------

1 202.38.0.2 RD IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

1.1.54 reset ike statistics

reset ike statistics命令用于清除IKE的MIB统计信息。

【命令】

reset ike statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【举例】

# 清除IKE的MIB统计信息。

<Sysname> reset ike statistics

【相关命令】

· snmp-agent trap enable ike

1.1.55 sa duration

sa duration命令用来指定一个IKE提议的IKE SA存活时间。

undo sa duration命令用来恢复缺省情况。

【命令】

sa duration seconds

undo sa duration

【缺省情况】

IKE提议的IKE SA存活时间为86400秒。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds：指定IKE SA存活时间，取值范围为60～604800，单位为秒。

【使用指导】

在指定的IKE SA存活时间超时前，设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前，依然使用旧的IKE SA；在新的IKE SA建立后，将立即使用新的IKE SA，而旧的IKE SA在存活时间超时后，将被自动清除。

如果协商双方配置了不同的IKE SA存活时间，则时间较短的存活时间生效。

若配置中同时存在IPsec SA存活时间，则建议IKE SA存活时间大于IPsec SA存活时间。

【举例】

# 指定IKE提议1的IKE SA存活时间600秒（10分钟）。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] sa duration 600

【相关命令】

· display ike proposal

1.1.56 sa soft-duration buffer

sa soft-duration buffer命令用来设置IKE SA的软超时缓冲时间。

undo sa soft-duration buffer命令用来恢复缺省情况。

【命令】

sa soft-duration buffer seconds

undo sa soft-duration buffer

【缺省情况】

未配置IKE SA的软超时缓冲时间。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds：IKE SA的软超时缓冲时间，取值范围为10～36000，单位为秒。

【使用指导】

本命令只对IKEv1有效。

若未配置软超时缓冲时间，则系统会基于IKE SA存活时间使用默认算法计算软超时时间，软超时时间到达后会立即进行新的IKE SA协商。

需要注意的是，在配置了软超时缓冲时间的情况下，软超时时间（基于时间的生存时间－软超时缓冲时间）需要大于10秒。否则，仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。

【举例】

# 设置IKE SA的软超时缓冲时间为600秒。

<Sysname> system-view

[Sysname] ike profile abc

[Sysname-ike-profile-abc] sa soft-duration buffer 600

【相关命令】

· display ike sa

1.1.57 server-address

server-address命令用来指定国盾量子服务器的IP地址和端口号。

undo server-address命令用来恢复缺省情况。

【命令】

server-address ip-address [ port port-number ]

undo server-address

本命令的支持情况与设备型号有关，请以设备的实际情况为准。

系列	型号	说明
F5000系列	F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-25-G、F5000-AI-15-G、F5000-CN160-G、F5000-E-G、F5000-E-G2、F5000-S-G2、F5000-M-G2、F5000-A-G2	支持
F5000系列	F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030	支持
F1000系列	F1000-AK9130、F1000-AI-05-G、F1000-AI-03-G、F1000-AI-05-GS、F1000-AI-15、F1000-AI-10、F1000-AI-03-E、F1000-AK1080-G、F1000-AK1050-G	不支持
F1000系列	F1000-AI-90、F1000-AI-60、F1000-AI-55、F1000-AI-35、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-35-G、F1000-AI-25-G、F1000-AI-15-G、F1000-AK1380-G、F1000-AK1300-G、F1000-AK1220-G、F1000-AK1180-G	支持
插卡	LSEM1FWESD0	不支持