- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-IPsec命令
本章节下载: 09-IPsec命令 (505.57 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.6 display ipsec statistics
1.1.7 display ipsec transform-set
1.1.11 esp authentication-algorithm
1.1.12 esp encryption-algorithm
1.1.14 ipsec { ipv6-policy | policy }
1.1.15 ipsec { ipv6-policy | policy } isakmp template
1.1.16 ipsec { ipv6-policy | policy } local-address
1.1.17 ipsec { ipv6-policy-template | policy-template }
1.1.20 ipsec logging packet enable
1.1.21 ipsec sa global-duration
1.1.31 sa hex-key authentication
1.1.37 snmp-agent trap enable ipsec
2.1.1 authentication-algorithm
2.1.21 ike signature-identity from-certificate
2.1.24 match local address (IKE keychain view)
2.1.25 match local address (IKE profile view)
2.1.28 priority (IKE keychain view)
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
【使用指导】
每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全策略/IPsec安全策略模板的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address:
Transform set:
IKE profile:
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA idle time:
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA idle time:
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名称 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Sequence number |
IPsec安全策略表项的顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的对端IP地址或主机名 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
SA duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥(若配置,则显示为******) |
|
AH authentication hex key |
AH协议的十六进制密钥(若配置,则显示为******) |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥(若配置,则显示为******) |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥(若配置,则显示为******) |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥(若配置,则显示为******) |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
# 显示所有IPv6 IPsec安全策略模板的详细信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名称 |
|
Sequence number |
IPsec安全策略模板表项的序号 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
Selector mode |
IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec安全策略模板引用的IKE Profile名称 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提议的名称 |
|
IPsec SA local duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
|
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE1/0/1 10.1.1.1 400 ESP Active
GE1/0/1 255.255.255.255 4294967295 ESP Active
GE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-3 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局 |
|
Dst Address |
IPsec隧道对端的IP地址 |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态:主用(Active)、备用(Standby) · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,仅为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Path MTU: 1443
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID: 90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-4 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名(当前版本暂不支持) |
|
Sequence number |
IPsec安全策略表项顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 |
|
Tunnel id |
IPsec隧道的ID号 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
|
Inside VPN |
被保护数据所属的VRF实例名称 |
|
Path MTU |
IPsec SA的路径MTU值 |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
受保护的数据流信息 |
|
sour addr |
数据流的源IP地址 |
|
dest addr |
数据流的目的IP地址 |
|
port |
端口号 |
|
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA标识 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒 |
|
Max received sequence-number |
入方向接收到的报文最大序列号 |
|
Max sent sequence-number |
出方向发送的报文最大序列号 |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
No duration limit for this SA |
手工方式创建的IPsec SA无生命周期 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-5 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-6 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-7 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-8 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示隧道处于可用状态 |
|
Perfect forward secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Inside vpn-instance |
被保护数据所属的VPN实例名(当前版本暂不支持) |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null } *
undo esp encryption-algorithm.
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
des-cbc:采用CBC模式的DES算法,密钥长度为56比特。
null:采用NULL加密算法,表示不进行加密。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
未引用IKE profile。若IPsec安全策略/IPsec安全策略模板下配置了IKE profile,则使用配置的IKE profile进行协商,否则使用全局的IKE参数进行协商。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec安全策略时,必须指定协商方式(isakmp或manual )。进入已创建的IPsec安全策略时,可以不指定协商方式。
不能修改已创建的IPsec安全策略的协商方式。
一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除指定IPsec安全策略的所有表项。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } isakmp template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
不携带seq-number参数的undo命令用来删除一个安全策略。
应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec安全策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
【使用指导】
IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。
· 一个IPsec安全策略模板是若干具有相同名称、不同顺序号的IPsec安全策略模板表项的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。
【举例】
# 创建一个名称为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相关命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec apply命令用来在接口上应用IPsec安全策略。
undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上未应用IPsec安全策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。
IKE方式的IPsec安全策略可以应用到多个接口上,但建议只应用到一个接口上;手工方式的IPsec安全策略只能应用到一个接口上。
【举例】
# 在接口GigabitEthernet1/0/1上应用名为policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec apply policy policy1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
不限制本端允许建立IPsec隧道的最大数。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相关命令】
· ike limit
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
【举例】
# 开启IPsec报文日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。
【使用指导】
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。
【举例】
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相关命令】
· display ipsec sa
· sa duration
ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。在指定超时时间内没有流量匹配的IPsec SA即被删除。
undo ipsec sa idle-time命令用来关闭全局的IPsec SA空闲超时功能。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情况】
全局的IPsec SA空闲超时功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA。
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的空闲超时时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值。
【举例】
# 开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相关命令】
· display ipsec sa
· sa idle-time
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
不存在IPsec安全提议。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相关命令】
· display ipsec transform-set
local-address命令用来配置IPsec隧道的本端IP地址。
undo local-address命令用来恢复缺省情况。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情况】
IPsec隧道的本端IPv4地址为应用IPsec安全策略的接口的主IPv4地址,本端IPv6地址为应用IPsec安全策略的接口的第一个IPv6地址。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指导】
采用IKE协商方式的IPsec安全策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。
在VRRP组网环境中,必须指定IPsec隧道本端的IP地址为应用IPsec安全策略的接口所在备份组的虚拟IP地址。
【举例】
# 配置IPsec隧道的本端IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相关命令】
· remote-address
pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用来恢复缺省情况。
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group19 | dh-group20 | dh-group24 }
undo pfs
【缺省情况】
使用IPsec安全策略发起IKE协商时不使用PFS特性。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
dh-group1:采用768-bit Diffie-Hellman组。
dh-group2:采用1024-bit Diffie-Hellman组。
dh-group5:采用1536-bit Diffie-Hellman组。
dh-group14:采用2048-bit Diffie-Hellman组。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。
【使用指导】
384-bit ECP模式 Diffie-Hellman组(dh-group20)、256-bit ECP模式 Diffie-Hellman组(dh-group19)、2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。
IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。
不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。
【举例】
# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情况】
使用ESP安全协议。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
【使用指导】
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
【举例】
# 配置IPsec安全提议采用AH协议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
remote-address命令用来指定IPsec隧道的对端IP地址。
undo remote-address命令用来恢复缺省情况。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定IPsec隧道的对端IP地址。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。
hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。
ipv4-address:IPsec隧道的对端IPv4地址。
ipv6-address:IPsec隧道的对端IPv6地址。
【使用指导】
IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec安全策略模板的响应方可选配。
手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。
对于主机名方式的对端地址,地址更新的查询过程有所不同。
· 若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。
· 若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,才能使得本端解析到更新后的对端IP地址。
例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主机名test对应的IP地址为2.2.2.2。
[Sysname] ip host test 2.2.2.2
则,需要在IPsec安全策略policy1中重新指定对端主机名,使得本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2,否则仍会解析为原来的IP地址1.1.1.1。
# 重新指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname -ipsec-policy-isakmp-policy1-1] remote-address test
【举例】
# 指定IPsec隧道的对端IPv4地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2
【相关命令】
· ip host(三层技术-IP业务/域名解析)
· local-address
reset ipsec sa命令用来清除已经建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
· seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则清除所有的IPsec SA。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息;若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。
通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名称为policy1、顺序号为10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相关命令】
· display ipsec sa
reset ipsec statistics命令用来清除IPsec的报文统计信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。
【举例】
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
【相关命令】
· display ipsec statistics
sa duration命令用来配置IPsec SA的生存时间。
undo sa duration命令用来删除指定的IPsec SA生存时间。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情况】
IPsec安全策略/IPsec安全策略模板的IPsec SA生存时间为当前全局的IPsec SA生存时间。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的生存时间,取值范围为2560~4294967295,单位为千字节。
【使用指导】
当IKE协商IPsec SA时,如果采用的IPsec安全策略/IPsec安全策略模板下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
【举例】
# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
【相关命令】
· display ipsec sa
· ipsec sa global-duration
sa hex-key authentication命令用来为手工创建的IPsec SA配置十六进制形式的认证密钥。
undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:HMAC-MD5算法,密钥长度为16个字节;HMAC-SHA1算法,密钥长度为20个字节。密文密钥为1~85个字符的字符串,区分大小写。
【使用指导】
此命令仅用于手工方式的IPsec安全策略。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
多次执行本命令,最后一次执行的命令生效。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
【举例】
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相关命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用来为手工创建的IPsec SA配置十六进制形式的加密密钥。
undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-9。密文密钥为1~117个字符的字符串,区分大小写。
|
算法 |
密钥长度(字节) |
|
DES-CBC |
8 |
|
3DES-CBC |
24 |
|
AES128-CBC |
16 |
|
AES192-CBC |
24 |
|
AES256-CBC |
32 |
【使用指导】
此命令仅用于手工方式的IPsec安全策略。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
多次执行本命令,最后一次执行的命令生效。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
【举例】
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相关命令】
· display ipsec sa
· sa string-key
sa idle-time命令用来配置IPsec SA的空闲超时时间。在指定的超时时间内,没有流量使用的IPsec SA将被删除。
undo sa idle-time命令用来恢复缺省情况。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情况】
IPsec安全策略/IPsec安全策略模板下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且只有通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。
如果IPsec安全策略/IPsec安全策略模板视图下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec安全策略/IPsec安全策略模板视图下配置了IPsec SA 空闲超时时间,则优先使用IPsec安全策略/IPsec安全策略模板视图下的配置值。
【举例】
# 配置IPsec安全策略的IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相关命令】
· display ipsec sa
· ipsec sa idle-time
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
【使用指导】
此命令仅用于手工方式的IPsec安全策略。对于IKE协商方式的IPsec安全策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。
必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
【举例】
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相关命令】
· display ipsec sa
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
此命令仅用于手工方式的IPsec安全策略。
必须分别配置inbound和outbound两个方向IPsec SA的参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
多次执行本命令,最后一次执行的命令生效。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
【举例】
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec ipv6-policy policy1 100 manual
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【相关命令】
· display ipsec sa
· sa hex-key
security acl命令用来指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用来恢复缺省情况。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情况】
IPsec安全策略/IPsec安全策略模板未引用ACL。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 ACL。
acl-number:ACL编号,取值范围为3000~3999。
name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。
aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。不支持对IPv6数据流采用该保护方式。
per-host:指定IPsec安全策略的数据流保护方式为主机方式。
【使用指导】
对于IKE协商方式的IPsec安全策略,数据流的保护方式包括以下几种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregation和per-host参数的情况下,缺省采用此方式。
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。
· 主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。
手工方式的IPsec安全策略缺省使用聚合方式,且仅支持聚合方式;IKE协商方式的IPsec安全策略中可以通过配置来选择不同的保护方式。
【举例】
# 配置IPsec安全策略引用IPv4高级ACL 3001。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用IPv4高级ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] quit
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【相关命令】
· display ipsec sa
· display ipsec tunnel
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach tunnel-start | tunnel-stop] *
【缺省情况】
IPsec的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示认证失败时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec安全策略时的告警功能。
policy-attach:表示将IPsec安全策略应用到接口时的告警功能。
policy-delete:表示删除IPsec安全策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
tfc enable命令用来开启TFC(Traffic Flow Confidentiality)填充功能。
undo tfc enable命令用来关闭TFC填充功能。
【命令】
tfc enable
undo tfc enable
【缺省情况】
TFC填充功能处于关闭状态。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
TFC填充功能可隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。
【举例】
# 指定IPsec安全策略policy1中开启TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
transform-set命令用来指定IPsec安全策略/IPsec安全策略模板所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec安全策略/IPsec安全策略模板引用的IPsec安全提议。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情况】
IPsec安全策略/IPsec安全策略模板未引用IPsec安全提议。
【视图】
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
对于手工方式的IPsec安全策略,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。
对于IKE协商方式的IPsec安全策略,一条IPsec安全策略最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec安全策略中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。
若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。
【举例】
# 配置IPsec安全策略引用名称为prop1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相关命令】
· ipsec { ipv6-policy | policy }
· ipsec profile
· ipsec transform-set
authentication-algorithm命令用来指定IKE提议使用的认证算法。
undo authentication-algorithm命令用来恢复缺省情况。
【命令】
authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 }
undo authentication-algorithm
【缺省情况】
IKE提议使用的认证算法为HMAC-SHA1
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
sha256:指定认证算法为HMAC-SHA256。
sha384:指定认证算法为HMAC-SHA384。
sha512:指定认证算法为HMAC-SHA512。
【举例】
# 指定IKE提议1的认证算法为HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相关命令】
· display ike proposal
authentication-method命令用来指定IKE提议使用的认证方法。
undo authentication-method命令用来恢复缺省情况。
【命令】
authentication-method { dsa-signature | pre-share | rsa-signature }
undo authentication-method
【缺省情况】
IKE提议使用预共享密钥的认证方法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
dsa-signature:指定认证方法为DSA数字签名方法。
pre-share:指定认证方法为预共享密钥方法。
rsa-signature:指定认证方法为RSA数字签名方法。
【使用指导】
认证方法分为预共享密钥认证和数字签名认证(包括RSA数字签名认证和DSA数字签名认证)。预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域。
协商双方必须有匹配的认证方法。
如果指定认证方法为RSA数字签名方法或者DSA数字签名方法,则还必须保证对端从CA(证书认证机构)获得数字证书。
如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。
【举例】
# 指定IKE提议1的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相关命令】
· display ike proposal
· ike keychain
· pre-shared-key
certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消指定IKE协商时使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情况】
未指定用于IKE协商的PKI域。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可通过多次执行本命令指定多个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。
一个IKE profile中最多可以引用六个PKI域。
IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:
· 对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。
· 对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。
· 在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。
【举例】
# 在IKE profile 1中指定IKE协商时使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相关命令】
· authentication-method
· pki domain(安全命令参考/PKI)
description命令用来配置IKE提议的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在IKE提议的描述信息。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
text:IKE提议的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IKE提议时,可通过配置相应的描述信息来有效区分不同的IKE提议。
【举例】
# 配置序号为1的IKE提议的描述信息为test。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] description test
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
dh { group1 | group14 | group2 | group24 | group5 }
undo dh
【缺省情况】
IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。
group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
【举例】
# 指定IKE提议1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相关命令】
· display ike proposal
display ike proposal命令用来显示所有IKE提议的配置信息。
【命令】
display ike proposal
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。
【举例】
# 显示IKE提议的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表2-1 display ike proposal命令显示信息描述表
|
字段 |
描述 |
|
Priority |
IKE提议的优先级 |
|
Authentication method |
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
|
Authentication algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 |
|
Encryption algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
|
Diffie-Hellman group |
IKE阶段1密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
Duration (seconds) |
IKE提议中指定的IKE SA存活时间,单位为秒 |
【相关命令】
· ike proposal
display ike sa命令用来显示当前IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示当前IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
ipv6:指定IPv6地址。
remote-address:对端的IP地址。
【使用指导】
若不指定任何参数,则显示当前所有IKE SA的摘要信息。
【举例】
# 显示当前所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
表2-2 display ike sa命令显示信息描述表
|
字段 |
描述 |
|
Connection-ID |
IKE SA的标识符 |
|
Remote |
此IKE SA的对端的IP地址 |
|
Flags |
IKE SA的状态,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · RK-REKEY:表示此IKE SA是Rekey SA · Unknown:表示IKE协商的状态未知 |
|
DOI |
IKE SA所属解释域,IPsec表示此IKE SA使用的DOI为IPSEC DOI |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
# 显示目的地址为4.4.4.5的IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
表2-3 display ike sa verbose命令显示信息描述表
|
字段 |
描述 |
|
Connection ID |
IKE SA的标识符 |
|
Outside VPN |
接收报文的接口所属的MPLS L3VPN的VPN实例名称 |
|
Inside VPN |
被保护数据所属的MPLS L3VPN的VPN实例名称 |
|
Profile |
IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称 |
|
Transmitting entity |
IKE协商中的实体角色,包括: · Initiator:发起方 · Responder:响应方 |
|
Local IP |
本端安全网关的IP地址 |
|
Local ID type |
本端安全网关的身份信息类型 |
|
Local ID |
本端安全网关的身份信息 |
|
Remote IP |
对端安全网关的IP地址 |
|
Remote ID type |
对端安全网关的身份信息类型 |
|
Remote ID |
对端安全网关的身份信息 |
|
Authentication-method |
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
|
Authentication-algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 |
|
Encryption-algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
|
Life duration(sec) |
IKE SA的存活时间,单位为秒 |
|
Remaining key duration(sec) |
IKE SA的剩余存活时间,单位为秒 |
|
Exchange-mode |
IKE第一阶段的协商模式,包括: · Main:主模式 · Aggressive: 野蛮模式 |
|
Diffie-Hellman group |
IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
NAT traversal |
是否检测到协商双方之间存在NAT网关设备 |
|
Extend authentication |
是否开启扩展认证: · Enabled:开启 · Disabled:关闭 |
|
Assigned IP address |
本端分配给对端的IP地址,如果没有分配则不显示 |
display ike statistics命令用来显示IKE的统计信息。
【命令】
display ike statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKE的统计信息。
<Sysname> display ike statistics
IKE statistics:
No matching proposal: 0
Invalid ID information: 0
Unavailable certificate: 0
Unsupported DOI: 0
Unsupported situation: 0
Invalid proposal syntax: 0
Invalid SPI: 0
Invalid protocol ID: 0
Invalid certificate: 0
Authentication failure: 0
Invalid flags: 0
Invalid message id: 0
Invalid cookie: 0
Invalid transform ID: 0
Malformed payload: 0
Invalid key information: 0
Invalid hash information: 0
Unsupported attribute: 0
Unsupported certificate type: 0
Invalid certificate authority: 0
Invalid signature: 0
Unsupported exchage type: 0
No available SA: 1
Retransmit timeout: 0
Not enough memory: 0
Enqueue fails: 0
表2-4 display ike statistics命令显示信息描述表
|
字段 |
描述 |
|
No matching proposal |
提议不匹配 |
|
Invalid ID information |
无效的ID信息 |
|
Unavailable certificate |
本地未发现此证书 |
|
Unsupported DOI |
不支持的DOI |
|
Unsupported situation |
不支持的形式 |
|
Invalid proposal syntax |
无效的提议语法 |
|
Invalid SPI |
无效的SPI |
|
Invalid protocol ID |
无效的协议ID |
|
Invalid certificate |
无效的证书 |
|
Authentication failure |
认证失败 |
|
Invalid flags |
无效的标记 |
|
Invalid message id |
无效的消息ID |
|
Invalid cookie |
无效的cookie |
|
Invalid transform ID |
无效的transform ID |
|
Malformed payload |
畸形载荷 |
|
Invalid key information |
无效的密钥信息 |
|
Invalid hash information |
无效的hash信息 |
|
Unsupported attribute |
不支持的属性 |
|
Unsupported certificate type |
不支持的证书类型 |
|
Invalid certificate authority |
无效的证书授权 |
|
Invalid signature |
无效的签名 |
|
Unsupported exchage type |
不支持的交换类型 |
|
No available SA |
没有可用的SA |
|
Retransmit timeout |
重传超时 |
|
Not enough memory |
内存不足 |
|
Enqueue fails |
入队列失败 |
【相关命令】
· reset ike statistics
dpd命令用来配置IKE DPD功能。
undo dpd命令用来关闭IKE DPD功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKE DPD功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。
建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。
【举例】
# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相关命令】
· ike dpd
encryption-algorithm命令用来指定IKE提议使用的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
【命令】
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }
undo encryption-algorithm
【缺省情况】
IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
【举例】
# 指定IKE提议1的加密算法为128比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
【相关命令】
· display ike proposal
exchange-mode命令用来选择IKE第一阶段的协商模式。
undo exchange-mode命令用来恢复缺省情况。
【命令】
exchange-mode { aggressive | main }
undo exchange-mode
【缺省情况】
IKE第一阶段的协商模式为主模式。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
aggressive:野蛮模式。
main:主模式。
【使用指导】
当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。
【举例】
# 配置IKE第一阶段协商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相关命令】
· display ike proposal
ike dpd命令用来配置全局IKE DPD功能。
undo ike dpd命令用来关闭全局IKE DPD功能。
【命令】
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情况】
全局IKE DPD功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相关命令】
· dpd
ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo ike identity命令用来恢复缺省情况。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情况】
使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相关命令】
· local-identity
· ike signature-identity from-certificate
ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。
undo ike keepalive interval命令用来恢复缺省情况。
【命令】
ike keepalive interval interval
undo ike keepalive interval
【缺省情况】
不向对端发送IKE Keepalive报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【使用指导】
当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。
本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相关命令】
· ike keepalive timeout
ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。超过该时间之后,本端的IKE SA将会被删除。
undo ike keepalive timeout命令用来恢复缺省情况。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情况】
未配置本端等待对端发送IKE Keepalive报文的超时时间。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【使用指导】
本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相关命令】
· ike keepalive interval
ike keychain命令用来创建IKE keychain,并进入IKE keychain视图。如果指定的IKE keychain已经存在,则直接进入IKE keychain视图。
undo ike keychain命令用来删除指定的IKE keychain以及IKE对等体的密钥信息。
【命令】
ike keychain keychain-name
undo ike keychain keychain-name
【缺省情况】
不存在IKE keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相关命令】
· authentication-method
· pre-shared-key
ike limit命令用来配置对本端IKE SA数目的限制。
undo ike limit命令用来恢复缺省情况。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情况】
不限制IKE SA数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。
max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999。
【使用指导】
可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。
可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。
【举例】
# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允许成功建立的IKE SA的最大数为5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive命令用来恢复缺省情况。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情况】
向对端发送NAT Keepalive报文的时间间隔为20秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。
因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。关于如何查看NAT表项的存活时间,请参见“三层技术-IP业务命令参考”中的“NAT”。
【举例】
# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
ike profile命令用来创建一个IKE profile,并进入IKE profile视图。如果指定的IKE profile已经存在,则直接进入IKE profile视图。
undo ike profile命令用来删除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情况】
不存在IKE profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建IKE profile 1,并进入其视图。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用来创建IKE提议,并进入IKE提议视图。如果指定的IKE提议已经存在,则直接进入IKE提议视图。
undo ike proposal命令用来删除指定IKE提议。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情况】
系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:
· 加密算法:使用DES-CBC
· 认证算法:HMAC-SHA1
· 认证方法:预共享密钥
· DH密钥交换参数:使用group1
· IKE SA存活时间:86400秒
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【使用指导】
在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。
响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。
【举例】
# 创建IKE提议1,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相关命令】
· display ike proposal
ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。
undo ike signature-identity from-certificate命令用来恢复缺省情况。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情况】
当使用数字签名认证方式时,本端身份信息由local-identity或ike identity命令指定。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。
如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identity或ike identity如何配置。
【举例】
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相关命令】
· local-identity
· ike identity
keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情况】
未指定采用预共享密钥认证时使用的IKE keychain。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。
【举例】
# 在IKE profile 1中指定名称为abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相关命令】
· ike keychain
local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo local-identity命令用来恢复缺省情况。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情况】
未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。
响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。
一个IKE profile中只能配置一条本端身份信息。
IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相关命令】
· match remote
· ike identity
match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address
【缺省情况】
未限制IKE keychain的使用范围。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意的三层接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
【使用指导】
此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用keychain B与对端协商,可以配置keychain B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE keychain,名称为key1。
<Sysname> system-view
[Sysname] ike keychain key1
match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address
【缺省情况】
未限制IKE profile的使用范围。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
match remote命令用来配置一条用于匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | user-fqdn user-fqdn-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | user-fqdn user-fqdn-name } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。
identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]。
【使用指导】
响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份,发起方根据响应方的身份信息通过本配置验证对端身份。
协商双方都必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。
match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配对端身份类型为FQDN,取值为www.test.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.com
# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相关命令】
· local-identity
pre-shared-key命令用来配置预共享密钥。
undo pre-shared-key命令用来取消指定的预共享密钥。
【命令】
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情况】
未配置预共享密钥。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
address:对端的地址。
ipv4-address:对端的IPv4地址。
mask:对端的IPv4地址掩码,缺省值为255.255.255.255。
mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。
ipv6:指定对端的IPv6地址。
ipv6-address:对端的IPv6地址。
prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。
hostname host-name:对端主机名。取值范围为1~255,区分大小写。
key:设置的预共享密钥。不支持交互式设置预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。
【使用指导】
配置预共享密钥的同时,还通过参数address和hostname指定了使用该预共享密钥的匹配条件,即与哪些IP地址或哪些主机名的对端协商时,才可以使用该预共享密钥。
IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!
【相关命令】
· authentication-method
· keychain
priority命令用来指定IKE keychain的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE keychain的优先级为100。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。
【举例】
# 指定IKE keychain key1的优先级为10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用来指定IKE profile的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE profile的优先级为100。
【视图】
IKE-Profile视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。
【举例】
# 指定在IKE profile prof1的优先级为10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用来配置IKE profile引用的IKE提议。
undo proposal 命令用来恢复缺省情况。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情况】
IKE profile未引用IKE提议,使用系统视图下配置的IKE提议进行IKE协商。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。
【举例】
# 设置IKE profile prof1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相关命令】
· ike proposal
reset ike sa命令用来清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
【使用指导】
删除IKE SA时,会向对端发送删除通知消息。
【举例】
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
2 202.38.0.3 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 清除连接ID号为2 的IKE SA。
<Sysname> reset ike sa connection-id 2
# 查看当前的IKE SA。
<Sysname> display ike sa
Total IKE SAs: 1
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
reset ike statistics命令用于清除IKE的MIB统计信息。
【命令】
reset ike statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKE的MIB统计信息。
<Sysname> reset ike statistics
【相关命令】
· snmp-agent trap enable ike
sa duration命令用来指定一个IKE提议的IKE SA存活时间,超时后IKE SA将自动更新。
undo sa duration命令用来恢复缺省情况。
【命令】
undo sa duration
【缺省情况】
IKE提议的IKE SA存活时间为86400秒。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。
【使用指导】
在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。
如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。
【举例】
# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相关命令】
· display ike proposal
snmp-agent trap enable ike命令用来开启IKE的告警功能。
undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。
【命令】
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
【缺省情况】
IKE的所有告警功能均处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
attr-not-support:表示属性参数不支持时的告警功能。
auth-failure:表示认证失败时的告警功能。
cert-type-unsupport:表示证书类型不支持时的告警功能。
cert-unavailable:表示无法获取证书时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示证书认证无效时的告警功能。
invalid-cookie:表示cookie无效时的告警功能。
invalid-id:表示身份信息无效时的告警功能。
invalid-proposal:表示IKE提议无效时的告警功能。
invalid-protocol:表示安全协议无效时的告警功能。
invalid-sign:表示证书签名无效时的告警功能。
no-sa-failure:表示无法查到SA时的告警功能。
proposal-add:表示添加IKE提议时的告警功能。
proposal-delete:表示删除IKE提议时的告警功能。
tunnel-start:表示创建IKE隧道时的告警功能。
tunnel-stop:表示删除IKE隧道时的告警功能。
unsupport-exch-type:表示协商类型不支持时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。
如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IKE告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ike global
# 开启创建IKE 隧道时的告警功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
