10-IKEv2命令
本章节下载: 10-IKEv2命令 (359.61 KB)
目 录
1.1.11 display ikev2 statistics
1.1.20 ikev2 ipv6-address-group
1.1.28 match local (IKEv2 profile view)
1.1.29 match local address (IKEv2 policy view)
1.1.35 priority (IKEv2 policy view)
aaa authorization命令用来开启IKEv2的AAA授权功能。
undo aaa authorization命令用来关闭IKEv2的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKEv2的AAA授权功能处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKEv2可以向AAA模块申请授权属性,例如IKEv2本地地址池属性。IKEv2模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKEv2本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相关命令】
· display ikev2 profile
address命令用来指定IKEv2 peer的主机地址。
undo address命令用来恢复缺省情况。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
【缺省情况】
未指定IKEv2 peer的主机地址。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IKEv2 peer的IPv4主机地址。
Mask:IPv4地址子网掩码。
mask-length:IPv4地址的掩码长度,取值范围为0~32。
ipv6 ipv6-address:IKEv2 peer的IPv6主机地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
使用主机地址查询IKEv2 peer对于IKEv2协商中的发起方和响应方均适用。
同一keychain视图下的不同IKEv2 peer不能配置相同的地址。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的IP地址为3.3.3.3,掩码为255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相关命令】
· ikev2 keychain
· peer
authentication-method命令用来指定IKEv2本端和对端的身份认证方式。
undo authentication-method 命令用来删除指定的IKEv2本端或对端身份认证方式。
【命令】
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
【缺省情况】
未配置本端和对端的认证方式。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
local:指定本端的身份认证方式。
remote:指定对端的身份认证方式。
dsa-signature:表示身份认证方式为DSA数字签名方式。
ecdsa-signature:表示身份认证方式为ECDSA数字签名方式。
pre-share:表示身份认证方式为预共享密钥方式。
rsa-signature:表示身份认证方式为RSA数字签名方式。
【使用指导】
一个IKEv2 profile中,必须配置IKEv2本端和对端的身份认证方式。本端和对端可以采用不同的身份认证方式。
只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。
如果本端或对端的身份认证方式为RSA、DSA或ECDSA数字签名方式(rsa-signature、dsa-signature或ecdsa-signature),则还必须通过命令certificate domain指定PKI域来获取用于签名和验证的数字证书。若没有指定PKI域,则使用系统视图下通过命令pki domain配置的PKI域。
如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本IKEv2 profile引用的keychain中指定对等体的预共享密钥。
【举例】
# 创建IKEv2 profile profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的认证方式为预共享密钥方式,对端的认证方式为RSA数字签名方式。
[Sysname-ikev2-profile-profile1] authentication local pre-share
[Sysname-ikev2-profile-profile1] authentication remote rsa-signature
# 指定对端用于签名和验证的certificate域为genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定IKEv2 profile引用的keychain为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· certificate domain (ikev2 profile view)
· keychain (ikev2 profile view)
certificate domain命令用来指定IKEv2协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消配置IKEv2协商时使用的PKI域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情况】
使用系统视图下配置的PKI域来验证证书。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
sign:指定本端使用该PKI域中的本地证书生成数字签名。
verify:指定本端使用该PKI域中的CA证书来验证对端证书。
【使用指导】
如果没有指定sign和verify,则表示指定的PKI域既用于签名也用于验证。一个PKI域用于签名还是验证取决于最后一次的配置,例如,先配了certificate domain abc sign,然后再配certificate domain abc verify,那么最终PKI域abc只用于验证功能。
可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。
如果本端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则必须通过本命令指定PKI域来获取用于签名的本地证书;如果对端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则使用本命令指定PKI域来获取用于验证的CA证书,若未指定PKI域,则使用系统视图下的所有PKI域来验证。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域abc用于签名,PKI域def用于验证。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相关命令】
· authentication-method
· pki domain(安全命令参考/PKI)
config-exchange命令用来开启指定的配置交换功能。
undo config-exchange命令用来关闭指定的配置交换功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情况】
所有的配置交换功能均处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
request:表示本端在Auth交换请求报文中携带配置交换请求载荷。
set:表示本端在Info报文中携带配置交换设置载荷。
accept:表示本端可接受配置交换设置载荷。
send:表示本端可发送配置交换设置载荷。
【使用指导】
配置交换包括请求数据、回应数据、主动推数据和回应推数据,请求和推送的数据可以为网关地址,内部地址,路由信息等,目前仅支持中心侧内部地址分配。分支侧可以申请地址,但申请到的地址暂无用。
本端可以同时配置request和set参数。
如果本端配置了request参数,则只要对端能通过AAA授权获取到对应的请求数据,就会对本端的请求进行响应。
如果本端配置了set send参数,则对端必须配置set accept参数来配合使用。
如果本端配置了set send参数,且没有收到配置请求时,IKEv2 SA协商成功后才会推送地址给对端。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置本端在Auth交换请求报文中携带配置交换请求载荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相关命令】
· aaa authorization
· display ikev2 profile
dh命令用来配置IKEv2密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *
undo dh
【缺省情况】
IKEv2安全提议未定义DH组。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定密钥协商时采用768-bit的Diffie-Hellman group。
group2:指定密钥协商时采用1024-bit的Diffie-Hellman group。
group5:指定密钥协商时采用1536-bit的Diffie-Hellman group。
group14:指定密钥协商时采用2048-bit的Diffie-Hellman group。
group24:指定密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group19:指定密钥协商时采用ECP模式含256-bit的Diffie-Hellman group。
group20:指定密钥协商时采用ECP模式含384-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其他的group随着位数的增加,提供了更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
一个IKEv2安全提议中至少需要配置一个DH组,否则该安全提议不完整。
一个IKEv2安全提议中可以配置多个DH组,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2提议1使用768-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相关命令】
· ikev2 proposal
display ikev2 policy命令用来显示IKEv2安全策略的配置信息。
【命令】
display ikev2 policy [ policy-name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全策略。
【使用指导】
如果未指定任何参数,则表示显示所有IKEv2安全策略的配置信息。
【举例】
# 显示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy: 1
Priority: 100
Match local address: 1.1.1.1
Match local address ipv6: 1:1::1:1
Match VRF:
Proposal: 1
Proposal: 2
IKEv2 policy: default
Match VRF:
Proposal: default
display ikev2 policy命令显示信息描述表
字段 |
描述 |
IKEv2 policy |
IKEv2安全策略的名称 |
Priority |
IKEv2安全策略优先级 |
Match local address |
匹配IKEv2安全策略的本端IPv4地址 |
Match local address ipv6 |
匹配IKEv2安全策略的本端IPv6地址 |
Match VRF |
(暂不支持)匹配IKEv2安全策略的VPN实例名 |
Proposal |
IKEv2安全策略引用的IKEv2安全提议名称 |
【相关命令】
· ikev2 policy
display ikev2 profile命令用来显示IKEv2 profile的配置信息。
【命令】
display ikev2 profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则表示显示所有IKEv2 profile的配置信息。
【举例】
# 显示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile: 1
Priority: 100
Match criteria:
Local address 1.1.1.1
Local address Vlan-interface100
Local address 1:1::1:1
Remote identity ipv4 address 3.3.3.3/32
VRF vrf1
Inside-vrf:
Local identity: address 1.1.1.1
Local authentication method: pre-share
Remote authentication methods: pre-share
Keychain: Keychain1
Sign certificate domain:
Domain1
abc
Verify certificate domain:
Domain2
yy
SA duration: 500
DPD: Interval 32, retry 23, periodic
Config-exchange: Request, Set send, Set accept
NAT keepalive: 10
AAA authorization: Domain domain1, username ikev2
表1-1 display ikev2 profile命令显示信息描述表
字段 |
描述 |
IKEv2 profile |
IKEv2 profile的名称 |
Priority |
IKEv2 profile的优先级 |
Match criteria |
查找IKEv2 profile的匹配条件 |
Inside-vrf |
(暂不支持)内网VPN实例名称 |
Local identity |
本端身份信息 |
Local authentication method |
本端认证方法 |
Remote authentication methods |
对端认证方法 |
Keychain |
IKEv2 profile引用的keychain |
Sign certificate domain |
用于签名的PKI域 |
Verify certificate domain |
用于验证的PKI域 |
SA duration |
IKEv2 SA生存时间 |
DPD |
DPD功能参数:探测的间隔时间(单位为秒)、重传时间间隔(单位为秒)、探测模式(按需探测或周期探测) 若未开启DPD功能,则显示为Disabled |
Config-exchange |
配置交换功能: · Request:表示本端将在Auth交换请求报文中携带配置交换请求载荷 · Set accept:表示本端可接受配置交换设置载荷 · Set send:表示本端可发送配置交换设置载荷 |
NAT keepalive |
发送NAT保活报文的时间间隔(单位为秒) |
AAA authorization |
请求AAA授权信息时使用的参数:ISP域名、用户名 |
【相关命令】
· ikev2 profile
display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name:IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全提议。
【使用指导】
IKEv2安全提议按照优先级从高到低的顺序显示。若不指定任何参数,则显示所有IKEv2提议的配置信息。
【举例】
# 显示所有IKEv2安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption: 3DES-CBC AES-CBC-128 AES-CTR-192 CAMELLIA-CBC-128
Integrity: MD5 SHA256
PRF: MD5 SHA256
DH Group: MODP1024/Group2 MODP1536/Group5
IKEv2 proposal : default
Encryption: AES-CBC-128 3DES-CBC
Integrity: SHA1 MD5
PRF: SHA1 MD5
DH Group: MODP1536/Group5 MODP1024/Group2
表1-2 display ikev2 proposal命令显示信息描述表
字段 |
描述 |
IKEv2 proposal |
IKEv2安全提议的名称 |
Encryption |
IKEv2安全提议采用的加密算法 |
Integrity |
IKEv2安全提议采用的完整性校验算法 |
PRF |
IKEv2安全提议采用的PRF算法 |
DH Group |
IKEv2安全提议采用的DH组 |
【相关命令】
· ikev2 proposal
display ikev2 sa命令用来显示IKEv2 SA的信息。
【命令】
display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] [ verbose [ tunnel tunnel-id ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
count:显示IKEv2 SA的数量。
local:显示指定本端地址的IKEv2 SA信息。
remote:显示指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
verbose:显示IKEv2 SA的详细信息。如果不指定该参数,则表示显示IKEv2 SA的摘要信息。
tunnel tunnel-id:显示指定IPsec隧道的IKEv2 SA详细信息。tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
【使用指导】
若不指定任何参数,则显示所有IKEv2 SA的摘要信息。
【举例】
# 显示所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 显示对端地址为1.1.1.2的IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
表1-3 display ikev2 sa命令显示信息描述表
字段 |
描述 |
Tunnel ID |
IKEv2 SA的隧道标识符 |
Local |
IKEv2 SA的本端IP地址 |
Remote |
IKEv2 SA的对端IP地址 |
Status |
IKEv2 SA的状态: · IN-NEGO(Negotiating):表示此IKE SA正在协商 · EST(Established):表示此IKE SA已建立成功 · DEL(Deleting):表示此IKE SA将被删除 |
# 显示当前所有IKEv2 SA的详细信息。
<Sysname> display ikev2 sa verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD:Interval 20 secs, retry interval 2 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
# 显示对端地址为1.1.1.2的IKEv2 SA的详细信息。
<Sysname> display ikev2 sa remote 1.1.1.2 verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD: Interval 30 secs, retry interval 10 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
表1-4 display ikev2 sa verbose命令显示信息描述表
字段 |
描述 |
Tunnel ID |
IKEv2 SA的隧道标识符 |
Local IP/Port |
本端安全网关的IP地址/端口号 |
Remote IP/Port |
对端安全网关的IP地址/端口号 |
Outside VRF |
(暂不支持)出方向被保护数据所属的VRF名称,-表示属于公网 |
Inside VRF |
(暂不支持)入方向被保护数据所属的VRF名称,-表示属于公网 |
Local SPI |
本端安全参数索引 |
Remote SPI |
对端安全参数索引 |
Local ID type |
本端安全网关的身份信息类型 |
Local ID |
本端安全网关的身份信息 |
Remote ID type |
对端安全网关的身份信息类型 |
Remote ID |
对端安全网关的身份信息 |
Auth sign method |
IKEv2安全提议中认证使用的签名方法 |
Auth verify method |
IKEv2安全提议中认证使用的验证方法 |
Integrity algorithm |
IKEv2安全提议中使用的完整性算法 |
PRF algorithm |
IKEv2安全提议中使用的PRF算法 |
Encryption algorithm |
IKEv2安全提议中使用的加密算法 |
Life duration |
IKEv2 SA的生存时间(单位为秒) |
Remaining key duration |
IKEv2 SA的剩余生存时间(单位为秒) |
Diffie-Hellman group |
IKEv2密钥协商时所使用的DH密钥交换参数 |
NAT traversal |
是否检测到协商双方之间存在NAT网关设备 |
DPD |
DPD探测的时间间隔和重传时间(单位为秒),若未开启DPD探测功能,则显示为Interval 0 secs, retry interval 0 secs |
Transmitting entity |
IKEv2协商中的实体角色:发起方、响应方 |
Local window |
本端IKEv2协商的窗口大小 |
Remote window |
对端IKEv2协商的窗口大小 |
Local request message ID |
本端下一次要发送的请求消息的序号 |
Remote request message ID |
对端下一次要发送的请求消息的序号 |
Local next message ID |
本端期望下一个接收消息的序号 |
Remote next message ID |
对端期望下一个接收消息的序号 |
Pushed IP address |
对端推送给本端的IP地址 |
Assigned IP address |
本端分配给对端的IP地址 |
# 显示所有IKEv2 SA的个数。
[Sysname] display ikev2 sa count
IKEv2 SAs count: 0
表1-5 display ikev2 sa count命令显示信息描述表
字段 |
描述 |
IKEv2 SAs count |
IKEv2 SA的总数 |
display ikev2 statistics命令用来显示IKEv2统计信息。
【命令】
display ikev2 statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKEv2的统计信息。
<Sysname> display ikev2 statistics
IKEv2 statistics:
Unsupported critical payload: 0
Invalid IKE SPI: 0
Invalid major version: 0
Invalid syntax: 0
Invalid message ID: 0
Invalid SPI: 0
No proposal chosen: 0
Invalid KE payload: 0
Authentication failed: 0
Single pair required: 0
TS unacceptable: 0
Invalid selectors: 0
Temporary failure: 0
No child SA: 0
Unknown other notify: 0
No enough resource: 0
Enqueue error: 0
No IKEv2 SA: 0
Packet error: 0
Other error: 0
Retransmit timeout: 0
DPD detect error: 0
Del child for IPsec message: 1
Del child for deleting IKEv2 SA: 1
Del child for receiving delete message: 0
表1-6 display ikev2 statistics命令显示信息描述表
字段 |
描述 |
IKEv2 statistics |
IKEv2统计信息 |
Unsupported critical payload |
不支持的重要载荷 |
Invalid IKE SPI |
无效的IKE SPI信息 |
Invalid major version |
无效的主版本号 |
Invalid syntax |
无效的语法 |
Invalid message ID |
无效的Message ID |
Invalid SPI |
无效的SPI |
No proposal chosen |
提议不匹配 |
Invalid IKE payload |
无效的IKE载荷 |
Authentication failed |
认证失败 |
Single pair required |
需要特定的地址对 |
TS unacceptable |
不可接受的Traffic Selectors |
Invalid selectors |
无效的Selector |
Temporary failure |
临时错误 |
No child SA |
找不到Child SA |
Unknown other notify |
未定义的其它通知类型 |
No enough resource |
资源不够 |
Enqueue error |
入队列错误 |
No IKEv2 SA |
没有IKEv2 SA |
Packet error |
报文错误 |
Other error |
其它错误 |
Retransmit timeout |
重传超时 |
Dpd detect error |
DPD探测失败 |
Del child for IPsec message |
由于收到IPsec消息删除Child SA |
Del child for deleting IKEv2 SA |
由于删除IKEv2 SA删除Chlid SA |
Del child for receiving delete message |
由于收到删除消息删除Child SA |
【相关命令】
· reset ikev2 statistics
dpd用来配置IKEv2 DPD探测功能。
undo dpd命令用来关闭 IKEv2 DPD探测功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKEv2 profile视图下的DPD探测功能处于关闭状态,使用全局的DPD配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定IKEv2 DPD探测的间隔时间,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则本端发送IPsec报文时触发DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒。缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 为IKEv2 profile1配置IKEv2 DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKEv2
DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相关命令】
· ikev2 dpd
encryption命令用来指定IKEv2安全提议使用的加密算法。
undo encryption命令用来恢复缺省情况。
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
【缺省情况】
IKEv2安全提议未定义加密算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
aes-ctr-128:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为128比特。
aes-ctr-192:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为192比特。
aes-ctr-256:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为256比特。
camellia-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为128比特。
camellia-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为192比特。
camellia-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为256比特。
des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
【使用指导】
IKEv2安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。一个IKEv2安全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2安全提议1的加密算法为CBC模式的168-bit 3DES。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc
【相关命令】
· ikev2 proposal
hostname命令用来指定IKEv2 peer的主机名称。
undo hostname命令用来恢复缺省情况。
【命令】
hostname name
undo hostname
【缺省情况】
未配置IKEv2 peer的主机名称。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer主机名称,为1~253个字符的字符串,不区分大小写。
【使用指导】
主机名仅适用于在基于IPsec安全策略的IKEv2协商中发起方查询IKEv2 peer。
【举例】
# 创建IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的主机名为test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相关命令】
· ikev2 keychain
· peer
identity命令用来指定IKEv2 peer的身份信息。
undo identity命令用来恢复缺省情况。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }
undo identity
【缺省情况】
未指定IKEv2 peer的身份信息。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:对端IPv4地址。
ipv6 ipv6-address:对端IPv6地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
email email-string:指定标识对端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
key-id key-id-string:指定标识对端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
对等体身份信息仅用于IKEv2协商的响应方查询IKEv2 peer,因为发起方在发起IKEv2协商时并不知道对端的身份信息。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的身份信息为地址1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相关命令】
· ikev2 keychain
· peer
identity local命令用来配置本端身份信息,用于在IKEv2认证协商阶段向对端标识自己的身份。
undo identity local命令用来恢复缺省情况。
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }
undo identity local
【缺省情况】
未指定IKEv2本端身份信息,使用应用IPsec安全策略的接口的IP地址作为本端身份。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
email email-string:指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
fqdn fqdn-name:指定标识本端身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。
key-id key-id-string:指定标识本端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
交换的身份信息用于协商双方在协商时识别对端身份。
【举例】
#创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相关命令】
· peer
ikev2 address-group命令用来配置为对端分配IPv4地址的IKEv2本地IPv4地址池。
undo ikev2 address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ikev2 address-group group-name [ start-ipv4-address [ end-ipv4-address ] ]
【缺省情况】
未定义IKEv2本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address:IPv4地址池的起始地址。
end-ipv4-address:IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
执行undo ikev2 address-group时:
· 如果不指定起始和结束地址,则会删除所有指定名称的地址池。
· 如果指定起始地址而不指定结束地址,则结束地址的取值与起始地址相同,即删除单地址的地址池。
· 如果同时指定起始和结束地址,则删除指定地址池。
· 若要删除的地址池不存在,则不执行任何操作。
【举例】
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
# 删除IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2。
<Sysname> system-view
[Sysname] undo ikev2 address-group ipv4group 1.1.1.1 1.1.1.2
【相关命令】
· address-group
ikev2 cookie-challenge命令用来开启cookie-challenge功能。
undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【缺省情况】
IKEv2 cookie-challenge功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:指定触发响应方启用cookie-challenge功能的阈值,取值范围为0~1000。
【使用指导】
若响应方配置了cookie-challenge功能,当响应方发现存在的半开IKE SA超过指定的数目时,就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后,构造一个Cookie通知载荷并响应发起方,若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求,则可以继续后续的协商过程,防止由于源IP仿冒而耗费大量响应方的系统资源,造成对响应方的DoS攻击。
【举例】
# 开启cookie-challenge功能,并配置启用cookie-challenge功能的阈值为450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
ikev2 dpd命令用来配置全局IKEv2 DPD功能。
undo ikev2 dpd命令用来关闭全局IKEv2 DPD功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情况】
IKEv2 DPD探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKEv2 DPD探测的时间间隔,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则发送报文前触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能,则IKEv2 profile视图下的DPD配置生效,如果IKEv2 profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 periodic
【相关命令】
· dpd(IKEv2 profile view)
ikev2 ipv6-address-group命令用来配置为对端分配IPv6地址的IKEv2本地地址池。
undo ikev2 ipv6-address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ikev2 ipv6-address-group group-name
【缺省情况】
未定义IKEv2本地IPv6地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。
prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。
assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为0~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。
【使用指导】
与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。
所有IKEv2本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。
【举例】
# 配置IKEv2本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。
<Sysname> system-view
[Sysname] ikev2 ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相关命令】
· ipv6-address-group
ikev2 keychain命令用来创建IKEv2 keychain,并进入IKEv2 keychain视图。如果指定的IKEv2 keychain已经存在,则直接进入IKEv2 keychain视图。
undo ikev2 keychain命令用来删除指定的IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情况】
不存在IKEv2 keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain的名称,为1~63个字符的字符串,不区分大小写,且不能包括字符“-”。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。配置的预共享密钥的值需要与对端IKEv2网关上配置的预共享密钥的值相同。
一个IKEv2 keychain下可以配置多个IKEv2 peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
[Sysname-ikev2-keychain-key1]
ikev2 nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ikev2 nat-keepalive命令用来恢复缺省情况。
【命令】
ikev2 nat-keepalive seconds
undo ikev2 nat-keepalive
【缺省情况】
探测到NAT后发送NAT Keepalive报文的时间间隔为10秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:向对端发送NAT Keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 配置向NAT发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ikev2 nat-keepalive 5
ikev2 policy命令用来创建IKEv2安全策略,并进入IKEv2安全策略视图。如果指定的IKEv2安全策略已经存在,则直接进入IKEv2安全策略视图。
undo ikev2 policy命令用来删除指定的IKEv2安全策略。
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全策略,该缺省的策略中包含一个缺省的IKEv2安全提议default,且可与所有的本端地址相匹配。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址来选择要使用的IKEv2安全策略。选定IKEv2安全策略后,设备将根据安全策略中的安全提议进行加密算法、完整性校验算法、PRF算法和DH组的协商。
可以配置多个IKEv2安全策略。一个IKEv2安全策略中必须至少包含一个IKEv2安全提议,否则该策略不完整。
若发起方使用共享源接口方式IPsec策略,则IKE_SA_INIT协商时,使用共享源接口地址来选择要是使用的IKEv2安全策略。
相同匹配条件下,配置的优先级可用于调整匹配IKEv2安全策略的顺序。
如果没有配置IKEv2安全策略,则使用默认的IKEv2安全策略default。用户不能进入并配置默认的IKEv2安全策略default。
【举例】
# 创建IKEv2安全策略policy1,并进入IKEv2安全策略视图。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相关命令】
· display ikev2 policy
ikev2 profile命令用来创建IKEv2 profile,并进入IKEv2 profile视图。如果指定的IKEv2 profile已经存在,则直接进入IKEv2 profile视图。
undo ikev2 profile命令用来删除指定的IKEv2 profile。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【缺省情况】
不存在IKEv2 profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKEv2 profile用于保存非协商的IKEv2 SA的参数,如本端和对端的身份、本端和对端的认证方式、用于查找IKEv2 profile的匹配条件等。
【举例】
# 创建IKEv2 profile,名称为profile1,并进入IKEv2 profile视图。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【相关命令】
· display ikev2 profile
ikev2 proposal命令用来创建IKEv2安全提议,并进入IKEv2安全提议视图。如果指定的IKEv2安全提议已经存在,则直接进入IKEv2安全提议视图。
undo ikev2 proposal命令用来删除指定的IKEv2安全提议。
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全提议。
· 加密算法:AES-CBC-128和3DES
· 完整性校验算法:HMAC-SHA1和HMAC-MD5
· PRF算法:HMAC-SHA1和HMAC-MD5
· DH:group5和group2
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-name:指定IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写,且不能为default。
【使用指导】
IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数,包括加密算法、完整性验证算法、PRF(pseudo-random function)算法和DH组。
在一个IKEv2安全提议中,至少需要配置一组安全参数,即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。
在一个IKEv2安全提议中,可以配置多组安全参数,即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组,这些安全参数在实际协商过程中,将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在IKEv2安全提议中仅配置了一套安全参数。
【举例】
# 创建IKEv2安全提议prop1,并配置加密算法为aes-cbc-128,完整性校验算法为sha1,PRF算法为sha1,DH组为group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相关命令】
· encryption-algorithm
· integrity
· prf
· dh
integrity命令用来指定IKEv2安全提议使用的完整性校验算法。
undo integrity命令用来恢复缺省情况。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情况】
未指定IKEv2安全提议使用的完整性校验算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:指定IKEv2安全提议采用的完整性校验算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。一个IKEv2安全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的完整性校验算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相关命令】
· ikev2 proposal
keychain命令用来配置采用预共享密钥认证时使用的Keychain。
undo keychain命令用来恢复缺省情况。
【命令】
keychain keychain-name
undo keychain
【缺省情况】
IKEv2 profile中未引用Keychain。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain名称,为1~63个字符的字符串,不区分大小写,且不能包括字符-。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。
不同的IKEv2 profile可以共享同一个IKEv2 keychain 。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keychain,keychain的名称为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· ikev2 keychain
match local命令用来限制IKEv2 profile的使用范围。
undo match local命令用来取消对IKEv2 profile使用范围的限制。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未限制IKEv2 profile的使用范围。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address:指定IKEv2 profile只能用于指定地址或指定接口的地址上的IKEv2协商。
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
此命令用于限制IKEv2 profile只能用于指定地址或指定接口上的地址协商,这里的地址指的是本端收到IKEv2报文的接口IP地址,即只有IKEv2协商报文从该地址接收时,才会采用该IKEv2 profile。IKEv2 profile优先级可以手工配置,先配置的优先级高。若希望本端在匹配某些IKEv2 profile的时候,不按照手工配置的顺序来查找,则可以通过本命令来指定这类IKEv2 profile的使用范围。例如,IKEv2 profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKEv2 profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKEv2 profile A先于IKEv2 profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
通过该命令可以指定多个本端匹配条件。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 限制IKEv2 profile profile1只能在IP地址为2.2.2.2的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相关命令】
· match remote
match local address命令用来指定匹配IKEv2安全策略的本端地址。
undo match local address命令用来删除指定的用于匹配IKEv2安全策略的本端地址。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定用于匹配IKEv2安全策略的本端地址,表示本策略可匹配所有本端地址。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
根据本端地址匹配IKEv2安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。
【举例】
# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相关命令】
· display ikev2 policy
match remote命令用来配置匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKEv2 profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串,不区分大小写。本参数用于基于对端数字证书中的信息匹配IKEv2 profile。
identity:基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ]:对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀长度,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
email email-string:指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
key-id key-id-string:指定标识对等体身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
查找对端匹配的IKEv2 profile时,对端需要同时满足以下条件:
· 将对端的身份信息与本命令配置的匹配规则进行比较,二者必须相同。
· 查找IKEv2 profile和验证对端身份时,需要使用match remote、match local address一起匹配,若有其中一项不符合,则表示该IKEv2 profile不匹配。
查找到匹配的IKEv2 profile后,本端设备将用该IKEv2 profile中的信息与对端完成认证。
为了使得每个对端能够匹配到唯一的IKEv2 profile,不建议在两个或两个以上IKEv2 profile中配置相同的match remote规则,否则能够匹配到哪个IKEv2 profile是不可预知的。match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定匹配采用FQDN作为身份标识、且取值为www.test.com的对端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.com
# 指定匹配采用IP地址作为身份标识、且取值为10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相关命令】
· identity local
· match local address
nat-keepalive命令用来配置发送NAT keepalive的时间间隔。
undo nat-keepalive命令用来恢复缺省情况。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情况】
使用全局的IKEv2 NAT keepalive配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:发送NAT keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置发送NAT keepalive报文的时间间隔为1200秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相关命令】
· display ikev2 profile
· ikev2 nat-keepalive
peer命令用来创建IKEv2 peer,并进入IKEv2 peer视图。如果指定的IKEv2 peer已经存在,则直接进入IKEv2 peer视图。
undo peer命令用来删除指定的IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情况】
不存在IKEv2 peer。
【视图】
IKEv2 keychain视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKEv2 peer中包含了一个预共享密钥以及用于查找该peer的匹配条件,包括对端的主机名称(由命令hostname配置)、对端的IP地址(由命令address配置)和对端的身份(由命令identity配置)。其中,IKEv2协商的发起方使用对端的主机名称或IP地址查找peer,响应方使用对端的身份或IP地址查找peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
【相关命令】
· ikev2 keychain
pre-shared-key命令用来配置IKEv2 peer的预共享密钥。
undo pre-shared-key命令用来删除IKEv2 peer的预共享密钥。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
【缺省情况】
未配置IKEv2 peer的预共享密钥。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
local:表示签名密钥。
remote:表示验证密钥。
ciphertext:以密文方式设置密钥。
plaintext:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。
【使用指导】
如果指定了参数local或remote,则表示指定的是非对称密钥;若参数local和remote均不指定,则表示指定的是对称密钥。
执行undo命令时,指定要删除的密钥类型必须和已配置的密钥类型完全一致,该undo命令才会执行成功。例如,IKEv2 peer视图下仅有pre-shared-key local的配置,则执行undo pre-shared-key和undo pre-shared-key remote命令均无效。
多次执行本命令,最后一次执行的命令生效。
【举例】
· 发起方示例
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-key1] peer peer2
# 配置peer2的非对称预共享密钥,签名密钥为明文111-key-a,验证密钥为明文111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
· 响应方示例
# 创建一个IKEv2 keychain,名称为telecom。
<Sysname> system-view
[Sysname] ikev2 keychain telecom
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置IKEv2 peer的非对称预共享密钥,签名密钥为明文111-key-b,验证密钥为明文111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相关命令】
· ikev2 keychain
· peer
prf命令用来指定IKEv2安全提议使用的PRF算法。
undo prf命令用来恢复缺省情况。
【命令】
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
【缺省情况】
IKEv2安全提议使用配置的完整性校验算法作为PRF算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:指定IKEv2安全提议采用的PRF算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的PRF算法为 HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中可以配置多个PRF算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的PRF算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] prf sha1 md5
【相关命令】
· ikev2 proposal
· integrity
priority命令用来指定IKEv2安全策略的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2安全策略的优先级为100。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2安全策略优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2安全策略时调整IKEv2安全策略的匹配顺序。
【举例】
# 指定IKEv2安全策略policy1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] priority 10
【相关命令】
· display ikev2 policy
priority命令用来配置IKEv2 profile的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2 profile的优先级为100。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2 profile优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2 Profile时调整IKEv2 Profile的匹配顺序。
【举例】
# 指定IKEv2 profile profile1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] priority 10
proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。
undo proposal命令用来取消IKEv2安全策略引用的IKEv2安全提议。
【命令】
proposal proposal-name
undo proposal proposal-name
【缺省情况】
IKEv2安全策略未引用IKEv2安全提议。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
proposal-name:被引用的IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
若同时指定了多个IKEv2安全提议,则它们的优先级按照配置顺序依次降低。
【举例】
# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1
【相关命令】
· display ikev2 policy
· ikev2 proposal
reset ikev2 sa命令用来清除IKEv2 SA。
【命令】
reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] | tunnel tunnel-id ] [ fast ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
local:清除指定本端地址的IKEv2 SA信息。
remote:清除指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
tunnel tunnel-id:清除指定IPsec隧道的IKEv2 SA信息,tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
fast:不等待对端的回应,直接删除本端的IKEv2 SA。若不指定本参数,则表示需要在收到对端的删除通知响应之后,再删除本端的IKEv2 SA。
【使用指导】
清除IKEv2 SA时,会向对端发送删除通知消息,同时删除子SA。
如果不指定任何参数,则删除所有IKEv2 SA及其协商生成的子SA。
【举例】
# 删除对端地址为1.1.1.2 的IKEv2 SA。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
【相关命令】
· display ikev2 sa
reset ikev2 statistics命令用来清除IKEv2统计信息。
【命令】
reset ikev2 statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKEv2的统计信息。
<Sysname> reset ikev2 statistics
【相关命令】
· display ikev2 statistics
sa duration命令用来配置IKEv2 SA的生存时间。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKEv2 SA的生存时间为86400秒。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:IKEv2 SA的生存时间,取值范围为120~86400,单位为秒。
【使用指导】
在一个IKEv2 SA的生存时间到达之前,可以用该IKEv2 SA进行其它IKEv2协商。因此一个生存时间较长的IKEv2 SA可以节省很多用于重新协商的时间。但是,IKEv2 SA的生存时间越长,攻击者越容易收集到更多的报文信息来对它实施攻击。
本端和对端的IKEv2 SA生存时间可以不一致,也不需要进行协商,由生存时间较短的一方在本端IKEv2 SA生存时间到达之后发起重协商。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生存时间为1200秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相关命令】
· display ikev2 profile
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!