10-IKE命令
本章节下载: 10-IKE命令 (461.61 KB)
目 录
1.1.2 authentication-algorithm
1.1.6 client-authentication xauth user
1.1.7 client source-udp-port dynamic
1.1.17 ike compatible-gm-main enable
1.1.18 ike compatible-sm4 enable
1.1.20 ike gm-main sm4-version
1.1.22 ike invalid-spi-recovery enable
1.1.27 ike logging negotiation enable
1.1.31 ike signature-identity from-certificate
1.1.34 match local address (IKE keychain view)
1.1.35 match local address (IKE profile view)
1.1.38 priority (IKE keychain view)
1.1.39 priority (IKE profile view)
aaa authorization命令用来开启IKE的AAA授权功能。
undo aaa authorization命令用来关闭IKE的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKE的AAA授权功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKE可以向AAA模块申请授权属性,例如IKE本地地址池属性。IKE模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKE本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKE profile,名称为profile1。
<Sysname> system-view
[Sysname] ike profile profile1
# 在IKE profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ike-profile-profile1] aaa authorization domain abc username test
authentication-algorithm命令用来指定IKE提议使用的认证算法。
undo authentication-algorithm命令用来恢复缺省情况。
【命令】
authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 | sm3 }
undo authentication-algorithm
【缺省情况】
IKE提议使用的认证算法为HMAC-SHA1
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
sha256:指定认证算法为HMAC-SHA256。
sha384:指定认证算法为HMAC-SHA384。
sha512:指定认证算法为HMAC-SHA512。
sm3:指定认证算法为HMAC-SM3。
【举例】
# 指定IKE提议1的认证算法为HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相关命令】
· display ike proposal
authentication-method命令用来指定IKE提议使用的认证方法。
undo authentication-method命令用来恢复缺省情况。
【命令】
authentication-method { dsa-signature | pre-share | rsa-de | rsa-signature | sm2-de }
undo authentication-method
【缺省情况】
IKE提议使用预共享密钥的认证方法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
dsa-signature:指定认证方法为DSA数字签名方法。
pre-share:指定认证方法为预共享密钥方法。
rsa-de:指定认证方法为RSA数字信封方法。
rsa-signature:指定认证方法为RSA数字签名方法。
sm2-de:指定认证方法为SM2数字信封方法。
【使用指导】
认证方法分为预共享密钥认证、数字签名认证(包括RSA数字签名认证和DSA数字签名认证)和数字信封认证(包括RSA数字信封认证和SM2数字信封认证)。
· 预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;
· 数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域;
· 数字信封认证用于设备需要符合国家密码管理局要求时使用,此认证方法只能在IKEv1的协商过程中支持。
协商双方必须有匹配的认证方法。
如果指定认证方法为RSA数字签名方法或者DSA数字签名方法,则还必须保证对端从CA(证书认证机构)获得数字证书。
如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。
【举例】
# 指定IKE提议1的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相关命令】
· display ike proposal
· ike keychain
· pre-shared-key
certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消指定IKE协商时使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情况】
未指定用于IKE协商的PKI域。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可通过多次执行本命令指定多个PKI域,一个IKE profile中最多可以引用六个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。
IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:
· 对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。
· 对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。
· 在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。
【举例】
# 在IKE profile 1中指定IKE协商时使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相关命令】
· authentication-method
· pki domain(安全命令参考/PKI)
client-authentication命令用来开启对客户端的认证。
undo client-authentication命令用来关闭对客户端的认证。
【命令】
client-authentication xauth
undo client-authentication xauth
【缺省情况】
对客户端的认证处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
xauth:表示采用XAUTH (Extended Authentication within ISAKMP/Oakley)方式认证。
【使用指导】
在部署多分支远程访问企业中心的IPsec VPN应用时,为区别不同的客户端,通常需要中心侧的网管人员为每一个远程客户端设置不同IPsec安全策略和认证密码,此工作量巨大,也不方便管理。在中心侧开启了对客户端认证之后,远程客户端与中心侧设备进行IKE协商的过程中,中心侧设备可以利用RADIUS服务器来对客户端进行用户名和密码的验证,要求每个远程客户端在接入时,都需要提供不同的用户名和密码,这样可以简化中心侧的配置负担,保证了远程接入客户端的安全性。
【举例】
# 开启基于XAUTH方式的认证。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth
【相关命令】
· local-user(用户接入与认证命令参考/AAA)
client-authentication xauth user命令用来配置客户端认证的用户名和密码。
undo client-authentication xauth user命令用来恢复缺省情况。
【命令】
client-authentication xauth user username password { cipher | simple } string
undo client-authentication xauth user
【缺省情况】
未配置客户端认证的用户名和密码。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
user-name:用户名称,为1~55个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”(不区分大小写)。
password:用户密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~110个字符的字符串。
【使用指导】
在多分支远程访问企业中心的IPsec VPN组网环境中,在远程客户端上配置用户名和密码,可用来向中心侧发起AAA认证。
【举例】
# 配置客户端认证的用户名为abc,密文密码为123abc。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth user abc password simple 123
client source-udp-port dynamic命令用来配置发起方IKE协商使用的UDP源端口号为动态设置。
undo client source-udp-port dynamic命令用来恢复缺省情况。
【命令】
client source-udp-port dynamic
undo client source-udp-port dynamic
【缺省情况】
发起方IKE协商使用的UDP源端口号为500。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【使用指导】
本命令仅在发起方生效。
当发起方配置本命令后,发起方在IKE协商过程中将使用随机的UDP源端口号发送协商报文,响应方会根据收到的协商报文中的UDP端口号来发送接下来的协商报文。如果随机使用的UDP源端口号无法使IKE协商成功,IKE将再次随机使用一个UDP源端口号进行协商,直至协商成功。
正常情况下,IKE对等体之间协商IKE SA时,如果对等体之间存在NAT设备,IKE会将协商报文的UDP源和目的端口号都修改为4500。在某些组网环境中,网络中间设备会将UDP源端口号为4500的报文丢弃,从而导致IKE协商失败。将IKE协商报文的UDP源端口号设置为自动设置,可以避免IKE协商报文被网络中间设备丢弃。
修改本命令对已建立的IKE SA不影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在IKE profile prof1下,配置发起方IKE协商使用的UDP源端口号为动态设置。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] client source-udp-port dynamic
【相关命令】
· display ike sa
description命令用来配置IKE提议的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在IKE提议的描述信息。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
text:IKE提议的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IKE提议时,可通过配置相应的描述信息来有效区分不同的IKE提议。
【举例】
# 配置序号为1的IKE提议的描述信息为test。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] description test
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
dh { group1 | group14 | group2 | group24 | group5 }
undo dh
【缺省情况】
IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。
group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
【举例】
# 指定IKE提议1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相关命令】
· display ike proposal
display ike proposal命令用来显示所有IKE提议的配置信息。
【命令】
display ike proposal
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。
【举例】
# 显示IKE提议的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表1-1 display ike proposal命令显示信息描述表
字段 |
描述 |
Priority |
IKE提议的优先级 |
Authentication method |
IKE提议使用的认证方法,包括: · DSA-SIG:DSA签名 · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · RSA-DE:RSA数字信封 · SM2-DE:SM2数字信封 |
Authentication algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
Encryption algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
Diffie-Hellman group |
IKE阶段1密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
Duration (seconds) |
IKE提议中指定的IKE SA存活时间,单位为秒 |
【相关命令】
· ike proposal
display ike sa命令用来显示当前IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示当前IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
ipv6:指定IPv6地址。
remote-address:对端的IP地址。
【使用指导】
若不指定任何参数,则显示当前所有IKE SA的摘要信息。
【举例】
# 显示当前所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
表1-2 display ike sa命令显示信息描述表
字段 |
描述 |
Connection-ID |
IKE SA的标识符 |
Remote |
此IKE SA的对端的IP地址和端口号 |
Flags |
IKE SA的状态,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · RK-REKEY:表示此IKE SA是Rekey SA · Unknown:表示IKE协商的状态未知 |
DOI |
IKE SA所属解释域,包括: · IPsec:表示此IKE SA使用的DOI为IPsec DOI |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
# 显示目的地址为4.4.4.5的IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
表1-3 display ike sa verbose命令显示信息描述表
字段 |
描述 |
Connection ID |
IKE SA的标识符 |
Outside VPN |
(暂不支持)接收报文的接口所属的MPLS L3VPN的VPN实例名称 |
Inside VPN |
(暂不支持)被保护数据所属的MPLS L3VPN的VPN实例名称 |
Profile |
IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称 |
Transmitting entity |
IKE协商中的实体角色,包括: · Initiator:发起方 · Responder:响应方 |
Initiator cookie |
IKE SA发起者Cookie |
Responder cookie |
IKE SA响应者Cookie |
Local IP/port |
本端安全网关的IP地址和端口号 |
Local ID type |
本端安全网关的身份信息类型 |
Local ID |
本端安全网关的身份信息 |
Remote IP/port |
对端安全网关的IP地址和端口号 |
Remote ID type |
对端安全网关的身份信息类型 |
Remote ID |
对端安全网关的身份信息 |
Authentication-method |
IKE提议使用的认证方法,包括: · DSA-SIG:DSA签名 · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 |
Authentication-algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
Encryption-algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
Life duration(sec) |
IKE SA的存活时间,单位为秒 |
Remaining key duration(sec) |
IKE SA的剩余存活时间,单位为秒 |
Exchange-mode |
IKE第一阶段的协商模式,包括: · Aggressive:野蛮模式 · Main:主模式 |
Diffie-Hellman group |
IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
NAT traversal |
是否检测到协商双方之间存在NAT网关设备 |
Extend authentication |
是否开启扩展认证: · Enabled:开启 · Disabled:关闭 |
Assigned IP address |
本端分配给对端的IP地址,如果没有分配则不显示 |
Vendor ID index |
触发IKE协商时,使用的厂商自定义常量索引 |
Vendor ID sequence number |
触发IKE协商时,使用的厂商自定义常量序列号 |
display ike statistics命令用来显示IKE的统计信息。
【命令】
display ike statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKE的统计信息。
<Sysname> display ike statistics
IKE statistics:
No matching proposal: 0
Invalid ID information: 0
Unavailable certificate: 0
Unsupported DOI: 0
Unsupported situation: 0
Invalid proposal syntax: 0
Invalid SPI: 0
Invalid protocol ID: 0
Invalid certificate: 0
Authentication failure: 0
Invalid flags: 0
Invalid message id: 0
Invalid cookie: 0
Invalid transform ID: 0
Malformed payload: 0
Invalid key information: 0
Invalid hash information: 0
Unsupported attribute: 0
Unsupported certificate type: 0
Invalid certificate authority: 0
Invalid signature: 0
Unsupported exchange type: 0
No available SA: 1
Retransmit timeout: 0
Not enough memory: 0
Enqueue fails: 0
Failures to send R_U_THERE DPD packets: 0
Failures to receive R_U_THERE DPD packets: 0
Failures to send ACK DPD packets: 0
Failures to receive ACK DPD packets: 0
Sent P1 SA lifetime change packets: 0
Received P1 SA lifetime change packets: total=0, process failures=0 (no SA=0, failures to reset SA soft lifetime=0, failures to reset SA hard lifetime=0)
Sent P2 SA lifetime change packets: 0
Received P2 SA lifetime change packets: total=0, process failures=0
表1-4 display ike statistics命令显示信息描述表
字段 |
描述 |
No matching proposal |
提议不匹配 |
Invalid ID information |
无效的ID信息 |
Unavailable certificate |
本地未发现此证书 |
Unsupported DOI |
不支持的DOI |
Unsupported situation |
不支持的形式 |
Invalid proposal syntax |
无效的提议语法 |
Invalid SPI |
无效的SPI |
Invalid protocol ID |
无效的协议ID |
Invalid certificate |
无效的证书 |
Authentication failure |
认证失败 |
Invalid flags |
无效的标记 |
Invalid message id |
无效的消息ID |
Invalid cookie |
无效的cookie |
Invalid transform ID |
无效的transform ID |
Malformed payload |
畸形载荷 |
Invalid key information |
无效的密钥信息 |
Invalid hash information |
无效的hash信息 |
Unsupported attribute |
不支持的属性 |
Unsupported certificate type |
不支持的证书类型 |
Invalid certificate authority |
无效的证书授权 |
Invalid signature |
无效的签名 |
Unsupported exchange type |
不支持的交换类型 |
No available SA |
没有可用的SA |
Retransmit timeout |
重传超时 |
Not enough memory |
内存不足 |
Enqueue fails |
入队列失败 |
Failures to send R_U_THERE DPD packets |
发送R_U_THERE类型DPD报文失败的次数 |
Failures to receive R_U_THERE DPD packets |
接收R_U_THERE类型DPD报文失败的次数 |
Failures to send ACK DPD packets |
发送DPD ACK报文失败的次数 |
Failures to receive ACK DPD packets |
接收DPD ACK报文失败的次数 |
Sent P1 SA lifetime change packets |
发送P1阶段改变生存周期的info类型报文的个数 |
Received P1 SA lifetime change packets: total=N, process failures=N (no SA=N, failures to reset SA soft lifetime=N, failures to reset SA hard lifetime=N) |
接收P1阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数 ¡ 因为没有sa记录的个数 ¡ 软超时定时器流程处理失败的个数 生存时间定时器流程处理失败的个数 |
Sent P2 SA lifetime change packets |
发送P2阶段改变生存周期的info类型报文的个数 |
Received P2 SA lifetime change packets: total=N, process failures=N |
接收P2阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数 |
【相关命令】
· reset ike statistics
dpd命令用来配置IKE DPD功能。
undo dpd命令用来关闭IKE DPD功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKE DPD功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。
建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。
【举例】
# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相关命令】
· ike dpd
encryption-algorithm命令用来指定IKE提议使用的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
【命令】
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | sm1-cbc-128 | sm4-cbc }
undo encryption-algorithm
【缺省情况】
IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
sm1-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,SM1算法采用128比特的密钥进行加密。
sm4-cbc:指定IKE安全提议采用的加密算法为CBC模式的SM4算法,SM4算法采用128比特的密钥进行加密。
【举例】
# 指定IKE提议1的加密算法为128比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
【相关命令】
· display ike proposal
exchange-mode命令用来选择IKE第一阶段的协商模式。
undo exchange-mode命令用来恢复缺省情况。
【命令】
exchange-mode { aggressive | gm-main | main }
undo exchange-mode
【缺省情况】
IKE第一阶段的协商模式为主模式。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
aggressive:野蛮模式。
gm-main:国密主模式。
main:主模式。
【使用指导】
当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。
本端的协商模式配置为国密主模式,必须使用RSA-DE或者SM2-DE数字信封方式认证。
【举例】
# 配置IKE第一阶段协商使用国密主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode gm-main
# 配置IKE第一阶段协商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相关命令】
· display ike proposal
ike address-group命令用来配置为对端分配IPv4地址的IKE本地地址池。
undo ike address-group命令用来删除指定的IKE本地地址池。
【命令】
ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ike address-group group-name
【缺省情况】
未配置IKE本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address end-ipv4-address:IPv4地址池的地址范围。其中,start-ipv4-address为IPv4地址池的起始地址,end-ipv4-address为IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
如果修改或者删除地址池,则需要删除所有的IKE SA和IPsec SA,否则,可能会导致已经分配的地址无法回收。
【举例】
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
· aaa authorization
ike compatible-gm-main enable命令用来配置IKE协商国密主模式与老版本设备兼容。
undo ike compatible-gm-main enable命令用来恢复缺省情况。
【命令】
ike compatible-gm-main enable
undo ike compatible-gm-main enable
【缺省情况】
IKE协商国密主模式与现有版本设备及第三方设备兼容。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
FIPS模式下,不支持本命令。
同一时间,设备的IKE协商国密主模式只能兼容老版本设备,或兼容现有版本和第三方设备。
仅当新老版本设备进行IKE协商时,需要在新版本设备上配置本命令。
老版本设备是指不支持本命令的设备,新版本设备是指支持本命令的设备。
【举例】
# 配置IKE协商国密主模式与老版本设备兼容。
<Sysname> system-view
[Sysname] ike compatible-gm-main enable
ike compatible-sm4 enable命令用来设置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。
undo ike compatible-sm4 enable命令用来恢复缺省情况。
【命令】
ike compatible-sm4 enable
undo ike compatible-sm4 enable
【缺省情况】
IKE协商过程中使用的sm4-cbc算法的密钥长度不兼容老版本。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
同一时间,设备的IKE协商使用的sm4-cbc算法密钥长度只能兼容老版本设备,或兼容现有版本和第三方设备。
仅当新老版本设备进行IKE协商时,需要在新版本设备上配置本命令。
老版本设备是指不支持本命令的设备,新版本设备是指支持本命令的设备。
【举例】
# 配置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。
<Sysname> system-view
[Sysname] ike compatible-sm4 enable
ike dpd命令用来配置全局IKE DPD功能。
undo ike dpd命令用来关闭全局IKE DPD功能。
【命令】
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情况】
全局IKE DPD功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相关命令】
· dpd
ike gm-main sm4-version命令用来配置IKE国密主模式协商时使用的SM4算法版本。
undo ike gm-main sm4-version命令用来恢复缺省情况。
【命令】
ike gm-main sm4-version { draft | standard }
undo ike gm-main sm4-version
【缺省情况】
IKE国密主模式协商时使用的SM4算法版本为standard。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
draft:指定SM4算法的版本为草案版本,SM4算法的属性值为127。
standard:指定SM4算法的版本为标准版本,SM4算法的属性值为129。
【使用指导】
FIPS模式下,不支持本命令。
由于SM4算法的版本存在差异,设备作为发起方与其他厂家设备进行IKE协商时,需要通过本命令指定SM4算法版本,保证两端设备使用相同版本的SM4算法进行协商。
本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。
【举例】
# 在IKE profile视图下,配置IKE国密主模式协商时使用的SM4算法版本为draft,即草案版本。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] ike gm-main sm4-version draft
ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo ike identity命令用来恢复缺省情况。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情况】
使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相关命令】
· local-identity
· ike signature-identity from-certificate
ike invalid-spi-recovery enable命令用来开启针对无效IPsec SPI的IKE SA恢复功能。
undo ike invalid-spi-recovery enable命令用来关闭针对无效IPsec SPI的IKE SA恢复功能。
【命令】
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
【缺省情况】
针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致本端IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经完全丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收到发送端使用此IPsec SA封装的IPsec报文时,就会因为找不到对应的SA而持续丢弃报文,形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复(只有等到发送端旧的IPsec SA生存时间超时,并重建IPsec SA后,两端的IPsec流量才能得以恢复),因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。
SA由SPI唯一标识,接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA,若接收方找不到处理该报文的IPsec SA,则认为此报文的SPI无效。如果接收端当前存在IKE SA,则会向对端发送删除对应IPsec SA的通知消息,发送端IKE接收到此通知消息后,就会立即删除此无效SPI对应的IPsec SA。之后,当发送端需要继续向接收端发送报文时,就会触发两端重建IPsec SA,使得中断的IPsec通信链路得以恢复;如果接收端当前不存在IKE SA,就不会触发本端向对端发送删除IPsec SA的通知消息,接收端将默认丢弃无效SPI的IPsec 报文,使得链路无法恢复。后一种情况下,如果开启了IPsec无效SPI恢复IKE SA功能,就会触发本端与对端协商新的IKE SA并发送删除消息给对端,从而使链路恢复正常。
由于开启此功能后,若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备,会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS(Denial of Sevice)攻击的风险,通常情况下,建议关闭针对无效IPsec SPI的IKE SA恢复功能。
【举例】
# 开启IPsec无效SPI恢复IKE SA功能。
<Sysname> system-view
[Sysname] ike invalid-spi-recovery enable
ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。
undo ike keepalive interval命令用来恢复缺省情况。
【命令】
ike keepalive interval interval
undo ike keepalive interval
【缺省情况】
不向对端发送IKE Keepalive报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【使用指导】
当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。
本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相关命令】
· ike keepalive timeout
ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。
undo ike keepalive timeout命令用来恢复缺省情况。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情况】
未配置本端等待对端发送IKE Keepalive报文的超时时间。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【使用指导】
当本端IKE SA在配置的超时时间内未收到IKE Keepalive报文时,则删除该IKE SA以及由其协商的IPsec SA。
本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相关命令】
· ike keepalive interval
ike keychain命令用来创建IKE keychain,并进入IKE keychain视图。如果指定的IKE keychain已经存在,则直接进入IKE keychain视图。
undo ike keychain命令用来删除指定的IKE keychain。
【命令】
ike keychain keychain-name
undo ike keychain keychain-name
【缺省情况】
不存在IKE keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相关命令】
· authentication-method
· pre-shared-key
ike limit命令用来配置对本端IKE SA数目的限制。
undo ike limit命令用来恢复缺省情况。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情况】
不限制IKE SA数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。
max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999 。
【使用指导】
可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。
可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。
【举例】
# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允许成功建立的IKE SA的最大数为5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
ike logging negotiation enable命令用来开启IKE协商事件日志功能。
undo ike logging negotiation enable命令用来关闭IKE协商事件日志功能。
【命令】
ike logging negotiation enable
undo ike logging negotiation enable
【缺省情况】
IKE协商事件日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IKE协商事件日志记录功能后,设备会输出IKE协商过程中的相关日志。
【举例】
# 开启IKE事件协商日志功能。
<Sysname> system-view
[Sysname] ike logging negotiation enable
ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive命令用来恢复缺省情况。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情况】
向对端发送NAT Keepalive报文的时间间隔为20秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。
因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。关于如何查看NAT表项的存活时间,请参见“网络互通命令参考”中的“NAT”。
【举例】
# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
ike profile命令用来创建一个IKE profile,并进入IKE profile视图。如果指定的IKE profile已经存在,则直接进入IKE profile视图。
undo ike profile命令用来删除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情况】
不存在IKE profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建IKE profile 1,并进入其视图。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用来创建IKE提议,并进入IKE提议视图。如果指定的IKE提议已经存在,则直接进入IKE提议视图。
undo ike proposal命令用来删除指定IKE提议。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情况】
系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:
· 加密算法:DES-CBC
· 认证算法:HMAC-SHA1
· 认证方法:预共享密钥
· DH密钥交换参数:group1
· IKE SA存活时间:86400秒
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【使用指导】
在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。
响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。
【举例】
# 创建IKE提议1,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相关命令】
· display ike proposal
ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。
undo ike signature-identity from-certificate命令用来恢复缺省情况。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情况】
当使用数字签名认证方式时,本端身份信息由local-identity或ike identity命令指定。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identity或ike identity如何配置。
在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。
如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相关命令】
· local-identity
· ike identity
keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情况】
未指定采用预共享密钥认证时使用的IKE keychain。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。
【举例】
# 在IKE profile 1中指定名称为abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相关命令】
· ike keychain
local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo local-identity命令用来恢复缺省情况。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情况】
未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address } :指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。
野蛮模式下,如果本端的认证方式为数字签名方式,且配置的本端身份为DN名,则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商,则必须在系统视图下配置ike signature-identity from-certificate命令。
响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。
一个IKE profile中只能配置一条本端身份信息。
IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相关命令】
· match remote
· ike identity
· ike signature-identity from-certificate
match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address
【缺省情况】
未限制IKE keychain的使用范围。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意的三层接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
【使用指导】
此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用keychain B与对端协商,可以配置keychain B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE keychain,名称为key1。
<Sysname> system-view
[Sysname] ike keychain key1
# 限制IKE keychain key1只能在2.2.2.1的IP地址上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.1
match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address
【缺省情况】
未限制IKE profile的使用范围。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 限制IKE profile prof1 只能在2.2.2.1的IP地址上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.1
match remote命令用来配置一条用于匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | user-fqdn user-fqdn-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | user-fqdn user-fqdn-name } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。
identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]。
【使用指导】
响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份,发起方根据响应方的身份信息通过本配置验证对端身份。
协商双方都必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。
match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配对端身份类型为FQDN,取值为www.test.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.com
# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相关命令】
· local-identity
pre-shared-key命令用来配置预共享密钥。
undo pre-shared-key命令用来取消指定的预共享密钥。
【命令】
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情况】
未配置预共享密钥。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
address:对端的地址。
ipv4-address:对端的IPv4地址。
mask:对端的IPv4地址掩码,缺省值为255.255.255.255。
mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。
ipv6:指定对端的IPv6地址。
ipv6-address:对端的IPv6地址。
prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。
hostname host-name:对端主机名。取值范围为1~255,区分大小写。
key:设置的预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。
【使用指导】
配置预共享密钥的同时,还通过参数address和hostname指定了使用该预共享密钥的匹配条件,即与哪些IP地址或哪些主机名的对端协商时,才可以使用该预共享密钥。
以hostname方式设置预共享密钥时,IKE协商只能采用野蛮模式,设备本身只能作为响应方,且对端IKE身份ID需采用FQDN方式来匹配主机名。
IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。
不支持交互式设置预共享密钥。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!
【相关命令】
· authentication-method
· keychain
priority命令用来指定IKE keychain的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE keychain的优先级为100。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。
【举例】
# 指定IKE keychain key1的优先级为10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用来指定IKE profile的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE profile的优先级为100。
【视图】
IKE-Profile视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。
【举例】
# 指定在IKE profile prof1的优先级为10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用来配置IKE profile引用的IKE提议。
undo proposal 命令用来恢复缺省情况。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情况】
IKE profile未引用IKE提议,使用系统视图下配置的IKE提议进行IKE协商。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。
【举例】
# 设置IKE profile prof1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相关命令】
· ike proposal
reset ike sa命令用来清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
【使用指导】
删除IKE SA时,会向对端发送删除通知消息。
【举例】
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
2 202.38.0.3 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 清除连接ID号为2 的IKE SA。
<Sysname> reset ike sa connection-id 2
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
reset ike statistics命令用于清除IKE的MIB统计信息。
【命令】
reset ike statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKE的MIB统计信息。
<Sysname> reset ike statistics
【相关命令】
· snmp-agent trap enable ike
sa duration命令用来指定一个IKE提议的IKE SA存活时间。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKE提议的IKE SA存活时间为86400秒。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。
【使用指导】
在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。
如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。
若配置中同时存在IPsec SA存活时间,则建议IKE SA存活时间大于IPsec SA存活时间。
【举例】
# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相关命令】
· display ike proposal
sa soft-duration buffer命令用来设置IKE SA的软超时缓冲时间。
undo sa soft-duration buffer命令用来恢复缺省情况。
【命令】
sa soft-duration buffer seconds
undo sa soft-duration buffer
【缺省情况】
未配置IKE SA的软超时缓冲时间。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
seconds:IKE SA的软超时缓冲时间,取值范围为10~36000,单位为秒。
【使用指导】
本命令只对IKEv1有效。
若未配置软超时缓冲时间,则系统会基于IKE SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IKE SA协商。
需要注意的是,在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于10秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
【举例】
# 设置IKE SA的软超时缓冲时间为600秒。
<Sysname> system-view
[Sysname] ike profile abc
[Sysname-ike-profile-abc] sa soft-duration buffer 600
【相关命令】
· display ike sa
snmp-agent trap enable ike命令用来开启IKE的告警功能。
undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。
【命令】
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
【缺省情况】
IKE的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
attr-not-support:表示属性参数不支持时的告警功能。
auth-failure:表示认证失败时的告警功能。
cert-type-unsupport:表示证书类型不支持时的告警功能。
cert-unavailable:表示无法获取证书时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示证书认证无效时的告警功能。
invalid-cookie:表示cookie无效时的告警功能。
invalid-id:表示身份信息无效时的告警功能。
invalid-proposal:表示IKE提议无效时的告警功能。
invalid-protocol:表示安全协议无效时的告警功能。
invalid-sign:表示证书签名无效时的告警功能。
no-sa-failure:表示无法查到SA时的告警功能。
proposal-add:表示添加IKE提议时的告警功能。
proposal-delete:表示删除IKE提议时的告警功能。
tunnel-start:表示创建IKE隧道时的告警功能。
tunnel-stop:表示删除IKE隧道时的告警功能。
unsupport-exch-type:表示协商类型不支持时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。
如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IKE告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ike global
# 开启创建IKE 隧道时的告警功能。
[Sysname] snmp-agent trap enable ike tunnel-start
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!