11-IPsec命令
本章节下载: 11-IPsec命令 (1.11 MB)
目 录
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec statistics
1.1.8 display ipsec transform-set
1.1.12 esp authentication-algorithm
1.1.13 esp encryption-algorithm
1.1.16 ipsec { ipv6-policy | policy }
1.1.17 ipsec { ipv6-policy | policy } isakmp template
1.1.18 ipsec { ipv6-policy | policy } local-address
1.1.19 ipsec { ipv6-policy-template | policy-template }
1.1.20 ipsec anti-replay check
1.1.21 ipsec anti-replay window
1.1.23 ipsec decrypt-check enable
1.1.28 ipsec logging packet enable
1.1.30 ipsec redundancy enable
1.1.31 ipsec sa global-duration
1.1.38 redundancy replay-interval
1.1.43 reverse-route preference
1.1.46 sa hex-key authentication
1.1.52 snmp-agent trap enable ipsec
2.1.2 authentication-algorithm
2.1.17 ike invalid-spi-recovery enable
2.1.25 ike signature-identity from-certificate
2.1.29 match local address (IKE keychain view)
2.1.30 match local address (IKE profile view)
2.1.33 priority (IKE keychain view)
2.1.34 priority (IKE profile view)
2.1.39 snmp-agent trap enable ike
3.1.11 display ikev2 statistics
3.1.20 ikev2 ipv6-address-group
3.1.29 match local (IKEv2 profile view)
3.1.30 match local address (IKEv2 policy view)
3.1.32 match vrf (IKEv2 policy view)
3.1.33 match vrf (IKEv2 profile view)
3.1.38 priority (IKEv2 policy view)
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· IPSec只支持对控制平面软转发报文加解密,不支持对用户平面数据报文加解密。有关控制平面和用户平面的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
(FIPS模式下)
ah authentication-algorithm { sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address:
Transform set:
IKE profile:
IKEv2 profile:
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA idle time:
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
IKEv2 profile:
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA idle time:
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表
字段 |
描述 |
IPsec Policy |
IPsec安全策略的名称 |
Interface |
应用了IPsec安全策略的接口名称 |
Sequence number |
IPsec安全策略表项的顺序号 |
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 |
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
Description |
IPsec安全策略的描述信息 |
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
Security data flow |
IPsec安全策略引用的ACL |
Selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
Remote address |
IPsec隧道的对端IP地址或主机名 |
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
SA duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
SA duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
Inbound AH setting |
入方向采用的AH协议的相关设置 |
Outbound AH setting |
出方向采用的AH协议的相关设置 |
AH SPI |
AH协议的SPI |
AH string-key |
AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
AH authentication hex key |
AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
ESP SPI |
ESP协议的SPI |
ESP string-key |
ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
ESP encryption hex key |
ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
ESP authentication hex key |
ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
# 显示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
字段 |
描述 |
IPsec Policy Template |
IPsec安全策略模板名称 |
Sequence number |
IPsec安全策略模板表项的序号 |
Description |
IPsec安全策略模板的描述信息 |
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
Security data flow |
IPsec安全策略模板引用的ACL |
Selector mode |
IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
Local address |
IPsec隧道的本端IP地址 |
IKE profile |
IPsec安全策略模板引用的IKE Profile名称 |
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
Remote address |
IPsec隧道的对端IP地址 |
Transform set |
IPsec安全策略模板引用的安全提议的名称 |
IPsec SA local duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-3 display ipsec profile命令显示信息描述表
字段 |
描述 |
IPsec profile |
IPsec安全框架的名称 |
Mode |
IPsec安全框架采用的协商方式 |
Description |
IPsec安全框架的描述信息 |
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
Inbound AH setting |
入方向采用的AH协议的相关设置 |
Outbound AH setting |
出方向采用的AH协议的相关设置 |
AH SPI |
AH协议的SPI |
AH string-key |
AH协议的字符类型的密钥 |
AH authentication hex key |
AH协议的十六进制密钥 |
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
ESP SPI |
ESP协议的SPI |
ESP string-key |
ESP协议的字符类型的密钥 |
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
【相关命令】
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
Vlan100 10.1.1.1 400 ESP Active
Vlan100 255.255.255.255 4294967295 ESP Active
Vlan100 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-4 display ipsec sa brief命令显示信息描述表
字段 |
描述 |
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
SPI |
IPsec SA的SPI |
Protocol |
IPsec采用的安全协议 |
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: Vlan-interface100
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VRF: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Path MTU: 1443
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID: 90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令显示信息描述表
字段 |
描述 |
Interface |
IPsec SA所在的接口 |
Global IPsec SA |
全局IPsec SA |
IPsec policy |
采用的IPsec安全策略名 |
IPsec profile |
采用的IPsec安全框架名 |
Sequence number |
IPsec安全策略表项顺序号 |
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 |
Flow table status |
IPsec下发引流规则的状态,包括以下取值: · Inactive:引流规则下发失败 · Active:引流规则下发成功 |
Tunnel id |
IPsec隧道的ID号 |
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
Inside VRF |
被保护数据所属的VRF实例名称 |
Path MTU |
IPsec SA的路径MTU值 |
Tunnel |
IPsec隧道的端点地址信息 |
local address |
IPsec隧道的本端IP地址 |
remote address |
IPsec隧道的对端IP地址 |
Flow |
受保护的数据流信息 |
sour addr |
数据流的源IP地址 |
dest addr |
数据流的目的IP地址 |
port |
端口号 |
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
SPI |
IPsec SA的SPI |
Connection ID |
IPsec SA标识 |
Transform set |
IPsec安全提议所采用的安全协议及算法 |
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒 |
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒 |
Max received sequence-number |
入方向接收到的报文最大序列号 |
Max sent sequence-number |
出方向发送的报文最大序列号 |
Anti-replay check enable |
抗重放检测功能是否开启 |
Anti-replay window size |
抗重放窗口宽度 |
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
Status |
IPsec SA的状态,取值仅为Active,表示SA处于可用状态 |
No duration limit for this SA |
手工方式创建的IPsec SA无生命周期 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-6 display ipsec statistics命令显示信息描述表
字段 |
描述 |
IPsec packet statistics |
IPsec处理的报文统计信息 |
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
Dropped packets statistics |
被丢弃的数据包的详细信息 |
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
Replayed packets |
被丢弃的重放的数据包的数目 |
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-7 display ipsec transform-set命令显示信息描述表
字段 |
描述 |
IPsec transform set |
IPsec安全提议的名称 |
State |
IPsec安全提议是否完整 |
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
AH protocol |
AH协议相关配置 |
ESP protocol |
ESP协议相关配置 |
Integrity |
安全协议采用的认证算法 |
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-8 display ipsec tunnel brief命令显示信息描述表
字段 |
描述 |
Tunn-id |
IPsec隧道的ID号 |
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
Status |
IPsec SA的状态,取值仅为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-9 display ipsec tunnel命令显示信息描述表
字段 |
描述 |
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
Status |
IPsec隧道的状态,取值仅为Active,表示隧道处于可用状态 |
Perfect forward secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Inside vpn-instance |
被保护数据所属的VPN实例名 |
SA's SPI |
出方向和入方向的IPsec SA的SPI |
Tunnel |
IPsec隧道的端点地址信息 |
local address |
IPsec隧道的本端IP地址 |
remote address |
IPsec隧道的对端IP地址 |
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
非FIPS模式下:
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null } *
undo esp encryption-algorithm
FIPS模式下:
esp encryption-algorithm { gcm-128 | gcm-192 | gcm-256 }*
undo esp encryption-algorithm
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:采用CTR模式的AES算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
aes-ctr-192:采用CTR模式的AES算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
aes-ctr-256:采用CTR模式的AES算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
camellia-cbc-128:采用CBC模式的Camellia算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
camellia-cbc-192:采用CBC模式的Camellia算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
camellia-cbc-256:采用CBC模式的Camellia算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架中未引用IKE profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略/IPsec安全策略模板引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec安全策略视图/一个IPsec安全策略模板视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec安全策略时,必须指定协商方式(isakmp或manual )。进入已创建的IPsec安全策略时,可以不指定协商方式。
不能修改已创建的IPsec安全策略的协商方式。
一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } isakmp template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec安全策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
【使用指导】
IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。
· 一个IPsec安全策略模板是若干具有相同名称、不同顺序号的IPsec安全策略模板表项的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。
【举例】
# 创建一个名称为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相关命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。
undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情况】
IPsec抗重放检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过开启IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能开启与否对手工方式生成的IPsec SA没有影响。
【举例】
# 开启IPsec抗重放检测功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相关命令】
· ipsec anti-replay window
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。
undo ipsec anti-replay window命令用来恢复缺省情况。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情况】
IPsec抗重放窗口的宽度为64。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
width:IPsec抗重放窗口的宽度,取值可以为64、128、256、512、1024,单位为报文个数。
【使用指导】
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相关命令】
· ipsec anti-replay check
ipsec apply命令用来在接口上应用IPsec安全策略。
undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上未应用IPsec安全策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。
IKE方式的IPsec安全策略可以应用到多个接口上,但建议只应用到一个接口上;手工方式的IPsec安全策略只能应用到一个接口上。
【举例】
# 在接口Vlan-interface100上应用名为policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] ipsec apply policy policy1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情况】
解封装后IPsec报文的ACL检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。
【举例】
# 开启解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 在接口Vlan-interface100上设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname–Vlan-interface100] ipsec df-bit set
【相关命令】
· ipsec global-df-bit
ipsec fragmentation命令用来配置IPsec分片功能。
undo ipsec fragmentation命令用来恢复缺省情况。
【命令】
ipsec fragmentation { after-encryption | before-encryption }
undo ipsec fragmentation
【缺省情况】
IPsec分片功能为封装前分片。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
after-encryption:表示开启IPsec封装后分片功能。
before-encryption:表示开启IPsec封装前分片功能。
【使用指导】
IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果待报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。
IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。
【举例】
# 开启IPsec封装后分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation after-encryption
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 为所有接口设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相关命令】
· ipsec df-bit
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
不限制本端可以配置的IPsec隧道数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相关命令】
· ike limit
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
【举例】
# 开启IPsec报文日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。
undo ipsec profile命令用来删除IPsec安全框架。
【命令】
ipsec profile profile-name [ manual | isakmp ]
undo ipsec profile profile-name
【缺省情况】
不存在IPsec安全框架。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
manual:手工方式的IPsec安全框架。
isakmp:指定通过IKE协商建立安全联盟。
【使用指导】
创建IPsec安全框架时,必须指定协商方式(manual或isakmp);进入已创建的IPsec安全框架时,可以不指定协商方式。
手工方式IPsec profile专门用于为应用协议配置IPsec安全策略,它相当于一个手工方式创建的IPsec安全策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。
IKE协商方式IPsec profile用于为应用协议模块自动协商生成安全联盟,不限制对端的地址,不需要进行ACL匹配,且适用于IPv4和IPv6应用协议。
【举例】
# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1]
# 配置名称为profile1的IPsec安全框架,通过IKE协商建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 isakmp
[Sysname-ipsec-profile-isakmp-profile1]
【相关命令】
· display ipsec profile
ipsec redundancy enable命令用来开启IPsec冗余备份功能。
undo ipsec redundancy enable命令用来关闭IPsec冗余备份功能。
【命令】
ipsec redundancy enable
undo ipsec redundancy enable
【缺省情况】
IPsec冗余备份功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启冗余备份功能后,系统会根据命令redundancy replay-interval指定的备份间隔将接口上IPsec入方向抗重放窗口的左侧值和出方向IPsec报文的抗重放序号进行备份,当发生主备切换时,可以保证主备IPsec流量不中断和抗重放保护不间断。
【举例】
# 开启IPsec冗余备份功能。
<Sysname> system-view
[Sysname] ipsec redundancy enable
【相关命令】
· redundancy replay-interval
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。
【使用指导】
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。
【举例】
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相关命令】
· display ipsec sa
· sa duration
ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。在指定超时时间内没有流量匹配的IPsec SA即被删除。
undo ipsec sa idle-time命令用来关闭全局的IPsec SA空闲超时功能。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情况】
全局的IPsec SA空闲超时功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下也可配置IPsec SA的空闲超时时间,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。
【举例】
# 开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相关命令】
· display ipsec sa
· sa idle-time
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
不存在IPsec安全提议。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相关命令】
· display ipsec transform-set
local-address命令用来配置IPsec隧道的本端IP地址。
undo local-address命令用来恢复缺省情况。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情况】
IPsec隧道的本端IPv4地址为应用IPsec安全策略的接口的主IPv4地址,本端IPv6地址为应用IPsec安全策略的接口的第一个IPv6地址。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指导】
采用IKE协商方式的IPsec安全策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。
【举例】
# 配置IPsec隧道的本端IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相关命令】
· remote-address
pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group24 | dh-group19 | dh-group20 }
undo pfs
(FIPS模式下)
pfs { dh-group19 | dh-group20 }
undo pfs
【缺省情况】
使用IPsec安全策略发起IKE协商时不使用PFS特性。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
dh-group1:采用768-bit Diffie-Hellman组。
dh-group2:采用1024-bit Diffie-Hellman组。
dh-group5:采用1536-bit Diffie-Hellman组。
dh-group14:采用2048-bit Diffie-Hellman组。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。
dh-group19:采用256-bit ECP模式 Diffie-Hellman组。
dh-group20:采用384-bit ECP模式 Diffie-Hellman组。
【使用指导】
384-bit ECP模式 Diffie-Hellman组(dh-group20)、256-bit ECP模式 Diffie-Hellman组(dh-group19)、2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。
IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。IKEv2不受该限制。
不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。
【举例】
# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情况】
使用ESP安全协议。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
【使用指导】
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
【举例】
# 配置IPsec安全提议采用AH协议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
qos pre-classify命令用来开启QoS预分类功能。
undo qos pre-classify命令用来关闭QoS预分类功能。
【命令】
qos pre-classify
undo qos pre-classify
【缺省情况】
QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。
【举例】
# 在IPsec安全策略中开启QoS预分类功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
redundancy replay-interval命令用来配置抗重放窗口和序号的同步间隔。
undo redundancy replay-interval命令用来恢复缺省情况。
【命令】
redundancy replay-interval inbound inbound-interval outbound outbound-interval
undo redundancy replay-interval
【缺省情况】
同步入方向抗重放窗口的报文间隔为1000,同步出方向IPsec SA抗重放序号的报文间隔为100000。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
inbound inbound-interval:同步入方向IPsec SA抗重放窗口左侧值的报文间隔,取值范围为0~1000,单位为报文个数,取值为0,表示不同步防重放窗口。
outbound outbound-interval:同步出方向IPsec SA抗重放序号的报文间隔,取值范围为1000~100000,单位为报文个数。
【使用指导】
IPsec冗余备份功能处于开启状态时,抗重放序号同步间隔的配置才会生效。
调小同步的报文间隔,可以增加主备间保持抗重放窗口和序号一致的精度,但同时对转发性能会有一定影响。
【举例】
# 配置同步入方向抗重放窗口的报文间隔为800,同步出方向抗重放序号的报文间隔为50000。
<Sysname> system-view
[Sysname] ipsec policy test 1 manual
[sysname-ipsec-policy-manual-test-1] redundancy replay-interval inbound 800 outbound 50000
【相关命令】
· ipsec anti-replay check
· ipsec anti-replay window
· ipsec redundancy enable
remote-address命令用来指定IPsec隧道的对端IP地址。
undo remote-address命令用来恢复缺省情况。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
undo remote-address
【缺省情况】
未指定IPsec隧道的对端IP地址。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。
hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。
ipv4-address:IPsec隧道的对端IPv4地址。
ipv6-address:IPsec隧道的对端IPv6地址。
【使用指导】
IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec安全策略模板的响应方可选配。
手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。
对于主机名方式的对端地址,地址更新的查询过程有所不同。
· 若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。
· 若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,才能使得本端解析到更新后的对端IP地址。
例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主机名test对应的IP地址为2.2.2.2。
[Sysname] ip host test 2.2.2.2
则,需要在IPsec安全策略policy1中重新指定对端主机名,使得本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2,否则仍会解析为原来的IP地址1.1.1.1。
# 重新指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname -ipsec-policy-isakmp-policy1-1] remote-address test
【举例】
# 指定IPsec隧道的对端IPv4地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2
【相关命令】
· ip host(三层技术-IP业务/域名解析)
· local-address
reset ipsec sa命令用来清除已经建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
· seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。
profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则清除所有的IPsec SA。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。
通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名称为policy1、顺序号为10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相关命令】
· display ipsec sa
reset ipsec statistics命令用来清除IPsec的报文统计信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。如果未指定本参数,则清除IPsec的所有报文统计信息。
【举例】
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
【相关命令】
· display ipsec statistics
reverse-route dynamic命令用来开启IPsec反向路由注入功能。
undo reverse-route dynamic命令用来关闭IPsec反向路由注入功能。
【命令】
reverse-route dynamic
undo reverse-route dynamic
【缺省情况】
IPsec反向路由注入功能处于关闭状态。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
在企业中心侧网关设备上的某安全策略视图/安全策略模板视图下开启IPsec反向路由注入功能后,设备会根据协商的IPsec SA自动生成一条静态路由,该路由的目的地址为受保护的对端私网,下一跳地址为IPsec隧道的对端地址。
开启反向路由注入功能时,会删除本策略协商出的所有IPsec SA。当有新的流量触发生成IPsec SA时,根据新协商的IPsec生成路由信息。
关闭反向路由注入功能时,会删除本策略协商出的所有IPsec SA。
生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。
需要查看生成的路由信息时,可以通过display ip routing-table命令查看。
【举例】
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
Destinations : 1 Routes : 1
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Vlan100
【相关命令】
· display ip routing-table(三层技术-IP路由命令参考/IP路由基础)
· ipsec policy
· ipsec policy-template
reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。
undo reverse-route preference命令用来恢复缺省情况。
【命令】
reverse-route preference number
undo reverse-route preference
【缺省情况】
IPsec反向路由注入功能生成的静态路由的优先级为60。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
number:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。
【使用指导】
若对静态路由优先级进行修改,会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【相关命令】
· ipsec policy
· ipsec policy-template
reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值。
undo reverse-route tag命令用来恢复缺省情况。
【命令】
reverse-route tag tag-value
undo reverse-route tag
【缺省情况】
IPsec反向路由注入功能生成的静态路由的Tag值为0。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
tag-value:静态路由的Tag值,取值范围为1~4294967295。
【使用指导】
本Tag值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制,若对静态路由Tag值进行修改,则会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【相关命令】
· ipsec policy
· ipsec policy-template
sa duration命令用来配置IPsec SA的生存时间。
undo sa duration命令用来删除IPsec SA生存时间。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架的IPsec SA生存时间为当前全局的IPsec SA生存时间。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的生存时间,取值范围为2560~4294967295,单位为千字节。
【使用指导】
当IKE协商IPsec SA时,如果采用的IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
【举例】
# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
【相关命令】
· display ipsec sa
· ipsec sa global-duration
sa hex-key authentication命令用来为手工创建的IPsec SA配置认证密钥。
undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-10。密文密钥为1~85个字符的字符串,区分大小写。
算法 |
密钥长度(字节) |
HMAC-AES-XCBC-96 |
16 |
HMAC-MD5 |
16 |
HMAC-SHA1 |
20 |
HMAC-SHA-256 |
32 |
HMAC-SHA-384 |
48 |
HMAC-SHA-512 |
64 |
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相关命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用来为手工创建的IPsec SA配置加密密钥。
undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-11。密文密钥为1~117个字符的字符串,区分大小写。
算法 |
密钥长度(字节) |
DES-CBC |
8 |
3DES-CBC |
24 |
AES128-CBC |
16 |
AES192-CBC |
24 |
AES256-CBC |
32 |
AES128-CTR |
16 |
AES192-CTR |
24 |
AES256-CTR |
32 |
CAMELLIA128-CBC |
16 |
CAMELLIA192-CBC |
24 |
CAMELLIA256-CBC |
32 |
GMAC-128 |
16 |
GMAC-192 |
24 |
GMAC-256 |
32 |
GCM-128 |
16 |
GCM-192 |
24 |
GCM-256 |
32 |
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
相同方向的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相关命令】
· display ipsec sa
· sa string-key
sa idle-time命令用来配置IPsec SA的空闲超时时间。在指定的超时时间内,没有流量使用的IPsec SA将被删除。
undo sa idle-time命令用来恢复缺省情况。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且只有通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。
如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下配置了IPsec SA 空闲超时时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。
【举例】
# 配置IPsec安全策略的IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相关命令】
· display ipsec sa
· ipsec sa idle-time
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
【使用指导】
此命令仅用于手工方式的IPsec安全策略以及IPsec安全框架。对于IKE协商方式的IPsec安全策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。
必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;
· 同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP4+,是BGP4+邻居之间或邻居所在的一个组。
【举例】
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相关命令】
· display ipsec sa
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向IPsec SA的参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;
· 同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec ipv6-policy policy1 100 manual
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【相关命令】
· display ipsec sa
· sa hex-key
security acl命令用来指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用来恢复缺省情况。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情况】
IPsec安全策略/IPsec安全策略模板未引用ACL。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 ACL。
acl-number:ACL编号,取值范围为3000~3999。
name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。
aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。不支持对IPv6数据流采用该保护方式。
per-host:指定IPsec安全策略的数据流保护方式为主机方式。
【使用指导】
对于IKE协商方式的IPsec安全策略,数据流的保护方式包括以下几种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregation和per-host参数的情况下,缺省采用此方式。
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。
· 主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。
手工方式的IPsec安全策略缺省使用聚合方式,且仅支持聚合方式;IKE协商方式的IPsec安全策略中可以通过配置来选择不同的保护方式。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示IPsec安全策略不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置IPsec安全策略引用IPv4高级ACL 3001。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用IPv4高级ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] quit
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【相关命令】
· display ipsec sa
· display ipsec tunnel
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
【缺省情况】
IPsec的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示认证失败时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec安全策略时的告警功能。
policy-attach:表示将IPsec安全策略应用到接口时的告警功能。
policy-delete:表示删除IPsec安全策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
tfc enable命令用来开启TFC(Traffic Flow Confidentiality)填充功能。
undo tfc enable命令用来关闭TFC填充功能。
【命令】
tfc enable
undo tfc enable
【缺省情况】
TFC填充功能处于关闭状态。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
TFC填充功能可隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。
【举例】
# 指定IPsec安全策略policy1中开启TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
transform-set命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提议。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架未引用IPsec安全提议。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
对于手工方式的IPsec安全策略,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。
对于IKE协商方式的IPsec安全策略,一条IPsec安全策略最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec安全策略中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。
若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。
【举例】
# 配置IPsec安全策略引用名称为prop1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相关命令】
· ipsec { ipv6-policy | policy }
· ipsec profile
· ipsec transform-set
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导“中的“FIPS”。
aaa authorization命令用来开启IKE的AAA授权功能。
undo aaa authorization命令用来关闭IKE的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKE的AAA授权功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKE可以向AAA模块申请授权属性,例如IKE本地地址池属性。IKE模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKE本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKE profile,名称为profile1。
<Sysname> system-view
[Sysname] ike profile profile1
# 在IKE profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ike-profile-profile1] aaa authorization domain abc username test
authentication-algorithm命令用来指定IKE提议使用的认证算法。
undo authentication-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 }
undo authentication-algorithm
(FIPS模式下)
authentication-algorithm { sha | sha256 | sha384 | sha512 }
undo authentication-algorithm
【缺省情况】
(非FIPS模式下)
IKE提议使用的认证算法为HMAC-SHA1
(FIPS模式下)
IKE提议使用的认证算法为HMAC-SHA256。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
sha256:指定认证算法为HMAC-SHA256。
sha384:指定认证算法为HMAC-SHA384。
sha512:指定认证算法为HMAC-SHA512。
【举例】
# 指定IKE提议1的认证算法为HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相关命令】
· display ike proposal
authentication-method命令用来指定IKE提议使用的认证方法。
undo authentication-method命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
authentication-method { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
undo authentication-method
(FIPS模式下)
authentication-method { ecdsa-signature | pre-share | rsa-signature }
undo authentication-method
【缺省情况】
IKE提议使用预共享密钥的认证方法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
dsa-signature:指定认证方法为DSA数字签名方法。
ecdsa-signature:指定认证方法为ECDSA数字签名方法。
pre-share:指定认证方法为预共享密钥方法。
rsa-signature:指定认证方法为RSA数字签名方法。
【使用指导】
预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域。
协商双方必须有匹配的认证方法。
如果指定认证方法为RSA数字签名方法、DSA数字签名方法或者ECDSA数字签名方法,则还必须保证对端从CA(证书认证机构)获得数字证书。
如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。
【举例】
# 指定IKE提议1的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相关命令】
· display ike proposal
· ike keychain
· pre-shared-key
certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消指定IKE协商时使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情况】
未指定用于IKE协商的PKI域。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可通过多次执行本命令指定多个PKI域,一个IKE profile中最多可以引用六个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。
IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:
· 对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。
· 对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。
· 在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。
【举例】
# 在IKE profile 1中指定IKE协商时使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相关命令】
· authentication-method
client-authentication命令用来开启对客户端的认证。
undo client-authentication命令用来关闭对客户端的认证。
【命令】
client-authentication xauth
undo client-authentication
【缺省情况】
对客户端的认证处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
xauth:表示采用XAUTH (Extended Authentication within ISAKMP/Oakley)方式认证。
【使用指导】
在部署多分支远程访问企业中心的IPsec VPN应用时,为区别不同的客户端,通常需要中心侧的网管人员为每一个远程客户端设置不同IPsec安全策略和认证密码,此工作量巨大,也不方便管理。在中心侧开启了对客户端认证之后,远程客户端与中心侧设备进行IKE协商的过程中,中心侧设备可以利用RADIUS服务器来对客户端进行用户名和密码的验证,要求每个远程客户端在接入时,都需要提供不同的用户名和密码,这样可以简化中心侧的配置负担,保证了远程接入客户端的安全性。
【举例】
# 开启基于XAUTH方式的认证。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth
【相关命令】
· local-user
description命令用来配置IKE提议的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在IKE提议的描述信息。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
text:IKE提议的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IKE提议时,可通过配置相应的描述信息来有效区分不同的IKE提议。
【举例】
# 配置序号为1的IKE提议的描述信息为test。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] description test
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
dh { group1 | group14 | group19 | group2 | group20 | group24 | group5 }
undo dh
(FIPS模式下)
dh { group14 | group19 | group20 | group24 }
undo dh
【缺省情况】
(非FIPS模式下)
IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
(FIPS模式下)
IKE提议使用的DH密钥交换参数为group14,即2048-bit的Diffie-Hellman group。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。
group19:指定阶段1密钥协商时采用256-bit的Diffie-Hellman group。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。
group20:指定阶段1密钥协商时采用384-bit的Diffie-Hellman group。
group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
【举例】
# 指定IKE提议1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相关命令】
· display ike proposal
display ike proposal命令用来显示所有IKE提议的配置信息。
【命令】
display ike proposal
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。
【举例】
# 显示IKE提议的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表2-1 display ike proposal命令显示信息描述表
字段 |
描述 |
Priority |
IKE提议的优先级 |
Authentication method |
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
Authentication algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 |
Encryption algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
Diffie-Hellman group |
IKE阶段1密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
Duration (seconds) |
IKE提议中指定的IKE SA存活时间,单位为秒 |
【相关命令】
· ike proposal
display ike sa命令用来显示IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-instance-name ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
ipv6:指定IPv6地址。
remote-address:对端的IP地址。
vpn-instance vpn-instance-name:显示指定VPN实例内的IKE SA的详细信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示的IKE SA属于公网。
【使用指导】
若不指定任何参数,则显示所有IKE SA的摘要信息。
【举例】
# 显示所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
表2-2 display ike sa命令显示信息描述表
字段 |
描述 |
Connection-ID |
IKE SA的标识符 |
Remote |
此IKE SA的对端的IP地址 |
Flags |
IKE SA的状态,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · RK-REKEY:表示此IKE SA是Rekey SA · Unknown:表示IKE协商的状态未知 |
DOI |
IKE SA所属解释域,包括: · IPsec:表示此IKE SA使用的DOI为IPsec DOI |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN:
Inside VPN:
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
# 显示目的地址为4.4.4.5的IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN:
Inside VPN:
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
表2-3 display ike sa verbose命令显示信息描述表
字段 |
描述 |
Connection ID |
IKE SA的标识符 |
Outside VPN |
接收报文的接口所属的MPLS L3VPN的VPN实例名称 |
Inside VPN |
被保护数据所属的MPLS L3VPN的VPN实例名称 |
Profile |
IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称 |
Transmitting entity |
IKE协商中的实体角色,包括: · Initiator:发起方 · Responder:响应方 |
Local IP |
本端安全网关的IP地址 |
Local ID type |
本端安全网关的身份信息类型 |
Local ID |
本端安全网关的身份信息 |
Remote IP |
对端安全网关的IP地址 |
Remote ID type |
对端安全网关的身份信息类型 |
Remote ID |
对端安全网关的身份信息 |
Authentication-method |
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
Authentication-algorithm |
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 |
Encryption-algorithm |
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
Life duration(sec) |
IKE SA的存活时间,单位为秒 |
Remaining key duration(sec) |
IKE SA的剩余存活时间,单位为秒 |
Exchange-mode |
IKE第一阶段的协商模式,包括: · Main:主模式 · Aggressive: 野蛮模式 |
Diffie-Hellman group |
IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
NAT traversal |
是否检测到协商双方之间存在NAT网关设备 |
Extend authentication |
是否开启扩展认证: · Enabled:开启 · Disabled:关闭 |
Assigned IP address |
本端分配给对端的IP地址,如果没有分配则不显示 |
display ike statistics命令用来显示IKE的统计信息。
【命令】
display ike statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKE的统计信息。
<Sysname> display ike statistics
IKE statistics:
No matching proposal: 0
Invalid ID information: 0
Unavailable certificate: 0
Unsupported DOI: 0
Unsupported situation: 0
Invalid proposal syntax: 0
Invalid SPI: 0
Invalid protocol ID: 0
Invalid certificate: 0
Authentication failure: 0
Invalid flags: 0
Invalid message id: 0
Invalid cookie: 0
Invalid transform ID: 0
Malformed payload: 0
Invalid key information: 0
Invalid hash information: 0
Unsupported attribute: 0
Unsupported certificate type: 0
Invalid certificate authority: 0
Invalid signature: 0
Unsupported exchange type: 0
No available SA: 1
Retransmit timeout: 0
Not enough memory: 0
Enqueue fails: 0
Packets enqueued: 0
表2-4 display ike statistics命令显示信息描述表
字段 |
描述 |
No matching proposal |
提议不匹配 |
Invalid ID information |
无效的ID信息 |
Unavailable certificate |
本地未发现此证书 |
Unsupported DOI |
不支持的DOI |
Unsupported situation |
不支持的形式 |
Invalid proposal syntax |
无效的提议语法 |
Invalid SPI |
无效的SPI |
Invalid protocol ID |
无效的协议ID |
Invalid certificate |
无效的证书 |
Authentication failure |
认证失败 |
Invalid flags |
无效的标记 |
Invalid message id |
无效的消息ID |
Invalid cookie |
无效的cookie |
Invalid transform ID |
无效的transform ID |
Malformed payload |
畸形载荷 |
Invalid key information |
无效的密钥信息 |
Invalid hash information |
无效的hash信息 |
Unsupported attribute |
不支持的属性 |
Unsupported certificate type |
不支持的证书类型 |
Invalid certificate authority |
无效的证书授权 |
Invalid signature |
无效的签名 |
Unsupported exchange type |
不支持的交换类型 |
No available SA |
没有可用的SA |
Retransmit timeout |
重传超时 |
Not enough memory |
内存不足 |
Enqueue fails |
入队列失败 |
Packets enqueued |
等待处理的报文总数 |
【相关命令】
· reset ike statistics
dpd命令用来配置IKE DPD功能。
undo dpd命令用来关闭IKE DPD功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKE DPD功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。
建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。
【举例】
# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相关命令】
· ike dpd
encryption-algorithm命令用来指定IKE提议使用的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }
undo encryption-algorithm
(FIPS模式下)
encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }
undo encryption-algorithm
【缺省情况】
(非FIPS模式下)
IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。
(FIPS模式下)
IKE提议使用的加密算法为aes-cbc-128,即CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
【举例】
# 指定IKE提议1的加密算法为128比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
【相关命令】
· display ike proposal
exchange-mode命令用来选择IKE第一阶段的协商模式。
undo exchange-mode命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
exchange-mode { aggressive | main }
undo exchange-mode
(FIPS模式下)
exchange-mode main
undo exchange-mode
【缺省情况】
IKE第一阶段的协商模式为主模式。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
aggressive:野蛮模式。
main:主模式。
【使用指导】
当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。
【举例】
# 配置IKE第一阶段协商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相关命令】
· display ike proposal
ike address-group命令用来配置为对端分配IPv4地址的IKE本地地址池。
undo ike address-group命令用来删除指定的IKE本地地址池。
【命令】
ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ike address-group group-name
【缺省情况】
未配置IKE本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address end-ipv4-address:IPv4地址池的地址范围。其中,start-ipv4-address为IPv4地址池的起始地址,end-ipv4-address为IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
如果修改或者删除地址池,则需要删除所有的IKE SA和IPsec SA,否则,可能会导致已经分配的地址无法回收。
【举例】
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
· aaa authorization
ike dpd命令用来配置全局IKE DPD功能。
undo ike dpd命令用来关闭全局IKE DPD功能。
【命令】
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情况】
全局IKE DPD功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相关命令】
· dpd
ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo ike identity命令用来恢复缺省情况。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情况】
使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如adc@test.example.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相关命令】
· local-identity
· ike signature-identity from-certificate
ike invalid-spi-recovery enable命令用来开启针对无效IPsec SPI的IKE SA恢复功能。
undo ike invalid-spi-recovery enable命令用来关闭针对无效IPsec SPI的IKE SA恢复功能。
【命令】
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
【缺省情况】
针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致本端IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经完全丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收到发送端使用此IPsec SA封装的IPsec报文时,就会因为找不到对应的SA而持续丢弃报文,形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复(只有等到发送端旧的IPsec SA生命周期超时,并重建IPsec SA后,两端的IPsec流量才能得以恢复),因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。
SA由SPI唯一标识,接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA,若接收方找不到处理该报文的IPsec SA,则认为此报文的SPI无效。如果接收端当前存在IKE SA,则会向对端发送删除对应IPsec SA的通知消息,发送端IKE接收到此通知消息后,就会立即删除此无效SPI对应的IPsec SA。之后,当发送端需要继续向接收端发送报文时,就会触发两端重建IPsec SA,使得中断的IPsec通信链路得以恢复;如果接收端当前不存在IKE SA,就不会触发本端向对端发送删除IPsec SA的通知消息,接收端将默认丢弃无效SPI的IPsec 报文,使得链路无法恢复。后一种情况下,如果开启了IPsec无效SPI恢复IKE SA功能,就会触发本端与对端协商新的IKE SA并发送删除消息给对端,从而使链路恢复正常。
由于开启此功能后,若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备,会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS(Denial of Sevice)攻击的风险,通常情况下,建议关闭针对无效IPsec SPI的IKE SA恢复功能。
【举例】
# 开启IPsec无效SPI恢复IKE SA功能。
<Sysname> system-view
[Sysname] ike invalid-spi-recovery enable
ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。
undo ike keepalive interval命令用来恢复缺省情况。
【命令】
ike keepalive interval interval
undo ike keepalive interval
【缺省情况】
不向对端发送IKE Keepalive报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【使用指导】
当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。
本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相关命令】
· ike keepalive timeout
ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。
undo ike keepalive timeout命令用来恢复缺省情况。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情况】
未配置本端等待对端发送IKE Keepalive报文的超时时间。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【使用指导】
当本端IKE SA在配置的超时时间内未收到IKE Keepalive报文时,则删除该IKE SA以及由其协商的IPsec SA
本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相关命令】
· ike keepalive interval
ike keychain命令用来创建IKE keychain,并进入IKE keychain视图。如果指定的IKE keychain已经存在,则直接进入IKE keychain视图。
undo ike keychain命令用来删除指定的IKE keychain。
【命令】
ike keychain keychain-name [ vpn-instance vpn-instance-name ]
undo ike keychain keychain-name [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在IKE keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance vpn-instance-name:指定IKE keychain所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示IKE keychain属于公网。
【使用指导】
在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相关命令】
· authentication-method
· pre-shared-key
ike limit命令用来配置对本端IKE SA数目的限制。
undo ike limit命令用来恢复缺省情况。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情况】
不限制IKE SA数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。
max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999。
【使用指导】
可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。
可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。
【举例】
# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允许成功建立的IKE SA的最大数为5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive命令用来恢复缺省情况。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情况】
向对端发送NAT Keepalive报文的时间间隔为20秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。
因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。
【举例】
# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
ike profile命令用来创建一个IKE profile,并进入IKE profile视图。如果指定的IKE profile已经存在,则直接进入IKE profile视图。
undo ike profile命令用来删除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情况】
不存在IKE profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建IKE profile 1,并进入其视图。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用来创建IKE提议,并进入IKE提议视图。如果指定的IKE提议已经存在,则直接进入IKE提议视图。
undo ike proposal命令用来删除指定IKE提议。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情况】
系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:
· 加密算法:非FIPS模式下使用DES-CBC,FIPS模式下使用AES-CBC-128
· 认证算法:非FIPS模式下使用HMAC-SHA1,FIPS模式下使用SHA256
· 认证方法:预共享密钥
· DH密钥交换参数:非FIPS模式使用group1,FIPS模式下使用group14
· IKE SA存活时间:86400秒
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【使用指导】
在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。
响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。
【举例】
# 创建IKE提议1,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相关命令】
· display ike proposal
ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。
undo ike signature-identity from-certificate命令用来恢复缺省情况。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情况】
当使用数字签名认证方式时,本端身份信息由local-identity或ike identity命令指定。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identity或ike identity如何配置。
在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。
如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相关命令】
· local-identity
· ike identity
inside-vpn 命令用来指定内部VPN实例。
undo inside-vpn 命令用来恢复缺省情况。
【命令】
inside-vpn vpn-instance vpn-instance-name
undo inside-vpn
【缺省情况】
IKE profile未指定内部VPN实例,设备在收到IPsec报文的接口所属的VPN中查找路由。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
vpn-instance vpn-instance-name:保护的数据属于指定的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个MPLS L3VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN中查找路由。如果不希望在与外网相同的VPN中查找路由去转发解封装后的报文,则可以通过此命令指定一个内部VPN实例,指定设备通过查找该内部VPN实例中的路由来转发解封装后的报文。
本命令仅对引用了IKE profile的IPsec安全策略生效,对引用了IKE profile 的IPsec安全框架不生效。
【举例】
# 在IKE profile prof1中指定内部VPN实例为vpn1。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1
keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情况】
未指定采用预共享密钥认证时使用的IKE keychain。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。
【举例】
# 在IKE profile 1中指定名称为abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相关命令】
· ike keychain
local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo local-identity命令用来恢复缺省情况。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情况】
未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address } :指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如test.example.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如adc@test.example.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。
野蛮模式下,如果本端的认证方式为数字签名方式,且配置的本端身份为DN名,则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商,则必须在系统视图下配置ike signature-identity from-certificate命令。
响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。
一个IKE profile中只能配置一条本端身份信息。
IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相关命令】
· match remote
· ike identity
· ike signature-identity from-certificate
match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情况】
未限制IKE keychain的使用范围。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意的三层接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。
【使用指导】
此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用keychain B与对端协商,可以配置keychain B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE keychain,名称为key1。
<Sysname> system-view
[Sysname] ike keychain key1
# 限制IKE keychain key1只能在2.2.2.1的IP地址上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.1
# 限制IKE keychain key1只能在名称为vpn1的VPN实例中IP地址为2.2.2.2的接口上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1
match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情况】
未限制IKE profile的使用范围。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。
【使用指导】
此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 限制IKE profile prof1 只能在2.2.2.1的IP地址上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.1
# 限制IKE profile prof1 只能在名称为vpn1的VPN中IP地址为2.2.2.2的接口上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1
match remote命令用来配置一条用于匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。
identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。
user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如abc@test.example.com。
vpn-instance vpn-instance-name:指定对端地址所属的VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示对端地址属于公网。
【使用指导】
响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份,发起方根据响应方的身份信息通过本配置验证对端身份。
协商双方都必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。
match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配对端身份类型为FQDN,取值为test.example.com。
[Sysname-ike-profile-prof1] match remote identity fqdn test.example.com
# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相关命令】
· local-identity
pre-shared-key命令用来配置预共享密钥。
undo pre-shared-key命令用来取消指定的预共享密钥。
【命令】
(非FIPS模式下)
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
(FIPS模式下)
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key [ cipher string ]
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情况】
未配置预共享密钥。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
address:对端的地址。
ipv4-address:对端的IPv4地址。
mask:对端的IPv4地址掩码,缺省值为255.255.255.255。
mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。
ipv6:指定对端的IPv6地址。
ipv6-address:对端的IPv6地址。
prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。
hostname host-name:对端主机名。取值范围为1~255,区分大小写。
key:设置的预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。非FIPS模式下,明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。FIPS模式下,明文密钥为1~128个字符的字符串;密文密钥为15~201个字符的字符串。
【使用指导】
配置预共享密钥的同时,还通过参数address和hostname指定了使用该预共享密钥的匹配条件,即与哪些IP地址或哪些主机名的对端协商时,才可以使用该预共享密钥。
IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。
在FIPS模式下,支持以交互式方式设置预共享密钥,且为15~128个字符的字符串,区分大小写,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符),但不能包含问号字符“?”;非FIPS模式下,不支持交互式设置预共享密钥。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!
【相关命令】
· authentication-method
· keychain
priority命令用来指定IKE keychain的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE keychain的优先级为100。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。
【举例】
# 指定IKE keychain key1的优先级为10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用来指定IKE profile的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE profile的优先级为100。
【视图】
IKE-Profile视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。
【举例】
# 指定在IKE profile prof1的优先级为10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用来配置IKE profile引用的IKE提议。
undo proposal 命令用来恢复缺省情况。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情况】
IKE profile未引用IKE提议,使用系统视图下配置的IKE提议进行IKE协商。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。
【举例】
# 设置IKE profile prof1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相关命令】
· ike proposal
reset ike sa命令用来清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
【使用指导】
删除IKE SA时,会向对端发送删除通知消息。
【举例】
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
2 202.38.0.3 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 清除连接ID号为2 的IKE SA。
<Sysname> reset ike sa connection-id 2
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
reset ike statistics命令用于清除IKE的MIB统计信息。
【命令】
reset ike statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKE的MIB统计信息。
<Sysname> reset ike statistics
【相关命令】
· snmp-agent trap enable ike
sa duration命令用来指定一个IKE提议的IKE SA存活时间。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKE提议的IKE SA存活时间为86400秒。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。
【使用指导】
在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。
如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。
【举例】
# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相关命令】
· display ike proposal
snmp-agent trap enable ike命令用来开启IKE的告警功能。
undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。
【命令】
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
【缺省情况】
IKE的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
attr-not-support:表示属性参数不支持时的告警功能。
auth-failure:表示认证失败时的告警功能。
cert-type-unsupport:表示证书类型不支持时的告警功能。
cert-unavailable:表示无法获取证书时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示证书认证无效时的告警功能。
invalid-cookie:表示cookie无效时的告警功能。
invalid-id:表示身份信息无效时的告警功能。
invalid-proposal:表示IKE提议无效时的告警功能。
invalid-protocol:表示安全协议无效时的告警功能。
invalid-sign:表示证书签名无效时的告警功能。
no-sa-failure:表示无法查到SA时的告警功能。
proposal-add:表示添加IKE提议时的告警功能。
proposal-delete:表示删除IKE提议时的告警功能。
tunnel-start:表示创建IKE隧道时的告警功能。
tunnel-stop:表示删除IKE隧道时的告警功能。
unsupport-exch-type:表示协商类型不支持时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。
如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IKE告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ike global
# 开启创建IKE 隧道时的告警功能。
[Sysname] snmp-agent trap enable ike tunnel-start
aaa authorization命令用来开启IKEv2的AAA授权功能。
undo aaa authorization命令用来关闭IKEv2的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKEv2的AAA授权功能处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKEv2可以向AAA模块申请授权属性,例如IKEv2本地地址池属性。IKEv2模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKEv2本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相关命令】
· display ikev2 profile
address命令用来指定IKEv2 peer的主机地址。
undo address命令用来恢复缺省情况。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
【缺省情况】
未指定IKEv2 peer的主机地址。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IKEv2 peer的IPv4主机地址。
Mask:IPv4地址子网掩码。
mask-length:IPv4地址的掩码长度,取值范围为0~32。
ipv6 ipv6-address:IKEv2 peer的IPv6主机地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
使用主机地址查询IKEv2 peer对于IKEv2协商中的发起方和响应方均适用。
同一keychain视图下的不同IKEv2 peer不能配置相同的地址。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的IP地址为3.3.3.3,掩码为255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相关命令】
· ikev2 keychain
· peer
authentication-method命令用来指定IKEv2本端和对端的身份认证方式。
undo authentication-method 命令用来删除IKEv2本端或对端身份认证方式。
【命令】
(FIPS模式下)
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
(FIPS模式下)
authentication-method { local | remote } { ecdsa-signature | pre-share | rsa-signature }
undo authentication-method local
undo authentication-method remote { ecdsa-signature | pre-share | rsa-signature }
【缺省情况】
未配置本端和对端的认证方式。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
local:指定本端的身份认证方式。
remote:指定对端的身份认证方式。
dsa-signature:表示身份认证方式为DSA数字签名方式。
ecdsa-signature:表示身份认证方式为ECDSA数字签名方式。
pre-share:表示身份认证方式为预共享密钥方式。
rsa-signature:表示身份认证方式为RSA数字签名方式。
【使用指导】
一个IKEv2 profile中,必须配置IKEv2本端和对端的身份认证方式。本端和对端可以采用不同的身份认证方式。
只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。
如果本端或对端的身份认证方式为RSA、DSA或ECDSA数字签名方式(rsa-signature、dsa-signature或ecdsa-signature),则还必须通过命令certificate domain指定PKI域来获取用于签名和验证的数字证书。若没有指定PKI域,则使用系统视图下通过命令pki domain配置的PKI域。
如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本IKEv2 profile引用的keychain中指定对等体的预共享密钥。
【举例】
# 创建IKEv2 profile profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的认证方式为预共享密钥方式,对端的认证方式为RSA数字签名方式。
[Sysname-ikev2-profile-profile1] authentication-method local pre-share
[Sysname-ikev2-profile-profile1] authentication-method remote rsa-signature
# 指定对端用于签名和验证的certificate域为genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定IKEv2 profile引用的keychain为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· certificate domain (ikev2 profile view)
· keychain (ikev2 profile view)
certificate domain命令用来指定IKEv2协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消配置IKEv2协商时使用的PKI域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情况】
使用系统视图下配置的PKI域来验证证书。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
sign:指定本端使用该PKI域中的本地证书生成数字签名。
verify:指定本端使用该PKI域中的CA证书来验证对端证书。
【使用指导】
如果没有指定sign和verify,则表示指定的PKI域既用于签名也用于验证。一个PKI域用于签名还是验证取决于最后一次的配置,例如,先配了certificate domain abc sign,然后再配certificate domain abc verify,那么最终PKI域abc只用于验证功能。
可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。
如果本端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则必须通过本命令指定PKI域来获取用于签名的本地证书;如果对端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则使用本命令指定PKI域来获取用于验证的CA证书,若未指定PKI域,则使用系统视图下的所有PKI域来验证。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域abc用于签名,PKI域def用于验证。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相关命令】
· authentication-method
config-exchange命令用来开启配置交换功能。
undo config-exchange命令用来关闭指定的配置交换功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情况】
所有的配置交换功能均处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
request:表示本端在Auth交换请求报文中携带配置交换请求载荷。
set:表示本端在Info报文中携带配置交换设置载荷。
accept:表示本端可接受配置交换设置载荷。
send:表示本端可发送配置交换设置载荷。
【使用指导】
配置交换包括请求数据、回应数据、主动推数据和回应推数据,请求和推送的数据可以为网关地址,内部地址,路由信息等,目前仅支持中心侧内部地址分配。分支侧可以申请地址,但申请到的地址暂无用。
本端可以同时配置request和set参数。
如果本端配置了request参数,则只要对端能通过AAA授权获取到对应的请求数据,就会对本端的请求进行响应。
如果本端配置了set send参数,则对端必须配置set accept参数来配合使用。
如果本端配置了set send参数,且没有收到配置请求时,IKEv2 SA协商成功后才会推送地址给对端。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置本端在Auth交换请求报文中携带配置交换请求载荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相关命令】
· aaa authorization
· display ikev2 profile
dh命令用来配置IKEv2密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
dh { group1 | group14 | group19 | group2 | group20 | group24 | group5 } *
undo dh
(FIPS模式下)
dh { group19 | group20 | group24 } *
undo dh
【缺省情况】
IKEv2安全提议未定义DH组。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定密钥协商时采用2048-bit的Diffie-Hellman group。
group19:指定密钥协商时采用ECP模式含256-bit的Diffie-Hellman group。
group2:指定密钥协商时采用1024-bit的Diffie-Hellman group。
group20:指定密钥协商时采用ECP模式含384-bit的Diffie-Hellman group。
group24:指定密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定密钥协商时采用1536-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其他的group随着位数的增加,提供了更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
一个IKEv2安全提议中至少需要配置一个DH组,否则该安全提议不完整。
一个IKEv2安全提议中可以配置多个DH组,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2提议1使用768-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相关命令】
· ikev2 proposal
display ikev2 policy命令用来显示IKEv2安全策略的配置信息。
【命令】
display ikev2 policy [ policy-name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全策略。
【使用指导】
如果未指定任何参数,则表示显示所有IKEv2安全策略的配置信息。
【举例】
# 显示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy: 1
Priority: 100
Match local address: 1.1.1.1
Match local address ipv6: 1:1::1:1
Match VRF: vpn1
Proposal: 1
Proposal: 2
IKEv2 policy: default
Match VRF: any
Proposal: default
display ikev2 policy命令显示信息描述表
字段 |
描述 |
IKEv2 policy |
IKEv2安全策略的名称 |
Priority |
IKEv2安全策略优先级 |
Match local address |
匹配IKEv2安全策略的本端IPv4地址 |
Match local address ipv6 |
匹配IKEv2安全策略的本端IPv6地址 |
Match VRF |
匹配IKEv2安全策略的VRF |
Proposal |
IKEv2安全策略引用的IKEv2安全提议名称 |
【相关命令】
· ikev2 policy
display ikev2 profile命令用来显示IKEv2 profile的配置信息。
【命令】
display ikev2 profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则表示显示所有IKEv2 profile的配置信息。
【举例】
# 显示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile: 1
Priority: 100
Match criteria:
Local address 1.1.1.1
Local address Vlan-interface100
Local address 1:1::1:1
Remote identity ipv4 address 3.3.3.3/32
VRF vrf1
Inside-vrf:
Local identity: address 1.1.1.1
Local authentication method: pre-share
Remote authentication methods: pre-share
Keychain: Keychain1
Sign certificate domain:
Domain1
abc
Verify certificate domain:
Domain2
yy
SA duration: 500
DPD: Interval 32, retry 23, periodic
Config exchange: Request, Set send, Set accept
NAT keepalive: 10
AAA authorization: Domain domain1, username ikev2
表3-1 display ikev2 profile命令显示信息描述表
字段 |
描述 |
IKEv2 profile |
IKEv2 profile的名称 |
Priority |
IKEv2 profile的优先级 |
Match criteria |
查找IKEv2 profile的匹配条件 |
Inside-vrf |
内网VRF名称 |
Local identity |
本端身份信息 |
Local authentication method |
本端认证方法 |
Remote authentication methods |
对端认证方法 |
Keychain |
IKEv2 profile引用的keychain |
Sign certificate domain |
用于签名的PKI域 |
Verify certificate domain |
用于验证的PKI域 |
SA duration |
IKEv2 SA生命周期 |
DPD |
DPD功能参数:探测的间隔时间(单位为秒)、重传时间间隔(单位为秒)、探测模式(按需探测或周期探测) 若未开启DPD功能,则显示为Disabled |
Config exchange |
配置交换功能: · Request:表示本端将在Auth交换请求报文中携带配置交换请求载荷 · Set accept:表示本端可接受配置交换设置载荷 · Set send:表示本端可发送配置交换设置载荷 |
NAT keepalive |
发送NAT保活报文的时间间隔(单位为秒) |
AAA authorization |
请求AAA授权信息时使用的参数:ISP域名、用户名 |
【相关命令】
· ikev2 profile
display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name:IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全提议。
【使用指导】
IKEv2安全提议按照优先级从高到低的顺序显示。若不指定任何参数,则显示所有IKEv2提议的配置信息。
【举例】
# 显示所有IKEv2安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption: 3DES-CBC AES-CBC-128 AES-CTR-192 CAMELLIA-CBC-128
Integrity: MD5 SHA256 AES-XCBC-MAC
PRF: MD5 SHA256 AES-XCBC-MAC
DH Group: MODP1024/Group2 MODP1536/Group5
IKEv2 proposal : default
Encryption: AES-CBC-128 3DES-CBC
Integrity: SHA1 MD5
PRF: SHA1 MD5
DH Group: MODP1536/Group5 MODP1024/Group2
表3-2 display ikev2 proposal命令显示信息描述表
字段 |
描述 |
IKEv2 proposal |
IKEv2安全提议的名称 |
Encryption |
IKEv2安全提议采用的加密算法 |
Integrity |
IKEv2安全提议采用的完整性校验算法 |
PRF |
IKEv2安全提议采用的PRF算法 |
DH Group |
IKEv2安全提议采用的DH组 |
【相关命令】
· ikev2 proposal
display ikev2 sa命令用来显示IKEv2 SA的信息。
【命令】
display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
count:显示IKEv2 SA的数量。
local:显示指定本端地址的IKEv2 SA信息。
remote:显示指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
vpn-instance vpn-instance-name:显示指定VPN实例内的IKEv2 SA信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示公网的IKEv2 SA信息。
verbose:显示IKEv2 SA的详细信息。如果不指定该参数,则表示显示IKEv2 SA的摘要信息。
tunnel tunnel-id:显示指定IPsec隧道的IKEv2 SA详细信息。tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
【使用指导】
若不指定任何参数,则显示所有IKEv2 SA的摘要信息。
【举例】
# 显示所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 显示对端地址为1.1.1.2的IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
表3-3 display ikev2 sa命令显示信息描述表
字段 |
描述 |
Tunnel ID |
IKEv2 SA的隧道标识符 |
Local |
IKEv2 SA的本端IP地址 |
Remote |
IKEv2 SA的对端IP地址 |
Status |
IKEv2 SA的状态: · IN-NEGO(Negotiating):表示此IKE SA正在协商 · EST(Established):表示此IKE SA已建立成功 · DEL(Deleting):表示此IKE SA将被删除 |
# 显示所有IKEv2 SA的详细信息。
<Sysname> display ikev2 sa verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD:Interval 20 secs, retry interval 2 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
# 显示对端地址为1.1.1.2的IKEv2 SA的详细信息。
<Sysname> display ikev2 sa remote 1.1.1.2 verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD: Interval 30 secs, retry interval 10 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
表3-4 display ikev2 sa verbose命令显示信息描述表
字段 |
描述 |
Tunnel ID |
IKEv2 SA的隧道标识符 |
Local IP/Port |
本端安全网关的IP地址/端口号 |
Remote IP/Port |
对端安全网关的IP地址/端口号 |
Outside VRF |
出方向被保护数据所属的VRF名称,-表示属于公网 |
Inside VRF |
入方向被保护数据所属的VRF名称,-表示属于公网 |
Local SPI |
本端安全参数索引 |
Remote SPI |
对端安全参数索引 |
Local ID type |
本端安全网关的身份信息类型 |
Local ID |
本端安全网关的身份信息 |
Remote ID type |
对端安全网关的身份信息类型 |
Remote ID |
对端安全网关的身份信息 |
Auth sign method |
IKEv2安全提议中认证使用的签名方法 |
Auth verify method |
IKEv2安全提议中认证使用的验证方法 |
Integrity algorithm |
IKEv2安全提议中使用的完整性算法 |
PRF algorithm |
IKEv2安全提议中使用的PRF算法 |
Encryption algorithm |
IKEv2安全提议中使用的加密算法 |
Life duration |
IKEv2 SA的生命周期(单位为秒) |
Remaining key duration |
IKEv2 SA的剩余生命周期(单位为秒) |
Diffie-Hellman group |
IKEv2密钥协商时所使用的DH密钥交换参数 |
NAT traversal |
是否检测到协商双方之间存在NAT网关设备 |
DPD |
DPD探测的时间间隔和重传时间(单位为秒),若未开启DPD探测功能,则显示为Interval 0 secs, retry interval 0 secs |
Transmitting entity |
IKEv2协商中的实体角色:发起方、响应方 |
Local window |
本端IKEv2协商的窗口大小 |
Remote window |
对端IKEv2协商的窗口大小 |
Local request message ID |
本端下一次要发送的请求消息的序号 |
Remote request message ID |
对端下一次要发送的请求消息的序号 |
Local next message ID |
本端期望下一个接收消息的序号 |
Remote next message ID |
对端期望下一个接收消息的序号 |
Pushed IP address |
对端推送给本端的IP地址 |
Assigned IP address |
本端分配给对端的IP地址 |
# 显示所有IKEv2 SA的个数。
[Sysname] display ikev2 sa count
IKEv2 SAs count: 0
表3-5 display ikev2 sa count命令显示信息描述表
字段 |
描述 |
IKEv2 SAs count |
IKEv2 SA的总数 |
display ikev2 statistics命令用来显示IKEv2统计信息。
【命令】
display ikev2 statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKEv2的统计信息。
<Sysname> display ikev2 statistics
IKEv2 statistics:
Unsupported critical payload: 0
Invalid IKE SPI: 0
Invalid major version: 0
Invalid syntax: 0
Invalid message ID: 0
Invalid SPI: 0
No proposal chosen: 0
Invalid KE payload: 0
Authentication failed: 0
Single pair required: 0
TS unacceptable: 0
Invalid selectors: 0
Temporary failure: 0
No child SA: 0
Unknown other notify: 0
No enough resource: 0
Enqueue error: 0
No IKEv2 SA: 0
Packet error: 0
Other error: 0
Retransmit timeout: 0
DPD detect error: 0
Del child for IPsec message: 1
Del child for deleting IKEv2 SA: 1
Del child for receiving delete message: 0
表3-6 display ikev2 statistics命令显示信息描述表
字段 |
描述 |
IKEv2 statistics |
IKEv2统计信息 |
Unsupported critical payload |
不支持的重要载荷 |
Invalid IKE SPI |
无效的IKE SPI信息 |
Invalid major version |
无效的主版本号 |
Invalid syntax |
无效的语法 |
Invalid message ID |
无效的Message ID |
Invalid SPI |
无效的SPI |
No proposal chosen |
提议不匹配 |
Invalid IKE payload |
无效的IKE载荷 |
Authentication failed |
认证失败 |
Single pair required |
需要特定的地址对 |
TS unacceptable |
不可接受的Traffic Selectors |
Invalid selectors |
无效的Selector |
Temporary failure |
临时错误 |
No child SA |
找不到Child SA |
Unknown other notify |
未定义的其它通知类型 |
No enough resource |
资源不够 |
Enqueue error |
入队列错误 |
No IKEv2 SA |
没有IKEv2 SA |
Packet error |
报文错误 |
Other error |
其它错误 |
Retransmit timeout |
重传超时 |
Dpd detect error |
DPD探测失败 |
Del child for IPsec message |
由于收到IPsec消息删除Child SA |
Del child for deleting IKEv2 SA |
由于删除IKEv2 SA删除Chlid SA |
Del child for receiving delete message |
由于收到删除消息删除Child SA |
【相关命令】
· reset ikev2 statistics
dpd用来配置IKEv2 DPD探测功能。
undo dpd命令用来关闭 IKEv2 DPD探测功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKEv2 profile视图下的DPD探测功能处于关闭状态,使用全局的DPD配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定IKEv2 DPD探测的间隔时间,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则本端发送IPsec报文时触发DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒。缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 为IKEv2 profile1配置IKEv2 DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKEv2
DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相关命令】
· ikev2 dpd
encryption命令用来指定IKEv2安全提议使用的加密算法。
undo encryption命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | aes-gcm-128 | aes-gcm-192 | aes-gcm-256} *
undo encryption
(FIPS模式下)
encryption { aes-gcm-128 | aes-gcm-192 | aes-gcm-256} *
undo encryption
【缺省情况】
IKEv2安全提议未定义加密算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
aes-ctr-128:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为128比特。
aes-ctr-192:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为192比特。
aes-ctr-256:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为256比特。
camellia-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为128比特。
camellia-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为192比特。
camellia-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为256比特。
des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
aes-gcm-128:指定IKEv2安全提议采用的加密算法为GCM模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-gcm-192:指定IKEv2安全提议采用的加密算法为GCM模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-gcm-256:指定IKEv2安全提议采用的加密算法为GCM模式的AES算法,AES算法采用256比特的密钥进行加密。
【使用指导】
IKEv2安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。一个IKEv2安全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2安全提议1的加密算法为CBC模式的168-bit 3DES。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc
【相关命令】
· ikev2 proposal
hostname命令用来指定IKEv2 peer的主机名称。
undo hostname命令用来恢复缺省情况。
【命令】
hostname name
undo hostname
【缺省情况】
未配置IKEv2 peer的主机名称。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer主机名称,为1~253个字符的字符串,不区分大小写。
【使用指导】
主机名仅适用于在基于IPsec安全策略的IKEv2协商中发起方查询IKEv2 peer,不适用于基于IPsec虚拟隧道接口的IKEv2协商。
【举例】
# 创建IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的主机名为test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相关命令】
· ikev2 keychain
· peer
identity命令用来指定IKEv2 peer的身份信息。
undo identity命令用来恢复缺省情况。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }
undo identity
【缺省情况】
未指定IKEv2 peer的身份信息。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:对端IPv4地址。
ipv6 ipv6-address:对端IPv6地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。
email email-string:指定标识对端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如esec@test.example.com。
key-id key-id-string:指定标识对端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
对等体身份信息仅用于IKEv2协商的响应方查询IKEv2 peer,因为发起方在发起IKEv2协商时并不知道对端的身份信息。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的身份信息为地址1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相关命令】
· ikev2 keychain
· peer
identity local命令用来配置本端身份信息,用于在IKEv2认证协商阶段向对端标识自己的身份。
undo identity local命令用来恢复缺省情况。
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }
undo identity local
【缺省情况】
未指定IKEv2本端身份信息,使用应用IPsec安全策略的接口的IP地址作为本端身份。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
email email-string:指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@abc.example.com。
fqdn fqdn-name:指定标识本端身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如test.example.com。
key-id key-id-string:指定标识本端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
交换的身份信息用于协商双方在协商时识别对端身份。
【举例】
#创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相关命令】
· peer
ikev2 address-group命令用来配置为对端分配IPv4地址的IKEv2本地IPv4地址池。
undo ikev2 address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ikev2 address-group group-name
【缺省情况】
未定义IKEv2本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address end-ipv4-address:IPv4地址池的地址范围。其中,start-ipv4-address为IPv4地址池的起始地址,end-ipv4-address为IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
【举例】
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
· address-group
ikev2 cookie-challenge命令用来开启cookie-challenge功能。
undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【缺省情况】
IKEv2 cookie-challenge功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:指定触发响应方启用cookie-challenge功能的阈值,取值范围为0~1000。
【使用指导】
若响应方配置了cookie-challenge功能,当响应方发现存在的半开IKE SA超过指定的数目时,就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后,构造一个Cookie通知载荷并响应发起方,若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求,则可以继续后续的协商过程,防止由于源IP仿冒而耗费大量响应方的系统资源,造成对响应方的DoS攻击。
【举例】
# 开启cookie-challenge功能,并配置启用cookie-challenge功能的阈值为450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
ikev2 dpd命令用来配置全局IKEv2 DPD功能。
undo ikev2 dpd命令用来关闭全局IKEv2 DPD功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情况】
IKEv2 DPD探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKEv2 DPD探测的时间间隔,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则发送报文前触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能,则IKEv2 profile视图下的DPD配置生效,如果IKEv2 profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 periodic
【相关命令】
· dpd(IKEv2 profile view)
ikev2 ipv6-address-group命令用来配置为对端分配IPv6地址的IKEv2本地地址池。
undo ikev2 ipv6-address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ikev2 ipv6-address-group group-name
【缺省情况】
未定义IKEv2本地IPv6地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。
prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。
assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为0~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。
【使用指导】
与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。
所有IKEv2本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。
【举例】
# 配置IKEv2本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。
<Sysname> system-view
[Sysname] ikev2 ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相关命令】
· ipv6-address-group
ikev2 keychain命令用来创建IKEv2 keychain,并进入IKEv2 keychain视图。如果指定的IKEv2 keychain已经存在,则直接进入IKEv2 keychain视图。
undo ikev2 keychain命令用来删除指定的IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情况】
不存在IKEv2 keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain的名称,为1~63个字符的字符串,不区分大小写,且不能包括字符“-”。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。配置的预共享密钥的值需要与对端IKEv2网关上配置的预共享密钥的值相同。
一个IKEv2 keychain下可以配置多个IKEv2 peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
[Sysname-ikev2-keychain-key1]
ikev2 nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ikev2 nat-keepalive命令用来恢复缺省情况。
【命令】
ikev2 nat-keepalive seconds
undo ikev2 nat-keepalive
【缺省情况】
探测到NAT后发送NAT Keepalive报文的时间间隔为10秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:向对端发送NAT Keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 配置向NAT发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ikev2 nat-keepalive 5
ikev2 policy命令用来创建IKEv2安全策略,并进入IKEv2安全策略视图。如果指定的IKEv2安全策略已经存在,则直接进入IKEv2安全策略视图。
undo ikev2 policy命令用来删除指定的IKEv2安全策略。
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全策略,该缺省的策略中包含一个缺省的IKEv2安全提议default,且可与所有的本端地址相匹配。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VRF来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VRF来选择要使用的IKEv2安全策略。选定IKEv2安全策略后,设备将根据安全策略中的安全提议进行加密算法、完整性校验算法、PRF算法和DH组的协商。
可以配置多个IKEv2安全策略。一个IKEv2安全策略中必须至少包含一个IKEv2安全提议,否则该策略不完整。
若发起方使用共享源接口方式IPsec策略,则IKE_SA_INIT协商时,使用共享源接口地址来选择要是使用的IKEv2安全策略。
相同匹配条件下,配置的优先级可用于调整匹配IKEv2安全策略的顺序。
如果没有配置IKEv2安全策略,则使用默认的IKEv2安全策略default。用户不能进入并配置默认的IKEv2安全策略default。
【举例】
# 创建IKEv2安全策略policy1,并进入IKEv2安全策略视图。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相关命令】
· display ikev2 policy
ikev2 profile命令用来创建IKEv2 profile,并进入IKEv2 profile视图。如果指定的IKEv2 profile已经存在,则直接进入IKEv2 profile视图。
undo ikev2 profile命令用来删除指定的IKEv2 profile。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【缺省情况】
不存在IKEv2 profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKEv2 profile用于保存非协商的IKEv2 SA的参数,如本端和对端的身份、本端和对端的认证方式、用于查找IKEv2 profile的匹配条件等。
【举例】
# 创建IKEv2 profile,名称为profile1,并进入IKEv2 profile视图。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【相关命令】
· display ikev2 profile
ikev2 proposal命令用来创建IKEv2安全提议,并进入IKEv2安全提议视图。如果指定的IKEv2安全提议已经存在,则直接进入IKEv2安全提议视图。
undo ikev2 proposal命令用来删除指定的IKEv2安全提议。
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全提议。
非FIPS模式下,缺省提议使用的算法:
· 加密算法:AES-CBC-128和3DES-CBC
· 完整性校验算法:HMAC-SHA1和HMAC-MD5
· PRF算法:HMAC-SHA1和HMAC-MD5
· DH:group5和group2
FIPS模式下,缺省提议使用的算法:
· 加密算法:AES-CBC-128
· 完整性校验算法:HMAC-SHA1和HMAC-SHA256
· PRF算法:HMAC-SHA1和HMAC-SHA256
· DH:group14和group19
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-name:指定IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写,且不能为default。
【使用指导】
IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数,包括加密算法、完整性验证算法、PRF(pseudo-random function)算法和DH组。
在一个IKEv2安全提议中,至少需要配置一组安全参数,即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。
在一个IKEv2安全提议中,可以配置多组安全参数,即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组,这些安全参数在实际协商过程中,将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在IKEv2安全提议中仅配置了一套安全参数。
【举例】
# 创建IKEv2安全提议prop1,并配置加密算法为aes-cbc-128,完整性校验算法为sha1,PRF算法为sha1,DH组为group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相关命令】
· encryption-algorithm
· integrity
· prf
· dh
inside-vrf命令用来指定内部VPN实例。
undo inside-vrf命令用来恢复缺省情况。
【命令】
inside-vrf vrf-name
undo inside-vrf
【缺省情况】
IKEv2 profile未指定内部VPN实例,即内网与外网在同一个VPN实例中。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
vrf-name:保护的数据所属的VRF名称,为1~31个字符的字符串,区分大小写。
【使用指导】
当IPsec解封装后的报文需要继续转发到不同的VPN时,设备需要知道在哪个VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN实例中查找路由,如果不希望在与外网相同的VPN实例中查找路由,则可以指定一个内部VPN实例,通过查找该内部VPN实例的路由来转发报文。
本命令仅对引用了IKEv2 profile的IPsec安全策略生效,对引用了IKEv2 profile 的IPsec安全框架不生效。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile profile1中指定内部VRF为vpn1。
[Sysname-ikev2-profile-profile1] inside-vrf vpn1
integrity命令用来指定IKEv2安全提议使用的完整性校验算法。
undo integrity命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情况】
未指定IKEv2安全提议使用的完整性校验算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的完整性校验算法为HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提议采用的完整性校验算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。一个IKEv2安全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的完整性校验算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相关命令】
· ikev2 proposal
keychain命令用来配置采用预共享密钥认证时使用的Keychain。
undo keychain命令用来恢复缺省情况。
【命令】
keychain keychain-name
undo keychain
【缺省情况】
IKEv2 profile中未引用Keychain。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain名称,为1~63个字符的字符串,不区分大小写,且不能包括字符-。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。
不同的IKEv2 profile可以共享同一个IKEv2 keychain 。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keychain,keychain的名称为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· ikev2 keychain
match local命令用来限制IKEv2 profile的使用范围。
undo match local命令用来取消对IKEv2 profile使用范围的限制。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未限制IKEv2 profile的使用范围。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address:指定IKEv2 profile只能用于指定地址或指定接口的地址上的IKEv2协商。
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
此命令用于限制IKEv2 profile只能用于指定地址或指定接口上的地址协商,这里的地址指的是本端收到IKEv2报文的接口IP地址,即只有IKEv2协商报文从该地址接收时,才会采用该IKEv2 profile。IKEv2 profile优先级可以手工配置,先配置的优先级高。若希望本端在匹配某些IKEv2 profile的时候,不按照手工配置的顺序来查找,则可以通过本命令来指定这类IKEv2 profile的使用范围。例如,IKEv2 profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKEv2 profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKEv2 profile A先于IKEv2 profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
通过该命令可以指定多个本端匹配条件。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 限制IKEv2 profile profile1只能在IP地址为2.2.2.2的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相关命令】
· match remote
match local address命令用来指定匹配IKEv2安全策略的本端地址。
undo match local address命令用来删除指定的用于匹配IKEv2安全策略的本端地址。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定用于匹配IKEv2安全策略的本端地址,表示本策略可匹配所有本端地址。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
根据本端地址匹配IKEv2安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。
【举例】
# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相关命令】
· display ikev2 policy
· match vrf
match remote命令用来配置匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKEv2 profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串,不区分大小写。本参数用于基于对端数字证书中的信息匹配IKEv2 profile。
identity:基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ]:对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀长度,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。
email email-string:指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@abc.example.com。
key-id key-id-string:指定标识对等体身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
查找对端匹配的IKEv2 profile时,对端需要同时满足以下条件:
· 将对端的身份信息与本命令配置的匹配规则进行比较,二者必须相同。
· 查找IKEv2 profile和验证对端身份时,需要使用match remote、match local address、match vrf一起匹配,若有其中一项不符合,则表示该IKEv2 profile不匹配。
查找到匹配的IKEv2 profile后,本端设备将用该IKEv2 profile中的信息与对端完成认证。
为了使得每个对端能够匹配到唯一的IKEv2 profile,不建议在两个或两个以上IKEv2 profile中配置相同的match remote规则,否则能够匹配到哪个IKEv2 profile是不可预知的。match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定匹配采用FQDN作为身份标识、且取值为test.example.com的对端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn test.example.com
# 指定匹配采用IP地址作为身份标识、且取值为10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相关命令】
· identity local
· match local address
· match vrf
match vrf命令用来配置匹配IKEv2安全策略的VPN实例。
undo match vrf命令用来恢复缺省情况。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情况】
未指定用于匹配IKEv2安全策略的VPN实例,表示本策略可匹配公网内的所有本端地址。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
name vrf-name:基于指定的VPN实例匹配IKEv2安全策略。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
any:表示公网及任何VPN实例都可以匹配IKEv2安全策略。
【使用指导】
IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VPN实例来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VPN实例来选择要使用的IKEv2安全策略。
根据本端地址匹配IKEv2安全策略时,优先匹配指定了VPN实例匹配条件的策略,其次匹配未指定VPN实例匹配条件的策略。
【举例】
# 创建IKEv2安全策略,名称为policy1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
# 指定IKEv2安全策略匹配的VPN为vpn1。
[Sysname-ikev2-policy-policy1] match vrf name vpn1
【相关命令】
· display ikev2 policy
· match local address
match vrf命令用来配置IKEv2 profile所属的VPN实例。
undo match vrf命令用来恢复缺省情况。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情况】
IKEv2 profile属于公网。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
name vrf-name:基于指定的VPN实例匹配IKEv2 profile。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
any:表示公网及任何VPN实例都可以匹配IKEv2 profile。
【使用指导】
此命令用于限制IKEv2 profile只能在指定所属VPN实例的接口上协商,这里的VPN指的是收到IKEv2报文的接口所属VPN实例。如果配置了参数any,则表示IKEv2 profile可以在所有VPN实例接口上协商。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile所属的VPN为vrf1。
[Sysname-ikev2-profile-profile1] match vrf name vrf1
【相关命令】
· match remote
nat-keepalive命令用来配置发送NAT keepalive的时间间隔。
undo nat-keepalive命令用来恢复缺省情况。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情况】
使用全局的IKEv2 NAT keepalive配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:发送NAT keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置发送NAT keepalive报文的时间间隔为1200秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相关命令】
· display ikev2 profile
· ikev2 nat-keepalive
peer命令用来创建IKEv2 peer,并进入IKEv2 peer视图。如果指定的IKEv2 peer已经存在,则直接进入IKEv2 peer视图。
undo peer命令用来删除指定的IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情况】
不存在IKEv2 peer。
【视图】
IKEv2 keychain视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKEv2 peer中包含了一个预共享密钥以及用于查找该peer的匹配条件,包括对端的主机名称(由命令hostname配置)、对端的IP地址(由命令address配置)和对端的身份(由命令identity配置)。其中,IKEv2协商的发起方使用对端的主机名称或IP地址查找peer,响应方使用对端的身份或IP地址查找peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
【相关命令】
· ikev2 keychain
pre-shared-key命令用来配置IKEv2 peer的预共享密钥。
undo pre-shared-key命令用来删除IKEv2 peer的预共享密钥。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
【缺省情况】
未配置IKEv2 peer的预共享密钥。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
local:表示签名密钥。
remote:表示验证密钥。
ciphertext:以密文方式设置密钥。
plaintext:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。非FIPS模式下,明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。FIPS模式下,明文密钥为15~128个字符的字符串;密文密钥为15~201个字符的字符串。
【使用指导】
如果指定了参数local或remote,则表示指定的是非对称密钥;若参数local和remote均不指定,则表示指定的是对称密钥。
执行undo命令时,指定要删除的密钥类型必须和已配置的密钥类型完全一致,该undo命令才会执行成功。例如,IKEv2 peer视图下仅有pre-shared-key local的配置,则执行undo pre-shared-key和undo pre-shared-key remote命令均无效。
多次执行本命令,最后一次执行的命令生效。
【举例】
· 发起方示例
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-key1] peer peer2
# 配置peer2的非对称预共享密钥,签名密钥为明文111-key-a,验证密钥为明文111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
· 响应方示例
# 创建一个IKEv2 keychain,名称为telecom。
<Sysname> system-view
[Sysname] ikev2 keychain telecom
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置IKEv2 peer的非对称预共享密钥,签名密钥为明文111-key-b,验证密钥为明文111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相关命令】
· ikev2 keychain
· peer
prf命令用来指定IKEv2安全提议使用的PRF算法。
undo prf命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
(FIPS模式下)
prf { sha256 | sha384 | sha512 } *
undo prf
【缺省情况】
IKEv2安全提议使用配置的完整性校验算法作为PRF算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的PRF算法为HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提议采用的PRF算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的PRF算法为 HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中可以配置多个PRF算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的PRF算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] prf sha1 md5
【相关命令】
· ikev2 proposal
· integrity
priority命令用来指定IKEv2安全策略的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2安全策略的优先级为100。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2安全策略优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2安全策略时调整IKEv2安全策略的匹配顺序。
【举例】
# 指定IKEv2安全策略policy1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] priority 10
【相关命令】
· display ikev2 policy
priority命令用来配置IKEv2 profile的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2 profile的优先级为100。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2 profile优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2 Profile时调整IKEv2 Profile的匹配顺序。
【举例】
# 指定IKEv2 profile profile1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] priority 10
proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。
undo proposal命令用来取消IKEv2安全策略引用的IKEv2安全提议。
【命令】
proposal proposal-name
undo proposal proposal-name
【缺省情况】
IKEv2安全策略未引用IKEv2安全提议。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
proposal-name:被引用的IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
若同时指定了多个IKEv2安全提议,则它们的优先级按照配置顺序依次降低。
【举例】
# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1
【相关命令】
· display ikev2 policy
· ikev2 proposal
reset ikev2 sa命令用来清除IKEv2 SA。
【命令】
reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
local:清除指定本端地址的IKEv2 SA信息。
remote:清除指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN实例内的IKEv2 SA的详细信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示清除公网的IKEv2 SA信息。
tunnel tunnel-id:清除指定IPsec隧道的IKEv2 SA信息,tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
fast:不等待对端的回应,直接删除本端的IKEv2 SA。若不指定本参数,则表示需要在收到对端的删除通知响应之后,再删除本端的IKEv2 SA。
【使用指导】
清除IKEv2 SA时,会向对端发送删除通知消息,同时删除子SA。
如果不指定任何参数,则删除所有IKEv2 SA及其协商生成的子SA。
【举例】
# 删除对端地址为1.1.1.2 的IKEv2 SA。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
【相关命令】
· display ikev2 sa
reset ikev2 statistics命令用来清除IKEv2统计信息。
【命令】
reset ikev2 statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKEv2的统计信息。
<Sysname> reset ikev2 statistics
【相关命令】
· display ikev2 statistics
sa duration命令用来配置IKEv2 SA的生命周期。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKEv2 SA的生命周期为86400秒。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:IKEv2 SA的生命周期,取值范围为120~86400,单位为秒。
【使用指导】
在一个IKEv2 SA的生命周期到达之前,可以用该IKEv2 SA进行其它IKEv2协商。因此一个生命周期较长的IKEv2 SA可以节省很多用于重新协商的时间。但是,IKEv2 SA的生命周期越长,攻击者越容易收集到更多的报文信息来对它实施攻击。
本端和对端的IKEv2 SA生命周期可以不一致,也不需要进行协商,由生命周期较短的一方在本端IKEv2 SA生命周期到达之后发起重协商。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生命周期为1200秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相关命令】
· display ikev2 profile
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!