• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

06-VPN命令参考

目录

03-IPsec命令

本章节下载 03-IPsec命令  (1.59 MB)

03-IPsec命令

  录

1 IPsec

1.1 IPsec配置命令

1.1.1 activate link

1.1.2 ah authentication-algorithm

1.1.3 description

1.1.4 display ipsec global-info

1.1.5 display ipsec { ipv6-policy | policy }

1.1.6 display ipsec { ipv6-policy-template | policy-template }

1.1.7 display ipsec p2mp tunnel-table interface tunnel

1.1.8 display ipsec profile

1.1.9 display ipsec sa

1.1.10 display ipsec sdwan-sa local

1.1.11 display ipsec sdwan-sa remote

1.1.12 display ipsec sdwan-statistics

1.1.13 display ipsec sdwan-tunnel

1.1.14 display ipsec smart-link policy

1.1.15 display ipsec statistics

1.1.16 display ipsec transform-set

1.1.17 display ipsec tunnel

1.1.18 encapsulation-mode

1.1.19 esn enable

1.1.20 esp authentication-algorithm

1.1.21 esp encryption-algorithm

1.1.22 gateway

1.1.23 ike-profile

1.1.24 ikev2-profile

1.1.25 ipsec { ipv6-policy | policy }

1.1.26 ipsec { ipv6-policy | policy } template

1.1.27 ipsec { ipv6-policy | policy } local-address

1.1.28 ipsec { ipv6-policy-template | policy-template }

1.1.29 ipsec anti-replay check

1.1.30 ipsec anti-replay window

1.1.31 ipsec apply

1.1.32 ipsec decrypt-check enable

1.1.33 ipsec df-bit

1.1.34 ipsec flow-overlap check enable

1.1.35 ipsec fragmentation

1.1.36 ipsec global-df-bit

1.1.37 ipsec limit max-tunnel

1.1.38 ipsec logging ipsec-p2mp enable

1.1.39 ipsec logging negotiation enable

1.1.40 ipsec logging packet enable

1.1.41 ipsec netmask-filter

1.1.42 ipsec no-nat-process enable

1.1.43 ipsec profile

1.1.44 ipsec redundancy enable

1.1.45 ipsec sa global-duration

1.1.46 ipsec sa global-soft-duration buffer

1.1.47 ipsec sa idle-time

1.1.48 ipsec smart-link policy

1.1.49 ipsec transform-set

1.1.50 link

1.1.51 link-probe

1.1.52 link-probe source

1.1.53 link-switch cycles

1.1.54 link-switch threshold

1.1.55 local-address

1.1.56 move link

1.1.57 pfs

1.1.58 policy alias

1.1.59 policy enable

1.1.60 profile alias

1.1.61 protocol

1.1.62 qos pre-classify

1.1.63 redundancy replay-interval

1.1.64 remote-address

1.1.65 remote-address switch-back enable

1.1.66 remote-certificate serial

1.1.67 reset ipsec sa

1.1.68 reset ipsec sdwan-sa

1.1.69 reset ipsec sdwan-statistics

1.1.70 reset ipsec sdwan-tunnel

1.1.71 reset ipsec statistics

1.1.72 responder-only enable

1.1.73 reverse-route dynamic

1.1.74 reverse-route preference

1.1.75 reverse-route tag

1.1.76 sa df-bit

1.1.77 sa duration

1.1.78 sa hex-key authentication

1.1.79 sa hex-key encryption

1.1.80 sa idle-time

1.1.81 sa soft-duration buffer

1.1.82 sa spi

1.1.83 sa string-key

1.1.84 sa trigger-mode

1.1.85 security acl

1.1.86 smart-link enable

1.1.87 smart-link policy

1.1.88 snmp-agent trap enable ipsec

1.1.89 tfc enable

1.1.90 transform-set

1.1.91 tunnel protection ipsec

2 IKE

2.1 IKE配置命令

2.1.1 aaa authorization

2.1.2 app-dev-info (IKE GDQUANTUM view)

2.1.3 authentication-algorithm

2.1.4 authentication-method

2.1.5 auth-key

2.1.6 certificate domain

2.1.7 client-authentication

2.1.8 client-authentication xauth

2.1.9 client source-udp-port dynamic

2.1.10 decrypt-quantum-key

2.1.11 description

2.1.12 dh

2.1.13 display ike global-info

2.1.14 display ike proposal

2.1.15 display ike sa

2.1.16 display ike statistics

2.1.17 dpd

2.1.18 encryption-algorithm

2.1.19 exchange-mode

2.1.20 ike address-group

2.1.21 ike compatible-gm-main enable

2.1.22 ike compatible-sm4 enable

2.1.23 ike dpd

2.1.24 ike dual-active address-alloc

2.1.25 ike gd-quantum

2.1.26 ike gm-main global-ike-version

2.1.27 ike gm-main ike-version

2.1.28 ike gm-main sm4-version

2.1.29 ike identity

2.1.30 ike invalid-spi-recovery enable

2.1.31 ike ipv6-address-group

2.1.32 ike keepalive interval

2.1.33 ike keepalive timeout

2.1.34 ike keychain

2.1.35 ike limit

2.1.36 ike logging negotiation enable

2.1.37 ike nat-keepalive

2.1.38 ike profile

2.1.39 ike proposal

2.1.40 ike signature-identity from-certificate

2.1.41 inside-vpn

2.1.42 keychain

2.1.43 local-identity

2.1.44 match local address (IKE keychain view)

2.1.45 match local address (IKE profile view)

2.1.46 match remote

2.1.47 match remote address

2.1.48 pre-shared-key

2.1.49 priority (IKE keychain view)

2.1.50 priority (IKE profile view)

2.1.51 proposal

2.1.52 reset ike sa

2.1.53 reset ike statistics

2.1.54 sa duration

2.1.55 sa soft-duration buffer

2.1.56 server-address

2.1.57 snmp-agent trap enable ike

3 IKEv2

3.1 IKEv2配置命令

3.1.1 aaa authorization

3.1.2 address

3.1.3 authentication-method

3.1.4 certificate domain

3.1.5 config-exchange

3.1.6 dh

3.1.7 display ikev2 policy

3.1.8 display ikev2 profile

3.1.9 display ikev2 proposal

3.1.10 display ikev2 sa

3.1.11 display ikev2 statistics

3.1.12 dpd

3.1.13 encryption

3.1.14 hostname

3.1.15 identity

3.1.16 identity local

3.1.17 ikev2 address-group

3.1.18 ikev2 cookie-challenge

3.1.19 ikev2 dpd

3.1.20 ikev2 ipv6-address-group

3.1.21 ikev2 keychain

3.1.22 ikev2 limit

3.1.23 ikev2 nat-keepalive

3.1.24 ikev2 policy

3.1.25 ikev2 profile

3.1.26 ikev2 proposal

3.1.27 inside-vrf

3.1.28 integrity

3.1.29 keychain

3.1.30 match local (IKEv2 profile view)

3.1.31 match local address (IKEv2 policy view)

3.1.32 match remote

3.1.33 match vrf (IKEv2 policy view)

3.1.34 match vrf (IKEv2 profile view)

3.1.35 nat-keepalive

3.1.36 peer

3.1.37 pre-shared-key

3.1.38 prf

3.1.39 priority (IKEv2 policy view)

3.1.40 priority (IKEv2 profile view)

3.1.41 proposal

3.1.42 reset ikev2 sa

3.1.43 reset ikev2 statistics

3.1.44 sa duration


1 IPsec

说明

SM1算法仅在安装了国密加密卡的设备上支持。

 

说明

非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

1.1  IPsec配置命令

1.1.1  activate link

activate link命令用来手动激活指定的IPsec智能选路的链路。

【命令】

activate link link-id

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

link-id:需要激活的链路ID,取值范围为1~10,此ID指定的链路必须是在IPsec智能选路策略中已经配置的链路。

【使用指导】

非缺省vSystem不支持本命令。

在IPsec智能选路策略中,不仅可以根据链路的探测质量由设备自动顺序切换链路,也可以手动激活一条可用的链路来建立IPsec隧道。

在智能选路功能开启的情况下,手动激活链路后,如果该链路的丢包率或时延高于设定的阈值,设备同样会进行链路的循环切换。循环切换的起始链路是手动激活的这条链路,循环切换的终止链路仍然是优先级最低的链路。例如,有四条链路,手动激活第三条链路后,则立即切换到第三条链路。在第三条链路的丢包率或时延高于设定的阈值时,切换到第四条链路,之后继续按照1>2>3>4进行循环切换。

在智能选路功能关闭的情况下,手动激活链路后,不会进行链路自动切换。

【举例】

# 手动激活链路ID为2的IPsec智能选路的链路。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] activate link 2

【相关命令】

·     display ipsec smart-link policy

1.1.2  ah authentication-algorithm

ah authentication-algorithm命令用来配置AH协议采用的认证算法。

undo ah authentication-algorithm命令用来恢复缺省情况。

【命令】

ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *

undo ah authentication-algorithm

【缺省情况】

AH协议未采用任何认证算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。

md5:采用HMAC-MD5-96认证算法,密钥长度128比特。

sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。

sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。

sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。

sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。

sm3:采用HMAC-SM3-96认证算法,密钥长度256比特。本参数仅适用于IKEv1协商。

【使用指导】

每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。

对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。

【举例】

# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1

1.1.3  description

description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

无描述信息。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。

【使用指导】

当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。

【举例】

# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。

<Sysname> system-view

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA

1.1.4  display ipsec global-info

display ipsec global-info命令用来显示IPsec模块全局信息。

【命令】

display ipsec global-info

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【使用指导】

显示当前设备上IPsec模块相关全局运行数据。

【举例】

# 显示当前设备上IPsec模块相关全局运行数据。

<Sysname> display ipsec global-info

IPsec anti-replay check: enable

IPsec anti-replay window (packets): 1024

IPsec decrypt-check: enable

IPsec flow-redirect: enable

IPsec fragmentation: after-encryption

IPsec global-df-bit: copy

IPsec limit max-tunnel: 5000

IPsec redundancy: disable

IPsec sa global-duration time-based (seconds): 180

IPsec sa global-duration traffic-based (KBytes): 4096

IPsec sa idle-time (seconds): 120

IPsec sa global-soft-duration buffer time-based (seconds): 200

IPsec sa global-soft-duration buffer traffic-based (KBytes): 2000

表1-1 display ipsec global-info命令显示信息描述表

字段

描述

IPsec anti-replay check

IPsec抗重放检测功能开启状态。取值包括:

·     disable:IPsec抗重放检测功能未开启

·     enable:IPsec抗重放检测功能已开启

IPsec anti-replay window (packets)

IPsec抗重放窗口大小,单位为报文

IPsec decrypt-check

解封装后IPsec报文的ACL检查功能开启状态。取值包括:

·     disable:解封装后IPsec报文的ACL检查功能未开启

·     enable:解封装后IPsec报文的ACL检查功能已开启

IPsec fragmentation

IPsec分片时机。取值包括:

·     after-encryption:表示封装后分片

·     before-encryption:表示封装前分片

IPsec global-df-bit

IPsec封装外层IP头DF位填充方式。取值包括:

·     clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片

·     copy:表示外层IP头的DF位从原始报文IP头中拷贝

·     set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片

IPsec limit max-tunnel

本端允许建立IPsec隧道最大个数

IPsec redundancy

IPsec冗余备份功能开始状态。取值包括:

·     disable:IPsec冗余备份功能未开启

·     enable:IPsec冗余备份功能已开启

IPsec sa global-duration time-based (seconds)

基于时间的IPsec SA生存时间,单位为秒

IPsec sa global-duration traffic-based (KBytes)

基于流量的IPsec SA生存时间,单位为千字节

IPsec sa idle-time (seconds)

IPsec SA的空闲超时时间,单位为秒

IPsec sa global-soft-duration buffer time-based (seconds)

基于时间的IPsec软超时缓冲参数,单位为秒

IPsec sa global-soft-duration buffer traffic-based (KBytes)

基于流量的IPsec软超时缓冲参数,单位为千字节

 

1.1.5  display ipsec { ipv6-policy | policy }

display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。

【命令】

display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

ipv6-policy:显示IPv6 IPsec安全策略的信息。

policy:显示IPv4 IPsec安全策略的信息。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。

【使用指导】

如果不指定任何参数,则显示所有IPsec安全策略的信息。

如果指定了policy-nameseq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。

【举例】

# 显示所有IPv4 IPsec安全策略的信息。

<Sysname> display ipsec policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Alias: mypolicy-1

  Mode: Manual

  -----------------------------

  The policy configuration is incomplete:

           ACL not specified

           Incomplete transform-set configuration

  Description: This is my first IPv4 manual policy

  Security data flow:

  Remote address: 2.5.2.1

  Transform set: transform

 

  Inbound AH setting:

    AH SPI: 1200 (0x000004b0)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 1400 (0x00000578)

    ESP string-key:

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 1300 (0x00000514)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 1500 (0x000005dc)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  -----------------------------

  Sequence number: 2

  Alias: mypolicy-2

  Mode: ISAKMP

  -----------------------------

  The policy configuration is incomplete:

           Remote-address not set

           ACL not specified

           Transform-set not set

  Description: This is my first IPv4 Isakmp policy

  Traffic Flow Confidentiality: Enabled

  Security data flow:

  Selector mode: standard

  Local address:

  Remote address: 5.2.2.1, primary, track 1 (track state: Positive)

  Remote address: test, track 2 (track state: Positive)

  Remote address switchback mode: Enabled

  Transform set:

  IKE profile:

  IKEv2 profile:

  smart-link policy:

  SA trigger mode: Auto

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds

  SA df-bit:

  Responder only: Disabled

-------------------------------------------

IPsec Policy: mycompletepolicy

Interface: LoopBack2

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Alias: mypolicy-3

  Mode: Manual

  -----------------------------

  Description: This is my complete policy

  Security data flow: 3100

  Remote address: 2.2.2.2

  Transform set: completetransform

 

  Inbound AH setting:

    AH SPI: 5000 (0x00001388)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 7000 (0x00001b58)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 6000 (0x00001770)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 8000 (0x00001f40)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  -----------------------------

  Sequence number: 2

  Alias: hub1-spoke2

  Mode: ISAKMP

  -----------------------------

  Description: This is my complete policy

  Traffic Flow Confidentiality: Enabled

  Security data flow: 3200

  Selector mode: standard

  Local address:

  Remote address: 5.3.3.1, primary, track 3 (track state: Positive)

  Remote address: test, track 4 (track state: Positive)

  Remote address switchback mode: Enabled

  Transform set:  completetransform

  IKE profile:

  IKEv2 profile:

  smart-link policy:

  SA trigger mode: Auto

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds

  SA df-bit:

  Responder only: Disabled

# 显示所有IPv6 IPsec安全策略的详细信息。

<Sysname> display ipsec ipv6-policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

 

  -----------------------------

  Sequence number: 1

  Alias: mypolicy-2

  Mode: Manual

  -----------------------------

  Description: This is my first IPv6 policy

  Security data flow: 3600

  Remote address: 1000::2

  Transform set: mytransform

 

  Inbound AH setting:

    AH SPI: 1235 (0x000004d3)

    AH string-key: ******

    AH authentication hex key:

 

  Inbound ESP setting:

    ESP SPI: 1236 (0x000004d4)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  Outbound AH setting:

    AH SPI: 1237 (0x000004d5)

    AH string-key: ******

    AH authentication hex key:

 

  Outbound ESP setting:

    ESP SPI: 1238 (0x000004d6)

    ESP string-key: ******

    ESP encryption hex key:

    ESP authentication hex key:

 

  -----------------------------

  Sequence number: 2

  Alias: hub1-spoke2

  Mode: ISAKMP

  -----------------------------

  Description: This is my complete policy

  Traffic Flow Confidentiality: Enabled

  Security data flow: 3200

  Selector mode: standard

  Local address:

  Remote address: 1000::2

  Remote address switchback mode: Disabled

  Transform set:  completetransform

  IKE profile:

  IKEv2 profile:

  smart-link policy:

  SA trigger mode: Auto

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds  

  SA df-bit:

  Responder only: Disabled

表1-2 display ipsec { ipv6-policy | policy }命令显示信息描述表

字段

描述

IPsec Policy

IPsec安全策略的名称

Interface

应用了IPsec安全策略的接口名称

Sequence number

IPsec安全策略表项的顺序号

Alias

IPsec安全策略表项的别名

Mode

IPsec安全策略采用的协商方式

·     Manual:手工方式

·     ISAKMP:IKE协商方式

·     Template:策略模板方式

The policy configuration is incomplete

IPsec安全策略配置不完整,可能的原因包括:

·     ACL未配置

·     IPsec安全提议未配置

·     ACL中没有permit规则

·     IPsec安全提议配置不完整

·     IPsec隧道对端IP地址未指定

·     IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配

Description

IPsec安全策略的描述信息

Traffic Flow Confidentiality

TFC(Traffic Flow Confidentiality)填充功能的开启状态

Security data flow

IPsec安全策略引用的ACL

Selector mode

IPsec安全策略的数据流保护方式

·     standard:标准方式

·     aggregation:聚合方式

·     per-host:主机方式

Local address

IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在)

Remote address

IPsec隧道的对端IP地址或主机名

primary地址显示在第一条,其余IP地址或主机名按照配置顺序显示

IPsec隧道的对端IP地址或主机名track状态(track state),取值包括:

·     Positive

·     Negative

·     NotReady

Remote address switchback mode

对端地址回切至primary地址功能,取值包括:

·     Enabled:回切功能开启

·     Disabled:回切功能未开启

Transform set

IPsec安全策略引用的IPsec安全提议的名称

IKE profile

IPsec安全策略引用的IKE Profile的名称

IKEv2 profile

IPsec安全策略引用的IKEv2 Profile的名称

smart-link policy

智能选路策略

SA trigger mode

触发建立IPsec SA的模式,包括:

·     Auto:自动触发模式

·     Traffic-based:流量触发模式

SA duration(time based)

基于时间的IPsec SA生存时间,单位为秒

SA duration(traffic based)

基于流量的IPsec SA生存时间,单位为千字节

SA soft-duration buffer(time based)

IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--”

SA soft-duration buffer(traffic based)

IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--”

SA idle time

IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--”

SA df-bit

IPsec SA封装后外层IP头的DF位,取值包括:

·     clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片

·     copy:表示外层IP头的DF位从原始报文IP头中拷贝

·     set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片

如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空

Responder only

IPsec协商时,本端仅作为响应方功能,取值包括:

·     Enabled:开启状态

·     Disabled:关闭状态

Inbound AH setting

入方向采用的AH协议的相关设置

Outbound AH setting

出方向采用的AH协议的相关设置

AH SPI

AH协议的SPI

AH string-key

AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空

AH authentication hex key

AH协议的十六进制密钥,若配置,则显示为******,否则显示为空

Inbound ESP setting

入方向采用的ESP协议的相关设置

Outbound ESP setting

出方向采用的ESP协议的相关设置

ESP SPI

ESP协议的SPI

ESP string-key

ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空

ESP encryption hex key

ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空

ESP authentication hex key

ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空

 

【相关命令】

·     ipsec { ipv6-policy | policy }

1.1.6  display ipsec { ipv6-policy-template | policy-template }

display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。

【命令】

display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。

policy-template:显示IPv4 IPsec安全策略模板的信息。

template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。

seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。

【使用指导】

如果不指定任何参数,则显示所有IPsec安全策略模板的信息。

如果指定了template-nameseq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。

【举例】

# 显示所有IPv4 IPsec安全策略模板的信息。

<Sysname> display ipsec policy-template

-----------------------------------------------

IPsec Policy Template: template

-----------------------------------------------

 

  ---------------------------------

  Sequence number: 1

  Alias: template-template-1

  ---------------------------------

Description: This is policy template

Traffic Flow Confidentiality: Disabled

Security data flow :

Selector mode: standard

Local address:

IKE profile:

IKEv2 profile:

Remote address: 162.105.10.2

Transform set:  testprop

IPsec SA local duration(time based): 3600 seconds

IPsec SA local duration(traffic based): 1843200 kilobytes

SA idle time: 100 seconds

SA df-bit:

Responder only: Disabled

# 显示所有IPv6 IPsec安全策略模板的信息。

<Sysname> display ipsec ipv6-policy-template

-----------------------------------------------

IPsec Policy Template: template6

-----------------------------------------------

 

  ---------------------------------

  Sequence number: 1

  Alias: hub1-spoke1

  ---------------------------------

Description: This is policy template

Traffic Flow Confidentiality: Disabled

Security data flow :

Selector mode: standard

Local address:

IKE profile:

IKEv2 profile:

Remote address: 200::1

Transform set: testprop

IPsec SA local duration(time based): 3600 seconds

IPsec SA local duration(traffic based): 1843200 kilobytes

SA idle time: 100 seconds

SA df-bit:

Responder only: Disabled

表1-3 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表

字段

描述

IPsec Policy Template

IPsec安全策略模板名称

Sequence number

IPsec安全策略模板表项的序号

Alias

IPsec安全策略模板表项的别名

Description

IPsec安全策略模板的描述信息

Traffic Flow Confidentiality

TFC(Traffic Flow Confidentiality)填充功能的开启状态

Security data flow

IPsec安全策略模板引用的ACL

Selector mode

IPsec安全策略模板的数据流保护方式

·     standard:标准方式

·     aggregation:聚合方式

·     per-host:主机方式

Local address

IPsec隧道的本端IP地址

IKE profile

IPsec安全策略模板引用的IKE Profile名称

IKEv2 profile

IPsec安全策略引用的IKEv2 Profile的名称

Remote address

IPsec隧道的对端IP地址

Transform set

IPsec安全策略模板引用的安全提议的名称

IPsec SA local duration(time based)

基于时间的IPsec SA生存时间,单位为秒

IPsec SA local duration(traffic based)

基于流量的IPsec SA生存时间,单位为千字节

SA idle time

IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--”

SA df-bit

IPsec SA封装后外层IP头的DF位,取值包括:

·     clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片

·     copy:表示外层IP头的DF位从原始报文IP头中拷贝

·     set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片

如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空

Responder only

IPsec协商时,本端仅作为响应方功能,取值包括:

·     Enabled:开启状态

·     Disabled:关闭状态

 

【相关命令】

·     ipsec { ipv6-policy | policy } isakmp template

1.1.7  display ipsec p2mp tunnel-table interface tunnel

display ipsec p2mp tunnel-table interface tunnel命令用来显示点到多点IPsec隧道接口的隧道动态表项信息。

【命令】

display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv4:指定显示隧道IPv4动态表项信息。

ipv6:指定显示隧道IPv6动态表项信息。

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。‌‌

【使用指导】

非缺省vSystem不支持本命令。

如果不指定任何参数,则显示所有点到多点IPsec隧道动态表项信息。

【举例】

# 显示指定slot上的点到多点IPsec隧道接口Tunnel0的隧道动态表项信息。‌‌

<Sysname> display ipsec p2mp tunnel-table interface tunnel 0 slot 0

Total number:2

Dest Addr    Dest Port   Tunnel Dest Addr    Time

10.1.1.1     500         192.168.10.2        01:56:23

100::1       500         20::2               00:29:38

表1-4 display ipsec p2mp tunnel-table interface tunnel命令显示信息描述表

字段

描述

Total number

隧道动态表项总个数

Dest Addr

分支公网物理口地址

Dest Port

分支公网端口号

Tunnel Dest Addr

隧道的目的地址

Time

隧道动态表项已创建的时间

 

1.1.8  display ipsec profile

display ipsec profile命令用来显示IPsec安全框架的信息。

【命令】

display ipsec profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。

【举例】

# 显示所有IPsec安全框架的配置信息。

<Sysname> display ipsec profile

-------------------------------------------

IPsec profile: myprofile

Alias: ccc

Mode: isakmp

-------------------------------------------

  Transform set:  tran1

  IKE profile: profile

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds

  SA df-bit:

  Responder only: Disabled

-----------------------------------------------

IPsec profile: profile

Alias: dddd

Mode: manual

-----------------------------------------------

  Transform set: prop1

 

  Inbound AH setting:

    AH SPI: 12345 (0x00003039)

    AH string-key:

    AH authentication hex key: ******

  Inbound ESP setting:

    ESP SPI: 23456 (0x00005ba0)

    ESP string-key:

    ESP encryption hex-key: ******

    ESP authentication hex-key: ******

  Outbound AH setting:

    AH SPI: 12345 (0x00003039)

    AH string-key:

    AH authentication hex key: ******

  Outbound ESP setting:

    ESP SPI: 23456 (0x00005ba0)

    ESP string-key:

    ESP encryption hex key: ******

    ESP authentication hex key: ******

-------------------------------------------

IPsec profile: myprofile

Mode: SDWAN

-------------------------------------------

  Transform set:  tran1

  SA duration (time based): 3600 seconds

表1-5 display ipsec profile命令显示信息描述表

字段

描述

IPsec profile

IPsec安全框架的名称

Alias

IPsec安全框架的别名

Mode

IPsec安全框架采用的协商方式

·     Manual:手工方式

·     ISAKMP:IKE协商方式

·     SDWAN:SDWAN方式

Description

IPsec安全框架的描述信息

Transform set

IPsec安全策略引用的IPsec安全提议的名称

IKE profile

IPsec安全策略引用的IKE Profile的名称

SA duration(time based)

基于时间的IPsec SA生存时间,单位为秒

SA duration(traffic based)

基于流量的IPsec SA生存时间,单位为千字节

SA soft-duration buffer(time based)

IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--”

SA soft-duration buffer(traffic based)

IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--”

SA idle time

IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--”

SA df-bit

IPsec SA封装后外层IP头的DF位,取值包括:

·     clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片

·     copy:表示外层IP头的DF位从原始报文IP头中拷贝

·     set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片

如果未设置IPsec封装后外层IP头的DF位,则采用接口或全局设置的DF位,且该字段显示为空

Responder only

IPsec协商时,本端仅作为响应方功能,取值包括:

·     Enabled:开启状态

·     Disabled:关闭状态

Inbound AH setting

入方向采用的AH协议的相关设置

Outbound AH setting

出方向采用的AH协议的相关设置

AH SPI

AH协议的SPI

AH string-key

AH协议的字符类型的密钥

AH authentication hex key

AH协议的十六进制密钥

Inbound ESP setting

入方向采用的ESP协议的相关设置

Outbound ESP setting

出方向采用的ESP协议的相关设置

ESP SPI

ESP协议的SPI

ESP string-key

ESP协议的字符类型的密钥

ESP encryption hex key

ESP协议的十六进制加密密钥

ESP authentication hex key

ESP协议的十六进制认证密钥

 

【相关命令】

·     ipsec profile

1.1.9  display ipsec sa

display ipsec sa命令用来显示IPsec SA的相关信息。

【命令】

display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

brief:显示所有的IPsec SA的简要信息。

count:显示IPsec SA的个数。

interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。

ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。

policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略的顺序号,取值范围为1~65535。

profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。

profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。

ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。

【使用指导】

如果不指定任何参数,则显示所有IPsec SA的详细信息。

【举例】

# 显示IPsec SA的简要信息。‌

<Sysname> display ipsec sa brief

-----------------------------------------------------------------------

Interface/Global   Dst Address      SPI         Protocol  Status

-----------------------------------------------------------------------

GE1/0/1            10.1.1.1         400         ESP       Active

GE1/0/1            255.255.255.255  4294967295  ESP       Active

GE1/0/1            100::1/64        500         AH        Active

Global             --               600         ESP       Active

# 显示IPsec SA的简要信息。‌

<Sysname> display ipsec sa brief

-----------------------------------------------------------------------------

Tunnel-ID  Name            Dst Address(port)            Protocol  SPI

-----------------------------------------------------------------------------

0          1-1             <2.1.1.1(500)                ESP       3997663042

0          1-1             >2.1.1.1(500)                ESP       1094865611

表1-6 display ipsec sa brief命令显示信息描述表

字段

描述

Interface/Global

IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成)

Dst Address

IPsec隧道对端的IP地址

IPsec安全框架生成的SA中,该值无意义,显示为“--”

SPI

IPsec SA的SPI

Protocol

IPsec采用的安全协议

Status

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

Tunnel-ID

IPsec隧道的ID号

Name

IPsec隧道的名称,显示配置的IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名

Dst Address(port)

IPsec隧道的目的地址

“<”表示本端入方向IPsec SA,“>”表示本端出方向IPsec SA

 

# 显示IPsec SA的个数。

<Sysname> display ipsec sa count

Total IPsec SAs count:4

# 显示所有IPsec SA的详细信息。‌

<Sysname> display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/1

-------------------------------

 

  -----------------------------

  IPsec policy: r2

  Sequence number: 1

  Alias: mypolicy

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 3

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN: vp1

    Extended Sequence Numbers enable: Y

    Traffic Flow Confidentiality enable: N

    Transmitting entity: Initiator

    Path MTU: 1443

    Tunnel:

        local  address/port: 2.2.2.2/500

        remote address/port: 1.1.1.2/500

    Flow:

        sour addr: 192.168.2.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 192.168.1.0/255.255.255.0  port: 0  protocol: ip

 

    [Inbound ESP SAs]

      SPI: 3564837569 (0xd47b1ac1)

      Connection ID:90194313219

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 4294967295/604800

      SA remaining duration (kilobytes/sec): 1843200/2686

      Max received sequence-number: 5

      Anti-replay check enable: Y

      Anti-replay window size: 32

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID:64424509441

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 4294967295/604800

      SA remaining duration (kilobytes/sec): 1843200/2686

      Max sent sequence-number: 6

      UDP encapsulation used for NAT traversal: N

      Status: Active

-------------------------------

Global IPsec SA

-------------------------------

 

  -----------------------------

  IPsec profile: profile

  Alias: abc

  Mode: Manual

  -----------------------------

    Encapsulation mode: transport

    [Inbound AH SA]

      SPI: 1234563 (0x0012d683)

      Connection ID: 64426789452

      Transform set: AH-SHA1

      No duration limit for this SA

    [Outbound AH SA]

      SPI: 1234563 (0x002d683)

      Connection ID: 64428999468

      Transform set: AH-SHA1

      No duration limit for this SA

表1-7 display ipsec sa命令显示信息描述表

字段

描述

Interface

IPsec SA所在的接口

Global IPsec SA

全局IPsec SA

IPsec policy

采用的IPsec安全策略名

IPsec profile

采用的IPsec安全框架名

Sequence number

IPsec安全策略表项顺序号

Alias

IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名

Mode

IPsec安全策略采用的协商方式

·     Manual:手工方式

·     ISAKMP:IKE协商方式

·     Template:IKE模板方式

Tunnel id

IPsec隧道的ID号

Encapsulation mode

采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式

Perfect Forward Secrecy

此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Extended Sequence Numbers enable

ESN(Extended Sequence Number,扩展序列号)功能是否开启

Traffic Flow Confidentiality enable

TFC(Traffic Flow Confidentiality)填充功能是否开启

Inside VPN

被保护数据所属的VRF实例名称

Transmitting entity

IKE方式协商中的实体角色包括:

·     Initiator:发起方

·     Responder:响应方

Path MTU

IPsec SA的路径MTU值

Tunnel

IPsec隧道的端点地址信息

local address/port

IPsec隧道的本端IP地址和端口号

remote address/port

IPsec隧道的对端IP地址和端口号

Flow

受保护的数据流信息

sour addr

数据流的源IP地址

dest addr

数据流的目的IP地址

port

端口号

protocol

协议类型,取值包括:

·     ip:IPv4协议

·     ipv6:IPv6协议

Inbound ESP SAs

入方向的ESP协议的IPsec SA信息

Outbound ESP SAs

出方向的ESP协议的IPsec SA信息

Inbound AH SAs

入方向的AH协议的IPsec SA信息

Outbound AH SAs

出方向的AH协议的IPsec SA信息

SPI

IPsec SA的SPI

Connection ID

IPsec SA标识

Transform set

IPsec安全提议所采用的安全协议及算法

SA duration (kilobytes/sec)

IPsec SA生存时间,单位为千字节或者秒

SA remaining duration (kilobytes/sec)

剩余的IPsec SA生存时间,单位为千字节或者秒

Max received sequence-number

入方向接收到的报文最大序列号

Max sent sequence-number

出方向发送的报文最大序列号

Anti-replay check enable

抗重放检测功能是否开启

Anti-replay window size

抗重放窗口宽度

UDP encapsulation used for NAT traversal

此IPsec SA是否使用NAT穿越功能

Status

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

No duration limit for this SA

手工方式创建的IPsec SA无生存时间

 

【相关命令】

·     ipsec sa global-duration

·     reset ipsec sa

1.1.10  display ipsec sdwan-sa local

display ipsec sdwan-sa local命令用来显示本端SDWAN模式的IPsec SA的相关信息。

【命令】

display ipsec sdwan-sa local [ brief | count | interface tunnel tunnel-number | spi spi-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

brief:显示本端所有SDWAN模式的IPsec SA的简要信息。

count:显示本端SDWAN模式的IPsec SA的个数。

interface:显示指定接口的SDWAN模式的IPsec SA。

tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。

spi spi-number:显示指定spi-number的SDWAN模式的IPsec SA。其中,spi-number为安全参数索引,取值范围为256~4294967295。

【使用指导】

如果不指定任何参数,则显示所有SDWAN模式的IPsec SA的详细信息。

【举例】

# 显示所有本端SDWAN模式的IPsec SA的详细信息。

<Sysname> display ipsec sdwan-sa local

-------------------------------

Interface: Tunnel1

-------------------------------

 

  -----------------------------

 IPsec profile: abc

 Mode: SDWAN

  -----------------------------

  Site ID: 1

  Device ID: 1

  Interface ID: 1

  Link ID: 273(0x111)

  Encapsulation mode: transport

  Local address: 10.1.1.1

  [Inbound ESP SAs]

  SPI: 2701952073 (0xa10c8449)

  SA index: 0

  Connection ID: 4294967296

  Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

  SA duration (sec): 3600

  SA remaining duration (sec): 3180

  Anti-replay check enable: Y

  Anti-replay window size: 4096

  Status: Active

  [Inbound AH SAs]

  SPI: 2701952073 (0xa10c8449)

  SA index: 1

  Connection ID: 4294967296

  Transform set: AH-AUTH-SHA1

  SA duration (sec): 3600

  SA remaining duration (sec): 3180

  Anti-replay check enable: Y

  Anti-replay window size: 4096

  Status: Active

# 显示本端指定SPI的SDWAN模式的IPsec SA的详细信息。

<Sysname> display ipsec sdwan-sa local spi 1968608062

-------------------------------

Interface: Tunnel0

-------------------------------

 

  -----------------------------

  IPsec profile: 2644

  Mode: SDWAN

  -----------------------------

    Site ID: 10

    Device ID: 20

    Interface ID: 30

    Link ID: 660510 (0xa141e)

    Encapsulation mode: transport

    Local address: 200.200.200.10

    [Inbound ESP SAs]

      SPI: 1968608062 (0x7556933e)

      SA index: 1

      Connection ID: 12884901889

      Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384

      SA duration (sec): 3600

      SA remaining duration (sec): 1712

      Anti-replay check enable: Y

      Anti-replay window size: 64

      Status: Active

# 显示本端指定接口的SDWAN模式的IPsec SA的详细信息。

<Sysname> display ipsec sdwan-sa local interface tunnel 2

-------------------------------

Interface: Tunnel2

-------------------------------

 

  -----------------------------

  IPsec profile: 2644

  Mode: SDWAN

  -----------------------------

    Site ID: 10

    Device ID: 20

    Interface ID: 30

    Link ID: 660510 (0xa141e)

    Encapsulation mode: transport

    Local address: 200.200.200.10

    [Inbound ESP SAs]

      SPI: 1968 (0x7b0)

      SA index: 1

      Connection ID: 12884901889

      Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384

      SA duration (sec): 3600

      SA remaining duration (sec): 1712

      Anti-replay check enable: Y

      Anti-replay window size: 64

      Status: Active

表1-8 display ipsec sdwan-sa local命令显示信息描述表

字段

描述

Interface

IPsec SA所在的SDWAN隧道接口

IPsec profile

采用的IPsec安全框架名

Mode

IPsec安全框架采用的协商方式

·     Manual:手工方式

·     ISAKMP:IKE协商方式

·     SDWAN:SDWAN方式

·     Template:IKE模板方式

·     GDOI:GDOI方式

Site ID

站点索引

Device ID

设备索引

Interface ID

接口索引

Link ID

链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成

Encapsulation mode

采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式

Local address

IPsec隧道的本端IP地址

Inbound ESP SAs

入方向的ESP协议的IPsec SA信息

Inbound AH SAs

入方向的AH协议的IPsec SA信息

SPI

本地IPsec SA的安全参数索引,全局唯一,由协议规定

SA index

本端IPsec SA索引

Connection ID

标识IPsec SA的索引号

Transform set

IPsec安全提议所采用的安全协议及算法

SA duration (sec)

IPsec SA的生存时间,单位为秒,未配置时显示为“--”

SA remaining duration

IPsec SA的剩余生存时间,单位为秒,未配置时显示为“--”

Anti-replay check enable

抗重放检测功能是否开启

Anti-replay window size

抗重放窗口宽度

Status

IPsec SA的状态:

·     IPsec SA的状态,取值只能为Active,表示SA处于可用状态

 

# 显示所有本端SDWAN模式的IPsec SA的简要信息

<Sysname> display ipsec sdwan-sa local brief

----------------------------------------------------------------------------------------

Site ID  Device ID  Interface ID  Link ID  Local address    SPI     Protocol  Status

----------------------------------------------------------------------------------------

10       20         30            660510   200.200.200.10   1968    ESP       Active

# 显示本端SDWAN模式的IPsec SA的个数

<Sysname> display ipsec sdwan-sa local count

Total IPsec Sdwan Local SAs count: 1

表1-9 display ipsec sdwan-sa local brief命令显示信息描述表

字段

描述

Site ID

站点索引

Device ID

设备索引

Interface ID

接口索引

Link ID

链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成

Local address

IPsec隧道的本端IP地址

SPI

本地IPsec SA的安全参数索引,全局唯一,由协议规定

Protocol

加密协议,包括AH和ESP

Status

IPsec SA的状态:

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

Total IPsec Sdwan Local SAs count

本端SDWAN模式的IPsec SA总数

 

【相关命令】

·     reset ipsec sdwan-sa local

1.1.11  display ipsec sdwan-sa remote

display ipsec sdwan-sa remote命令用来显示对端SDWAN模式的IPsec SA的相关信息。

【命令】

display ipsec sdwan-sa remote [ brief | count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

brief:显示所有SDWAN模式的IPsec SA的简要信息。

count:显示SDWAN模式的IPsec的SA个数。

【使用指导】

如果不指定任何参数,则显示所有对端SDWAN模式的IPsec SA的详细信息。

【举例】

# 显示所有对端SDWAN模式的IPsec SA的详细信息。

<Sysname> display ipsec sdwan-sa remote

-------------------------------

  Mode: SDWAN

  -----------------------------

    Site ID: 20

    Device ID: 20

    Interface ID: 35

    Link ID: 1315875 (0x141423)

    Encapsulation mode: transport

    Remote address: 200.200.200.20

    [Outbound ESP SAs]

      SPI: 2360 (0x936)

      SA index: 0

      Connection ID: 4294967296

      Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384

      Status: Active

-------------------------------

  Mode: SDWAN

  -----------------------------

    Site ID: 30

    Device ID: 30

    Interface ID: 30

    Link ID: 1973790 (0x1e1e1e)

    Encapsulation mode: transport

    Remote address: 200.200.200.30

    [Outbound ESP SAs]

      SPI: 4137 (0x1029)

      SA index: 3

      Connection ID: 4294967299

      Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384

      Status: Active

表1-10 display ipsec sdwan-sa remote命令显示信息描述表

字段

描述

Mode

IPsec安全框架采用的协商方式

·     Manual:手工方式

·     ISAKMP:IKE协商方式

·     SDWAN:SDWAN方式

·     Template:IKE模板方式

·     GDOI:GDOI方式

Site ID

站点索引

Device ID

设备索引

Interface ID

接口索引

Link ID

链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成

Encapsulation mode

采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式

Remote address

IPsec隧道的对端IP地址

Outbound ESP SAs

出方向的ESP协议的IPsec SA信息

Outbound AH SAs

出方向的AH协议的IPsec SA信息

SPI

对端IPsec SA的安全参数索引,全局唯一,由协议规定

SA index

对端IPsec SA索引

Connection ID

标识IPsec SA的索引号

Transform set

IPsec安全提议所采用的安全协议及算法

Status

IPsec SA的状态:

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

 

# 显示所有对端SDWAN模式的IPsec SA的简要信息。

<Sysname> display ipsec sdwan-sa remote brief

----------------------------------------------------------------------------------------

Site ID  Device ID  Interface ID  Link ID  Remote address   SPI    Protocol   Status

----------------------------------------------------------------------------------------

20       20         35            1315875  200.200.200.20   2360   ESP        Active

30       30         30            1973790  200.200.200.30   4137   ESP        Active

# 显示所有对端SDWAN模式的IPsec SA的个数。

<Sysname> display ipsec sdwan-sa remote count

Total IPsec Sdwan Remote SAs count: 1

表1-11 display ipsec sdwan-sa remote brief命令显示信息描述表

字段

描述

Site ID

站点索引

Device ID

设备索引

Interface ID

接口索引

Link ID

链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成

Remote address

IPsec隧道的对端IP地址

SPI

对端IPsec SA的安全参数索引,全局唯一,由协议规定

Protocol

加密协议,包括AH和ESP

Status

IPsec SA的状态:

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

Total IPsec Sdwan Remote SAs count

对端SDWAN模式的IPsec SA总数

 

【相关命令】

·     reset ipsec sdwan-sa remote

1.1.12  display ipsec sdwan-statistics

display ipsec sdwan-statistics命令用来显示SDWAN模式的IPsec隧道的报文统计信息。

【命令】

display ipsec sdwan-statistics [ tunnel-id tunnel-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。

【使用指导】

如果未指定任何参数,则显示所有SDWAN模式的IPsec隧道的报文统计信息。

【举例】

# 显示所有SDWAN模式的IPsec隧道的报文统计信息。

<Sysname> display ipsec sdwan-statistics

IPsec packet statistics:

Received/sent packets: 47/64

Received/sent bytes: 3948/5208

Dropped packets (received/sent): 0/45

 

Dropped packets statistics

No available SA: 0

Wrong SA:

Invalid length: 0

Authentication failure: 0

Encapsulation failure: 0

Decapsulation failure: 0

Replayed packets: 0

MTU check failure: 0

Loopback limit exceeded: 0

Crypto speed limit exceeded: 0

# 显示IPsec隧道的ID号为1的SDWAN模式的IPsec隧道的报文统计信息。

<Sysname> display ipsec sdwan-statistics tunnel-id 1

IPsec packet statistics:

Received/sent packets: 47/64

Received/sent bytes: 3948/5208

Dropped packets (received/sent): 0/45

 

Dropped packets statistics

No available SA: 0

Wrong SA:

Invalid length: 0

Authentication failure: 0

Encapsulation failure: 0

Decapsulation failure: 0

Replayed packets: 0

MTU check failure: 0

Loopback limit exceeded: 0

Crypto speed limit exceeded: 0

表1-12 display ipsec sdwan-statistics命令显示信息描述表

字段

描述

IPsec packet statistics

IPsec处理的报文统计信息

Received/sent packets

接收/发送的受安全保护的数据包的数目

Received/sent bytes

接收/发送的受安全保护的字节数目

Dropped packets (received/sent)

被设备丢弃的受安全保护的数据包数目(接收/发送)

Dropped packets statistics

被丢弃的数据包的详细信息

No available SA

因找不到IPsec SA而被丢弃的数据包数目

Wrong SA

因IPsec SA错误而被丢弃的数据包数目

Invalid length

因数据包长度错误被丢弃的数据包数目

Authentication failure

因认证失败被丢弃的数据包数目

Encapsulation failure

因加密封装失败被丢弃的数据包数目

Decapsulation failure

因解封转失败被丢弃的数据包数目

Replayed packets

被丢弃的重放数据包数目

MTU check failure

因MTU检测失败被丢弃的数据包数目

Loopback limit exceeded

因本机处理次数超过限制而被丢弃的数据包数目

Crypto speed limit exceeded

因加密速度的限制而被丢弃的数据包数目

 

【相关命令】

·     reset ipsec sdwan-statistics

1.1.13  display ipsec sdwan-tunnel

display ipsec sdwan-tunnel命令用来显示SDWAN模式的IPsec隧道信息。

【命令】

display ipsec sdwan-tunnel [ brief | count | remote-site site-id device-id interface-id | tunnel-id tunnel-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

brief:显示IPsec隧道的简要信息。

count:显示IPsec隧道的个数。

remote-site site-id device-id interface-id:显示指定对端站点的IPsec隧道的详细信息。其中,site-id为站点ID,取值范围为1~65535,device-id为设备ID,取值范围为1~255,interface-id为SDWAN隧道接口的接口ID,取值范围1~255。

tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。

【使用指导】

SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。

若不指定任何参数,默认显示所有SDWAN模式的IPsec隧道的详细信息。

有关SDWAN的详细介绍,请参见“SDWAN配置指导”中的“SDWAN”。

【举例】

# 显示所有SDWAN模式的IPsec隧道的简略信息。

<Sysname> display ipsec sdwan-tunnel brief

----------------------------------------------------------------------------

Tunnel-ID   Src Address     Dst Address     Inbound SPI   Outbound SPI

----------------------------------------------------------------------------

1           1.2.3.1         2.2.2.2         5000          6000

表1-13 display ipsec sdwan-tunnel brief命令显示信息描述表

字段

描述

Tunnel-ID

IPsec隧道的ID号

Src Address

IPsec隧道的源地址

Dst Address

IPsec隧道的目的地址

Inbound SPI

IPsec隧道中生效的入方向SPI

Outbound SPI

IPsec隧道中生效的出方向SPI

 

# 显示所有SDWAN模式的IPsec隧道的个数。

<Sysname> display ipsec sdwan-tunnel count

Total SDWAN IPsec tunnels: 2

# 显示所有SDWAN模式的IPsec隧道的详细信息。

<Sysname> display ipsec sdwan-tunnel

Tunnel ID: 1

Status: Active

Path MTU: 1432

SA's SPI:

    Outbound:  1091054028  (0x410829cc)   [ESP]

    Inbound:   2400381837  (0x8f12eb8d)   [ESP]

Tunnel:

    Local address: 11.1.2.1

    Remote address: 11.1.3.1

Remote Site:

    Site ID: 10

    Device ID: 10

    Interface ID: 35

    Link ID: 1315875 (0x141423)

# 显示对端站点中站点ID为10,设备ID为10,接口ID为35的SDWAN模式的IPsec隧道详细信息

<Sysname> display ipsec sdwan-tunnel remote-site 10 10 35

Tunnel ID: 1

Status: Active

Path MTU: 1432

SA's SPI:

    Outbound:  1091054028  (0x410829cc)   [ESP]

    Inbound:   2400381837  (0x8f12eb8d)   [ESP]

Tunnel:

    Local address: 11.1.2.1

    Remote address: 11.1.3.1

Remote Site:

    Site ID: 10

    Device ID: 10

    Interface ID: 35

    Link ID: 1315875 (0x141423)

# 显示ID号为1的SDWAN模式的IPsec隧道的详细信息。

<Sysname> display ipsec sdwan-tunnel tunnel-id 1

Tunnel ID: 1

Status: Active

SA's SPI:

    Outbound:  1091054028  (0x410829cc)   [ESP]

    Inbound:   2400381837  (0x8f12eb8d)   [ESP]

Tunnel:

    Local address: 11.1.2.1

    Remote address: 11.1.3.1

Remote Site:

    Site ID: 10

    Device ID: 10

    Interface ID: 35

    Link ID: 1315875 (0x141423)

表1-14 display ipsec sdwan-tunnel命令显示信息描述表

字段

描述

Tunnel ID

IPsec隧道ID

Status

IPsec隧道的状态:

IPsec SA的状态,取值只能为Active,表示SA处于可用状态

Path MTU

SDWAN模式IPsec SA的路径MTU值

SA's SPI

出方向和入方向的IPsec SA的SPI

Outbound

IPsec隧道中生效的出方向SPI

Inbound

IPsec隧道中生效的入方向SPI

Tunnel

IPsec隧道的端点地址信息

Local address

IPsec隧道的本端IP地址

Remote address

IPsec隧道的对端IP地址

Remote Site

远端站点

Site ID

站点ID

Device ID

设备ID

Interface ID

接口ID

Link ID

为TTE分配的Link ID,用来标识一个TTE连接

 

【相关命令】

·     reset ipsec sdwan-tunnel

1.1.14  display ipsec smart-link policy

display ipsec smart-link policy命令用来查看IPsec智能选路策略的配置信息。

【命令】

display ipsec smart-link policy [ brief | name policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

brief:查看所有IPsec智能选路策略的简要配置信息。

name policy-name:查看指定IPsec智能选路策略的详细配置信息。

【使用指导】

非缺省vSystem不支持本命令。

若不指定任何参数,则显示所有IPsec智能选路策略的详细配置信息。

【举例】

# 查看IPsec智能选路策略smlkpolicy1的详细配置信息。

<Sysname> display ipsec smart-link policy name smlkpolicy1

--------------------------------------------------------------------------

Policy name                  :smlkpolicy1

State                        :Enabled

Probe count                  :10

Probe interval               :1 sec

Probe source IP address      :1.1.1.1

Probe destination IP address :3.3.3.3

Max link switch cycles       :3

IPsec policy name            :ipsecpolicy1

Interface                    :GigabitEthernet1/0/1

IPsec policy sequence number :1

Link ID   Local address   Remote address   Loss(%)   Delay(ms)   State

1         1.1.1.1         3.3.3.3          2         10          Active

2         2.2.2.2         4.4.4.4          0         0           Inactive(Available)

--------------------------------------------------------------------------

表1-15 display ipsec smart-link policy name命令显示信息描述表

字段

描述

Policy name

IPsec智能选路策略的名称

State

IPsec智能选路策略的状态,包括如下取值:

·     Enabled:IPsec智能选路功能已启用

·     Disabled:IPsec智能选路功能未启用

Probe count

一个探测周期内发送探测报文的个数

Probe interval

发送探测报文的时间间隔,单位为秒

Probe source IP address

探测报文使用的源IP地址

Probe destination IP address

探测报文使用的目的IP地址

Max link switch cycles

链路循环切换的最大次数

IPsec policy name

引用该IPsec智能选路策略的IPsec安全策略的名称

IPsec policy sequence number

安全策略的顺序号

Link ID

链路的ID

Local address

链路本端使用的IP地址

Remote address

链路对端使用的IP地址

Loss(%)

最近一次链路探测的丢包率统计结果,丢包率为“--”时,表示没有进行探测

Delay(ms)

最近一次链路探测的时延统计结果,时延为“--”时,表示没有进行探测,或者延迟超过3000ms

State

链路的激活状态,包括如下取值:

·     Actvie:链路处于激活状态,此链路正在使用中

·     Inactive (Available):链路处于非激活状态,且此链路可用

·     Inactive (Unavailable):链路处于非激活状态,且此链路不可用

 

# 查看所有IPsec智能选路策略的简要配置信息。

<Sysname> display ipsec smart-link policy brief

Name           Active link ID    Loss(%)            Delay(ms)

policy1        1                 0                  10

policy2        2                 --                 --

表1-16 display ipsec smart-link policy brief命令显示信息描述表

字段

描述

Name

IPsec智能选路策略的名称

Active link ID

当前正在使用链路的ID

Loss(%)

最近一次链路探测的丢包率统计结果

Delay(ms)

最近一次链路探测的时延统计结果,时延为“--”时,表示没有进行探测,或者延迟超过3000ms。

 

【相关命令】

·     ipsec smart-link policy

1.1.15  display ipsec statistics

display ipsec statistics命令用来显示IPsec处理的报文的统计信息。

【命令】

display ipsec statistics [ tunnel-id tunnel-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。

【使用指导】

如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。

【举例】

# 显示所有IPsec处理的报文统计信息。

<Sysname> display ipsec statistics

  IPsec packet statistics:

    Received/sent packets: 47/64

    Received/sent bytes: 3948/5208

    Received/sent packet rate: 5/5 packets/sec

    Received/sent byte rate: 290/290 bytes/sec

    Dropped packets (received/sent): 0/45

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 45

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

      Responder only limitation: 0

# 显示ID为1的IPsec隧道处理的报文统计信息。

<Sysname> display ipsec statistics tunnel-id 1

  IPsec packet statistics:

    Received/sent packets: 5124/8231

    Received/sent bytes: 52348/64356

    Received/sent packet rate: 4/4 packets/sec

    Received/sent byte rate: 232/232 bytes/sec

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

      Responder only limitation: 0

表1-17 display ipsec statistics命令显示信息描述表

字段

描述

IPsec packet statistics

IPsec处理的报文统计信息

Received/sent packets

接收/发送的受安全保护的数据包的数目

Received/sent bytes

接收/发送的受安全保护的字节数目

Received/sent packet rate

接收/发送的受安全保护的数据包的速率:packets/sec表示每秒接收或发送的数据包数目

Received/sent bytes rate

接收/发送的受安全保护的字节速率:bytes/sec表示每秒接收或发送的字节数目

Dropped packets (received/sent)

被设备丢弃了的受安全保护的数据包的数目(接收/发送)

Dropped packets statistics

被丢弃的数据包的详细信息

No available SA

因为找不到IPsec SA而被丢弃的数据包的数目

Wrong SA

因为IPsec SA错误而被丢弃的数据包的数目

Invalid length

因为数据包长度不正确而被丢弃的数据包的数目

Authentication failure

因为认证失败而被丢弃的数据包的数目

Encapsulation failure

因为加封装失败而被丢弃的数据包的数目

Decapsulation failure

因为解封装失败而被丢弃的数据包的数目

Replayed packets

被丢弃的重放的数据包的数目

ACL check failure

因为ACL检测失败而被丢弃的数据包的数目

MTU check failure

因为MTU检测失败而被丢弃的数据包的数目

Loopback limit exceeded

因为本机处理的次数超过限制而被丢弃的数据包的数目

Crypto speed limit exceeded

因为加密速度的限制而被丢弃的数据包的数目

Responder only limitation

因为仅可作为响应方的限制而被丢弃的数据包的数目

 

【相关命令】

·     reset ipsec statistics

1.1.16  display ipsec transform-set

display ipsec transform-set命令用来显示IPsec安全提议的信息。

【命令】

display ipsec transform-set [ transform-set-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。

【举例】

# 显示所有IPsec安全提议的信息。

<Sysname> display ipsec transform-set

IPsec transform set: mytransform

  State: incomplete

  Encapsulation mode: tunnel

  ESN: Enabled

  PFS:

  Transform: ESP

 

IPsec transform set: completeTransform

  State: complete

  Encapsulation mode: transport

  ESN: Enabled

  PFS:

  Transform: AH-ESP

  AH protocol:

    Integrity: SHA1

  ESP protocol:

    Integrity: SHA1

    Encryption: AES-CBC-128

表1-18 display ipsec transform-set命令显示信息描述表

字段

描述

IPsec transform set

IPsec安全提议的名称

State

IPsec安全提议是否完整

Encapsulation mode

IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式

ESN

ESN(Extended Sequence Number,扩展序列号)功能的开启状态

PFS

PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Transform

IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议)

AH protocol

AH协议相关配置

ESP protocol

ESP协议相关配置

Integrity

安全协议采用的认证算法

Encryption

安全协议采用的加密算法

 

【相关命令】

·     ipsec transform-set

1.1.17  display ipsec tunnel

display ipsec tunnel命令用来显示IPsec隧道的信息。

【命令】

display ipsec tunnel [ count | tunnel-id tunnel-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

count:显示IPsec隧道的个数。

tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。

【使用指导】

IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。

如果不指定任何参数,则显示所有IPsec隧道的信息。

【举例】

# 显示IPsec隧道的数目。

<Sysname> display ipsec tunnel count

Total IPsec Tunnel Count: 2

# 显示所有IPsec隧道的详细信息。

<Sysname> display ipsec tunnel

Tunnel ID: 0

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  2000        (0x000007d0)   [AH]

    inbound:   1000        (0x000003e8)   [AH]

    outbound:  4000        (0x00000fa0)   [ESP]

    inbound:   3000        (0x00000bb8)   [ESP]

Tunnel:

    local  address:

    remote address:

Flow:

 

Tunnel ID: 1

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  6000        (0x00001770)   [AH]

    inbound:   5000        (0x00001388)   [AH]

    outbound:  8000        (0x00001f40)   [ESP]

    inbound:   7000        (0x00001b58)   [ESP]

Tunnel:

    local  address: 1.2.3.1

    remote address: 2.2.2.2

Flow:

    as defined in ACL 3100

# 显示ID号为1的IPsec隧道的详细信息。

<Sysname> display ipsec tunnel tunnel-id 1

Tunnel ID: 1

Status: Active

Perfect forward secrecy:

Inside vpn-instance:

SA's SPI:

    outbound:  6000        (0x00001770)   [AH]

    inbound:   5000        (0x00001388)   [AH]

    outbound:  8000        (0x00001f40)   [ESP]

    inbound:   7000        (0x00001b58)   [ESP]

Tunnel:

    local  address: 1.2.3.1

    remote address: 2.2.2.2

Flow:

    as defined in ACL 3100

表1-19 display ipsec tunnel命令显示信息描述表

字段

描述

Tunnel ID

IPsec隧道的ID,用来唯一地标识一个IPsec隧道

Status

IPsec隧道的状态,取值只能为Active,表示隧道处于可用状态

Perfect forward secrecy

此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括:

·     768-bit Diffie-Hellman组(dh-group1

·     1024-bit Diffie-Hellman组(dh-group2

·     1536-bit Diffie-Hellman组(dh-group5

·     2048-bit Diffie-Hellman组(dh-group14

·     2048-bit和256_bit子群Diffie-Hellman组(dh-group24

·     256-bit ECP模式 Diffie-Hellman组(dh-group19

·     384-bit ECP模式 Diffie-Hellman组(dh-group20

Inside vpn-instance

被保护数据所属的VPN实例名

SA's SPI

出方向和入方向的IPsec SA的SPI

Tunnel

IPsec隧道的端点地址信息

local  address

IPsec隧道的本端IP地址

remote address

IPsec隧道的对端IP地址

Flow

IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议

as defined in ACL 3001

手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流

 

1.1.18  encapsulation-mode

encapsulation-mode命令用来配置安全协议对报文的封装模式。

undo encapsulation-mode命令用来恢复缺省情况。

【命令】

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

【缺省情况】

使用隧道模式对IP报文进行封装。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

transport:采用传输模式。

tunnel:采用隧道模式。

【使用指导】

传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。

隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。

在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。

通过interface tunnel mode ipsec创建的IPsec隧道不支持传输模式协商。

【举例】

# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport

【相关命令】

·     ipsec transform-set

1.1.19  esn enable

esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。

undo esn enable命令用来关闭ESN功能。

【命令】

esn enable [ both ]

undo esn enable

【缺省情况】

ESN功能处于关闭状态。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。

【使用指导】

本功能仅适用于IKEv2协商的IPsec SA。

ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。

只有发起方和响应方都开启了ESN功能,ESN功能才能生效。

【举例】

# 在IPsec安全提议中开启ESN功能。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esn enable

【相关命令】

·     display ipsec transform-set

1.1.20  esp authentication-algorithm

esp authentication-algorithm命令用来配置ESP协议采用的认证算法。

undo esp authentication-algorithm命令用来恢复缺省情况。

【命令】

esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *

undo esp authentication-algorithm

【缺省情况】

ESP协议未采用任何认证算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。

md5:采用HMAC-MD5-96认证算法,密钥长度128比特。

sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。

sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。

sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。

sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。

sm3:采用HMAC-SM3-96认证算法,密钥长度256比特,本参数仅适用于IKEv1协商。

【使用指导】

每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。

对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。

【举例】

# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1

【相关命令】

·     ipsec transform-set

1.1.21  esp encryption-algorithm

esp encryption-algorithm命令用来配置ESP协议采用的加密算法。

undo esp encryption-algorithm命令用来恢复缺省情况。

【命令】

esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null | sm1-cbc-128 | sm4-cbc } *

undo esp encryption-algorithm

【缺省情况】

ESP协议未采用任何加密算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

gmac-128采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。

gmac-192采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。

gmac-256采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。

gcm-128采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。

gcm-192采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。

gcm-256采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。

null:采用NULL加密算法,表示不进行加密。

sm1-cbc-128:采用CBC模式的SM1算法,密钥长度为128比特。本参数仅适用于IKEv1协商。

sm4-cbc:采用CBC模式的SM4算法,密钥长度为128比特。本参数仅适用于IKEv1协商。

【使用指导】

每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。

对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。

GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。

【举例】

# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

【相关命令】

·     ipsec transform-set

1.1.22  gateway

gateway命令用来配置接口的网关地址。

undo gateway命令用来删除接口的网关地址,并删除其下发的缺省路由。

【命令】

gateway gateway-address [ no-route ]

undo gateway

【缺省情况】

接口上未配置网关地址。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

gateway-address:接口的网关地址,为点分十进制形式。

no-route:不会生成缺省路由。若不配置此参数,则会生成一条缺省路由,下一跳为接口配置的网关地址。

【使用指导】

非缺省vSystem不支持本命令。

当IPsec智能选路链路中指定的本端接口上的IP地址是手工配置时,链路中没有指定下一跳且不能自动获取时,必须在此接口上配置网关地址。

设备下发缺省路由表项时,不会自动生成路由配置命令(ip route-static),因此无法通过undo ip route-static命令删除。

当本端接口通过DHCP或PPPoE方式获取IP地址时,配置的gateway不生效,本端接口通过DHCP或PPPoE服务器获取网关地址。

【举例】

# 配置IPsec智能选路链路中指定的本端接口GigabitEthernet1/0/1的网关地址为10.1.1.254,但不生成缺省路由。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] gateway 10.1.1.254 no-route

【相关命令】

·     link

1.1.23  ike-profile

ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。

undo ike-profile命令用来恢复缺省情况。

【命令】

ike-profile profile-name

undo ike-profile

【缺省情况】

未引用IKE profile。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。

IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。

IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。

【举例】

# 指定IPsec安全策略policy1中引用的IKE profile为profile1。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1

【相关命令】

·     ike profile(安全命令参考/IKE)

1.1.24  ikev2-profile

ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图引用的IKEv2 profile。

undo ikev2-profile命令用来恢复缺省情况。

【命令】

ikev2-profile profile-name

undo ikev2-profile

【缺省情况】

未引用IKEv2 profile。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

【参数】

profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。

一个IPsec安全策略视图/一个IPsec安全策略模板视图/IPsec安全框架视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。

【举例】

# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1

【相关命令】

·     display ipsec ipv6-policy

·     display ipsec policy

·     ikev2 profile

1.1.25  ipsec { ipv6-policy | policy }

ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。

undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。

【命令】

ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]

undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]

【缺省情况】

不存在IPsec安全策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略的顺序号,取值范围为1~65535。

isakmp:指定通过IKE协商建立IPsec SA。

manual:指定用手工方式建立IPsec SA。

【使用指导】

创建IPsec安全策略时,必须指定协商方式(isakmpmanual )。进入已创建的IPsec安全策略时,可以不指定协商方式。

不能修改已创建的IPsec安全策略的协商方式。

一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。

对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。

IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。

【举例】

# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100]

# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。

<Sysname> system-view

[Sysname] ipsec policy policy1 101 manual

[Sysname-ipsec-policy-manual-policy1-101]

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     ipsec apply

1.1.26  ipsec { ipv6-policy | policy } template

ipsec { ipv6-policy | policy } template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。

undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。

【命令】

ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name

undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]

【缺省情况】

不存在IPsec安全策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。

isakmp:被引用的IPsec安全策略模板为isakmp类型模板。

template template-name:指定被引用的IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。

应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。

【举例】

# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。

<Sysname> system-view

[Sysname] ipsec policy policy2 200 isakmp template temp1

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     ipsec { ipv6-policy-template | policy-template }

1.1.27  ipsec { ipv6-policy | policy } local-address

ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。

undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。

【命令】

ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number

undo ipsec { ipv6-policy | policy } policy-name local-address

【缺省情况】

IPsec安全策略不是共享源接口IPsec安全策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。

【使用指导】

在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。

当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。

只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。

一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。

一个源接口可以同时与多个IPsec安全策略绑定。

推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。

【举例】

# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。

<Sysname> system-view

[Sysname] ipsec policy map local-address loopback 11

【相关命令】

·     ipsec { ipv6-policy | policy }

1.1.28  ipsec { ipv6-policy-template | policy-template }

ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。

undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec安全策略模板。

【命令】

ipsec { ipv6-policy-template | policy-template } template-name seq-number

undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]

【缺省情况】

不存在IPsec安全策略模板。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6-policy-template:指定IPv6 IPsec安全策略模板。

policy-template:指定IPv4 IPsec安全策略模板。

template-name:IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。

seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。

【使用指导】

IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。

·     携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。

·     一个IPsec安全策略模板是若干具有相同名称、不同顺序号的IPsec安全策略模板表项的集合。

·     IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。

【举例】

# 创建一个名称为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。

<Sysname> system-view

[Sysname] ipsec policy-template template1 100

[Sysname-ipsec-policy-template-template1-100]

【相关命令】

·     display ipsec { ipv6-policy-template | policy-template }

·     ipsec { ipv6-policy | policy }

·     ipsec { ipv6-policy | policy } isakmp template

1.1.29  ipsec anti-replay check

ipsec anti-replay check命令用来开启IPsec抗重放检测功能。

undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。

【命令】

ipsec anti-replay check

undo ipsec anti-replay check

【缺省情况】

IPsec抗重放检测功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过开启IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。

在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。

只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能开启与否对手工方式生成的IPsec SA没有影响。

【举例】

# 开启IPsec抗重放检测功能。

<Sysname> system-view

[Sysname] ipsec anti-replay check

【相关命令】

·     ipsec anti-replay window

1.1.30  ipsec anti-replay window

ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。

undo ipsec anti-replay window命令用来恢复缺省情况。

【命令】

ipsec anti-replay window width

undo ipsec anti-replay window

【缺省情况】

IPsec抗重放窗口的宽度为64。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

width:IPsec抗重放窗口的宽度,取值可以为64、128、256、512、1024、2048、4096,单位为报文个数。

【使用指导】

在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。

修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。

【举例】

# 配置IPsec抗重放窗口的宽度为128。

<Sysname> system-view

[Sysname] ipsec anti-replay window 128

【相关命令】

·     ipsec anti-replay check

1.1.31  ipsec apply

ipsec apply命令用来在接口上应用IPsec安全策略。

undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。

【命令】

ipsec apply { ipv6-policy | policy } policy-name

undo ipsec apply { ipv6-policy | policy }

【缺省情况】

接口上未应用IPsec安全策略。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6-policy:指定IPv6 IPsec安全策略。

policy:指定IPv4 IPsec安全策略。

policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。

在将IKE方式的IPsec安全策略可以应用到多个接口上时,请使用共享源接口的IPsec安全策略;手工方式的IPsec安全策略只能应用到一个接口上。

【举例】

# 在接口GigabitEthernet1/0/1上应用名为policy1的IPsec安全策略。‌

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipsec apply policy policy1

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     ipsec { ipv6-policy | policy }

1.1.32  ipsec decrypt-check enable

ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。

undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。

【命令】

ipsec decrypt-check enable

undo ipsec decrypt-check enable

【缺省情况】

解封装后IPsec报文的ACL检查功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。

【举例】

# 开启解封装后IPsec报文的ACL检查功能。

<Sysname> system-view

[Sysname] ipsec decrypt-check enable

1.1.33  ipsec df-bit

ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。

undo ipsec df-bit命令用来恢复缺省情况。

【命令】

ipsec df-bit { clear | copy | set }

undo ipsec df-bit

【缺省情况】

接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。

copy:表示外层IP头的DF位从原始报文IP头中拷贝。

set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。

【使用指导】

该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。

该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。

如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。

转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。

【举例】

# 在接口GigabitEthernet1/0/2上设置IPsec封装后外层IP头的DF位。‌

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] ipsec df-bit set

【相关命令】

·     ipsec global-df-bit

1.1.34  ipsec flow-overlap check enable

ipsec flow-overlap check enable命令用来开启IPsec流量重叠检测功能。

undo ipsec flow-overlap check enable命令用来关闭IPsec流量重叠检测功能。

【命令】

ipsec flow-overlap check enable

undo ipsec flow-overlap check enable

【缺省情况】

IPsec流量重叠检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

在中心-分支组网环境中,通常中心侧采用IPsec安全策略模板方式协商IPsec SA,当分支侧分支众多时,需保护的数据流范围可能会重叠。此时通过开启本功能,在协商IPsec SA时,设备会检测新建隧道与已有隧道的需保护数据流是否存在重叠。若重叠,则IPsec SA协商失败,设备将生成IPsec流量重叠检测失败的告警信息,提示用户当前需要保护的数据流存在流量重叠。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划分支侧的ACL配置。

中心侧设备判断是否存在IPsec流量重叠的方法为:检测待保护数据流的目的IP地址范围是否与已有隧道保护的数据流的目的IP地址范围重叠。若重叠,则认为待保护的数据流与已有隧道保护的数据流发生了重叠。

本功能的实现情况如下:

·     建议在中心-分支组网环境中的中心侧配置本功能。

·     仅在设备采用IPsec安全策略模板方式协商IPsec SA时生效。

·     仅支持对新建的IPsec SA进行流量重叠检测,不支持对已有的IPsec SA进行流量重叠检测。

·     仅支持在同一接口、同一VPN实例下进行流量重叠检测。

·     不支持对IPsec重协商后生成的IPsec SA进行流量重叠检测。

·     流量重叠检测时不会判断源IP地址范围是否与已有隧道保护的数据流的源IP地址范围重叠。

·     流量重叠检测对设备性能有一定的影响,建议仅在进行网络升级扩容等操作时开启,并在操作完成后及时关闭。

【举例】

# 开启IPsec流量重叠检测功能。

<Sysname> system-view

[Sysname] ipsec flow-overlap check enable

1.1.35  ipsec fragmentation

ipsec fragmentation命令用来配置IPsec分片功能。

undo ipsec fragmentation命令用来恢复缺省情况。

【命令】

ipsec fragmentation { after-encryption | before-encryption }

undo ipsec fragmentation

【缺省情况】

IPsec分片功能为封装前分片。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

after-encryption:表示开启IPsec封装后分片功能。

before-encryption:表示开启IPsec封装前分片功能。

【使用指导】

非缺省vSystem不支持本命令。

IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果待报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。

IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。

【举例】

# 开启IPsec封装后分片功能。

<Sysname>system-view

[Sysname] ipsec fragmentation after-encryption

1.1.36  ipsec global-df-bit

ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。

undo ipsec global-df-bit命令用来恢复缺省情况。

【命令】

ipsec global-df-bit { clear | copy | set }

undo ipsec global-df-bit

【缺省情况】

IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。

copy:表示外层IP头的DF位从原始报文IP头中拷贝。

set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。

【使用指导】

非缺省vSystem不支持本命令。

该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。

该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。

转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。

【举例】

# 为所有接口设置IPsec封装后外层IP头的DF位。

<Sysname> system-view

[Sysname] ipsec global-df-bit set

【相关命令】

·     ipsec df-bit

1.1.37  ipsec limit max-tunnel

ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。

undo ipsec limit max-tunnel命令用来恢复缺省情况。

【命令】

ipsec limit max-tunnel tunnel-limit

undo ipsec limit max-tunnel

【缺省情况】

不限制本端允许建立IPsec隧道的最大数。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。

【使用指导】

非缺省vSystem不支持本命令。

本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。

【举例】

# 配置本端允许建立IPsec隧道的最大数为5000。

<Sysname> system-view

[Sysname] ipsec limit max-tunnel 5000

【相关命令】

·     ike limit

1.1.38  ipsec logging ipsec-p2mp enable

ipsec logging ipsec-p2mp enable命令用来开启IPsec P2MP模式隧道口日志记录功能。

undo ipsec logging ipsec-p2mp enable命令用来关闭IPsec P2MP模式隧道口日志记录功能。

【命令】

ipsec logging ipsec-p2mp enable

undo ipsec logging ipsec-p2mp enable

【缺省情况】

IPsec P2MP模式隧道口日志记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启IPsec P2MP模式隧道口日志记录功能后,当IPsec P2MP隧道学习表项和删除表项时,设备会输出相关日志信息。有关日志信息的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启IPsec P2MP模式隧道口日志功能。

<Sysname> system-view

[Sysname] ipsec logging ipsec-p2mp enable

1.1.39  ipsec logging negotiation enable

ipsec logging negotiation enable命令用来开启IPsec协商事件日志功能。

undo ipsec logging negotiation enable命令用来关闭IPsec协商事件日志功能。

【命令】

ipsec logging negotiation enable

undo ipsec logging negotiation enable

【缺省情况】

IPsec协商事件日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启IPsec协商事件日志记录功能后,设备会输出IPsec协商过程中的相关日志。

【举例】

# 开启IPsec协商事件日志记录功能。

<Sysname> system-view

[Sysname] ipsec logging negotiation enable

1.1.40  ipsec logging packet enable

ipsec logging packet enable命令用来开启IPsec报文日志记录功能。

undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。

【命令】

ipsec logging packet enable

undo ipsec logging packet enable

【缺省情况】

IPsec报文日志记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。

【举例】

# 开启IPsec报文日志记录功能。

<Sysname> system-view

[Sysname] ipsec logging packet enable

1.1.41  ipsec netmask-filter

ipsec netmask-filter命令用来配置IPsec掩码过滤功能。

undo ipsec netmask-filter命令用来恢复缺省情况。

【命令】

ipsec netmask-filter { destination-mask mask-length | source-mask mask-length } *

undo ipsec netmask-filter [ destination-mask | source-mask ]

【缺省情况】

未配置IPsec掩码过滤功能。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-mask mask-length:指定数据流的目的IP地址掩码长度,取值范围为1~32。

source-mask mask-length:指定数据流的源IP地址掩码长度,取值范围为1~32。

【使用指导】

非缺省vSystem不支持本命令。

仅IPv4网络支持本功能。

建议在中心-分支组网环境中的中心侧配置本功能。

本功能仅在设备采用IPsec安全策略模板方式协商IPsec SA时生效。

在中心-分支组网环境中,当有新的分支加入组网时,如果新分支侧配置的保护数据流范围过大,可能会导致其他分支的流量被引入到该分支,导致报文转发错误。配置本功能后,当中心侧设备与分支侧进行IPsec SA协商时,如果中心侧需要保护数据流的源、目的IP地址的掩码长度大于或等于本命令配置的值,则允许继续协商;否则,IPsec SA协商失败,设备将生成掩码过滤失败的告警信息,提示用户当前需要保护数据流的掩码设置过小。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划合理的ACL配置。

多次执行本命令,最后一次执行的命令生效。

如果不指定任何参数,则undo ipsec netmask-filter命令表示取消所有类型的掩码过滤功能。

【举例】

# 配置IPsec掩码过滤功能,过滤数据流的源IP地址掩码长度为24,目的IP地址掩码长度为24。

<Sysname> system-view

[Sysname] ipsec netmask-filter source-mask 24 destination-mask 24

1.1.42  ipsec no-nat-process enable

ipsec no-nat-process enable命令用来在接口上开启IPsec流量不进行NAT转换功能。

undo ipsec no-nat-process enable命令用来恢复缺省情况。

【命令】

ipsec no-nat-process enable

undo ipsec no-nat-process enable

【缺省情况】

IPsec流量不进行NAT转换功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

注意

该功能会影响NAT业务的处理流程,请谨慎使用。

 

在一个接口上同时配置了IPsec与NAT的情况下,对于出方向报文,设备先进行NAT转换,再进行IPsec处理。若接口上需要进行NAT转换的流量与需要进行IPsec处理的流量未能通过配置准确的区分,将会导致接口上的报文不能按照预期进行IPsec处理。而准确的区分可能导致配置复杂,难以维护。

开启本功能后,当前接口上需要进行IPsec处理的流量将不会进行NAT转换,减轻划分NAT与IPsec流量的工作量,进而降低接口上IPsec与NAT共存时配置的复杂度。

【举例】

# 在接口GigabitEthernet1/0/1上开启IPsec流量不进行NAT转换功能。‌

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipsec no-nat-process enable

1.1.43  ipsec profile

ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。

undo ipsec profile命令用来删除指定的IPsec安全框架。

【命令】

ipsec profile profile-name [ isakmp | manual | sdwan ]

undo ipsec profile profile-name

【缺省情况】

不存在IPsec安全框架。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

isakmp:指定通过IKE协商建立安全联盟。

manual:手工方式的IPsec安全框架。

sdwan:SDWAN方式的IPsec安全框架。

【使用指导】

创建IPsec安全框架时,必须指定协商方式(manualisakmp);进入已创建的IPsec安全框架时,可以不指定协商方式。

手工方式IPsec profile专门用于为应用协议配置IPsec安全策略,它相当于一个手工方式创建的IPsec安全策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。

IKE协商方式IPsec profile用于为应用协议模块自动协商生成安全联盟,不限制对端的地址,不需要进行ACL匹配,且适用于IPv4和IPv6应用协议,其中的应用协议模块包括但是不限于ADVPN等。

SDWAN方式的IPsec安全框架,用于在SDWAN设备上生成IPsec SA。该类型的IPsec安全框架不限制对端IP地址,不需要进行ACL配置,即所有路由到SDWAN接口的流量都会被IPsec保护,配置简单,易于维护。

【举例】

# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。

<Sysname> system-view

[Sysname] ipsec profile profile1 manual

[Sysname-ipsec-profile—manual-profile1]

# 配置名称为profile1的IPsec安全框架,通过IKE协商建立安全联盟。

<Sysname> system-view

[Sysname] ipsec profile profile1 isakmp

[Sysname-ipsec-profile-isakmp-profile1]

# 配置名称为profile1的IPsec安全框架,通过SDWAN方式建立安全联盟。

<Sysname> system-view

[Sysname] ipsec profile profile1 sdwan

[Sysname-ipsec-profile-sdwan-profile1]

【相关命令】

·     display ipsec profile

1.1.44  ipsec redundancy enable

ipsec redundancy enable命令用来开启IPsec冗余备份功能。

undo ipsec redundancy enable命令用来关闭IPsec冗余备份功能。

【命令】

ipsec redundancy enable

undo ipsec redundancy enable

【缺省情况】

IPsec冗余备份功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启冗余备份功能后,系统会根据命令redundancy replay-interval指定的备份间隔将接口上IPsec入方向抗重放窗口的左侧值和出方向IPsec报文的抗重放序号进行备份,当发生主备切换时,可以保证主备IPsec流量不中断和抗重放保护不间断。

【举例】

# 开启IPsec冗余备份功能。

<Sysname> system-view

[Sysname] ipsec redundancy enable

【相关命令】

·     redundancy replay-interval

1.1.45  ipsec sa global-duration

ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。

undo ipsec sa global-duration命令用来恢复缺省情况。

【命令】

ipsec sa global-duration { time-based seconds | traffic-based kilobytes }

undo ipsec sa global-duration { time-based | traffic-based }

【缺省情况】

IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。

traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。

【使用指导】

IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值与对端协商。

IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。

IKEv2为IPsec协商建立IPsec SA时,采用各自本地配置的生存时间。

可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。

【举例】

# 配置全局的IPsec SA生存时间为两个小时,即7200秒。

<Sysname> system-view

[Sysname] ipsec sa global-duration time-based 7200

# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。

[Sysname] ipsec sa global-duration traffic-based 10240

【相关命令】

·     display ipsec sa

·     sa duration

1.1.46  ipsec sa global-soft-duration buffer

ipsec sa global-soft-duration buffer命令用来设置IPsec SA的全局软超时缓冲参数。

undo ipsec sa global-soft-duration buffer命令用来恢复缺省情况。

【命令】

ipsec sa global-soft-duration buffer { time-based seconds | traffic-based kilobytes }

undo ipsec sa global-soft-duration buffer { time-based | traffic-based }

【缺省情况】

未配置全局软超时缓冲时间和全局软超时缓冲流量。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

time-based seconds:IPsec SA的全局软超时缓冲时间,取值范围为20~201600,单位为秒。

traffic-based kilobytes:IPsec SA的全局软超时缓冲流量,取值范围为1000~4294901760,单位为KB。

【使用指导】

本命令只对IKEv1有效。

在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。

在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。

若未配置软超时缓冲时间,则系统会基于IPsec SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IPsec SA协商。软超时缓冲流量同理。

同时配置了全局软超时缓冲参数和局部软超时缓冲参数时,以局部软超时缓冲为准。

【举例】

# 设置所有IPsec安全策略的IPsec SA的软超时缓冲时间为600秒。

<Sysname> sytem-view

[Sysname] ipsec sa global-soft-duration buffer time-based 600

# 设置所有IPsec安全策略的IPsec SA的软超时缓冲流量为10000KB。

<Sysname> sytem-view

[Sysname] ipsec sa global-soft-duration buffer traffic-based 10000

【相关命令】

·     sa soft-duration buffer

1.1.47  ipsec sa idle-time

ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。

undo ipsec sa idle-time命令用来关闭全局的IPsec SA空闲超时功能。

【命令】

ipsec sa idle-time seconds

undo ipsec sa idle-time

【缺省情况】

全局的IPsec SA空闲超时功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。

【使用指导】

此功能只适用于IKE协商出的IPsec SA,且需要通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。

从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。

IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下也可配置IPsec SA的空闲超时时间,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。

【举例】

# 开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA的空闲超时时间为600秒。

<Sysname> system-view

[Sysname] ipsec sa idle-time 600

【相关命令】

·     display ipsec sa

·     sa idle-time

1.1.48  ipsec smart-link policy

ipsec smart-link policy命令用来创建一个IPsec智能选路策略,并进入IPsec智能选路策略视图。如果指定的IPsec智能选路策略已经存在,则直接进入IPsec智能选路策略视图。

undo ipsec smart-link policy命令用来删除指定的IPsec智能选路策略。

【命令】

ipsec smart-link policy policy-name

undo ipsec smart-link policy policy-name

【缺省情况】

不存在IPsec智能选路策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:IPsec智能选路策略的名称,为1~63个字符的字符串,不区分大小写,只支持数字、字母、连字符及下划线。

【使用指导】

非缺省vSystem不支持本命令。

IPsec智能选路策略中定义了智能选路的链路和探测智能选路链路通信质量的相关参数。

设备中最多支持配置3个IPsec智能选路策略。

IPsec智能选路策略只能被IKE方式的IPsec安全策略引用,不能被模板方式、手工方式、GDOI方式、量子加密方式的IPsec安全策略引用。

一个IPsec智能选路策略只能被一个IPsec安全策略引用,一个IPsec安全策略也只能引用一个IPsec智能选路策略。

【举例】

# 创建名称为smlkpolicy1的IPsec智能选路策略。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1]

【相关命令】

·     display ipsec smart-link policy

1.1.49  ipsec transform-set

ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。

undo ipsec transform-set命令用来删除指定的IPsec安全提议。

【命令】

ipsec transform-set transform-set-name

undo ipsec transform-set transform-set-name

【缺省情况】

不存在IPsec安全提议。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。

【举例】

# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-transform-set-tran1]

【相关命令】

·     display ipsec transform-set

1.1.50  link

link命令用来配置IPsec智能选路的链路。

undo link命令用来删除指定IPsec智能选路的链路。

【命令】

link link-id interface interface-type interface-number [ local local-address nexthop nexthop-address ] remote remote-address

undo link link-id

【缺省情况】

不存在IPsec智能选路的链路。

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

link-id: IPsec智能选路链路的ID,取值范围为1~10。

interface interface-type interface-number:链路本端的接口。interface-type interface-number为接口类型和接口编号。

local local-address:链路本端的IP地址,为点分十进制形式,此IP地址必须与链路本端接口上的IP地址保持一致。若未配置此参数,则使用链路本端接口上的IP地址作为链路本端的IP地址。

nexthop nexthop-address:下一跳的IP地址,为点分十进制形式,此下一跳地址必须与链路接口的网关地址保持一致。若未配置此参数,则使用链路本端接口上的网关地址作为下一跳IP地址。若没有获取到本端接口上的网关地址,则使用链路的对端IP地址作为下一跳IP地址。

remote remote-address:链路对端的IP地址,为点分十进制形式。

【使用指导】

非缺省vSystem不支持本命令。

IPsec智能选路的链路用来建立IPsec隧道。当设备选中了某条链路来建立IPsec隧道时,设备将会把与此智能选路策略关联的IPsec安全策略下发到此链路指定的本端接口上。同时,设备会将IPsec安全策略的本端IP地址和对端IP地址设置为此链路中配置的本端IP地址和对端IP地址。

每个IPsec智能选路策略下,最多可配置10条链路。链路按配置的先后顺序排列优先级,先配置的链路优先级高,后配置的链路优先级低,也可使用move link命令移动链路的先后顺序来调整链路的优先级。当链路进行切换时,会按照链路的优先级从高到低顺序切换。

为保证IKE协商报文和IPsec报文的正确转发,设备会根据链路中配置的下一跳IP地址和对端IP地址,下发一条到对端IP地址的主机路由,路由的下一跳为链路中配置的下一跳IP地址。

【举例】

# 配置IPsec智能选路的链路,链路ID为1,本端接口为GigabitEthernet1/0/1,本端IP地址为1.1.1.1,下一跳IP地址为1.1.1.254,对端IP地址为3.3.3.3。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link 1 interface gigabitethernet 1/0/1 local 1.1.1.1 nexthop 1.1.1.254 remote 3.3.3.3

【相关命令】

·     gateway

1.1.51  link-probe

link-probe命令用来配置IPsec智能选路链路探测报文的发送时间间隔和每个探测周期内发送探测报文的总数。

undo link-probe命令用来恢复缺省情况。

【命令】

link-probe { count number | interval interval }

undo link-probe { count | interval }

【缺省情况】

IPsec智能选路链路探测报文的发送时间间隔是1秒,每个探测周期内发送探测报文的总数是10个。

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

count number:每个探测周期内发送探测报文的总数,取值范围为1~30。

interval interval:探测报文的发送时间间隔,取值范围为1~3,单位为秒。

【使用指导】

非缺省vSystem不支持本命令。

对于当前正在探测的链路,设备连续发送完n(由count参数指定)个探测报文算作一个探测周期,设备每个探测周期结束后,均会对探测结果进行统计,计算出此链路的时延和丢包率,若时延或者丢包率高于设置的阈值,则会触发链路切换。

【举例】

# 配置IPsec智能选路链路探测报文的发送时间间隔为2秒,探测周期内发送的探测报文总数为15个。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe interval 2

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe count 15

【相关命令】

·     link-probe source

·     link-switch threshold

1.1.52  link-probe source

link-probe source命令用来配置IPsec智能选路链路探测报文的源IP地址和目的IP地址。

undo link-probe source命令用来删除IPsec智能选路链路探测的源IP地址和目的IP地址。

【命令】

link-probe source source-address destination destination-address

undo link-probe source source-address destination destination-address

【缺省情况】

使用IPsec智能选路链路中配置的本端IP地址和对端IP地址分别作为探测报文的源IP地址和目的IP地址。

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-address:探测报文的源IP地址,为点分十进制格式。

destination destination-address:探测报文的目的IP地址,为点分十进制格式。

【使用指导】

非缺省vSystem不支持本命令。

IPsec智能选路链路质量探测是通过发送ICMP报文探测IPsec隧道的质量。探测报文的源IP地址可以是本端设备或本端私网中的任意一个IP地址;探测报文的目的IP地址可以是对端私网内某台设备的上的IP地址,也可以是对端网关设备接口的IP地址。只要保证探测的目的IP地址与探测报文的源IP地址路由可达即可。

为保证请求类型的探测报文与目的地路由可达,设备会自动下发一条到探测报文目的IP地址的静态路由,路由的下一跳是对端IPsec隧道接口的IP地址(IPsec智能选路链路中配置的对端IP地址)。

并且设备会自动在此ACL中添加一条规则:rule permit ip source source-address 0 destination dest-address 0,保证请求类型的探测报文可以通过。

为保证IPsec智能选路链路质量探测报文的请求报文和回应报文正确转发,需要确保在总部设备上已正确配置如下内容:

·     在设备上需要手工在安全策略模板下添加相应的ACL规则,指定要保护的数据流。

·     为保证设备正确转发探测报文的响应报文,需要在设备上开启IPsec反向路由注入功能,或手工添加一条到探测报文源IP地址的静态路由。

【举例】

# 配置IPsec智能选路链路探测报文的源IP地址为10.3.1.10,目的IP地址为10.3.2.10。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe source 10.3.1.10 destination 10.3.2.10

【相关命令】

·     link-probe

1.1.53  link-switch cycles

link-switch cycles命令用来配置IPsec智能选路链路循环切换的最大次数。

undo link-switch cycles命令用来恢复缺省情况。

【命令】

link-switch cycles number

undo link-switch cycles

【缺省情况】

IPsec智能选路链路循环切换的最大次数为3。

【视图】

IPsec智能选策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

number: IPsec智能选路链路循环切换的最大次数,取值范围是0~5。取值为0时,不限制链路循环切换的次数。

【使用指导】

非缺省vSystem不支持本命令。

当设备对链路时延和丢包率的探测结果高于设置的阈值时,设备会根据IPsec智能选路链路的配置顺序进行循环切换。循环切换的起始链路是当前使用的链路,循环切换的终止链路是优先级最低的链路。例如,有四条链路,如果当前使用的是第三条链路不符合质量要求,则立即切换到第四条链路,这是第一次循环。之后继续按照1>2>3>4进行循环切换,从中选择第一条符合质量要求的链路进行数据传输。如果没有找到符合质量要求的链路,循环切换次数达到配置的上限值后,设备会停止链路探测和循环切换。各链路丢包率和延迟存在差异的情况下选择相对最优的链路;如果丢包率和延迟都一样,则选择循环的最后一条链路。等待10分钟后,再重新开始一轮链路的探测和循环切换。

【举例】

# 配置IPsec智能选路链路循环切换的最大次数为2。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch cycles 2

【相关命令】

·     link-switch threshold

1.1.54  link-switch threshold

link-switch threshold命令用来配置IPsec智能选路链路切换的阈值。

undo link-switch threshold命令用来恢复缺省情况。

【命令】

link-switch threshold { delay delay | loss loss-ratio }

undo link-switch threshold { delay | loss }

【缺省情况】

IPsec智能选路链路切换的丢包率阈值为30%,时延阈值为500毫秒。

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

delay delay:时延阈值,即接收到ICMP回应报文的时间与发送ICMP请求报文的时间的时间差,设备取一个探测周期内所有探测报文时间差的平均值作为此链路的时延,取值范围为1~3000,单位为毫秒。

loss loss-ratio:丢包率阈值百分比,即收到ICMP回应报文个数相对于已发送ICMP请求报文个数的百分比,取值范围为1~100。

【使用指导】

非缺省vSystem不支持本命令。

当每个探测周期结束后,若设备统计到当前链路的时延或丢包率中的一项高于链路切换的阈值,则会根据链路优先级进行链路切换。

【举例】

# 配置IPsec智能选路链路切换的丢包率阈值为10%,时延阈值为300毫秒。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold loss 10

[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold delay 300

【相关命令】

·     link-probe interval

1.1.55  local-address

local-address命令用来配置IPsec隧道的本端IP地址。

undo local-address命令用来恢复缺省情况。

【命令】

local-address { ipv4-address | ipv6 ipv6-address }

undo local-address

【缺省情况】

IPsec隧道的本端IPv4地址为应用IPsec安全策略的接口的主IPv4地址,本端IPv6地址为应用IPsec安全策略的接口的第一个IPv6地址。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv4-address:IPsec隧道的本端IPv4地址。

ipv6 ipv6-address:IPsec隧道的本端IPv6地址。

【使用指导】

采用IKE协商方式的IPsec安全策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。

IPsec隧道的本端IP地址不得为应用IPsec安全策略的接口的从IP地址。

【举例】

# 配置IPsec隧道的本端IP地址为1.1.1.1。

<Sysname> system-view

[Sysname] ipsec policy map 1 isakmp

[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1

【相关命令】

·     remote-address

1.1.56  move link

move link命令用来调整IPsec智能选路的链路优先级。

【命令】

move link link-id1 before link-id2

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

link-id1:需要移动链路的ID,取值范围为1~10,此链路必须已存在。

before:将link-id1移动到link-id2之前。

link-id2:目标链路的ID,取值范围为1~10,此链路必须已存在。

【使用指导】

非缺省vSystem不支持本命令。

缺省情况下,设备按照智能选路链路的创建顺序进行顺序切换,用户也可以通过移动IPsec智能选路链路的先后顺序,来改变链路的切换顺序。通过display ipsec smart-link policy命令可以查看IPsec智能选路链路的配置顺序。

【举例】

# 将IPsec智能选路策略smlkpolicy1的链路5移动到链路1之前,使链路5的优先级高于链路1。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] move link 5 before 1

【相关命令】

·     display ipsec smart-link policy

1.1.57  pfs

pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。

undo pfs命令用来恢复缺省情况。

【命令】

pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group19 | dh-group20 | dh-group24 }

undo pfs

【缺省情况】

使用IPsec安全策略发起IKE协商时不使用PFS特性。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

dh-group1:采用768-bit Diffie-Hellman组。

dh-group2:采用1024-bit Diffie-Hellman组。

dh-group5:采用1536-bit Diffie-Hellman组。

dh-group14:采用2048-bit Diffie-Hellman组。

dh-group19:采用256-bit ECP模式 Diffie-Hellman组。

dh-group20:采用384-bit ECP模式 Diffie-Hellman组。

dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。

【使用指导】

384-bit ECP模式 Diffie-Hellman组(dh-group20)、256-bit ECP模式 Diffie-Hellman组(dh-group19)、2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。

IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。IKEv2协商时,发起方和响应方配置同类型的PFS。

不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。

【举例】

# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] pfs dh-group14

1.1.58  policy alias

policy alias命令用来配置IPsec安全策略表项或IPsec安全策略模板表项的别名。

undo policy alias命令用来恢复缺省情况。

【命令】

policy alias alias-name

undo policy alias

【缺省情况】

IPsec安全策略表项的别名为IPsec安全策略名-IPsec安全策略表项序号,IPsec安全策略模板表项的别名为template-IPsec安全策略模板名-IPsec安全策略模板表项序号。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

alias-name:别名,为1~127个字符的字符串,不区分大小写,别名中不能包含空格和问号。

【使用指导】

一个IPsec安全策略或IPsec安全策略模板拥有若干个名称相同,序号不同的IPsec安全策略表项或IPsec安全策略模板表项。在同一个IPsec安全策略或IPsec安全策略模板下的不同IPsec安全策略表项或IPsec安全策略模板表项,仅能通过序号来区分,用户记忆和识别起来较为困难。为了方便用户记忆和识别IPsec安全策略表项和IPsec安全策略模板表项,可以通过本命令为IPsec安全策略表项或IPsec安全策略模板表项设置别名,建议用户设置易于记忆和理解的别名。

IPv4 IPsec安全策略表项和IPv6 IPsec安全策略表项别名可以相同。

IPv4 IPsec安全策略模板表项和IPv6 IPsec安全策略模板表项别名可以相同。

IPv4 IPsec安全策略表项和IPv4 IPsec安全策略模板表项别名不能相同。

IPv6 IPsec安全策略表项和IPv6 IPsec安全策略模板表项别名不能相同。

在同一个IPsec安全策略视图或IPsec安全策略模板视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置名称为policy1,序号为100的IPsec安全策略表项的别名为abc。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] policy alias abc

1.1.59  policy enable

policy enable命令用来启用IPsec安全策略表项或IPsec安全策略模板表项。

undo policy enable命令用来禁用IPsec安全策略表项或IPsec安全策略模板。

【命令】

policy enable

undo policy enable

【缺省情况】

IPsec安全策略表项和IPsec安全策略模板表项处于启用状态。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

本功能仅适用于IKE协商方式的IPsec安全策略及IPsec安全策略模板。

当用户需要暂时禁用某个IPsec安全策略或IPsec安全策略模板但又不想删除时,可以通过本命令对其进行禁用。禁用某个IPsec安全策略表项或IPsec安全策略模板表项后,基于该IPsec安全策略表项或IPsec安全策略模板表项建立的IPsec SA将被立即删除,且该策略表项将不能协商建立IPsec SA,直到其被重新启用。

【举例】

# 禁用名称为policy1,序号为10的IPsec安全策略表项。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] undo policy enable

1.1.60  profile alias

profile alias命令用来配置IPsec安全框架的别名。

undo profile alias命令用来恢复缺省情况。

【命令】

profile alias alias-name

undo profile alias

【缺省情况】

IPsec安全框架的别名为profile-安全框架名称。

【视图】

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

alias-name:别名,为1~127个字符的字符串,不区分大小写,别名中不能包含空格和问号。

【使用指导】

为了方便用户记忆和识别IPsec安全框架,可以通过本命令为IPsec安全框架设置别名,建议用户设置易于记忆和理解的别名。

在同一个IPsec安全框架视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置名称为profile1的安全框架的别名为abc。

<Sysname> system-view

[Sysname] ipsec profile profile1 isakmp

[Sysname-ipsec-profile-isakmp-profile1] profile alias abc

1.1.61  protocol

protocol命令用来配置IPsec安全提议采用的安全协议。

undo protocol命令用来恢复缺省情况。

【命令】

protocol { ah | ah-esp | esp }

undo protocol

【缺省情况】

使用ESP安全协议。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ah:采用AH协议对报文进行保护。

ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。

esp:采用ESP协议对报文进行保护。

【使用指导】

在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。

【举例】

# 配置IPsec安全提议采用AH协议。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] protocol ah

1.1.62  qos pre-classify

qos pre-classify命令用来开启QoS预分类功能。

undo qos pre-classify命令用来关闭QoS预分类功能。

【命令】

qos pre-classify

undo qos pre-classify

【缺省情况】

QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。

【举例】

# 在IPsec安全策略中开启QoS预分类功能。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify

1.1.63  redundancy replay-interval

redundancy replay-interval命令用来配置抗重放窗口和序号的同步间隔。

undo redundancy replay-interval命令用来恢复缺省情况。

【命令】

redundancy replay-interval inbound inbound-interval outbound outbound-interval

undo redundancy replay-interval

【缺省情况】

同步入方向抗重放窗口的报文间隔为1000,同步出方向IPsec SA抗重放序号的报文间隔为100000。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

inbound inbound-interval:同步入方向IPsec SA抗重放窗口左侧值的报文间隔,取值范围为0~1000,单位为报文个数,取值为0,表示不同步防重放窗口。

outbound outbound-interval:同步出方向IPsec SA抗重放序号的报文间隔,取值范围为1000~100000,单位为报文个数。

【使用指导】

IPsec冗余备份功能处于开启状态时,抗重放序号同步间隔的配置才会生效。

调小同步的报文间隔,可以增加主备间保持抗重放窗口和序号一致的精度,但同时对转发性能会有一定影响。

【举例】

# 配置同步入方向抗重放窗口的报文间隔为800,同步出方向抗重放序号的报文间隔为50000。

<Sysname> system-view

[Sysname] ipsec policy test 1 manual

[sysname-ipsec-policy-manual-test-1] redundancy replay-interval inbound 800 outbound 50000

【相关命令】

·     ipsec anti-replay check

·     ipsec anti-replay window

·     ipsec redundancy enable

1.1.64  remote-address

remote-address命令用来指定IPsec隧道的对端IP地址。

undo remote-address命令用来恢复缺省情况。

【命令】

remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address } [ primary ] [ track track-id ]

undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }

【缺省情况】

未指定IPsec隧道的对端IP地址。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。

hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。

ipv4-address:IPsec隧道的对端IPv4地址。

ipv6-address:IPsec隧道的对端IPv6地址。

primary:将指定的对端地址配置为首选地址。未指定该参数时,先配置的地址优先级更高。

track track-id:指定地址关联的track项。非缺省vSystem不支持本参数。

【使用指导】

IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec安全策略模板的响应方可选配。

手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。

对于主机名方式的对端地址,地址更新的查询过程有所不同。

·     若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。

·     若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,本端解析到的对端IP地址将为更改后的IP地址。

例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:

# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test

则,本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。

多次执行本命令可指定多个对端IP地址,形成对端IP地址列表。建立IPsec隧道时,本端依次按配置顺序向列表中的IP地址发起IPsec协商:协商成功,则与该地址建立IPsec隧道;否则尝试向列表中的下一个IP地址建立IPsec隧道,直至列表中最后一个IP地址。

如果执行本命令时配置了primary参数,则此地址拥有最高优先级,每次触发协商时都会优先向该地址发起协商,每个地址列表中最多可配置一条首选地址。

不能通过重复执行remote-address命令来修改首选地址。如需修改首选地址,请先通过undo remote-address命令删除当前首选地址,再执行remote-address命令。

如果需要关注对端地址是否可用,需要在remote-address后关联track项。配置相应track项之后,能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时打开了对端地址回切功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。

仅在安全策略视图下,支持remote-address命令配置多个对端地址、指定primary远端地址及指定地址关联的track项。

【举例】

# 指定IPsec隧道的对端IPv4地址为10.1.1.2。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 manual

[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2

【相关命令】

·     ip host(三层技术-IP业务/域名解析)

·     local-address

·     remote-address switch-back enable

1.1.65  remote-address switch-back enable

remote-address switch-back enable命令用来开启对端地址回切功能。

undo remote-address switch-back enable命令用来恢复缺省情况。

【命令】

remote-address switch-back enable

undo remote-address switch-back enable

【缺省情况】

对端地址回切功能处于关闭状态。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

如果配置remote-address时指定了track项,IPsec能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时开启了本功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。

如果对端地址回切功能处于关闭状态,则当首选地址可用时,IPsec不会自动选择首选地址建立IPsec隧道。

【举例】

在IPsec安全策略policy1中开启对端地址回切功能。

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] remote-address switch-back enable

【相关命令】

·     remote-address

1.1.66  remote-certificate serial

remote-certificate serial命令用来配置对端证书的序列号。

undo remote-certificate serial命令用来恢复缺省情况。

【命令】

remote-certificate serial serial-number

undo remote-certificate serial serial-number

【缺省情况】

未配置对端证书的序列号。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

serial-number:对端证书的序列号,为1~127个字符的字符串,不区分大小写。

【使用指导】

设备作为发起方与其他厂家设备进行IKE协商时,如果其他厂家设备的国密IKE协议版本不支持在线发送证书,为了完成IKE协商,需要在本端设备上手动导入对端证书,并在IKE profile视图下通过本命令关联该证书的序列号。已导入的对端证书的序列号可通过display pki certificate domain命令查看。有关证书导入的详细介绍请参见“安全配置指导”中的“PKI”。

本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。(安全命令参考中的“PKI”)

【举例】

# 在IKE profile视图下配置对端证书的序列号为2c2cee0a1c。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] remote-certificate serial 2c2cee0a1c

【相关命令】

·     display pki certificate domain(安全命令参考/PKI)

·     pki import(安全命令参考/PKI)

1.1.67  reset ipsec sa

reset ipsec sa命令用来清除已经建立的IPsec SA。

【命令】

reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。

·     ipv6-policy:IPv6 IPsec安全策略。

·     policy:IPv4 IPsec安全策略。

·     policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。

·     seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。

profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

remote:表示根据对端IP地址清除IPsec SA。

·     ipv4-address:对端的IPv4地址。

·     ipv6 ipv6-address:对端的IPv6地址。

spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。

·     ipv4-address:对端的IPv4地址。

·     ipv6 ipv6-address:对端的IPv6地址。

·     ah:AH协议。

·     esp:ESP协议。

·     spi-num:安全参数索引,取值范围为256~4294967295。

【使用指导】

如果不指定任何参数,则清除所有的IPsec SA。

如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。

对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。

通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。

通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。

【举例】

# 清除所有IPsec SA。

<Sysname> reset ipsec sa

# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。

<Sysname> reset ipsec sa spi 10.1.1.2 ah 256

# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。

<Sysname> reset ipsec sa remote 10.1.1.2

# 清除IPsec安全策略名称为policy1、顺序号为10的所有IPsec SA。

<Sysname> reset ipsec sa policy policy1 10

# 清除IPsec安全策略policy1中的所有IPsec SA。

<Sysname> reset ipsec sa policy policy1

【相关命令】

·     display ipsec sa

1.1.68  reset ipsec sdwan-sa

reset ipsec sdwan-sa命令用来清除SDWAN模式的IPsec SA。

【命令】

reset ipsec sdwan-sa [ local [ interface tunnel tunnel-number ] | remote ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

local:清除本端SDWAN模式的IPsec SA。

interface:显示指定接口的SDWAN模式的IPsec SA。

tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。

remote:清除本端保存的对端SDWAN模式的IPsec SA。

【使用指导】

如果不指定任何参数,则清除所有的SDWAN模式的IPsec SA。

本端SDWAN模式的IPsec SA被清除后,设备会根据IPsec的配置信息重新生成本端SDWAN模式的IPsec SA,并同步给对端设备。

本端保存的对端SDWAN模式的IPsec SA被清除后,设备会向SDWAN重新获取对端设备的本端SDWAN模式的IPsec SA。

【举例】

# 清除所有本端SDWAN模式的IPsec SA。

<RouterA> reset ipsec sdwan-sa local

# 清除接口编号为1的本端SDWAN模式的IPsec SA。

<RouterA> reset ipsec sdwan-sa local interface tunnel 1

# 清除所有对端SDWAN模式的IPsec SA。

<RouterA> reset ipsec sdwan-sa remote

【相关命令】

·     display ipsec sdwan-sa

1.1.69  reset ipsec sdwan-statistics

reset ipsec sdwan-statistics命令用来清除SDWAN模式的IPsec隧道的报文统计信息。

【命令】

reset ipsec sdwan-statistics [ tunnel-id tunnel-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

tunnel-id tunnel-id:清除指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。

【使用指导】

如果未指定任何参数,则清除所有SDWAN模式的IPsec隧道的报文统计信息。

【举例】

# 清除所有SDWAN模式的IPsec隧道的报文统计信息。

<RouterA> reset ipsec sdwan-statictics

【相关命令】

·     display ipsec sdwan-statistics

1.1.70  reset ipsec sdwan-tunnel

reset ipsec sdwan-tunnel命令用来清除SDWAN模式的IPsec隧道信息。

【命令】

reset ipsec sdwan-tunnel [ tunnel-id tunnel-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

tunnel-id tunnel-id:清除指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。

【使用指导】

SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。

若不指定任何参数,默认清除所有SDWAN模式的IPsec隧道信息。

【举例】

# 清除tunnel-id为1的SDWAN模式的IPsec隧道信息。

<Sysname> reset ipsec sdwan-tunnel tunnel-id 1

【相关命令】

·     display ipsec sdwan-tunnel

1.1.71  reset ipsec statistics

reset ipsec statistics命令用来清除IPsec的报文统计信息。

【命令】

reset ipsec statistics [ tunnel-id tunnel-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。

【举例】

# 清除IPsec的所有报文统计信息。

<Sysname> reset ipsec statistics

【相关命令】

·     display ipsec statistics

1.1.72  responder-only enable

responder-only enable命令用来开启本端仅作为协商IPsec SA的响应方功能。

undo responder-only enable命令用来关闭本端仅作为协商IPsec SA的响应方功能。

【命令】

responder-only enable

undo responder-only enable

【缺省情况】

本端仅作为协商IPsec SA的响应方功能处于关闭状态。

【视图】

IPsec安全框架视图

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

建议在中心-分支组网环境中的中心侧配置本功能。

缺省情况下,如果IPsec对等体两端都采用IKE协商方式的IPsec安全框架或者IPsec安全策略建立IPsec SA,则两端都会主动发起协商,对等体之间将存在两个协商IPsec SA的过程,但对等体之间最终只会建立一个IPsec SA,该协商过程将会造成设备CPU资源的浪费。此时可以配置本功能,指定本端只能作为建立IPsec SA的响应方,不主动发起协商,可以有效解决此问题,同时也有助于IPsec故障诊断和定位。

开启或关闭本功能,对当前已经存在的IPsec SA无影响。

【举例】

# 在IKE协商方式的IPsec安全框架prof1下,开启本端仅作为协商IPsec SA的响应方功能。

<Sysname> system-view

[Sysname] ipsec profile prof1 isakmp

[Sysname-ipsec-profile-prof1] responder-only enable

# 在IKE协商方式的IPsec安全策略map下,开启本端仅作为协商IPsec SA的响应方功能。

<Sysname> system-view

[Sysname] ipsec policy map 1 isakmp

[Sysname-ipsec-policy-isakmp-map-1] responder-only enable

【相关命令】

·     display ipsec { ipv6-policy | policy }

·     display ipsec { ipv6-policy-template | policy-template }

·     display ipsec profile

1.1.73  reverse-route dynamic

reverse-route dynamic命令用来开启IPsec反向路由注入功能。

undo reverse-route dynamic命令用来关闭IPsec反向路由注入功能。

【命令】

reverse-route [ next-hop [ ipv6 ] ip-address ] dynamic

undo reverse-route dynamic

【缺省情况】

IPsec反向路由注入功能处于关闭状态。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

next-hop:指定自动生成的静态路由下一跳地址。若未指定下一跳地址,则自动生成的静态路由下一跳为IPsec隧道的对端地址。

ipv6:指定自动生成的静态路由下一跳IPv6地址。若不指定此参数,则表示IPv4地址。

ip-address:下一跳的IPv4或IPv6地址。

【使用指导】

在企业中心侧网关设备上的某安全策略视图/安全策略模板视图下开启IPsec反向路由注入功能后,设备会根据协商的IPsec SA自动生成一条静态路由,该路由的目的地址为受保护的对端私网,下一跳地址缺省为IPsec隧道的对端地址;在有多条路径到达隧道对端目的地址的情况下,可以通过next-hop参数指定下一跳来控制隧道到达对端所经过的路径。

开启反向路由注入功能时,会删除本策略协商出的所有IPsec SA。当有新的流量触发生成IPsec SA时,根据新协商的IPsec生成路由信息。

关闭反向路由注入功能时,会删除本策略协商出的所有IPsec SA。

生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。

需要查看生成的路由信息时,可以通过display ip routing-table命令查看。

【举例】

# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。

<Sysname> system-view

[Sysname] ipsec policy 1 1 isakmp

[Sysname-ipsec-policy-isakmp-1-1] reverse-route dynamic

[Sysname-ipsec-policy-isakmp-1-1] quit

# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。‌

[Sysname] display ip routing-table

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

3.0.0.0/24          Static 60   0            1.1.1.2         GE1/0/1

# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段4.0.0.0/24,指定下一跳地址为2.2.2.3。

<Sysname> system-view

[Sysname] ipsec policy 1 1 isakmp

[Sysname-ipsec-policy-isakmp-1-1] reverse-route next-hop 2.2.2.3 dynamic

[Sysname-ipsec-policy-isakmp-1-1] quit

# 隧道两端的IPsec SA协商成功后,查看路由表,可以看到已生成如下静态路由(其它显示信息略)。

[Sysname] display ip routing-table

 

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

4.0.0.0/24          Static 60   0            2.2.2.3         GE1/0/1

【相关命令】

·     display ip routing-table(三层技术-IP路由命令参考/IP路由基础)

·     ipsec policy

·     ipsec policy-template

1.1.74  reverse-route preference

reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。

undo reverse-route preference命令用来恢复缺省情况。

【命令】

reverse-route preference number

undo reverse-route preference

【缺省情况】

IPsec反向路由注入功能生成的静态路由的优先级为60。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

number:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。

【使用指导】

若对静态路由优先级进行修改,会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。

【举例】

# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。

<Sysname> system-view

[Sysname] ipsec policy 1 1 isakmp

[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100

【相关命令】

·     ipsec policy

·     ipsec policy-template

1.1.75  reverse-route tag

reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值。

undo reverse-route tag命令用来恢复缺省情况。

【命令】

reverse-route tag tag-value

undo reverse-route tag

【缺省情况】

IPsec反向路由注入功能生成的静态路由的Tag值为0。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

tag-value:静态路由的Tag值,取值范围为1~4294967295。

【使用指导】

本Tag值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制,若对静态路由Tag值进行修改,则会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。

【举例】

# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。

<Sysname>system-view

[Sysname] ipsec policy 1 1 isakmp

[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50

【相关命令】

·     ipsec policy

·     ipsec policy-template

1.1.76  sa df-bit

sa df-bit命令用来设置IPsec SA封装后外层IP头的DF位。

undo sa df-bit命令用来恢复缺省情况。

【命令】

sa df-bit { clear | copy | set }

undo sa df-bit

【缺省情况】

未设置IPsec封装后外层IP头的DF位,采用接口或全局设置的DF位。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。

copy:表示外层IP头的DF位从原始报文IP头中拷贝。

set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。

【使用指导】

该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。

只有IKE协商方式的IPsec才支持本功能。

该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。

转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。

如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec DF位,将使用接口下配置的IPsec DF位;如果接口下也未配置IPsec DF位,将使用IPsec 全局配置的DF位。

【举例】

# 配置IPsec安全策略policy1封装后外层IP头的DF位。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] sa df-bit set

【相关命令】

·     ipsec df-bit

·     ipsec global-df-bit

1.1.77  sa duration

sa duration命令用来配置IPsec SA的生存时间。

undo sa duration命令用来删除指定的IPsec SA生存时间。

【命令】

sa duration { time-based seconds | traffic-based kilobytes }

undo sa duration { time-based | traffic-based }

【缺省情况】

IPsec安全策略/IPsec安全策略模板/IPsec安全框架的IPsec SA生存时间为当前全局的IPsec SA生存时间。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。

traffic-based kilobytes:指定基于流量的生存时间,取值范围为2560~4294967295,单位为千字节。SDWAN方式的IPsec安全框架不支持本参数。

【使用指导】

当IKE协商IPsec SA时,如果采用的IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的配置值与对端协商。

IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。

IKEv2为IPsec协商建立IPsec SA时,采用各自本地配置的生存时间。

【举例】

# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200

# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480

# 配置SDWAN方式的IPsec安全框架profile1的IPsec SA生存时间为500秒。

<Sysname> system-view

[Sysname] ipsec profile profile1 sdwan

[Sysname-ipsec-profile-sdwan-profile1] sa duration time-based 500

【相关命令】

·     display ipsec sa

·     ipsec sa global-duration

1.1.78  sa hex-key authentication

sa hex-key authentication命令用来为手工创建的IPsec SA配置十六进制形式的认证密钥。

undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。

【命令】

sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string

undo sa hex-key authentication { inbound | outbound } { ah | esp }

【缺省情况】

未配置IPsec SA使用的认证密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

inbound:指定入方向IPsec SA使用的认证密钥。

outbound:指定出方向IPsec SA使用的认证密钥。

ah:指定AH协议。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-20密文密钥为1~85个字符的字符串,区分大小写。

表1-20 算法与密钥长度对照表

算法

密钥长度(字节)

HMAC-AES-XCBC-96

16

HMAC-MD5

16

HMAC-SHA1

20

HMAC-SHA-256

32

HMAC-SHA-384

48

HMAC-SHA-512

64

HMAC-SM3

32

 

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向的IPsec SA参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。

对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。

在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00

【相关命令】

·     display ipsec sa

·     sa string-key

1.1.79  sa hex-key encryption

sa hex-key encryption命令用来为手工创建的IPsec SA配置十六进制形式的加密密钥。

undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。

【命令】

sa hex-key encryption { inbound | outbound } esp { cipher | simple } string

undo sa hex-key encryption { inbound | outbound } esp

【缺省情况】

未配置IPsec SA使用的加密密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

inbound:指定入方向IPsec SA使用的加密密钥。

outbound:指定出方向IPsec SA使用的加密密钥。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-21。密文密钥为1~117个字符的字符串,区分大小写。

表1-21 算法与密钥长度对照表

算法

密钥长度(字节)

DES-CBC

8

3DES-CBC

24

AES128-CBC

16

AES192-CBC

24

AES256-CBC

32

SM1128-CBC

16

SM4128-CBC

16

AES128-CTR

16

AES192-CTR

24

AES256-CTR

32

CAMELLIA128-CBC

16

CAMELLIA192-CBC

24

CAMELLIA256-CBC

32

GMAC-128

16

GMAC-192

24

GMAC-256

32

GCM-128

16

GCM-192

24

GCM-256

32

 

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向的IPsec SA参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。

对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。

相同方向的情况下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234

【相关命令】

·     display ipsec sa

·     sa string-key

1.1.80  sa idle-time

sa idle-time命令用来配置IPsec SA的空闲超时时间。

undo sa idle-time命令用来恢复缺省情况。

【命令】

sa idle-time seconds

undo sa idle-time

【缺省情况】

IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。

【使用指导】

此功能只适用于IKE协商出的IPsec SA,且需要通过全局ipsec sa idle-time命令或局部sa idle-time命令开启空闲超时功能后,本功能才会生效。

从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。

如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下配置了IPsec SA 空闲超时时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。

【举例】

# 配置IPsec安全策略的IPsec SA的空闲超时时间为600秒。

<Sysname> system-view

[Sysname] ipsec policy map 100 isakmp

[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600

【相关命令】

·     display ipsec sa

·     ipsec sa idle-time

1.1.81  sa soft-duration buffer

sa soft-duration buffer命令用来设置IPsec SA的软超时缓冲参数。

undo sa soft-duration buffer命令用来恢复缺省配置。

【命令】

sa soft-duration buffer { time-based seconds | traffic-based kilobytes }

undo sa soft-duration buffer { time-based | traffic-based }

【缺省情况】

未配置软超时缓冲时间或软超时缓冲流量。

【视图】

IPsec策略视图

IPsec 安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

time-based seconds:IPsec SA的软超时缓冲时间,取值范围为20~201600,单位为秒。

traffic-based kilobytes:IPsec SA的软超时缓冲流量,取值范围为1000~4294901760,单位为KB。

【使用指导】

本命令只对IKEv1有效。

在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。

在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。

若未配置软超时缓冲时间,则系统会基于IPsec SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IPsec SA协商。软超时缓冲流量同理。

 

【举例】

# 设置IPsec SA的软超时缓冲时间为600秒。

<Sysname> system-view

[Sysname] ipsec policy example 1 isakmp

[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer time-based 600

# 设置IPsec SA的软超时缓冲流量为10000KB。

<Sysname> system-view

[Sysname] ipsec policy example 1 isakmp

[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer traffic-based 10000

【相关命令】

·     ipsec sa global-soft-duration buffer

1.1.82  sa spi

sa spi命令用来配置IPsec SA的SPI。

undo sa spi命令用来删除指定的IPsec SA的SPI。

【命令】

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

【缺省情况】

不存在IPsec SA的SPI。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

inbound:指定入方向IPsec SA的SPI。

outbound:指定出方向IPsec SA的SPI。

ah:指定AH协议。

esp:指定ESP协议。

spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。

【使用指导】

此命令仅用于手工方式的IPsec安全策略以及IPsec安全框架。对于IKE协商方式的IPsec安全策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。

必须分别配置inboundoutbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。

在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:

·     本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;

·     同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP4+,是BGP4+邻居之间或邻居所在的一个组。

【举例】

# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000

[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000

【相关命令】

·     display ipsec sa

1.1.83  sa string-key

sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。

undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。

【命令】

sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string

undo sa string-key { inbound | outbound } { ah | esp }

【缺省情况】

未配置IPsec SA使用的密钥。

【视图】

IPsec安全策略视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

inbound:指定入方向IPsec SA的密钥。

outbound:指定出方向IPsec SA的密钥。

ah:指定AH协议。

esp:指定ESP协议。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。

【使用指导】

此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。

必须分别配置inboundoutbound两个方向IPsec SA的参数。

在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。

在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。

在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:

·     本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;

·     同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab

# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。

<Sysname> system-view

[Sysname] ipsec ipv6-policy policy1 100 manual

[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef

[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef

【相关命令】

·     display ipsec sa

·     sa hex-key

1.1.84  sa trigger-mode

sa trigger-mode命令用来配置触发建立IPsec SA的模式。

undo sa trigger-mode命令用来恢复缺省情况。

【命令】

sa trigger-mode { auto | traffic-based }

undo sa trigger-mode

【缺省情况】

触发建立IPSec SA的模式为流量触发。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

auto:自动触发模式,完成IPsec的基本配置后设备自动触发协商建立IPsec SA。

traffic-based:流量触发模式,当存在符合IPsec安全策略条件的数据流时才会触发IPSec SA协商。

【使用指导】

·     此功能只适用于IKE协商方式的IPsec安全策略。

·     自动触发模式下,无论是否有流量需要保护,都会在配置条件满足的情况下触发建立IPsec SA,这在一定程度上占用了系统资源;而流量触发模式只在有流量需要保护时才会触发建立IPsec SA,相对于自动模式,系统资源占用率较低,但IPsec SA成功建立之前的流量不会受到保护。

·     如果IPsec安全策略下引用了智能选路策略,将自动触发建立IPsec SA,则此配置不会生效。

·     IPsec隧道两端的设备上并不要求配置一致的触发建立IPsec SA的模式。

·     修改模式,对当前已经存在的IPsec SA无影响。如果已经配置了auto模式,IPsec SA建立完成后,建议修改为traffic-based模式。

·     若IPsec安全策略/IPsec安全策略模板引用的ACL被指定为聚合方式或主机方式,则该IPsec安全策略/IPsec安全策略模板无法通过自动触发模式建立IPsec SA。

【举例】

# 配置序号为10的IPsec安全策略policy1触发建立IPsec SA的模式为自动触发。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto

1.1.85  security acl

security acl命令用来指定IPsec安全策略/IPsec安全策略模板引用的ACL。

undo security acl命令用来恢复缺省情况。

【命令】

security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]

undo security acl

【缺省情况】

IPsec安全策略/IPsec安全策略模板未引用ACL。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ipv6:指定IPv6 ACL。

acl-number:ACL编号,取值范围为3000~3999。

name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。

aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。不支持对IPv6数据流采用该保护方式。

per-host:指定IPsec安全策略的数据流保护方式为主机方式。

【使用指导】

对于IKE协商方式的IPsec安全策略,数据流的保护方式包括以下几种:

·     标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregationper-host参数的情况下,缺省采用此方式。

·     聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。

·     主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。

手工方式的IPsec安全策略缺省使用聚合方式,且仅支持聚合方式;IKE协商方式的IPsec安全策略中可以通过配置来选择不同的保护方式。

引用ACL时,需要注意的是:

·     若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示IPsec安全策略不生效。

·     在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。

【举例】

# 配置IPsec安全策略引用IPv4高级ACL 3001。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] security acl 3001

# 配置IPsec安全策略引用IPv4高级ACL 3002,并设置数据流保护方式为聚合方式。

<Sysname> system-view

[Sysname] acl advanced 3002

[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255

[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255

[Sysname-acl-ipv4-adv-3002] quit

[Sysname] ipsec policy policy2 1 isakmp

[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation

【相关命令】

·     display ipsec sa

·     display ipsec tunnel

1.1.86  smart-link enable

smart-link enable命令用来开启IPsec智能选路功能。

undo smart-link enable命令用来关闭IPsec智能选路功能。

【命令】

smart-link enable

undo smart-link enable

【缺省情况】

IPsec智能选路功能处于关闭状态。

【视图】

IPsec智能选路策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

只有在IPsec智能选路功能处于开启状态的情况下,链路质量探测功能和链路切换功能才会生效。关闭IPsec智能选路功能后,IPsec智能选路一直停留在当前处于激活状态的链路上。

【举例】

# 关闭IPsec智能选路功能。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] undo smart-link enable

【相关命令】

·     smart-link policy

1.1.87  smart-link policy

smart-link policy命令用来在IPsec安全策略中引用IPsec智能选路策略。

undo smart-link policy命令用来恢复缺省情况。

【命令】

smart-link policy policy-name

undo smart-link policy

【缺省情况】

IPsec安全策略中未引用IPsec智能选路策略。

【视图】

IPsec安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:IPsec智能选路策略的名称,此IPsec智能选路策略必须已存在。

【使用指导】

非缺省vSystem不支持本命令。

只有IKE方式的IPsec安全策略才能引用IPsec智能选路策略。

一个IPsec安全策略下只能引用一个智能选路策略。

当设备选中了某条IPsec智能选路的链路建立IPsec隧道时,设备会将此IPsec安全策略中的配置内容下发到此链路所指定的本端接口上。

当设备在系统视图下删除了在某IPsec安全策略中引用的IPsec智能选路策略时,设备会同时将此IPsec安全策略中智能选路策略配置删除。

【举例】

# 在IPsec安全策略policy1中引用IPsec智能选路策略smlkpolicy1。

<Sysname> system-view

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] smart-link policy smlkpolicy1

【相关命令】

·     smart-link enable

1.1.88  snmp-agent trap enable ipsec

snmp-agent trap enable ipsec命令用来开启IPsec告警功能。

undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。

【命令】      

snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *

undo snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *

【缺省情况】

IPsec的所有告警功能均处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

auth-failure:表示认证失败时的告警功能。

connection-start:表示相同description的安全策略表项下创建第一个IPsec隧道时的告警功能。

connection-stop:表示相同description的安全策略表项下删除最后一个IPsec隧道时的告警功能。

decrypt-failure:表示解密失败时的告警功能。

encrypt-failure:表示加密失败时的告警功能。

global表示全局告警功能。

invalid-sa-failure:表示无效SA的告警功能。

no-sa-failure:表示无法查找到SA时的告警功能。

policy-add:表示添加IPsec安全策略时的告警功能。

policy-attach:表示将IPsec安全策略应用到接口时的告警功能。

policy-delete:表示删除IPsec安全策略时的告警功能。

policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。

tunnel-start:表示创建IPsec隧道时的告警功能。

tunnel-stop:表示删除IPsec隧道时的告警功能。

【使用指导】

非缺省vSystem不支持本命令。

如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。

如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。

【举例】

# 开启全局IPsec Trap告警。

<Sysname> system-view

[Sysname] snmp-agent trap enable ipsec global

# 开启创建IPsec隧道时的告警功能。

[Sysname] snmp-agent trap enable ipsec tunnel-start

1.1.89  tfc enable

tfc enable命令用来开启TFC(Traffic Flow Confidentiality)填充功能。

undo tfc enable命令用来关闭TFC填充功能。

【命令】

tfc enable

undo tfc enable

【缺省情况】

TFC填充功能处于关闭状态。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

本功能仅适用于IKEv2协商的IPsec SA。

TFC填充功能可隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。

【举例】

# 指定IPsec安全策略policy1中开启TFC填充功能。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable

【相关命令】

·     display ipsec ipv6-policy

·     display ipsec policy

1.1.90  transform-set

transform-set命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提议。

undo transform-set命令用来取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提议。

【命令】

transform-set transform-set-name&<1-6>

undo transform-set

【缺省情况】

IPsec安全策略/IPsec安全策略模板/IPsec安全框架未引用IPsec安全提议。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。需要注意的是,同时指定的多个安全提议名称不可重复,否则提示参数出错。

【使用指导】

对于手工方式的IPsec安全策略或SDWAN方式的IPsec安全框架,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。

对于IKE协商方式的IPsec安全策略、IPsec安全框架或IPsec安全策略模版,一条IPsec安全策略、IPsec安全框架或IPsec安全策略模版最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec安全策略或IPsec安全框架中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。

undo transform-set命令表示删除所有引用的IPsec安全提议。

【举例】

# 配置IPsec安全策略引用名称为prop1的IPsec安全提议。

<Sysname> system-view

[Sysname] ipsec transform-set prop1

[Sysname-ipsec-transform-set-prop1] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1

【相关命令】

·     ipsec { ipv6-policy | policy }

·     ipsec profile

·     ipsec transform-set

1.1.91  tunnel protection ipsec

tunnel protection ipsec命令用来在隧道接口上应用IPsec安全框架。

undo tunnel protection ipsec命令用来恢复缺省情况。

【命令】

tunnel protection ipsec profile profile-name [ acl [ ipv6 ] { acl-number | name acl-name } ]

undo tunnel protection ipsec profile

【缺省情况】

Tunnel接口下未引用IPsec安全框架。

【视图】

Tunnel接口视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

profile profile-name:指定使用的IPsec安全框架,且必须为IKE协商方式或SDWAN方式的IPsec安全框架。其中,profile-name为IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。

ipv6:指定ACL类型为IPv6 ACL。若不指定本参数,则表示IPv4 ACL。

acl-number:指定安全框架关联的ACL编号,取值范围为3000~3999。

name acl-name:指定安全框架关联的ACL名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

在隧道接口上应用IKE协商方式的IPsec安全框架后,隧道两端会通过IKE协商建立IPsec隧道对隧道接口上传输的数据流进行IPsec保护。指定安全框架关联的ACL后,隧道接口上传输的数据流只有匹配ACL才会受到IPsec保护。

IPsec IPv4 模式下,安全框架关联IPv4 ACL。

IPsec IPv6 模式下,安全框架关联IPv6 ACL。

IPsec安全框架关联的ACL中不能配置vpn-instance参数,否则,此框架将无法发起IPsec协商。

在隧道接口上应用IPsec安全框架时,如果需要此IPsec隧道绑定VPN实例,请在该隧道接口上绑定VPN实例。因为,此种环境中IPsec SA中的VPN实例,由该隧道接口绑定的vpn-instance参数决定。

在SDWAN隧道接口上应用SDWAN方式的IPsec安全框架后,如果IPsec安全框架配置完整,SDWAN设备将创建本端IPsec SA,并通过SDWAN隧道将该IPsec SA通告给对端SDWAN设备,作为其对端IPsec SA。若对端设备需要向本端设备发送经过IPsec保护的报文,则对端设备需要使用该对端IPsec SA对报文进行加密,并发送给本端设备。本端设备采用本端创建的IPsec SA进行解密,并对未加密的报文进行丢弃。

由于IPsec SA是单向的,设备加密和解密采用不同的IPsec SA。通常情况下,本端IPsec SA仅用于解密,对端IPsec SA仅用于加密。

SDWAN类型的隧道接口仅支持profile参数,不支持配置ACL参数。

【举例】

# 配置使用IPsec安全框架prf1来保护接口Tunnel1的报文。

<Sysname> system-view

[Sysname] interface tunnel 1 mode advpn gre

[Sysname-Tunnel1] tunnel protection ipsec profile prf1

# 配置使用IPsec安全框架prf1来保护IPv4接口Tunnel1的报文,prf1与ACL 3000关联。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] interface tunnel 1 mode ipsec

[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl 3000

# 配置使用IPsec安全框架prf1来保护IPv6接口Tunnel1的报文,prf1与IPv6 ACL 3000关联。

<Sysname> system-view

[Sysname] acl ipv6 advanced 3000

[Sysname-acl-ipv6-adv-3000] rule 0 permit ipv6 source 1:1::/64 destination 2:2::/64

[Sysname-acl-ipv6-adv-3000] quit

[Sysname] interface tunnel 1 mode ipsec ipv6

[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl ipv6 3000

# 配置使用SDWAN方式的IPsec安全框架保护SDWAN类型接口Tunnel1的报文。

<Sysname> system-view

[Sysname] interface tunnel 1 mode sdwan udp

[Sysname-Tunnel1] tunnel protection ipsec profile profile1

【相关命令】

·     interface tunnel(VPN命令参考/隧道)

·     display interface tunnel(VPN命令参考/隧道)

·     ipsec profile


·      

2 IKE

说明

非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

2.1  IKE配置命令

2.1.1  aaa authorization

aaa authorization命令用来开启IKE的AAA授权功能。

undo aaa authorization命令用来关闭IKE的AAA授权功能。

【命令】

aaa authorization domain domain-name username user-name

undo aaa authorization

【缺省情况】

IKE的AAA授权功能处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。

【使用指导】

开启AAA授权功能后,IKE可以向AAA模块申请授权属性,例如IKE本地地址池属性。IKE模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKE本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。

【举例】

# 创建IKE profile,名称为profile1。

<Sysname> system-view

[Sysname] ike profile profile1

# 在IKE profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。

[Sysname-ike-profile-profile1] aaa authorization domain abc username test

2.1.2  app-dev-info (IKE GDQUANTUM view)

app-dev-info命令用来配置设备唯一入网标识。

undo app-dev-info命令用来恢复缺省情况。

【命令】

app-dev-info app-dev-info

undo app-dev-info

【缺省情况】

未配置设备唯一入网标识。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-dev-info:设备唯一入网标识,为9个字符的字符串,仅支持数字。

【使用指导】

非缺省vSystem不支持本命令。

设备唯一入网标识由国盾量子服务器统一分配,每个设备一个,且全网唯一。唯一入网标识和身份认证密钥(通过auth-key命令配置)一起用于登录国盾量子服务器。

设备唯一入网标识需要联系国盾量子服务器的管理员获取。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备唯一入网标识为185110851。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] app-dev-info 185110851

2.1.3  authentication-algorithm

authentication-algorithm命令用来指定IKE提议使用的认证算法。

undo authentication-algorithm命令用来恢复缺省情况。

【命令】

authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 | sm3 }

undo authentication-algorithm

【缺省情况】

IKE提议使用的认证算法为HMAC-SHA1

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

md5:指定认证算法为HMAC-MD5。

sha:指定认证算法为HMAC-SHA1。

sha256:指定认证算法为HMAC-SHA256。

sha384:指定认证算法为HMAC-SHA384。

sha512:指定认证算法为HMAC-SHA512。

sm3:指定认证算法为HMAC-SM3。

【举例】

# 指定IKE提议1的认证算法为HMAC-SHA1。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] authentication-algorithm sha

【相关命令】

·     display ike proposal

2.1.4  authentication-method

authentication-method命令用来指定IKE提议使用的认证方法。

undo authentication-method命令用来恢复缺省情况。

【命令】

authentication-method { ecdsa-signature | dsa-signature | pre-share | rsa-de | rsa-signature | sm2-de }

undo authentication-method

【缺省情况】

IKE提议使用预共享密钥的认证方法。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

ecdsa-signature:指定认证方法为ECDSA数字签名方法。

dsa-signature:指定认证方法为DSA数字签名方法。

pre-share:指定认证方法为预共享密钥方法。

rsa-de:指定认证方法为RSA数字信封方法。

rsa-signature:指定认证方法为RSA数字签名方法。

sm2-de:指定认证方法为SM2数字信封方法。

【使用指导】

认证方法分为预共享密钥认证、数字签名认证(包括RSA数字签名认证、DSA数字签名认证和ECDSA数字签名认证)和数字信封认证(包括RSA数字信封认证和SM2数字信封认证)。

·     预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;

·     数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域;

·     数字信封认证用于设备需要符合国家密码管理局要求时使用,此认证方法只能在IKEv1的协商过程中支持。

协商双方必须有匹配的认证方法。

如果指定认证方法为RSA数字签名方法、DSA数字签名方法或者ECDSA数字签名方式,则还必须保证对端从CA(证书认证机构)获得数字证书。

如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。

【举例】

# 指定IKE提议1的认证方法为预共享密钥。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] authentication-method pre-share

【相关命令】

·     display ike proposal

·     ike keychain

·     pre-shared-key

2.1.5  auth-key

auth-key命令用来配置设备登录国盾量子服务器的身份认证密钥。

undo auth-key命令用来恢复缺省情况。

【命令】

auth-key { cipher | simple } key-value

undo auth-key

【缺省情况】

未配置设备登录国盾量子服务器的身份认证密钥。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文的方式存储。

key-value:明文密钥为64个字符的字符串,区分大小写,每个字符为十六进制的数字;密文密钥为117个字符的字符串,区分大小写,每个字符为十六进制的数字。

【使用指导】

非缺省vSystem不支持本命令。

身份认证密钥用于国盾量子服务器验证设备身份,与设备唯一入网标识(通过app-dev-info命令配置)一一对应。当设备向国盾量子服务器发送登录请求时,只有携带了正确的设备唯一入网标识和身份认证密钥才能成功登录国盾量子服务器。

身份认证密钥需要联系国盾量子服务器的管理员获取。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置设备登录国盾量子服务器的身份认证密钥为明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0

2.1.6  certificate domain

certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。

undo certificate domain命令用来取消指定IKE协商时使用的PKI域。

【命令】

certificate domain domain-name

undo certificate domain domain-name

【缺省情况】

未指定用于IKE协商的PKI域。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

domain-name:PKI域的名称,为1~255个字符的字符串,不区分大小写。

【使用指导】

可通过多次执行本命令指定多个PKI域,一个IKE profile中最多可以引用六个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。

IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:

·     对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。

·     对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。

·     在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。

【举例】

# 在IKE profile 1中指定IKE协商时使用的PKI域。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] certificate domain abc

【相关命令】

·     authentication-method

·     pki domain(安全命令参考/PKI)

2.1.7  client-authentication

client-authentication命令用来开启对客户端的认证。

undo client-authentication命令用来关闭对客户端的认证。

【命令】

client-authentication xauth

undo client-authentication xauth

【缺省情况】

对客户端的认证处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

xauth:表示采用XAUTH (Extended Authentication within ISAKMP/Oakley)方式认证。

【使用指导】

在部署多分支远程访问企业中心的IPsec VPN应用时,为区别不同的客户端,通常需要中心侧的网管人员为每一个远程客户端设置不同IPsec安全策略和认证密码,此工作量巨大,也不方便管理。在中心侧开启了对客户端认证之后,远程客户端与中心侧设备进行IKE协商的过程中,中心侧设备可以利用RADIUS服务器来对客户端进行用户名和密码的验证,要求每个远程客户端在接入时,都需要提供不同的用户名和密码,这样可以简化中心侧的配置负担,保证了远程接入客户端的安全性。

【举例】

# 开启基于XAUTH方式的认证。

<Sysname> system-view

[Sysname] ike profile test

[Sysname-ike-profile-test] client-authentication xauth

【相关命令】

·     local-user

2.1.8  client-authentication xauth

client-authentication xauth命令用来配置客户端认证所需的用户信息。

undo client-authentication xauth命令用来恢复缺省情况。

【命令】

client-authentication xauth { aaa-auth-server | user username password { cipher | simple } string }

undo client-authentication xauth { aaa-auth-server | user }

【缺省情况】

未配置客户端认证所需的用户信息。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aaa-auth-server:指定通过AAA服务器获取客户端认证所需的用户信息。

user:指定客户端认证使用的用户信息。

user-name:客户端认证使用的用户名称,为1~55个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”(不区分大小写)。

password:指定客户端认证使用的密码。

cipher:以密文方式设置密码。

simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。

【使用指导】

在多分支远程访问企业中心的IPsec VPN组网环境中,在企业分支侧可以通过以下两种方式配置用户信息,向企业中心侧发起扩展认证:

·     通过AAA服务器获取用户信息:此方式下,客户端需要通过AAA服务器获取用户身份信息,并发送至对端进行身份认证。当对端使用吉大服务器对客户端进行身份认证时,客户端需要配置为此方式。有关AAA的详细介绍,请参见“安全配置指导”中的“AAA”。

·     手工配置用户信息:此方式下,客户端将配置的用户名和密码发送至对端进行身份认证。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置客户端认证的用户名为abc,密文密码为123456TESTplat&!。

<Sysname> system-view

[Sysname] ike profile test

[Sysname-ike-profile-test] client-authentication xauth user abc password simple 123456TESTplat&!

# 配置通过AAA服务器获取用户信息,进行客户端认证。

<Sysname> system-view

[Sysname] ike profile abc

[Sysname-ike-profile-abc] client-authentication xauth aaa-auth-server

【相关命令】

·     client-authentication

2.1.9  client source-udp-port dynamic

client source-udp-port dynamic命令用来配置发起方IKE协商使用的UDP源端口号为动态设置。

undo client source-udp-port dynamic命令用来恢复缺省情况。

【命令】

client source-udp-port dynamic

undo client source-udp-port dynamic

【缺省情况】

发起方IKE协商使用的UDP源端口号为500。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

本命令仅在发起方生效。

当发起方配置本命令后,发起方在IKE协商过程中将使用随机的UDP源端口号发送协商报文,响应方会根据收到的协商报文中的UDP端口号来发送接下来的协商报文。如果随机使用的UDP源端口号无法使IKE协商成功,IKE将再次随机使用一个UDP源端口号进行协商,直至协商成功。

正常情况下,IKE对等体之间协商IKE SA时,如果对等体之间存在NAT设备,IKE会将协商报文的UDP源和目的端口号都修改为4500。在某些组网环境中,网络中间设备会将UDP源端口号为4500的报文丢弃,从而导致IKE协商失败。将IKE协商报文的UDP源端口号设置为自动设置,可以避免IKE协商报文被网络中间设备丢弃。

修改本命令对已建立的IKE SA不影响。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在IKE profile prof1下,配置发起方IKE协商使用的UDP源端口号为动态设置。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] client source-udp-port dynamic

【相关命令】

·     display ike sa

2.1.10  decrypt-quantum-key

decrypt-quantum-key命令用来配置国盾量子密钥的解密密钥。

undo decrypt-quantum-key命令用来恢复缺省情况。

【命令】

decrypt-quantum-key { cipher | simple } key-value

undo decrypt-quantum-key

【缺省情况】

未配置国盾量子密钥的解密密钥。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文的方式存储。

key-value:明文密钥为64个字符的字符串,区分大小写,每个字符为十六进制的数字;密文密钥为117个字符的字符串,区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

设备成功登录国盾量子服务器后,可以主动申请量子密钥,申请的量子密钥为经过加密处理的密钥,需要通过本命令配置的解密密钥进行解密,解密之后的密钥才能供IPsec使用。

解密密钥需要联系国盾量子服务器的管理员获取。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置国盾量子密钥的解密密钥为明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0

2.1.11  description

description命令用来配置IKE提议的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在IKE提议的描述信息。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

text:IKE提议的描述信息,为1~80个字符的字符串,区分大小写。

【使用指导】

当系统中存在多个IKE提议时,可通过配置相应的描述信息来有效区分不同的IKE提议。

【举例】

# 配置序号为1的IKE提议的描述信息为test。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] description test

2.1.12  dh

dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。

undo dh命令用来恢复缺省情况。

【命令】

dh { group1 | group14 | group19 | group2 | group20 | group24 | group5 }

undo dh

【缺省情况】

IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。

group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。

group19:指定阶段1密钥协商时采用256-bit的Diffie-Hellman group。

group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。

group20:指定阶段1密钥协商时采用384-bit的Diffie-Hellman group。

group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。

【使用指导】

group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。

【举例】

# 指定IKE提议1使用2048-bit的Diffie-Hellman group。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] dh group14

【相关命令】

·     display ike proposal

2.1.13  display ike global-info

display ike global-info命令用来显示IKE模块全局信息。

【命令】

display ike global-info

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【使用指导】

显示当前设备上IKE模块相关全局运行数据。

【举例】

# 显示当前设备上IKE模块相关全局运行数据

<Sysname> display ike global-info

IKE identity type: FQDN

IKE identity: example.com

IKE dpd: on-demand

IKE dpd interval (seconds): 200

IKE dpd retry (seconds): 20

IKE invalid-spi-recovery: disable

IKE limit max-negotiating-sa: 1024

IKE limit max-sa: 512

IKE nat-keepalive (seconds): 60

IKE signature-identity from-certificate: disable

IKE keepalive timeout (seconds): 4096

IKE keepalive interval (seconds): 2048

表2-1 display ike global-info命令显示信息描述表

字段

描述

IKE identity type

IKE本端身份信息。取值包括:

·     IP-Address:以IP地址标识本端身份

·     DN:使用从数字证书中获得的DN名作为本端身份

·     FQDN:以FQDN名称标识本端身份

·     User-FQDN:以User FQDN名称标识本端身份

IKE identity

IKE本端身份信息

IKE dpd

IKE DPD的探测模式。取值包括:

·     on-demand:指定按需探测模式

·     periodic:指定定时探测模式

IKE dpd interval (seconds)

IKE DPD 探测间隔

IKE dpd retry (seconds)

IKE DPD 报文重传间隔

IKE invalid-spi-recovery

针对无效IPsec SPI的IKE SA恢复功能开启状态。取值包括:

·     disable:针对无效IPsec SPI的IKE SA恢复功能未开启

·     enable:针对无效IPsec SPI的IKE SA恢复功能已开启

IKE limit max-negotiating-sa

允许同时处于协商状态的IKE一阶段和二阶段SA的最大总数

IKE limit max-sa

允许建立的IKE一阶段SA的最大数

IKE nat-keepalive (seconds)

向对端发送NAT Keepalive报文的间隔

IKE signature-identity from-certificate

设备使用由本端证书中获得的身份信息参与数字签名认证功能开启状态。取值包括:

·     disable:设备使用由本端证书中获得的身份信息参与数字签名认证功能未开启

·     enable:设备使用由本端证书中获得的身份信息参与数字签名认证功能已开启

IKE keepalive timeout (seconds)

本端等待对端发送IKE Keepalive报文的超时时间

IKE keepalive interval (seconds)

通过IKE SA向对端发送IKE Keepalive报文的间隔

 

2.1.14  display ike proposal

display ike proposal命令用来显示所有IKE提议的配置信息。

【命令】

display ike proposal

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【使用指导】

IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。

【举例】

# 显示IKE提议的配置信息。

<Sysname> display ike proposal

 Priority Authentication Authentication Encryption  Diffie-Hellman Duration

              method       algorithm    algorithm       group      (seconds)

----------------------------------------------------------------------------

 1        RSA-SIG            MD5        DES-CBC     Group 1        5000

 11       PRE-SHARED-KEY     MD5        DES-CBC     Group 1        50000

 default  PRE-SHARED-KEY     SHA1       DES-CBC     Group 1        86400

表2-2 display ike proposal命令显示信息描述表

字段

描述

Priority

IKE提议的优先级

Authentication method

IKE提议使用的认证方法,包括:

·     DSA-SIG:DSA签名

·     ECDSA-SIG:ECDSA签名

·     PRE-SHARED-KEY:预共享密钥

·     RSA-DE:RSA数字信封

·     RSA-SIG:RSA签名

·     SM2-DE:SM2数字信封

Authentication algorithm

IKE提议使用的认证算法,包括:

·     MD5:HMAC-MD5算法

·     SHA1:HMAC-SHA1算法

·     SHA256:HMAC-SHA256算法

·     SHA384:HMAC-SHA384算法

·     SHA512:HMAC-SHA512算法

·     SM3:HMAC-SM3算法

Encryption algorithm

IKE提议使用的加密算法,包括:

·     3DES-CBC:168位CBC模式的3DES算法

·     AES-CBC-128:128位CBC模式的AES算法

·     AES-CBC-192:192位CBC模式的AES算法

·     AES-CBC-256:256位CBC模式的AES算法

·     DES-CBC:56位CBC模式的DES算法

·     SM1-CBC-128:128位CBC模式的SM1算法

·     SM4-CBC:128位CBC模式的SM4算法

Diffie-Hellman group

IKE阶段1密钥协商时所使用的DH密钥交换参数,包括:

·     Group 1:DH group1

·     Group 2:DH group2

·     Group 5:DH group5

·     Group 14:DH group14

·     Group 19:DH group19

·     Group 20:DH group20

·     Group 24:DH group24

Duration (seconds)

IKE提议中指定的IKE SA存活时间,单位为秒

 

【相关命令】

·     ike proposal

2.1.15  display ike sa

display ike sa命令用来显示当前IKE SA的信息。

【命令】

display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-instance-name ] ] | count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【参数】

verbose:显示当前IKE SA的详细信息。

connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。

remote-address:显示指定对端IP地址的IKE SA的详细信息。

ipv6:指定IPv6地址。

remote-address:对端的IP地址。

vpn-instance vpn-instance-name:显示指定VPN实例内的IKE SA的详细信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示的IKE SA属于公网。

count:显示IKE SA的数量。

【使用指导】

若不指定任何参数,则显示当前所有IKE SA的摘要信息。

【举例】

# 显示当前所有IKE SA的摘要信息。

<Sysname> display ike sa

    Connection-ID  Local        Remote          Flag        DOI

  ---------------------------------------------------------------

      1            10.1.1.2     202.38.0.2/500  RD          IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 显示当前所有IKE SA的摘要信息。‌

<Sysname> display ike sa

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

 ID       Profile   Remote              Flag      Remote-Type    Remote-ID

  ------------------------------------------------------------------------

 13       1         2.1.1.2             RD        IPV4_ADDR      2.1.1.2

表2-3 display ike sa命令显示信息描述表

字段

描述

Connection-ID

IKE SA的标识符

Local

此IKE SA的本端的IP地址

Remote

此IKE SA的对端的IP地址

Flags

IKE SA的状态,包括:

·     RD--READY:表示此IKE SA已建立成功

·     RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除

·     FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除

·     RK-REKEY:表示此IKE SA是Rekey SA

·     Unknown:表示IKE协商的状态未知‌

DOI

IKE SA所属解释域,包括:

·     IPsec:表示此IKE SA使用的DOI为IPsec DOI

ID

表示IKE SA的标识符

Profile

IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何IKE profile,则该字段不会显示任何KE profile名称

Remote-Type

对端安全网关的身份信息类型

Remote-ID

对端安全网关的身份信息

 

# 显示当前IKE SA的详细信息。

<Sysname> display ike sa verbose

    ---------------------------------------------

    Connection ID: 2

    Outside VPN: 1

    Inside VPN: 1

    Profile: prof1

    Transmitting entity: Initiator

    Initiator cookie: 1bcf453f0a217259

    Responder cookie: 5e32a74dfa66a0a4

    Output interface name: 2

    ---------------------------------------------

    Local IP/port: 4.4.4.4/500

    Local ID type: IPV4_ADDR

    Local ID: 4.4.4.4

 

    Remote IP/port: 4.4.4.5/500

    Remote ID type: IPV4_ADDR

    Remote ID: 4.4.4.5

 

    Authentication-method: PRE-SHARED-KEY

    Authentication-algorithm: SHA1

    Encryption-algorithm: AES-CBC-128

 

    Life duration(sec): 86400

    Remaining key duration(sec): 86379

    Exchange-mode: Main

    Diffie-Hellman group: Group 1

    NAT traversal: Not detected

 

    Extend authentication: Enabled

    Assigned IP address: 192.168.2.1

    Vendor ID index: 0xa1d

    Vendor ID sequence number: 0x0

# 显示目的地址为4.4.4.5的IKE SA的详细信息。

<Sysname> display ike sa verbose remote-address 4.4.4.5

    ---------------------------------------------

    Connection ID: 2

    Outside VPN: 1

    Inside VPN: 1

    Profile: prof1

    Transmitting entity: Initiator

    Initiator cookie: 1bcf453f0a217259

    Responder cookie: 5e32a74dfa66a0a4

    ---------------------------------------------

    Local IP/port: 4.4.4.4/500

    Local ID type: IPV4_ADDR

    Local ID: 4.4.4.4

 

    Remote IP/port: 4.4.4.5/500

    Remote ID type: IPV4_ADDR

    Remote ID: 4.4.4.5

 

    Authentication-method: PRE-SHARED-KEY

    Authentication-algorithm: SHA1

    Encryption-algorithm: AES-CBC-128

 

    Life duration(sec): 86400

    Remaining key duration(sec): 86379

    Exchange-mode: Main

    Diffie-Hellman group: Group 1

    NAT traversal: Not detected

 

    Extend authentication: Enabled

    Assigned IP address: 192.168.2.1

    Vendor ID index: 0xa1d

    Vendor ID sequence number: 0x0

表2-4 display ike sa verbose命令显示信息描述表

字段

描述

Connection ID

IKE SA的标识符

Outside VPN

接收报文的接口所属的MPLS L3VPN的VPN实例名称

Inside VPN

被保护数据所属的MPLS L3VPN的VPN实例名称

Profile

IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称

Transmitting entity

IKE协商中的实体角色,包括:

·     Initiator:发起方

·     Responder:响应方

Initiator cookie

IKE SA发起者Cookie

Responder cookie

IKE SA响应者Cookie

Output interface name

IKE协商报文的出接口名称

Local IP/port

本端安全网关的IP地址和端口号

Local ID type

本端安全网关的身份信息类型

Local ID

本端安全网关的身份信息

Remote IP/port

对端安全网关的IP地址和端口号

Remote ID type

对端安全网关的身份信息类型

Remote ID

对端安全网关的身份信息

Authentication-method

IKE提议使用的认证方法,包括:

·     DSA-SIG:DSA签名

·     ECDSA-SIG:ECDSA签名

·     PRE-SHARED-KEY:预共享密钥

·     RSA-DE:RSA数字信封

·     RSA-SIG:RSA签名

·     SM2-DE:SM2数字信封

Authentication-algorithm

IKE提议使用的认证算法,包括:

·     MD5:HMAC-MD5算法

·     SHA1:HMAC-SHA1算法

·     SHA256:HMAC-SHA256算法

·     SHA384:HMAC-SHA384算法

·     SHA512:HMAC-SHA512算法

·     SM3:HMAC-SM3算法

Encryption-algorithm

IKE提议使用的加密算法,包括:

·     3DES-CBC:168位CBC模式的3DES算法

·     AES-CBC-128:128位CBC模式的AES算法

·     AES-CBC-192:192位CBC模式的AES算法

·     AES-CBC-256:256位CBC模式的AES算法

·     DES-CBC:56位CBC模式的DES算法

·     SM1-CBC-128:128位CBC模式的SM1算法

·     SM4-CBC:128位CBC模式的SM4算法

Life duration(sec)

IKE SA的存活时间,单位为秒

Remaining key duration(sec)

IKE SA的剩余存活时间,单位为秒

Exchange-mode

IKE第一阶段的协商模式,包括:

·     Aggressive:野蛮模式

·     GM-main:国密主模式

·     Main:主模式

Diffie-Hellman group

IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括:

·     Group 1:DH group1

·     Group 2:DH group2

·     Group 5:DH group5

·     Group 14:DH group14

·     Group 19:DH group19

·     Group 20:DH group20

·     Group 24:DH group24

若IKE第一阶段协商模式为国密主模式,则不显示此字段

NAT traversal

是否检测到协商双方之间存在NAT网关设备

Extend authentication

是否开启扩展认证:

·     Enabled:开启

·     Disabled:关闭

Assigned IP address

本端分配给对端的IP地址,如果没有分配则不显示

Vendor ID index

触发IKE协商时,使用的厂商自定义常量索引

Vendor ID sequence number

触发IKE协商时,使用的厂商自定义常量序列号

 

# 显示当前IKE SA的数量。

<Sysname> display ike sa count

Total: 10

Established: 6

Negotiating: 4

表2-5 display ike sa count命令显示信息描述表

字段

描述

Total

所有IKE SA个数总和

Established

已经协商成功的IKE SA个数

Negotiating

正在协商的IKE SA个数

 

2.1.16  display ike statistics

display ike statistics命令用来显示IKE的统计信息。

【命令】

display ike statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

vsys-admin

vsys-operator

【举例】

# 显示IKE的统计信息。

<Sysname> display ike statistics

IKE statistics:

  No matching proposal: 0

  Invalid ID information: 0

  Unavailable certificate: 0

  Unsupported DOI: 0

  Unsupported situation: 0

  Invalid proposal syntax: 0

  Invalid SPI: 0

  Invalid protocol ID: 0

  Invalid certificate: 0

  Authentication failure: 0

  Invalid flags: 0

  Invalid message id: 0

  Invalid cookie: 0

  Invalid transform ID: 0

  Malformed payload: 0

  Invalid key information: 0

  Invalid hash information: 0

  Unsupported attribute: 0

  Unsupported certificate type: 0

  Invalid certificate authority: 0

  Invalid signature: 0

  Unsupported exchange type: 0

  No available SA: 1

  Retransmit timeout: 0

  Not enough memory: 0

  Enqueue fails: 0

  Failures to send R_U_THERE DPD packets: 0

  Failures to receive R_U_THERE DPD packets: 0

  Failures to send ACK DPD packets: 0

  Failures to receive ACK DPD packets: 0

  Sent P1 SA lifetime change packets: 0

  Received P1 SA lifetime change packets: total=0, process failures=0 (no SA=0, failures to reset SA soft lifetime=0, failures to reset SA hard lifetime=0)

  Sent P2 SA lifetime change packets: 0

  Received P2 SA lifetime change packets: total=0, process failures=0

  In packets: 0

  In dropped packets: 0

  Out packets: 0

  Out dropped packets: 0

  Packets enqueued: 0

  Packets processed: 0

表2-6 display ike statistics命令显示信息描述表

字段

描述

No matching proposal

提议不匹配

Invalid ID information

无效的ID信息

Unavailable certificate

本地未发现此证书

Unsupported DOI

不支持的DOI

Unsupported situation

不支持的形式

Invalid proposal syntax

无效的提议语法

Invalid SPI

无效的SPI

Invalid protocol ID

无效的协议ID

Invalid certificate

无效的证书

Authentication failure

认证失败

Invalid flags

无效的标记

Invalid message id

无效的消息ID

Invalid cookie

无效的cookie

Invalid transform ID

无效的transform ID

Malformed payload

畸形载荷

Invalid key information

无效的密钥信息

Invalid hash information

无效的hash信息

Unsupported attribute

不支持的属性

Unsupported certificate type

不支持的证书类型

Invalid certificate authority

无效的证书授权

Invalid signature

无效的签名

Unsupported exchange type

不支持的交换类型

No available SA

没有可用的SA

Retransmit timeout

重传超时

Not enough memory

内存不足

Enqueue fails

入队列失败

Failures to send R_U_THERE DPD packets

发送R_U_THERE类型DPD报文失败的次数

Failures to receive R_U_THERE DPD packets

接收R_U_THERE类型DPD报文失败的次数

Failures to send ACK DPD packets

发送DPD ACK报文失败的次数

Failures to receive ACK DPD packets

接收DPD ACK报文失败的次数

Sent P1 SA lifetime change packets

发送P1阶段改变生存周期的info类型报文的个数

Received P1 SA lifetime change packets: total=N, process failures=N (no SA=N, failures to reset SA soft lifetime=N, failures to reset SA hard lifetime=N)

接收P1阶段改变生存周期的info类型报文的个数

·     总个数

·     处理失败的个数

¡     因为没有sa记录的个数

¡     软超时定时器流程处理失败的个数

生存时间定时器流程处理失败的个数

Sent P2 SA lifetime change packets

发送P2阶段改变生存周期的info类型报文的个数

Received P2 SA lifetime change packets: total=N, process failures=N

接收P2阶段改变生存周期的info类型报文的个数

·     总个数

·     处理失败的个数

In packets

设备接收的IKE报文总数,由于报文尚未解析,因此包括IKEv1和IKEv2报文

In dropped packets

设备接收报文时,丢弃的报文总数

Out packets

设备发送的报文总数

Out dropped packets

设备发送报文时,丢弃的报文总数

Packets enqueued

等待处理的报文总数

Packets processed

当前已处理的报文总数

 

【相关命令】

·     reset ike statistics

2.1.17  dpd

dpd命令用来配置IKE DPD功能。

undo dpd命令用来关闭IKE DPD功能。

【命令】

dpd interval interval [ retry seconds ] { on-demand | periodic }

undo dpd interval

【缺省情况】

IKE DPD功能处于关闭状态。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。

retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。

on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。

periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。

【使用指导】

IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。

如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。

建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。

【举例】

# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand

【相关命令】

·     ike dpd

2.1.18  encryption-algorithm

encryption-algorithm命令用来指定IKE提议使用的加密算法。

undo encryption-algorithm命令用来恢复缺省情况。

【命令】

encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | sm1-cbc-128 | sm4-cbc }

undo encryption-algorithm

【缺省情况】

IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。

aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。

aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。

aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。

des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。

sm1-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,SM1算法采用128比特的密钥进行加密。

sm4-cbc:指定IKE安全提议采用的加密算法为CBC模式的SM4算法,SM4算法采用128比特的密钥进行加密。

【举例】

# 指定IKE提议1的加密算法为128比特的CBC模式的AES。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128

【相关命令】

·     display ike proposal

2.1.19  exchange-mode

exchange-mode命令用来选择IKE第一阶段的协商模式。

undo exchange-mode命令用来恢复缺省情况。

【命令】

exchange-mode { aggressive | gm-main | main }

undo exchange-mode

【缺省情况】

IKE第一阶段的协商模式为主模式。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

aggressive:野蛮模式。

gm-main:国密主模式。

main:主模式。

【使用指导】

当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。

本端的协商模式配置为国密主模式,必须使用RSA-DE或者SM2-DE数字信封方式认证。

本端作为响应方时,将自动适配发起方的协商模式。

【举例】

# 配置IKE第一阶段协商使用国密主模式。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] exchange-mode gm-main

# 配置IKE第一阶段协商使用主模式。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] exchange-mode main

【相关命令】

·     display ike proposal

2.1.20  ike address-group

ike address-group命令用来配置为对端分配IPv4地址的IKE本地地址池。

undo ike address-group命令用来删除指定的IKE本地地址池。

【命令】

ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]

undo ike address-group group-name

【缺省情况】

未配置IKE本地IPv4地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。

start-ipv4-address end-ipv4-address:IPv4地址池的地址范围。其中,start-ipv4-address为IPv4地址池的起始地址,end-ipv4-address为IPv4地址池的结束地址。

mask:IPv4地址掩码。

mask-length:IPv4地址掩码长度。

【使用指导】

每个地址池中包括的IPv4地址的最大数目为30000。

如果修改或者删除地址池,则需要删除所有的IKE SA和IPsec SA,否则,可能会导致已经分配的地址无法回收。

【举例】

# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。

<Sysname> system-view

[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0

# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。

<Sysname> system-view

[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32

【相关命令】

·     aaa authorization

2.1.21  ike compatible-gm-main enable

ike compatible-gm-main enable命令用来配置IKE协商国密主模式与老版本设备兼容。

undo ike compatible-gm-main enable命令用来恢复缺省情况。

【命令】

ike compatible-gm-main enable

undo ike compatible-gm-main enable

【缺省情况】

IKE协商国密主模式与现有版本设备及第三方设备兼容。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

同一时间,设备的IKE协商国密主模式只能兼容老版本设备,或兼容现有版本和第三方设备。

【举例】

# 配置IKE协商国密主模式与老版本设备兼容。

<Sysname> system-view

[Sysname] ike compatible-gm-main enable

2.1.22  ike compatible-sm4 enable

ike compatible-sm4 enable命令用来设置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。

undo ike compatible-sm4 enable命令用来恢复缺省情况。

【命令】

ike compatible-sm4 enable

undo ike compatible-sm4 enable

【缺省情况】

IKE协商过程中使用的sm4-cbc算法的密钥长度不兼容老版本。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

【举例】

# 配置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。

<Sysname> system-view

[Sysname] ike compatible-sm4 enable

2.1.23  ike dpd

ike dpd命令用来配置全局IKE DPD功能。

undo ike dpd命令用来关闭全局IKE DPD功能。

【命令】

ike dpd interval interval [ retry seconds ] { on-demand | periodic }

undo ike dpd interval

【缺省情况】

全局IKE DPD功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。

retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。

on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。

periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。

【使用指导】

IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。

如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。

建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。

<Sysname> system-view

[Sysname] ike dpd interval 10 retry 5 on-demand

【相关命令】

·     dpd

2.1.24  ike dual-active address-alloc

ike dual-active address-alloc命令用来指定HA中主、从管理设备可以使用的IKE地址池范围。

undo ike dual-active address-alloc命令用来恢复缺省情况。

【命令】

ike dual-active address-alloc { primary | secondary }

undo ike dual-active address-alloc

【缺省情况】

HA中的主、从管理设备共用IKE地址池资源。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

primary:使用IKE地址池中的前半段地址。

secondary:使用IKE地址池中的后半段地址。

【使用指导】

非缺省vSystem不支持本命令。

注意

配置或修改本命令均会导致使用了IKE地址池中地址的IKE SA及其对应的IPsec SA被删除,请谨慎操作。

 

应用场景

在双主模式的HA组网中,主、备设备同时处理业务,如果使用了相同的IKE本地地址池为对端分配地址,则会出现客户端地址冲突问题。

为了避免以上情况的发生,需要在主、从管理设备上分别配置可以使用的IKE地址池范围。例如,在HA主管理设备上配置ike dual-active address-alloc primary命令,使得HA主管理设备仅可以使用全部IKE地址池中的前半段地址;在HA从管理设备上配置ike dual-active address-alloc secondary命令,使得HA从管理设备仅可以使用全部IKE地址池中的后半段地址。有关HA的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。

注意事项

在主备模式的HA组网中,仅一台设备处理业务,不会出现IKE地址池中地址分配冲突,因此无需配置本功能,若配置了本功能将会导致部分地址无法使用。

配置本功能时,需要保证IKE地址池中的地址数量不少于两个,否则可能会导致设备无法为对端分配地址。

【举例】

# 在HA双主组网环境中指定主管理设备使用IKE地址池中的前半段地址。

<Sysname> system-view

[Sysname] ike dual-active address-alloc primary

Please ensure that no addresses have been assigned from address pools to IKE SAs.

The commmand will cause the IKE SAs with the assigned addresses to be deleted.

Continue?[Y/N]y

【相关命令】

·     ike address-group

·     ike ipv6-address-group

2.1.25  ike gd-quantum

ike gd-quantum命令用来开启国盾量子加密功能,并进入IKE GDQUANTUM视图。

undo ike gd-quantum命令用来关闭国盾量子加密功能。

【命令】

ike gd-quantum

undo ike gd-quantum

【缺省情况】

国盾量子加密功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启国盾量子加密功能后,IPsec将使用国盾量子服务器提供的对称密钥,对需要IPsec保护的数据进行加密保护,进一步提升IPsec业务的安全性。

设备从国盾量子服务器获取密钥的过程如下:

(1)     连接国盾量子服务器:IKE GDQUANTUM视图下的所有命令配置完成后,设备将与指定的国盾量子服务器建立连接。

(2)     登录国盾量子服务器:建立连接后,设备将向国盾量子服务器发送登录请求,并携带唯一入网标识和身份认证密钥,只有上述参数验证无误后,才能成功登录国盾量子服务器。

(3)     获取国盾量子密钥:登录成功后,设备将在IKE一阶段协商完成后,向国盾量子服务器获取经过加密的量子密钥,然后再通过设备上配置的解密密钥进行解密,最终得到供IPsec使用的量子密钥。

开启国盾量子加密功能的同时,将进入IKE GDQUANTUM视图,该视图用于配置国盾量子服务器的IP地址和端口号、国盾量子服务器为设备分配的唯一入网标识和身份认证密钥,以及国盾量子密钥的解密密钥。

【举例】

# 开启国盾量子加密功能,并进入IKE GDQUANTUM视图。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum]

2.1.26  ike gm-main global-ike-version

ike gm-main global-ike-version命令用来配置IKE国密主模式协商时使用的全局国密IKE协议版本号。

undo ike gm-main global-ike-version命令用来恢复缺省情况。

【命令】

ike gm-main global-ike-version { 1.0 | 1.1 }

undo ike gm-main global-ike-version

【缺省情况】

IKE国密主模式协商时使用的全局国密IKE协议版本号为1.1。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

1.0:指定全局国密IKE协议版本号为1.0,即采用2008年发布的IPsec VPN技术规范。

1.1:指定全局国密IKE协议版本号为1.1,即采用GM/T 0022-2014 IPsec VPN技术规范。

【使用指导】

设备作为发起方与其他厂家设备进行IKE协商时,如果两端设备支持的国密IKE协议版本存在差异,需要通过本命令指定国密IKE协议版本号,保证两端设备使用相同版本的国密IKE协议进行协商。

本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。

当系统视图和IKE profile视图下均配置了国密IKE协议版本号,则以IKE profile视图下的配置为准。

【举例】

# 配置IKE国密主模式协商时使用的全局国密IKE协议版本号为1.0。

<Sysname> system-view

[Sysname] ike gm-main global-ike-version 1.0

【相关命令】

·     ike gm-main ike-version

2.1.27  ike gm-main ike-version

ike gm-main ike-version命令用来配置IKE国密主模式协商时使用的国密IKE协议版本号。

undo ike gm-main ike-version命令用来恢复缺省情况。

【命令】

ike gm-main ike-version { 1.0 | 1.1 }

undo ike gm-main ike-version

【缺省情况】

国密IKE协议版本号与全局配置的国密IKE协议版本号一致。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

1.0:指定国密IKE协议版本号为1.0,即采用2008年发布的IPsec VPN技术规范。

1.1:指定国密IKE协议版本号为1.1,即采用GM/T 0022-2014 IPsec VPN技术规范。

【使用指导】

设备作为发起方与其他厂家设备进行IKE协商时,如果两端设备支持的国密IKE协议版本存在差异,需要通过本命令指定国密IKE协议版本号,保证两端设备使用相同版本的国密IKE协议进行协商。

本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。

当系统视图和IKE profile视图下均配置了国密IKE协议版本号,则以IKE profile视图下的配置为准。

【举例】

# 在IKE profile视图下,配置IKE国密主模式协商时使用的国密IKE协议版本号为1.0。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] ike gm-main ike-version 1.0

【相关命令】

·     ike gm-main global-ike-version

2.1.28  ike gm-main sm4-version

ike gm-main sm4-version命令用来配置IKE国密主模式协商时使用的SM4算法版本。

undo ike gm-main sm4-version命令用来恢复缺省情况。

【命令】

ike gm-main sm4-version { draft | standard }

undo ike gm-main sm4-version

【缺省情况】

IKE国密主模式协商时使用的SM4算法版本为standard

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

draft:指定SM4算法的版本为草案版本,SM4算法的属性值为127。

standard:指定SM4算法的版本为标准版本,SM4算法的属性值为129。

【使用指导】

由于SM4算法的版本存在差异,设备作为发起方与其他厂家设备进行IKE协商时,需要通过本命令指定SM4算法版本,保证两端设备使用相同版本的SM4算法进行协商。

本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。

【举例】

# 在IKE profile视图下,配置IKE国密主模式协商时使用的SM4算法版本为draft,即草案版本。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] ike gm-main sm4-version draft

2.1.29  ike identity

ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。

undo ike identity命令用来恢复缺省情况。

【命令】

ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }

undo ike identity

【缺省情况】

使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。

dn:使用从数字证书中获得的DN名作为本端身份。

fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。

user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。

【使用指导】

本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。

如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。

如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。

野蛮模式下,如果本端的认证方式为数字签名方式,且配置的本端身份为DN名,则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商,则必须在系统视图下配置ike signature-identity from-certificate命令。

【举例】

# 指定使用IP地址2.2.2.2标识本端身份。

<sysname> system-view

[sysname] ike identity address 2.2.2.2

【相关命令】

·     local-identity

·     ike signature-identity from-certificate

2.1.30  ike invalid-spi-recovery enable

ike invalid-spi-recovery enable命令用来开启针对无效IPsec SPI的IKE SA恢复功能。

undo ike invalid-spi-recovery enable命令用来关闭针对无效IPsec SPI的IKE SA恢复功能。

【命令】

ike invalid-spi-recovery enable

undo ike invalid-spi-recovery enable

【缺省情况】

针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

在ADVPN组网环境下,不支持本功能,有关ADVPN的详细介绍,请参见“三层技术-IP业务配置指导”中的“ADVPN”。

当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致本端IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经完全丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收到发送端使用此IPsec SA封装的IPsec报文时,就会因为找不到对应的SA而持续丢弃报文,形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复(只有等到发送端旧的IPsec SA生存时间超时,并重建IPsec SA后,两端的IPsec流量才能得以恢复),因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。

SA由SPI唯一标识,接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA,若接收方找不到处理该报文的IPsec SA,则认为此报文的SPI无效。如果接收端当前存在IKE SA,则会向对端发送删除对应IPsec SA的通知消息,发送端IKE接收到此通知消息后,就会立即删除此无效SPI对应的IPsec SA。之后,当发送端需要继续向接收端发送报文时,就会触发两端重建IPsec SA,使得中断的IPsec通信链路得以恢复;如果接收端当前不存在IKE SA,就不会触发本端向对端发送删除IPsec SA的通知消息,接收端将默认丢弃无效SPI的IPsec 报文,使得链路无法恢复。后一种情况下,如果开启了IPsec无效SPI恢复IKE SA功能,就会触发本端与对端协商新的IKE SA并发送删除消息给对端,从而使链路恢复正常。

由于开启此功能后,若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备,会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS(Denial of Service)攻击的风险,通常情况下,建议关闭针对无效IPsec SPI的IKE SA恢复功能。

【举例】

# 开启IPsec无效SPI恢复IKE SA功能。

<Sysname> system-view

[Sysname] ike invalid-spi-recovery enable

2.1.31  ike ipv6-address-group

ike ipv6-address-group命令用来创建IKE本地IPv6地址池。

undo ike ipv6-address-group命令用来删除指定的地址池。

【命令】

ike ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len

undo ike ipv6-address-group group-name

【缺省情况】

不存在IKE本地IPv6地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。

prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。

assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为1~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。

【使用指导】

本命令创建的地址池用来为对端分配IPv6地址。与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。

所有IKE本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。

【举例】

# 创建IKE本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。

<Sysname> system-view

[Sysname] ike ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80

【相关命令】

·     aaa authorization

2.1.32  ike keepalive interval

ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。

undo ike keepalive interval命令用来恢复缺省情况。

【命令】

ike keepalive interval interval

undo ike keepalive interval

【缺省情况】

不向对端发送IKE Keepalive报文。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interval:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。

【使用指导】

当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。

本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。

【举例】

# 配置本端向对端发送Keepalive报文的时间间隔为200秒。

<Sysname> system-view

[Sysname] ike keepalive interval 200

【相关命令】

·     ike keepalive timeout

2.1.33  ike keepalive timeout

ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。

undo ike keepalive timeout命令用来恢复缺省情况。

【命令】

ike keepalive timeout seconds

undo ike keepalive timeout

【缺省情况】

未配置本端等待对端发送IKE Keepalive报文的超时时间。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。

【使用指导】

当本端IKE SA在配置的超时时间内未收到IKE Keepalive报文时,则删除该IKE SA以及由其协商的IPsec SA。

本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。

【举例】

# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。

<Sysname> system-view

[Sysname] ike keepalive timeout 20

【相关命令】

·     ike keepalive interval

2.1.34  ike keychain

ike keychain命令用来创建IKE keychain,并进入IKE keychain视图。如果指定的IKE keychain已经存在,则直接进入IKE keychain视图。

undo ike keychain命令用来删除指定的IKE keychain。

【命令】

ike keychain keychain-name [ vpn-instance vpn-instance-name ]

undo ike keychain keychain-name [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在IKE keychain。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keychain-name:IKE keychain的名称,为1~63个字符的字符串,不区分大小写。

vpn-instance vpn-instance-name:指定IKE keychain所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示IKE keychain属于公网。

【使用指导】

在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。

【举例】

# 创建IKE keychain key1并进入IKE keychain视图。

<Sysname> system-view

[Sysname] ike keychain key1

[Sysname-ike-keychain-key1]

【相关命令】

·     authentication-method

·     pre-shared-key

2.1.35  ike limit

ike limit命令用来配置对本端IKE SA数目的限制。

undo ike limit命令用来恢复缺省情况。

【命令】

ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }

undo ike limit { max-negotiating-sa | max-sa }

【缺省情况】

同时处于协商状态的IKE SA和IPsec SA的最大总和数为200,不限制非协商状态的IKE SA数目。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。

max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999。

【使用指导】

非缺省vSystem不支持本命令。

可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。

可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。

【举例】

# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。

<Sysname> system-view

[Sysname] ike limit max-negotiating-sa 200

# 配置本端允许成功建立的IKE SA的最大数为5000。

<Sysname> system-view

[Sysname] ike limit max-sa 5000

2.1.36  ike logging negotiation enable

ike logging negotiation enable命令用来开启IKE协商事件日志功能。

undo ike logging negotiation enable命令用来关闭IKE协商事件日志功能。

【命令】

ike logging negotiation enable

undo ike logging negotiation enable

【缺省情况】

IKE协商事件日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

开启IKE协商事件日志记录功能后,设备会输出IKE协商过程中的相关日志。

【举例】

# 开启IKE事件协商日志功能。

<Sysname> system-view

[Sysname] ike logging negotiation enable

2.1.37  ike nat-keepalive

ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。

undo ike nat-keepalive命令用来恢复缺省情况。

【命令】

ike nat-keepalive seconds

undo ike nat-keepalive

【缺省情况】

向对端发送NAT Keepalive报文的时间间隔为20秒。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。

【使用指导】

该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。

因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。关于如何查看NAT表项的存活时间,请参见“NAT命令参考”。

【举例】

# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。

<Sysname> system-view

[Sysname] ike nat-keepalive 5

2.1.38  ike profile

ike profile命令用来创建一个IKE profile,并进入IKE profile视图。如果指定的IKE profile已经存在,则直接进入IKE profile视图。

undo ike profile命令用来删除指定的IKE profile。

【命令】      

ike profile profile-name

undo ike profile profile-name

【缺省情况】

不存在IKE profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 创建IKE profile 1,并进入其视图。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1]

2.1.39  ike proposal

ike proposal命令用来创建IKE提议,并进入IKE提议视图。如果指定的IKE提议已经存在,则直接进入IKE提议视图。

undo ike proposal命令用来删除指定IKE提议。

【命令】

ike proposal proposal-number

undo ike proposal proposal-number

【缺省情况】

系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:

·     加密算法:DES-CBC

·     认证算法:HMAC-SHA1

·     认证方法:预共享密钥

·     DH密钥交换参数:group1

·     IKE SA存活时间:86400秒

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。

【使用指导】

在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。

响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。

【举例】

# 创建IKE提议1,并进入IKE提议视图。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1]

【相关命令】

·     display ike proposal

2.1.40  ike signature-identity from-certificate

ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。

undo ike signature-identity from-certificate命令用来恢复缺省情况。

【命令】

ike signature-identity from-certificate

undo ike signature-identity from-certificate

【缺省情况】

当使用数字签名认证方式时,本端身份信息由local-identityike identity命令指定。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【使用指导】

当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identityike identity如何配置。

在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。

如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。

【举例】

# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。

<Sysname> system-view

[sysname] ike signature-identity from-certificate

【相关命令】

·     local-identity

·     ike identity

2.1.41  inside-vpn

inside-vpn 命令用来指定内部VPN实例。

undo inside-vpn 命令用来恢复缺省情况。

【命令】

inside-vpn vpn-instance vpn-instance-name

undo inside-vpn

【缺省情况】

IKE profile未指定内部VPN实例,设备在收到IPsec报文的接口所属的VPN中查找路由。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

vpn-instance vpn-instance-name:保护的数据属于指定的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【使用指导】

非缺省vSystem不支持本命令。

当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个MPLS L3VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN中查找路由。如果不希望在与外网相同的VPN中查找路由去转发解封装后的报文,则可以通过此命令指定一个内部VPN实例,指定设备通过查找该内部VPN实例中的路由来转发解封装后的报文。

本命令仅对引用了IKE profile的IPsec安全策略生效,对引用了IKE profile 的IPsec安全框架不生效。

【举例】

# 在IKE profile prof1中指定内部VPN实例为vpn1。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1

2.1.42  keychain

keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。

undo keychain命令用取消指定的IKE keychain。

【命令】

keychain keychain-name

undo keychain keychain-name

【缺省情况】

未指定采用预共享密钥认证时使用的IKE keychain。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

keychain-name:IKE keychain名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。

【举例】

# 在IKE profile 1中指定名称为abc的配置的IKE keychain。

<Sysname> system-view

[Sysname] ike profile 1

[Sysname-ike-profile-1] keychain abc

【相关命令】

·     ike keychain

2.1.43  local-identity

local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。

undo local-identity命令用来恢复缺省情况。

【命令】

local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }

undo local-identity

【缺省情况】

未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address { ipv4-address | ipv6 ipv6-address } :指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。

dn:使用从本端数字证书中获得的DN名作为本端身份。

fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如test.example.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。

user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如[email protected]。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。

【使用指导】

如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。

如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。

野蛮模式下,如果本端的认证方式为数字签名方式,且配置的本端身份为DN名,则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商,则必须在系统视图下配置ike signature-identity from-certificate命令。

响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。

一个IKE profile中只能配置一条本端身份信息。

IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。

【举例】

# 指定使用IP地址2.2.2.2标识本端身份。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] local-identity address 2.2.2.2

【相关命令】

·     match remote

·     ike identity

·     ike signature-identity from-certificate

2.1.44  match local address (IKE keychain view)

match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。

undo match local address命令用来恢复缺省情况。

【命令】

match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo match local address

【缺省情况】

未限制IKE keychain的使用范围。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interface-type interface-number:本端接口名称。可以是任意的三层接口。

ipv4-address:本端接口的IPv4地址。

ipv6 ipv6-address:本端接口的IPv6地址。

vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。

【使用指导】

此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。

一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用keychain B与对端协商,可以配置keychain B在指定地址3.3.3.3的接口上使用。

【举例】

# 创建IKE keychain,名称为key1。

<Sysname> system-view

[Sysname] ike keychain key1

# 限制IKE keychain key1只能在2.2.2.1的IP地址上使用。

[sysname-ike-keychain-key1] match local address 2.2.2.1

# 限制IKE keychain key1只能在名称为vpn1的VPN实例中IP地址为2.2.2.2的接口上使用。

[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1

2.1.45  match local address (IKE profile view)

match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。

undo match local address命令用来恢复缺省情况。

【命令】

match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo match local address

【缺省情况】

未限制IKE profile的使用范围。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

interface-type interface-number:本端接口名称。可以是任意三层接口。

ipv4-address:本端接口IPv4地址。

ipv6 ipv6-address:本端接口IPv6地址。

vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。

【使用指导】

此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。

先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。

【举例】

# 创建IKE profile,名称为prof1。

<Sysname> system-view

[Sysname] ike profile prof1

# 限制IKE profile prof1 只能在2.2.2.1的IP地址上使用。

[sysname-ike-profile-prof1] match local address 2.2.2.1

# 限制IKE profile prof1 只能在名称为vpn1的VPN中IP地址为2.2.2.2的接口上使用。

[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1

2.1.46  match remote

match remote命令用来配置一条用于匹配对端身份的规则。

undo match remote命令用来删除一条用于匹配对端身份的规则。

【命令】

match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | hostname host-name | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }

undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | hostname host-name | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }

【缺省情况】

未配置用于匹配对端身份的规则。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。

identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。

address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。

address hostname host-name:对端主机名。其中,host-name为1~253个字符的字符串,不区分大小写。

address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。

address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。

address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。

fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。

user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如[email protected]

domain fqdn-domain-name:对端FQDN域名,为1~255个字符的字符串,区分大小写,例如:test.example.com。

vpn-instance vpn-instance-name:指定对端地址所属的VPN实例,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示对端地址属于公网。

【使用指导】

响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份。

响应方必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。

以address方式设置match remote规则时,对于主机名方式的对端地址,地址更新的查询过程有所不同。

·     若此处指定对端主机名由支持DDNS功能的DNS服务器来解析,则本端向DNS服务器查询主机名对应的IP地址,当对端主机发生变化时,对端主机将作为DDNS客户端,向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求,DDNS服务器再通知DNS服务器更新域名解析表项,从而保证本端通过域名解析得到正确的对端IP地址。

·     若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则本地更改此主机名对应的IP地址(通过ip host命令配置)之后,在旧的域名解析表项老化之后,本端解析到的对端IP地址将为更改后的IP地址。

例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:

# 在IKE profile profile1中指定address方式match remote规则的对端主机名为test。

[Sysname] ike profile profile1

[Sysname-ike-profile-profile1] match remote identity address hostname test

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

则,本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。有关域名解析的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。

match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。

【举例】

# 创建IKE profile,名称为prof1。

<Sysname> system-view

[Sysname] ike profile prof1

# 指定需要匹配对端身份类型为FQDN,取值为test.example.com。

[Sysname-ike-profile-prof1] match remote identity fqdn test.example.com

# 指定需要匹配对端身份类型为IP地址,取值为test。

[Sysname-ike-profile-prof1] match remote identity address hostname test

# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。

[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1

【相关命令】

·     local-identity

2.1.47  match remote address

match remote address命令用来配置使用IKE profile的对端地址。

undo match remote address命令用来恢复缺省情况。

【命令】

match remote address { ipv4-address | dynamic | ipv6 ipv6-address }

undo match remote address

【缺省情况】

未配置使用IKE profile的对端地址。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address ipv4-address:指定对端IPv4地址。

dynamic:对端IP地址动态变化。

address ipv6 ipv6-address:指定对端IPv6地址。

【使用指导】

在主模式下,当进行IKE一阶段协商时,响应方使用身份载荷匹配IKE profile,但是身份载荷只在IKE一阶段的最后加密发送,响应方无法在协商开始时就确定本次协商所使用的IKE profile,可能会造成IKE profile使用错误。

使用本命令指定IKE profile用于协商的对端地址,配合match local address命令配置本端地址或接口上的地址,使响应方能够在收到第一条IKE协商报文时,通过报文头中的地址信息,确定本次协商所使用的IKE profile,而不必等到后续携带身份载荷的协商报文到来时再匹配。

需要正确地配置本命令,当对端地址动态变化时,可以配置match remote address dynamic命令。

当两个IKE profile的match remote addressmatch local address都能匹配本次协商时,按照IKE profile的优先级匹配,相同优先级的按照配置顺序匹配。

本命令需要和match local address配合使用,单独配置本命令不生效。

本命令与match remote certificatematch remote identity不同,每个IKE profile仅可配置一条。

本配置对于协商发起方不生效。

【举例】

# 配置使用ike profile prof1的对端网关地址为10.0.0.2。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] match remote address 10.0.0.2

【相关命令】

·     ike proposal

·     match local address

2.1.48  pre-shared-key

pre-shared-key命令用来配置预共享密钥。

undo pre-shared-key命令用来取消指定的预共享密钥。

【命令】

pre-shared-key { address { ipv4-address [ mask | mask-length ] | hostname host-name | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string

undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | hostname host-name | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }

【缺省情况】

未配置预共享密钥。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

address ipv4-address:对端的IPv4地址。

address ipv4-address mask:对端的IPv4地址掩码,缺省值为255.255.255.255。

address ipv4-address mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。

address hostname host-name:对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DDNS服务器或本地配置的静态域名解析(通过ip host命令配置)解析为IP地址。

address ipv6:指定对端的IPv6地址。

address ipv6 ipv6-address:对端的IPv6地址。

address ipv6 prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。

hostname host-name:对端FQDN名称。取值范围为1~255,区分大小写。

key:设置的预共享密钥。

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。

【使用指导】

配置预共享密钥的同时,还可以通过参数addresshostname指定使用该预共享密钥的匹配条件,只有当对端的IP地址或对端的FQDN名称与本命令配置的条件匹配时,IKE协商才可以使用该预共享密钥。

以address方式设置预共享密钥时,对于主机名方式的对端地址,地址更新的查询过程有所不同。

·     若此处指定对端主机名由支持DDNS功能的DNS服务器来解析,则本端向DNS服务器查询主机名对应的IP地址,当对端主机发生变化时,对端主机将作为DDNS客户端,向DDNS服务器发送更新域名和IP地址对应关系的DDNS更新请求,DDNS服务器再通知DNS服务器更新域名解析表项,从而保证本端通过域名解析得到正确的对端IP地址。

·     若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则本地更改此主机名对应的IP地址(通过ip host命令配置)之后,在旧的域名解析表项老化之后,本端解析到的对端IP地址将为更改后的IP地址。

例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:

# 在IKE keychain keychain1中指定address方式预共享密钥的对端主机名为test。

[Sysname] ike keychain keychain1

[Sysname-ike-keychain-keychain1] pre-shared-key address hostname test key simple 123456

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

则,本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。有关域名解析的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。

hostname方式设置预共享密钥时,IKE协商只能采用野蛮模式,设备本身只能作为响应方,且对端IKE身份ID需采用FQDN方式来匹配主机名。

IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。

【举例】

# 创建IKE keychain key1并进入IKE keychain视图。

<Sysname> system-view

[Sysname] ike keychain key1

# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。

[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!

# 配置与主机名为test的对端协商IKE SA时,使用的预共享密钥为明文1234TESTplat&!。

[Sysname-ike-keychain-key1] pre-shared-key address hostname test key simple 1234TESTplat&!

【相关命令】

·     authentication-method

·     keychain

2.1.49  priority (IKE keychain view)

priority命令用来指定IKE keychain的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKE keychain的优先级为100。

【视图】

IKE keychain视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

priority priority:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。

【使用指导】

配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。

【举例】

# 指定IKE keychain key1的优先级为10。

<Sysname> system-view

[Sysname] ike keychain key1

[Sysname-ike-keychain-key1] priority 10

2.1.50  priority (IKE profile view)

priority 命令用来指定IKE profile的优先级。

undo priority 命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKE profile的优先级为100。

【视图】

IKE-Profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

priority priority:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。

【使用指导】

配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。

【举例】

# 指定在IKE profile prof1的优先级为10。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] priority 10

2.1.51  proposal

proposal 命令用来配置IKE profile引用的IKE提议。

undo proposal 命令用来恢复缺省情况。

【命令】

proposal proposal-number&<1-6>

undo proposal

【缺省情况】

IKE profile未引用IKE提议,使用系统视图下配置的IKE提议进行IKE协商。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。

【使用指导】

IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。

【举例】

# 设置IKE profile prof1引用序号为10的IKE安全提议。

<Sysname> system-view

[Sysname] ike profile prof1

[Sysname-ike-profile-prof1] proposal 10

【相关命令】

·     ike proposal

2.1.52  reset ike sa

reset ike sa命令用来清除IKE SA。

【命令】

reset ike sa [ connection-id connection-id ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。

【使用指导】

删除IKE SA时,会向对端发送删除通知消息。

【举例】

# 查看当前的IKE SA。

<Sysname> display ike sa

    Connection-ID  Remote            Flag        DOI

  ----------------------------------------------------------

      1            202.38.0.2        RD          IPsec

      2            202.38.0.3        RD          IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# 清除连接ID号为2 的IKE SA。

<Sysname> reset ike sa connection-id 2

# 查看当前的IKE SA。

<Sysname> display ike sa

    Connection-ID  Remote            Flag        DOI

  ----------------------------------------------------------

      1            202.38.0.2        RD          IPsec

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

2.1.53  reset ike statistics

reset ike statistics命令用于清除IKE的MIB统计信息。

【命令】      

reset ike statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【举例】

# 清除IKE的MIB统计信息。

<Sysname> reset ike statistics

【相关命令】

·     snmp-agent trap enable ike

2.1.54  sa duration

sa duration命令用来指定一个IKE提议的IKE SA存活时间。

undo sa duration命令用来恢复缺省情况。

【命令】

sa duration seconds

undo sa duration

【缺省情况】

IKE提议的IKE SA存活时间为86400秒。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。

【使用指导】

在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。

如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。

若配置中同时存在IPsec SA存活时间,则建议IKE SA存活时间大于IPsec SA存活时间。

【举例】

# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] sa duration 600

【相关命令】

·     display ike proposal

2.1.55  sa soft-duration buffer

sa soft-duration buffer命令用来设置IKE SA的软超时缓冲时间。

undo sa soft-duration buffer命令用来恢复缺省情况。

【命令】

sa soft-duration buffer seconds

undo sa soft-duration buffer

【缺省情况】

未配置IKE SA的软超时缓冲时间。

【视图】

IKE profile视图

【缺省用户角色】

network-admin

context-admin

vsys-admin

【参数】

seconds:IKE SA的软超时缓冲时间,取值范围为10~36000,单位为秒。

【使用指导】

本命令只对IKEv1有效。

若未配置软超时缓冲时间,则系统会基于IKE SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IKE SA协商。

需要注意的是,在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于10秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。

【举例】

# 设置IKE SA的软超时缓冲时间为600秒。

<Sysname> system-view

[Sysname] ike profile abc

[Sysname-ike-profile-abc] sa soft-duration buffer 600

【相关命令】

·     display ike sa

2.1.56  server-address

server-address命令用来指定国盾量子服务器的IP地址和端口号。

undo server-address命令用来恢复缺省情况。

【命令】

server-address ip-address [ port port-number ]

undo server-address

【缺省情况】

未指定国盾量子服务器的IP地址和端口号。

【视图】

IKE GDQUANTUM视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:国盾量子服务器的IPv4地址。

port port-number:指定国盾量子服务器的端口号,取值范围为1~65535,缺省值为8013。

【使用指导】

非缺省vSystem不支持本命令。

设备将与此命令指定的国盾量子服务器进行信息交互,从而获取量子密钥。管理员需要根据国盾量子服务器的实际IP地址和端口号进行配置。

修改本命令对设备与国盾量子服务器已建立的连接不影响。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 指定国盾量子服务器的IP地址为192.168.0.111,端口号为5656。

<Sysname> system-view

[Sysname] ike gd-quantum

[Sysname-ike-gdquantum] server-address 192.168.0.111 port 5656

2.1.57  snmp-agent trap enable ike

snmp-agent trap enable ike命令用来开启IKE的告警功能。

undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。

【命令】      

snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *

undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *

【缺省情况】

IKE的所有告警功能均处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

attr-not-support:表示属性参数不支持时的告警功能。

auth-failure:表示认证失败时的告警功能。

cert-type-unsupport:表示证书类型不支持时的告警功能。

cert-unavailable:表示无法获取证书时的告警功能。

decrypt-failure:表示解密失败时的告警功能。

encrypt-failure:表示加密失败时的告警功能。

global:表示全局告警功能。

invalid-cert-auth:表示证书认证无效时的告警功能。

invalid-cookie:表示cookie无效时的告警功能。

invalid-id:表示身份信息无效时的告警功能。

invalid-proposal:表示IKE提议无效时的告警功能。

invalid-protocol:表示安全协议无效时的告警功能。

invalid-sign:表示证书签名无效时的告警功能。

no-sa-failure:表示无法查到SA时的告警功能。

proposal-add:表示添加IKE提议时的告警功能。

proposal-delete:表示删除IKE提议时的告警功能。

tunnel-start:表示创建IKE隧道时的告警功能。

tunnel-stop:表示删除IKE隧道时的告警功能。

unsupport-exch-type:表示协商类型不支持时的告警功能。

【使用指导】

非缺省vSystem不支持本命令。

如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。

如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。

【举例】

# 开启全局IKE告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable ike global

# 开启创建IKE 隧道时的告警功能。

[Sysname] snmp-agent trap enable ike tunnel-start


 

3 IKEv2

3.1  IKEv2配置命令

3.1.1  aaa authorization

aaa authorization命令用来开启IKEv2的AAA授权功能。

undo aaa authorization命令用来关闭IKEv2的AAA授权功能。

【命令】

aaa authorization domain domain-name username user-name

undo aaa authorization

【缺省情况】

IKEv2的AAA授权功能处于关闭状态。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。

【使用指导】

开启AAA授权功能后,IKEv2可以向AAA模块申请授权属性,例如IKEv2本地地址池属性。IKEv2模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKEv2本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 在IKEv2 profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。

[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test

【相关命令】

·     display ikev2 profile

3.1.2  address

address命令用来指定IKEv2 peer的主机地址。

undo address命令用来恢复缺省情况。

【命令】

address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }

undo address

【缺省情况】

未指定IKEv2 peer的主机地址。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:IKEv2 peer的IPv4主机地址。

Mask:IPv4地址子网掩码。

mask-length:IPv4地址的掩码长度,取值范围为0~32。

ipv6 ipv6-address:IKEv2 peer的IPv6主机地址。

prefix-length:IPv6地址的前缀长度,取值范围为0~128。

【使用指导】

使用主机地址查询IKEv2 peer对于IKEv2协商中的发起方和响应方均适用。

同一keychain视图下的不同IKEv2 peer不能配置相同的地址。

【举例】

# 创建一个IKEv2 keychain,名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的IP地址为3.3.3.3,掩码为255.255.255.0。

[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0

【相关命令】

·     ikev2 keychain

·     peer

3.1.3  authentication-method

authentication-method命令用来指定IKEv2本端和对端的身份认证方式。

undo authentication-method 命令用来删除指定的IKEv2本端或对端身份认证方式。

【命令】

authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }

undo authentication-method local

undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }

【缺省情况】      

未配置本端和对端的认证方式。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

local:指定本端的身份认证方式。

remote:指定对端的身份认证方式。

dsa-signature:表示身份认证方式为DSA数字签名方式。

ecdsa-signature:表示身份认证方式为ECDSA数字签名方式。

pre-share:表示身份认证方式为预共享密钥方式。

rsa-signature:表示身份认证方式为RSA数字签名方式。

【使用指导】

一个IKEv2 profile中,必须配置IKEv2本端和对端的身份认证方式。本端和对端可以采用不同的身份认证方式。

只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。

如果本端或对端的身份认证方式为RSA、DSA或ECDSA数字签名方式(rsa-signaturedsa-signatureecdsa-signature),则还必须通过命令certificate domain指定PKI域来获取用于签名和验证的数字证书。若没有指定PKI域,则使用系统视图下通过命令pki domain配置的PKI域。

如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本IKEv2 profile引用的keychain中指定对等体的预共享密钥。

【举例】

# 创建IKEv2 profile profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定本端的认证方式为预共享密钥方式,对端的认证方式为RSA数字签名方式。

[Sysname-ikev2-profile-profile1] authentication-method local pre-share

[Sysname-ikev2-profile-profile1] authentication-method remote rsa-signature

# 指定对端用于签名和验证的certificate域为genl。

[Sysname-ikev2-profile-profile1] certificate domain genl

# 指定IKEv2 profile引用的keychain为keychain1。

[Sysname-ikev2-profile-profile1] keychain keychain1

【相关命令】

·     display ikev2 profile

·     certificate domain (ikev2 profile view)

·     keychain (ikev2 profile view)

3.1.4  certificate domain

certificate domain命令用来指定IKEv2协商采用数字签名认证时使用的PKI域。

undo certificate domain命令用来取消配置IKEv2协商时使用的PKI域。

【命令】

certificate domain domain-name [ sign | verify ]

undo certificate domain domain-name

【缺省情况】

使用系统视图下配置的PKI域来验证证书。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain-name:PKI域的名称,为1~255个字符的字符串,不区分大小写。

sign:指定本端使用该PKI域中的本地证书生成数字签名。

verify:指定本端使用该PKI域中的CA证书来验证对端证书。

【使用指导】

如果没有指定signverify,则表示指定的PKI域既用于签名也用于验证。一个PKI域用于签名还是验证取决于最后一次的配置,例如,先配了certificate domain abc sign,然后再配certificate domain abc verify,那么最终PKI域abc只用于验证功能。

可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。

如果本端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则必须通过本命令指定PKI域来获取用于签名的本地证书;如果对端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则使用本命令指定PKI域来获取用于验证的CA证书,若未指定PKI域,则使用系统视图下的所有PKI域来验证。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置IKEv2 profile引用的PKI域abc用于签名,PKI域def用于验证。

[Sysname-ikev2-profile-profile1] certificate domain abc sign

[Sysname-ikev2-profile-profile1] certificate domain def verify

【相关命令】

·     authentication-method

·     pki domain(安全命令参考/PKI)

3.1.5  config-exchange

config-exchange命令用来开启指定的配置交换功能。

undo config-exchange命令用来关闭指定的配置交换功能。

【命令】

config-exchange { request | set { accept | send } }

undo config-exchange { request | set { accept | send } }

【缺省情况】

所有的配置交换功能均处于关闭状态。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

request:表示本端在Auth交换请求报文中携带配置交换请求载荷。

set:表示本端在Info报文中携带配置交换设置载荷。

accept:表示本端可接受配置交换设置载荷。

send:表示本端可发送配置交换设置载荷。

【使用指导】

配置交换包括请求数据、回应数据、主动推数据和回应推数据,请求和推送的数据可以为网关地址,内部地址,路由信息等,目前仅支持中心侧内部地址分配。分支侧可以申请地址,但申请到的地址暂无用。

本端可以同时配置requestset参数。

如果本端配置了request参数,则只要对端能通过AAA授权获取到对应的请求数据,就会对本端的请求进行响应。

如果本端配置了set send参数,则对端必须配置set accept参数来配合使用。

如果本端配置了set send参数,且没有收到配置请求时,IKEv2 SA协商成功后才会推送地址给对端。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置本端在Auth交换请求报文中携带配置交换请求载荷。

[Sysname-ikev2-profile-profile1] config-exchange request

【相关命令】

·     aaa authorization

·     display ikev2 profile

3.1.6  dh

dh命令用来配置IKEv2密钥协商时所使用的DH密钥交换参数。

undo dh命令用来恢复缺省情况。

【命令】

dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *

undo dh

【缺省情况】

IKEv2安全提议未定义DH组。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

group1:指定密钥协商时采用768-bit的Diffie-Hellman group。

group2:指定密钥协商时采用1024-bit的Diffie-Hellman group。

group5:指定密钥协商时采用1536-bit的Diffie-Hellman group。

group14:指定密钥协商时采用2048-bit的Diffie-Hellman group。

group24:指定密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

group19:指定密钥协商时采用ECP模式含256-bit的Diffie-Hellman group。

group20:指定密钥协商时采用ECP模式含384-bit的Diffie-Hellman group。

【使用指导】

group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其他的group随着位数的增加,提供了更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。

一个IKEv2安全提议中至少需要配置一个DH组,否则该安全提议不完整。

一个IKEv2安全提议中可以配置多个DH组,其使用优先级按照配置顺序依次降低。

【举例】

# 指定IKEv2提议1使用768-bit的Diffie-Hellman group。

<Sysname> system-view

[Sysname] ikev2 proposal 1

[Sysname-ikev2-proposal-1] dh group1

【相关命令】

·     ikev2 proposal

3.1.7  display ikev2 policy

display ikev2 policy命令用来显示IKEv2安全策略的配置信息。

【命令】

display ikev2 policy [ policy-name | default ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。

default:缺省的IKEv2安全策略。

【使用指导】

如果未指定任何参数,则表示显示所有IKEv2安全策略的配置信息。

【举例】

# 显示所有IKEv2安全策略的配置信息。

<Sysname> display ikev2 policy

IKEv2 policy: 1

  Priority: 100

  Match local address: 1.1.1.1

  Match local address ipv6: 1:1::1:1

  Match VRF: vpn1

  Proposal: 1

  Proposal: 2

IKEv2 policy: default

  Match VRF: any

  Proposal: default

display ikev2 policy命令显示信息描述表

字段

描述

IKEv2 policy

IKEv2安全策略的名称

Priority

IKEv2安全策略优先级

Match local address

匹配IKEv2安全策略的本端IPv4地址

Match local address ipv6

匹配IKEv2安全策略的本端IPv6地址

Match VRF

匹配IKEv2安全策略的VPN实例名

Proposal

IKEv2安全策略引用的IKEv2安全提议名称

 

【相关命令】

·     ikev2 policy

3.1.8  display ikev2 profile

display ikev2 profile命令用来显示IKEv2 profile的配置信息。

【命令】

display ikev2 profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则表示显示所有IKEv2 profile的配置信息。

【举例】

# 显示所有IKEv2 profile的配置信息。‌

<Sysname> display ikev2 profile

IKEv2 profile: 1

  Priority: 100

  Match criteria:

    Local address 1.1.1.1

    Local address GigabitEthernet1/0/1

    Local address 1:1::1:1

    Remote identity ipv4 address 3.3.3.3/32

    VRF vrf1

  Inside-vrf:

  Local identity: address 1.1.1.1

  Local authentication method: pre-share

  Remote authentication methods: pre-share

  Keychain: Keychain1

  Sign certificate domain:

     Domain1

     abc

  Verify certificate domain:

     Domain2

     yy

  SA duration: 500

  DPD: Interval 32, retry 23, periodic

  Config-exchange: Request, Set send, Set accept

  NAT keepalive: 10

  AAA authorization: Domain domain1, username ikev2

表3-1 display ikev2 profile命令显示信息描述表

字段

描述

IKEv2 profile

IKEv2 profile的名称

Priority

IKEv2 profile的优先级

Match criteria

查找IKEv2 profile的匹配条件

Inside-vrf

内网VPN实例名称

Local identity

本端身份信息

Local authentication method

本端认证方法

Remote authentication methods

对端认证方法

Keychain

IKEv2 profile引用的keychain

Sign certificate domain

用于签名的PKI域

Verify certificate domain

用于验证的PKI域

SA duration

IKEv2 SA生存时间

DPD

DPD功能参数:探测的间隔时间(单位为秒)、重传时间间隔(单位为秒)、探测模式(按需探测或周期探测)

若未开启DPD功能,则显示为Disabled

Config-exchange

配置交换功能:

·     Request:表示本端将在Auth交换请求报文中携带配置交换请求载荷

·     Set accept:表示本端可接受配置交换设置载荷

·     Set send:表示本端可发送配置交换设置载荷

NAT keepalive

发送NAT保活报文的时间间隔(单位为秒)

AAA authorization

请求AAA授权信息时使用的参数:ISP域名、用户名

 

【相关命令】

·     ikev2 profile

3.1.9  display ikev2 proposal

display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。

【命令】

display ikev2 proposal [ name | default ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

name:IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。

default:缺省的IKEv2安全提议。

【使用指导】

IKEv2安全提议按照优先级从高到低的顺序显示。若不指定任何参数,则显示所有IKEv2提议的配置信息。

【举例】

# 显示所有IKEv2安全提议的配置信息。

<Sysname> display ikev2 proposal

IKEv2 proposal : 1

  Encryption: 3DES-CBC AES-CBC-128 AES-CTR-192 CAMELLIA-CBC-128

  Integrity: MD5 SHA256 AES-XCBC-MAC

  PRF: MD5 SHA256 AES-XCBC-MAC

  DH Group: MODP1024/Group2 MODP1536/Group5

 

IKEv2 proposal : default

  Encryption: AES-CBC-128 3DES-CBC

  Integrity: SHA1 MD5

  PRF: SHA1 MD5

  DH Group: MODP1536/Group5 MODP1024/Group2

表3-2 display ikev2 proposal命令显示信息描述表

字段

描述

IKEv2 proposal

IKEv2安全提议的名称

Encryption

IKEv2安全提议采用的加密算法

Integrity

IKEv2安全提议采用的完整性校验算法

PRF

IKEv2安全提议采用的PRF算法

DH Group

IKEv2安全提议采用的DH组

 

【相关命令】

·     ikev2 proposal

3.1.10  display ikev2 sa

display ikev2 sa命令用来显示IKEv2 SA的信息。

【命令】

display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

count:显示IKEv2 SA的数量。

local:显示指定本端地址的IKEv2 SA信息。

remote:显示指定对端地址的IKEv2 SA信息。

ipv4-address:本端或对端的IPv4地址。

ipv6 ipv6-address本端或对端的IPv6地址。

vpn-instance vpn-instance-name:显示指定VPN实例内的IKEv2 SA信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示公网的IKEv2 SA信息。

verbose:显示IKEv2 SA的详细信息。如果不指定该参数,则表示显示IKEv2 SA的摘要信息。

tunnel tunnel-id:显示指定IPsec隧道的IKEv2 SA详细信息。tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。

【使用指导】

若不指定任何参数,则显示所有IKEv2 SA的摘要信息。

【举例】

# 显示所有IKEv2 SA的摘要信息。

<Sysname> display ikev2 sa

      Tunnel ID          Local             Remote             Status

  --------------------------------------------------------------------

     1                  1.1.1.1/500       1.1.1.2/500        EST

     2                  2.2.2.1/500       2.2.2.2/500        EST

  Status:

  IN-NEGO: Negotiating, EST: Established, DEL: Deleting

# 显示对端地址为1.1.1.2的IKEv2 SA的摘要信息。

<Sysname> display ikev2 sa remote 1.1.1.2

     Tunnel ID          Local             Remote             Status

  --------------------------------------------------------------------

     1                  1.1.1.1/500       1.1.1.2/500        EST

  Status:

  IN-NEGO: Negotiating, EST: Established, DEL: Deleting

表3-3 display ikev2 sa命令显示信息描述表

字段

描述

Tunnel ID

IKEv2 SA的隧道标识符

Local

IKEv2 SA的本端IP地址

Remote

IKEv2 SA的对端IP地址

Status

IKEv2 SA的状态:

·     IN-NEGO(Negotiating):表示此IKE SA正在协商

·     EST(Established):表示此IKE SA已建立成功

·     DEL(Deleting):表示此IKE SA将被删除

 

# 显示当前所有IKEv2 SA的详细信息。

<Sysname> display ikev2 sa verbose

  Tunnel ID: 1

  Local IP/Port: 1.1.1.1/500

  Remote IP/Port: 1.1.1.2/500

  Outside VRF: -

  Inside VRF: -

  Local SPI: 8f8af3dbf5023a00

  Remote SPI: 0131565b9b3155fa

 

  Local ID type: FQDN

  Local ID: device_a

  Remote ID type: FQDN

  Remote ID: device_b

 

  Auth sign method: Pre-shared key

  Auth verify method: Pre-shared key

  Integrity algorithm: HMAC_MD5

  PRF algorithm: HMAC_MD5

  Encryption algorithm: AES-CBC-192

 

  Life duration: 86400 secs

  Remaining key duration: 85604 secs

  Diffie-Hellman group: MODP1024/Group2

  NAT traversal: Not detected

  DPD:Interval 20 secs, retry interval 2 secs

  Transmitting entity: Initiator

 

  Local window: 1

  Remote window: 1

  Local request message ID: 2

  Remote request message ID:2

  Local next message ID: 0

  Remote next message ID: 0

 

  Pushed IP address: 192.168.1.5

  Assigned IP address: 192.168.2.24

 

# 显示对端地址为1.1.1.2的IKEv2 SA的详细信息。

<Sysname> display ikev2 sa remote 1.1.1.2 verbose

  Tunnel ID: 1

  Local IP/Port: 1.1.1.1/500

  Remote IP/Port: 1.1.1.2/500

  Outside VRF: -

  Inside VRF: -

  Local SPI: 8f8af3dbf5023a00

  Remote SPI: 0131565b9b3155fa

 

  Local ID type: FQDN

  Local ID: device_a

  Remote ID type: FQDN

  Remote ID: device_b

 

  Auth sign method: Pre-shared key

  Auth verify method: Pre-shared key

  Integrity algorithm: HMAC_MD5

  PRF algorithm: HMAC_MD5

  Encryption algorithm: AES-CBC-192

 

  Life duration: 86400 secs

  Remaining key duration: 85604 secs

  Diffie-Hellman group: MODP1024/Group2

  NAT traversal: Not detected

  DPD: Interval 30 secs, retry interval 10 secs

  Transmitting entity: Initiator

 

  Local window: 1

  Remote window: 1

  Local request message ID: 2

  Remote request message ID: 2

  Local next message ID: 0

  Remote next message ID: 0

 

  Pushed IP address: 192.168.1.5

  Assigned IP address: 192.168.2.24

表3-4 display ikev2 sa verbose命令显示信息描述表

字段

描述

Tunnel ID

IKEv2 SA的隧道标识符

Local IP/Port

本端安全网关的IP地址/端口号

Remote IP/Port

对端安全网关的IP地址/端口号

Outside VRF

出方向被保护数据所属的VRF名称,-表示属于公网

Inside VRF

入方向被保护数据所属的VRF名称,-表示属于公网

Local SPI

本端安全参数索引

Remote SPI

对端安全参数索引

Local ID type

本端安全网关的身份信息类型

Local ID

本端安全网关的身份信息

Remote ID type

对端安全网关的身份信息类型

Remote ID

对端安全网关的身份信息

Auth sign method

IKEv2安全提议中认证使用的签名方法

Auth verify method

IKEv2安全提议中认证使用的验证方法

Integrity algorithm

IKEv2安全提议中使用的完整性算法

PRF algorithm

IKEv2安全提议中使用的PRF算法

Encryption algorithm

IKEv2安全提议中使用的加密算法

Life duration

IKEv2 SA的生存时间(单位为秒)

Remaining key duration

IKEv2 SA的剩余生存时间(单位为秒)

Diffie-Hellman group

IKEv2密钥协商时所使用的DH密钥交换参数

NAT traversal

是否检测到协商双方之间存在NAT网关设备

DPD

DPD探测的时间间隔和重传时间(单位为秒),若未开启DPD探测功能,则显示为Interval 0 secs, retry interval 0 secs

Transmitting entity

IKEv2协商中的实体角色:发起方、响应方

Local window

本端IKEv2协商的窗口大小

Remote window

对端IKEv2协商的窗口大小

Local request message ID

本端下一次要发送的请求消息的序号

Remote request message ID

对端下一次要发送的请求消息的序号

Local next message ID

本端期望下一个接收消息的序号

Remote next message ID

对端期望下一个接收消息的序号

Pushed IP address

对端推送给本端的IP地址

Assigned IP address

本端分配给对端的IP地址

 

# 显示所有IKEv2 SA的个数。

[Sysname] display ikev2 sa count

Total SAs: 10

Negotiating SAs: 4

表3-5 display ikev2 sa count命令显示信息描述表

字段

描述

Total SAs

所有IKEv2 SA的个数总和

Negotiating SAs

正在协商的IKEv2 SA个数

 

3.1.11  display ikev2 statistics

display ikev2 statistics命令用来显示IKEv2统计信息。

【命令】

display ikev2 statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示IKEv2的统计信息。

<Sysname> display ikev2 statistics

IKEv2 statistics:

  Unsupported critical payload: 0

  Invalid IKE SPI: 0

  Invalid major version: 0

  Invalid syntax: 0

  Invalid message ID: 0

  Invalid SPI: 0

  No proposal chosen: 0

  Invalid KE payload: 0

  Authentication failed: 0

  Single pair required: 0

  TS unacceptable: 0

  Invalid selectors: 0

  Temporary failure: 0

  No child SA: 0

  Unknown other notify: 0

  No enough resource: 0

  Enqueue error: 0

  No IKEv2 SA: 0

  Packet error: 0

  Other error: 0

  Retransmit timeout: 0

  DPD detect error: 0

  Del child for IPsec message: 1

  Del child for deleting IKEv2 SA: 1

  Del child for receiving delete message: 0

  Wait auth timeouts: 0

  Packets enqueued: 0

  Packets processed: 0

  Out packets: 0

  Out dropped packets: 0

  Messages in current queue: 0

表3-6 display ikev2 statistics命令显示信息描述表

字段

描述

IKEv2 statistics

IKEv2统计信息

Unsupported critical payload

不支持的重要载荷

Invalid IKE SPI

无效的IKE SPI信息

Invalid major version

无效的主版本号

Invalid syntax

无效的语法

Invalid message ID

无效的Message ID

Invalid SPI

无效的SPI

No proposal chosen

提议不匹配

Invalid IKE payload

无效的IKE载荷

Authentication failed

认证失败

Single pair required

需要特定的地址对

TS unacceptable

不可接受的Traffic Selectors

Invalid selectors

无效的Selector

Temporary failure

临时错误

No child SA

找不到Child SA

Unknown other notify

未定义的其它通知类型

No enough resource

资源不够

Enqueue error

入队列错误

No IKEv2 SA

没有IKEv2 SA

Packet error

报文错误

Other error

其它错误

Retransmit timeout

重传超时

Dpd detect error

DPD探测失败

Del child for IPsec message

由于收到IPsec消息删除Child SA

Del child for deleting IKEv2 SA

由于删除IKEv2 SA删除Chlid SA

Del child for receiving delete message

由于收到删除消息删除Child SA

Wait auth timeouts

等待AUTH报文超时的次数

Packets enqueued

等待处理的报文总数

Packets processed

已处理的报文总数

Out packets

设备发送的报文总数

Out dropped packets

设备发送报文时,丢弃的报文总数

Messages in current queue

当前待处理的消息总数

 

【相关命令】

·     reset ikev2 statistics

3.1.12  dpd

dpd用来配置IKEv2 DPD探测功能。

undo dpd命令用来关闭 IKEv2 DPD探测功能。

【命令】

dpd interval interval [ retry seconds ] { on-demand | periodic }

undo dpd interval

【缺省情况】

IKEv2 profile视图下的DPD探测功能处于关闭状态,使用全局的DPD配置。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval interval:指定IKEv2 DPD探测的间隔时间,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则本端发送IPsec报文时触发DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。

retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒。缺省值为5秒。

on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。

periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。

【使用指导】

IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。

配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。

【举例】

# 为IKEv2 profile1配置IKEv2 DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKEv2

DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand

【相关命令】

·     ikev2 dpd

3.1.13  encryption

encryption命令用来指定IKEv2安全提议使用的加密算法。

undo encryption命令用来恢复缺省情况。

【命令】

encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *

undo encryption

【缺省情况】

IKEv2安全提议未定义加密算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

3des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。

aes-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。

aes-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。

aes-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。

aes-ctr-128:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为128比特。

aes-ctr-192:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为192比特。

aes-ctr-256:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为256比特。

camellia-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为128比特。

camellia-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为192比特。

camellia-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为256比特。

des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。

【使用指导】

IKEv2安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。一个IKEv2安全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。

【举例】

# 指定IKEv2安全提议1的加密算法为CBC模式的168-bit 3DES。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

[Sysname-ikev2-proposal-prop1] encryption 3des-cbc

【相关命令】

·     ikev2 proposal

3.1.14  hostname

hostname命令用来指定IKEv2 peer的主机名称。

undo hostname命令用来恢复缺省情况。

【命令】

hostname name

undo hostname

【缺省情况】

未配置IKEv2 peer的主机名称。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

context-admin

【参数】

name:IKEv2 peer主机名称,为1~253个字符的字符串,不区分大小写。

【使用指导】

主机名仅适用于在基于IPsec安全策略的IKEv2协商中发起方查询IKEv2 peer,不适用于基于IPsec虚拟隧道接口的IKEv2协商。

【举例】

# 创建IKEv2 keychain,名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的主机名为test。

[Sysname-ikev2-keychain-key1-peer-peer1] hostname test

【相关命令】

·     ikev2 keychain

·     peer

3.1.15  identity

identity命令用来指定IKEv2 peer的身份信息。

undo identity命令用来恢复缺省情况。

【命令】

identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }

undo identity

【缺省情况】

未指定IKEv2 peer的身份信息。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:对端IPv4地址。

ipv6 ipv6-address:对端IPv6地址。

fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。

email email-string:指定标识对端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]

key-id key-id-string:指定标识对端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。

【使用指导】

对等体身份信息仅用于IKEv2协商的响应方查询IKEv2 peer,因为发起方在发起IKEv2协商时并不知道对端的身份信息。

【举例】

# 创建一个IKEv2 keychain,名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 指定IKEv2 peer的身份信息为地址1.1.1.2。

[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2

【相关命令】

·     ikev2 keychain

·     peer

3.1.16  identity local

identity local命令用来配置本端身份信息,用于在IKEv2认证协商阶段向对端标识自己的身份。

undo identity local命令用来恢复缺省情况。

【命令】

identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }

undo identity local

【缺省情况】

未指定IKEv2本端身份信息,使用应用IPsec安全策略的接口的IP地址作为本端身份。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。

dn:使用从本端数字证书中获得的DN名作为本端身份。

email email-string:指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]

fqdn fqdn-name:指定标识本端身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如test.example.com。

key-id key-id-string:指定标识本端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。

【使用指导】

交换的身份信息用于协商双方在协商时识别对端身份。

【举例】

#创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定使用IP地址2.2.2.2标识本端身份。

[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2

【相关命令】

·     peer

3.1.17  ikev2 address-group

ikev2 address-group命令用来配置为对端分配IPv4地址的IKEv2本地IPv4地址池。

undo ikev2 address-group命令用来删除指定的IKEv2本地地址池。

【命令】

ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]

undo ikev2 address-group group-name [ start-ipv4-address [ end-ipv4-address ] ]

【缺省情况】

未定义IKEv2本地IPv4地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。

start-ipv4-address:IPv4地址池的起始地址。

end-ipv4-address:IPv4地址池的结束地址。

mask:IPv4地址掩码。

mask-length:IPv4地址掩码长度。

【使用指导】

每个地址池中包括的IPv4地址的最大数目为8192。

执行undo ikev2 address-group时:

·     如果不指定起始和结束地址,则会删除所有指定名称的地址池。

·     如果指定起始地址而不指定结束地址,则结束地址的取值与起始地址相同,即删除单地址的地址池。

·     如果同时指定起始和结束地址,则删除指定地址池。

·     若要删除的地址池不存在,则不执行任何操作。

【举例】

# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。

<Sysname> system-view

[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0

# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。

<Sysname> system-view

[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32

# 删除IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2。

<Sysname> system-view

[Sysname] undo ikev2 address-group ipv4group 1.1.1.1 1.1.1.2

【相关命令】

·     address-group

3.1.18  ikev2 cookie-challenge

ikev2 cookie-challenge命令用来开启cookie-challenge功能。

undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。

【命令】

ikev2 cookie-challenge number

undo ikev2 cookie-challenge

【缺省情况】

IKEv2 cookie-challenge功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

number:指定触发响应方启用cookie-challenge功能的阈值,取值范围为0~1000。

【使用指导】

若响应方配置了cookie-challenge功能,当响应方发现存在的半开IKE SA超过指定的数目时,就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后,构造一个Cookie通知载荷并响应发起方,若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求,则可以继续后续的协商过程,防止由于源IP仿冒而耗费大量响应方的系统资源,造成对响应方的DoS攻击。

【举例】

# 开启cookie-challenge功能,并配置启用cookie-challenge功能的阈值为450。

<Sysname> system-view

[Sysname] ikev2 cookie-challenge 450

3.1.19  ikev2 dpd

ikev2 dpd命令用来配置全局IKEv2 DPD功能。

undo ikev2 dpd命令用来关闭全局IKEv2 DPD功能。

【命令】

ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }

undo ikev2 dpd interval

【缺省情况】

IKEv2 DPD探测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval interval:指定触发IKEv2 DPD探测的时间间隔,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则发送报文前触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。

retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒,缺省值为5秒。

on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。

periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。

【使用指导】

IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。

如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能,则IKEv2 profile视图下的DPD配置生效,如果IKEv2 profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。

配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。

【举例】

 # 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。

<Sysname> system-view

[Sysname] ikev2 dpd interval 15 on-demand

# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。

<Sysname> system-view

[Sysname] ikev2 dpd interval 15 periodic

【相关命令】

·     dpd(IKEv2 profile view)

3.1.20  ikev2 ipv6-address-group

ikev2 ipv6-address-group命令用来配置为对端分配IPv6地址的IKEv2本地地址池。

undo ikev2 ipv6-address-group命令用来删除指定的IKEv2本地地址池。

【命令】

ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len

undo ikev2 ipv6-address-group group-name

【缺省情况】

未定义IKEv2本地IPv6地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。

prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。

assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为1~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。

【使用指导】

与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。

所有IKEv2本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。

【举例】

# 配置IKEv2本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。

<Sysname> system-view

[Sysname] ikev2 ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80

【相关命令】

·     ipv6-address-group

3.1.21  ikev2 keychain

ikev2 keychain命令用来创建IKEv2 keychain,并进入IKEv2 keychain视图。如果指定的IKEv2 keychain已经存在,则直接进入IKEv2 keychain视图。

undo ikev2 keychain命令用来删除指定的IKEv2 keychain。

【命令】

ikev2 keychain keychain-name

undo ikev2 keychain keychain-name

【缺省情况】

不存在IKEv2 keychain。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

keychain-name:IKEv2 keychain的名称,为1~63个字符的字符串,不区分大小写,且不能包括字符“-”。

【使用指导】

任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。配置的预共享密钥的值需要与对端IKEv2网关上配置的预共享密钥的值相同。

一个IKEv2 keychain下可以配置多个IKEv2 peer。

【举例】

# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。

<Sysname> system-view

[Sysname] ikev2 keychain key1

[Sysname-ikev2-keychain-key1]

3.1.22  ikev2 limit

ikev2 limit命令用来配置对本端IKEv2 SA数目的限制。

undo ikev2 limit命令用来恢复缺省情况。

【命令】

ikev2 limit max-negotiating-sa negotiation-limit

undo ikev2 limit max-negotiating-sa

【缺省情况】

不对本端IKEv2 SA的数目进行限制。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKEv2 SA的最大数目,取值范围为1~99999。

【使用指导】

如果增加了本端IKEv2 SA的数目,则可以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;如果减少了本端IKEv2 SA的数目,则可以避免产生大量不能完成协商的IKEv2 SA,以便在设备处理能力较弱时保证一定的新建性能。

【举例】

# 配置本端允许同时处于协商状态的IKEv2 SA的最大数目为200。

<Sysname> system-view

[Sysname] ikev2 limit max-negotiating-sa 200

3.1.23  ikev2 nat-keepalive

ikev2 nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。

undo ikev2 nat-keepalive命令用来恢复缺省情况。

【命令】

ikev2 nat-keepalive seconds

undo ikev2 nat-keepalive

【缺省情况】

探测到NAT后发送NAT Keepalive报文的时间间隔为10秒。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:向对端发送NAT Keepalive报文的时间间隔,取值范围为5~3600,单位为秒。

【使用指导】

该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。

【举例】

# 配置向NAT发送NAT Keepalive报文的时间间隔为5秒。

<Sysname> system-view

[Sysname] ikev2 nat-keepalive 5

3.1.24  ikev2 policy

ikev2 policy命令用来创建IKEv2安全策略,并进入IKEv2安全策略视图。如果指定的IKEv2安全策略已经存在,则直接进入IKEv2安全策略视图。

undo ikev2 policy命令用来删除指定的IKEv2安全策略。

【命令】

ikev2 policy policy-name

undo ikev2 policy policy-name

【缺省情况】

系统中存在一个名称为default的缺省IKEv2安全策略,该缺省的策略中包含一个缺省的IKEv2安全提议default,且可与所有的本端地址相匹配。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VRF来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VRF来选择要使用的IKEv2安全策略。选定IKEv2安全策略后,设备将根据安全策略中的安全提议进行加密算法、完整性校验算法、PRF算法和DH组的协商。

可以配置多个IKEv2安全策略。一个IKEv2安全策略中必须至少包含一个IKEv2安全提议,否则该策略不完整。

若发起方使用共享源接口方式IPsec策略,则IKE_SA_INIT协商时,使用共享源接口地址来选择要是使用的IKEv2安全策略。

相同匹配条件下,配置的优先级可用于调整匹配IKEv2安全策略的顺序。

如果没有配置IKEv2安全策略,则使用默认的IKEv2安全策略default。用户不能进入并配置默认的IKEv2安全策略default。

【举例】

# 创建IKEv2安全策略policy1,并进入IKEv2安全策略视图。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1]

【相关命令】

·     display ikev2 policy

3.1.25  ikev2 profile

ikev2 profile命令用来创建IKEv2 profile,并进入IKEv2 profile视图。如果指定的IKEv2 profile已经存在,则直接进入IKEv2 profile视图。

undo ikev2 profile命令用来删除指定的IKEv2 profile。

【命令】

ikev2 profile profile-name

undo ikev2 profile profile-name

【缺省情况】

不存在IKEv2 profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

IKEv2 profile用于保存非协商的IKEv2 SA的参数,如本端和对端的身份、本端和对端的认证方式、用于查找IKEv2 profile的匹配条件等。

【举例】

# 创建IKEv2 profile,名称为profile1,并进入IKEv2 profile视图。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1]

【相关命令】

·     display ikev2 profile

3.1.26  ikev2 proposal

ikev2 proposal命令用来创建IKEv2安全提议,并进入IKEv2安全提议视图。如果指定的IKEv2安全提议已经存在,则直接进入IKEv2安全提议视图。

undo ikev2 proposal命令用来删除指定的IKEv2安全提议。

【命令】

ikev2 proposal proposal-name

undo ikev2 proposal proposal-name

【缺省情况】

系统中存在一个名称为default的缺省IKEv2安全提议。

缺省提议使用的算法:

·     加密算法:AES-CBC-128和3DES

·     完整性校验算法:HMAC-SHA1和HMAC-MD5

·     PRF算法:HMAC-SHA1和HMAC-MD5

·     DH:group5和group2

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

proposal-name:指定IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写,且不能为default。

【使用指导】

IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数,包括加密算法、完整性验证算法、PRF(pseudo-random function)算法和DH组。

在一个IKEv2安全提议中,至少需要配置一组安全参数,即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。

在一个IKEv2安全提议中,可以配置多组安全参数,即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组,这些安全参数在实际协商过程中,将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在IKEv2安全提议中仅配置了一套安全参数。

【举例】

# 创建IKEv2安全提议prop1,并配置加密算法为aes-cbc-128,完整性校验算法为sha1,PRF算法为sha1,DH组为group2。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128

[Sysname-ikev2-proposal-prop1] integrity sha1

[Sysname-ikev2-proposal-prop1] prf sha1

[Sysname-ikev2-proposal-prop1] dh group2

【相关命令】

·     encryption-algorithm

·     integrity

·     prf

·     dh

3.1.27  inside-vrf

inside-vrf命令用来指定内部VPN实例。

undo inside-vrf命令用来恢复缺省情况。

【命令】

inside-vrf vrf-name

undo inside-vrf

【缺省情况】

IKEv2 profile未指定内部VPN实例,即内网与外网在同一个VPN实例中。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

vrf-name:保护的数据所属的VRF名称,为1~31个字符的字符串,区分大小写。

【使用指导】

当IPsec解封装后的报文需要继续转发到不同的VPN时,设备需要知道在哪个VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN实例中查找路由,如果不希望在与外网相同的VPN实例中查找路由,则可以指定一个内部VPN实例,通过查找该内部VPN实例的路由来转发报文。

本命令仅对引用了IKEv2 profile的IPsec安全策略生效,对引用了IKEv2 profile 的IPsec安全框架不生效。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 在IKEv2 profile profile1中指定内部VRF为vpn1。

[Sysname-ikev2-profile-profile1] inside-vrf vpn1

3.1.28  integrity

integrity命令用来指定IKEv2安全提议使用的完整性校验算法。

undo integrity命令用来恢复缺省情况。

【命令】

integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo integrity

【缺省情况】

未指定IKEv2安全提议使用的完整性校验算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

aes-xcbc-mac:指定IKEv2安全提议采用的完整性校验算法为HMAC-AES-XCBC-MAC。

md5:指定IKEv2安全提议采用的完整性校验算法为HMAC-MD5。

sha1:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-1。

sha256:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-256。

sha384:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-384。

sha512:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-512。

【使用指导】

一个IKEv2安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。一个IKEv2安全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。

【举例】

# 创建IKEv2安全提议prop1。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

# 指定该安全提议使用的完整性校验算法为MD5和SHA1,且优先选择SHA1。

[Sysname-ikev2-proposal-prop1] integrity sha1 md5

【相关命令】

·     ikev2 proposal

3.1.29  keychain

keychain命令用来配置采用预共享密钥认证时使用的Keychain。

undo keychain命令用来恢复缺省情况。

【命令】

keychain keychain-name

undo keychain

【缺省情况】

IKEv2 profile中未引用Keychain。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

keychain-name:IKEv2 keychain名称,为1~63个字符的字符串,不区分大小写,且不能包括字符-。

【使用指导】

任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。

不同的IKEv2 profile可以共享同一个IKEv2 keychain 。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定IKEv2 profile引用的keychain,keychain的名称为keychain1。

[Sysname-ikev2-profile-profile1] keychain keychain1

【相关命令】

·     display ikev2 profile

·     ikev2 keychain

3.1.30  match local (IKEv2 profile view)

match local命令用来限制IKEv2 profile的使用范围。

undo match local命令用来取消对IKEv2 profile使用范围的限制。

【命令】

match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

【缺省情况】

未限制IKEv2 profile的使用范围。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

address:指定IKEv2 profile只能用于指定地址或指定接口的地址上的IKEv2协商。

interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。

ipv4-address:本端接口IPv4地址。

ipv6 ipv6-address:本端接口IPv6地址。

【使用指导】

此命令用于限制IKEv2 profile只能用于指定地址或指定接口上的地址协商,这里的地址指的是本端收到IKEv2报文的接口IP地址,即只有IKEv2协商报文从该地址接收时,才会采用该IKEv2 profile。IKEv2 profile优先级可以手工配置,先配置的优先级高。若希望本端在匹配某些IKEv2 profile的时候,不按照手工配置的顺序来查找,则可以通过本命令来指定这类IKEv2 profile的使用范围。例如,IKEv2 profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKEv2 profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKEv2 profile A先于IKEv2 profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。

通过该命令可以指定多个本端匹配条件。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 限制IKEv2 profile profile1只能在IP地址为2.2.2.2的接口上使用。

[Sysname-ikev2-profile-profile1] match local address 2.2.2.2

【相关命令】

·     match remote

3.1.31  match local address (IKEv2 policy view)

match local address命令用来指定匹配IKEv2安全策略的本端地址。

undo match local address命令用来删除指定的用于匹配IKEv2安全策略的本端地址。

【命令】

match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }

【缺省情况】

未指定用于匹配IKEv2安全策略的本端地址,表示本策略可匹配所有本端地址。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。

ipv4-address:本端接口IPv4地址。

ipv6 ipv6-address:本端接口IPv6地址。

【使用指导】

根据本端地址匹配IKEv2安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。

【举例】

# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] match local address 3.3.3.3

【相关命令】

·     display ikev2 policy

·     match vrf

3.1.32  match remote

match remote命令用来配置匹配对端身份的规则。

undo match remote命令用来删除一条用于匹配对端身份的规则。

【命令】

match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }

undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }

【缺省情况】

未配置用于匹配对端身份的规则。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

certificate policy-name:基于对端数字证书中的信息匹配IKEv2 profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串,不区分大小写。本参数用于基于对端数字证书中的信息匹配IKEv2 profile。

identity:基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。

address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。

address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。

address ipv6 ipv6-address [ prefix-length ]:对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀长度,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。

address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。

fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如test.example.com。

email email-string:指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]

key-id key-id-string:指定标识对等体身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。

【使用指导】

查找对端匹配的IKEv2 profile时,对端需要同时满足以下条件:

·     将对端的身份信息与本命令配置的匹配规则进行比较,二者必须相同。

·     查找IKEv2 profile和验证对端身份时,需要使用match remotematch local addressmatch vrf一起匹配,若有其中一项不符合,则表示该IKEv2 profile不匹配。

查找到匹配的IKEv2 profile后,本端设备将用该IKEv2 profile中的信息与对端完成认证。

为了使得每个对端能够匹配到唯一的IKEv2 profile,不建议在两个或两个以上IKEv2 profile中配置相同的match remote规则,否则能够匹配到哪个IKEv2 profile是不可预知的。match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定匹配采用FQDN作为身份标识、且取值为test.example.com的对端。

[Sysname-ikev2-profile-profile1] match remote identity fqdn test.example.com

# 指定匹配采用IP地址作为身份标识、且取值为10.1.1.1。

[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1

【相关命令】

·     identity local

·     match local address

·     match vrf

3.1.33  match vrf (IKEv2 policy view)

match vrf命令用来配置匹配IKEv2安全策略的VPN实例。

undo match vrf命令用来恢复缺省情况。

【命令】

match vrf { name vrf-name | any }

undo match vrf

【缺省情况】

未指定用于匹配IKEv2安全策略的VPN实例,表示本策略可匹配公网内的所有本端地址。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

name vrf-name:基于指定的VPN实例匹配IKEv2安全策略。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

any:表示公网及任何VPN实例都可以匹配IKEv2安全策略。

【使用指导】

IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VPN实例来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VPN实例来选择要使用的IKEv2安全策略。

根据本端地址匹配IKEv2安全策略时,优先匹配指定了VPN实例匹配条件的策略,其次匹配未指定VPN实例匹配条件的策略。

【举例】

# 创建IKEv2安全策略,名称为policy1。

<Sysname> system-view

[Sysname] ikev2 policy policy1

# 指定IKEv2安全策略匹配的VPN为vpn1。

[Sysname-ikev2-policy-policy1] match vrf name vpn1

【相关命令】

·     display ikev2 policy

·     match local address

3.1.34  match vrf (IKEv2 profile view)

match vrf命令用来配置IKEv2 profile所属的VPN实例。

undo match vrf命令用来恢复缺省情况。

【命令】

match vrf { name vrf-name | any }

undo match vrf

【缺省情况】

IKEv2 profile属于公网。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

name vrf-name:基于指定的VPN实例匹配IKEv2 profile。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

any:表示公网及任何VPN实例都可以匹配IKEv2 profile。

【使用指导】

此命令用于限制IKEv2 profile只能在指定所属VPN实例的接口上协商,这里的VPN指的是收到IKEv2报文的接口所属VPN实例。如果配置了参数any,则表示IKEv2 profile可以在所有VPN实例接口上协商。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 指定IKEv2 profile所属的VPN为vrf1。

[Sysname-ikev2-profile-profile1] match vrf name vrf1

【相关命令】

·     match remote

3.1.35  nat-keepalive

nat-keepalive命令用来配置发送NAT keepalive的时间间隔。

undo nat-keepalive命令用来恢复缺省情况。

【命令】

nat-keepalive seconds

undo nat-keepalive

【缺省情况】

使用全局的IKEv2 NAT keepalive配置。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:发送NAT keepalive报文的时间间隔,取值范围为5~3600,单位为秒。

【使用指导】

该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置发送NAT keepalive报文的时间间隔为1200秒。

[Sysname-ikev2-profile-profile1]nat-keepalive 1200

【相关命令】

·     display ikev2 profile

·     ikev2 nat-keepalive

3.1.36  peer

peer命令用来创建IKEv2 peer,并进入IKEv2 peer视图。如果指定的IKEv2 peer已经存在,则直接进入IKEv2 peer视图。

undo peer命令用来删除指定的IKEv2 peer。

【命令】

peer name

undo peer name

【缺省情况】

不存在IKEv2 peer。

【视图】

IKEv2 keychain视图

【缺省用户角色】

network-admin

context-admin

【参数】

name:IKEv2 peer名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

一个IKEv2 peer中包含了一个预共享密钥以及用于查找该peer的匹配条件,包括对端的主机名称(由命令hostname配置)、对端的IP地址(由命令address配置)和对端的身份(由命令identity配置)。其中,IKEv2协商的发起方使用对端的主机名称或IP地址查找peer,响应方使用对端的身份或IP地址查找peer。

【举例】

# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

【相关命令】

·     ikev2 keychain

3.1.37  pre-shared-key

pre-shared-key命令用来配置IKEv2 peer的预共享密钥。

undo pre-shared-key命令用来删除IKEv2 peer的预共享密钥。

【命令】

pre-shared-key [ local | remote ] { ciphertext | plaintext } string

undo pre-shared-key [ local | remote ]

【缺省情况】

未配置IKEv2 peer的预共享密钥。

【视图】

IKEv2 peer视图

【缺省用户角色】

network-admin

context-admin

【参数】

local:表示签名密钥。

remote:表示验证密钥。

ciphertext:以密文方式设置密钥。

plaintext:以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。

【使用指导】

如果指定了参数localremote,则表示指定的是非对称密钥;若参数localremote均不指定,则表示指定的是对称密钥。

执行undo命令时,指定要删除的密钥类型必须和已配置的密钥类型完全一致,该undo命令才会执行成功。例如,IKEv2 peer视图下仅有pre-shared-key local的配置,则执行undo pre-shared-keyundo pre-shared-key remote命令均无效。

多次执行本命令,最后一次执行的命令生效。

【举例】

·     发起方示例

# 创建一个IKEv2 keychain,名称为key1。

<Sysname> system-view

[Sysname] ikev2 keychain key1

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-key1] peer peer1

# 配置peer1的对称预共享密钥为明文111-key。

[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key

[Sysname-ikev2-keychain-key1-peer-peer1] quit

# 创建一个IKEv2 peer,名称为peer2。

[Sysname-ikev2-keychain-key1] peer peer2

# 配置peer2的非对称预共享密钥,签名密钥为明文111-key-a,验证密钥为明文111-key-b。

[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a

[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b

·     响应方示例

# 创建一个IKEv2 keychain,名称为telecom。

<Sysname> system-view

[Sysname] ikev2 keychain telecom

# 创建一个IKEv2 peer,名称为peer1。

[Sysname-ikev2-keychain-telecom] peer peer1

# 配置peer1的对称预共享密钥为明文111-key。

[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key

[Sysname-ikev2-keychain-telecom-peer-peer1] quit

# 创建一个IKEv2 peer,名称为peer2。

[Sysname-ikev2-keychain-telecom] peer peer2

# 配置IKEv2 peer的非对称预共享密钥,签名密钥为明文111-key-b,验证密钥为明文111-key-a。

[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b

[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a

【相关命令】

·     ikev2 keychain

·     peer

3.1.38  prf

prf命令用来指定IKEv2安全提议使用的PRF算法。

undo prf命令用来恢复缺省情况。

【命令】

prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *

undo prf

【缺省情况】

IKEv2安全提议使用配置的完整性校验算法作为PRF算法。

【视图】

IKEv2安全提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

aes-xcbc-mac:指定IKEv2安全提议采用的PRF算法为HMAC-AES-XCBC-MAC。

md5:指定IKEv2安全提议采用的PRF算法为HMAC-MD5。

sha1:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-1。

sha256:指定IKEv2安全提议采用的PRF算法为 HMAC-SHA-256。

sha384:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-384。

sha512:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-512。

【使用指导】

一个IKEv2安全提议中可以配置多个PRF算法,其使用优先级按照配置顺序依次降低。

【举例】

# 创建IKEv2安全提议prop1。

<Sysname> system-view

[Sysname] ikev2 proposal prop1

# 指定该安全提议使用的PRF算法为MD5和SHA1,且优先选择SHA1。

[Sysname-ikev2-proposal-prop1] prf sha1 md5

【相关命令】

·     ikev2 proposal

·     integrity

3.1.39  priority (IKEv2 policy view)

priority命令用来指定IKEv2安全策略的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKEv2安全策略的优先级为100。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

priority:IKEv2安全策略优先级,取值范围为1~65535。该数值越小,优先级越高。

【使用指导】

本命令配置的优先级仅用于响应方在查找IKEv2安全策略时调整IKEv2安全策略的匹配顺序。

【举例】

# 指定IKEv2安全策略policy1的优先级为10。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] priority 10

【相关命令】

·     display ikev2 policy

3.1.40  priority (IKEv2 profile view)

priority命令用来配置IKEv2 profile的优先级。

undo priority命令用来恢复缺省情况。

【命令】

priority priority

undo priority

【缺省情况】

IKEv2 profile的优先级为100。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

priority:IKEv2 profile优先级,取值范围为1~65535。该数值越小,优先级越高。

【使用指导】

本命令配置的优先级仅用于响应方在查找IKEv2 Profile时调整IKEv2 Profile的匹配顺序。

【举例】

# 指定IKEv2 profile profile1的优先级为10。

<Sysname> system-view

[Sysname] ikev2 profile profile1

[Sysname-ikev2-profile-profile1] priority 10

3.1.41  proposal

proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。

undo proposal命令用来取消IKEv2安全策略引用的IKEv2安全提议。

【命令】

proposal proposal-name

undo proposal proposal-name

【缺省情况】

IKEv2安全策略未引用IKEv2安全提议。

【视图】

IKEv2安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

proposal-name:被引用的IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

若同时指定了多个IKEv2安全提议,则它们的优先级按照配置顺序依次降低。

【举例】

# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1。

<Sysname> system-view

[Sysname] ikev2 policy policy1

[Sysname-ikev2-policy-policy1] proposal proposal1

【相关命令】

·     display ikev2 policy

·     ikev2 proposal

3.1.42  reset ikev2 sa

reset ikev2 sa命令用来清除IKEv2 SA。

【命令】

reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

local:清除指定本端地址的IKEv2 SA信息。

remote:清除指定对端地址的IKEv2 SA信息。

ipv4-address:本端或对端的IPv4地址。

ipv6 ipv6-address:本端或对端的IPv6地址。

vpn-instance vpn-instance-name:清除指定VPN实例内的IKEv2 SA的详细信息,vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示清除公网的IKEv2 SA信息。

tunnel tunnel-id:清除指定IPsec隧道的IKEv2 SA信息,tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。

fast:不等待对端的回应,直接删除本端的IKEv2 SA。若不指定本参数,则表示需要在收到对端的删除通知响应之后,再删除本端的IKEv2 SA。

【使用指导】

清除IKEv2 SA时,会向对端发送删除通知消息,同时删除子SA。

如果不指定任何参数,则删除所有IKEv2 SA及其协商生成的子SA。

【举例】

# 删除对端地址为1.1.1.2 的IKEv2 SA。

<Sysname> display ikev2 sa

     Tunnel ID          Local             Remote             Status

  --------------------------------------------------------------------

     1                  1.1.1.1/500       1.1.1.2/500        EST

     2                  2.2.2.1/500       2.2.2.2/500        EST

  Status:

  IN-NEGO: Negotiating, EST: Established, DEL: Deleting

<Sysname> reset ikev2 sa remote 1.1.1.2

<Sysname> display ikev2 sa

     Tunnel ID          Local             Remote             Status

  --------------------------------------------------------------------

     2                  2.2.2.1/500       2.2.2.2/500        EST

  Status:

  IN-NEGO: Negotiating, EST: Established, DEL: Deleting

【相关命令】

·     display ikev2 sa

3.1.43  reset ikev2 statistics

reset ikev2 statistics命令用来清除IKEv2统计信息。

【命令】

reset ikev2 statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除IKEv2的统计信息。

<Sysname> reset ikev2 statistics

【相关命令】

·     display ikev2 statistics

3.1.44  sa duration

sa duration命令用来配置IKEv2 SA的生存时间。

undo sa duration命令用来恢复缺省情况。

【命令】

sa duration seconds

undo sa duration

【缺省情况】

IKEv2 SA的生存时间为86400秒。

【视图】

IKEv2 profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:IKEv2 SA的生存时间,取值范围为120~86400,单位为秒。

【使用指导】

在一个IKEv2 SA的生存时间到达之前,可以用该IKEv2 SA进行其它IKEv2协商。因此一个生存时间较长的IKEv2 SA可以节省很多用于重新协商的时间。但是,IKEv2 SA的生存时间越长,攻击者越容易收集到更多的报文信息来对它实施攻击。

本端和对端的IKEv2 SA生存时间可以不一致,也不需要进行协商,由生存时间较短的一方在本端IKEv2 SA生存时间到达之后发起重协商。

【举例】

# 创建IKEv2 profile,名称为profile1。

<Sysname> system-view

[Sysname] ikev2 profile profile1

# 配置IKEv2 SA的生存时间为1200秒。

[Sysname-ikev2-profile-profile1] sa duration 1200

【相关命令】

·     display ikev2 profile

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们