- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-IPsec命令
本章節下載: 05-IPsec命令 (593.05 KB)
1.1.1 ah authentication-algorithm
1.1.5 display ipsec policy-template
1.1.9 display ipsec statistics
1.1.10 display ipsec transform-set
1.1.14 esp authentication-algorithm
1.1.15 esp encryption-algorithm
1.1.16 ike-peer (IPsec policy view/IPsec policy template view/IPsec profile view)
1.1.17 ikev2 profile (IPsec policy view / IPsec policy template view / IPsec profile view)
1.1.18 ipsec anti-replay check
1.1.19 ipsec anti-replay window
1.1.21 ipsec cpu-backup enable
1.1.23 ipsec fragmentation before-encryption
1.1.24 ipsec invalid-spi-recovery enable
1.1.25 ipsec no-nat-process enable
1.1.26 ipsec policy (interface view)
1.1.27 ipsec policy (system view)
1.1.28 ipsec policy isakmp template
1.1.29 ipsec policy local-address
1.1.31 ipsec profile (system view)
1.1.32 ipsec profile (tunnel interface view)
1.1.33 ipsec sa global-duration
1.1.34 ipsec session idle-time
1.1.45 reverse-route preference
1.1.53 tfc enable (IPsec policy view/ IPsec policy template view/IPsec profile view)
2.1.1 authentication-algorithm
2.1.15 ike next-payload check disabled
2.1.16 ike oscca-main-mode enable
2.1.19 ike sa keepalive-timer interval
2.1.20 ike sa keepalive-timer timeout
2.1.21 ike sa nat-keepalive-timer interval
2.1.30 proposal (IKE peer view)
3.1.2 authentication (ikev2 profile view)
3.1.3 client configuration address respond
3.1.9 display ikev2 statistics
3.1.10 dpd (IKEv2 profile view)
3.1.12 group (ikev2 proposal view)
3.1.14 identity (IKEv2 peer view)
3.1.16 ikev2 { ip-pool | ipv6-pool }
3.1.22 ikev2 profile (system view)
3.1.34 peer (IKEv2 keyring view)
3.1.35 pki domain (IKEv2 profile view)
3.1.36 pre-shared-key (IKEv2 peer view)
3.1.37 prf (IKEv2 proposal view)
3.1.38 proposal (IKEv2 policy view)
對於安全策略的數據流保護方式,MSR係列路由器同時支持標準方式和聚合方式。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sm3 } *
undo ah authentication-algorithm
【視圖】
IPsec安全提議視圖
【缺省級別】
2:係統級
【參數】
aes-xcbc-mac:采用AES-XCBC-MAC認證算法。
md5:采用MD5認證算法,密鑰長度128位。
sha1:采用SHA-1認證算法,密鑰長度160位。
sm3:采用SM3認證算法,密鑰長度為256位。
【描述】
ah authentication-algorithm命令用來配置AH協議采用的認證算法。undo ah authentication-algorithm命令用來恢複缺省情況。
缺省情況下:
· 在FIPS模式下,設備不支持MD5和SM3算法,缺省認證算法為SHA-1。
· 在非FIPS模式下,缺省未指定認證算法。
需要注意的是,隻有先使用transform命令選擇了ah或ah-esp安全協議後,才能夠配置ah認證算法。
相關配置可參考命令ipsec transform-set和transform。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置IPsec安全提議prop1,設定AH協議采用SHA-1算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
[Sysname-ipsec-transform-set-prop1] ah authentication-algorithm sha1
【命令】
connection-name name
undo connection-name
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
name:IPsec連接的名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
connection-name命令用來配置IPsec連接名,該連接名用於描述一個IPsec安全策略。undo connection-name命令用來恢複缺省情況。
缺省情況下,無IPsec連接名。
【舉例】
# 配置一個IPsec連接名來描述序號為1的IPsec安全策略policy1。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] connection-name CenterToA
【命令】
cryptoengine enable
undo cryptoengine enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
cryptoengine enable命令用來使能加密引擎功能。undo cryptoengine enable命令用來禁止加密引擎功能。
缺省情況下,加密引擎功能處於開啟狀態。
【舉例】
# 使能加密引擎功能。
<Sysname> system-view
[Sysname] cryptoengine enable
【命令】
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
brief:顯示所有安全策略的簡要信息。
name:顯示指定安全策略的詳細信息。
policy-name:指定安全策略的名字,為1~15個字符的字符串。
seq-number:指定安全策略的順序號,取值範圍為1~65535。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec policy命令用來顯示IPsec安全策略的信息。
需要注意的是:
· 如果不指定任何參數,則顯示所有IPsec安全策略的詳細信息。
· 如果指定了name policy-name,而沒有指定seq-number,則顯示指定的IPsec安全策略組的詳細信息。
相關配置可參考命令ipsec policy (system-view)。
【舉例】
# 顯示所有安全策略的簡要信息。
<Sysname> display ipsec policy brief
IPsec Policy Name Mode ACL IKE Peer Name Mapped Template
------------------------------------------------------------------------
bbbbbbbbbbbbbbb-1 template aaaaaaaaaaaaaaa
man-1 manual 3400
map-1 isakmp 3000 peer
nat-1 isakmp 3500 nat
test-1 isakmp 3200 test
toccccc-1 isakmp 3003 tocccc
IPsec Policy Name Mode ACL Local Address Remote Address
------------------------------------------------------------------------
man-1 manual 3400 3.3.3.1 3.3.3.2
表1-1 display ipsec policy brief命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy Name |
安全策略的名字和順序號(例如map-1表示安全策略組名為map、順序號為1) |
|
Mode |
安全策略采用的協商方式 · manual:手工方式 · isakmp:IKE協商方式 · template:策略模板方式 · gdoi:GDOI方式 |
|
ACL |
安全策略引用的訪問控製列表 |
|
IKE Peer Name |
對等體的名稱 |
|
Mapped Template |
引用的安全策略模板名 |
|
Local Address |
本端的IP地址 |
|
Remote Address |
對端的IP地址 |
# 顯示所有安全策略的詳細信息。
<Sysname> display ipsec policy
===========================================
IPsec Policy Group: "policy_isakmp"
Interface: Ethernet1/1
===========================================
------------------------------------
IPsec policy name: "policy_isakmp"
sequence number: 10
acl version: ACL4
mode: isakmp
-------------------------------------
encapsulation mode: tunnel
security data flow : 3000
selector mode: standard
ike-peer name: per
PFS: N
transform-set name: prop1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
===========================================
IPsec Policy Group: "policy_man"
Interface: Ethernet1/2
===========================================
-----------------------------------------
IPsec policy name: "policy_man"
sequence number: 10
acl version: ACL4
mode: manual
-----------------------------------------
encapsulation mode: tunnel
security data flow : 3002
tunnel local address: 162.105.10.1
tunnel remote address: 162.105.10.2
transform-set name: prop1
inbound AH setting:
AH spi: 12345 (0x3039)
AH string-key:
AH authentication hex key : ******
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi: 54321 (0xd431)
AH string-key:
AH authentication hex key: ******
outbound ESP setting:
ESP spi: 65432 (0xff98)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
===========================================
IPsec Policy Group: "manual"
Interface:
Protocol: OSPFv3, RIPng, BGP
===========================================
-----------------------------
IPsec policy name: "policy001"
sequence number: 10
acl version: None
mode: manual
-----------------------------
encapsulation mode: tunnel
security data flow :
tunnel local address:
tunnel remote address:
transform-set name: prop1
inbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
inbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
outbound AH setting:
AH spi:
AH string-key:
AH authentication hex key:
outbound ESP setting:
ESP spi: 23456 (0x5ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
===========================================
IPsec Policy Group: "gdoi-map"
Interface: Ethernet1/1
===========================================
------------------------------------
IPsec policy name: " gdoi-map "
sequence number: 10
mode: gdoi
-------------------------------------
group name :gdoi-group
表1-2 display ipsec policy命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy Group |
IPsec安全策略組的名稱 |
|
security data flow |
IPsec安全策略引用的訪問控製列表 |
|
Interface |
應用了IPsec安全策略的接口名稱 |
|
Protocol |
應用了IPsec安全策略的協議名稱(策略未應用在任何路由協議上時,不顯示該字段) |
|
IPsec policy name |
IPsec安全策略的名稱 |
|
sequence number |
IPsec安全策略的順序號 |
|
acl version |
訪問控製列表的版本,包括ACL4和ACL6兩個版本 若未引用訪問控製列表,則顯示為None |
|
mode |
IPsec安全策略采用的協商方式 · mannul:手工方式 · isakmp:IKE協商方式 · template:策略模板方式 · gdoi:GDOI協商方式 |
|
encapsulation mode |
IPsec對IP報文的封裝模式 · tunnel:隧道模式 · transport:傳輸模式 |
|
policy template name |
IPsec安全策略模板名稱 |
|
selector mode |
IPsec安全策略的數據流保護方式 · standard:標準方式 · aggregation:聚合方式 |
|
ike-peer name |
IPsec安全策略引用的IKE對等體名稱 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH組,取值可包括1、2、5、14 |
|
tunnel local address |
隧道本端的IP地址 |
|
tunnel remote address |
隧道對端的IP地址 |
|
transform-set name |
IPsec安全策略引用的提議的名字 |
|
policy enable |
IPsec安全策略是否被使能 |
|
tfc enable |
TFC填充功能是否被使能 |
|
synchronization inbound anti-replay-interval |
入方向同步防重放窗口的間隔,單位為報文數 |
|
synchronization outbound anti-replay-interval |
出方向同步防重放序號的間隔,單位為報文數 |
|
inbound/outbound AH/ESP setting |
輸入/輸出端采用AH/ESP協議的有關設置,包括SPI和密鑰 |
|
group name |
GDOI組的名稱 |
【命令】
display ipsec policy-template [ brief | name template-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
brief:顯示所有IPsec安全策略模板的簡要信息。
name:顯示指定IPsec安全策略模板的詳細信息。
template-name:指定IPsec安全策略模板的名字,為1~41個字符的字符串。
seq-number:指定IPsec安全策略模板的順序號,取值範圍為1~65535。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec policy-template命令用來顯示IPsec安全策略模板的信息。
需要注意的是:
· 如果不指定任何參數,則顯示所有IPsec安全策略模板的詳細信息。
· 如果指定了name template-name,而沒有指定seq-number,則顯示指定的IPsec安全策略模板組的詳細信息。
相關配置可參考命令ipsec policy-template。
【舉例】
# 顯示所有IPsec安全策略模板的簡要信息。
<Sysname> display ipsec policy-template brief
Policy-template-Name acl Remote-Address
------------------------------------------------------
test-tplt300 2200
表1-3 display ipsec policy-template brief命令顯示信息描述表
|
字段 |
描述 |
|
Policy-template-Name |
IPsec安全策略模板的名字和順序號(例如test-tplt300表示IPsec安全策略組名為test-tplt、順序號為300) |
|
acl |
IPsec安全策略模板引用的訪問控製列表 |
|
Remote Address |
對端的IP地址 |
# 顯示所有IPsec安全策略模板詳細信息。
<Sysname> display ipsec policy-template
===============================================
IPsec Policy Template Group: "test"
===============================================
---------------------------------
Policy template name: "test"
sequence number: 1
---------------------------------
encapsulation mode: tunnel
security data flow :
ACL’s Version: acl4
ike-peer name: per
PFS: N
transform-set name: testprop
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
表1-4 display ipsec policy-template命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template Group |
IPsec安全策略模板組名稱 |
|
Policy template name |
IPsec安全策略模板名稱 |
|
sequence number |
IPsec安全策略模板的序號 |
|
encapsulation mode |
IPsec對IP報文的封裝模式 · tunnel:隧道模式 · transport:傳輸模式 |
|
security data flow |
IPsec安全策略模板引用的訪問控製列表 |
|
ACL’s Version |
訪問控製列表的版本,包括如下取值: · acl4:IPv4 ACL · acl6:IPv6 ACL |
|
ike-peer name |
IPsec安全策略模板引用的IKE對等體名稱 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH組,取值可包括1、2、5、14 |
|
transform-set name |
IPsec安全策略模板引用的提議的名字 |
|
synchronization inbound anti-replay-interval |
入方向IPsec SA防重放窗口的間隔,以報文數量為單位 |
|
synchronization outbound anti-replay-interval |
出方向IPsec SA防重放序號的間隔,以報文數量為單位 |
|
IPsec sa local duration(time based) |
安全聯盟的基於時間的本地生存時間 |
|
IPsec sa local duration(traffic based) |
安全聯盟的基於流量的本地生存時間 |
【命令】
display ipsec profile [ name profile-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
name profile-name:顯示指定IPsec安全框架的配置信息。其中,profile-name表示IPsec安全框架的名稱,為1~15個字符的字符串,不區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec profile命令用來顯示IPsec安全框架的配置信息。
需要注意的是,如果沒有指定IPsec安全框架的名稱,則顯示所有IPsec安全框架的配置信息。
相關配置可參考命令ipsec profile。
【舉例】
# 顯示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
===========================================
IPsec profile: "2"
Interface: Tunnel2
===========================================
-----------------------------
IPsec profile name: "2"
mode: dvpn
-----------------------------
encapsulation mode: tunnel
security data flow :
ike-peer name: peer1
PFS: Y, DH group: 2
transform-set name: prop1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
===========================================
IPsec profile: "btoa"
Interface: Tunnel1
===========================================
-----------------------------
IPsec profile name: "btoa"
mode: tunnel
-----------------------------
encapsulation mode: tunnel
security data flow :
ike-peer name: btoa
PFS: N
transform-set name: method1
synchronization inbound anti-replay-interval: 1000 packets
synchronization outbound anti-replay-interval: 10000 packets
IPsec sa local duration(time based): 3600 seconds
IPsec sa local duration(traffic based): 1843200 kilobytes
policy enable: True
tfc enable: False
表1-5 display ipsec profile命令顯示信息描述表
|
字段 |
描述 |
|
IPsec profile |
指定的IPsec安全框架 |
|
Interface |
應用了安全框架的接口名稱 |
|
IPsec profile name |
IPsec安全框架的名稱 |
|
mode |
IPsec安全框架所采用的封裝模式 · dvpn:DVPN隧道模式 · tunnel:IPsec虛擬隧道模式 |
|
encapsulation mode |
IPsec對IP報文的封裝模式 · tunnel:隧道模式 · transport:傳輸模式 |
|
security data flow |
IPsec安全策略引用的訪問控製列表 由於IPsec安全框架無需引用任何訪問控製列表,因此此處顯示無任何實際意義 |
|
ike-peer name |
IPsec安全框架引用的IKE對等體名稱 |
|
synchronization inbound anti-replay-interval |
入方向同步防重放窗口的間隔,單位為報文數 |
|
synchronization outbound anti-replay-interval |
出方向同步防重放序號的間隔,單位為報文數 |
|
PFS |
是否使用完善的前向安全(Perfect Forward Secrecy)特性 |
|
DH group |
使用的DH組,取值可包括1、2、5、14 |
|
transform-set name |
IPsec安全框架引用的IPsec安全提議的名稱 |
|
IPsec sa local duration(time based) |
安全聯盟的基於時間的本地生存時間 |
|
IPsec sa local duration(traffic based) |
安全聯盟的基於流量的本地生存時間 |
|
policy enable |
IPsec安全策略是否被使能 |
|
tfc enable |
TFC填充功能是否被使能 |
【命令】
display ipsec sa [ brief | policy policy-name [ seq-number ] | remote ip-address ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
brief:顯示所有的安全聯盟的簡要信息。
policy:顯示由指定IPsec安全策略創建的安全聯盟的詳細信息。
policy-name:指定IPsec安全策略的名字,為1~15個字符的字符串。
seq-number:指定IPsec安全策略的順序號,取值範圍為1~65535。
remote ip-address:顯示指定對端IP地址的安全聯盟的詳細信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec sa命令用來顯示安全聯盟的相關信息。
需要注意的是,當未指定任何參數時,顯示所有的安全聯盟的信息。
相關配置可參考命令reset ipsec sa和ipsec sa global-duration。
【舉例】
# 顯示安全聯盟的簡要信息。
<Sysname> display ipsec sa brief
total phase-2 IPv4 SAs: 0
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
10.1.1.1 10.1.1.2 300 ESP E:DES;
A:HMAC-MD5-96
10.1.1.2 10.1.1.1 400 ESP E:DES;
A:HMAC-MD5-96
total phase-2 IPv6 SAs: 0
Src Address Dst Address SPI Protocol Algorithm
--------------------------------------------------------
表1-6 display ipsec sa brief命令顯示信息描述表
|
字段 |
描述 |
|
Src Address |
本端的IP地址,“—”表示不關心該地址 |
|
Dst Address |
對端的IP地址,“—”表示不關心該地址 |
|
SPI |
安全參數索引 |
|
Protocol |
IPsec采用的安全協議 |
|
Algorithm |
安全協議采用的認證算法和加密算法,其中,以“E:”開頭表示加密算法;以“A:”開頭表示認證算法;NULL表示未指定相關算法 |
【命令】
display ipsec session [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
integer:顯示指定IPsec隧道的會話信息,取值範圍為1~2000000000。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec session命令用來顯示IPsec會話的信息。
需要注意的是,如果不指定任何參數,則顯示所有IPsec會話信息。
通過會話可以直接查找到匹配的隧道,節省了大量的中間匹配過程,提高了IPsec的轉發效率。會話用協議、源地址、源端口、目的地址、目的端口五元組來標識。
相關配置可參考命令reset ipsec session。
【舉例】
# 顯示所有的IPsec會話信息。
<Sysname> display ipsec session
------------------------------------------------------------
total sessions : 2
------------------------------------------------------------
tunnel-id : 3
session idle time/total duration (sec) : 36/300
session flow : (8 times matched)
Sour Addr : 15.15.15.1 Sour Port: 0 Protocol : 1
Dest Addr : 15.15.15.2 Dest Port: 0 Protocol : 1
------------------------------------------------------------
tunnel-id : 4
session idle duration/total duration (sec) : 7/300
session flow : (3 times matched)
Sour Addr : 12.12.12.1 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.1 Dest Port: 0 Protocol : 1
# 顯示IPsec隧道ID為5的會話信息。
<Sysname> display ipsec session tunnel-id 5
------------------------------------------------------------
total sessions : 1
------------------------------------------------------------
tunnel-id : 5
session idle time/total duration (sec) : 30/300
session flow : (4 times matched)
Sour Addr : 12.12.12.2 Sour Port: 0 Protocol : 1
Dest Addr : 13.13.13.2 Dest Port: 0 Protocol : 1
表1-7 display ipsec session命令顯示信息描述表
|
字段 |
描述 |
|
total sessions |
IPsec會話的總個數 |
|
tunnel-id |
IPsec的隧道標識 |
|
session idle time |
IPsec會話的空閑時間,單位為秒 |
|
total duration |
IPsec會話總的生命周期,單位為秒,缺省值為300秒 |
|
session flow |
IPsec會話的流信息 |
|
times matched |
匹配此IPsec會話的報文數 |
|
Sour Addr |
IPsec會話源IP地址 |
|
Dest Addr |
IPsec會話目的IP地址 |
|
Sour Port |
IPsec會話的源端口號 |
|
Dest Port |
IPsec會話的目的端口號 |
|
Protocol |
IPsec保護報文的協議號,例如:1代表ICMP |
【命令】
display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
tunnel-id integer:顯示指定IPsec隧道的報文統計信息。其中,integer為隧道的ID號,取值範圍為1~2000000000。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec statistics命令用來顯示IPsec處理報文的統計信息。
需要注意的是,如果不指定任何參數,則顯示所有IPsec處理的報文統計信息。
相關配置可參考命令reset ipsec statistics。
【舉例】
# 顯示所有IPsec處理的報文統計信息。
<Sysname> display ipsec statistics
the security packet statistics:
input/output security packets: 47/62
input/output security bytes: 3948/5208
input/output dropped security packets: 0/45
dropped security packet detail:
not enough memory: 0
can't find SA: 45
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
ACL check failure: 0
# 顯示隧道ID為3的IPsec報文統計信息。
<Sysname> display ipsec statistics tunnel-id 3
------------------------------------------------
Connection ID : 3
------------------------------------------------
the security packet statistics:
input/output security packets: 5124/8231
input/output security bytes: 52348/64356
input/output dropped security packets: 0/0
dropped security packet detail:
not enough memory: 0
queue is full: 0
authentication has failed: 0
wrong length: 0
replay packet: 0
packet too long: 0
wrong SA: 0
ACL check failure: 0
表1-8 display ipsec statistics命令顯示信息描述表
|
字段 |
描述 |
|
Connection ID |
隧道ID號 |
|
input/output security packets |
受安全保護的輸入/輸出數據包 |
|
input/output security bytes |
受安全保護的輸入/輸出字節數 |
|
input/output dropped security packets |
被設備丟棄了的受安全保護的輸入/輸出數據包 |
|
dropped security packet detail |
被丟棄的輸入/輸出數據包的詳細信息(包括以下各項) |
|
not enough memory |
因為內存不足而被丟棄的數據包的數目 |
|
can't find SA |
因為找不到安全聯盟而被丟棄的數據包的數目 |
|
queue is full |
因為隊列滿而被丟棄的數據包的數目 |
|
authentication has failed |
因為認證失敗而被丟棄的數據包的數目 |
|
wrong length |
因為數據包長度不正確而被丟棄的數據包的數目 |
|
replay packet |
重放的數據包的數目 |
|
packet too long |
因為數據包過長而被丟棄的數據包的數目 |
|
wrong SA |
因為安全聯盟不正確而被丟棄的數據包的數目 |
|
ACL check failure |
因為ACL檢測失敗而被丟棄的數據包的數目 |
【命令】
display ipsec transform-set [ transform-set-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
transform-set-name:顯示指定的IPsec安全提議。transform-set-name表示IPsec安全提議的名字,為1~32個字符的字符串。如果不指定本參數,則顯示所有IPsec安全提議的信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec transform-set命令用來顯示IPsec安全提議的信息。
如果沒有指定IPsec安全提議的名字,則顯示所有IPsec安全提議的信息。
相關配置可參考命令ipsec transform-set。
【舉例】
# 顯示所有IPsec安全提議的信息。
<Sysname> display ipsec transform-set
IPsec transform-set name: tran1
encapsulation mode: tunnel
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
IPsec transform-set name: tran2
encapsulation mode: transport
transform: esp-new
ESP protocol:
Integrity: md5-hmac-96
Encryption: des
表1-9 display ipsec transform-set命令顯示信息描述表
|
字段 |
描述 |
|
IPsec transform-set name |
IPsec安全提議的名字 |
|
encapsulation mode |
提議采用的封裝模式,包括兩種:傳輸(transport)和隧道(tunnel)模式 |
|
transform |
提議采用的安全協議,包括三種:AH協議、ESP協議、AH-ESP(先采用ESP協議,再采用AH協議) |
|
AH protocol |
AH協議采用的認證算法 |
|
ESP protocol |
ESP協議采用的認證算法和加密算法 |
【命令】
display ipsec tunnel [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipsec tunnel命令用來顯示IPsec隧道的信息。
不指定任何參數的情況下,則顯示所有IPsec隧道的信息。
【舉例】
# 顯示IPsec隧道的信息。
<Sysname> display ipsec tunnel
total tunnel : 2
------------------------------------------------
connection id: 3
perfect forward secrecy:
SA's SPI:
inbound: 187199087 (0xb286e6f) [ESP]
outbound: 3562274487 (0xd453feb7) [ESP]
tunnel:
local address: 44.44.44.44
remote address : 44.44.44.55
flow:
sour addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
dest addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP
current Encrypt-card:
------------------------------------------------
connection id: 5
perfect forward secrecy:
SA's SPI:
inbound: 12345 (0x3039) [ESP]
outbound: 12345 (0x3039) [ESP]
tunnel:
flow:
current Encrypt-card:
# 顯示聚合方式下的IPsec隧道信息。
<Sysname> display ipsec tunnel
total tunnel: 2
------------------------------------------------
connection id: 4
perfect forward secrecy:
SA's SPI:
inbound : 2454606993 (0x924e5491) [ESP]
outbound : 675720232 (0x2846ac28) [ESP]
tunnel :
local address: 44.44.44.44
remote address : 44.44.44.45
flow :
as defined in acl 3001
current Encrypt-card :
表1-10 display ipsec tunnel命令顯示信息描述表
|
字段 |
描述 |
|
connection id |
連接標識符,用來唯一地標識一個IPsec Tunnel |
|
perfect forward secrecy |
完善的前向安全,標誌IKE第二階段快速模式使用哪個DH組 |
|
SA's SPI |
出方向和入方向的安全策略索引 |
|
tunnel |
IPsec隧道端點的地址 |
|
flow |
IPsec隧道保護的數據流,包括源地址、目的地址、源端口、目的端口、協議 |
|
as defined in acl 3001 |
IPsec隧道保護ACL 3001中定義的所有數據流 |
|
current Encrypt-card |
當前Tunnel使用的加密卡接口,若未使用,則不顯示 |
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【視圖】
IPsec安全提議視圖/IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省級別】
2:係統級
【參數】
transport:采用傳輸模式。
tunnel:采用隧道模式。
【描述】
encapsulation-mode命令用來配置安全協議對IP報文的封裝形式。undo encapsulation-mode命令用來恢複缺省情況。
缺省情況下,安全協議采用隧道模式對IP報文進行封裝。
若要配置應用於IPv6路由協議的手工IPsec安全策略,則該IPsec安全策略引用的安全提議僅支持傳輸模式的封裝模式。
需要注意的是:
· 采用IKEv1協商方式建立IPsec安全隧道時,此命令隻適用於被IPsec安全提議引用,相關配置可參考命令ipsec transform-set。
· 采用IKEv2協商方式建立IPsec安全隧道時,此命令隻適用於被IPsec安全策略、IPsec安全策略模板或IPsec安全框架引用,相關配置可參考命令ipsec policy (system view)、ipsec policy-template和ipsec profile (system view)。
相關配置可參考命令ipsec transform-set。
【舉例】
# 采用IKEv1方式建立IPsec安全隧道時,配置名為tran1的安全提議采用傳輸模式對IP報文進行封裝。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
# 采用IKEv2方式建立IPsec安全隧道時,配置名為policy1且順序號為100的安全策略采用傳輸模式對IP報文進行封裝。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] encapsulation-mode transport
【命令】
esn enable
undo esn enable
【視圖】
IPsec安全提議視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
esn enable命令用來使能ESN(Extended Sequence Number,擴展序列號)功能。undo esn enable命令用來關閉ESN功能。
缺省情況下,ESN功能處於關閉狀態。
ESN功能用於擴展防重放序列號的範圍,可將抗重放序列號長度由傳統的32比特擴大到64比特。在有大量數據流需要使用IPsec SA保護進行高速傳輸的情況下,該功能可避免防重放序列號被過快消耗而引發頻繁地重協商。
隻有發起方和響應方都使能了ESN功能,ESN功能才能生效。
相關配置可參考命令ipsec transform-set。
【舉例】
# 配置IPsec安全提議prop1,使能ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] esn enable
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sm3 } *
undo esp authentication-algorithm
【視圖】
IPsec安全提議視圖
【缺省級別】
2:係統級
【參數】
aes-xcbc-mac:采用AES-XCBC-MAC認證算法。
md5:采用MD5認證算法,密鑰長度128位。
sha1:采用SHA-1認證算法,密鑰長度160位。
sm3 : 采用SM3認證算法,密鑰長度為256位。
【描述】
esp authentication-algorithm命令用來配置ESP協議采用的認證算法。undo esp authentication-algorithm命令用來恢複缺省情況。
缺省情況下:
· 在FIPS模式下,設備不支持MD5和SM3算法,缺省認證算法為SHA-1。
· 在非FIPS模式下,缺省未指定認證算法。
需要注意的是:
· MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。對於保密及安全性要求較高的地方,建議采用SHA-1算法;對於普通安全需求,采用MD5算法即可。
· 未配置FIPS模式時,ESP協議允許對報文同時進行加密和認證,或隻加密,或隻認證;配置了FIPS模式時,ESP協議必須同時設置加密算法和認證算法。
相關配置可參考命令ipsec transform-set、esp encryption-algorithm。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置IPsec安全提議prop1采用ESP協議並使用SHA-1認證算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp authentication-algorithm sha1
【命令】
esp encryption-algorithm { 3des | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des | sm1-cbc-128 | sm1-cbc-192 | sm1-cbc-256 } *
undo esp encryption-algorithm
【視圖】
IPsec安全提議視圖
【缺省級別】
2:係統級
【參數】
3des:CBC模式的3DES算法,3DES算法采用168比特的密鑰進行加密。
aes-cbc-128:CBC模式的AES算法,密鑰長度為128比特。
aes-cbc-192:CBC模式的AES算法,密鑰長度為192比特。
aes-cbc-256:CBC模式的AES算法,密鑰長度為256比特。
aes-ctr-128:CTR模式的AES算法,密鑰長度為128比特。
aes-ctr-192:CTR模式的AES算法,密鑰長度為192比特。
aes-ctr-256:CTR模式的AES算法,密鑰長度為256比特。
camellia-cbc-128:CBC模式的camellia算法,密鑰長度為128比特。
camellia-cbc-192:CBC模式的camellia算法,密鑰長度為192比特。
camellia-cbc-256:CBC模式的camellia算法,密鑰長度為256比特。
des:CBC模式的DES算法,密鑰長度為56比特。
sm1-cbc-128:CBC模式的SM1算法,密鑰長度為128比特。
sm1-cbc-192:CBC模式的SM1算法,密鑰長度為192比特。
sm1-cbc-256:CBC模式的SM1算法,密鑰長度為256比特。
【描述】
esp encryption-algorithm命令用來配置ESP協議采用的加密算法。undo esp encryption-algorithm命令用來恢複缺省情況。
缺省情況下:
· 在FIPS模式下,設備不支持DES、3DES和SM1算法,缺省加密算法為AES-128。
· 在非FIPS模式下,缺省未指定加密算法。
需要注意的是,未配置FIPS模式時,ESP協議允許對報文同時進行加密和認證,或隻加密,或隻認證;配置了FIPS模式時,ESP協議必須對報文同時進行加密和認證,如果刪除了加密或認證算法,其將會恢複到缺省情況。
相關配置可參考命令display ipsec transform-set和esp authentication-algorithm。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置IPsec安全提議prop1采用ESP協議並使用3DES加密算法。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform esp
[Sysname-ipsec-transform-set-prop1] esp encryption-algorithm 3des
【命令】
ike-peer peer-name [ primary ]
undo ike-peer peer-name
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省級別】
2:係統級
【參數】
peer-name:IKE對等體名,為1~32個字符的字符串。
primary:指定該IKE對等體為primary IKE 對等體。
【描述】
ike-peer命令用來在IKE協商方式配置的IPsec安全策略、IPsec安全策略模板或者IPsec安全框架中引用IKE對等體。undo ike peer命令用來取消在IPsec安全策略、IPsec安全策略模板或者IPsec安全框架中引用IKE對等體。
如果創建的IPsec安全策略為isakmp方式,則可以在該視圖下配置多條ike-peer命令,使安全策略引用多個IKE對等體,形成IKE對等體列表。如果使用當前IKE對等體協商失敗,則會嚐試使用列表中的下一個IKE對等體進行協商。
如果在配置ike-peer命令時指定了primary關鍵字,則該IKE對等體具有高優先級,每次觸發協商時都將從這個IKE對等體開始。每個IPsec安全策略視圖下最多隻能有一個primary方式的IKE對等體。
在需要引用多條對等體的環境中,請盡量減少引用的對等體數量,同時指定一條對等體是primary IKE 對等體,這樣可以提高協商效率。
相關配置可參考命令ipsec policy或ipsec profile。
【舉例】
# 配置在IPsec安全策略中引用IKE對等體。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1
# 配置在IPsec安全策略中引用多個IKE對等體。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer2
# 配置在IPsec安全策略中引用多個IKE對等體,並指定一個IKE對等體為primary IKE對等體。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1 primary
[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer2
# 配置在IPsec安全框架中引用IKE對等體。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile- profile1] ike-peer peer1
【命令】
ikev2 profile profile-name
undo ikev2 profile
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec profile視圖
【缺省級別】
2:係統級
【參數】
profile-name:IKEv2 profile的名稱,為1~32的字符串,不區分大小寫。
【描述】
ikev2 profile命令用來配置IPsec安全策略、IPsec安全策略策略模板以及IPsec profile引用的IKEv2 profile。undo ikev2 profile命令用來取消引用的IKEv2 profile。
缺省情況下,未引用任何IKEv2 profile。
需要注意的是:
· 在同一個IPsec安全策略或IPsec profile下不能同時指定IKE對等體和IKEv2 profile,IKE對等體用於IKEv1(第1版本的IKE協議)協商,IKEv2 profile用於IKEv2(第2版本的IKE協議)協商。
· 要引用的IKEv2 profile必須已經存在。
相關配置可參考命令ikev2 profile (system view)、ipsec policy (system view)和ipsec profile (system view)。
【舉例】
# 配置IPsec安全策略引用名稱為profile1的IKEv2 profile。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] ikev2 profile profile1
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec anti-replay check命令用來開啟IPsec抗重放檢測功能。undo ipsec anti-replay check用來關閉IPsec抗重放檢測功能。
缺省情況下,IPsec抗重放檢測功能處於開啟狀態。
【舉例】
# 開啟IPsec抗重放檢測。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
width:IPsec抗重放窗口的寬度,可取的值為32、64、128、256、512、1024。
【描述】
ipsec anti-replay window命令用來配置IPsec抗重放窗口的寬度。undo ipsec anti-replay window命令用來恢複缺省情況。
缺省情況下,IPsec抗重放窗口的寬度為32。
需要注意的是,修改後的配置僅對於新協商成功的IPsec SA生效。
【舉例】
# 配置IPsec抗重放窗口的寬度為64。
<Sysname> system-view
[Sysname] ipsec anti-replay window 64
【命令】
ipsec binding policy policy-name [ seq-number ] [ primary ]
undo ipsec binding policy policy-name [ seq-number ] [ primary ]
【視圖】
加密卡接口視圖
【缺省級別】
2:係統級
【參數】
policy-name:IPsec安全策略組或者IPsec安全框架的名字,為1~15個字符的字符串,不區分大小寫,字符可以是英文字母或者數字,不能包括減號“-”。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535,值越小優先級越高。
primary:指定當前加密卡為IPsec安全策略(組)或者IPsec安全框架的主卡。即IPsec安全策略(組)或者IPsec安全框架優先使用該卡處理。
【描述】
ipsec binding policy命令用來在加密卡接口上綁定IPsec安全策略(組)或者IPsec安全框架。undo ipsec binding policy命令用來從加密卡接口上取消與IPsec安全策略(組)或者IPsec安全框架的綁定。
缺省情況下,沒有綁定任何IPsec安全策略(組)或者IPsec安全框架。
需要注意的是:
· 加密卡綁定IPsec安全策略組與在接口上應用IPsec安全策略組沒有先後順序,但必須首先建立IPsec安全策略組。如果先在加密卡上綁定了IPsec安全策略組,要使匹配該策略的流量通過加密卡處理,則此IPsec安全策略組至少要應用到一個接口上。
· 在一個加密卡接口下,可以綁定多個IPsec安全策略(組)/安全框架。一個IPsec安全策略(組)/安全框架可以綁定到多個加密卡接口上。
· 加密卡接口下不能綁定IPsec安全策略模板,但是應用IPsec安全策略模板生成的IPsec安全策略則可以被綁定到加密卡接口下。
· 在一個加密卡接口上,綁定IPsec安全策略(組)/安全框架的同時可以指定當前加密卡為主卡,並以最後一次指定的主卡為有效主卡。但若此IPsec安全策略(組)/安全框架已經在當前加密卡上綁定過,先前綁定的相同名稱的IPsec安全策略(組)/安全框架會被覆蓋。
· 當使用加密卡對報文進行加密時,IPsec安全策略(組)/安全框架首先選取綁定的主卡作為當前使用加密卡。如果沒有配置主卡,則按照綁定的先後順序從綁定的加密卡中選取一塊作為當前加密卡。一旦IPsec安全策略(組)/安全框架指定某塊加密卡作為主卡,則立即將當前使用加密卡切換到主卡。
相關配置可參考命令ipsec policy (System view) 和ipsec profile (System view)。
MSR係列路由器各款型對於本節所描述的命令支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
ipsec binding policy |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
支持(需要安裝MIM加密模塊) |
|
|
MSR 50 |
支持(需要安裝FIC加密模塊,MSR 50-06不支持) |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持(需要安裝MIM加密模塊) |
【舉例】
# 在Encryp1/0接口上綁定名稱為map的IPsec安全策略組。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map
# 在Encrypt1/0接口上綁定名稱為map1,優先級為10的IPsec安全策略。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10
# 在Encryp1/0接口上綁定名稱為map的IPsec安全策略組,並指定當前加密卡為IPsec安全策略組的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map primary
# 在Encrypt1/0接口上綁定名稱為map1,優先級為10的IPsec安全策略,並指定當前加密卡為IPsec安全策略的主卡。
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1 10 primary
# 在Encryp1/0接口上綁定名稱為map1的IPsec安全框架。
<Sysname> system-view
[Sysname] interface encrypt 1/0
[Sysname-Encrypt1/0] ipsec binding policy map1
【命令】
ipsec cpu-backup enable
undo ipsec cpu-backup enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec cpu-backup enable命令用來使能主體軟件備份功能。undo ipsec cpu-backup enable命令用來禁止主體軟件備份功能。
缺省情況下,主體軟件備份功能處於使能狀態。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
ipsec cpu-backup enable |
支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
支持 |
|
|
MSR 930 |
支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 使能主體軟件備份功能。
<Sysname> system-view
[Sysname] ipsec cpu-backup enable
【命令】
ipsec decrypt check
undo ipsec decrypt check
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec decrypt check命令用來使能解封裝後IPsec報文的ACL檢查功能。undo ipsec decrypt check命令用來關閉解封裝後IPsec報文的ACL檢查功能。
缺省情況下,解封裝後IPsec報文的ACL檢查功能處於使能狀態。
【舉例】
# 使能對解封裝後IPsec報文的ACL檢查功能。
<Sysname> system-view
[Sysname] ipsec decrypt check
【命令】
ipsec fragmentation before-encryption enable
undo ipsec fragmentation before-encryption enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec fragmentation before-encryption enable命令用來使能加密前分片功能。undo ipsec fragmentation before-encryption enable命令用來使能加密後分片功能。
缺省情況下,加密前分片功能處於開啟狀態。
使能加密前分片功能後,如果待封裝報文封裝後的大小超過接口MTU值,則對報文先分片再封裝;使能加密後分片功能後,對待封裝報文先進行封裝,封裝後的報文尺寸如果超過接口MTU值,則再進行分片。
需要注意的是:
· 使能加密前分片功能後,如果滿足分片要求的待封裝報文被設置了DF位,則丟棄該報文,並發送ICMP差錯控製報文。
· 若設備的某接口上應用了IPsec GDOI安全策略,則必須使能加密前分片功能,否則會導致對端接口上報文尺寸大於接口MTU的報文解密失敗。
【舉例】
# 使能加密前分片功能。
<Sysname> system-view
[Sysname] ipsec fragmentation before-encryption enable
【命令】
ipsec invalid-spi-recovery enable
undo ipsec invalid-spi-recovery enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec invalid-spi-recovery enable命令用來使能IPsec無效SPI(Security Parameter Index,安全參數索引)恢複功能。undo ipsec invalid-spi-recovery enable命令用來恢複缺省情況。
缺省情況下,IPsec無效SPI恢複功能處於關閉狀態,將丟棄收到的無效SPI的IPsec報文。
使能了IPsec無效SPI恢複功能的接收端收到無效SPI的IPsec報文後,即根據報文中的SPI查找不到指定的IPsec SA時,則觸發本端IKE向報文的源端發送INVALID SPI NOTIFY消息,通知源端刪除此SPI對應的SA,若源端後續還存在到本端的流量時,則可觸發IPsec通信兩端重建SA。
【舉例】
# 使能IPsec無效SPI恢複功能。
<Sysname> system-view
[Sysname] ipsec invalid-spi-recovery enable
【命令】
ipsec no-nat-process enable
undo ipsec no-nat-process enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipsec no-nat-process enable命令用來使能接口下的NAT業務將報文透傳給IPSec業務處理,不進行NAT轉換。undo ipsec no-nat-process enable命令用來恢複缺省狀態。
缺省狀態下,如果接口下同時配置了NAT和IPSec,則接口發送的報文,會依次經過NAT業務和IPSec業務的處理。
在某些特殊的應用環境下,用戶要求需要被IPSec業務處理的報文,不經過NAT業務處理,即不做NAT地址轉換,而直接由IPSec業務進行處理。對於這種情況,可以通過使能本命令,允許接口下的NAT業務將報文透傳給IPSec業務處理,不進行NAT轉換。
【舉例】
# 使能接口下的NAT業務將報文透傳給IPSec業務處理,不進行NAT轉換。
<Sysname> system-view
[Sysname] interface ethernet 0/0
[Sysname-Ethernet0/0] ipsec no-nat-process enable
【命令】
ipsec policy policy-name
undo ipsec policy [ policy-name ]
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
policy-name:指定應用在接口上的IPsec安全策略組的名字,為1~15個字符的字符串。在係統視圖下,必須已經配置了名字為policy-name的IPsec安全策略組。
【描述】
ipsec policy命令用來在接口上應用指定的IPsec安全策略組。undo ipsec policy命令用來從接口上取消應用的IPsec安全策略組,使此接口不再具有IPsec的安全保護功能。
需要注意的是:
· 在一個接口上,隻能應用一個IPsec安全策略組。在一個接口上應用一個IPsec安全策略組,實際上是同時應用了IPsec安全策略組中所有的IPsec安全策略,從而能夠對不同的數據流采用不同的安全聯盟進行保護。如果要在接口上應用另一個IPsec安全策略組,必須先從接口上取消應用的IPsec安全策略組。一個IPsec安全策略組可應用到多個接口上。
· 當從一個接口發送報文時,將按照順序號從小到大的順序查找IPsec安全策略組中每一條IPsec安全策略。如果報文匹配了一條IPsec安全策略引用的訪問控製列表,則使用這條IPsec安全策略對報文進行處理;如果報文沒有匹配IPsec安全策略引用的訪問控製列表,則繼續查找下一條IPsec安全策略;如果報文對所有IPsec安全策略引用的訪問控製列表都不匹配,則報文直接被發送(IPsec不對報文加以保護)。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 在Serial2/2接口上應用名為pg1的IPsec安全策略組。
<Sysname> system-view
[Sysname] interface serial 2/2
[Sysname-Serial2/2] ipsec policy pg1
【命令】
ipsec policy policy-name seq-number [ gdoi | isakmp | manual ]
undo ipsec policy policy-name [ seq-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:IPsec安全策略的名字,為1~15個字符的字符串,不區分大小寫,不能包括減號“-”。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535。
gdoi:指定采用GDOI方式建立安全聯盟。
isakmp:指定通過IKE協商建立安全聯盟。
manual:指定用手工方式建立安全聯盟。
【描述】
ipsec policy命令用來創建一條IPsec安全策略,並進入IPsec安全策略視圖。undo ipsec policy命令用來刪除指定的IPsec安全策略。
缺省情況下,沒有任何IPsec安全策略存在。
需要注意的是:
· 使用此命令創建IPsec安全策略時,必須指定協商方式,但進入已創建的IPsec安全策略時,可以不指定協商方式。
· 不能修改已創建的IPsec安全策略的協商方式,隻能先刪除該IPsec安全策略,再重新創建。
· 具有相同名字的IPsec安全策略一起組成一個IPsec安全策略組。由名字和順序號一起確定一條唯一的IPsec安全策略。在一個IPsec安全策略組中,順序號seq-number越小的IPsec安全策略,優先級越高。
· 不帶seq-number參數的undo命令用來刪除一個IPsec安全策略組。
· 對於構建Group Domain VPN的組網環境,需要在GM上配置采用GDOI方式建立安全聯盟的安全策略。Group Domain VPN的相關配置請參見“安全配置指導”中的“Group Domain VPN”。
相關配置可參考命令ipsec policy (Interface view)和display ipsec policy。
【舉例】
# 配置名字為policy1,順序號為101,采用手工方式建立安全聯盟的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【命令】
ipsec policy policy-name seq-number isakmp template template-name
undo ipsec policy policy-name [ seq-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:IPsec安全策略的名字,為1~15個字符的字符串,不區分大小寫,不能包括減號“-”。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535,值越小優先級越高。
isakmp template template-name:指定被引用的IPsec安全策略模板的名字。
【描述】
ipsec policy isakmp template命令用來引用IPsec安全策略模板創建一條IPsec安全策略,該IPsec安全策略由IKE協商建立安全聯盟。undo ipsec policy命令用來刪除指定的IPsec安全策略。
需要注意的是:
· 不帶seq-number參數的undo命令用來刪除一個IPsec安全策略組;
· 在配置此命令前,必須已經創建IPsec安全策略模板。
· 引用IPsec安全策略模板創建一條IPsec安全策略之後,就不能進入該IPsec安全策略視圖下進行IPsec安全策略的配置與修改了,隻能進入IPsec安全策略模板視圖下配置或修改。
· 不能修改已創建的IPsec安全策略的協商方式,隻能先刪除該IPsec安全策略,再重新創建。
相關配置可參考命令ipsec policy (system view)和ipsec policy-template。
【舉例】
# 引用策略模板temp1創建名字為policy2,順序號為200的一條IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【命令】
ipsec policy policy-name local-address loopback number
undo ipsec policy policy-name local-address
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:IPsec安全策略組的名字,為1~15個字符的字符串,不區分大小寫,字符可以是英文字母或者數字,不能包括減號“-”。
loopback number:指定共享源接口為Loopback接口,其中number表示Loopback接口編號。
【描述】
ipsec policy local-address命令用來配置IPsec安全策略組為共享源接口IPsec安全策略組,即將指定的IPsec安全策略組與一個源接口(目前僅支持Loopback接口)進行綁定。undo ipsec policy local-address命令用來取消IPsec安全策略組為共享源接口IPsec安全策略組的配置。
需要注意的是:
· 引用的IPsec安全策略組與Loopback接口必須已經創建,否則配置不成功。
· 引用的IPsec安全策略組必須配置了具體的IPsec安全策略,否則配置不能生效。
· 當非共享源接口IPsec安全策略組應用於業務接口,並已經生成IPsec SA時,如果將該安全策略組配置為共享源接口IPsec安全策略組,則已經生成的IPsec SA將被刪除。
· 共享源接口如果配置了主地址和從地址,隻按照共享源接口的主地址進行協商,此時IKE-peer視圖下配置的local-address無效。
相關配置可參考命令ipsec policy (System view)和ipsec policy (Interface view)。
【舉例】
# 配置IPsec安全策略組map為共享源接口IPsec安全策略組,共享源接口為Loopback0。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] quit
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 5.5.5.5 32
[Sysname-LoopBack0] quit
[Sysname] ipsec policy map local-address loopback 0
【命令】
ipsec policy-template template-name seq-number
undo ipsec policy-template template-name [ seq-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
template-name:為IPsec安全策略模板的名字,為1~41個字符的字符串,不區分大小寫,不能包括減號“-”。
seq-number:為此IPsec安全策略模板的順序號,取值範圍為1~65535。在一個IPsec安全策略模板中,順序號越小的IPsec安全策略模板,優先級越高。
【描述】
ipsec policy-template命令用來創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖。undo ipsec policy-template命令用來刪除指定的一個IPsec安全策略模板。
缺省情況下,沒有任何IPsec安全策略模板存在。
需要注意的是,不帶seq-number參數的undo命令用來刪除一個IPsec安全策略模板組。
相關配置可參考命令display ipsec policy-template。
【舉例】
# 創建一個模板名字為template1,順序號為100的IPsec安全策略模板。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【命令】
ipsec profile profile-name
undo ipsec profile profile-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
profile-name:IPsec安全框架的名稱,為1~15個字符的字符串,不區分大小寫,不能包括減號“-”。
【描述】
ipsec profile命令用來創建一個IPsec安全框架,並進入IPsec安全框架視圖。IPsec安全框架定義了對數據流進行IPsec保護所使用的IPsec安全提議,以及用於自動協商安全聯盟所需要的IKE協商參數。undo ipsec profile命令用於刪除指定的IPsec安全框架。
缺省情況下,沒有IPsec安全框架存在。
目前,IPsec安全框架隻能應用於DVPN虛擬隧道接口和IPsec虛擬隧道接口下。
相關配置可參考命令ipsec profile (Tunnel interface view)和display ipsec profile。
【舉例】
# 創建IPsec安全框架profile1,並進入該IPsec安全框架視圖。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1]
【命令】
ipsec profile profile-name
undo ipsec profile
【視圖】
Tunnel接口視圖
【缺省級別】
2:係統級
【參數】
profile-name:IPsec安全框架名稱,為1~15個字符的字符串,不區分大小寫。
【描述】
ipsec profile命令用於在DVPN隧道接口或IPsec虛擬隧道接口上應用IPsec安全框架。undo ipsec profile命令用於取消在DVPN隧道接口或IPsec虛擬隧道接口上應用IPsec安全框架。
缺省情況下,DVPN隧道接口或IPsec虛擬隧道接口上沒有引用任何IPsec安全框架,即不對隧道進行保護。
需要注意的是:
· 一個隧道接口上隻能應用一個IPsec安全框架。
· 如果隧道接口上需要應用新的IPsec安全框架,則需要先取消當前應用的IPsec安全框架。
· 同一個IPsec安全框架不能同時應用在DVPN隧道接口和IPsec虛擬隧道接口上。
相關配置可參考命令ipsec profile (System view)和“三層技術-IP業務命令參考/隧道”中命令的interface tunnel。
【舉例】
# 在IPsec虛擬隧道接口上應用保護IPsec隧道的IPsec安全框架vtiprofile。
<Sysname> system-view
[Sysname] interface tunnel 0
[Sysname-Tunnel0] tunnel-protocol ipsec ipv4
[Sysname-Tunnel0] ipsec profile vtiprofile
# 在DVPN隧道接口上引用保護DVPN隧道的IPsec安全框架dvpnprofile。
<Sysname> system-view
[Sysname] interface tunnel 1
[Sysname-Tunnel1] tunnel-protocol dvpn udp
[Sysname-Tunnel1] ipsec profile dvpnprofile
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
seconds:指定基於時間的全局生存周期,取值範圍為180~604800,單位為秒。
kilobytes:指定基於流量的全局生存周期,取值範圍為2560~4294967295,單位為千字節。如果流量達到此值,則生存周期到期。
【描述】
ipsec sa global-duration命令用來配置全局的安全聯盟生存周期。undo ipsec sa global-duration命令用來恢複缺省情況。
缺省情況下,安全聯盟基於時間的全局生存周期為3600秒,基於流量的全局生存周期為1843200千字節。
需要注意的是:
· 當IKE協商安全聯盟時,如果采用的IPsec安全策略或者IPsec安全框架沒有配置自己的生存周期,將采用此命令所定義的全局生存周期與對端協商。如果IPsec安全策略或者IPsec安全框架配置了自己的生存周期,則係統使用IPsec安全策略或者IPsec安全框架自己的生存周期與對端協商。
· IKE為IPsec協商建立安全聯盟時,采用本地配置的生存周期和對端提議的生存周期中較小的一個。
· 可同時配置基於時間和基於流量的生存周期,隻要到達指定的時間或指定的流量,SA就會老化。
· 安全聯盟的生存周期隻對通過IKE協商的安全聯盟起作用,對通過手工方式建立的安全聯盟不起作用。
相關配置可參考命令sa duration。
【舉例】
# 配置全局的安全聯盟生存周期為2小時。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的安全聯盟生周期為10M字節,即傳輸10M字節的流量後,當前的安全聯盟即過期。
[Sysname] ipsec sa global-duration traffic-based 10240
【命令】
ipsec session idle-time seconds
undo ipsec session idle-time
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
seconds:IPsec會話的空閑超時時間,取值範圍為60~3600,單位為秒。
【描述】
ipsec session idle-time命令用來配置IPsec會話的空閑超時時間。undo ipsec session idle-time命令用來恢複缺省情況。
缺省情況下,IPsec會話的空閑超時時間為300秒。
【舉例】
# 配置IPsec會話的空閑超時時間為600秒。
<Sysname> system-view
[Sysname] ipsec session idle-time 600
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
transform-set-name:指定IPsec安全提議的名字,為1~32個字符的字符串,不區分大小寫。
【描述】
ipsec transform-set命令用來創建一個IPsec安全提議,並進入IPsec提議視圖。undo ipsec transform-set命令用來刪除指定的IPsec安全提議。
缺省情況下,沒有任何IPsec安全提議存在。
相關配置可參考命令display ipsec transform-set。
【舉例】
# 創建名為tran1的IPsec安全提議,並進入IPsec安全提議視圖。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1]
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:指定本端安全網關的IPv4地址。
ipv6 ipv6-address:指定本端安全網關的IPv6地址。
【描述】
local-address命令用來配置本端安全網關的IP地址。undo local-address命令用來恢複缺省情況。
缺省情況下,本端安全網關的IP地址為引用IPsec安全策略的接口地址。
IKEv2協商發起方必須配置本端安全網關的IP地址,響應方可選配置。
【舉例】
# 配置本端安全網關的IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 }
undo pfs
【視圖】
安全策略視圖/安全策略模板視圖/安全框架視圖
【缺省級別】
2:係統級
【參數】
dh-group1:指定使用768-bit Diffie-Hellman組,該參數在FIPS模式下不可用。
dh-group2:指定使用1024-bit Diffie-Hellman組。
dh-group5:指定使用1536-bit Diffie-Hellman組。
dh-group14:指定使用2048-bit Diffie-Hellman組。
【描述】
pfs命令用來配置使用此IPsec安全策略或IPsec安全框架發起協商時使用完善的前向安全(Perfect Forward Secrecy)特性。undo pfs命令用來配置在協商時不使用PFS特性。
缺省情況下,IPsec安全策略或IPsec安全框架發起協商時沒有使用PFS特性。
需要注意的是:
· 2048-bit Diffie-Hellman組(dh-group14)、1536-bit Diffie-Hellman組(dh-group5)、1024-bit Diffie-Hellman組(dh-group2)、768-bit Diffie-Hellman組(dh-group1)安全性和需要的計算時間依次遞減。
· 此命令使IPsec在使用此IPsec安全策略或IPsec安全框架發起一個協商時,在階段2的協商中進行一次附加的密鑰交換以提高通訊的安全性。
· 本端和對端指定的Diffie-Hellman組必須一致,否則協商會失敗。
· 此命令僅在通過IKE方式建立安全聯盟時才可以進行配置。
相關配置可參考命令ipsec policy-template、ipsec policy (System view)和ipsec profile(System view)。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置使用IPsec安全策略policy1進行協商時使用PFS特性。
<Sysname> system-view
[Sysname] ipsec policy policy1 200 isakmp
[Sysname-ipsec-policy-isakmp-policy1-200] pfs dh-group1
【命令】
policy enable
undo policy enable
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
policy enable命令用來使能IPsec安全策略。undo policy enable命令用來去使能IPsec安全策略。
缺省情況下,IPsec安全策略處於使能狀態。
需要注意的是:
· 本命令不適用於手工方式的IPsec安全策略;
· 如果IKE對等體未使能IPsec安全策略,則不能觸發IKE協商或是作為響應方參與IKE協商。
相關配置可參考命令ipsec policy (System view)和ipsec policy-template。
【舉例】
# 使能名字為policy1,順序號為100的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] policy enable
【命令】
qos pre-classify
undo qos pre-classify
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
qos pre-classify命令用來配置報文信息的預提取功能。undo qos pre-classify命令用來恢複缺省情況。
缺省情況下,未配置報文信息的預提取功能。
QoS預分類功能是指,在報文進行IPsec封裝之前,QoS根據原始IP頭信息進行報文分類。
相關配置可參考命令ipsec policy (System view) 和ipsec policy-template。
【舉例】
# 配置報文信息的預提取功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
【命令】
remote-address { [ ipv6 ] host-name [ dynamic ] | ipv4-address | ipv6 ipv6-address }
undo remote-address { [ ipv6 ] host-name [ dynamic ] | ipv4-address | ipv6 ipv6-address }
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
ipv6:指定IPv6 IPsec對端安全網關。如果不指定該參數,則表示指定IPv4 IPsec對端安全網關。
hostname:IPsec對端安全網關的主機名,為1~255個字符的字符串,不區分大小寫。該主機名是IPsec對端在網絡中的唯一標識,可被DNS服務器解析為IP地址。
dynamic:表示IPsec對端安全網關的主機名會進行動態地址解析。如果不配置該參數,則表示僅在配置對端主機名後執行一次DNS查詢。
ipv4-address:指定對端安全網關的IPv4地址。
ipv6 ipv6-address:指定對端安全網關的IPv6地址。
【描述】
remote-address命令用來配置對端安全網關的IP地址。undo remote-address命令用來恢複缺省情況。
缺省情況下,未配置對端安全網關的IP地址。
IKEv2協商發起方必須配置對端安全網關的IP地址,響應方可選配。
【舉例】
# 配置對端安全網關的IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] remote-address 1.1.1.1
【命令】
reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
parameters:指定一個安全聯盟所對應的目的IP地址、安全協議、SPI。dest-address:指定目的地址。
protocol:指定安全協議,可選關鍵字為ah或esp,不區分大小寫。
spi:指定安全參數索引,取值範圍為256~4294967295。
policy:指定安全策略或者安全框架。
policy-name:指定IPsec安全策略或者IPsec安全框架的名字,為1~15個字符的字符串,區分大小寫,字符可以是英文字母或者數字。
seq-number:指定安全策略的順序號,取值範圍為1~65535。如果不指定seq-number,則是指名字為policy-name的安全策略組中所有安全策略。
remote ip-address:指定安全聯盟對應的對端IP地址。
ip-address:指定對端IP地址。
【描述】
reset ipsec sa命令用來清除已經建立的IPsec SA(無論是手工建立的還是通過IKE協商建立的)。
如果不指定任何參數,則清除所有的IPsec SA。
需要注意的是:
· 通過手工建立的IPsec SA被清除後,係統會自動根據對應的手工IPsec安全策略建立新的IPsec SA。
· 通過IKE協商建立的IPsec SA被清除後,如果有報文重新觸發IKE協商,IKE將重新協商建立新的IPsec SA。
· 如果指定了parameters關鍵字,由於IPsec SA是成對出現的,清除了一個方向的IPsec SA,另一個方向的IPsec SA也會被清除。
相關配置可參考命令display ipsec sa。
【舉例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除對端地址為10.1.1.2的IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除安全策略模板policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
# 清除安全策略名字為policy1、順序號為10的IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除對端地址為10.1.1.2、安全協議為AH、安全參數索引為10000的IPsec SA。
<Sysname> reset ipsec sa parameters 10.1.1.2 ah 10000
# 清除安全框架policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【命令】
reset ipsec session [ tunnel-id integer ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
integer:顯示指定IPsec隧道的會話信息,取值範圍為1~2000000000。
【描述】
reset ipsec session命令用來清除設備上IPsec隧道的會話。
相關配置可參考命令display ipsec session。
【舉例】
# 清除所有的IPsec會話。
<Sysname> reset ipsec session
# 清除IPsec隧道ID為5的會話。
<Sysname> reset ipsec session tunnel-id 5
【命令】
reset ipsec statistics
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
reset ipsec statistics命令用來清除IPsec的報文統計信息,所有的統計信息都被設置成零。
相關配置可參考命令display ipsec statistics。
【舉例】
# 清除IPsec的報文統計信息。
<Sysname> reset ipsec statistics
【命令】
reverse-route [ remote-peer ip-address [ gateway | static ] | static ]
undo reverse-route
【視圖】
安全策略視圖/安全策略模板視圖
【缺省級別】
2:係統級
【參數】
static:采用靜態方式生成靜態路由。若未指定本參數,則表示采用動態方式生成靜態路由。該參數僅在安全策略視圖下支持,安全策略模板下不支持。
remote-peer ip-address:指定靜態路由的下一跳地址。手工指定下一跳地址的靜態路由可用於實現路由備份或者負載分擔。
gateway:表示利用靜態路由的路由迭代功能,自動生成兩條路由,一條路由的目的地址為對端私網,下一跳地址為隧道對端地址;另外一條路由的目的地址為隧道對端地址,下一跳地址為ip-address指定的地址,出接口為應用安全策略的接口。通常,在IKE協商方式的安全策略中指定該參數,可為受該安全策略保護的IPsec流量指定一條明確的缺省轉發路徑。
【描述】
reverse-route命令用來開啟IPsec反向路由注入功能。undo reverse-route命令用來關閉反向路由注入功能。
缺省情況下,IPsec反向路由注入功能處於關閉狀態。
當本命令中指定關鍵字static時,即表示通過靜態方式生成靜態路由,生成的靜態路由指向的目的IP地址和IP地址的掩碼,均通過本策略應用的ACL來獲取,下一跳可通過參數ip-address指定,不指定該參數的情況下為配置的隧道對端地址,具體情況如下:
· reverse-route static命令用來根據本安全策略下引用的ACL的目的地址信息和對端安全網關地址靜態生成路由:目的地址為ACL規則的目的地址,下一跳地址為IPsec安全策略視圖下配置的tunnel remote地址(手工IPsec安全策略方式)或IKE-Peer視圖下配置的remote-address地址(IKE協商IPsec安全策略方式)。
· reverse-route remote-peer ip-address static命令用來根據本IPsec安全策略策略下引用的ACL規則的目的地址信息和ip-address靜態生成路由:目的地址為ACL規則的目的地址,下一跳地址為配置的ip-address。
當本命令中不指定static關鍵字時,即表示通過動態方式來生成靜態路由,生成的靜態路由指向的目的IP地址和IP地址掩碼從成功建立的IPsec SA中獲取,下一跳通過參數ip-address配置或為從協商成功的IPsec SA中獲取的隧道對端地址,若指定參數gateway的情況下,可根據IPsec SA生成兩條路由,具體情況如下:
· reverse-route命令用來自動生成一條路由:目的地址為受保護的對端私網,下一跳地址為對端隧道地址。
· reverse-route remote-peer ip-address命令用來自動生成一條路由:目的地址為受保護的對端私網,下一跳地址為配置的ip-address,該地址通常為應用本策略接口的下一跳地址。
· reverse-route remote-peer ip-address gateway命令用來自動生成兩條路由:一條路由的目的地址為受保護的對端私網網段,下一跳地址為隧道對端地址;另外一條路由的目的地址為隧道對端地址,下一跳地址為配置的ip-address,出接口為應用安全策略的接口。
需要注意的是:
· 當配置(開啟、關閉或修改)反向路由注入功能時,會刪除本策略生成的或協商出的所有IPsec SA。
· 由於靜態方式生成靜態路由,需要根據安全策略下引用的ACL中的目的地址信息生成,所以若選擇通過靜態方式生成靜態路由,則安全策略下必須引用ACL。
· 動態方式生成的靜態路由隨IPsec SA的創建而創建,隨IPsec SA的刪除而刪除。
· 需要查看生成的路由信息時,可以通過display ip routing-table命令查看,關於路由表項的詳細信息,請參見“三層技術-IP路由配置指導”中的“IP路由基礎”。
· 若IKE-Peer視圖下配置的remote-address地址為一個地址範圍,則配置的靜態反向路由注入功能不生效。
相關配置可參考命令reverse-route preference和reverse-route tag。
【舉例】
# 根據ACL 3000的信息和對端安全網關地址靜態生成靜態路由,目的地址為受保護的對端私網網段3.0.0.0/24,下一跳地址為對端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ike peer 1
[Sysname-ike-peer-1] remote-address 1.1.1.2
[Sysname-ike-peer-1] quit
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 permit ip source 2.0.0.0 0.0.0.255 destination 3.0.0.0 0.0.0.255
[Sysname-acl-adv-3000] quit
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] security acl 3000
[Sysname-ipsec-policy-isakmp-1-1] transform-set tran1
[Sysname-ipsec-policy-isakmp-1-1] ike-peer 1
[Sysname-ipsec-policy-isakmp-1-1] reverse-route static
[Sysname-ipsec-policy-isakmp-1-1] quit
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] ipsec policy 1
[Sysname-Ethernet1/1]quit
# 可立即查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根據ACL 3000的信息靜態生成靜態路由,目的地址為受保護的對端私網網段3.0.0.0/24,下一跳地址為指定的1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 static
[Sysname-ipsec-policy-isakmp-1-1] quit
# 可立即查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根據協商成功的IPsec SA動態生成靜態路由,目的地址為受保護的對端私網網段3.0.0.0/24,下一跳地址為對端隧道地址1.1.1.2。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道兩端的IPsec SA協商成功後,可查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
# 根據協商成功的IPsec SA動態生成靜態路由,且指定下一跳地址為1.1.1.3。
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道兩端的IPsec SA協商成功後,可查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.3 Eth1/1
# 根據協商成功的IPsec SA動態生成兩條靜態路由:一條路由的目的地址為受保護的對端私網網段3.0.0.0/24,下一跳地址為隧道對端地址1.1.1.2;另外一條路由的目的地址為隧道對端地址1.1.1.2/32,下一跳地址為1.1.1.3。
[Sysname]ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route remote-peer 1.1.1.3 gateway
# 隧道兩端的IPsec SA協商成功後,可查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
...
Destination/Mask Proto Pre Cost NextHop Interface
1.1.1.2/32 Static 60 0 1.1.1.3 Eth1/1
3.0.0.0/24 Static 60 0 1.1.1.2 Eth1/1
【命令】
reverse-route preference preference-value
undo reverse-route preference
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
preference-value:靜態路由的優先級,取值範圍為1~255。該值越小,優先級越高。
【描述】
reverse-route preference命令用來設置IPsec反向路由注入功能生成的靜態路由的優先級。undo reverse-route preference命令用來恢複缺省情況。
缺省情況下,IPsec反向路由注入功能生成的靜態路由的優先級為60。
需要注意的是,若對靜態路由優先級進行修改,則在靜態工作機製下的反向路由注入功能會根據新的路由優先級重新生成靜態路由,而在動態工作機製下的反向路由注入功能不會修改已生成的靜態路由的優先級,修改後的路由優先級僅對新增的靜態路由有效。
相關配置可參考命令reverse-route。
【舉例】
# 配置IPsec反向路由注入功能生成的靜態路由的優先級為100。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【命令】
reverse-route tag tag-value
undo reverse-route tag
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
tag-value:靜態路由的Tag值,取值範圍為1~4294967295。
【描述】
reverse-route tag命令用來設置IPsec反向路由注入功能生成的靜態路由的Tag值,該值用於標識靜態路由,以便在路由策略中根據Tag值對路由進行靈活的控製。undo reverse-route tag命令用來恢複缺省情況。
缺省情況下,IPsec反向路由注入功能生成的靜態路由的Tag值為0。
需要注意的是,若對靜態路由Tag值進行修改,則在靜態工作機製下的反向路由注入功能會根據新的路由Tag值重新生成靜態路由,而在動態工作機製下的反向路由注入功能不會修改已生成的靜態路由的Tag值,修改後的路由Tag值僅對新增的靜態路由有效。
關於路由策略的詳細介紹請參見“三層技術-IP路由配置指導”中的“路由策略”。
相關配置可參考命令reverse-route。
【舉例】
# 配置IPsec反向路由注入功能生成的靜態路由的Tag值為50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【命令】
sa authentication-hex { inbound | outbound } { ah | esp } [ cipher | simple ] hex-key
undo sa authentication-hex { inbound | outbound } { ah | esp }
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
inbound:入方向,IPsec使用入方向安全聯盟處理接收的報文。
outbound:出方向,IPsec使用出方向安全聯盟處理發送的報文。
ah:采用AH協議。
esp:采用ESP協議。
cipher hex-key:表示以密文方式設置認證密鑰。hex-key為1~117個字符的字符串,區分大小寫。
simple hex-key:表示以明文方式設置認證密鑰。hex-key為以十六進製格式輸入的明文密鑰,不區分大小寫,對於不同的算法,密鑰長度不同(MD5:16字節;SHA1:20字節;AES-XBC-MAC:16字節)。
不指定cipher或simple時,表示以明文方式設置認證密鑰。
【描述】
sa authentication-hex命令用來對配置安全聯盟的認證密鑰。undo sa authentication-hex命令用來刪除配置的安全聯盟的認證密鑰。
需要注意的是:
· 此命令僅用於manual方式的安全策略。
· 在配置manual方式的安全策略時,必須分別配置inbound和outbound兩個方向安全聯盟的參數。
· 在安全隧道的兩端設置的安全聯盟參數必須是完全匹配的。本端的入方向安全聯盟的密鑰必須和對端的出方向安全聯盟的密鑰一樣;本端的出方向安全聯盟密鑰必須和對端的入方向安全聯盟的密鑰一樣。
· 對於要應用於IPv6路由協議的IPsec安全策略,還必須保證本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以16進製方式輸入密鑰,則不能通訊。而且,任何一端出入方向的SA使用的密鑰也應當以相同的方式輸入。
· 以明文或密文方式設置的認證密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 配置采用AH協議的入方向安全聯盟的認證密鑰為明文的0x112233445566778899aabbccddeeff00;出方向安全聯盟的認證密鑰為明文的0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah simple aabbccddeeff001100aabbccddeeff00
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【視圖】
安全策略視圖/安全策略模板視圖/安全框架視圖
【缺省級別】
2:係統級
【參數】
seconds:指定基於時間的生存周期,取值範圍為180~604800,單位為秒。
kilobytes:指定基於流量的生存周期,取值範圍為2560~4294967295,單位為千字節。
【描述】
sa duration命令用來為IPsec安全策略或者IPsec安全框架配置安全聯盟的生存周期。undo sa duration命令用來恢複缺省情況。
缺省情況下,IPsec安全策略或者IPsec安全框架的安全聯盟生存周期為當前全局的安全聯盟生存周期值。
需要注意的是:
· 當IKE協商安全聯盟時,如果采用的IPsec安全策略或者IPsec安全框架沒有配置自己的生存周期,將采用全局生存周期(通過命令ipsec sa global-duration設置)與對端協商。如果IPsec安全策略或者IPsec安全框架配置了自己的生存周期,則係統使用IPsec安全策略或者IPsec安全框架自己的生存周期與對端協商。
· IKE為IPsec協商建立安全聯盟時,采用本地配置的生存周期和對端提議的生存周期中較小的一個。
· 安全聯盟的生存周期隻對通過IKE協商的安全聯盟起作用,而對通過手工方式建立的安全聯盟不起作用。
相關配置可參考命令ipsec sa global-duration、ipsec policy (System view)和ipsec profile (System view)。
【舉例】
# 配置IPsec安全策略policy1的安全聯盟生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的安全聯盟生存周期為20M字節,即傳輸20480千字節的流量後,當前的安全聯盟就過期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
# 配置IPsec安全框架profile1的安全聯盟生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration time-based 7200
# 配置IPsec安全框架profile1的安全聯盟生存周期為20M字節,即傳輸20480千字節的流量後,當前的安全聯盟就過期。
<Sysname> system-view
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] sa duration traffic-based 20480
【命令】
sa encryption-hex { inbound | outbound } esp [ cipher | simple ] hex-key
undo sa encryption-hex { inbound | outbound } esp
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
inbound:入方向,IPsec使用入方向安全聯盟處理接收的報文。
outbound:出方向,IPsec使用出方向安全聯盟處理發送的報文。
esp:采用ESP協議。
cipher hex-key:表示以密文方式設置加密密鑰。hex-key為1~117個字符的字符串,區分大小寫。
simple hex-key:表示以明文方式設置加密密鑰。hex-key為以十六進製格式輸入的明文密鑰,不區分大小寫,對於不同的算法,密鑰長度不同(DES-CBC:8字節;3DES-CBC:24字節;AES128-CBC:16字節;AES192-CBC:24字節;AES256-CBC:32字節;AESCTR-128:20字節;camellia128-CBC:16字節;camellia192-CBC:24字節;camellia256-CBC:32字節)。
不指定cipher或simple時,表示以明文方式設置加密密鑰。
【描述】
sa encryption-hex命令用來配置安全聯盟的加密密鑰參數。undo sa encryption-hex命令用來刪除配置的安全聯盟的加密密鑰參數。
需要注意的是:
· 此命令僅用於manual方式的安全策略。
· 在配置安全策略時,必須分別配置inbound和outbound兩個方向安全聯盟的參數。
· 在安全隧道的兩端設置的安全聯盟參數必須是完全匹配的。本端的入方向安全聯盟的加密密鑰必須和對端的出方向安全聯盟的加密密鑰一樣;本端的出方向安全聯盟的加密密鑰必須和對端的入方向安全聯盟的加密密鑰一樣。
· 對於要應用於IPv6路由協議的安全策略,還必須保證本端出方向SA的SPI和本端入方向SA的SPI一致。
· 在安全隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以16進製方式輸入密鑰,則不能通訊。而且,任何一端出入方向的SA使用的密鑰也應當以相同的方式輸入。
· 以明文或密文方式設置的加密密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 配置采用ESP協議的入方向安全聯盟的加密算法的密鑰為明文0x1234567890abcdef;出方向加密算法的密鑰為明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp simple abcdefabcdef1234
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
inbound:入方向,IPsec使用入方向安全聯盟處理接收的報文。
outbound:出方向,IPsec使用出方向安全聯盟處理發送的報文。
ah:采用AH協議。
esp:采用ESP協議。
spi-number:安全聯盟三元組標識中的安全參數索引,取值範圍為256~4294967295。
【描述】
sa spi命令用來配置安全聯盟的安全參數索引參數。undo sa spi命令用來刪除配置的安全聯盟的安全參數索引參數。
缺省情況下,不存在SA的安全參數索引。
需要注意的是:
· 此命令僅用於manual方式的IPsec安全策略。
· 對於isakmp方式的IPsec安全策略,IKE將自動協商安全聯盟的參數並創建安全聯盟,不需要手工設置安全聯盟的參數。
· 在配置IPsec安全策略時,必須分別配置inbound和outbound兩個方向安全聯盟的參數。配置基於ACL的IPsec手工安全策略時,必須保證SA的唯一性,即不同SA對應不同的SPI。
· 在安全隧道的兩端設置的安全聯盟參數必須是完全匹配的。本端的入方向安全聯盟的SPI必須和對端的出方向安全聯盟的SPI一樣;本端的出方向安全聯盟的SPI必須和對端的入方向安全聯盟的SPI一樣。
在配置應用於IPv6路由協議的安全策略時,還需要注意的是:
· 本端出方向SA的SPI必須和本端入方向SA的SPI保持一致;
· 同一個範圍內的,所有設備上的SA的SPI均要保持一致。該範圍內容與協議相關:對於OSPF,是OSPF鄰居之間或鄰居所在的區域;對於RIPng,是RIPng直連鄰居之間或鄰居所在的進程;對於BGP,是BGP鄰居之間或鄰居所在的一個組。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 配置入方向安全聯盟的SPI為10000,出方向安全聯盟的SPI為20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【命令】
sa string-key { inbound | outbound } { ah | esp } [ cipher | simple ] string-key
undo sa string-key { inbound | outbound } { ah | esp }
【視圖】
安全策略視圖
【缺省級別】
2:係統級
【參數】
inbound:入方向,IPsec使用入方向安全聯盟處理接收的報文。
outbound:出方向,IPsec使用出方向安全聯盟處理發送的報文。
ah:采用AH協議。
esp:采用ESP協議。
cipher:表示以密文方式設置密鑰。
simple:表示以明文方式設置密鑰。
string-key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。不指定cipher或simple時,表示以明文方式設置密鑰。對不同的算法,均可輸入不超過長度範圍的字符串,係統會根據輸入的字符串自動生成符合算法要求的密鑰。對於ESP協議,係統會自動地同時生成認證算法的密鑰和加密算法的密鑰。
【描述】
sa string-key命令用來配置安全聯盟的密鑰。undo sa string-key命令用來刪除配置的安全聯盟的密鑰。
需要注意的是:
· 此命令僅用於manual方式的安全策略。
· 在配置IPsec安全策略時,必須分別配置inbound和outbound兩個方向安全聯盟的參數。
· 在安全隧道的兩端設置的安全聯盟參數必須是完全匹配的。本端入方向安全聯盟的密鑰必須和對端出方向安全聯盟的密鑰一樣;本端出方向安全聯盟的密鑰必須和對端入方向安全聯盟的密鑰一樣。
· 在安全隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以16進製方式輸入密鑰,則不能正確地建立安全隧道。
· 以明文或密文方式設置的密鑰,均以密文的方式保存在配置文件中。
· 此命令在FIPS模式下不可用。
在配置應用於IPv6路由協議的IPsec安全策略時,還需要注意的是:
· 本端出方向SA的密鑰必須和本端入方向SA的密鑰保持一致;
· 同一個範圍內的,所有設備上的SA的密鑰均要保持一致。該範圍內容與協議相關:對於OSPF,是OSPF鄰居之間或鄰居所在的區域;對於RIPng,是RIPng直連鄰居之間或鄰居所在的進程;對於BGP,是BGP鄰居之間或鄰居所在的一個組。
相關配置可參考命令ipsec policy (System view)。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置采用AH協議的入方向安全聯盟的密鑰為明文字符串abcdef;出方向安全聯盟的密鑰為明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在要應用於IPv6路由協議的安全策略中,配置采用AH協議的入方向安全聯盟的密鑰為明文字符串abcdef;出方向安全聯盟的密鑰為明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【命令】
security acl acl-number [ aggregation ]
undo security acl
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省級別】
2:係統級
【參數】
acl-number:指定IPsec安全策略所引用的訪問控製列表號,取值範圍為3000~3999。
aggregation:指定IPsec安全策略的數據流保護方式為聚合方式。如果不指定該參數,則IPsec安全策略的數據流保護方式為標準方式。
【描述】
security acl命令用來配置IPsec安全策略引用的訪問控製列表。undo security acl命令用來取消IPsec安全策略引用的訪問控製列表。
缺省情況下,IPsec安全策略沒有指定訪問控製列表。
配置IKE協商安全策略的情況下,IPsec安全策略的數據流保護方式包括以下兩種:
· 標準方式:一條隧道保護一條數據流。ACL中的每一個規則對應的數據流都會由一條單獨創建的隧道來保護;
· 聚合方式:一條隧道保護ACL中定義的所有數據流。ACL中的所有規則對應的數據流隻會由一條創建的隧道來保護。
需要注意的是:
· 聚合方式僅用於和老版本的設備互通。這種情況下,要求兩端的配置必須一致,即兩端同時配置聚合方式。
· 一條安全策略隻能引用一條訪問控製列表,如果設置安全策略引用了多於一個訪問控製列表,最後配置的那條訪問控製列表才有效。
· 對於IPsec GDOI安全策略視圖視圖,不能配置IPv6類型的ACL,不能配置aggregation參數,如果引用的ACL中存在permit規則,則與permit規則匹配的任何報文將被丟棄。
相關配置可參考命令ipsec policy (system view)。
【舉例】
# 配置IPsec安全策略引用ACL 3001。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用ACL 3002,並設置數據流保護方式為聚合方式。
<Sysname> system-view
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【命令】
tfc enable
undo tfc enable
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tfc enable命令用來使能TFC(Traffic Flow Confidentiality)填充功能。undo tfc enable命令用來恢複缺省情況。
缺省情況下,TFC填充功能處於關閉狀態。
TFC填充功能可通過隱藏原始報文的長度,但可能對報文的加封裝及解封裝處理性能稍有影響,且僅對於使用AH協議封裝的UDP報文以及使用ESP協議封裝的原始IP報文生效。
【舉例】
# 使能TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ikev2-policy-isakmp-map-1] tfc enable
【命令】
transform { ah | ah-esp | esp }
undo transform
【視圖】
安全提議視圖
【缺省級別】
2:係統級
【參數】
ah:采用AH協議。
ah-esp:先用ESP協議對報文進行保護,再用AH協議進行保護。
esp:采用ESP協議。
【描述】
transform命令用來配置提議采用的安全協議。undo transform命令用來恢複缺省情況。
缺省情況下,采用ESP協議。
需要注意的是,在安全隧道的兩端,IPsec提議所使用的安全協議需要匹配。
相關配置可參考命令ipsec transform-set。
【舉例】
# 配置一個采用AH協議的IPsec安全提議。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] transform ah
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-name-set ]
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省級別】
2:係統級
【參數】
transform-set-name&<1-6>:所采用的提議名字,為1~32個字符的字符串。&<1-6>表示前麵的參數最多可以輸入6次。
【描述】
transform-set命令用來配置IPsec安全策略或IPsec安全框架所引用的IPsec安全提議。undo transform-set命令用來取消IPsec安全策略或IPsec安全框架引用的IPsec安全提議。
缺省情況下,IPsec安全策略或IPsec安全框架沒有引用任何IPsec安全提議。
需要注意的是:
· 引用的IPsec安全提議必須已經存在。
· 如果IPsec安全策略是手工(manual)方式的,則IPsec安全策略在引用提議時隻能指定一個IPsec安全提議。如果需要改變已配置好的IPsec安全提議,必須先使用命令undo transform-set取消原先的IPsec安全提議,再配置新的IPsec安全提議。
· 如果IPsec安全策略是IKE(isakmp)協商方式的,則一條IPsec安全策略最多可以引用六個IPsec安全提議,IKE協商時將在IPsec安全策略中搜索能夠完全匹配的IPsec安全提議。
· 一條IPsec安全框架最多可以引用六個IPsec安全提議,IKE協商時將在IPsec安全框架中搜索能夠完全匹配的IPsec安全提議。
相關配置可參考命令ipsec transform-set、ipsec policy (System view)和ipsec profile (System view)。
【舉例】
# 配置IPsec安全策略引用名字為tran1的IPsec安全提議。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set tran1
# 配置IPsec安全框架引用名字為tran2的IPsec安全提議。
<Sysname> system-view
[Sysname] ipsec transform-set tran2
[Sysname-ipsec-transform-set-prop2] quit
[Sysname] ipsec profile profile1
[Sysname-ipsec-profile-profile1] transform-set tran2
【命令】
tunnel local ip-address
undo tunnel local
【視圖】
IPsec安全策略視圖
【缺省級別】
2:係統級
【參數】
ip-address:本端地址。
【描述】
tunnel local命令用來配置安全隧道的本端地址。undo tunnel local命令用來刪除在安全隧道中設定的本端地址。
缺省情況下,沒有配置安全隧道的本端地址。
需要注意的是:
· 僅用於manual方式的IPsec安全策略。
· 如果沒有設置本端地址,本端地址將采用IPsec安全策略應用的接口地址。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 配置安全隧道的本端地址為Loopback0的地址10.0.0.1。
<Sysname> system-view
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 10.0.0.1 32
[Sysname-LoopBack0] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] tunnel local 10.0.0.1
【命令】
tunnel remote ip-address
undo tunnel remote [ ip-address ]
【視圖】
IPsec安全策略視圖
【缺省級別】
2:係統級
【參數】
ip-address:安全策略的隧道對端地址。
【描述】
tunnel remote命令用來配置安全隧道的對端地址。undo tunnel remote命令用來刪除安全隧道的對端地址。
缺省情況下,沒有配置安全隧道的對端地址。
需要注意的是:
· 僅用於manual方式的安全策略;
· 設置新的對端地址將會覆蓋已經設置的對端地址;
· 安全隧道是建立在本端和對端之間,在安全隧道的兩端,當前端點的對端地址需要與對端的本端地址保持一致。
相關配置可參考命令ipsec policy (System view)。
【舉例】
# 配置IPsec安全策略的對端地址為10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-policy1-10] tunnel remote 10.1.1.2
【命令】
authentication-algorithm { md5 | sha | sm3 }
undo authentication-algorithm
【視圖】
IKE提議視圖
【缺省級別】
2:係統級
【參數】
md5:指定認證算法為HMAC-MD5。
sha:指定認證算法為HMAC-SHA1。
sm3: 指定認證算法為SM3。
【描述】
authentication-algorithm命令用來指定一個供IKE提議使用的認證算法。undo authentication-algorithm命令用來恢複缺省情況。
缺省情況下,IKE提議使用SHA1認證算法。
需要注意的是,在FIPS模式下不支持MD5和SM3算法。
相關配置可參考命令ike proposal和display ike proposal。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 指定IKE提議10的認證算法為MD5。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-algorithm md5
【命令】
authentication-method { pre-share | rsa-signature | oscca-rsa | oscca-sm2 }
undo authentication-method
【視圖】
IKE提議視圖
【缺省級別】
2:係統級
【參數】
pre-share:指定認證方法為預共享密鑰方法。
rsa-signature:指定認證方法為RSA數字簽名方法。
oscca-rsa : 指定認證方法為國密辦RSA方法。
oscca-sm2 : 指定認證方法為國密辦SM2方法。
【描述】
authentication-method命令用來指定一個供IKE提議使用的認證方法。undo authentication-method命令用來恢複缺省情況。
缺省情況下,IKE提議使用預共享密鑰的認證方法。
相關配置可參考命令ike proposal和display ike proposal。
【舉例】
# 指定IKE提議10的認證方法為預共享密鑰。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] authentication-method pre-share
【命令】
certificate domain domain-name
undo certificate domain
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
domain-name:指定的PKI域名稱,為1~64個字符的字符串。
【描述】
certificate domain命令用來配置IKE協商采用數字簽名認證時,證書所屬的PKI域。undo certificate domain命令用來取消配置證書所屬的PKI域。
相關配置可參考命令authentication-method,以及“安全命令參考/PKI”中的命令pki domain。
【舉例】
# 配置IKE協商所使用的PKI域為abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] certificate domain abcde
【命令】
dh { group1 | group2 | group5 | group14 }
undo dh
【視圖】
IKE提議視圖
【缺省級別】
2:係統級
【參數】
group1:指定階段1密鑰協商時采用768-bit的Diffie-Hellman組,該參數在FIPS模式下不可用。
group2:指定階段1密鑰協商時采用1024-bit的Diffie-Hellman組。
group5:指定階段1密鑰協商時采用1536-bit的Diffie-Hellman組。
group14:指定階段1密鑰協商時采用2048-bit的Diffie-Hellman組。
【描述】
dh命令用來配置IKE階段1密鑰協商時所使用的DH密鑰交換參數。undo dh命令用來恢複缺省情況。
缺省情況下:
· 在FIPS模式下,IKE階段1密鑰協商時所使用的DH密鑰交換參數為group2,即1024-bit的Diffie-Hellman組。
· 在非FIPS模式下,IKE階段1密鑰協商時所使用的DH密鑰交換參數為group1,即768-bit的Diffie-Hellman組。
相關配置可參考命令ike proposal和display ike proposal。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 指定IKE提議10使用768-bit的Diffie-Hellman組。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] dh group1
【命令】
display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
dpd-name:指定DPD的名字,為1~32個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ike dpd命令用來顯示DPD配置的參數。
如果不指定參數dpd-name,將顯示所有DPD配置的參數。
相關配置可參考命令ike dpd。
【舉例】
# 顯示DPD配置的參數。
<Sysname> display ike dpd
---------------------------
IKE dpd: dpd1
references: 1
interval-time: 10
time_out: 5
---------------------------
表2-1 display ike dpd命令顯示信息描述表
|
字段 |
描述 |
|
references |
引用該DPD配置的IKE對等體的個數 |
|
Interval-time |
經過多長時間沒有從對端收到IPsec報文則觸發DPD,單位為秒 |
|
time_out |
DPD報文的重傳時間間隔,單位為秒 |
【命令】
display ike peer [ peer-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
peer-name:IKE對等體名,為1~32個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ike peer命令用來顯示IKE對等體配置的參數。
相關配置可參考命令ike peer。
【舉例】
# 顯示IKE對等體配置的參數信息。
<Sysname> display ike peer
---------------------------
IKE Peer: rtb4tunn
exchange mode: main on phase 1
pre-shared-key ******
peer id type: ip
peer ip address: 44.44.44.55
local ip address:
peer name:
nat traversal: disable
dpd: dpd1
inside vpn instance: vrf1
---------------------------
表2-2 display ike peer命令顯示信息描述表
|
字段 |
描述 |
|
exchange mode |
IKE第一階段的協商模式 |
|
pre-shared-key |
IKE第一階段協商所使用的預共享密鑰,配置值顯示為****** |
|
peer id type |
IKE第一階段的協商過程中使用ID的類型 |
|
peer ip address |
對端安全網關的IP地址 |
|
local ip address |
本端安全網關的IP地址 |
|
peer name |
對端安全網關的名字 |
|
nat traversal |
是否啟動IPsec/IKE的NAT穿越功能 |
|
dpd |
對等體存活檢測的名稱 |
|
inside vpn instance |
被保護數據所屬的MPLS L3VPN |
【命令】
display ike proposal [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ike proposal命令用來顯示所有IKE提議配置的參數。
IKE提議按照優先級的先後順序顯示。
相關配置可參考命令authentication-method、ike proposal、encryption-algorithm、authentication-algorithm、dh和sa duration。
【舉例】
# 顯示IKE提議配置的參數信息。
<Sysname> display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group (seconds)
--------------------------------------------------------------------------
10 PRE_SHARED SHA DES_CBC MODP_1024 5000
11 PRE_SHARED MD5 DES_CBC MODP_768 50000
default PRE_SHARED SHA DES_CBC MODP_768 86400
表2-3 display ike proposal命令顯示信息描述表
|
字段 |
描述 |
|
priority |
IKE提議的優先級 |
|
authentication method |
IKE提議使用的認證方法 |
|
authentication algorithm |
IKE提議使用的認證算法 |
|
encryption algorithm |
IKE提議使用的加密算法 |
|
Diffie-Hellman group |
IKE階段1密鑰協商時所使用的DH密鑰交換參數 |
|
duration (seconds) |
IKE提議的ISAKMP SA存活時間(秒) |
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address remote-address ] ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
verbose:顯示當前IKE SA的詳細信息。
connection-id connection-id:按照連接標識符顯示IKE SA的詳細信息,取值範圍為1~2000000000。
remote-address:顯示指定對端IP地址的IKE SA的詳細信息。
remote-address:指定對端IP地址。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ike sa命令用來顯示當前IKE SA的信息。
需要注意的是,若不選擇任何參數則顯示當前IKE SA和IPsec SA的摘要信息。
相關配置可參考命令ike proposal和ike peer。
【舉例】
# 顯示當前IKE SA和IPsec SA的摘要信息。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK—REKEY
# 顯示GDOI類型的IKE SA和Rekey SA的摘要信息。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 GROUP
2 202.38.0.2 RD|RK 1 GROUP
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK-REKEY
表2-4 display ike sa命令顯示信息描述表
|
字段 |
描述 |
|
total phase-1 SAs |
所有第一階段安全聯盟的總數 |
|
connection-id |
IKE SA和IPsec SA的標識符 |
|
peer |
此安全聯盟的對端的IP地址 |
|
flag |
顯示此安全聯盟的狀態: · RD(READY):表示此安全聯盟已建立成功 · ST(STAYALIVE):表示此端是隧道協商發起方 · RL(REPLACED):表示此隧道已經被新的隧道代替,一段時間後將被刪除 · FD(FADING):表示此隧道已發生過一次軟超時,目前還在使用,在硬超時發生時,會刪除此隧道 · TO(TIMEOUT):表示此安全聯盟在上次keepalive超時發生後還沒有收到keepalive報文,如果在下次keepalive超時發生時仍沒有收到keepalive報文,此安全聯盟將被刪除 · RK(REKEY):表示此安全聯盟是Rekey SA |
|
phase |
此安全聯盟所屬階段: · Phase 1:建立安全隧道進行通信的階段,此階段建立IKE SA · Phase 2:協商安全服務的階段,此階段建立IPsec SA |
|
doi |
安全聯盟所屬解釋域 · IPSEC:表示使用IKE協議協商 · GROUP:表示使用GDOI協議協商 |
# 顯示當前IKE SA的詳細信息。
<Sysname> display ike sa verbose
---------------------------------------------
connection id: 2
vpn instance:
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 86379
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照連接標識符顯示IKE SA的詳細信息。
<Sysname> display ike sa verbose connection-id 2
---------------------------------------------
connection id: 2
vpn instance:
inside vpn instance: vrf1
transmitting entity: initiator
---------------------------------------------
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82480
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
# 按照對端地址顯示IKE SA的詳細信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
connection id: 2
vpn instance:
inside vpn instance: vrf1
transmitting entity: initiator
local ip: 4.4.4.4
local id type: IPV4_ADDR
local id: 4.4.4.4
remote ip: 4.4.4.5
remote id type: IPV4_ADDR
remote id: 4.4.4.5
authentication-method: PRE-SHARED-KEY
authentication-algorithm: HASH-SHA1
encryption-algorithm: DES-CBC
life duration(sec): 86400
remaining key duration(sec): 82236
exchange-mode: MAIN
diffie-hellman group: GROUP1
nat traversal: NO
表2-5 display ike sa verbose命令顯示信息描述表
|
字段 |
描述 |
|
connection id |
IKE SA和IPsec SA的標識符 |
|
vpn instance |
接收報文的接口所屬的MPLS L3VPN |
|
inside vpn instance |
被保護數據所屬的MPLS L3VPN |
|
transmitting entity |
IKE協商中的實體 |
|
local ip |
本端安全網關的IP地址 |
|
local id type |
本端安全網關的ID類型 |
|
local id |
本端安全網關的ID |
|
remote ip |
對端安全網關的IP地址 |
|
remote id type |
對端安全網關的ID類型 |
|
remote id |
對端安全網關的ID |
|
authentication-method |
IKE提議使用的認證方法 |
|
authentication-algorithm |
IKE提議使用的認證算法 |
|
encryption-algorithm |
IKE提議使用的加密算法 |
|
life duration(sec) |
IKE SA的生命周期(秒) |
|
remaining key duration(sec) |
IKE SA的剩餘生命周期(秒) |
|
exchange-mode |
IKE第一階段的協商模式 |
|
diffie-hellman group |
IKE第一階段密鑰協商時所使用的DH密鑰交換參數 |
|
nat traversal |
是否使能NAT穿越功能 |
【命令】
dpd dpd-name
undo dpd
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
dpd-name:指定DPD的名字,為1~32個字符的字符串。
【描述】
dpd命令用來為IKE對等體應用一個DPD。undo dpd命令用來取消IKE對等體對DPD的應用。
缺省情況下,IKE對等體沒有應用DPD。
【舉例】
# 為對等體peer1應用名稱為dpd1的DPD。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] dpd dpd1
【命令】
encryption-algorithm { 3des-cbc | aes-cbc [ key-length ] | des-cbc | sm1-cbc-128 | sm1-cbc-192 | sm1-cbc-256 }
undo encryption-algorithm
【視圖】
IKE提議視圖
【缺省級別】
2:係統級
【參數】
3des-cbc:指定IKE安全提議采用的加密算法為CBC模式的3DES算法。3DES算法采用168 bits的密鑰進行加密。
aes-cbc:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用128 bits、192bits、256bits的密鑰進行加密。
key-length:AES算法采用的密鑰長度,取值可以為128、192、256,缺省值為128。
des-cbc:指定IKE安全提議采用的加密算法為CBC模式的DES算法,DES算法采用56 bits的密鑰進行加密。
sm1-cbc-128:指定IKE安全提議采用的加密算法為CBC模式的SM1算法,密鑰長度為128比特。
sm1-cbc-192:指定IKE安全提議采用的加密算法為CBC模式的SM1算法,密鑰長度為192比特。
sm1-cbc-256:指定IKE安全提議采用的加密算法為CBC模式的SM1算法,密鑰長度為256比特。
【描述】
encryption-algorithm命令用來指定一個供IKE提議使用的加密算法。undo encryption-algorithm命令用來恢複缺省情況。
缺省情況下:
· 在FIPS模式下,設備不支持DES-CBC、3DES-CBC和SM1,IKE提議使用CBC模式的128-bit AES-CBC加密算法。
· 在非FIPS模式下,IKE提議使用CBC模式的56-bit DES加密算法。
相關配置可參考命令ike proposal和display ike proposal。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 指定IKE提議10的加密算法為CBC模式的56-bit DES。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] encryption-algorithm des-cbc
【命令】
exchange-mode { aggressive | main }
undo exchange-mode
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
aggressive:野蠻模式,該參數在FIPS模式下不可用。
main:主模式。
【描述】
exchange-mode命令用來選擇IKE階段的協商模式。undo exchange-mode命令用來恢複缺省情況。
缺省情況下,IKE階段的協商模式使用主模式。
需要注意的是:
· 當對端的IP地址為自動獲取(如一端用戶為撥號方式),且采用預共享密鑰認證方式時,建議將本端的協商模式配置為aggressive。
· 在FIPS模式下,設備不支持aggressive協商模式。
相關配置可參考命令id-type。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置IKE使用主模式。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] exchange-mode main
【命令】
id-type { ip | name | user-fqdn | dn }
undo id-type
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
ip:選擇IP地址作為IKE協商過程中使用的ID。
name:選擇FQDN(Fully Qualified Domain Name,完全合格域名)類型的名字作為IKE協商過程中使用的ID。
user-fqdn:選擇User FQDN類型的名字作為IKE協商過程中使用的ID。
dn:選擇DN類型的名字作為IKE協商過程中使用的ID。
【描述】
id-type命令用來選擇IKE協商過程中使用的ID的類型。undo id-type命令用來恢複缺省情況。
缺省情況下,使用IP地址作為IKE協商過程中使用的ID。
需要注意的是:
· 在預共享密鑰認證的主模式下,隻能使用IP地址類型的身份進行IKE協商,建立安全聯盟。
· 在IKE野蠻模式下,不但可以使用IP地址類型的身份進行協商,也可以使用FQDN或者User FQDN類型的身份進行IKE協商,並建立安全聯盟。
· 若選擇使用FQDN類型的ID,為保證IKE協商成功,建議本端網關的名稱配置為不攜帶@字符的字符串,例如foo.bar.com。
· 若選擇使用User FQDN類型的ID,為保證IKE協商成功,建議本端網關的名稱配置為攜帶@字符的字符串,例如[email protected]。
相關配置可參考命令local-name、ike local-name、remote-name、remote-address、local-address和exchange-mode。
【舉例】
# 配置使用名字作為IKE協商過程中使用的ID。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] id-type name
【命令】
ike dpd dpd-name
undo ike dpd dpd-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
dpd-name:指定DPD的名字,為1~32個字符的字符串。
【描述】
ike dpd命令用來創建一個DPD,並進入DPD視圖。undo ike dpd命令用來刪除指定名字的DPD配置。
【舉例】
# 創建一個名稱為dpd2的DPD。
<Sysname> system-view
[Sysname] ike dpd dpd2
【命令】
ike local-name name
undo ike local-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
name:指定IKE協商時的本端安全網關的名字,為1~255個字符的字符串,區分大小寫。
【描述】
ike local-name命令用來配置本端安全網關的名字。undo ike local-name命令用來恢複缺省情況。
缺省情況下,使用設備名作為本端安全網關的名字。
當IKE協商的發起端使用安全網關名字進行協商時(即配置了id-type name或id-type user-fqdn),發起端需要配置本端安全網關的名字,該名字既可以在係統視圖下進行配置(使用命令ike local-name),也可以在IKE對等體視圖下配置(使用命令local-name),若兩個視圖下都配置了本端安全網關的名字,則采用IKE對等體視圖下的配置。
在IKE協商過程中,發起端會將本端安全網關的名字發送給對端來標識自己的身份,而響應端使用配置的對端安全網關的名字(使用命令remote-name)來認證發起端,故此時響應端上配置的對端安全網關的名字應與發起端上所配的本端安全網關的名字保持一致。
相關配置可參考命令remote-name和id-type。
【舉例】
# 為IKE配置本端安全網關的名字為app。
<Sysname> system-view
[Sysname] ike local-name app
【命令】
ike next-payload check disabled
undo ike next-payload check disabled
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ike next-payload check disabled命令用來配置在IKE協商過程中取消對最後一個payload的next payload域的檢查,以便與某些公司的產品互通。undo ike next-payload check disabled命令用來恢複缺省情況。
缺省情況下,在IKE協商過程中對next payload域進行檢查。
【舉例】
# 配置在IKE協商過程中取消對最後一個payload的next payload域的檢查。
<Sysname> system-view
[Sysname] ike next-payload check disabled
【命令】
ike oscca-main-mode enable
undo ike oscca-main-mode enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ike oscca-main-mode enable命令用來使能國密辦主模式協商方式。undo ike oscca-main-mode enable命令用來恢複缺省情況。
缺省情況下,使用標準IKEv1進行主模式協商。
【舉例】
# 使能國密辦主模式協商方式。
<Sysname> system-view
[Sysname] ike oscca-main-mode enable
【命令】
ike peer peer-name
undo ike peer peer-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
peer-name:IKE對等體名,為1~32個字符的字符串。
【描述】
ike peer命令用來創建一個IKE對等體,並進入IKE-Peer視圖。undo ike peer命令用來刪除一個IKE對等體。
【舉例】
# 創建IKE對等體為peer1,並進入IKE-Peer視圖。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1]
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
proposal-number:IKE提議序號,取值範圍為1~65535。該序號同時表示優先級,數值越小,優先級越高。在進行IKE協商的時候,會從序號最小的IKE提議進行匹配,如果匹配則直接使用,否則繼續查找。
【描述】
ike proposal命令用來創建IKE提議,並進入IKE提議視圖。undo ike proposal命令用來刪除一個IKE提議。
缺省情況下,係統提供一條缺省的IKE提議,此缺省的IKE提議具有最低的優先級。缺省的提議具有缺省的參數,包括:
· 加密算法:DES-CBC
· 認證算法:HMAC-SHA1
· 認證方法:預共享密鑰
· DH組標識:MODP_768
· 安全聯盟的存活時間:86400秒
相關配置可參考命令display ike proposal。
【舉例】
# 創建IKE提議10,並進入IKE提議視圖。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10]
【命令】
ike sa keepalive-timer interval seconds
undo ike sa keepalive-timer interval
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
seconds:指定通過ISAKMP SA向對端發送Keepalive報文的時間間隔,取值範圍為20~28800,單位為秒。
【描述】
ike sa keepalive-timer interval命令用來配置ISAKMP SA向對端發送Keepalive報文的時間間隔。undo ike sa keepalive-timer interval命令用來取消該功能。
缺省情況下,ISAKMP SA不向對端發送Keepalive報文。
需要注意的是,本端配置的Keepalive報文的發送時間間隔應小於對端等待Keepalive報文的超時時間。
相關配置可參考命令ike sa keepalive-timer timeout。
【舉例】
# 配置本端向對端發送Keepalive報文的時間間隔為200秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer interval 200
【命令】
ike sa keepalive-timer timeout seconds
undo ike sa keepalive-timer timeout
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
seconds:指定ISAKMP SA等待對端發送Keepalive報文的超時時間,取值範圍為20~28800,單位為秒。
【描述】
ike sa keepalive-timer timeout命令用來配置ISAKMP SA等待Keepalive報文的超時時間。undo ike sa keepalive-timer timeout命令用來使此功能失效。
缺省情況下,ISAKMP SA不向對端發送Keepalive報文。
需要注意的是,本端配置的Keepalive報文的等待超時時間要大於對端發送的時間間隔。由於網絡中一般不會出現超過三次的報文丟失,所以,本端的超時時間可以配置為對端配置的Keepalive報文的發送時間間隔的三倍。
相關配置可參考命令ike sa keepalive-timer interval。
【舉例】
# 配置本端等待對端發送Keepalive報文的超時時間為20秒。
<Sysname> system-view
[Sysname] ike sa keepalive-timer timeout 20
【命令】
ike sa nat-keepalive-timer interval seconds
undo ike sa nat-keepalive-timer interval
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
seconds:指定ISAKMP SA向對端發送NAT Keepalive報文的時間間隔,取值範圍為5~300,單位為秒。
【描述】
ike sa nat-keepalive-timer interval命令用來配置ISAKMP SA向對端發送NAT Keepalive報文的時間間隔。undo ike sa nat-keepalive-timer interval命令用來使此功能失效。
缺省情況下,ISAKMP SA向對端發送NAT Keepalive報文的時間間隔為20秒。
【舉例】
# 配置ISAKMP SA向對端發送NAT Keepalive報文的時間間隔為5秒。
<Sysname> system-view
[Sysname] ike sa nat-keepalive-timer interval 5
inside-vpn vpn-instance vpn-name
IKE-Peer視圖
2:係統級
vpn-instance vpn-name:保護的數據屬於指定的VPN。vpn-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【描述】
inside-vpn 命令用來指定內部VPN實例。undo inside-vpn 命令用來取消指定的內部VPN實例。
缺省情況下,設備在與外網相同的VPN中查找路由。如果不希望在與外網相同的VPN中查找路由去轉發解封裝後的報文,則可以通過此命令指定一個內部VPN實例,指定設備通過查找該內部VPN實例中的路由來轉發解封裝後的報文。當IPsec解封裝後得到的報文需要繼續轉發到不同的VPN中去時,設備需要知道在哪個MPLS L3VPN實例中查找相應的路由。
需要注意的是:
· 當通過inside-vpn命令指定VPN實例後,需要IPsec策略引用的ACL規則中也配置相同的VPN實例。
· 如果已經存在IPsec SA,則inside-vpn配置會在下次IPsec SA到期協商新的IPsec SA後才生效。若希望配置立即生效,則需要先執行reset ipsec sa。
相關配置可參考命令ip vpn-instance、reset ipsec sa。
# 在IKE peer peer1中指定內部VPN實例為vpn1。
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] inside-vpn vpn-instance vpn1
【命令】
interval-time interval-time
undo interval-time
【視圖】
IKE-DPD視圖
【缺省級別】
2:係統級
【參數】
interval-time:指定經過多長時間沒有從對端收到IPsec報文,則觸發DPD,取值範圍為1~300,單位為秒。
【描述】
interval-time命令用來為IKE DPD配置觸發DPD的時間間隔。undo interval-time命令用來恢複缺省情況。
缺省情況下,觸發DPD的時間間隔為10秒。
【舉例】
# 為dpd2配置觸發DPD的時間間隔為1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] interval-time 1
【命令】
local { multi-subnet | single-subnet }
undo local
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
multi-subnet:指定多子網類型。
single-subnet:指定單子網類型。
【描述】
local命令用來配置IKE協商時本端安全網關的子網類型。undo local命令用來恢複缺省情況。
缺省情況下,為單子網類型。
本命令用於與NETSCREEN設備互通時使用。
【舉例】
# 配置IKE協商時本端安全網關的子網類型為多子網類型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local multi-subnet
【命令】
local-address ip-address
undo local-address
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
ip-address:IKE協商時的本端安全網關的IP地址。
【描述】
local-address命令用來配置IKE協商時的本端安全網關的IP地址。undo local-address命令用來取消本端安全網關的IP地址。
缺省情況下,IKE協商時的本端安全網關IP地址使用應用IPsec安全策略的接口的主地址。隻有當用戶需要指定特殊的本端安全網關地址時才需要配置此命令。
【舉例】
# 配置本端安全網關IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] local-address 1.1.1.1
【命令】
local-name name
undo local-name
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
name:IKE協商時的本端安全網關的名字,為1~255個字符的字符串,區分大小寫。
【描述】
local-name命令用來配置本端安全網關的名字。undo local-name命令用來恢複缺省情況。
缺省情況下,未定義本端安全網關的名字,使用係統視圖下本端安全網關的名字。
當IKE協商的發起端使用安全網關名字進行協商時(即配置了id-type name或id-type user-fqdn),發起端需要配置本端安全網關的名字,該名字既可以在係統視圖下進行配置(使用命令ike local-name),也可以在IKE對等體視圖下配置(使用命令local-name),若兩個視圖下都配置了本端安全網關的名字,則采用IKE對等體視圖下的配置。
在IKE協商過程中,發起端會將本端安全網關的名字發送給對端來標識自己的身份,而響應端使用配置的對端安全網關的名字(使用命令remote-name)來認證發起端,故此時響應端上配置的對端安全網關的名字應與發起端上所配的本端安全網關的名字保持一致。
相關配置可參考命令remote-name和id-type。
【舉例】
# 為IKE對等體peer1配置本端安全網關的名字為localgw。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] local-name localgw
【命令】
nat traversal
undo nat traversal
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
nat traversal命令用來配置IPsec/IKE的NAT穿越功能。undo nat traversal命令用來取消IPsec/IKE的NAT穿越功能。
缺省情況下,沒有配置NAT穿越功能。
【舉例】
# 為IKE對等體peer1配置NAT穿越功能。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] nat traversal
【命令】
peer { multi-subnet | single-subnet }
undo peer
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
multi-subnet:指定多子網類型。
single-subnet:指定單子網類型。
【描述】
peer命令用來配置IKE協商時對端安全網關的子網類型。undo peer命令用來恢複缺省情況。
缺省情況下,為單子網類型。
本命令用於與NETSCREEN設備互通時使用。
【舉例】
# 配置IKE協商時對端安全網關的子網類型為多子網類型。
<Sysname> system-view
[Sysname] ike peer xhy
[Sysname-ike-peer-xhy] peer multi-subnet
【命令】
pre-shared-key [ cipher | simple ] key
undo pre-shared-key
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
cipher:表示以密文方式設置預共享密鑰。
simple:表示以明文方式設置預共享密鑰。
string-key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~128個字符的字符串;密文密鑰為1~201個字符的字符串。不指定cipher或simple時,表示以明文方式設置密鑰。
【描述】
pre-shared-key命令用來配置IKE協商采用預共享密鑰認證時,所使用的預共享密鑰,undo pre-shared-key命令用來取消IKE協商所使用的預共享密鑰。
以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
在FIPS模式下,密鑰至少需要設置為8位,包含數字、大寫字母、小寫字母和特殊符號。
相關配置可參考命令authentication-method。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
FIPS模式 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置IKE協商所使用的預共享密鑰為明文abcde。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] pre-shared-key simple abcde
【命令】
proposal proposal-number&<1-6>
undo proposal [ proposal-number ]
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
proposal-number&<1-6>:IKE安全提議序號,取值範圍為1~65535。該序號同時表示優先級,數值越小,優先級越高。
【描述】
proposal命令用來配置IKE對等體引用的IKE安全提議。undo proposal命令用來取消指定的或所有引用的IKE安全提議。
缺省情況下,IKE對等體未引用任何IKE安全提議,使用係統視圖下已配置的IKE安全提議進行IKE協商。
IKE第一階段的協商過程中,如果本端引用了指定的IKE安全提議,那麼就使用指定的安全提議與對端進行協商;如果沒有指定,則使用係統視圖下已配置的IKE安全提議與對端進行協商。
需要注意的是:
· 一個IKE對等體中最多可以引用六個IKE安全提議。
· IKE協商中的響應方使用係統視圖下已經配置的安全提議與對端發送的安全提議進行協商。
相關配置可參考命令ike proposal和ike peer (System view)。
【舉例】
# 設置IKE對等體peer1引用序號為10的IKE安全提議。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] proposal 10
【命令】
remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] }
undo remote-address
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
hostname:IPsec對端安全網關的主機名,為1~255個字符的字符串,不區分大小寫。該主機名是IPsec對端在網絡中的唯一標識,可被DNS服務器解析為IP地址。
dynamic:表示IPsec對端安全網關的主機名會進行動態地址解析。如果不配置該參數,則表示僅在配置對端主機名後執行一次DNS查詢。
low-ip-address:IPsec對端安全網關的IP地址。如果配置對端安全網關IP地址為連續的地址範圍,則該參數為地址範圍中的最小地址。
high-ip-address:如果配置對端安全網關IP地址為連續的地址範圍,則該參數為地址範圍中的最大地址。
【描述】
remote-address命令用來配置IPsec對端安全網關的IP地址。undo remote-address命令用來刪除IPsec對端安全網關的IP地址。
需要注意的是:
· 本端通過命令remote-address配置的對端安全網關的IP地址,應該與對端IKE協商時使用的本端安全網關的IP地址一致(可通過local-address命令配置,若不配置,則為應用IPsec安全策略的接口的主地址)。
· 如果配置對端地址為精確值(主機名方式與之等價),則本端可以作為IKE協商的發起端;如果配置對端地址為一個地址範圍,則本端隻能作為響應方,而這個範圍表示的是本端能接受的協商對象的地址範圍。
· 如果對端地址經常變動,建議配置對端主機名時采用dynamic 參數,以便本端在IKE協商協商時及時更新對端地址。
相關配置可參考命令id-type ip和local-address。
【舉例】
# 配置對端安全網關IP地址為10.0.0.1。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-address 10.0.0.1
# 配置對端安全網關地址為test.com,並采用動態更新方式。
<Sysname> system-view
[Sysname] ike peer peer2
[Sysname-ike-peer-peer2] remote-address test.com dynamic
【命令】
remote-name name
undo remote-name
【視圖】
IKE-Peer視圖
【缺省級別】
2:係統級
【參數】
name:指定IKE協商時對端的名字,為1~255字符的字符串。
【描述】
remote-name命令用來配置對端安全網關的名字。undo remote-name命令用來取消對端安全網關名稱的配置。
當IKE協商的發起端使用安全網關名字進行協商時(即配置了id-type name或id-type user-fqdn),發起端會發送自己名字給對端來標識自己的身份,而對端使用remote-name name來認證發起端,故此時name應與發起端上令所配的本端安全網關的名字保持一致。
相關配置可參考命令id-type、local-name和ike local-name。
【舉例】
# 為IKE對等體peer1配置對端安全網關名字為apple。
<Sysname> system-view
[Sysname] ike peer peer1
[Sysname-ike-peer-peer1] remote-name apple
【命令】
reset ike sa [ connection-id ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
connection-id:清除指定連接ID的IKE SA,取值範圍為1~2000000000。
【描述】
reset ike sa命令用來清除IKE SA。
需要注意的是:
· 如果未指定任何參數,則表示清除所有IKE SA。
· 清除本地的IPsec SA時,如果相應的IKE SA還存在,將在此IKE SA的保護下,向對端發送刪除消息,通知對方清除相應的IPsec SA。
· 如果先清除IKE SA,那麼再清除本地IPsec SA時,就無法通知對端清除相應的IPsec SA。
相關配置可參考命令display ike sa。
【舉例】
# 清除連接ID號為2 的IKE SA。
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
2 202.38.0.2 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT RK--REKEY
<Sysname> reset ike sa 2
<Sysname> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi
----------------------------------------------------------
1 202.38.0.2 RD|ST 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT RK--REKEY
【命令】
undo sa duration
【視圖】
IKE提議視圖
【缺省級別】
2:係統級
【參數】
seconds:指定ISAKMP SA存活時間,取值範圍為60~604800,單位為秒。
【描述】
sa duration命令用來指定一個IKE提議的ISAKMP SA存活時間,超時後ISAKMP SA將自動更新。undo sa duration命令用來恢複缺省情況。
缺省情況下,IKE提議的ISAKMP SA存活時間為86400秒。
在設定的存活時間超時前,會提前協商另一個安全聯盟來替換舊的安全聯盟。在新的安全聯盟還沒有協商完之前,依然使用舊的安全聯盟;在新的安全聯盟建立後,將立即使用新的安全聯盟,而舊的安全聯盟在存活時間超時後,被自動清除。
相關配置可參考命令ike proposal和display ike proposal。
【舉例】
# 指定IKE提議10的ISAKMP SA存活時間600秒(10分鍾)。
<Sysname> system-view
[Sysname] ike proposal 10
[Sysname-ike-proposal-10] sa duration 600
【命令】
time-out time-out
undo time-out
【視圖】
IKE-DPD視圖
【缺省級別】
2:係統級
【參數】
time-out:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒。
【描述】
time-out命令用來為IKE DPD配置DPD報文的重傳時間間隔。undo time-out命令用來恢複缺省情況。
缺省情況下,DPD報文的重傳時間間隔為5秒。
【舉例】
# 配置dpd2的DPD報文重傳時間間隔為1秒。
<Sysname> system-view
[Sysname] ike dpd dpd2
[Sysname-ike-dpd-dpd2] time-out 1
【命令】
address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }
【視圖】
IKEv2對等體視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:IKEv2對等體的IPv4主機地址。
mask-length:IPv4地址的掩碼長度,取值範圍為0~32。
ipv6 ipv6-address:IKEv2對等體的IPv6主機地址。
prefix-length:IPv6地址的前綴長度,取值範圍為0~128。
【描述】
address命令用來指定一個IKEv2對等體的主機地址或者地址範圍,用於IKEv2發起方在IKEv2協商時識別IKEv2對等體。undo address命令用來刪除指定的IKEv2對等體的主機地址或者地址範圍。
缺省情況下,未指定IKEv2對等體的主機地址或者地址範圍。
相關配置可參考命令peer (IKEv2 keyring view)。
【舉例】
# 創建一個IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2對等體的IP地址為3.3.3.3,掩碼為255.255.255.0。
[Sysname-ikev2-keyring-keyr1-peer-peer1] address 3.3.3.3 255.255.255.0
【命令】
authentication { local | remote } { pre-share | rsa-sig }
undo authentication { local | remote { pre-share | rsa-sig } }
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
local:指定本端的身份認證方式。
remote:指定對端的身份認證方式。
pre-share:表示身份認證方式為預共享密鑰方式。
rsa-sig:表示身份認證方式為RSA數字簽名方式。
【描述】
authentication命令用來指定IKEv2本端和對端的身份認證方式。undo authentication命令用來刪除指定的IKEv2本端或對端身份認證方式。
缺省情況下,本端和對端認證方式均為預共享密鑰方式(pre-share)。
需要注意的是:
· 本端和對端可以采用不同的身份認證方式。
· 隻能指定一個本端身份認證方式,可以指定多個對端身份認證方式。在有多個對端且對端身份認證方式未知的情況下,可以通過多次執行本命令指定多個對端的身份認證方式。
· 如果本端或對端的身份認證方式為RSA數字簽名方式(rsa-sig),則還必須通過命令pki domain(IKEv2 profile view)指定PKI域來獲取用於簽名和驗證的數字證書;如果本端或對端的認證方式為預共享密鑰方式(pre-share),則還必須在本IKEv2 profile引用的keyring中指定對等體的預共享密鑰。
相關配置可參考命令display ikev2 profile、pki domain(IKEv2 profile view)和keyring。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的認證方式為預共享密鑰方式,對端的認證方式為RSA數字簽名方式。
[Sysname-ikev2-profile-profile1] authentication local pre-share
[Sysname-ikev2-profile-profile1] authentication remote rsa-sig
# 指定本端用於簽名和驗證的PKI域為genl。
[Sysname-ikev2-profile-profile1] pki domian genl
# 指定IKEv2 profile引用的keyring為keyring1。
[Sysname-ikev2-profile-profile1] keyring keyring1
【命令】
client configuration address respond
undo client configuration address respond
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
client configuration address respond命令用來配置本端可接收對端的IP地址分配請求。undo client configuration address respond命令用來恢複缺省情況。
缺省情況下,本端不接收對端的IP地址分配請求。
在遠程移動用戶通過IPsec VPN接入企業中心網絡的組網環境下,若遠程用戶終端需要由企業分支為其臨時分配IP地址用於IPsec數據的傳輸,則可以在IKEv2協商過程中向企業中心側安全網關提交IP地址分配請求,中心側安全網關通過該配置來決定是否接收該請求,若配置為可接收該請求,則會將成功分配的IP地址攜帶在IKEv2協商的響應報文中發送給用戶終端,否則忽略該請求。
相關配置可參考命令display ikev2 profile和connect auto。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置可接收對端的IP地址分配請求。
[Sysname-ikev2-profile-profile1] client configuration address respond
【命令】
connect auto
undo connect auto
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
connect auto命令用來使能本端自動發起IP地址請求。undo connect auto命令用來恢複缺省情況。
缺省情況下,本端不會發起IP地址請求。
在企業分支通過IPsec VPN接入企業中心網絡的組網環境下,若分支側用戶需要由企業中心側安全網關為其臨時分配IP地址用於IPsec數據的傳輸,則可以通過本命令來指定在IKEv2協商過程中向企業中心側安全網關提交IP地址分配請求,若中心側安全網關為可接收該請求,則會將成功分配的IP地址攜帶在IKEv2協商的響應報文中發送給分支側安全網關,否則該地址請求將被忽略。
相關配置可參考命令display ikev2 profile和client configuration address respond。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置自動發起IP地址請求。
[Sysname-ikev2-profile-profile1] connect auto
【命令】
display ikev2 policy [ policy-name | default ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
policy-name:IKEv2安全策略的名稱,為1~32個字符的字符串,不區分大小寫。
default:缺省的IKEv2安全策略。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ikev2 policy命令用來顯示IKEv2安全策略的配置信息。
如果不指定任何參數,則顯示所有IKEv2安全策略的配置信息,包括用戶自定義的和係統缺省的安全策略。
相關配置可參考命令ikev2 policy、proposal和match address local。
【舉例】
# 顯示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy : 1
Match local : 1.1.1.1
1:1::1:1
Proposal : 1
2
3
4
IKEv2 policy : default
Match local : any
Proposal : default
表3-1 display ikev2 policy命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 policy |
IKEv2安全策略的名稱 |
|
Match local |
匹配IKEv2安全策略的本端IP地址 |
|
Proposal |
IKEv2安全策略引用的IKEv2安全提議名稱 |
【命令】
display ikev2 profile [ profile-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
profile-name:IKEv2 profile的名稱,為1~32個字符的字符串,不區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ikev2 profile命令用來顯示IKEv2 profile的配置信息。
如果不指定任何參數,則顯示所有IKEv2 profile的配置信息。
相關配置可參考命令ikev2 profile (system view)。
【舉例】
# 顯示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile : 1
Match : match address local 1.1.1.1
match address local interface Ethernet0/1/1
match address local ipv6 1:1::1:1
Identity : identity local address 1.1.1.1
identity local dn
identity local fqdn 11111111
Auth type : authentication local pre-share
authentication remote pre-share
Keyring : kering1
Sign domain : domain1
Verify domain : domain2
Lifetime : 500 seconds
DPD : enabled
表3-2 display ikev2 profile命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 profile |
IKEv2 profile的名稱 |
|
Match |
查找IKEv2 profile的匹配條件 |
|
Identity |
本端身份信息 |
|
Auth type |
本端和對端認證方法 |
|
Keyring |
IKEv2 profile引用的keyring |
|
Sign domain |
用於簽名的PKI域 |
|
Verify domain |
用於驗證的PKI域 |
|
Lifetime |
IKE SA生命周期 |
|
DPD |
DPD功能是否使能 |
【命令】
display ikev2 proposal [ proposal-name | default ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
proposal-name:IKEv2安全提議的名稱,為1~32個字符的字符串,不區分大小寫。
default:缺省的IKEv2安全提議。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ikev2 proposal命令用來顯示IKEv2安全提議的配置信息。
如果不指定任何參數,則顯示所有IKEv2安全提議的配置信息,包括用戶自定義的和係統缺省的安全提議。
相關配置可參考命令ikev2 proposal、encryption、integrity和group。
【舉例】
# 顯示所有IKEv2安全提議的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption : 3DES-CBC
AES-CBC-128
AES-CTR-192
CAMELLIA-CBC-128
Integrity : MD5
AES-XCBC
PRF : MD5
AES-XCBC
DH Group : MODP768/Group 2
MODP768/Group 5
IKEv2 proposal : default
Encryption : AES-CBC-128
3DES-CBC
Integrity : SHA1
MD5
PRF : SHA1
MD5
DH Group : MODP768/Group 5
MODP768/Group 2
表3-3 display ikev2 proposal命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 proposal |
IKEv2安全提議的名稱 |
|
Encryption |
IKEv2安全提議引用的加密算法 |
|
Integrity |
IKEv2安全提議引用的完整性校驗算法 |
|
PRF |
IKEv2安全提議引用的PRF算法 |
|
DH Group |
IKEv2安全提議引用的DH組 |
【命令】
display ikev2 sa [ { local | remote } { ipv4-address | ipv6 ipv6-address } ] [ verbose ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
local:按照本端IP地址顯示IKEv2 SA的信息。
remote:按照對端IP地址顯示IKEv2 SA的信息。
ipv4-address:本端或對端的IPv4地址。
ipv6 ipv6-address:本端或對端的IPv6地址。
verbose:顯示當前IKEv2 SA的詳細信息。不指定該參數,則顯示IKEv2 SA的簡要信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ikev2 sa命令用來顯示當前IKEv2 SA的信息。
如果不指定任何參數,則顯示當前所有IKEv2 SA的摘要信息。
【舉例】
# 顯示當前所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
total SAs: 1
connection-id peer flag
------------------------------------------------------------------------
1 1.1.1.2 RD|ST
flag meaning
RD--READY ST--STAYALIVE FD--FADING TO--TIMEOUT
# 顯示當前所有IKEv2 SA的詳細信息。
<Sysname> display ikev2 sa verbose
-----------------------------------------------
connection id : 1
vpn-instance :
transmitting entity : initiator
local spi : 8f8af3dbf5023a00
remote spi : 0131565b9b3155fa
-----------------------------------------------
local ip : 1.1.1.1
local id type : ID_FQDN
local id : router_a
remote ip : 1.1.1.2
remote id type : ID_FQDN
remote id : router_b
authentication-method : PRE-SHARED-KEY
authentication-algorithm : HMAC_MD5
prf-algorithm : HMAC_MD5
encryption-algorithm : AES-CBC-192
life duration(sec) : 86400
remaining key duration(sec): 85604
diffie-hellman group : GROUP2
nat traversal : NO
DPD configured interval : 0 seconds
local window : 1
remote window : 1
local req msg id : 2
remote req msg id : 2
local next msg id : 0
remote next msg id : 0
# 顯示對端地址為1.1.1.2的IKE SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
total SAs: 1
connection-id peer flag
------------------------------------------------------------------------
1 1.1.1.2 RD|ST
flag meaning
RD--READY ST--STAYALIVE FD--FADING TO--TIMEOUT
表3-4 display ikev2 sa命令顯示信息描述表
|
字段 |
描述 |
|
connection-id |
IKEv2 SA的連接標識符 |
|
vpn-instance |
被保護數據所屬的VPN實例名稱 |
|
transmitting entity |
IKEv2協商中的實體 |
|
local spi |
本端安全參數索引 |
|
remote spi |
對端安全參數索引 |
|
local ip |
本端安全網關的IP地址 |
|
local id type |
本端安全網關的ID類型 |
|
local id |
本端安全網關的ID |
|
remote ip |
對端安全網關的IP地址 |
|
remote id type |
對端安全網關的ID類型 |
|
remote id |
對端安全網關的ID |
|
authentication-method |
IKEv2安全提議中使用的認證方法 |
|
authentication-algorithm |
IKEv2安全提議中使用的認證算法 |
|
prf-algorithm |
IKEv2安全提議中使用的PRF算法 |
|
encryption-algorithm |
IKEv2安全提議中使用的加密算法 |
|
life duration(sec) |
IKEv2 SA的生命周期(秒) |
|
remaining key duration(sec) |
IKEv2 SA的剩餘生命周期(秒) |
|
diffie-hellman group |
IKEv2第一階段密鑰協商時所使用的DH密鑰交換參數 |
|
nat traversal |
是否使能NAT穿越功能 |
|
DPD configured interval |
DPD探測的時間間隔 |
|
local window |
本端IKEv2 協商的窗口大小 |
|
remote window |
對端IKEv2 協商的窗口大小 |
|
local req msg id |
本端請求消息的序號 |
|
remote req msg id |
對端請求消息的序號 |
|
local next msg id |
本端期望下一個接收消息的序號 |
|
remote next msg id |
對端期望下一個接收消息的序號 |
【命令】
display ikev2 statistics [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ikev2 statistics命令用來顯示IKEv2協商的統計信息。
相關配置可參考命令reset ikev2 statistics。
【舉例】
# 顯示IKEv2協商的統計信息。
<Sysname> display ikev2 statistics
------------------------------------------------------------------------
IKEV2 SA Statistics
------------------------------------------------------------------------
Max IKEv2 SAs: 10000 Max in nego: 1000
Total IKEv2 SA Count: 0 active : 0 negotiating: 0
Incoming IKEv2 Requests: 0 accepted: 0 rejected : 0
Outgoing IKEv2 Requests: 0 accepted: 0 rejected : 0
Rejected IKEv2 Requests: 0 SA limit: 0
Incoming IKEV2 Cookie Challenged Requests: 0
accepted: 0 rejected: 0 rejected no cookie: 0
表3-5 display ikev2 statistics命令顯示信息描述表
|
字段 |
描述 |
|
Max IKEv2 SAs |
允許成功建立的IKEv2 SA的最大個數 |
|
Max in nego |
允許並發協商的IKEv2 SA的最大個數 |
|
Total IKEv2 SA Count |
IKEv2 SA的總數 |
|
active |
已經建立的IKEv2 SA個數 |
|
negotiating |
正在協商的IKEv2 SA個數 |
|
Incoming IKEv2 Requests |
收到的IKEv2協商請求數 |
|
accepted |
接受的IKEv2協商請求數 |
|
rejected |
拒絕的IKEv2協商請求數 |
|
Outgoing IKEv2 Requests |
發送的IKEv2協商請求數 |
|
accepted |
被對方接受的IKEv2協商請求數 |
|
rejected |
被對方拒絕的IKEv2協商請求數 |
|
Rejected IKEv2 Requests |
拒絕的IKEv2協商請求的總數 |
|
SA limit |
因為超過本端允許的IKEv2 SA的最大值而被拒絕的IKEv2協商請求數 |
|
Incoming IKEV2 Cookie Challenged Requests: |
收到的IKEv2 Cookie-challenge請求數 |
|
accepted |
接受的IKEv2 Cookie-challenge請求數 |
|
rejected |
拒絕的IKEv2 Cookie-challenge請求數 |
|
rejected no cookie |
由於沒有攜帶cookie載荷而被拒絕的Cookie-challenge請求數 |
【命令】
dpd interval { on-demand | periodic }
undo dpd
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
interval :指定IKEv2 DPD探測的間隔時間,單位為秒,取值範圍為1~300。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送用戶報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKEv2 DPD探測的時間間隔,則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKEv2 DPD探測的時間間隔定時探測對端是否存活。
【描述】
dpd命令用來配置IKEv2 DPD探測功能。undo dpd命令用來關閉IKEv2 DPD探測功能。
缺省情況下,IKEv2 DPD功能處於關閉狀態。
如果IKEv2 profile視圖下配置了DPD探測功能,則本視圖下的DPD配置生效,否則采用係統視圖下的DPD配置。
相關配置可參考命令display ikev2 profile和ikev2 dpd。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置流量觸發IKEv2 DPD探測間隔時間為15秒,探測模式為按需探測。
[Sysname-ikev2-profile-profile1] dpd 15 on-demand
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
【視圖】
IKEv2安全提議視圖
【缺省級別】
2:係統級
【參數】
des-cbc:CBC模式的DES算法,采用56比特的密鑰進行加密。
3des-cbc:CBC模式的3DES算法,采用168比特的密鑰進行加密。
aes-cbc-128:CBC模式的AES算法,密鑰長度為128比特。
aes-cbc-192:CBC模式的AES算法,密鑰長度為192比特。
aes-cbc-256:CBC模式的AES算法,密鑰長度為256比特。
aes-ctr-128:CTR模式的AES算法,密鑰長度為128比特。
aes-ctr-192:CTR模式的AES算法,密鑰長度為192比特。
aes-ctr-256:CTR模式的AES算法,密鑰長度為256比特。
camellia-cbc-128:CBC模式的camellia算法,密鑰長度為128比特。
camellia-cbc-192:CBC模式的camellia算法,密鑰長度為192比特。
camellia-cbc-256:CBC模式的camellia算法,密鑰長度為256比特。
【描述】
encryption命令用來指定IKEv2安全提議使用的加密算法。undo encryption命令用來刪除為IKEv2安全提議指定的加密算法。
缺省情況下,未定義任何加密算法。
需要注意的是:
· DES、3DES、128位的AES-CBC、192位的AES-CBC、256位的AES-CBC的安全性和運算花費的時間依次遞增。
· 一個IKEv2安全提議中至少需要配置一個加密算法,否則該安全提議不完整,也不可用。
· 一個IKEv2安全提議中可以配置多個加密算法,其使用優先級按照配置順序依次降低。
相關配置可參考命令ikev2 proposal和display ikev2 proposal。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的加密算法為aes-cbc-192和3des,且優先選擇aes-cbc-192。
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-192 3des-cbc
【命令】
group { 1 | 2 | 5 | 14 } *
undo group
【視圖】
IKEv2安全提議視圖
【缺省級別】
2:係統級
【參數】
1:指定IKEv2安全提議使用768-bit Diffie-Hellman組。
2:指定IKEv2安全提議使用1024-bit Diffie-Hellman組。
5:指定IKEv2安全提議使用1536-bit Diffie-Hellman組。
14:指定IKEv2安全提議使用2048-bit Diffie-Hellman組。
【描述】
group命令用來指定IKEv2安全提議使用的DH組。undo group 命令用來刪除為IKEv2安全提議指定的DH組。
缺省情況下,未定義任何DH組。
需要注意的是:
· 一個IKEv2安全提議中至少需要配置一個DH組,否則該安全提議不完整。
· 2048-bit Diffie-Hellman組(group14)、1536-bit Diffie-Hellman組(group5)、1024-bit Diffie-Hellman組(group2)、768-bit Diffie-Hellman組(group1)的安全性和運算花費的時間均依次遞減。
· 一個IKEv2安全提議中可以配置多個DH組,其使用優先級按照配置順序依次降低。
相關配置可參考命令ikev2 proposal和display ikev2 proposal。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的DH組為group5和group2,且優先選擇group5。
[Sysname-ikev2-proposal-prop1] group 5 2
【命令】
hostname host-name
undo hostname host-name
【視圖】
IKEv2對等體視圖
【缺省級別】
2:係統級
【參數】
host-name:IKEv2對等體主機名稱,為1~255個字符的字符串,不區分大小寫。
【描述】
hostname命令用來指定IKEv2對等體的主機名稱,用於IKEv2發起方在IKEv2協商時識別IKEv2對等體。undo hostname命令用來刪除指定的IKEv2對等體主機名稱。
缺省情況下,未指定IKEv2對等體的主機名稱。
需要注意的是,主機名僅適用於在基於IPsec安全策略的IKEv2協商中查詢對等體,不適用於基於IPsec虛擬隧道接口的IKEv2協商。
相關配置可參考命令peer (IKEv2 keyring view)。
【舉例】
# 創建一個IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2對等體的主機名為test。
[Sysname-ikev2-keyring-keyr1-peer-peer1] hostname test
【命令】
identity { address { ipv4-address | ipv6 ipv6-address } | email email-string | fqdn fqdn-name | key-id key-id }
undo identity { address { ipv4-address | ipv6 ipv6-address } | email email-string | fqdn name | key-id key-id }
【視圖】
IKEv2對等體視圖
【缺省級別】
2:係統級
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識對等體身份的IP地址,其中ipv4-address為標識對等體身份的IPv4地址,ipv6-address為標識對等體身份的IPv6地址。
email email-string :指定標識對等體身份的E-mail地址。email-string為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
fqdn fqdn-name :指定標識對等體身份的FQDN名稱。fqdn-name為1~255個字符的字符串,區分大小寫,例如www.test.com。
key-id key-id:指定標識對等體身份的Key-ID名稱。key-id為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
【描述】
identity命令用來指定一個IKEv2對等體的身份信息,用於IKEv2響應方在IKEv2協商時識別IKEv2對等體。undo identity命令用來刪除指定的IKEv2對等體的身份信息。
缺省情況下,未指定IKEv2對等體的身份信息。
需要注意的是:
· 本命令指定的對等體身份信息僅用於IKEv2協商的響應方查詢對等體使用的預共享密鑰,因為發起方在發起IKEv2協商時並不知道對端的身份信息。
· 不同的IKEv2對等體不能配置相同的對端身份信息。
相關配置可參考命令peer (IKEv2 keyring view)。
【舉例】
# 創建一個IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 指定IKEv2對等體的FQDN名稱為 www.test.com。
[Sysname-ikev2-keyring-keyr1-peer-peer1] identiy fqdn www.test.com
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id }
undo identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id }
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用DN名作為本端身份。
email email-string:指定標識本端身份的E-mail地址。email-string為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
fqdn fqdn-name:指定標識本端身份的FQDN名稱。fqdn-name為1~255個字符的字符串,區分大小寫,例如www.test.com。
key-id key-id:指定標識本端身份的Key-ID名稱。key-id為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
【描述】
identity local命令用來配置IKEv2本端的身份信息,用於在IKE認證協商階段向對端標識自己的身份。undo identity local命令用來刪除配置的IKEv2本端的身份信息。
缺省情況下,未定義本端身份信息。
如果本端的認證方式為RSA數字簽名方式,則本端可以配置任何類型的身份信息;如果本端的認證方式為預共享密鑰方式,則隻能配置除dn之外的其它類型的身份信息。
響應方通過match identity remote命令指定的對端身份信息要與發起方通過本命令配置的身份信息相匹配,匹配成功則可查找到對應的IKEv2 profile。
需要注意的是,可通過多次執行本命令配置多個身份。
相關配置可參考命令display ikev2 profile。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2標識本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【命令】
ikev2 { ip-pool pool-name ipv4-start-address ipv4-end-address | ipv6-pool pool-name ipv6-start-address ipv6-end-address }
undo ikev2 { ip-pool | ipv6-pool } pool-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-pool pool-name:IPv4地址池名稱,為1~32個字符的字符串,不區分大小寫。
ipv6-pool pool-name:IPv6地址池名稱,為1~32個字符的字符串,不區分大小寫。
ipv4-start-address ipv4-end-address:IPv4地址池的地址範圍。其中,ipv4-start-address為IPv4地址池的起始地址,ipv4-end-address為IPv4地址池的結束地址。
ipv6-start-address ipv6-end-address:IPv6地址池的地址範圍。其中,ipv6-start-address為IPv6地址池的起始地址,ipv6-end-address為IPv6地址池的結束地址。
【描述】
ikev2 { ip-pool | ipv6-pool }命令用來配置為對端分配IP地址的IKEv2本地地址池。undo ikev2 { ip-pool | ipv6-pool }命令用來刪除指定的IKEv2本地地址池。
缺省情況下,未定義IKEv2本地地址池。
需要注意的是:
· 目前隻支持為對端分配IPv6地址,不支持為對端分配IPv4地址,IPv4地址池雖然可以配置,但是不生效。
· 同一協議類型的地址池(IPv4地址池或IPv6地址池)不能同名。
· 每個地址池中包括的IPv4或IPv6地址的最大數目為8192。
相關配置可參考命令client cofiguration address respond。
【舉例】
# 配置IKEv2本地IPv4地址池,名稱為ipv4pool,地址池範圍為1.1.1.1~1.1.1.2。
<Sysname> system-view
[Sysname] ikev2 ip-pool ipv4pool 1.1.1.1 1.1.1.2
# 配置IKEv2本地IPv6地址池,名稱為ipv6pool,地址池範圍為1:1::1:1~1:1::1:2。
<Sysname> system-view
[Sysname] ikev2 ipv6-pool ipv6pool 1:1::1:1 1:1::1:2
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
number:指定響應方啟用cookie-challenge功能的閥值,取值範圍為1~1000。
【描述】
ikev2 cookie-challenge命令用來使能cookie-challenge功能(響應方要求發起方使用指定的cookie重傳第一條報文),並配置響應方啟用cookie-challenge功能的閥值。當響應方接收到半開狀態的IKE SA個數超過指定的cookie-challenge閥值時(半開狀態的IKE SA是指那些正在協商過程中的IKE SA),則啟用cookie-challenge功能,目的是防止由於源IP仿冒對響應方的Dos攻擊,從而造成CPU和內存資源耗盡。undo ikev2 cookie-challenge命令用來關閉cookie-challenge功能。
缺省情況下,IKEv2 cookie-challenge功能處於關閉狀態。
【舉例】
# 使能cookie-challenge功能,並配置啟用cookie-challenge功能的閥值為450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
【命令】
ikev2 dpd interval { on-demand | periodic }
undo ikev2 dpd
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
interval :指定觸發IKEv2 DPD探測的時間間隔,單位為秒,取值範圍為1~300。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送用戶報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKEv2 DPD探測的時間間隔,則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKEv2 DPD探測的時間間隔定時探測對端是否存活。
【描述】
ikev2 dpd命令用來配置IKEv2 DPD探測功能。undo ikev2 dpd命令用來關閉IKEv2 DPD探測功能。
缺省情況下,IKEv2 DPD功能處於關閉狀態。
【舉例】
# 配置根據流量來觸發IKEv2 DPD探測的時間間隔為15秒。
<Sysname> system-view
[Sysname] ikev2 dpd 15 on-demand
# 配置定時觸發IKEv2 DPD探測的時間間隔為15秒。
<Sysname> system-view
[Sysname] ikev2 dpd 15 periodic
【命令】
ikev2 keyring keyring-name
undo ikev2 keyring keyring-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
keyring-name:IKEv2 keyring的名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
ikev2 keyring命令用來創建一個IKEv2 keyring,並進入一個IKEv2 keyring視圖,該視圖用於配置IKEv2對等體的密鑰信息。undo ikev2 keyring命令用來刪除指定的IKEv2 keyring以及IKEv2對等體的密鑰信息。
缺省情況下,不存在任何IKEv2 keyring。
本命令可以創建並進入一個IKEv2 keyring視圖,該視圖下可以配置多個IKEv2對等體,每個IKEv2對等體中包含了一個預共享密鑰以及用於查找該對等體的匹配條件,可包括對等體的主機名稱(由命令hostname配置)、對等體的IP地址或地址範圍(由命令address配置)和對等體的身份(由命令identity配置)。
· 對於IKEv2發起方,IKEv2協商時使用的密鑰是通過對等體的主機名稱或對等體的IP地址(或地址範圍)來查詢的;
· 對於IKEv2響應方,IKEv2協商時使用的密鑰是通過對等體的身份或對等體的IP地址(或地址範圍)來查詢的。
相關配置可參考命令peer (IKEv2 keyring view)、address、hostname和identity。
【舉例】
# 創建IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 配置IKEv2對等體peer1,並指定對等體的IP地址為3.3.3.3/24,共享密鑰為abcdef。
[Sysname-ikev2-keyring-keyr1] peer peer1
[Sysname-ikev2-keyring-keyr1-peer-peer1] address 3.3.3.3 255.255.255.0
[Sysname-ikev2-keyring-keyr1-peer-peer1] pre-shared-key abcdef
# 配置IKEv2對等體peer2,並指定對等體的IP地址為3.3.3.3,共享密鑰為123456。
[Sysname-ikev2-keyring-keyr1] peer peer2
[Sysname-ikev2-keyring-keyr1-peer-peer2] address 3.3.3.3 255.255.255.255
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key 123456
基於以上配置,查找IP地址為3.3.3.3的對等體使用的預共享密鑰時,會先模糊匹配到對等體peer1,然後精確匹配到對等體peer2,因此最終的查找結果是123456。
【命令】
ikev2 limit { max-in-negotation-sa | max-sa } limit
undo ikev2 limit { max-in-negotation-sa | max-sa }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
max-in-negotation-sa limit:指定本端允許同時處於協商狀態的IKEv2 SA的最大數,取值範圍為1~2000。該值不包括rekey時正在協商的IKEv2 SA的數目。
max-sa limit:指定本端允許建立的IKEv2 SA的最大數,取值範圍為100~20000。該值不包括rekey後建立的IKEv2 SA的數目。
【描述】
ikev2 limit命令用來配置對本端IKEv2 SA數目的限製。undo ikev2 limit命令用來恢複缺省情況。
缺省情況下,限製同時處於協商狀態的IKEv2 SA數目為1000,限製允許接入的IKEv2 SA數目為10000。
【舉例】
# 配置本端允許同時處於協商狀態的IKEv2 SA最大數為100。
<Sysname> system-view
[Sysname] ikev2 limit max-in-negotation-sa 100
# 配置本端允許成功建立的IKEv2 SA的最大數為5000。
<Sysname> system-view
[Sysname] ikev2 limit max-sa 5000
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-name:IKEv2安全策略的名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
ikev2 policy命令用來創建一個IKEv2安全策略,並進入IKEv2安全策略視圖。undo ikev2 policy命令用來刪除指定的IKEv2安全策略。
缺省情況下,係統中存在一個名稱為default的缺省IKEv2安全策略,該缺省的策略中包含一個缺省的IKEv2安全提議,且可與所有的本端地址相匹配。
IKE_INIT_SA協商時根據本端地址來選擇要使用的IKEv2安全策略。IKEv2安全策略中包含了用於協商加密算法、完整性校驗算法、PRF算法和DH組的IKEv2安全提議,與本端地址相匹配的策略中的安全提議將被使用。
需要注意的是:
· 一個IKEv2安全策略中必須包含一個IKEv2安全提議,否則該策略不完整。
· 一個IKEv2安全策略中可以包含多個IKEv2安全提議和多個本端地址匹配條件(通過命令match address local指定),未指定本端地址匹配條件的安全策略可與任意本端地址相匹配。
· 兩個內容完全相同的IKEv2安全策略的匹配順序為它們的配置順序。
· 根據本端地址匹配IKEv2安全策略時,優先匹配指定了本端地址匹配條件的策略,其次匹配未指定本端地址匹配條件的策略。
· 如果沒有配置IKEv2安全策略,則使用默認的IKEv2安全策略default。
相關配置可參考命令display ikev2 policy、proposal和match address local。
【舉例】
# 配置IKEv2安全策略prop1,引用IKEv2安全提議prop1,並指定用於匹配的本端地址為2.2.2.2。
<Sysname> system-view
[Sysname] ikev2 policy prop1
[Sysname-ikev2-policy-prop1] proposal prop1
[Sysname-ikev2-policy-prop1] match address local 2.2.2.2
基於以上配置,協商本端地址為2.2.2.2的IKEv2 SA時,將使用IKEv2安全策略prop1中的IKEv2安全提議。
# 配置IKEv2安全策略policy1,引用IKEv2安全提議prop1,並指定用於匹配的本端地址為3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal prop1
[Sysname-ikev2-policy-policy1] match address local 3.3.3.3
# 配置IKEv2安全策略policy2,引用IKEv2安全提議prop2,並指定用於匹配的本端地址為3.3.3.3。
[Sysname] ikev2 policy policy2
[Sysname-ikev2-policy-policy2] proposal prop2
[Sysname-ikev2-policy-policy2] match address local 3.3.3.3
基於以上配置,協商本地地址為3.3.3.3的IKEv2 SA時,將優先使用先配置的IKEv2安全策略prop1中的IKEv2安全提議。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
profile-name:IKEv2 profile的名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
ikev2 profile命令用來配置創建一個IKEv2 profile,並進入IKEv2 profile視圖。undo ikev2 profile命令用來刪除指定的IKEv2 profile。
缺省情況下,無IKEv2 profile存在。
IKEv2 profile用於保存非協商的IKEv2 SA的參數,如本端和對端的身份、本端和對端的認證方式,以及用於查找IKEv2 profile的匹配條件等。
相關配置可參考命令display ikev2 profile、authentication、identity local、keyring和match。
【舉例】
# 創建名為profile1的IKEv2 profile,並進入IKEv2 profile視圖。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
proposal-name:指定IKEv2安全提議的名字,為1~32個字符的字符串,不區分大小寫,且不能為default。
【描述】
ikev2 proposal命令用來創建一個IKEv2安全提議,並進入IKEv2安全提議視圖。undo ikev2 proposal命令用來刪除指定的IKEv2安全提議。
缺省情況下,係統中存在一個名稱為default的缺省IKEv2安全提議,該提議中定義的加密算法為aes-cbc-128和3des,完整性校驗算法為sha1和md5,PRF算法為sha1和md5,DH組為group5和group2。
IKEv2安全提議用於保存IKE_SA_INIT交換中所使用的安全參數,包括加密算法、完整性驗證算法、PRF(pseudo-random function)算法和DH組。
需要注意的是:
· 在一個IKEv2安全提議中,至少需要配置一組安全參數,即一個加密算法、一個完整性驗證算法、一個PRF算法和一個DH組。
· 在一個IKEv2安全提議中,可以配置多組安全參數,即多個加密算法、多個完整性驗證算法、多個PRF算法和多個DH組,這些安全參數在實際協商過程中,將會形成多種安全參數的組合與對端進行匹配。若實際協商過程中僅希望使用一組安全參數,請保證在IKEv2安全提議中僅配置了一套安全參數。
· 一個IKEv2安全策略必須與IKEv2安全提議相關聯,如果本端沒有配置任何IKEv2安全提議,則IKEv2協商時將采用缺省的IKEv2安全策略default,該策略中引用了缺省的IKEv2安全提議default。
相關配置可參考命令display ikev2 proposal、encryption、integrity、prf和group。
【舉例】
# 創建IKEv2安全提議prop1,並為其配置一組安全參數:加密算法為aes-cbc-128,完整性校驗算法為sha1,PRF算法為sha1,DH組為group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] group 2
# 創建IKEv2安全提議prop2,並為其配置多組安全參數:加密算法為aes-cbc-128和3des,完整性校驗算法為sha1和md5,PRF算法為sha1和md5,DH組為group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop2
[Sysname-ikev2-proposal-prop2] encryption aes-cbc-128 3des-cbc
[Sysname-ikev2-proposal-prop2] integrity sha1 md5
[Sysname-ikev2-proposal-prop2] prf sha1 md5
[Sysname-ikev2-proposal-prop2] group 2
以上配置將會組合成如下幾組安全參數:
· aes-cbc-128、sha1、sha1、2
· aes-cbc-128、sha1、md5、2
· aes-cbc-128、md5、md5、2
· aes-cbc-128、md5、sha1、2
· 3des、sha1、sha1、2
· 3des、sha1、md5、2
· 3des、md5、md5、2
· 3des、md5、sha1、2
# 在發起端創建IKEv2安全提議prop1,並為其配置多組安全參數:加密算法為aes-cbc-128和3des,完整性校驗算法為sha1和md5,PRF算法為sha1和md5,DH組為group2和group5。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128 3des-cbc
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
[Sysname-ikev2-proposal-prop1] prf sha1 md5
[Sysname-ikev2-proposal-prop1] group 2 5
# 在響應端創建IKEv2安全提議prop1,並為其配置多組安全參數:加密算法為aes-cbc-128和3des,完整性校驗算法為md5和sha1,PRF算法為md5和sha1,DH組為group5和group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity md5 sha1
[Sysname-ikev2-proposal-prop1] prf md5 sha1
[Sysname-ikev2-proposal-prop1] group 5 2
基於以上配置,由於發起端的安全參數將會被優先選擇使用,因此,最終協商使用的安全參數為:加密算法aes-cbc-128,完整性校驗算法sha1,PRF算法sha1,DH組group2。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 } *
undo integrity
【視圖】
IKEv2安全提議視圖
【缺省級別】
2:係統級
【參數】
aes-xcbc-mac:指定IKEv2安全提議采用的完整性校驗算法為AES-XCBC-MAC。
md5:指定IKEv2安全提議采用的完整性校驗算法為MD5。
sha1:指定IKEv2安全提議采用的完整性校驗算法為SHA-1。
【描述】
integrity命令用來指定IKEv2安全提議使用的完整性校驗算法。undo integrity命令用來刪除為IKEv2安全提議指定的完整性校驗算法。
缺省情況下,未定義任何完整性校驗算法。
需要注意的是:
· 一個IKEv2安全提議中至少需要配置一個完整性校驗算法,否則該安全提議不完整。
· 一個IKEv2安全提議中可以配置多個完整性校驗算法,其使用優先級按照配置順序依次降低。
相關配置可參考命令display ikev2 proposal。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的完整性校驗算法為MD5和SHA1,且優先選擇SHA1。
[Sysname-ikev2-proposal-prop1m] integrity sha1 md5
【命令】
ip-mask mask-length
undo ip-mask
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
mask-length:IPv4本地地址池中IPv4地址的掩碼長度,取值範圍為0~32。
【描述】
ip-mask命令用來指定IKEv2 profile引用的IPv4本地地址池的掩碼長度。undo ip-mask命令用來恢複缺省情況。
缺省情況下,IKEv2 profile引用的IPv4本地地址池掩碼長度為32。
相關配置可參考命令ikev2 ip-pool和ip-pool。
【舉例】
# 創建一個名為profile1的IKEv2 profile,配置該profile所引用的IPv4地址池的掩碼長度為28。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ip-mask 28
【命令】
ip-pool pool-name
undo ip-pool
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
pool-name:指定IKEv2 profile引用的IPv4本地地址池名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
ip-pool命令用來指定IKEv2 profile引用的IPv4本地地址池。undo ip-pool命令用來刪除IKEv2 profile引用的IPv4本地地址池。
缺省情況下,IKEv2 profile沒有引用任何本地地址池。
若在IKEv2協商過程中對端請求本端為其分配IPv4地址,且本端配置為可接收該請求,則本端會從當前使用的IKEv2 profile中指定的本地地址池中選擇可用的IPv4地址,並將其攜帶在IKEv2協商的響應報文中發送給對端。
相關配置可參考命令ikev2 ip-pool和ip-mask。
【舉例】
# 創建一個名為profile1的IKEv2 profile,該profile引用名為ipv4pool的IPv4本地地址池。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv4-pool ipv4pool
【命令】
ipv6-mask prefix-length
undo ipv6-mask
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
prefix-length:本地IPv6地址池中IPv6地址的前綴長度,取值範圍為0~128。
【描述】
ipv6-mask命令用來指定IKEv2 profile引用的IPv6本地地址池的前綴長度。undo ipv6-mask命令用來恢複缺省情況。
缺省情況下,IKEv2 profile引用的IPv6地址池的前綴長度為128。
相關配置可參考命令ikev2 ipv6-pool和ipv6-pool。
【舉例】
# 創建一個名為profile1的IKEv2 profile,配置該profile所引用的IPv6地址池的前綴長度為64。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv6-mask 64
【命令】
ipv6-pool pool-name
undo ipv6-pool
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
pool-name:指定IKEv2 profile引用的IPv6本地地址池名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
ipv6-pool命令用來指定IKEv2 profile引用的IPv6本地地址池。undo ipv6-pool命令用來刪除IKEv2 profile引用的本地IPv6地址池。
缺省情況下,IKEv2 profile沒有引用任何本地地址池。
若在IKEv2協商過程中對端請求本端為其分配IPv6地址,且本端配置為可接收該請求,則本端會從當前使用的IKEv2 profile中指定的本地地址池中選擇可用的IPv6地址,並將其攜帶在IKEv2協商的響應報文中發送給對端。
相關配置可參考命令ikev2 ipv6-pool和ipv6-mask。
【舉例】
# 創建一個名為profile1的IKEv2 profile,該profile引用名為ipv6pool的IPv6本地地址池。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] ipv6-pool ipv6pool
【命令】
keyring keyring-name
undo keyring
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
keyring-name:IKEv2 keyring名稱,為1~32個字符的字符串,不區分大小寫,字符可以是英文字母或者數字。被引用的keyring必須已經配置。
【描述】
keyring命令用來指定IKEv2 profile引用的keyring。undo keyring命令用來刪除IKEv2 profile引用的keyring。
缺省情況下,IKEv2 profile中未引用任何keyring。
需要注意的是:
· 采用預共享密鑰認證方式時,IKEv2 profile下必須引用keyring,且隻能引用一個。
· 不同的IKEv2 profile可以共享同一個IKEv2 keyring,但一個IKEv2 profile中隻能指定一個IKEv2 keyring 。
相關配置可參考命令display ikev2 profile和ikev2 keyring。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keyring,keyring的名稱為keyring1。
[Sysname-ikev2-profile-profile1] keyring keyring1
【命令】
lifetime seconds
undo lifetime
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
seconds:IKEv2 SA的生命周期,單位為秒,取值範圍為120~86400。
【描述】
lifetime命令用來配置IKEv2 SA的生命周期。undo lifetime命令用來恢複缺省情況。
缺省情況下,IKEv2 SA的生命周期為86400秒。
在一個IKEv2 SA的生命周期到達之前,可以用該IKEv2 SA進行其它IKEv2協商,因此一個生命周期較長的IKE SA可以節省很多用於重新協商的時間。但是,IKEv2 SA的生命周期越長,攻擊者越容易收集到更多的報文信息來對它實施攻擊,因此它也越容易遭到攻擊。
本端和對端的IKEv2 SA生命周期可以不一致,也不需要進行協商,由生命周期較短的一方在本端IKEv2 SA生命周期到達之後發起重協商。
相關配置可參考命令display ikev2 profile。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生命周期為1200秒。
[Sysname-ikev2-profile-profile1] lifetime 1200
【命令】
match { address local { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address } | certificate access-control-policy string | identity remote { address { ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] } | email email-string | fqdn fqdn-name | key-id key-id } }
undo match { address local { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address } | certificate access-control-policy string | identity remote { { address ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] } | email email-string | fqdn fqdn-name | key-id key-id } }
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
address local:基於指定的本端地址信息匹配IKEv2 profile。當采用數字簽名方式的身份驗證方式時,響應方需要根據本端的地址信息查找IKEv2 profile並發起證書請求,因此必須指定該參數,且隻能指定為應用IPsec策略的接口或接口的主IP地址。
· ipv4-address:本端IPv4地址。
· ipv6-address:本端IPv6地址。
· interface interface-type interface-number:本端接口地址。其中,interface-type interface-number為接口類型和接口編號。
certificate access-control-policy string:基於對端數字證書中的信息匹配IKEv2 profile。其中,string是證書訪問控製策略的名稱,為1~32的字符的字符串。本參數用於響應方根據收到的發起方證書中的subject name字段來過濾使用的IKEv2 profile。
identity remote:基於指定的對端身份信息匹配IKEv2 profile。本參數用於響應方根據發起方通過identity local命令配置的身份信息來選擇使用的IKEv2 profile。
· address ipv4-address [ mask-length ]:對端IPv4地址或IPv4網段。其中,ipv4-address為IPv4地址,mask為子網掩碼,取值範圍為1~32。
· ipv6 ipv6-address [ prefix-length ] :對端IPv6地址或IPv6網段。其中,ipv6-address為IPv6地址,prefix-length為IPv6前綴長度,取值範圍為0~128。
· email email-string:對端E-mail地址,為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
· fqdn fqdn-name:對端FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.com。
· key-id key-id:對端Key-ID名稱,為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
·
【描述】
match命令用來配置查找IKEv2 profile的匹配條件。undo match命令用來刪除指定的匹配條件。
缺省情況下,未定義任何匹配條件。
該配置僅用於響應方根據匹配條件來查找要使用的IKEv2 profile;發起方不需要進行本配置,直接使用在IPsec策略中指定的IKEv2 profile。
可以在一個IKEv2 profile下指定多個匹配條件,這些匹配條件中,相同類型的匹配條件之間是或的關係,即隻要滿足其中之一即可,不同類型的匹配條件之間是與的關係,即各類型的匹配條件均要滿足。
相關配置可參考命令display ikev2 profile和identity local。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定用於查找IKEv2 profile的匹配條件。
[Sysname-ikev2-profile-profile1] match address local 3.3.3.3
[Sysname-ikev2-profile-profile1] match address local 4.4.4.4
[Sysname-ikev2-profile-profile1] match identity remote fqdn www.test.com
基於以上配置形成的最終匹配條件為:本地IP地址為3.3.3.3或者4.4.4.4,並且對端FQDN名稱為www.test.com。
【命令】
match address local { ipv4-address | ipv6 ipv6-address }
undo match address local { ipv4-address | ipv6 ipv6-address }
【視圖】
IKEv2安全策略視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:指定用來匹配IKEv2安全策略的本端IPv4地址。
ipv6 ipv6-address:指定用來匹配IKEv2安全策略的本端IPv6地址。
【描述】
match address local命令用來指定匹配IKEv2安全策略的本端地址。undo match address local命令用來刪除配置的用於匹配IKEv2安全策略的本端地址。
缺省情況下,未指定用於匹配IKEv2安全策略的本端地址,本策略可匹配所有的本端地址。
在IKE_INIT_SA協商時,係統根據配置的本端安全網關的IP地址來查找可用的IKEv2安全策略,與本端安全網關的IP地址相匹配的IKEv2安全策略中的安全提議將被使用。
相關配置可參考命令display ikev2 policy。
【舉例】
# 指定用於匹配IKEv2安全策略policy1的本端地址為3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match address local 3.3.3.3
【命令】
nat keepalive seconds
undo nat keepalive
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
seconds:發送NAT keepalive報文的時間間隔,單位為秒,取值範圍為5~3600。
【描述】
nat keepalive命令用來配置IKEv2發送NAT keepalive報文的時間間隔。undo nat keepalive命令用來恢複缺省情況。
缺省情況下,IKEv2發送NAT keepalive報文的時間間隔為10秒。
在IKEv2對等體之間存在NAT網關設備的情況下,設備通過定期向對端發送NAT keepalive報文防止已有的NAT會話表項因長時間無流量匹配而被老化。
相關配置可參考命令display ikev2 profile。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置發送NAT keepalive報文的時間間隔為1200秒。
[Sysname-ikev2-profile-profile1] nat keepalive 1200
【命令】
peer peer-name
undo peer peer-name
【視圖】
IKEv2 keyring視圖
【缺省級別】
2:係統級
【參數】
peer-name:IKEv2對等體名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
peer命令用來配置一個IKEv2對等體,並進入IKEv2對等體視圖。undo peer命令用來刪除配置的IKEv2對等體。
缺省情況下,不存在任何IKEv2對等體。
一個IKEv2對等體中包含了一個預共享密鑰以及用於查找該對等體的匹配條件,包括對端的主機名稱(由命令hostname配置)、對端的IP地址(由命令address配置)和對端的身份(由命令identity配置)。其中,IKEv2協商的發起方使用對端的主機名稱和IP地址查找對等體,響應方使用對端的身份或對端的IP地址查找對等體。
相關配置可參考命令address、hostname、identity和pre-shared-key (IKEv2 peer view)。
【舉例】
# 創建一個IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-keyr1-keyr1] peer peer1
【命令】
pki domain domain-name [ sign | verify ]
undo pki domain domain-name [ sign | verify ]
【視圖】
IKEv2 profile視圖
【缺省級別】
2:係統級
【參數】
domain-name:PKI域的名稱,為1~64個字符的字符串,不區分大小寫。
sign:指定本端使用該PKI域中的證書生成數字簽名。
verify:指定本端使用該PKI域中的證書來驗證對端發送的數字簽名。
【描述】
pki domain命令用來指定IKEv2 profile引用的PKI域。undo pki domain命令用來刪除IKEv2 profile引用的PKI域。
缺省情況下,使用係統中已有的PKI域來驗證證書。
需要注意的是:
· 如果沒有指定任何參數,則表示指定的PKI域既用於簽名也用於驗證。
· 可通過多次執行本命令分別指定用於數字簽名的PKI域和用於驗證的PKI域。
· 如果本端的認證方式配置為RSA數字簽名方式,則必須通過本命令指定PKI域來獲取用於簽名的數字證書;如果對端的認證方式配置為RSA數字簽名方式,則必須通過本命令指定PKI域來獲取用於驗證的數字證書。
相關配置可參考命令display ikev2 profile、authentication以及“安全命令參考/PKI”中的命令pki domain。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域pki-local用於簽名,PKI域pki-remote用於驗證。
[Sysname-ikev2-profile-profile1] pki domain pki-local sign
[Sysname-ikev2-profile-profile1] pki domain pki-remote verify
【命令】
pre-shared-key [ local | remote ] [ cipher | simple ] key
undo pre-shared-key [ local | remote ]
【視圖】
IKEv2對等體視圖
【缺省級別】
2:係統級
【參數】
[ local | remote ]:表示指定非對稱密鑰。其中,local表示簽名密鑰,remote表示驗證密鑰。若參數local和remote均不指定,則表示指定的是對稱密鑰。
cipher:表示以密文方式設置預共享密鑰。
simple:表示以明文方式設置預共享密鑰。
string-key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~128個字符的字符串;密文密鑰為1~201個字符的字符串。不指定cipher或simple時,表示以明文方式設置密鑰。
【描述】
pre-shared-key命令用來配置一個IKEv2對等體的預共享密鑰。undo pre-shared-key命令用來刪除一個IKEv2對等體的預共享密鑰。
缺省情況下,未配置IKEv2對等體的預共享密鑰。
以明文或密文方式設置的預共享密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令peer (IKEv2 keyring view)。
【舉例】
· 發起方示例
# 創建一個IKEv2 keyring,名稱為keyr1。
<Sysname> system-view
[Sysname] ikev2 keyring keyr1
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-keyr1] peer peer1
# 配置IKEv2對等體peer1的對稱預共享密鑰為明文111-key。
[Sysname-ikev2-keyring-keyr1-peer-peer1] pre-shared-key simple 111-key
[Sysname-ikev2-keyring-keyr1-peer-peer1] quit
# 創建一個IKEv2對等體,名稱為peer2。
[Sysname-ikev2-keyring-keyr1] peer peer2
# 配置IKEv2對等體peer2的非對稱預共享密鑰,簽名密鑰為明文111-key-a,驗證密鑰為明文111-key-b。
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key local simple 111-key-a
[Sysname-ikev2-keyring-keyr1-peer-peer2] pre-shared-key remote simple 111-key-b
· 響應方示例
# 創建一個IKEv2 keyring,名稱為telecom。
<Sysname> system-view
[Sysname] ikev2 keyring telecom
# 創建一個IKEv2對等體,名稱為peer1。
[Sysname-ikev2-keyring-telecom] peer peer1
# 配置IKEv2對等體peer1的對稱預共享密鑰為明文111-key。
[Sysname-ikev2-keyring-telecom-peer-peer1] pre-shared-key simple 111-key
[Sysname-ikev2-keyring-telecom-peer-peer1] quit
# 創建一個IKEv2對等體,名稱為peer2。
[Sysname-ikev2-keyring-telecom] peer peer2
# 配置IKEv2對等體的非對稱預共享密鑰,簽名密鑰為明文111-key-b,驗證密鑰為明文111-key-a。
[Sysname-ikev2-keyring-telecom-peer-peer2] pre-shared-key local simple 111-key-b
[Sysname-ikev2-keyring-telecom-peer-peer2] pre-shared-key remote simple 111-key-a
【命令】
prf { aes-xcbc-mac| md5 | sha1 } *
undo prf
【視圖】
IKEv2安全提議視圖
【缺省級別】
2:係統級
【參數】
aes-xcbc-mac:指定IKEv2安全提議采用的PRF算法為AES-XCBC。
md5:指定IKEv2安全提議采用的PRF算法為MD5。
sha1:指定IKEv2安全提議采用的PRF算法為SHA1。
【描述】
prf命令用來指定IKEv2安全提議使用的PRF算法。undo prf命令用來刪除為IKEv2安全提議指定的PRF算法。
缺省情況下,未定義任何PRF算法。
需要注意的是:
· 一個IKEv2安全提議中至少需要配置一個PRF算法,否則該安全提議不完整。
· 一個IKEv2安全提議中可以配置多個PRF算法,其使用優先級按照配置順序依次降低。
相關配置可參考命令display ikev2 proposal。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的PRF算法為MD5和SHA1,且優先選擇SHA1。
[Sysname-ikev2-proposal-prop1m] prf sha1 md5
【命令】
proposal proposal-name&<1-6>
undo proposal [ proposal-name ]
【視圖】
IKEv2安全策略視圖
【缺省級別】
2:係統級
【參數】
proposal-name&<1-6>:被引用的IKEv2安全提議的名稱,為1~32個字符的字符串,不區分大小寫。&<1-6>表示前麵的參數最多可以輸入6次。
【描述】
proposal命令用來指定IKEv2安全策略引用的IKEv2安全提議。undo proposal命令用來刪除IKEv2安全策略引用的IKEv2安全提議。
缺省情況下,IKEv2安全策略未引用任何IKEv2安全提議。
需要注意的是:
· 若同時指定了多個IKEv2安全提議,則它們的優先級按照配置順序依次降低。
· 要引用的IKEv2安全提議必須已經存在。
· 若不指定任何參數,則undo proposal命令表示刪除所有引用的IKEv2安全提議。
相關配置可參考命令display ikev2 policy。
【舉例】
# 配置IKEv2安全策略policy1引用IKEv2安全提議proposal1和proposal2,且優先選擇proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1 proposal2
【命令】
reset ikev2 sa [ { local-address | remote-address } { ipv4-address | ipv6 ipv6-address } ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
remote-address:表示按照對端IP地址刪除IKEv2 SA。
local-address:表示按照本端IP地址刪除IKEv2 SA。
ipv4-address:本端或對端的IPv4地址。
ipv6 ipv6-address:本端或對端的IPv6地址。
【描述】
reset ikev2 sa命令用來刪除IKE SA及生成的IPsec SA。
需要注意的是,如果不指定任何參數,則表示刪除所有的IKE SA及其協商生成的IPsec SA。
相關配置可參考命令display ikev2 sa。
【舉例】
# 刪除本端地址為1.1.1.1的IKE SA及其IPsec SA。
<Sysname> reset ikev2 sa local-address 1.1.1.1
# 刪除對端地址為1.1.1.1的IKE SA及其IPsec SA。
<Sysname> reset ikev2 sa remote-address 1.1.1.1
# 刪除所有IKE SA及其協商生成的IPsec SA。
<Sysname> reset ikev2 sa
【命令】
reset ikev2 statistics
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
reset ikev2 statistics命令用來清除IKEv2的統計信息。
相關配置可參考命令display ikev2 statistics。
【舉例】
# 清除IKEv2的統計信息。
<Sysname> reset ikev2 statistics
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
