- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-IPsec命令
本章節下載: 03-IPsec命令 (1.34 MB)
目 錄
1.1.2 ah authentication-algorithm
1.1.4 display ipsec { ipv6-policy | policy }
1.1.5 display ipsec { ipv6-policy-template | policy-template }
1.1.8 display ipsec smart-link policy
1.1.9 display ipsec statistics
1.1.10 display ipsec transform-set
1.1.14 esp authentication-algorithm
1.1.15 esp encryption-algorithm
1.1.19 ipsec { ipv6-policy | policy }
1.1.20 ipsec { ipv6-policy | policy } template
1.1.21 ipsec { ipv6-policy | policy } local-address
1.1.22 ipsec { ipv6-policy-template | policy-template }
1.1.23 ipsec anti-replay check
1.1.24 ipsec anti-replay window
1.1.26 ipsec decrypt-check enable
1.1.28 ipsec flow-overlap check enable
1.1.32 ipsec logging negotiation enable
1.1.33 ipsec logging packet enable
1.1.36 ipsec redundancy enable
1.1.37 ipsec sa global-duration
1.1.38 ipsec sa global-soft-duration buffer
1.1.40 ipsec smart-link policy
1.1.52 redundancy replay-interval
1.1.57 reverse-route preference
1.1.61 sa hex-key authentication
1.1.64 sa soft-duration buffer
1.1.71 snmp-agent trap enable ipsec
1.1.74 tunnel protection ipsec
2.1.3 authentication-algorithm
2.1.8 client-authentication xauth user
2.1.19 ike compatible-gm-main enable
2.1.20 ike compatible-sm4 enable
2.1.23 ike gm-main sm4-version
2.1.25 ike invalid-spi-recovery enable
2.1.31 ike logging negotiation enable
2.1.35 ike signature-identity from-certificate
2.1.39 match local address (IKE keychain view)
2.1.40 match local address (IKE profile view)
2.1.43 priority (IKE keychain view)
2.1.44 priority (IKE profile view)
2.1.49 sa soft-duration buffer
2.1.51 snmp-agent trap enable ike
3.1.11 display ikev2 statistics
3.1.20 ikev2 ipv6-address-group
3.1.29 match local (IKEv2 profile view)
3.1.30 match local address (IKEv2 policy view)
3.1.32 match vrf (IKEv2 policy view)
3.1.33 match vrf (IKEv2 profile view)
3.1.38 priority (IKEv2 policy view)
僅vFW1000、vFW2000不支持SM1算法。
activate link命令用來手動激活指定的IPsec智能選路的鏈路。
【命令】
activate link link-id
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
link-id:需要激活的鏈路ID,取值範圍為1~10,此ID指定的鏈路必須是在IPsec智能選路策略中已經配置的鏈路。
【使用指導】
在IPsec智能選路策略中,不僅可以根據鏈路的探測質量由設備自動順序切換鏈路,也可以手動激活一條可用的鏈路來建立IPsec隧道。
在智能選路功能開啟的情況下,手動激活鏈路後,如果該鏈路的丟包率或時延高於設定的閾值,設備同樣會進行鏈路的循環切換。循環切換的起始鏈路是手動激活的這條鏈路,循環切換的終止鏈路仍然是優先級最低的鏈路。例如,有四條鏈路,手動激活第三條鏈路後,則立即切換到第三條鏈路。在第三條鏈路的丟包率或時延高於設定的閾值時,切換到第四條鏈路,之後繼續按照1>2>3>4進行循環切換。
在智能選路功能關閉的情況下,手動激活鏈路後,不會進行鏈路自動切換。
【舉例】
# 手動激活鏈路ID為2的IPsec智能選路的鏈路。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] activate link 2
【相關命令】
· display ipsec smart-link policy
ah authentication-algorithm命令用來配置AH協議采用的認證算法。
undo ah authentication-algorithm命令用來恢複缺省情況。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo ah authentication-algorithm
【缺省情況】
AH協議未采用任何認證算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aes-xcbc-mac:采用HMAC-AES-XCBC-96認證算法,密鑰長度128比特。本參數僅適用於IKEv2協商。
md5:采用HMAC-MD5-96認證算法,密鑰長度128比特。
sha1:采用HMAC-SHA1-96認證算法,密鑰長度160比特。
sha256:采用HMAC-SHA-256認證算法,密鑰長度256比特。
sha384:采用HMAC-SHA-384認證算法,密鑰長度384比特。
sha512:采用HMAC-SHA-512認證算法,密鑰長度512比特。
sm3:采用HMAC-SM3-96認證算法,密鑰長度256比特。本參數僅適用於IKEv1協商。
【使用指導】
每個IPsec安全提議中均可以配置多個AH認證算法,其優先級為配置順序。
對於手工方式以及IKEv1(第1版本的IKE協議)協商方式的IPsec安全策略,IPsec安全提議中配置順序首位的AH認證算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個AH認證算法需要一致。
【舉例】
# 配置IPsec安全提議采用的AH認證算法為HMAC-SHA1算法,密鑰長度為160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用來配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
無描述信息。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,為1~80個字符的字符串,區分大小寫。
【使用指導】
當係統中存在多個IPsec安全策略/IPsec安全策略模板/IPsec安全框架時,可通過配置相應的描述信息來有效區分不同的安全策略。
【舉例】
# 配置序號為1的IPsec安全策略policy1的描述信息為CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用來顯示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6-policy:顯示IPv6 IPsec安全策略的信息。
policy:顯示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:IPsec安全策略表項的順序號,取值範圍為1~65535。
【使用指導】
如果不指定任何參數,則顯示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,則顯示指定的IPsec安全策略表項的信息;如果指定了policy-name而沒有指定seq-number,則顯示所有名稱相同的IPsec安全策略表項的信息。
【舉例】
# 顯示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Remote address: test
Transform set:
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
# 顯示所有IPv6 IPsec安全策略的詳細信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 1000::2
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
表1-1 display ipsec { ipv6-policy | policy }命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名稱 |
|
Interface |
應用了IPsec安全策略的接口名稱 |
|
Sequence number |
IPsec安全策略表項的順序號 |
|
Mode |
IPsec安全策略采用的協商方式 · Mannul:手工方式 · ISAKMP:IKE協商方式 · Template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提議未配置 · ACL中沒有permit規則 · IPsec安全提議配置不完整 · IPsec隧道對端IP地址未指定 · IPsec SA的SPI和密鑰與IPsec安全策略的SPI和密鑰不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的開啟狀態 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的數據流保護方式 · standard:標準方式 · aggregation:聚合方式 · per-host:主機方式 |
|
Local address |
IPsec隧道的本端IP地址(僅IKE協商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的對端IP地址或主機名 primary地址顯示在第一條,其餘IP地址或主機名按照配置順序顯示 |
|
Transform set |
IPsec安全策略引用的IPsec安全提議的名稱 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名稱 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名稱 |
|
smart-link policy |
智能選路策略 |
|
SA trigger mode |
觸發建立IPsec SA的模式,包括: · Auto:自動觸發模式 · Traffic-based:流量觸發模式 |
|
SA duration(time based) |
基於時間的IPsec SA生存時間,單位為秒 |
|
SA duration(traffic based) |
基於流量的IPsec SA生存時間,單位為千字節 |
|
SA soft-duration buffer(time based) |
IPsec SA軟超時緩衝時間,單位為秒,未配置時顯示為“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA軟超時緩衝流量,單位為千字節,未配置時顯示為“--” |
|
SA idle time |
IPsec SA的空閑超時時間,單位為秒,未配置時顯示為“--” |
|
Inbound AH setting |
入方向采用的AH協議的相關設置 |
|
Outbound AH setting |
出方向采用的AH協議的相關設置 |
|
AH SPI |
AH協議的SPI |
|
AH string-key |
AH協議的字符類型的密鑰,若配置,則顯示為******,否則顯示為空 |
|
AH authentication hex key |
AH協議的十六進製密鑰,若配置,則顯示為******,否則顯示為空 |
|
Inbound ESP setting |
入方向采用的ESP協議的相關設置 |
|
Outbound ESP setting |
出方向采用的ESP協議的相關設置 |
|
ESP SPI |
ESP協議的SPI |
|
ESP string-key |
ESP協議的字符類型的密鑰,若配置,則顯示為******,否則顯示為空 |
|
ESP encryption hex key |
ESP協議的十六進製加密密鑰,若配置,則顯示為******,否則顯示為空 |
|
ESP authentication hex key |
ESP協議的十六進製認證密鑰,若配置,則顯示為******,否則顯示為空 |
【相關命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用來顯示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6-policy-template:顯示IPv6 IPsec安全策略模板的信息。
policy-template:顯示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:指定IPsec安全策略模板表項的順序號,取值範圍為1~65535。
【使用指導】
如果不指定任何參數,則顯示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,則顯示指定的IPsec安全策略模板表項的信息;如果指定了template-name而沒有指定seq-number,則顯示所有名稱相同的IPsec安全策略模板表項的信息。
【舉例】
# 顯示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
# 顯示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
表1-2 display ipsec { ipv6-policy-template | policy-template }命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名稱 |
|
Sequence number |
IPsec安全策略模板表項的序號 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的開啟狀態 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
Selector mode |
IPsec安全策略模板的數據流保護方式 · standard:標準方式 · aggregation:聚合方式 · per-host:主機方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec安全策略模板引用的IKE Profile名稱 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名稱 |
|
Remote address |
IPsec隧道的對端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提議的名稱 |
|
IPsec SA local duration(time based) |
基於時間的IPsec SA生存時間,單位為秒 |
|
IPsec SA local duration(traffic based) |
基於流量的IPsec SA生存時間,單位為千字節 |
|
SA idle time |
IPsec SA的空閑超時時間,單位為秒,未配置時顯示為“--” |
【相關命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用來顯示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
profile-name:指定IPsec安全框架的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
如果沒有指定任何參數,則顯示所有IPsec安全框架的配置信息。
【舉例】
# 顯示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-------------------------------------------
IPsec profile: myprofile
Mode: isakmp
-------------------------------------------
Transform set: tran1
IKE profile: profile
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-3 display ipsec profile命令顯示信息描述表
|
字段 |
描述 |
|
IPsec profile |
IPsec安全框架的名稱 |
|
Mode |
IPsec安全框架采用的協商方式 |
|
Description |
IPsec安全框架的描述信息 |
|
Transform set |
IPsec安全策略引用的IPsec安全提議的名稱 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名稱 |
|
SA duration(time based) |
基於時間的IPsec SA生存時間,單位為秒 |
|
SA duration(traffic based) |
基於流量的IPsec SA生存時間,單位為千字節 |
|
SA soft-duration buffer(time based) |
IPsec SA軟超時緩衝時間,單位為秒,未配置時顯示為“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA軟超時緩衝流量,單位為千字節,未配置時顯示為“--” |
|
SA idle time |
IPsec SA的空閑超時時間,單位為秒,未配置時顯示為“--” |
|
Inbound AH setting |
入方向采用的AH協議的相關設置 |
|
Outbound AH setting |
出方向采用的AH協議的相關設置 |
|
AH SPI |
AH協議的SPI |
|
AH string-key |
AH協議的字符類型的密鑰 |
|
AH authentication hex key |
AH協議的十六進製密鑰 |
|
Inbound ESP setting |
入方向采用的ESP協議的相關設置 |
|
Outbound ESP setting |
出方向采用的ESP協議的相關設置 |
|
ESP SPI |
ESP協議的SPI |
|
ESP string-key |
ESP協議的字符類型的密鑰 |
|
ESP encryption hex key |
ESP協議的十六進製加密密鑰 |
|
ESP authentication hex key |
ESP協議的十六進製認證密鑰 |
【相關命令】
· ipsec profile
display ipsec sa命令用來顯示IPsec SA的相關信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
brief:顯示所有的IPsec SA的簡要信息。
count:顯示IPsec SA的個數。
interface interface-type interface-number:顯示指定接口下的IPsec SA的詳細信息。interface-type interface-number表示接口類型和接口編號。
ipv6-policy:顯示由指定IPv6 IPsec安全策略創建的IPsec SA的詳細信息。
policy:顯示由指定IPv4 IPsec安全策略創建的IPsec SA的詳細信息。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535。
profile:顯示由指定IPsec安全框架創建的IPsec SA的詳細信息。
profile-name:IPsec安全框架的名稱,為1~63個字符的字符串,不區分大小寫。
remote ip-address:顯示指定對端IP地址的IPsec SA的詳細信息。
ipv6:顯示指定IPv6對端地址的IPsec SA的詳細信息。若不指定本參數,則表示顯示指定IPv4對端地址的IPsec SA的詳細信息。
【使用指導】
如果不指定任何參數,則顯示所有IPsec SA的詳細信息。
【舉例】
# 顯示IPsec SA的簡要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE1/0/1 10.1.1.1 400 ESP Active
GE1/0/1 255.255.255.255 4294967295 ESP Active
GE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-4 display ipsec sa brief命令顯示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA屬於的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道對端的IP地址 IPsec安全框架生成的SA中,該值無意義,顯示為“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全協議 |
|
Status |
IPsec SA的狀態,取值隻能為Active,表示SA處於可用狀態 |
# 顯示IPsec SA的個數。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 顯示所有IPsec SA的詳細信息。
<Sysname> display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1443
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID:90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID:64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表項順序號 |
|
Mode |
IPsec安全策略采用的協商方式 · Mannul:手工方式 · ISAKMP:IKE協商方式 · Template:IKE模板方式 |
|
Tunnel id |
IPsec隧道的ID號 |
|
Encapsulation mode |
采用的報文封裝模式,有兩種:傳輸(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略發起協商時使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman組(dh-group1) · 1024-bit Diffie-Hellman組(dh-group2) · 1536-bit Diffie-Hellman組(dh-group5) · 2048-bit Diffie-Hellman組(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman組(dh-group24) · 256-bit ECP模式 Diffie-Hellman組(dh-group19) · 384-bit ECP模式 Diffie-Hellman組(dh-group20) |
|
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,擴展序列號)功能是否開啟 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否開啟 |
|
Inside VPN |
被保護數據所屬的VRF實例名稱 |
|
Transmitting entity |
IKE方式協商中的實體角色包括: · Initiator:發起方 · Responder:響應方 |
|
Path MTU |
IPsec SA的路徑MTU值 |
|
Tunnel |
IPsec隧道的端點地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的對端IP地址 |
|
Flow |
受保護的數據流信息 |
|
sour addr |
數據流的源IP地址 |
|
dest addr |
數據流的目的IP地址 |
|
port |
端口號 |
|
protocol |
協議類型,受保護的數據流所屬協議 |
|
Inbound ESP SAs |
入方向的ESP協議的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP協議的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH協議的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH協議的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA標識 |
|
Transform set |
IPsec安全提議所采用的安全協議及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存時間,單位為千字節或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩餘的IPsec SA生存時間,單位為千字節或者秒 |
|
Max received sequence-number |
入方向接收到的報文最大序列號 |
|
Max sent sequence-number |
出方向發送的報文最大序列號 |
|
Anti-replay check enable |
抗重放檢測功能是否開啟 |
|
Anti-replay window size |
抗重放窗口寬度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的狀態,取值隻能為Active,表示SA處於可用狀態 |
|
No duration limit for this SA |
手工方式創建的IPsec SA無生存時間 |
【相關命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec smart-link policy命令用來查看IPsec智能選路策略的配置信息。
【命令】
display ipsec smart-link policy [ brief | name policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
brief:查看所有IPsec智能選路策略的簡要配置信息。
name policy-name:查看指定IPsec智能選路策略的詳細配置信息。
【使用指導】
若不指定任何參數,則顯示所有IPsec智能選路策略的詳細配置信息。
【舉例】
# 查看IPsec智能選路策略smlkpolicy1的詳細配置信息。
<Sysname> display ipsec smart-link policy name smlkpolicy1
--------------------------------------------------------------------------
Policy name :smlkpolicy1
State :Enabled
Probe count :10
Probe interval :1 sec
Probe source IP address :1.1.1.1
Probe destination IP address :3.3.3.3
Max link switch cycles :3
IPsec policy name :ipsecpolicy1
Interface :GigabitEthernet1/0/1
IPsec policy sequence number :1
Link ID Local address Remote address Loss(%) Delay(ms) State
1 1.1.1.1 3.3.3.3 2 10 Active
2 2.2.2.2 4.4.4.4 0 0 Inactive
--------------------------------------------------------------------------
表1-6 display ipsec smart-link policy name命令顯示信息描述表
|
字段 |
描述 |
|
Policy name |
IPsec智能選路策略的名稱 |
|
State |
IPsec智能選路策略的狀態,包括如下取值: · Enabled:IPsec智能選路功能已啟用 · Disabled:IPsec智能選路功能未啟用 |
|
Probe count |
一個探測周期內發送探測報文的個數 |
|
Probe interval |
發送探測報文的時間間隔,單位為秒 |
|
Probe source IP address |
探測報文使用的源IP地址 |
|
Probe destination IP address |
探測報文使用的目的IP地址 |
|
Max link switch cycles |
鏈路循環切換的最大次數 |
|
IPsec policy name |
引用該IPsec智能選路策略的IPsec安全策略的名稱 |
|
IPsec policy sequence number |
安全策略的順序號 |
|
Link ID |
鏈路的ID |
|
Local address |
鏈路本端使用的IP地址 |
|
Remote address |
鏈路對端使用的IP地址 |
|
Loss(%) |
最近一次鏈路探測的丟包率統計結果,丟包率為“--”時,表示沒有進行探測 |
|
Delay(ms) |
最近一次鏈路探測的時延統計結果,時延為“--”時,表示沒有進行探測,或者延遲超過3000ms |
|
State |
鏈路的激活狀態,包括如下取值: · Actvie:鏈路處於激活狀態,此鏈路正在使用中 · Inactive:鏈路處於非激活狀態 |
# 查看所有IPsec智能選路策略的簡要配置信息。
<Sysname> display ipsec smart-link policy brief
Name Active link ID Loss(%) Delay(ms)
policy1 1 0 10
policy2 2 -- --
表1-7 display ipsec smart-link policy brief命令顯示信息描述表
|
字段 |
描述 |
|
Name |
IPsec智能選路策略的名稱 |
|
Active link ID |
當前正在使用鏈路的ID |
|
Loss(%) |
最近一次鏈路探測的丟包率統計結果 |
|
Delay(ms) |
最近一次鏈路探測的時延統計結果,時延為“--”時,表示沒有進行探測,或者延遲超過3000ms。 |
【相關命令】
· ipsec smart-link policy
display ipsec statistics命令用來顯示IPsec處理的報文的統計信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
tunnel-id tunnel-id:顯示指定IPsec隧道處理的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967294。通過display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID號。
【使用指導】
如果不指定任何參數,則顯示IPsec處理的所有報文的統計信息。
【舉例】
# 顯示所有IPsec處理的報文統計信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Received/sent packet rate: 5/5 packets/sec
Received/sent byte rate: 290/290 bytes/sec
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 顯示ID為1的IPsec隧道處理的報文統計信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Received/sent packet rate: 4/4 packets/sec
Received/sent byte rate: 232/232 bytes/sec
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-8 display ipsec statistics命令顯示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec處理的報文統計信息 |
|
Received/sent packets |
接收/發送的受安全保護的數據包的數目 |
|
Received/sent bytes |
接收/發送的受安全保護的字節數目 |
|
Received/sent packet rate |
接收/發送的受安全保護的數據包的速率:packets/sec表示每秒接收或發送的數據包數目 |
|
Received/sent bytes rate |
接收/發送的受安全保護的字節速率:bytes/sec表示每秒接收或發送的字節數目 |
|
Dropped packets (received/sent) |
被設備丟棄了的受安全保護的數據包的數目(接收/發送) |
|
Dropped packets statistics |
被丟棄的數據包的詳細信息 |
|
No available SA |
因為找不到IPsec SA而被丟棄的數據包的數目 |
|
Wrong SA |
因為IPsec SA錯誤而被丟棄的數據包的數目 |
|
Invalid length |
因為數據包長度不正確而被丟棄的數據包的數目 |
|
Authentication failure |
因為認證失敗而被丟棄的數據包的數目 |
|
Encapsulation failure |
因為加封裝失敗而被丟棄的數據包的數目 |
|
Decapsulation failure |
因為解封裝失敗而被丟棄的數據包的數目 |
|
Replayed packets |
被丟棄的重放的數據包的數目 |
|
ACL check failure |
因為ACL檢測失敗而被丟棄的數據包的數目 |
|
MTU check failure |
因為MTU檢測失敗而被丟棄的數據包的數目 |
|
Loopback limit exceeded |
因為本機處理的次數超過限製而被丟棄的數據包的數目 |
|
Crypto speed limit exceeded |
因為加密速度的限製而被丟棄的數據包的數目 |
【相關命令】
· reset ipsec statistics
display ipsec transform-set命令用來顯示IPsec安全提議的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
transform-set-name:指定IPsec安全提議的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
如果沒有指定IPsec安全提議的名稱,則顯示所有IPsec安全提議的信息。
【舉例】
# 顯示所有IPsec安全提議的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-9 display ipsec transform-set命令顯示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提議的名稱 |
|
State |
IPsec安全提議是否完整 |
|
Encapsulation mode |
IPsec安全提議采用的封裝模式,包括兩種:傳輸(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,擴展序列號)功能的開啟狀態 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman組(dh-group1) · 1024-bit Diffie-Hellman組(dh-group2) · 1536-bit Diffie-Hellman組(dh-group5) · 2048-bit Diffie-Hellman組(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman組(dh-group24) · 256-bit ECP模式 Diffie-Hellman組(dh-group19) · 384-bit ECP模式 Diffie-Hellman組(dh-group20) |
|
Transform |
IPsec安全提議采用的安全協議,包括三種:AH協議、ESP協議、AH-ESP(先采用ESP協議,再采用AH協議) |
|
AH protocol |
AH協議相關配置 |
|
ESP protocol |
ESP協議相關配置 |
|
Integrity |
安全協議采用的認證算法 |
|
Encryption |
安全協議采用的加密算法 |
【相關命令】
· ipsec transform-set
display ipsec tunnel命令用來顯示IPsec隧道的信息。
【命令】
display ipsec tunnel [ brief | count | tunnel-id tunnel-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
brief:顯示IPsec隧道的簡要信息。
count:顯示IPsec隧道的個數。
tunnel-id tunnel-id:顯示指定的IPsec隧道的詳細信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967294。
【使用指導】
IPsec通過在特定通信方之間(例如兩個安全網關之間)建立“通道”,來保護通信方之間傳輸的用戶數據,該通道通常稱為IPsec隧道。
如果不指定任何參數,則顯示所有IPsec隧道的信息。
【舉例】
# 顯示所有IPsec隧道的簡要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-10 display ipsec tunnel brief命令顯示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID號 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,該值無意義,顯示為“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,該值無意義,顯示為“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果該隧道使用了兩種安全協議,則會分為兩行分別顯示兩個入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果該隧道使用了兩種安全協議,則會分為兩行分別顯示兩個出方向的SPI |
|
Status |
IPsec SA的狀態,取值隻能為Active,表示SA處於可用狀態 |
# 顯示IPsec隧道的數目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 顯示所有IPsec隧道的詳細信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 顯示ID號為1的IPsec隧道的詳細信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-11 display ipsec tunnel命令顯示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用來唯一地標識一個IPsec隧道 |
|
Status |
IPsec隧道的狀態,取值隻能為Active,表示隧道處於可用狀態 |
|
Perfect forward secrecy |
此IPsec安全策略發起協商時使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman組(dh-group1) · 1024-bit Diffie-Hellman組(dh-group2) · 1536-bit Diffie-Hellman組(dh-group5) · 2048-bit Diffie-Hellman組(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman組(dh-group24) · 256-bit ECP模式 Diffie-Hellman組(dh-group19) · 384-bit ECP模式 Diffie-Hellman組(dh-group20) |
|
Inside vpn-instance |
被保護數據所屬的VPN實例名 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端點地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的對端IP地址 |
|
Flow |
IPsec隧道保護的數據流,包括源地址、目的地址、源端口、目的端口、協議 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保護的數據流的範圍,例如IPsec隧道保護ACL 3001中定義的所有數據流 |
encapsulation-mode命令用來配置安全協議對報文的封裝模式。
undo encapsulation-mode命令用來恢複缺省情況。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情況】
使用隧道模式對IP報文進行封裝。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
transport:采用傳輸模式。
tunnel:采用隧道模式。
【使用指導】
傳輸模式下的安全協議主要用於保護上層協議報文,僅傳輸層數據被用來計算安全協議頭,生成的安全協議頭以及加密的用戶數據(僅針對ESP封裝)被放置在原IP頭後麵。若要求端到端的安全保障,即數據包進行安全傳輸的起點和終點為數據包的實際起點和終點時,才能使用傳輸模式。
隧道模式下的安全協議用於保護整個IP數據包,用戶的整個IP數據包都被用來計算安全協議頭,生成的安全協議頭以及加密的用戶數據(僅針對ESP封裝)被封裝在一個新的IP數據包中。這種模式下,封裝後的IP數據包有內外兩個IP頭,其中的內部IP頭為原有的IP頭,外部IP頭由提供安全服務的設備添加。在安全保護由設備提供的情況下,數據包進行安全傳輸的起點或終點不為數據包的實際起點和終點時(例如安全網關後的主機),則必須使用隧道模式。隧道模式用於保護兩個安全網關之間的數據傳輸。
在IPsec隧道的兩端,IPsec安全提議所采用的封裝模式要一致。
【舉例】
# 指定IPsec安全提議tran1采用傳輸模式對IP報文進行封裝。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相關命令】
· ipsec transform-set
esn enable命令用來開啟ESN(Extended Sequence Number,擴展序列號)功能。
undo esn enable命令用來關閉ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情況】
ESN功能處於關閉狀態。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
both:既支持擴展序列號,又支持非擴展序列號。若不指定該參數,則表示僅支持擴展序列號。
【使用指導】
本功能僅適用於IKEv2協商的IPsec SA。
ESN功能用於擴展防重放序列號的範圍,可將抗重放序列號長度由傳統的32比特擴大到64比特。在有大量數據流需要使用IPsec SA保護進行高速傳輸的情況下,該功能可避免防重放序列號被過快消耗而引發頻繁地重協商。
隻有發起方和響應方都開啟了ESN功能,ESN功能才能生效。
【舉例】
# 在IPsec安全提議中開啟ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相關命令】
· display ipsec transform-set
esp authentication-algorithm命令用來配置ESP協議采用的認證算法。
undo esp authentication-algorithm命令用來恢複缺省情況。
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo esp authentication-algorithm
【缺省情況】
ESP協議未采用任何認證算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aes-xcbc-mac:采用HMAC-AES-XCBC-96認證算法,密鑰長度為128比特。本參數僅適用於IKEv2協商。
md5:采用HMAC-MD5-96認證算法,密鑰長度128比特。
sha1:采用HMAC-SHA1-96認證算法,密鑰長度160比特。
sha256:采用 HMAC-SHA-256認證算法,密鑰長度 256比特。
sha384:采用 HMAC-SHA-384認證算法,密鑰長度 384比特。
sha512:采用 HMAC-SHA-512認證算法,密鑰長度 512比特。
sm3:采用HMAC-SM3-96認證算法,密鑰長度256比特,本參數僅適用於IKEv1協商。
【使用指導】
每個IPsec安全提議中均可以配置多個ESP認證算法,其優先級為配置順序。
對於手工方式以及IKEv1(第1版本的IKE協議)協商方式的IPsec安全策略,IPsec安全提議中配置順序首位的ESP認證算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個ESP認證算法需要一致。
【舉例】
# 在IPsec安全提議中配置ESP認證算法為HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相關命令】
· ipsec transform-set
esp encryption-algorithm命令用來配置ESP協議采用的加密算法。
undo esp encryption-algorithm命令用來恢複缺省情況。
【命令】
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null | sm1-cbc-128 | sm4-cbc } *
undo esp encryption-algorithm
【缺省情況】
ESP協議未采用任何加密算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
3des-cbc:采用CBC模式的3DES算法,密鑰長度為168比特。
aes-cbc-128:采用CBC模式的AES算法,密鑰長度為128比特。
aes-cbc-192:采用CBC模式的AES算法,密鑰長度為192比特。
aes-cbc-256:采用CBC模式的AES算法,密鑰長度為256比特。
aes-ctr-128:采用CTR模式的AES算法,密鑰長度為128比特。本參數僅適用於IKEv2協商。
aes-ctr-192:采用CTR模式的AES算法,密鑰長度為192比特。本參數僅適用於IKEv2協商。
aes-ctr-256:采用CTR模式的AES算法,密鑰長度為256比特。本參數僅適用於IKEv2協商。
camellia-cbc-128:采用CBC模式的Camellia算法,密鑰長度為128比特。本參數僅適用於IKEv2協商。
camellia-cbc-192:采用CBC模式的Camellia算法,密鑰長度為192比特。本參數僅適用於IKEv2協商。
camellia-cbc-256:采用CBC模式的Camellia算法,密鑰長度為256比特。本參數僅適用於IKEv2協商。
des-cbc:采用CBC模式的DES算法,密鑰長度為64比特。
gmac-128:采用GMAC算法,密鑰長度為128比特。本參數僅適用於IKEv2協商。
gmac-192:采用GMAC算法,密鑰長度為192比特。本參數僅適用於IKEv2協商。
gmac-256:采用GMAC算法,密鑰長度為256比特。本參數僅適用於IKEv2協商。
gcm-128:采用GCM算法,密鑰長度為128比特。本參數僅適用於IKEv2協商。
gcm-192:采用GCM算法,密鑰長度為192比特。本參數僅適用於IKEv2協商。
gcm-256:采用GCM算法,密鑰長度為256比特。本參數僅適用於IKEv2協商。
null:采用NULL加密算法,表示不進行加密。
sm1-cbc-128:采用CBC模式的SM1算法,密鑰長度為128比特。本參數僅適用於IKEv1協商。
sm4-cbc:采用CBC模式的SM4算法,密鑰長度為128比特。本參數僅適用於IKEv1協商。
【使用指導】
每個IPsec安全提議中均可以配置多個ESP加密算法,其優先級為配置順序。
對於手工方式以及IKEv1(第1版本的IKE協議)協商方式的IPsec安全策略,IPsec安全提議中配置順序首位的ESP加密算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個ESP加密算法需要一致。
GCM、GMAC屬於組合模式算法(Combined mode algorithm)。其中,GCM算法能同時為ESP協議提供加密與認證服務,GMAC隻能提供認證服務。組合模式算法隻能用於僅采用ESP協議的配置環境,不能用於同時采用AH協議和ESP協議的配置環境,且不能與普通的ESP認證算法同時使用。
【舉例】
# 在IPsec安全提議中配置ESP加密算法為CBC模式的AES算法,密鑰長度為128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相關命令】
· ipsec transform-set
gateway命令用來配置接口的網關地址。
undo gateway命令用來刪除接口的網關地址,並刪除其下發的缺省路由。
【命令】
gateway gateway-address [ no-route ]
undo gateway
【缺省情況】
接口上未配置網關地址。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
gateway-address:接口的網關地址,為點分十進製形式。
no-route:不會生成缺省路由。若不配置此參數,則會生成一條缺省路由,下一跳為接口配置的網關地址。
【使用指導】
當IPsec智能選路鏈路中指定的本端接口上的IP地址是手工配置時,鏈路中沒有指定下一跳且不能自動獲取時,必須在此接口上配置網關地址。
設備下發缺省路由表項時,不會自動生成路由配置命令(ip route-static),因此無法通過undo ip route-static命令刪除。
當本端接口通過DHCP或PPPoE方式獲取IP地址時,配置的gateway不生效,本端接口通過DHCP或PPPoE服務器獲取網關地址。
【舉例】
# 配置IPsec智能選路鏈路中指定的本端接口GigabitEthernet1/0/1的網關地址為10.1.1.254,但不生成缺省路由。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] gateway 10.1.1.254 no-route
【相關命令】
· link
ike-profile命令用來指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用來恢複缺省情況。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情況】
未引用IKE profile。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:IKE profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,則使用係統視圖下配置的IKE profile進行協商,若係統視圖下沒有任何IKE profile,則使用全局的IKE參數進行協商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定義了用於IKE協商的相關參數。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下隻能引用一個IKE profile。
【舉例】
# 指定IPsec安全策略policy1中引用的IKE profile為profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相關命令】
· ike profile(安全命令參考/IKE)
ikev2-profile命令用來指定IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖引用的IKEv2 profile。
undo ikev2-profile命令用來恢複缺省情況。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情況】
未引用IKEv2 profile。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:IKEv2 profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖引用的IKEv2 profile中定義了用於IKEv2協商的相關參數。
一個IPsec安全策略視圖/一個IPsec安全策略模板視圖/IPsec安全框架視圖下隻能引用一個IKEv2 profile。發起方必須引用IKEv2 profile,響應方引用IKEv2 profile表示此IPsec策略隻允許用此IKEv2 profile協商,否則表示此IPsec策略允許用任何IKEv2 profile協商。
【舉例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile為profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相關命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用來創建一條IPsec安全策略,並進入IPsec安全策略視圖。如果指定的IPsec安全策略已經存在,則直接進入IPsec安全策略視圖。
undo ipsec { ipv6-policy | policy }命令用來刪除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情況】
不存在IPsec安全策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535。
isakmp:指定通過IKE協商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指導】
創建IPsec安全策略時,必須指定協商方式(isakmp或manual)。進入已創建的IPsec安全策略時,可以不指定協商方式。
不能修改已創建的IPsec安全策略的協商方式。
一個IPsec安全策略是若幹具有相同名稱、不同順序號的IPsec安全策略表項的集合。在同一個IPsec安全策略中,順序號越小的IPsec安全策略表項優先級越高。
對於undo命令,攜帶seq-number參數時表示刪除一個IPsec安全策略表項,不攜帶該參數時表示刪除一個指定的IPsec安全策略。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名稱可以相同。
【舉例】
# 創建一個名稱為policy1、順序號為100、采用IKE方式協商IPsec SA的IPsec安全策略,並進入IPsec安全策略視圖。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 創建一個名稱為policy1、順序號為101、采用手工方式建立IPsec SA的IPsec安全策略,並進入IPsec安全策略視圖。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } template命令用來引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用來刪除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情況】
不存在IPsec安全策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535,值越小優先級越高。
isakmp:被引用的IPsec安全策略模板為isakmp類型模板。
template template-name:指定被引用的IPsec安全策略模板的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
對於undo命令,攜帶seq-number參數時表示刪除一個IPsec安全策略表項,不攜帶該參數時表示刪除一個指定的IPsec安全策略。
應用了該類IPsec安全策略的接口不能發起協商,僅可以響應遠端設備的協商請求。由於IPsec安全策略模板中未定義的可選參數由發起方來決定,而響應方會接受發起方的建議,因此這種方式創建的IPsec安全策略適用於通信對端(例如對端的IP地址)未知的情況下,允許這些對端設備向本端設備主動發起協商。
【舉例】
# 引用IPsec策略模板temp1,創建名稱為policy2、順序號為200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用來配置IPsec安全策略為共享源接口IPsec安全策略,即將指定的IPsec安全策略與一個源接口進行綁定。
undo ipsec { ipv6-policy | policy } local-address命令用來取消IPsec安全策略為共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情況】
IPsec安全策略不是共享源接口IPsec安全策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享該接口IP地址的IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
local-address interface-type interface-number:指定的共享源接口的名稱。interface-type interface-nunmber為接口類型和接口編號。
【使用指導】
在不同的接口上應用安全策略時,各個接口將分別協商生成IPsec SA。如果兩個互為備份的接口上都引用了IPsec安全策略,並采用相同的安全策略,則在主備鏈路切換時,接口狀態的變化會觸發重新進行IKE協商,從而導致IPsec業務流的暫時中斷。通過將一個IPsec安全策略與一個源接口綁定,使之成為共享源接口IPsec安全策略,可以實現多個應用該共享源接口IPsec安全策略的出接口共享同一個指定的源接口(稱為共享源接口)協商出的IPsec SA。隻要該源接口的狀態不變化,各接口上IPsec業務就不會中斷。
當非共享源接口IPsec安全策略應用於業務接口,並已經生成IPsec SA時,如果將該安全策略配置為共享源接口安全策略,則已經生成的IPsec SA將被刪除。
隻有IKE協商方式的IPsec安全策略才能配置為IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置為共享源接口IPsec安全策略。
一個IPsec安全策略隻能與一個源接口綁定,多次執行本命令,最後一次執行的命令生效。
一個源接口可以同時與多個IPsec安全策略綁定。
推薦使用狀態較為穩定的接口作為共享源接口,例如Loopback接口。
【舉例】
# 配置IPsec安全策略map為共享源接口安全策略,共享源接口為Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相關命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用來創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖。如果指定的IPsec安全策略模板已經存在,則直接進入IPsec安全策略模板視圖。
undo ipsec { ipv6-policy-template | policy-template }命令用來刪除指定的IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情況】
不存在IPsec安全策略模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名稱,為1~63個字符的字符串,不區分大小寫。
seq-number:IPsec安全策略模板表項的順序號,取值範圍為1~65535,值越小優先級越高。
【使用指導】
IPsec安全策略模板與直接配置的IKE協商方式的IPsec安全策略中可配置的參數類似,但是配置較為簡單,除了IPsec安全提議和IKE對等體之外的其它參數均為可選。
· 攜帶seq-number參數的undo命令用來刪除一個IPsec安全策略模板表項。
· 一個IPsec安全策略模板是若幹具有相同名稱、不同順序號的IPsec安全策略模板表項的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名稱可以相同。
【舉例】
# 創建一個名稱為template1、順序號為100的IPsec安全策略模板,並進入IPsec安全策略模板視圖。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相關命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec anti-replay check命令用來開啟IPsec抗重放檢測功能。
undo ipsec anti-replay check用來關閉IPsec抗重放檢測功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情況】
IPsec抗重放檢測功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對重放報文的解封裝無意義,並且解封裝過程涉及密碼學運算,會消耗設備大量的資源,導致業務可用性下降,造成了拒絕服務攻擊。通過開啟IPsec抗重放檢測功能,將檢測到的重放報文在解封裝處理之前丟棄,可以降低設備資源的消耗。
在某些特定環境下,業務數據報文的接收順序可能與正常的順序差別較大,雖然並非有意的重放攻擊,但會被抗重放檢測認為是重放報文,導致業務數據報文被丟棄,影響業務的正常運行。因此,這種情況下就可以通過關閉IPsec抗重放檢測功能來避免業務數據報文的錯誤丟棄,也可以通過適當地增大抗重放窗口的寬度,來適應業務正常運行的需要。
隻有IKE協商的IPsec SA才能夠支持抗重放檢測,手工方式生成的IPsec SA不支持抗重放檢測。因此該功能開啟與否對手工方式生成的IPsec SA沒有影響。
【舉例】
# 開啟IPsec抗重放檢測功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相關命令】
· ipsec anti-replay window
ipsec anti-replay window命令用來配置IPsec抗重放窗口的寬度。
undo ipsec anti-replay window命令用來恢複缺省情況。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情況】
IPsec抗重放窗口的寬度為64。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
width:IPsec抗重放窗口的寬度,取值可以為64、128、256、512、1024,單位為報文個數。
【使用指導】
在某些特定環境下,業務數據報文的接收順序可能與正常的順序差別較大,雖然並非有意的重放攻擊,但會被抗重放檢測認為是重放報文,導致業務數據報文被丟棄,影響業務的正常運行。因此,這種情況下就可以通過關閉IPsec抗重放檢測功能來避免業務數據報文的錯誤丟棄,也可以通過適當地增大抗重放窗口的寬度,來適應業務正常運行的需要。
修改後的抗重放窗口寬度僅對新協商成功的IPsec SA生效。
【舉例】
# 配置IPsec抗重放窗口的寬度為128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相關命令】
· ipsec anti-replay check
ipsec apply命令用來在接口上應用IPsec安全策略。
undo ipsec apply命令用來從接口上取消應用的IPsec安全策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情況】
接口上未應用IPsec安全策略。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
一個接口下最多隻能應用一個IPv4/IPv6類型的IPsec安全策略,但可以同時應用一個IPv4類型的IPsec安全策略和一個IPv6類型的IPsec安全策略。
在將IKE方式的IPsec安全策略可以應用到多個接口上時,請使用共享源接口的IPsec安全策略;手工方式的IPsec安全策略隻能應用到一個接口上。
【舉例】
# 在接口GigabitEthernet1/0/1上應用名為policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec apply policy policy1
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec decrypt-check enable命令用來開啟解封裝後IPsec報文的ACL檢查功能。
undo ipsec decrypt-check命令用來關閉解封裝後IPsec報文的ACL檢查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情況】
解封裝後IPsec報文的ACL檢查功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在隧道模式下,接口入方向上解封裝的IPsec報文的內部IP頭有可能不在當前IPsec安全策略引用的ACL的保護範圍內,如網絡中一些惡意偽造的攻擊報文就可能有此問題,所以設備需要重新檢查解封裝後的報文的IP頭是否在ACL保護範圍內。開啟該功能後可以保證ACL檢查不通過的報文被丟棄,從而提高網絡安全性。
【舉例】
# 開啟解封裝後IPsec報文的ACL檢查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
ipsec df-bit命令用來為當前接口設置IPsec封裝後外層IP頭的DF位。
undo ipsec df-bit命令用來恢複缺省情況。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情況】
接口下未設置IPsec封裝後外層IP頭的DF位,采用全局設置的DF位。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
clear:表示清除外層IP頭的DF位,IPsec封裝後的報文可被分片。
copy:表示外層IP頭的DF位從原始報文IP頭中拷貝。
set:表示設置外層IP頭的DF位,IPsec封裝後的報文不能分片。
【使用指導】
該功能僅在IPsec的封裝模式為隧道模式時有效(因為傳輸模式不會增加新的IP頭,因此對於傳輸模式無影響)。
該功能用於設置IPsec隧道模式封裝後的外層IP頭的DF位,原始報文IP頭的DF位不會被修改。
如果有多個接口應用了共享源接口安全策略,則這些接口上必須使用相同的DF位設置。
轉發報文時對報文進行分片、重組,可能會導致報文的轉發延時較大。若設置了封裝後IPsec報文的DF位,則不允許對IPsec報文進行分片,可以避免引入分片延時。這種情況下,要求IPsec報文轉發路徑上各個接口的MTU大於IPsec報文長度,否則,會導致IPsec報文被丟棄。如果無法保證轉發路徑上各個接口的MTU大於IPsec報文長度,則建議清除DF位。
【舉例】
# 在接口GigabitEthernet1/0/2上設置IPsec封裝後外層IP頭的DF位。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ipsec df-bit set
【相關命令】
· ipsec global-df-bit
ipsec flow-overlap check enable命令用來開啟IPsec流量重疊檢測功能。
undo ipsec flow-overlap check enable命令用來關閉IPsec流量重疊檢測功能。
【命令】
ipsec flow-overlap check enable
undo ipsec flow-overlap check enable
【缺省情況】
IPsec流量重疊檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在中心-分支組網環境中,通常中心側采用IPsec安全策略模板方式協商IPsec SA,當分支側分支眾多時,需保護的數據流範圍可能會重疊。此時通過開啟本功能,在協商IPsec SA時,設備會檢測新建隧道與已有隧道的需保護數據流是否存在重疊。若重疊,則IPsec SA協商失敗,設備會生成需保護數據流重疊的告警信息。當IPsec SA協商失敗時,管理員需要針對當前組網環境,重新規劃分支側的ACL配置。
中心側設備判斷是否存在IPsec流量重疊的方法為:檢測待協商數據流的目的IP地址範圍是否與已有隧道保護的數據流的目的IP地址範圍重疊。若重疊,則認為待協商的數據流與已有隧道保護的數據流發生了重疊。
本功能的實現情況如下:
· 僅在設備采用IPsec安全策略模板方式協商IPsec SA時生效。
· 建議在中心-分支組網環境中的中心側配置本功能。
· 僅支持對新建的IPsec SA進行流量重疊檢測,不支持對已有的IPsec SA進行流量重疊檢測。
· 僅支持在同一接口、同一VPN實例下進行流量重疊檢測。
· 不支持對IPsec重協商後生成的IPsec SA進行流量重疊檢測。
· 流量重疊檢測時不會判斷源IP地址範圍是否與已有隧道保護的數據流的源IP地址範圍重疊。
· 流量重疊檢測對設備性能有一定的影響,建議僅在進行網絡升級擴容等操作時開啟,並在操作完成後及時關閉。
【舉例】
# 開啟IPsec流量重疊檢測功能。
<Sysname> system-view
[Sysname] ipsec flow-overlap check enable
ipsec fragmentation命令用來配置IPsec分片功能。
undo ipsec fragmentation命令用來恢複缺省情況。
【命令】
ipsec fragmentation { after-encryption | before-encryption }
undo ipsec fragmentation
【缺省情況】
IPsec分片功能為封裝前分片。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
after-encryption:表示開啟IPsec封裝後分片功能。
before-encryption:表示開啟IPsec封裝前分片功能。
【使用指導】
IPsec封裝前分片功能處於開啟狀態時,設備會先判斷報文在經過IPsec封裝之後大小是否會超過發送接口的MTU值,如果封裝後的大小超過發送接口的MTU值,且報文的DF位未置位那麼會先對其分片再封裝;如果待報文的DF位被置位,那麼設備會丟棄該報文,並發送ICMP差錯控製報文。
IPsec封裝後分片功能處於開啟狀態時,無論報文封裝後大小是否超過發送接口的MTU值,設備會直接對其先進行IPsec封裝處理,再由後續業務對其進行分片。
【舉例】
# 開啟IPsec封裝後分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation after-encryption
ipsec global-df-bit命令用來為所有接口設置IPsec封裝後外層IP頭的DF位。
undo ipsec global-df-bit命令用來恢複缺省情況。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情況】
IPsec封裝後外層IP頭的DF位從原始報文IP頭中拷貝。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
clear:表示清除外層IP頭的DF位,IPsec封裝後的報文可被分片。
copy:表示外層IP頭的DF位從原始報文IP頭中拷貝。
set:表示設置外層IP頭的DF位,IPsec封裝後的報文不能分片。
【使用指導】
該功能僅在IPsec的封裝模式為隧道模式時有效(因為傳輸模式不會增加新的IP頭,因此對於傳輸模式無影響)。
該功能用於設置IPsec隧道模式封裝後的外層IP頭的DF位,原始報文IP頭的DF位不會被修改。
轉發報文時對報文進行分片、重組,可能會導致報文的轉發延時較大。若設置了封裝後IPsec報文的DF位,則不允許對IPsec報文進行分片,可以避免引入分片延時。這種情況下,要求IPsec報文轉發路徑上各個接口的MTU大於IPsec報文長度,否則,會導致IPsec報文被丟棄。如果無法保證轉發路徑上各個接口的MTU大於IPsec報文長度,則建議清除DF位。
【舉例】
# 為所有接口設置IPsec封裝後外層IP頭的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相關命令】
· ipsec df-bit
ipsec limit max-tunnel命令用來配置本端允許建立IPsec隧道的最大數。
undo ipsec limit max-tunnel命令用來恢複缺省情況。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情況】
不限製本端允許建立IPsec隧道的最大數。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
tunnel-limit:指定允許本端建立IPsec隧道的最大數,取值範圍為1~4294967295。
【使用指導】
本端允許建立IPsec隧道的最大數與內存資源有關。內存充足時可以設置較大的數值,提高IPsec的並發性能;內存不足時可以設置較小的數值,降低IPsec占用內存的資源。
【舉例】
# 配置本端允許建立IPsec隧道的最大數為5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相關命令】
· ike limit
ipsec logging negotiation enable命令用來開啟IPsec協商事件日誌功能。
undo ipsec logging negotiation enable命令用來關閉IPsec協商事件日誌功能。
ipsec logging negotiation enable
undo ipsec logging negotiation enable
IPsec協商事件日誌功能處於開啟狀態。
係統視圖
context-admin
開啟IPsec協商事件日誌記錄功能後,設備會輸出IPsec協商過程中的相關日誌。
# 開啟IPsec協商事件日誌記錄功能。
<Sysname> system-view
[Sysname] ipsec logging negotiation enable
ipsec logging packet enable命令用來開啟IPsec報文日誌記錄功能。
undo ipsec logging packet enable命令用來關閉IPsec報文日誌記錄功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情況】
IPsec報文日誌記錄功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟IPsec報文日誌記錄功能後,設備會在丟棄IPsec報文的情況下,例如入方向找不到對應的IPsec SA,AH/ESP認證失敗或ESP加密失敗等時,輸出相應的日誌信息,該日誌信息內容主要包括報文的源和目的IP地址、報文的SPI值、報文的序列號信息,以及設備丟包的原因。
【舉例】
# 開啟IPsec報文日誌記錄功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec netmask-filter命令用來配置IPsec掩碼過濾功能。
undo ipsec netmask-filter命令用來恢複缺省情況。
【命令】
ipsec netmask-filter { destination-mask mask-length | source-mask mask-length } *
undo ipsec netmask-filter [ destination-mask | source-mask ]
【缺省情況】
未配置IPsec掩碼過濾功能。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-mask mask-length:指定數據流的目的IP地址掩碼長度,取值範圍為1~32。
source-mask mask-length:指定數據流的源IP地址掩碼長度,取值範圍為1~32。
【使用指導】
僅IPv4網絡支持本功能。
本功能僅在設備采用IPsec安全策略模板方式協商IPsec SA時生效。
建議在中心-分支組網環境中的中心側配置本功能。
在中心-分支組網環境中,當有新的分支加入組網時,如果新分支側配置的保護數據流範圍過大,可能會導致其他分支的流量被引入到該分支,導致報文轉發錯誤。配置本功能後,當中心側設備與分支側進行IPsec SA協商時,如果中心側需要保護數據流的源、目的IP地址的掩碼長度大於或等於本命令配置的值,則允許繼續協商;否則,IPsec SA協商失敗,設備會生成IPsec SA協商失敗的告警信息。當IPsec SA協商失敗時,管理員需要針對當前組網環境,重新規劃合理的ACL配置。
多次執行本命令,最後一次執行的命令生效。
如果不指定任何參數,則undo ipsec netmask-filter命令表示取消所有類型的掩碼過濾功能。
【舉例】
# 配置IPsec掩碼過濾功能,過濾數據流的源IP地址掩碼長度為24,目的IP地址掩碼長度為24。
<Sysname> system-view
[Sysname] ipsec netmask-filter source-mask 24 destination-mask 24
ipsec profile命令用來創建一個IPsec安全框架,並進入IPsec安全框架視圖。如果指定的IPsec安全框架已經存在,則直接進入IPsec安全框架視圖。
undo ipsec profile命令用來刪除指定的IPsec安全框架。
【命令】
ipsec profile profile-name [ manual | isakmp ]
undo ipsec profile profile-name
【缺省情況】
不存在IPsec安全框架。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:IPsec安全框架的名稱,為1~63個字符的字符串,不區分大小寫。
manual:手工方式的IPsec安全框架。
isakmp:指定通過IKE協商建立安全聯盟。
【使用指導】
創建IPsec安全框架時,必須指定協商方式(manual或isakmp);進入已創建的IPsec安全框架時,可以不指定協商方式。
手工方式IPsec profile專門用於為應用協議配置IPsec安全策略,它相當於一個手工方式創建的IPsec安全策略,其中的應用協議可包括但不限於OSPFv3、IPv6 BGP、RIPng。
IKE協商方式IPsec profile用於為應用協議模塊自動協商生成安全聯盟,不限製對端的地址,不需要進行ACL匹配,且適用於IPv4和IPv6應用協議,其中的應用協議模塊包括但是不限於ADVPN等。
【舉例】
# 配置名稱為profile1的IPsec安全框架,通過手工配置建立安全聯盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1]
# 配置名稱為profile1的IPsec安全框架,通過IKE協商建立安全聯盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 isakmp
[Sysname-ipsec-profile-isakmp-profile1]
【相關命令】
· display ipsec profile
ipsec redundancy enable命令用來開啟IPsec冗餘備份功能。
undo ipsec redundancy enable命令用來關閉IPsec冗餘備份功能。
【命令】
ipsec redundancy enable
undo ipsec redundancy enable
【缺省情況】
IPsec冗餘備份功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟冗餘備份功能後,係統會根據命令redundancy replay-interval指定的備份間隔將接口上IPsec入方向抗重放窗口的左側值和出方向IPsec報文的抗重放序號進行備份,當發生主備切換時,可以保證主備IPsec流量不中斷和抗重放保護不間斷。
【舉例】
# 開啟IPsec冗餘備份功能。
<Sysname> system-view
[Sysname] ipsec redundancy enable
【相關命令】
· redundancy replay-interval
ipsec sa global-duration命令用來配置全局的IPsec SA生存時間。
undo ipsec sa global-duration命令用來恢複缺省情況。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情況】
IPsec SA基於時間的生存時間為3600秒,基於流量的生存時間為1843200千字節。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-based seconds:指定基於時間的全局生存時間,取值範圍為180~604800,單位為秒。
traffic-based kilobytes:指定基於流量的全局生存時間,取值範圍為2560~4294967295,單位為千字節。如果流量達到此值,則生存時間到期。
【使用指導】
IPsec安全策略/IPsec安全策略模板視圖下也可配置IPsec SA的生存時間,若IPsec安全策略/IPsec安全策略模板視圖和全局都配置了IPsec SA的生存時間,則優先采用IPsec安全策略/IPsec安全策略模板視圖下的配置值與對端協商。
IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
可同時存在基於時間和基於流量兩種方式的IPsec SA生存時間,隻要IPsec SA的生存時間到達指定的時間或流量時,該IPsec SA就會失效。IPsec SA失效前,IKE將為IPsec對等體協商建立新的IPsec SA,這樣,在舊的IPsec SA失效前新的IPsec SA就已經準備好。在新的IPsec SA開始協商而沒有協商好之前,繼續使用舊的IPsec SA保護通信。在新的IPsec SA協商好之後,則立即采用新的IPsec SA保護通信。
【舉例】
# 配置全局的IPsec SA生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存時間為10M字節,即傳輸10240千字節的流量後,當前的IPsec SA過期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相關命令】
· display ipsec sa
· sa duration
ipsec sa global-soft-duration buffer命令用來設置IPsec SA的全局軟超時緩衝參數。
undo ipsec sa global-soft-duration buffer命令用來恢複缺省情況。
【命令】
ipsec sa global-soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-soft-duration buffer { time-based | traffic-based }
【缺省情況】
未配置全局軟超時緩衝時間和全局軟超時緩衝流量。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-based seconds:IPsec SA的全局軟超時緩衝時間,取值範圍為20~201600,單位為秒。
traffic-based kilobytes:IPsec SA的全局軟超時緩衝流量,取值範圍為1000~4294901760,單位為KB。
【使用指導】
本命令隻對IKEv1有效。
在配置了軟超時緩衝時間的情況下,軟超時時間(基於時間的生存時間-軟超時緩衝時間)需要大於20秒。否則,仍然采用未配置軟超時緩衝時間的默認算法計算軟超時時間。
在配置了軟超時緩衝流量的情況下,軟超時流量(基於流量的生存時間-軟超時緩衝流量)需要大於1000KB。否則,仍然采用未配置軟超時緩衝流量的默認算法計算軟超時流量。
同時配置了全局軟超時緩衝參數和局部軟超時緩衝參數時,以局部軟超時緩衝為準。
【舉例】
# 設置所有IPsec安全策略的IPsec SA的軟超時緩衝時間為600秒。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer time-based 600
# 設置所有IPsec安全策略的IPsec SA的軟超時緩衝流量為10000KB。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer traffic-based 10000
【相關命令】
· sa soft-duration buffer
ipsec sa idle-time命令用來開啟全局的IPsec SA空閑超時功能,並配置全局IPsec SA空閑超時時間。
undo ipsec sa idle-time命令用來關閉全局的IPsec SA空閑超時功能。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情況】
全局的IPsec SA空閑超時功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:IPsec SA的空閑超時時間,取值範圍為60~86400,單位為秒。
【使用指導】
此功能隻適用於IKE協商出的IPsec SA。
從創建IPsec SA開始計時,在指定超時時間內,沒有匹配過流量的IPsec SA會被刪除。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖下也可配置IPsec SA的空閑超時時間,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖和全局都配置了IPsec SA的空閑超時時間,則優先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖下的配置值。
【舉例】
# 開啟全局的IPsec SA空閑超時功能,並配置全局IPsec SA的空閑超時時間為600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相關命令】
· display ipsec sa
· sa idle-time
ipsec smart-link policy命令用來創建一個IPsec智能選路策略,並進入IPsec智能選路策略視圖。如果指定的IPsec智能選路策略已經存在,則直接進入IPsec智能選路策略視圖。
undo ipsec smart-link policy命令用來刪除指定的IPsec智能選路策略。
【命令】
ipsec smart-link policy policy-name
undo ipsec smart-link policy policy-name
【缺省情況】
不存在IPsec智能選路策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:IPsec智能選路策略的名稱,為1~63個字符的字符串,不區分大小寫,隻支持數字、字母、連字符及下劃線。
【使用指導】
IPsec智能選路策略中定義了智能選路的鏈路和探測智能選路鏈路通信質量的相關參數。
設備中最多支持配置3個IPsec智能選路策略。
IPsec智能選路策略隻能被IKE方式的IPsec安全策略引用,不能被模板方式和手工方式的IPsec安全策略引用。
一個IPsec智能選路策略隻能被一個IPsec安全策略引用,一個IPsec安全策略也隻能引用一個IPsec智能選路策略。
【舉例】
# 創建名稱為smlkpolicy1的IPsec智能選路策略。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1]
【相關命令】
· display ipsec smart-link policy
ipsec transform-set命令用來創建IPsec安全提議,並進入IPsec安全提議視圖。如果指定的IPsec安全提議已經存在,則直接進入IPsec安全提議視圖。
undo ipsec transform-set命令用來刪除指定的IPsec安全提議。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情況】
不存在IPsec安全提議。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
transform-set-name:IPsec安全提議的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
IPsec安全提議是IPsec安全策略的一個組成部分,它用於保存IPsec需要使用的安全協議、加密/認證算法以及封裝模式,為IPsec協商SA提供各種安全參數。
【舉例】
# 創建名為tran1的IPsec安全提議,並進入IPsec安全提議視圖。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相關命令】
· display ipsec transform-set
link命令用來配置IPsec智能選路的鏈路。
undo link命令用來刪除指定IPsec智能選路的鏈路。
【命令】
link link-id interface interface-type interface-number [ local local-address nexthop nexthop-address ] remote remote-address
undo link link-id
【缺省情況】
不存在IPsec智能選路的鏈路。
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
link-id: IPsec智能選路鏈路的ID,取值範圍為1~10。
interface interface-type interface-number:鏈路本端的接口。interface-type interface-number為接口類型和接口編號。
local local-address:鏈路本端的IP地址,為點分十進製形式,此IP地址必須與鏈路本端接口上的IP地址保持一致。若未配置此參數,則使用鏈路本端接口上的IP地址作為鏈路本端的IP地址。
nexthop nexthop-address:下一跳的IP地址,為點分十進製形式,此下一跳地址必須與鏈路接口的網關地址保持一致。若未配置此參數,則使用鏈路本端接口上的網關地址作為下一跳IP地址。若沒有獲取到本端接口上的網關地址,則使用鏈路的對端IP地址作為下一跳IP地址。
remote remote-address:鏈路對端的IP地址,為點分十進製形式。
【使用指導】
IPsec智能選路的鏈路用來建立IPsec隧道。當設備選中了某條鏈路來建立IPsec隧道時,設備將會把與此智能選路策略關聯的IPsec安全策略下發到此鏈路指定的本端接口上。同時,設備會將IPsec安全策略的本端IP地址和對端IP地址設置為此鏈路中配置的本端IP地址和對端IP地址。
每個IPsec智能選路策略下,最多可配置10條鏈路。鏈路按配置的先後順序排列優先級,先配置的鏈路優先級高,後配置的鏈路優先級低,也可使用move link命令移動鏈路的先後順序來調整鏈路的優先級。當鏈路進行切換時,會按照鏈路的優先級從高到低順序切換。
為保證IKE協商報文和IPsec報文的正確轉發,設備會根據鏈路中配置的下一跳IP地址和對端IP地址,下發一條到對端IP地址的主機路由,路由的下一跳為鏈路中配置的下一跳IP地址。
【舉例】
# 配置IPsec智能選路的鏈路,鏈路ID為1,本端接口為GigabitEthernet1/0/1,本端IP地址為1.1.1.1,下一跳IP地址為1.1.1.254,對端IP地址為3.3.3.3。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link 1 interface gigabitethernet 1/0/1 local 1.1.1.1 nexthop 1.1.1.254 remote 3.3.3.3
【相關命令】
· gateway
link-probe命令用來配置IPsec智能選路鏈路探測報文的發送時間間隔和每個探測周期內發送探測報文的總數。
undo link-probe命令用來恢複缺省情況。
【命令】
link-probe { count number | interval interval }
undo link-probe { count | interval }
【缺省情況】
IPsec智能選路鏈路探測報文的發送時間間隔是1秒,每個探測周期內發送探測報文的總數是10個。
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
count number:每個探測周期內發送探測報文的總數,取值範圍為1~30。
interval interval:探測報文的發送時間間隔,取值範圍為1~3,單位為秒。
【使用指導】
對於當前正在探測的鏈路,設備連續發送完n(由count參數指定)個探測報文算作一個探測周期,設備每個探測周期結束後,均會對探測結果進行統計,計算出此鏈路的時延和丟包率,若時延或者丟包率高於設置的閾值,則會觸發鏈路切換。
【舉例】
# 配置IPsec智能選路鏈路探測報文的發送時間間隔為2秒,探測周期內發送的探測報文總數為15個。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe interval 2
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe count 15
【相關命令】
· link-probe source
· link-switch threshold
link-probe source命令用來配置IPsec智能選路鏈路探測報文的源IP地址和目的IP地址。
undo link-probe source命令用來刪除IPsec智能選路鏈路探測的源IP地址和目的IP地址。
【命令】
link-probe source source-address destination destination-address
undo link-probe source source-address destination destination-address
【缺省情況】
使用IPsec智能選路鏈路中配置的本端IP地址和對端IP地址分別作為探測報文的源IP地址和目的IP地址。
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-address:探測報文的源IP地址,為點分十進製格式。
destination destination-address:探測報文的目的IP地址,為點分十進製格式。
【使用指導】
IPsec智能選路鏈路質量探測是通過發送ICMP報文探測IPsec隧道的質量。探測報文的源IP地址可以是本端設備或本端私網中的任意一個IP地址;探測報文的目的IP地址可以是對端私網內某台設備的上的IP地址,也可以是對端網關設備接口的IP地址。隻要保證探測的目的IP地址與探測報文的源IP地址路由可達即可。
為保證請求類型的探測報文與目的地路由可達,設備會自動下發一條到探測報文目的IP地址的靜態路由,路由的下一跳是對端IPsec隧道接口的IP地址(IPsec智能選路鏈路中配置的對端IP地址)。
並且設備會自動在此ACL中添加一條規則:rule permit ip source source-address 0 destination dest-address 0,保證請求類型的探測報文可以通過。
為保證IPsec智能選路鏈路質量探測報文的請求報文和回應報文正確轉發,需要確保在總部設備上已正確配置如下內容:
· 在設備上需要手工在安全策略模板下添加相應的ACL規則,指定要保護的數據流。
· 為保證設備正確轉發探測報文的響應報文,需要在設備上開啟IPsec反向路由注入功能,或手工添加一條到探測報文源IP地址的靜態路由。
【舉例】
# 配置IPsec智能選路鏈路探測報文的源IP地址為10.3.1.10,目的IP地址為10.3.2.10。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-probe source 10.3.1.10 destination 10.3.2.10
【相關命令】
· link-probe
link-switch cycles命令用來配置IPsec智能選路鏈路循環切換的最大次數。
undo link-switch cycles命令用來恢複缺省情況。
【命令】
link-switch cycles number
undo link-switch cycles
【缺省情況】
IPsec智能選路鏈路循環切換的最大次數為3。
【視圖】
IPsec智能選策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number: IPsec智能選路鏈路循環切換的最大次數,取值範圍是0~5。取值為0時,不限製鏈路循環切換的次數。
【使用指導】
當設備對鏈路時延和丟包率的探測結果高於設置的閾值時,設備會根據IPsec智能選路鏈路的配置順序進行循環切換。循環切換的起始鏈路是當前使用的鏈路,循環切換的終止鏈路是優先級最低的鏈路。例如,有四條鏈路,如果當前使用的是第三條鏈路不符合質量要求,則立即切換到第四條鏈路,這是第一次循環。之後繼續按照1>2>3>4進行循環切換,從中選擇第一條符合質量要求的鏈路進行數據傳輸。如果沒有找到符合質量要求的鏈路,循環切換次數達到配置的上限值後,設備會停止鏈路探測和循環切換。各鏈路丟包率和延遲存在差異的情況下選擇相對最優的鏈路;如果丟包率和延遲都一樣,則選擇循環的最後一條鏈路。等待10分鍾後,再重新開始一輪鏈路的探測和循環切換。
【舉例】
# 配置IPsec智能選路鏈路循環切換的最大次數為2。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch cycles 2
【相關命令】
· link-switch threshold
link-switch threshold命令用來配置IPsec智能選路鏈路切換的閾值。
undo link-switch threshold命令用來恢複缺省情況。
【命令】
link-switch threshold { delay delay | loss loss-ratio }
undo link-switch threshold { delay | loss }
【缺省情況】
IPsec智能選路鏈路切換的丟包率閾值為30%,時延閾值為500毫秒。
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
delay delay:時延閾值,即接收到ICMP回應報文的時間與發送ICMP請求報文的時間的時間差,設備取一個探測周期內所有探測報文時間差的平均值作為此鏈路的時延,取值範圍為1~3000,單位為毫秒。
loss loss-ratio:丟包率閾值百分比,即收到ICMP回應報文個數相對於已發送ICMP請求報文個數的百分比,取值範圍為1~100。
【使用指導】
當每個探測周期結束後,若設備統計到當前鏈路的時延或丟包率中的一項高於鏈路切換的閾值,則會根據鏈路優先級進行鏈路切換。
【舉例】
# 配置IPsec智能選路鏈路切換的丟包率閾值為10%,時延閾值為300毫秒。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold loss 10
[Sysname-ipsec-smart-link-policy-smlkpolicy1] link-switch threshold delay 300
【相關命令】
· link-probe interval
local-address命令用來配置IPsec隧道的本端IP地址。
undo local-address命令用來恢複缺省情況。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情況】
IPsec隧道的本端IPv4地址為應用IPsec安全策略的接口的主IPv4地址,本端IPv6地址為應用IPsec安全策略的接口的第一個IPv6地址。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指導】
采用IKE協商方式的IPsec安全策略上,發起方的IPsec隧道的對端IP地址必須與響應方的IPsec隧道本端IP地址一致。
IPsec隧道的本端IP地址不得為應用IPsec安全策略的接口的從IP地址。
【舉例】
# 配置IPsec隧道的本端IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相關命令】
· remote-address
move link命令用來調整IPsec智能選路的鏈路優先級。
【命令】
move link link-id1 before link-id2
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
link-id1:需要移動鏈路的ID,取值範圍為1~10,此鏈路必須已存在。
before:將link-id1移動到link-id2之前。
link-id2:目標鏈路的ID,取值範圍為1~10,此鏈路必須已存在。
【使用指導】
缺省情況下,設備按照智能選路鏈路的創建順序進行順序切換,用戶也可以通過移動IPsec智能選路鏈路的先後順序,來改變鏈路的切換順序。通過display ipsec smart-link policy命令可以查看IPsec智能選路鏈路的配置順序。
【舉例】
# 將IPsec智能選路策略smlkpolicy1的鏈路5移動到鏈路1之前,使鏈路5的優先級高於鏈路1。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] move link 5 before 1
【相關命令】
· display ipsec smart-link policy
pfs命令用來配置在使用此安全提議發起IKE協商時使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用來恢複缺省情況。
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group19 | dh-group20 | dh-group24 }
undo pfs
【缺省情況】
使用IPsec安全策略發起IKE協商時不使用PFS特性。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dh-group1:采用768-bit Diffie-Hellman組。
dh-group2:采用1024-bit Diffie-Hellman組。
dh-group5:采用1536-bit Diffie-Hellman組。
dh-group14:采用2048-bit Diffie-Hellman組。
dh-group19:采用256-bit ECP模式 Diffie-Hellman組。本參數僅適用於IKEv2協商。
dh-group20:采用384-bit ECP模式 Diffie-Hellman組。本參數僅適用於IKEv2協商。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman組。
【使用指導】
384-bit ECP模式 Diffie-Hellman組(dh-group20)、256-bit ECP模式 Diffie-Hellman組(dh-group19)、2048-bit和256-bit子群Diffie-Hellman組(dh-group24)、2048-bit Diffie-Hellman組(dh-group14)、1536-bit Diffie-Hellman組(dh-group5)、1024-bit Diffie-Hellman組(dh-group2)、768-bit Diffie-Hellman組(dh-group1)算法的強度,即安全性和需要計算的時間依次遞減。
IKEv1協商時發起方的PFS強度必須大於或等於響應方的PFS強度,否則IKE協商會失敗。IKEv2不受該限製。
不配置PFS特性的一端,按照對端的PFS特性要求進行IKE協商。
【舉例】
# 配置IPsec安全提議使用PFS特性,並采用2048-bit Diffie-Hellman組。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
protocol命令用來配置IPsec安全提議采用的安全協議。
undo protocol命令用來恢複缺省情況。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情況】
使用ESP安全協議。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ah:采用AH協議對報文進行保護。
ah-esp:先用ESP協議對報文進行保護,再用AH協議對報文進行保護。
esp:采用ESP協議對報文進行保護。
【使用指導】
在IPsec隧道的兩端,IPsec安全提議所采用的安全協議必須一致。
【舉例】
# 配置IPsec安全提議采用AH協議。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
qos pre-classify命令用來開啟QoS預分類功能。
undo qos pre-classify命令用來關閉QoS預分類功能。
【命令】
qos pre-classify
undo qos pre-classify
【缺省情況】
QoS預分類功能處於關閉狀態,即QoS使用IPsec封裝後報文的外層IP頭信息來對報文進行分類。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
QoS預分類功能是指,QoS基於被封裝報文的原始IP頭信息對報文進行分類。
【舉例】
# 在IPsec安全策略中開啟QoS預分類功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
redundancy replay-interval命令用來配置抗重放窗口和序號的同步間隔。
undo redundancy replay-interval命令用來恢複缺省情況。
【命令】
redundancy replay-interval inbound inbound-interval outbound outbound-interval
undo redundancy replay-interval
【缺省情況】
同步入方向抗重放窗口的報文間隔為1000,同步出方向IPsec SA抗重放序號的報文間隔為100000。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound inbound-interval:同步入方向IPsec SA抗重放窗口左側值的報文間隔,取值範圍為0~1000,單位為報文個數,取值為0,表示不同步防重放窗口。
outbound outbound-interval:同步出方向IPsec SA抗重放序號的報文間隔,取值範圍為1000~100000,單位為報文個數。
【使用指導】
IPsec冗餘備份功能處於開啟狀態時,抗重放序號同步間隔的配置才會生效。
調小同步的報文間隔,可以增加主備間保持抗重放窗口和序號一致的精度,但同時對轉發性能會有一定影響。
【舉例】
# 配置同步入方向抗重放窗口的報文間隔為800,同步出方向抗重放序號的報文間隔為50000。
<Sysname> system-view
[Sysname] ipsec policy test 1 manual
[sysname-ipsec-policy-manual-test-1] redundancy replay-interval inbound 800 outbound 50000
【相關命令】
· ipsec anti-replay check
· ipsec anti-replay window
· ipsec redundancy enable
remote-address命令用來指定IPsec隧道的對端IP地址。
undo remote-address命令用來恢複缺省情況。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address } [ primary ]
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情況】
未指定IPsec隧道的對端IP地址。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定IPv6 IPsec隧道的對端地址或主機名稱。如果不指定該參數,則表示指定IPv4 IPsec隧道的對端地址或主機名稱。
hostname:IPsec隧道的對端主機名,為1~253個字符的字符串,不區分大小寫。該主機名可被DNS服務器解析為IP地址。
ipv4-address:IPsec隧道的對端IPv4地址。
ipv6-address:IPsec隧道的對端IPv6地址。
primary:將指定的對端地址配置為首選地址。未指定該參數時,先配置的地址優先級更高。
【使用指導】
IKE協商發起方必須配置IPsec隧道的對端IP地址,對於使用IPsec安全策略模板的響應方可選配。
手工方式的IPsec安全策略不支持域名解析,因此隻能指定IP地址類型的對端IP地址。
對於主機名方式的對端地址,地址更新的查詢過程有所不同。
· 若此處指定對端主機名由DNS服務器來解析,則本端按照DNS服務器通知的域名解析有效期,在該有效期超時之後向DNS服務器查詢主機名對應的最新的IP地址。
· 若此處指定對端主機名由本地配置的靜態域名解析(通過ip host命令配置)來解析,則更改此主機名對應的IP地址之後,本端解析到的對端IP地址將為更改後的IP地址。
例如,本端已經存在一條靜態域名解析配置,它指定了主機名test對應的IP地址為1.1.1.1。若先後執行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的對端主機名為test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主機名test對應的IP地址為2.2.2.2。
[Sysname] ip host test 2.2.2.2
則,本端可以根據更新後的本地域名解析配置得到最新的對端IP地址2.2.2.2。
多次執行本命令可指定多個對端IP地址,形成對端IP地址列表。建立IPsec隧道時,本端依次按配置順序向列表中的IP地址發起IPsec協商:協商成功,則與該地址建立IPsec隧道;否則嚐試向列表中的下一個IP地址建立IPsec隧道,直至列表中最後一個IP地址。
如果執行本命令時配置了primary參數,則此地址擁有最高優先級,每次觸發協商時都會優先向該地址發起協商,每個地址列表中最多可配置一條首選地址。
不能通過重複執行remote-address命令來修改首選地址。如需修改首選地址,請先通過undo remote-address命令刪除當前首選地址,再執行remote-address命令。
【舉例】
# 指定IPsec隧道的對端IPv4地址為10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2
【相關命令】
· ip host(三層技術-IP業務/域名解析)
· local-address
reset ipsec sa命令用來清除已經建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根據IPsec安全策略名稱清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
· seq-number:IPsec安全策略表項的順序號,取值範圍為1~65535。如果不指定該參數,則表示指定名稱為policy-name的安全策略中所有安全策略表項。
profile profile-name:表示根據IPsec安全框架名稱清除IPsec SA。profile-name表示IPsec安全框架的名稱,為1~63個字符的字符串,不區分大小寫。
remote:表示根據對端IP地址清除IPsec SA。
· ipv4-address:對端的IPv4地址。
· ipv6 ipv6-address:對端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根據SA的三元組信息(對端IP地址、安全協議、安全參數索引)清除IPsec SA。
· ipv4-address:對端的IPv4地址。
· ipv6 ipv6-address:對端的IPv6地址。
· ah:AH協議。
· esp:ESP協議。
· spi-num:安全參數索引,取值範圍為256~4294967295。
【使用指導】
如果不指定任何參數,則清除所有的IPsec SA。
如果指定了一個IPsec SA的三元組信息,則將清除符合該三元組的某一個方向的IPsec SA以及對應的另外一個方向的IPsec SA。若是同時采用了兩種安全協議,則還會清除另外一個協議的出方向和入方向的IPsec SA。
對於出方向IPsec SA,三元組是它的唯一標識;對於入方向IPsec SA,SPI是它的唯一標識。因此,若是希望通過指定出方向的三元組信息來清除IPsec SA,則需要準確指定三元組信息(其中,IPsec安全框架生成的SA由於沒有地址信息,所以地址信息可以任意);若是希望通過指定入方向的三元組信息來清除IPsec SA,則隻需要準確指定SPI值即可,另外兩個信息可以任意。
通過手工建立的IPsec SA被清除後,係統會立即根據對應的手工IPsec安全策略建立新的IPsec SA。
通過IKE協商建立的IPsec SA被清除後,係統會在有報文需要進行IPsec保護時觸發協商新的IPsec SA。
【舉例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI為256、對端地址為10.1.1.2、安全協議為AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec對端地址為10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名稱為policy1、順序號為10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相關命令】
· display ipsec sa
reset ipsec statistics命令用來清除IPsec的報文統計信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
tunnel-id tunnel-id:清除指定IPsec隧道的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。如果未指定本參數,則清除IPsec的所有報文統計信息。
【舉例】
# 清除IPsec的所有報文統計信息。
<Sysname> reset ipsec statistics
【相關命令】
· display ipsec statistics
reverse-route dynamic命令用來開啟IPsec反向路由注入功能。
undo reverse-route dynamic命令用來關閉IPsec反向路由注入功能。
【命令】
reverse-route [ next-hop [ ipv6 ] ip-address ] dynamic
undo reverse-route dynamic
【缺省情況】
IPsec反向路由注入功能處於關閉狀態。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
next-hop:指定自動生成的靜態路由下一跳地址。若未指定下一跳地址,則自動生成的靜態路由下一跳為IPsec隧道的對端地址。
ipv6:指定自動生成的靜態路由下一跳IPv6地址。若不指定此參數,則表示IPv4地址。
ip-address:下一跳的IPv4或IPv6地址。
【使用指導】
在企業中心側網關設備上的某安全策略視圖/安全策略模板視圖下開啟IPsec反向路由注入功能後,設備會根據協商的IPsec SA自動生成一條靜態路由,該路由的目的地址為受保護的對端私網,下一跳地址缺省為IPsec隧道的對端地址;在有多條路徑到達隧道對端目的地址的情況下,可以通過next-hop參數指定下一跳來控製隧道到達對端所經過的路徑。
開啟反向路由注入功能時,會刪除本策略協商出的所有IPsec SA。當有新的流量觸發生成IPsec SA時,根據新協商的IPsec生成路由信息。
關閉反向路由注入功能時,會刪除本策略協商出的所有IPsec SA。
生成的靜態路由隨IPsec SA的創建而創建,隨IPsec SA的刪除而刪除。
需要查看生成的路由信息時,可以通過display ip routing-table命令查看。
【舉例】
# 開啟IPsec反向路由注入功能,根據協商成功的IPsec SA動態生成靜態路由,目的地址為受保護的對端私網網段3.0.0.0/24,下一跳地址為對端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道兩端的IPsec SA協商成功後,可查看到生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 GE1/0/1
# 開啟IPsec反向路由注入功能,根據協商成功的IPsec SA動態生成靜態路由,目的地址為受保護的對端私網網段4.0.0.0/24,指定下一跳地址為2.2.2.3。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route next-hop 2.2.2.3 dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道兩端的IPsec SA協商成功後,查看路由表,可以看到已生成如下靜態路由(其它顯示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
4.0.0.0/24 Static 60 0 2.2.2.3 GE1/0/1
【相關命令】
· display ip routing-table(三層技術-IP路由命令參考/IP路由基礎)
· ipsec policy
· ipsec policy-template
reverse-route preference命令用來設置IPsec反向路由注入功能生成的靜態路由的優先級。
undo reverse-route preference命令用來恢複缺省情況。
【命令】
reverse-route preference number
undo reverse-route preference
【缺省情況】
IPsec反向路由注入功能生成的靜態路由的優先級為60。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number:靜態路由的優先級,取值範圍為1~255。該值越小,優先級越高。
【使用指導】
若對靜態路由優先級進行修改,會刪除本策略協商生成的所有IPsec SA和根據這些IPsec SA生成的靜態路由。
【舉例】
# 配置IPsec反向路由注入功能生成的靜態路由的優先級為100。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【相關命令】
· ipsec policy
· ipsec policy-template
reverse-route tag命令用來設置IPsec反向路由注入功能生成的靜態路由的Tag值。
undo reverse-route tag命令用來恢複缺省情況。
【命令】
reverse-route tag tag-value
undo reverse-route tag
【缺省情況】
IPsec反向路由注入功能生成的靜態路由的Tag值為0。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
tag-value:靜態路由的Tag值,取值範圍為1~4294967295。
【使用指導】
本Tag值用於標識靜態路由,以便在路由策略中根據Tag值對路由進行靈活的控製,若對靜態路由Tag值進行修改,則會刪除本策略協商生成的所有IPsec SA和根據這些IPsec SA生成的靜態路由。
【舉例】
# 配置IPsec反向路由注入功能生成的靜態路由的Tag值為50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【相關命令】
· ipsec policy
· ipsec policy-template
sa df-bit命令用來設置IPsec SA封裝後外層IP頭的DF位。
undo sa df-bit命令用來恢複缺省情況。
【命令】
sa df-bit { clear | copy | set }
undo sa df-bit
【缺省情況】
未設置IPsec封裝後外層IP頭的DF位,采用接口或全局設置的DF位。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
clear:表示清除外層IP頭的DF位,IPsec封裝後的報文可被分片。
copy:表示外層IP頭的DF位從原始報文IP頭中拷貝。
set:表示設置外層IP頭的DF位,IPsec封裝後的報文不能分片。
【使用指導】
該功能僅在IPsec的封裝模式為隧道模式時有效(因為傳輸模式不會增加新的IP頭,因此對於傳輸模式無影響)。
隻有IKE協商方式的IPsec才支持本功能。
該功能用於設置IPsec隧道模式封裝後的外層IP頭的DF位,原始報文IP頭的DF位不會被修改。
轉發報文時對報文進行分片、重組,可能會導致報文的轉發延時較大。若設置了封裝後IPsec報文的DF位,則不允許對IPsec報文進行分片,可以避免引入分片延時。這種情況下,要求IPsec報文轉發路徑上各個接口的MTU大於IPsec報文長度,否則,會導致IPsec報文被丟棄。如果無法保證轉發路徑上各個接口的MTU大於IPsec報文長度,則建議清除DF位。
如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec DF位,將使用接口下配置的IPsec DF位;如果接口下也未配置IPsec DF位,將使用IPsec 全局配置的DF位。
【舉例】
# 配置IPsec安全策略policy1封裝後外層IP頭的DF位。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa df-bit set
【相關命令】
· ipsec df-bit
· ipsec global-df-bit
sa duration命令用來配置IPsec SA的生存時間。
undo sa duration命令用來刪除指定的IPsec SA生存時間。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情況】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架的IPsec SA生存時間為當前全局的IPsec SA生存時間。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-based seconds:指定基於時間的生存時間,取值範圍為180~604800,單位為秒。
traffic-based kilobytes:指定基於流量的生存時間,取值範圍為2560~4294967295,單位為千字節。
【使用指導】
當IKE協商IPsec SA時,如果采用的IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec SA的生存時間,將采用全局的IPsec SA生存時間(通過命令ipsec sa global-duration設置)與對端協商。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下配置了IPsec SA的生存時間,則優先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的配置值與對端協商。
IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
【舉例】
# 配置IPsec安全策略policy1的IPsec SA生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存時間為20M字節,即傳輸20480千字節的流量後,當前的IPsec SA就過期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
【相關命令】
· display ipsec sa
· ipsec sa global-duration
sa hex-key authentication命令用來為手工創建的IPsec SA配置十六進製形式的認證密鑰。
undo sa hex-key authentication命令用來刪除指定的IPsec SA的認證密鑰。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情況】
未配置IPsec SA使用的認證密鑰。
【視圖】
IPsec安全策略視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:指定入方向IPsec SA使用的認證密鑰。
outbound:指定出方向IPsec SA使用的認證密鑰。
ah:指定AH協議。
esp:指定ESP協議。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:明文密鑰為十六進製格式的字符串,不區分大小寫。對於不同的算法,密鑰長度不同:HMAC-MD5算法,密鑰長度為16個字節;HMAC-SHA1算法,密鑰長度為20個字節;HMAC-SM3算法,密鑰長度為32個字節。密文密鑰為1~85個字符的字符串,區分大小寫。
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
必須分別配置inbound和outbound兩個方向的IPsec SA參數。
在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的認證密鑰必須和對端的出方向IPsec SA的認證密鑰一致;本端的出方向IPsec SA的認證密鑰必須和對端的入方向IPsec SA的認證密鑰一致。
對於要應用於IPv6路由協議的IPsec安全框架,還必須保證本端出方向SA的密鑰和本端入方向SA的密鑰一致。
在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能建立IPsec隧道。
在相同方向和協議的情況下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置采用AH協議的入方向IPsec SA的認證密鑰為明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的認證密鑰為明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相關命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用來為手工創建的IPsec SA配置十六進製形式的加密密鑰。
undo sa hex-key encryption命令用來刪除指定的IPsec SA的加密密鑰。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情況】
未配置IPsec SA使用的加密密鑰。
【視圖】
IPsec安全策略視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:指定入方向IPsec SA使用的加密密鑰。
outbound:指定出方向IPsec SA使用的加密密鑰。
esp:指定ESP協議。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:明文密鑰為16進製格式的字符串,不區分大小寫。對於不同的算法,密鑰長度不同,詳見表1-12。密文密鑰為1~117個字符的字符串,區分大小寫。
|
算法 |
密鑰長度(字節) |
|
DES-CBC |
8 |
|
3DES-CBC |
24 |
|
AES128-CBC |
16 |
|
AES192-CBC |
24 |
|
AES256-CBC |
32 |
|
SM1128-CBC |
16 |
|
SM4128-CBC |
16 |
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
必須分別配置inbound和outbound兩個方向的IPsec SA參數。
在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的加密密鑰必須和對端的出方向IPsec SA的加密密鑰一致;本端的出方向IPsec SA的加密密鑰必須和對端的入方向IPsec SA的加密密鑰一致。
對於要應用於IPv6路由協議的IPsec安全框架,還必須保證本端出方向SA的密鑰和本端入方向SA的密鑰一致。
在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能建立IPsec隧道。
相同方向的情況下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置采用ESP協議的入方向IPsec SA的加密算法的密鑰為明文0x1234567890abcdef;出方向IPsec SA的加密算法的密鑰為明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相關命令】
· display ipsec sa
· sa string-key
sa idle-time命令用來配置IPsec SA的空閑超時時間。
undo sa idle-time命令用來恢複缺省情況。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情況】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的IPsec SA空閑超時時間為當前全局的IPsec SA空閑超時時間。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:IPsec SA的空閑超時時間,取值範圍為60~86400,單位為秒。
【使用指導】
此功能隻適用於IKE協商出的IPsec SA,且隻有通過ipsec sa idle-time命令開啟空閑超時功能後,本功能才會生效。
從創建IPsec SA開始計時,在指定超時時間內,沒有匹配過流量的IPsec SA會被刪除。
如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖下沒有配置IPsec SA 空閑超時時間,將采用全局的IPsec SA空閑超時時間(通過命令ipsec sa idle-time設置)決定IPsec SA是否空閑並進行刪除。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖下配置了IPsec SA 空閑超時時間,則優先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架視圖下的配置值。
【舉例】
# 配置IPsec安全策略的IPsec SA的空閑超時時間為600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相關命令】
· display ipsec sa
· ipsec sa idle-time
sa soft-duration buffer命令用來設置IPsec SA的軟超時緩衝參數。
undo sa soft-duration buffer命令用來恢複缺省配置。
【命令】
sa soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo sa soft-duration buffer { time-based | traffic-based }
【缺省情況】
未配置軟超時緩衝時間或軟超時緩衝流量。
【視圖】
IPsec策略視圖
IPsec 安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-based seconds:IPsec SA的軟超時緩衝時間,取值範圍為20~201600,單位為秒。
traffic-based kilobytes:IPsec SA的軟超時緩衝流量,取值範圍為1000~4294901760,單位為KB。
【使用指導】
本命令隻對IKEv1有效。
在配置了軟超時緩衝時間的情況下,軟超時時間(基於時間的生存時間-軟超時緩衝時間)需要大於20秒。否則,仍然采用未配置軟超時緩衝時間的默認算法計算軟超時時間。
在配置了軟超時緩衝流量的情況下,軟超時流量(基於流量的生存時間-軟超時緩衝流量)需要大於1000KB。否則,仍然采用未配置軟超時緩衝流量的默認算法計算軟超時流量。
【舉例】
# 設置IPsec SA的軟超時緩衝時間為600秒。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer time-based 600
# 設置IPsec SA的軟超時緩衝流量為10000KB。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer traffic-based 10000
【相關命令】
· ipsec sa global-soft-duration buffer
sa spi命令用來配置IPsec SA的SPI。
undo sa spi命令用來刪除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情況】
不存在IPsec SA的SPI。
【視圖】
IPsec安全策略視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH協議。
esp:指定ESP協議。
spi-number:IPsec SA的安全參數索引,取值範圍為256~4294967295。
【使用指導】
此命令僅用於手工方式的IPsec安全策略以及IPsec安全框架。對於IKE協商方式的IPsec安全策略,IKE將自動協商IPsec SA的參數並創建IPsec SA,不需要手工設置IPsec SA的參數。
必須分別配置inbound和outbound兩個方向IPsec SA的參數,且保證每一個方向上的IPsec SA的唯一性:對於出方向IPsec SA,必須保證三元組(對端IP地址、安全協議、SPI)唯一;對於入方向IPsec SA,必須保證SPI唯一。
在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的SPI必須和對端的出方向IPsec SA的SPI一樣;本端的出方向IPsec SA的SPI必須和對端的入方向IPsec SA的SPI一樣。
在配置應用於IPv6路由協議的IPsec安全框架時,還需要注意的是:
· 本端出方向IPsec SA的SPI必須和本端入方向IPsec SA的SPI保持一致;
· 同一個範圍內的、所有設備上的IPsec SA的SPI均要保持一致。該範圍與協議相關:對於OSPFv3,是OSPFv3鄰居之間或鄰居所在的區域;對於RIPng,是RIPng直連鄰居之間或鄰居所在的進程;對於BGP4+,是BGP4+鄰居之間或鄰居所在的一個組。
【舉例】
# 配置入方向IPsec SA的SPI為10000,出方向IPsec SA的SPI為20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相關命令】
· display ipsec sa
sa string-key命令用來為手工創建的IPsec SA配置字符串形式的密鑰。
undo sa string-key命令用來刪除指定的IPsec SA的字符串形式的密鑰。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情況】
未配置IPsec SA使用的密鑰。
【視圖】
IPsec安全策略視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inbound:指定入方向IPsec SA的密鑰。
outbound:指定出方向IPsec SA的密鑰。
ah:指定AH協議。
esp:指定ESP協議。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串,密文密鑰為1~373個字符的字符串。對於不同的算法,係統會根據輸入的字符串自動生成符合算法要求的密鑰。對於ESP協議,係統會自動地同時生成認證算法的密鑰和加密算法的密鑰。
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
必須分別配置inbound和outbound兩個方向IPsec SA的參數。
在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端入方向IPsec SA的密鑰必須和對端出方向IPsec SA的密鑰一樣;本端出方向IPsec SA的密鑰必須和對端入方向IPsec SA的密鑰一樣。
在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能正確地建立IPsec隧道。
在配置應用於IPv6路由協議的IPsec安全框架時,還需要注意的是:
· 本端出方向IPsec SA的密鑰必須和本端入方向IPsec SA的密鑰保持一致;
· 同一個範圍內的,所有設備上的IPsec SA的密鑰均要保持一致。該範圍內容與協議相關:對於OSPFv3,是OSPFv3鄰居之間或鄰居所在的區域;對於RIPng,是RIPng直連鄰居之間或鄰居所在的進程;對於BGP,是BGP鄰居之間或鄰居所在的一個組。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置采用AH協議的入方向IPsec SA的密鑰為明文字符串abcdef;出方向IPsec SA的密鑰為明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在IPv6 IPsec策略中,配置采用AH協議的入方向IPsec SA的密鑰為明文字符串abcdef;出方向IPsec SA的密鑰為明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec ipv6-policy policy1 100 manual
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【相關命令】
· display ipsec sa
· sa hex-key
sa trigger-mode命令用來配置觸發建立IPsec SA的模式。
undo sa trigger-mode命令用來恢複缺省情況。
【命令】
sa trigger-mode { auto | traffic-based }
undo sa trigger-mode
【缺省情況】
觸發建立IPSec SA的模式為流量觸發。
【視圖】
IPsec安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
auto:自動觸發模式,完成IPsec的基本配置後設備自動觸發協商建立IPsec SA。
traffic-based:流量觸發模式,當存在符合IPsec安全策略條件的數據流時才會觸發IPSec SA協商。
【使用指導】
· 此功能隻適用於IKE協商方式的IPsec安全策略。
· 自動觸發模式下,無論是否有流量需要保護,都會在配置條件滿足的情況下觸發建立IPsec SA,這在一定程度上占用了係統資源;而流量觸發模式隻在有流量需要保護時才會觸發建立IPsec SA,相對於自動模式,係統資源占用率較低,但IPsec SA成功建立之前的流量不會受到保護。
· 如果IPsec安全策略下引用了智能選路策略,將自動觸發建立IPsec SA,則此配置不會生效。
· IPsec隧道兩端的設備上並不要求配置一致的觸發建立IPsec SA的模式。
· 修改模式,對當前已經存在的IPsec SA無影響。如果已經配置了auto模式,IPsec SA建立完成後,建議修改為traffic-based模式。
· 若IPsec安全策略/IPsec安全策略模板引用的ACL被指定為聚合方式或主機方式,則該IPsec安全策略/IPsec安全策略模板無法通過自動觸發模式建立IPsec SA。
【舉例】
# 配置序號為10的IPsec安全策略policy1觸發建立IPsec SA的模式為自動觸發。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto
security acl命令用來指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用來恢複缺省情況。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情況】
IPsec安全策略/IPsec安全策略模板未引用ACL。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定IPv6 ACL。
acl-number:ACL編號,取值範圍為3000~3999。
name acl-name:ACL名稱,為1~63個字符的字符串,不區分大小寫。
aggregation:指定IPsec安全策略的數據流保護方式為聚合方式。不支持對IPv6數據流采用該保護方式。
per-host:指定IPsec安全策略的數據流保護方式為主機方式。
【使用指導】
對於IKE協商方式的IPsec安全策略,數據流的保護方式包括以下幾種:
· 標準方式:一條隧道保護一條數據流。ACL中的每一個規則對應的數據流都會由一條單獨創建的隧道來保護。不指定aggregation和per-host參數的情況下,缺省采用此方式。
· 聚合方式:一條隧道保護ACL中定義的所有數據流。ACL中的所有規則對應的數據流隻會由一條創建的隧道來保護。對於聚合方式和標準方式都支持的設備,聚合方式僅用於和老版本的設備互通。
· 主機方式:一條隧道保護一條主機到主機的數據流。ACL中的每一個規則對應的不同主機之間的數據流,都會由一條單獨創建的隧道來保護。這種方式下,受保護的網段之間存在多條數據流的情況下,將會消耗更多的係統資源。
手工方式的IPsec安全策略缺省使用聚合方式,且僅支持聚合方式;IKE協商方式的IPsec安全策略中可以通過配置來選擇不同的保護方式。
若IPsec安全策略/IPsec安全策略模板引用的ACL被指定為聚合方式或主機方式,則該IPsec安全策略/IPsec安全策略模板無法通過自動觸發模式建立IPsec SA。
引用ACL時,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則表示IPsec安全策略不生效。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
【舉例】
# 配置IPsec安全策略引用IPv4高級ACL 3001。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用IPv4高級ACL 3002,並設置數據流保護方式為聚合方式。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] quit
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【相關命令】
· display ipsec sa
· display ipsec tunnel
smart-link enable命令用來開啟IPsec智能選路功能。
undo smart-link enable命令用來關閉IPsec智能選路功能。
【命令】
smart-link enable
undo smart-link enable
【缺省情況】
IPsec智能選路功能處於關閉狀態。
【視圖】
IPsec智能選路策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有在IPsec智能選路功能處於開啟狀態的情況下,鏈路質量探測功能和鏈路切換功能才會生效。關閉IPsec智能選路功能後,IPsec智能選路一直停留在當前處於激活狀態的鏈路上。
【舉例】
# 關閉IPsec智能選路功能。
<Sysname> system-view
[Sysname] ipsec smart-link policy smlkpolicy1
[Sysname-ipsec-smart-link-policy-smlkpolicy1] undo smart-link enable
【相關命令】
· smart-link policy
smart-link policy命令用來在IPsec安全策略中引用IPsec智能選路策略。
undo smart-link policy命令用來恢複缺省情況。
【命令】
smart-link policy policy-name
undo smart-link policy
【缺省情況】
IPsec安全策略中未引用IPsec智能選路策略。
【視圖】
IPsec安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:IPsec智能選路策略的名稱,此IPsec智能選路策略必須已存在。
【使用指導】
隻有IKE方式的IPsec安全策略才能引用IPsec智能選路策略。
一個IPsec安全策略下隻能引用一個智能選路策略。
當設備選中了某條IPsec智能選路的鏈路建立IPsec隧道時,設備會將此IPsec安全策略中的配置內容下發到此鏈路所指定的本端接口上。
【舉例】
# 在IPsec安全策略policy1中引用IPsec智能選路策略smlkpolicy1。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] smart-link policy smlkpolicy1
【相關命令】
· smart-link enable
snmp-agent trap enable ipsec命令用來開啟IPsec告警功能。
undo snmp-agent trap enable ipsec命令用來關閉指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
【缺省情況】
IPsec的所有告警功能均處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
auth-failure:表示認證失敗時的告警功能。
connection-start:表示相同description的安全策略表項下創建第一個IPsec隧道時的告警功能。
connection-stop:表示相同description的安全策略表項下刪除最後一個IPsec隧道時的告警功能。
decrypt-failure:表示解密失敗時的告警功能。
encrypt-failure:表示加密失敗時的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示無效SA的告警功能。
no-sa-failure:表示無法查找到SA時的告警功能。
policy-add:表示添加IPsec安全策略時的告警功能。
policy-attach:表示將IPsec安全策略應用到接口時的告警功能。
policy-delete:表示刪除IPsec安全策略時的告警功能。
policy-detach:表示將IPsec 安全策略從接口下刪除時的告警功能。
tunnel-start:表示創建IPsec隧道時的告警功能。
tunnel-stop:表示刪除IPsec隧道時的告警功能。
【使用指導】
如果不指定任何參數,則表示開啟或關閉所有類型的IPsec 告警功能。
如果希望生成並輸出某種類型的IPsec告警信息,則需要保證IPsec的全局告警功能以及相應類型的告警功能均處於開啟狀態。
【舉例】
# 開啟全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 開啟創建IPsec隧道時的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
tfc enable命令用來開啟TFC(Traffic Flow Confidentiality)填充功能。
undo tfc enable命令用來關閉TFC填充功能。
【命令】
tfc enable
undo tfc enable
【缺省情況】
TFC填充功能處於關閉狀態。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
本功能僅適用於IKEv2協商的IPsec SA。
TFC填充功能可隱藏原始報文的長度,但可能對報文的加封裝及解封裝處理性能稍有影響,且僅對於使用ESP協議以傳輸模式封裝的UDP報文以及使用ESP協議以隧道模式封裝的原始IP報文生效。
【舉例】
# 指定IPsec安全策略policy1中開啟TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable
【相關命令】
· display ipsec ipv6-policy
· display ipsec policy
transform-set命令用來指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提議。
undo transform-set命令用來取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提議。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情況】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架未引用IPsec安全提議。
【視圖】
IPsec安全策略視圖
IPsec安全策略模板視圖
IPsec安全框架視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
transform-set-name&<1-6>:IPsec安全提議的名稱,為1~63個字符的字符串,不區分大小寫。&<1-6>表示前麵的參數最多可以輸入6次。需要注意的是,同時指定的多個安全提議名稱不可重複,否則提示參數出錯。
【使用指導】
對於手工方式的IPsec安全策略,隻能引用一個IPsec安全提議。多次執行本命令,最後一次執行的命令生效。
對於IKE協商方式的IPsec安全策略,一條IPsec安全策略最多可以引用六個IPsec安全提議。IKE協商過程中,IKE將會在隧道兩端配置的IPsec安全策略中查找能夠完全匹配的IPsec安全提議。如果IKE在兩端找不到完全匹配的IPsec安全提議,則SA不能協商成功,需要被保護的報文將被丟棄。
若不指定任何參數,則undo transform-set命令表示刪除所有引用的IPsec安全提議。
【舉例】
# 配置IPsec安全策略引用名稱為prop1的IPsec安全提議。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相關命令】
· ipsec { ipv6-policy | policy }
· ipsec profile
· ipsec transform-set
tunnel protection ipsec命令用來在隧道接口上應用IPsec安全框架。
undo tunnel protection ipsec命令用來恢複缺省情況。
【命令】
tunnel protection ipsec profile profile-name [ acl [ ipv6 ] { acl-number | name acl-name } ]
undo tunnel protection ipsec profile
【缺省情況】
Tunnel接口下未引用IPsec安全框架。
【視圖】
Tunnel接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile profile-name:指定使用的IPsec安全框架,且必須為IKE協商方式的IPsec安全框架。其中,profile-name為IPsec安全框架的名稱,為1~63個字符的字符串,不區分大小寫。
ipv6:指定ACL類型為IPv6 ACL。若不指定本參數,則表示IPv4 ACL。
acl-number:指定安全框架關聯的ACL編號,取值範圍為3000~3999。
name acl-name:指定安全框架關聯的ACL名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
在隧道接口上應用IPsec安全框架後,隧道兩端會通過IKE協商建立IPsec隧道對隧道接口上傳輸的數據流進行IPsec保護。指定安全框架關聯的ACL後,隧道接口上傳輸的數據流隻有匹配ACL才會受到IPsec保護。
IPsec IPv4 模式下,安全框架關聯IPv4 ACL。
IPsec IPv6 模式下,安全框架關聯IPv6 ACL。
IPsec安全框架關聯的ACL中不能配置vpn-instance參數,否則,此框架將無法發起IPsec協商。
在隧道接口上應用IPsec安全框架時,如果需要此IPsec隧道綁定VPN實例,請在該隧道接口上綁定VPN實例。因為,此種環境中IPsec SA中的VPN實例,由該隧道接口綁定的vpn-instance參數決定。
【舉例】
# 配置使用IPsec安全框架prf1來保護接口Tunnel1的報文。
<Sysname> system-view
[Sysname] interface tunnel 1 mode advpn gre
[Sysname-Tunnel1] tunnel protection ipsec profile prf1
# 配置使用IPsec安全框架prf1來保護IPv4接口Tunnel1的報文,prf1與ACL 3000關聯。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl 3000
# 配置使用IPsec安全框架prf1來保護IPv6接口Tunnel1的報文,prf1與IPv6 ACL 3000關聯。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule 0 permit ipv6 source 1:1::/64 destination 2:2::/64
[Sysname-acl-ipv6-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec ipv6
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl ipv6 3000
【相關命令】
· interface tunnel(VPN命令參考/隧道)
· display interface tunnel(VPN命令參考/隧道)
· ipsec profile
僅vFW1000、vFW2000不支持SM1算法。
aaa authorization命令用來開啟IKE的AAA授權功能。
undo aaa authorization命令用來關閉IKE的AAA授權功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情況】
IKE的AAA授權功能處於關閉狀態。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain domain-name:申請授權屬性時使用的ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申請授權屬性時使用的用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
【使用指導】
開啟AAA授權功能後,IKE可以向AAA模塊申請授權屬性,例如IKE本地地址池屬性。IKE模塊使用指定的ISP域名和用戶名向AAA模塊發起授權請求,AAA模塊采用域中的授權配置向遠程AAA服務器或者本地用戶數據庫請求該用戶的授權信息。用戶名驗證成功之後,IKE本端將會得到相應的授權屬性。該功能適合於由AAA模塊集中管理和部署相關授權屬性的組網環境。
【舉例】
# 創建IKE profile,名稱為profile1。
<Sysname> system-view
[Sysname] ike profile profile1
# 在IKE profile prof1中開啟AAA授權功能,指定ISP域為abc,用戶名為test。
[Sysname-ike-profile-profile1] aaa authorization domain abc username test
app-dev-info命令用來配置設備唯一入網標識。
undo app-dev-info命令用來恢複缺省情況。
【命令】
app-dev-info app-dev-info
undo app-dev-info
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65 |
不支持 |
|
F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70 |
不支持 |
|
F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1215、F1000-AK1315、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
未配置設備唯一入網標識。
【視圖】
IKE GDQUANTUM視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
app-dev-info:設備唯一入網標識,為9個字符的字符串,僅支持數字。
【使用指導】
設備唯一入網標識由國盾量子服務器統一分配,每個設備一個,且全網唯一。唯一入網標識和身份認證密鑰(通過auth-key命令配置)一起用於登錄國盾量子服務器。
設備唯一入網標識需要聯係國盾量子服務器的管理員獲取。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置設備唯一入網標識為185110851。
<Sysname> system-view
[Sysname] ike gd-quantum
[Sysname-ike-gdquantum] app-dev-info 185110851
authentication-algorithm命令用來指定IKE提議使用的認證算法。
undo authentication-algorithm命令用來恢複缺省情況。
【命令】
authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 | sm3 }
undo authentication-algorithm
【缺省情況】
IKE提議使用的認證算法為HMAC-SHA1
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
md5:指定認證算法為HMAC-MD5。
sha:指定認證算法為HMAC-SHA1。
sha256:指定認證算法為HMAC-SHA256。
sha384:指定認證算法為HMAC-SHA384。
sha512:指定認證算法為HMAC-SHA512。
sm3:指定認證算法為HMAC-SM3。
【舉例】
# 指定IKE提議1的認證算法為HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相關命令】
· display ike proposal
authentication-method命令用來指定IKE提議使用的認證方法。
undo authentication-method命令用來恢複缺省情況。
【命令】
authentication-method { dsa-signature | pre-share | rsa-de | rsa-signature | sm2-de }
undo authentication-method
【缺省情況】
IKE提議使用預共享密鑰的認證方法。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dsa-signature:指定認證方法為DSA數字簽名方法。
pre-share:指定認證方法為預共享密鑰方法。
rsa-de:指定認證方法為RSA數字信封方法。
rsa-signature:指定認證方法為RSA數字簽名方法。
sm2-de:指定認證方法為SM2數字信封方法。
【使用指導】
認證方法分為預共享密鑰認證、數字簽名認證(包括RSA數字簽名認證和DSA數字簽名認證)和數字信封認證(包括RSA數字信封認證和SM2數字信封認證)。
· 預共享密鑰認證機製簡單、不需要證書,常在小型組網環境中使用;
· 數字簽名認證安全性更高,常在“中心—分支”模式的組網環境中使用。例如,在“中心—分支”組網中使用預共享密鑰認證進行IKE協商時,中心側可能需要為每個分支配置一個預共享密鑰,當分支很多時,配置會很複雜,而使用數字簽名認證時中心隻需配置一個PKI域;
· 數字信封認證用於設備需要符合國家密碼管理局要求時使用,此認證方法隻能在IKEv1的協商過程中支持。
協商雙方必須有匹配的認證方法。
如果指定認證方法為RSA數字簽名方法或者DSA數字簽名方法,則還必須保證對端從CA(證書認證機構)獲得數字證書。
如果指定認證方法為預共享密鑰方法,必須使用pre-shared-key命令在兩端配置相同的預共享密鑰。
【舉例】
# 指定IKE提議1的認證方法為預共享密鑰。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相關命令】
· display ike proposal
· ike keychain
· pre-shared-key
auth-key命令用來配置設備登錄國盾量子服務器的身份認證密鑰。
undo auth-key命令用來恢複缺省情況。
【命令】
auth-key { cipher | simple } key-value
undo auth-key
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65 |
不支持 |
|
F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70 |
不支持 |
|
F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1215、F1000-AK1315、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
未配置設備登錄國盾量子服務器的身份認證密鑰。
【視圖】
IKE GDQUANTUM視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文的方式存儲。
key-value:明文密鑰為64個字符的字符串,區分大小寫,每個字符為十六進製的數字;密文密鑰為117個字符的字符串,區分大小寫,每個字符為十六進製的數字。
【使用指導】
身份認證密鑰用於國盾量子服務器驗證設備身份,與設備唯一入網標識(通過app-dev-info命令配置)一一對應。當設備向國盾量子服務器發送登錄請求時,隻有攜帶了正確的設備唯一入網標識和身份認證密鑰才能成功登錄國盾量子服務器。
身份認證密鑰需要聯係國盾量子服務器的管理員獲取。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置設備登錄國盾量子服務器的身份認證密鑰為明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
<Sysname> system-view
[Sysname] ike gd-quantum
[Sysname-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
certificate domain命令用來指定IKE協商采用數字簽名認證時使用的PKI域。
undo certificate domain命令用來取消指定IKE協商時使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情況】
未指定用於IKE協商的PKI域。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:PKI域的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
可通過多次執行本命令指定多個PKI域,一個IKE profile中最多可以引用六個PKI域。如果在IKE profile中指定了PKI域,則使用指定的PKI域發送本端證書請求、驗證對端證書請求、發送本端證書、驗證對端證書、進行數字簽名。如果IKE profile中沒有指定PKI域,則使用設備上配置的PKI域進行以上證書相關的操作。
IKE可以通過PKI自動獲取CA證書、自動申請證書,對這種情況,有幾點需要說明:
· 對於發起方:若在IKE profile中指定了PKI域,且PKI域中的證書申請為自動申請方式,則發起方會自動獲取CA證書;若在IKE profile中沒有指定PKI域,則發起方不會自動獲取CA證書,需要手動獲取CA證書。
· 對於響應方:第一階段采用主模式的IKE協商時,響應方不會自動獲取CA證書,需要手動獲取CA證書;第一階段采用野蠻模式的IKE協商時,若響應方找到了匹配的IKE profile並且IKE profile下指定了PKI域,且PKI域中的證書申請為自動申請方式,則會自動獲取CA證書;否則,響應方不會自動獲取CA證書,需要手動獲取CA證書。
· 在IKE協商過程中先自動獲取CA證書,再自動申請證書。若CA證書存在,則不獲取CA證書,直接自動申請證書。
【舉例】
# 在IKE profile 1中指定IKE協商時使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相關命令】
· authentication-method
· pki domain(安全命令參考/PKI)
client-authentication命令用來開啟對客戶端的認證。
undo client-authentication命令用來關閉對客戶端的認證。
【命令】
client-authentication xauth
undo client-authentication xauth
【缺省情況】
對客戶端的認證處於關閉狀態。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
xauth:表示采用XAUTH (Extended Authentication within ISAKMP/Oakley)方式認證。
【使用指導】
在部署多分支遠程訪問企業中心的IPsec VPN應用時,為區別不同的客戶端,通常需要中心側的網管人員為每一個遠程客戶端設置不同IPsec安全策略和認證密碼,此工作量巨大,也不方便管理。在中心側開啟了對客戶端認證之後,遠程客戶端與中心側設備進行IKE協商的過程中,中心側設備可以利用RADIUS服務器來對客戶端進行用戶名和密碼的驗證,要求每個遠程客戶端在接入時,都需要提供不同的用戶名和密碼,這樣可以簡化中心側的配置負擔,保證了遠程接入客戶端的安全性。
【舉例】
# 開啟基於XAUTH方式的認證。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth
【相關命令】
· local-user
client-authentication xauth user命令用來配置客戶端認證的用戶名和密碼。
undo client-authentication xauth user命令用來恢複缺省情況。
【命令】
client-authentication xauth user username password { cipher | simple } string
undo client-authentication xauth user
【缺省情況】
未配置客戶端認證的用戶名和密碼。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:用戶名稱,為1~55個字符的字符串,區分大小寫。用戶名不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
password:用戶密碼。
cipher:以密文方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串;密文密碼為1~110個字符的字符串。
【使用指導】
在多分支遠程訪問企業中心的IPsec VPN組網環境中,在遠程客戶端上配置用戶名和密碼,可用來向中心側發起AAA認證。
【舉例】
# 配置客戶端認證的用戶名為abc,密文密碼為123456TESTplat&!。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth user abc password simple 123456TESTplat&!
decrypt-quantum-key命令用來配置國盾量子密鑰的解密密鑰。
undo decrypt-quantum-key命令用來恢複缺省情況。
【命令】
decrypt-quantum-key { cipher | simple } key-value
undo decrypt-quantum-key
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65 |
不支持 |
|
F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70 |
不支持 |
|
F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1215、F1000-AK1315、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
未配置國盾量子密鑰的解密密鑰。
【視圖】
IKE GDQUANTUM視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文的方式存儲。
key-value:明文密鑰為64個字符的字符串,區分大小寫,每個字符為十六進製的數字;密文密鑰為117個字符的字符串,區分大小寫。
【使用指導】
設備成功登錄國盾量子服務器後,可以主動申請量子密鑰,申請的量子密鑰為經過加密處理的密鑰,需要通過本命令配置的解密密鑰進行解密,解密之後的密鑰才能供IPsec使用。
解密密鑰需要聯係國盾量子服務器的管理員獲取。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置國盾量子密鑰的解密密鑰為明文0x66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
<Sysname> system-view
[Sysname] ike gd-quantum
[Sysname-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
description命令用來配置IKE提議的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
不存在IKE提議的描述信息。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:IKE提議的描述信息,為1~80個字符的字符串,區分大小寫。
【使用指導】
當係統中存在多個IKE提議時,可通過配置相應的描述信息來有效區分不同的IKE提議。
【舉例】
# 配置序號為1的IKE提議的描述信息為test。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] description test
dh命令用來配置IKE階段1密鑰協商時所使用的DH密鑰交換參數。
undo dh命令用來恢複缺省情況。
【命令】
dh { group1 | group14 | group2 | group24 | group5 }
undo dh
【缺省情況】
IKE提議使用的DH密鑰交換參數為group1,即768-bit的Diffie-Hellman group。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group1:指定階段1密鑰協商時采用768-bit的Diffie-Hellman group。
group14:指定階段1密鑰協商時采用2048-bit的Diffie-Hellman group。
group2:指定階段1密鑰協商時采用1024-bit的Diffie-Hellman group。
group24:指定階段1密鑰協商時采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定階段1密鑰協商時采用1536-bit的Diffie-Hellman group。
【使用指導】
group1提供了最低的安全性,但是處理速度最快。group24提供了最高的安全性,但是處理速度最慢。其它的Diffie-Hellman group隨著其位數的增加提供更高的安全性,但是處理速度會相應減慢。請根據實際組網環境中對安全性和性能的要求選擇合適的Diffie-Hellman group。
【舉例】
# 指定IKE提議1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相關命令】
· display ike proposal
display ike proposal命令用來顯示所有IKE提議的配置信息。
【命令】
display ike proposal
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【使用指導】
IKE提議按照優先級的先後順序顯示。如果沒有配置任何IKE提議,則隻顯示缺省的IKE提議。
【舉例】
# 顯示IKE提議的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表2-1 display ike proposal命令顯示信息描述表
|
字段 |
描述 |
|
Priority |
IKE提議的優先級 |
|
Authentication method |
IKE提議使用的認證方法,包括: · DSA-SIG:DSA簽名 · PRE-SHARED-KEY:預共享密鑰 · RSA-DE:RSA數字信封 · RSA-SIG:RSA簽名 · SM2-DE:SM2數字信封 |
|
Authentication algorithm |
IKE提議使用的認證算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
|
Encryption algorithm |
IKE提議使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
|
Diffie-Hellman group |
IKE階段1密鑰協商時所使用的DH密鑰交換參數,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
Duration (seconds) |
IKE提議中指定的IKE SA存活時間,單位為秒 |
【相關命令】
· ike proposal
display ike sa命令用來顯示當前IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-instance-name ] ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
verbose:顯示當前IKE SA的詳細信息。
connection-id connection-id:按照連接標識符顯示IKE SA的詳細信息,取值範圍為1~2000000000。
remote-address:顯示指定對端IP地址的IKE SA的詳細信息。
ipv6:指定IPv6地址。
remote-address:對端的IP地址。
vpn-instance vpn-instance-name:顯示指定VPN實例內的IKE SA的詳細信息,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示顯示的IKE SA屬於公網。
【使用指導】
若不指定任何參數,則顯示當前所有IKE SA的摘要信息。
【舉例】
# 顯示當前所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
表2-2 display ike sa命令顯示信息描述表
|
字段 |
描述 |
|
Connection-ID |
IKE SA的標識符 |
|
Remote |
此IKE SA的對端的IP地址和端口號 |
|
Flags |
IKE SA的狀態,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已經被新的IKE SA代替,一段時間後將被刪除 · FD-FADING:表示此IKE SA正在接近超時時間,目前還在使用,但即將被刪除 · RK-REKEY:表示此IKE SA是Rekey SA · Unknown:表示IKE協商的狀態未知 |
|
DOI |
IKE SA所屬解釋域,包括: · IPsec:表示此IKE SA使用的DOI為IPsec DOI |
# 顯示當前IKE SA的詳細信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
# 顯示目的地址為4.4.4.5的IKE SA的詳細信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
表2-3 display ike sa verbose命令顯示信息描述表
|
字段 |
描述 |
|
Connection ID |
IKE SA的標識符 |
|
Outside VPN |
接收報文的接口所屬的MPLS L3VPN的VPN實例名稱 |
|
Inside VPN |
被保護數據所屬的MPLS L3VPN的VPN實例名稱 |
|
Profile |
IKE SA協商過程中匹配到的IKE profile的名稱,如果協商過程中沒有匹配到任何profile,則該字段不會顯示任何KE profile名稱 |
|
Transmitting entity |
IKE協商中的實體角色,包括: · Initiator:發起方 · Responder:響應方 |
|
Initiator cookie |
IKE SA發起者Cookie |
|
Responder cookie |
IKE SA響應者Cookie |
|
Local IP/port |
本端安全網關的IP地址和端口號 |
|
Local ID type |
本端安全網關的身份信息類型 |
|
Local ID |
本端安全網關的身份信息 |
|
Remote IP/port |
對端安全網關的IP地址和端口號 |
|
Remote ID type |
對端安全網關的身份信息類型 |
|
Remote ID |
對端安全網關的身份信息 |
|
Authentication-method |
IKE提議使用的認證方法,包括: · DSA-SIG:DSA簽名 · PRE-SHARED-KEY:預共享密鑰 · RSA-DE:RSA數字信封 · RSA-SIG:RSA簽名 · SM2-DE:SM2數字信封 |
|
Authentication-algorithm |
IKE提議使用的認證算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
|
Encryption-algorithm |
IKE提議使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
|
Life duration(sec) |
IKE SA的存活時間,單位為秒 |
|
Remaining key duration(sec) |
IKE SA的剩餘存活時間,單位為秒 |
|
Exchange-mode |
IKE第一階段的協商模式,包括: · Aggressive:野蠻模式 · GM-main:國密主模式 · Main:主模式 |
|
Diffie-Hellman group |
IKE第一階段密鑰協商時所使用的DH密鑰交換參數,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 若IKE第一階段協商模式為國密主模式,則不顯示此字段 |
|
NAT traversal |
是否檢測到協商雙方之間存在NAT網關設備 |
|
Extend authentication |
是否開啟擴展認證: · Enabled:開啟 · Disabled:關閉 |
|
Assigned IP address |
本端分配給對端的IP地址,如果沒有分配則不顯示 |
|
Vendor ID index |
觸發IKE協商時,使用的廠商自定義常量索引 |
|
Vendor ID sequence number |
觸發IKE協商時,使用的廠商自定義常量序列號 |
display ike statistics命令用來顯示IKE的統計信息。
【命令】
display ike statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示IKE的統計信息。
<Sysname> display ike statistics
IKE statistics:
No matching proposal: 0
Invalid ID information: 0
Unavailable certificate: 0
Unsupported DOI: 0
Unsupported situation: 0
Invalid proposal syntax: 0
Invalid SPI: 0
Invalid protocol ID: 0
Invalid certificate: 0
Authentication failure: 0
Invalid flags: 0
Invalid message id: 0
Invalid cookie: 0
Invalid transform ID: 0
Malformed payload: 0
Invalid key information: 0
Invalid hash information: 0
Unsupported attribute: 0
Unsupported certificate type: 0
Invalid certificate authority: 0
Invalid signature: 0
Unsupported exchange type: 0
No available SA: 1
Retransmit timeout: 0
Not enough memory: 0
Enqueue fails: 0
Failures to send R_U_THERE DPD packets: 0
Failures to receive R_U_THERE DPD packets: 0
Failures to send ACK DPD packets: 0
Failures to receive ACK DPD packets: 0
Sent P1 SA lifetime change packets: 0
Received P1 SA lifetime change packets: total=0, process failures=0 (no SA=0, failures to reset SA soft lifetime=0, failures to reset SA hard lifetime=0)
Sent P2 SA lifetime change packets: 0
Received P2 SA lifetime change packets: total=0, process failures=0
表2-4 display ike statistics命令顯示信息描述表
|
字段 |
描述 |
|
No matching proposal |
提議不匹配 |
|
Invalid ID information |
無效的ID信息 |
|
Unavailable certificate |
本地未發現此證書 |
|
Unsupported DOI |
不支持的DOI |
|
Unsupported situation |
不支持的形式 |
|
Invalid proposal syntax |
無效的提議語法 |
|
Invalid SPI |
無效的SPI |
|
Invalid protocol ID |
無效的協議ID |
|
Invalid certificate |
無效的證書 |
|
Authentication failure |
認證失敗 |
|
Invalid flags |
無效的標記 |
|
Invalid message id |
無效的消息ID |
|
Invalid cookie |
無效的cookie |
|
Invalid transform ID |
無效的transform ID |
|
Malformed payload |
畸形載荷 |
|
Invalid key information |
無效的密鑰信息 |
|
Invalid hash information |
無效的hash信息 |
|
Unsupported attribute |
不支持的屬性 |
|
Unsupported certificate type |
不支持的證書類型 |
|
Invalid certificate authority |
無效的證書授權 |
|
Invalid signature |
無效的簽名 |
|
Unsupported exchange type |
不支持的交換類型 |
|
No available SA |
沒有可用的SA |
|
Retransmit timeout |
重傳超時 |
|
Not enough memory |
內存不足 |
|
Enqueue fails |
入隊列失敗 |
|
Failures to send R_U_THERE DPD packets |
發送R_U_THERE類型DPD報文失敗的次數 |
|
Failures to receive R_U_THERE DPD packets |
接收R_U_THERE類型DPD報文失敗的次數 |
|
Failures to send ACK DPD packets |
發送DPD ACK報文失敗的次數 |
|
Failures to receive ACK DPD packets |
接收DPD ACK報文失敗的次數 |
|
Sent P1 SA lifetime change packets |
發送P1階段改變生存周期的info類型報文的個數 |
|
Received P1 SA lifetime change packets: total=N, process failures=N (no SA=N, failures to reset SA soft lifetime=N, failures to reset SA hard lifetime=N) |
接收P1階段改變生存周期的info類型報文的個數 · 總個數 · 處理失敗的個數 ¡ 因為沒有sa記錄的個數 ¡ 軟超時定時器流程處理失敗的個數 生存時間定時器流程處理失敗的個數 |
|
Sent P2 SA lifetime change packets |
發送P2階段改變生存周期的info類型報文的個數 |
|
Received P2 SA lifetime change packets: total=N, process failures=N |
接收P2階段改變生存周期的info類型報文的個數 · 總個數 · 處理失敗的個數 |
【相關命令】
· reset ike statistics
dpd命令用來配置IKE DPD功能。
undo dpd命令用來關閉IKE DPD功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情況】
IKE DPD功能處於關閉狀態。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:指定觸發IKE DPD探測的時間間隔,取值範圍為1~300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒。缺省情況下,DPD報文的重傳時間間隔為5秒。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送用戶報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔,則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔定時探測對端是否存活。
【使用指導】
IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
如果IKE profile視圖下和係統視圖下都配置了IKE DPD功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置IKE DPD功能,則采用係統視圖下的DPD配置。
建議配置的interval時間大於retry時間,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文過程中不會觸發新的DPD探測。
【舉例】
# 為IKE profile 1配置IKE DPD功能,指定若10秒內沒有從對端收到IPsec報文,則觸發IKE DPD探測,DPD請求報文的重傳時間間隔為5秒,探測模式為按需探測。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相關命令】
· ike dpd
encryption-algorithm命令用來指定IKE提議使用的加密算法。
undo encryption-algorithm命令用來恢複缺省情況。
【命令】
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | sm1-cbc-128 | sm4-cbc }
undo encryption-algorithm
【缺省情況】
IKE提議使用的加密算法為des-cbc,即CBC模式的56-bit DES加密算法。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
3des-cbc:指定IKE安全提議采用的加密算法為CBC模式的3DES算法,3DES算法采用168比特的密鑰進行加密。
aes-cbc-128:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用128比特的密鑰進行加密。
aes-cbc-192:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用192比特的密鑰進行加密。
aes-cbc-256:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用256比特的密鑰進行加密。
des-cbc:指定IKE安全提議采用的加密算法為CBC模式的DES算法,DES算法采用56比特的密鑰進行加密。
sm1-cbc-128:指定IKE安全提議采用的加密算法為CBC模式的SM1算法,SM1算法采用128比特的密鑰進行加密。
sm4-cbc:指定IKE安全提議采用的加密算法為CBC模式的SM4算法,SM4算法采用128比特的密鑰進行加密。
【舉例】
# 指定IKE提議1的加密算法為128比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
【相關命令】
· display ike proposal
exchange-mode命令用來選擇IKE第一階段的協商模式。
undo exchange-mode命令用來恢複缺省情況。
【命令】
exchange-mode { aggressive | gm-main | main }
undo exchange-mode
【缺省情況】
IKE第一階段的協商模式為主模式。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aggressive:野蠻模式。
gm-main:國密主模式。
main:主模式。
【使用指導】
當本端的IP地址為自動獲取(如本端用戶為撥號方式,IP地址為動態分配),且采用預共享密鑰認證方式時,建議將本端的協商模式配置為野蠻模式。
本端的協商模式配置為國密主模式,必須使用RSA-DE或者SM2-DE數字信封方式認證。
【舉例】
# 配置IKE第一階段協商使用國密主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode gm-main
# 配置IKE第一階段協商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相關命令】
· display ike proposal
ike address-group命令用來配置為對端分配IPv4地址的IKE本地地址池。
undo ike address-group命令用來刪除指定的IKE本地地址池。
【命令】
ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ike address-group group-name
【缺省情況】
未配置IKE本地IPv4地址池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:IPv4地址池名稱,為1~63個字符的字符串,不區分大小寫。
start-ipv4-address end-ipv4-address:IPv4地址池的地址範圍。其中,start-ipv4-address為IPv4地址池的起始地址,end-ipv4-address為IPv4地址池的結束地址。
mask:IPv4地址掩碼。
mask-length:IPv4地址掩碼長度。
【使用指導】
每個地址池中包括的IPv4地址的最大數目為8192。
如果修改或者刪除地址池,則需要刪除所有的IKE SA和IPsec SA,否則,可能會導致已經分配的地址無法回收。
【舉例】
# 配置IKE本地IPv4地址池,名稱為ipv4group,地址池範圍為1.1.1.1~1.1.1.2,掩碼為255.255.255.0。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKE本地IPv4地址池,名稱為ipv4group,地址池範圍為1.1.1.1~1.1.1.2,掩碼長度為32。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32
【相關命令】
· aaa authorization
ike compatible-gm-main enable命令用來配置IKE協商國密主模式與老版本設備兼容。
undo ike compatible-gm-main enable命令用來恢複缺省情況。
【命令】
ike compatible-gm-main enable
undo ike compatible-gm-main enable
【缺省情況】
IKE協商國密主模式與現有版本設備及第三方設備兼容。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
同一時間,設備的IKE協商國密主模式隻能兼容老版本設備,或兼容現有版本和第三方設備。
【舉例】
# 配置IKE協商國密主模式與老版本設備兼容。
<Sysname> system-view
[Sysname] ike compatible-gm-main enable
ike compatible-sm4 enable命令用來設置IKE協商過程中使用的sm4-cbc算法密鑰長度與老版本兼容。
undo ike compatible-sm4 enable命令用來恢複缺省情況。
【命令】
ike compatible-sm4 enable
undo ike compatible-sm4 enable
【缺省情況】
IKE協商過程中使用的sm4-cbc算法的密鑰長度不兼容老版本。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
【舉例】
# 配置IKE協商過程中使用的sm4-cbc算法密鑰長度與老版本兼容。
<Sysname> system-view
[Sysname] ike compatible-sm4 enable
ike dpd命令用來配置全局IKE DPD功能。
undo ike dpd命令用來關閉全局IKE DPD功能。
【命令】
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情況】
全局IKE DPD功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:指定觸發IKE DPD探測的時間間隔,取值範圍為1~300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒,缺省值為5秒。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送IPsec報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔(即通過interval指定的時間),則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔(即通過interval指定的時間)定時探測對端是否存活。
【使用指導】
IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。
建議配置的interval大於retry,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文的過程中不觸發新的DPD探測。
【舉例】
# 配置流量觸發IKE DPD探測間隔時間為10秒,重傳時間間隔為5秒,探測模式為按需探測。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相關命令】
· dpd
ike gd-quantum命令用來開啟國盾量子加密功能,並進入IKE GDQUANTUM視圖。
undo ike gd-quantum命令用來關閉國盾量子加密功能。
【命令】
ike gd-quantum
undo ike gd-quantum
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65 |
不支持 |
|
F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70 |
不支持 |
|
F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1215、F1000-AK1315、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
國盾量子加密功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟國盾量子加密功能後,IPsec將使用國盾量子服務器提供的對稱密鑰,對需要IPsec保護的數據進行加密保護,進一步提升IPsec業務的安全性。
設備從國盾量子服務器獲取密鑰的過程如下:
(1) 連接國盾量子服務器:IKE GDQUANTUM視圖下的所有命令配置完成後,設備將與指定的國盾量子服務器建立連接。
(2) 登錄國盾量子服務器:建立連接後,設備將向國盾量子服務器發送登錄請求,並攜帶唯一入網標識和身份認證密鑰,隻有上述參數驗證無誤後,才能成功登錄國盾量子服務器。
(3) 獲取國盾量子密鑰:登錄成功後,設備將在IKE一階段協商完成後,向國盾量子服務器獲取經過加密的量子密鑰,然後再通過設備上配置的解密密鑰進行解密,最終得到供IPsec使用的量子密鑰。
開啟國盾量子加密功能的同時,將進入IKE GDQUANTUM視圖,該視圖用於配置國盾量子服務器的IP地址和端口號、國盾量子服務器為設備分配的唯一入網標識和身份認證密鑰,以及國盾量子密鑰的解密密鑰。
【舉例】
# 開啟國盾量子加密功能,並進入IKE GDQUANTUM視圖。
<Sysname> system-view
[Sysname] ike gd-quantum
[Sysname-ike-gdquantum]
ike gm-main sm4-version命令用來配置IKE國密主模式協商時使用的SM4算法版本。
undo ike gm-main sm4-version命令用來恢複缺省情況。
【命令】
ike gm-main sm4-version { draft | standard }
undo ike gm-main sm4-version
【缺省情況】
IKE國密主模式協商時使用的SM4算法版本為standard。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
draft:指定SM4算法的版本為草案版本,SM4算法的屬性值為127。
standard:指定SM4算法的版本為標準版本,SM4算法的屬性值為129。
【使用指導】
由於SM4算法的版本存在差異,設備作為發起方與其他廠家設備進行IKE協商時,需要通過本命令指定SM4算法版本,保證兩端設備使用相同版本的SM4算法進行協商。
本命令僅在新協商IKE SA時生效,對已協商成功的IKE SA不起作用。
【舉例】
# 在IKE profile視圖下,配置IKE國密主模式協商時使用的SM4算法版本為draft,即草案版本。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] ike gm-main sm4-version draft
ike identity命令用來配置本端身份信息,用於在IKE認證協商階段向對端標識自己的身份。
undo ike identity命令用來恢複缺省情況。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情況】
使用IP地址標識本端的身份,該IP地址為IPsec安全策略應用的接口IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用從數字證書中獲得的DN名作為本端身份。
fqdn fqdn-name:指定標識本端身份的FQDN名稱,fqdn-name表示FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.example.com。不指定fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端FQDN類型的身份。
user-fqdn user-fqdn-name:指定標識本端身份的User FQDN名稱,user-fqdn-name表示User FQDN名稱,為1~255個字符的字符串,區分大小寫,例如[email protected]。不指定user-fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端user FQDN類型的身份。
【使用指導】
本命令用於全局配置IKE對等體的本端身份,適用於所有IKE SA的協商,而IKE profile下的local-identity為局部配置身份,僅適用於使用本IKE profile的IKE SA的協商。
如果本端的認證方式為數字簽名方式,則本端可以配置任何類型的身份信息;如果本端的認證方式為預共享密鑰方式,則隻能配置除DN之外的其它類型的身份信息。
如果希望在采用數字簽名認證時,總是從證書中的主題字段取得本端身份,則可以通過ike signature-identity from-certificate命令實現。如果沒有配置ike signature-identity from-certificate,並且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),則使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下沒有配置本端身份,則使用全局配置的本端身份(由ike identity命令指定)。
【舉例】
# 指定使用IP地址2.2.2.2標識本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相關命令】
· local-identity
· ike signature-identity from-certificate
ike invalid-spi-recovery enable命令用來開啟針對無效IPsec SPI的IKE SA恢複功能。
undo ike invalid-spi-recovery enable命令用來關閉針對無效IPsec SPI的IKE SA恢複功能。
【命令】
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
【缺省情況】
針對無效IPsec SPI的IKE SA恢複功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當IPsec隧道一端的安全網關出現問題(例如安全網關重啟)導致本端IPsec SA丟失時,會造成IPsec流量黑洞現象:一端(接收端)的IPsec SA已經完全丟失,而另一端(發送端)還持有對應的IPsec SA且不斷地向對端發送報文,當接收端收到發送端使用此IPsec SA封裝的IPsec報文時,就會因為找不到對應的SA而持續丟棄報文,形成流量黑洞。該現象造成IPsec通信鏈路長時間得不到恢複(隻有等到發送端舊的IPsec SA生存時間超時,並重建IPsec SA後,兩端的IPsec流量才能得以恢複),因此需要采取有效的IPsec SA恢複手段來快速恢複中斷的IPsec通信鏈路。
SA由SPI唯一標識,接收方根據IPsec報文中的SPI在SA數據庫中查找對應的IPsec SA,若接收方找不到處理該報文的IPsec SA,則認為此報文的SPI無效。如果接收端當前存在IKE SA,則會向對端發送刪除對應IPsec SA的通知消息,發送端IKE接收到此通知消息後,就會立即刪除此無效SPI對應的IPsec SA。之後,當發送端需要繼續向接收端發送報文時,就會觸發兩端重建IPsec SA,使得中斷的IPsec通信鏈路得以恢複;如果接收端當前不存在IKE SA,就不會觸發本端向對端發送刪除IPsec SA的通知消息,接收端將默認丟棄無效SPI的IPsec 報文,使得鏈路無法恢複。後一種情況下,如果開啟了IPsec無效SPI恢複IKE SA功能,就會觸發本端與對端協商新的IKE SA並發送刪除消息給對端,從而使鏈路恢複正常。
由於開啟此功能後,若攻擊者偽造大量源IP地址不同但目的IP地址相同的無效SPI報文發給設備,會導致設備因忙於與無效對端協商建立IKE SA而麵臨受到DoS(Denial of Sevice)攻擊的風險,通常情況下,建議關閉針對無效IPsec SPI的IKE SA恢複功能。
【舉例】
# 開啟IPsec無效SPI恢複IKE SA功能。
<Sysname> system-view
[Sysname] ike invalid-spi-recovery enable
ike ipv6-address-group命令用來創建IKE本地IPv6地址池。
undo ike ipv6-address-group命令用來刪除指定的地址池。
【命令】
ike ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ike ipv6-address-group group-name
【缺省情況】
不存在IKE本地IPv6地址池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:IPv6地址池名稱,為1~63個字符的字符串,不區分大小寫。
prefix prefix/prefix-len:指定IPv6地址池的地址前綴。prefix/prefix-len為IPv6前綴/前綴長度,其中,prefix-len取值範圍為1~128。
assign-len assign-len:指定地址池分配給對端的前綴長度。assign-len的取值範圍為1~128,必須大於或等於prefix-len,且與prefix-len之差小於或等於16。
【使用指導】
本命令創建的地址池用來為對端分配IPv6地址。與IPv4地址池不同,IPv6地址池每次可分配的是一個IPv6地址段。對端收到該地址段後可繼續為其它設備分配地址。
所有IKE本地IPv6地址池包含的前綴範圍之間不能重疊,即前綴範圍不能相交也不能相互包含。
【舉例】
# 創建IKE本地IPv6地址池,名稱為ipv6group,前綴為1:1::,前綴長度為64,分配給使用者的前綴長度為80。
<Sysname> system-view
[Sysname] ike ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相關命令】
· aaa authorization
ike keepalive interval命令用來配置通過IKE SA向對端發送IKE Keepalive報文的時間間隔。
undo ike keepalive interval命令用來恢複缺省情況。
【命令】
ike keepalive interval interval
undo ike keepalive interval
【缺省情況】
不向對端發送IKE Keepalive報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:指定向對端發送IKE SA的Keepalive報文的時間間隔,取值範圍為20~28800,單位為秒。
【使用指導】
當有檢測對方IKE SA和IPsec SA是否存活的需求時,通常建議配置IKE DPD,不建議配置IKE Keepalive功能。僅當對方不支持IKE DPD特性,但支持IKE Keepalive功能時,才考慮配置IKE Keepalive功能。
本端配置的IKE Keepalive報文的等待超時時間要大於對端發送的時間間隔。由於網絡中一般不會出現超過三次的報文丟失,所以,本端的超時時間可以配置為對端配置的發送IKE Keepalive報文的時間間隔的三倍。
【舉例】
# 配置本端向對端發送Keepalive報文的時間間隔為200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相關命令】
· ike keepalive timeout
ike keepalive timeout命令用來配置本端等待對端發送IKE Keepalive報文的超時時間。
undo ike keepalive timeout命令用來恢複缺省情況。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情況】
未配置本端等待對端發送IKE Keepalive報文的超時時間。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:指定本端等待對端發送IKE Keepalive報文的超時時間,取值範圍為20~28800,單位為秒。
【使用指導】
當本端IKE SA在配置的超時時間內未收到IKE Keepalive報文時,則刪除該IKE SA以及由其協商的IPsec SA。
本端配置的等待對端發送IKE Keepalive報文的超時時間要大於對端發送IKE Keepalive報文的時間間隔。由於網絡中一般不會出現超過三次的報文丟失,所以,本端的超時時間可以配置為對端配置的發送IKE Keepalive報文的時間間隔的三倍。
【舉例】
# 配置本端等待對端發送IKE Keepalive報文的超時時間為20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相關命令】
· ike keepalive interval
ike keychain命令用來創建IKE keychain,並進入IKE keychain視圖。如果指定的IKE keychain已經存在,則直接進入IKE keychain視圖。
undo ike keychain命令用來刪除指定的IKE keychain。
【命令】
ike keychain keychain-name [ vpn-instance vpn-instance-name ]
undo ike keychain keychain-name [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在IKE keychain。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keychain-name:IKE keychain的名稱,為1~63個字符的字符串,不區分大小寫。
vpn-instance vpn-instance-name:指定IKE keychain所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示IKE keychain屬於公網。
【使用指導】
在IKE需要通過預共享密鑰方式進行認證時,需要創建並指定IKE keychain。
【舉例】
# 創建IKE keychain key1並進入IKE keychain視圖。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相關命令】
· authentication-method
· pre-shared-key
ike limit命令用來配置對本端IKE SA數目的限製。
undo ike limit命令用來恢複缺省情況。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情況】
同時處於協商狀態的IKE SA和IPsec SA的最大總和數為200,不限製非協商狀態的IKE SA數目。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-negotiating-sa negotiation-limit:指定允許同時處於協商狀態的IKE SA和IPsec SA的最大總和數,取值範圍為1~99999。
max-sa sa-limit:指定允許建立的IKE SA的最大數,取值範圍為1~99999。
【使用指導】
可以通過max-negotiating-sa參數設置允許同時協商更多的IKE SA,以充分利用設備處理能力,以便在設備有較強處理能力的情況下得到更高的新建性能;可以通過該參數設置允許同時協商更少的IKE SA,以避免產生大量不能完成協商的IKE SA,以便在設備處理能力較弱時保證一定的新建性能。
可以通過max-sa參數設置允許建立更多的IKE SA,以便在設備有充足內存的情況下得到更高的並發性能;可以通過該參數設置允許建立更少的IKE SA,以便在設備沒有充足的內存的情況下,使IKE不過多占用係統內存。
【舉例】
# 配置本端允許同時處於協商狀態的IKE SA和IPsec SA的最大總和數為200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允許成功建立的IKE SA的最大數為5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
ike logging negotiation enable命令用來開啟IKE協商事件日誌功能。
undo ike logging negotiation enable命令用來關閉IKE協商事件日誌功能。
【命令】
ike logging negotiation enable
undo ike logging negotiation enable
【缺省情況】
IKE協商事件日誌功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟IKE協商事件日誌記錄功能後,設備會輸出IKE協商過程中的相關日誌。
【舉例】
# 開啟IKE事件協商日誌功能。
<Sysname> system-view
[Sysname] ike logging negotiation enable
ike nat-keepalive命令用來配置向對端發送NAT Keepalive報文的時間間隔。
undo ike nat-keepalive命令用來恢複缺省情況。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情況】
向對端發送NAT Keepalive報文的時間間隔為20秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:指定向對端發送NAT Keepalive報文的時間間隔,取值範圍為5~300,單位為秒。
【使用指導】
該命令僅對位於NAT之後的設備(即該設備位於NAT設備連接的私網側)有意義。NAT之後的IKE網關設備需要定時向NAT之外的IKE網關設備發送NAT Keepalive報文,以便維持NAT設備上對應的IPsec流量的會話存活,從而讓NAT之外的設備可以訪問NAT之後的設備。
因此,需要確保該命令配置的時間小於NAT設備上會話表項的存活時間。關於如何查看NAT表項的存活時間,請參見“NAT命令參考”。
【舉例】
# 配置向對端發送NAT Keepalive報文的時間間隔為5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
ike profile命令用來創建一個IKE profile,並進入IKE profile視圖。如果指定的IKE profile已經存在,則直接進入IKE profile視圖。
undo ike profile命令用來刪除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情況】
不存在IKE profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:IKE profile名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 創建IKE profile 1,並進入其視圖。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用來創建IKE提議,並進入IKE提議視圖。如果指定的IKE提議已經存在,則直接進入IKE提議視圖。
undo ike proposal命令用來刪除指定IKE提議。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情況】
係統提供一條缺省的IKE提議,此缺省的IKE提議具有最低的優先級。缺省的提議的參數不可修改,其參數包括:
· 加密算法:DES-CBC
· 認證算法:HMAC-SHA1
· 認證方法:預共享密鑰
· DH密鑰交換參數:group1
· IKE SA存活時間:86400秒
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
proposal-number:IKE提議序號,取值範圍為1~65535。該序號同時表示優先級,數值越小,優先級越高。
【使用指導】
在進行IKE協商的時候,協商發起方會將自己的IKE提議發送給對端,由對端進行匹配。若發起方使用的IPsec安全策略中沒有引用IKE profile,則會將當前係統中所有的IKE提議發送給對端;否則,發起方會將引用的IKE profle中的所有IKE提議發送給對端。
響應方則以對端發送的IKE提議優先級從高到低的順序與本端所有的IKE提議進行匹配,一旦找到匹配項則停止匹配並使用匹配的提議,否則繼續查找其它的IKE提議。如果本端配置中沒有和對端匹配的IKE提議,則使用係統缺省的IKE提議進行匹配。
【舉例】
# 創建IKE提議1,並進入IKE提議視圖。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相關命令】
· display ike proposal
ike signature-identity from-certificate命令用來配置設備使用由本端證書中獲得的身份信息參與數字簽名認證。
undo ike signature-identity from-certificate命令用來恢複缺省情況。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情況】
當使用數字簽名認證方式時,本端身份信息由local-identity或ike identity命令指定。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當使用數字簽名認證方式時,本端的身份總是從本端證書的主題字段中獲得,不論local-identity或ike identity如何配置。
在采用IPsec野蠻協商模式以及數字簽名認證方式的情況下,與僅支持使用DN類型身份進行數字簽名認證的ComwareV5設備互通時需要配置本命令。
如果沒有配置ike signature-identity from-certificate,並且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),則使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下沒有配置本端身份,則使用全局配置的本端身份(由ike identity命令指定)。
【舉例】
# 在采用數字簽名認證時,指定總從本端證書中的主題字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相關命令】
· local-identity
· ike identity
inside-vpn 命令用來指定內部VPN實例。
undo inside-vpn 命令用來恢複缺省情況。
【命令】
inside-vpn vpn-instance vpn-instance-name
undo inside-vpn
【缺省情況】
IKE profile未指定內部VPN實例,設備在收到IPsec報文的接口所屬的VPN中查找路由。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance vpn-instance-name:保護的數據屬於指定的VPN實例。vpn-instance-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
當IPsec解封裝後得到的報文需要繼續轉發到不同的VPN中去時,設備需要知道在哪個MPLS L3VPN實例中查找相應的路由。缺省情況下,設備在與外網相同的VPN中查找路由。如果不希望在與外網相同的VPN中查找路由去轉發解封裝後的報文,則可以通過此命令指定一個內部VPN實例,指定設備通過查找該內部VPN實例中的路由來轉發解封裝後的報文。
本命令僅對引用了IKE profile的IPsec安全策略生效,對引用了IKE profile 的IPsec安全框架不生效。
【舉例】
# 在IKE profile prof1中指定內部VPN實例為vpn1。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1
keychain命令用來指定采用預共享密鑰認證時使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情況】
未指定采用預共享密鑰認證時使用的IKE keychain。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keychain-name:IKE keychain名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
一個IKE profile中最多可以指定六個IKE keychain,先配置的IKE keychain優先級高。
【舉例】
# 在IKE profile 1中指定名稱為abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相關命令】
· ike keychain
local-identity命令用來配置本端身份信息,用於在IKE認證協商階段向對端標識自己的身份。
undo local-identity命令用來恢複缺省情況。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情況】
未配置本端身份信息。此時使用係統視圖下通過ike identity命令配置的身份信息作為本端身份信息。若兩者都沒有配置,則使用IP地址標識本端的身份,該IP地址為IPsec安全策略應用的接口的IP地址。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address { ipv4-address | ipv6 ipv6-address } :指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用從本端數字證書中獲得的DN名作為本端身份。
fqdn fqdn-name:指定標識本端身份的FQDN名稱,fqdn-name為1~255個字符的字符串,區分大小寫,例如www.test.example.com。不指定fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端FQDN類型的身份。
user-fqdn user-fqdn-name:指定標識本端身份的user FQDN名稱,user-fqdn-name為1~255個字符的字符串,區分大小寫,例如[email protected]。不指定user-fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端user FQDN類型的身份。
【使用指導】
如果本端的認證方式為數字簽名方式,則本端可以配置任何類型的身份信息;如果本端的認證方式為預共享密鑰方式,則隻能配置除DN之外的其它類型的身份信息。
如果本端的認證方式為數字簽名方式,且配置的本端身份為IP地址,但這個IP地址與本端證書中的IP地址不同,則設備將使用FQDN類型的本端身份標識,該標識為使用sysname命令配置的設備名稱。
野蠻模式下,如果本端的認證方式為數字簽名方式,且配置的本端身份為DN名,則設備將使用FQDN類型的本端身份標識進行協商。如果需要使用DN名協商,則必須在係統視圖下配置ike signature-identity from-certificate命令。
響應方使用發起方的身份信息查找本地的IKE profile,通過與match remote命令中指定的發起方身份信息進行匹配,可查找到本端要采用的IKE profile。
一個IKE profile中隻能配置一條本端身份信息。
IKE profile下的本端身份信息優先級高於係統視圖下通過ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,則使用係統視圖下配置的本端身份信息。
【舉例】
# 指定使用IP地址2.2.2.2標識本端身份。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相關命令】
· match remote
· ike identity
· ike signature-identity from-certificate
match local address命令用來限製IKE keychain的使用範圍,即IKE keychain隻能用於指定地址或指定接口的地址上的IKE協商。
undo match local address命令用來恢複缺省情況。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情況】
未限製IKE keychain的使用範圍。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-type interface-number:本端接口名稱。可以是任意的三層接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示接口地址屬於公網。
【使用指導】
此命令用於限製IKE keychain隻能用於指定地址或指定接口的地址上的協商,這裏的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通過命令local-address配置),若本端地址沒有配置,則為引用IPsec安全策略的接口的IP地址。
一個IKE profile中最多可以指定六個IKE keychain,先配置的IKE keychain優先級高。若希望本端在匹配某些IKE keychain的時候,不按照配置的優先級來查找,則可以通過本命令來指定這類IKE keychain的使用範圍。例如,IKE keychain A中的預共享密鑰的匹配地址範圍大(2.2.0.0/16),IKE keychain B中的預共享密鑰的匹配地址範圍小(2.2.2.0/24),IKE keychain A先於IKE keychain B配置。假設對端IP地址為2.2.2.6,那麼依據配置順序本端總是選擇keychain A與對端協商。若希望本端接口(假設接口地址為3.3.3.3)使用keychain B與對端協商,可以配置keychain B在指定地址3.3.3.3的接口上使用。
【舉例】
# 創建IKE keychain,名稱為key1。
<Sysname> system-view
[Sysname] ike keychain key1
# 限製IKE keychain key1隻能在2.2.2.1的IP地址上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.1
# 限製IKE keychain key1隻能在名稱為vpn1的VPN實例中IP地址為2.2.2.2的接口上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1
match local address命令用來限製IKE profile的使用範圍,即IKE profile隻能用於指定地址或指定接口的地址上的IKE協商。
undo match local address命令用來恢複缺省情況。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情況】
未限製IKE profile的使用範圍。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-type interface-number:本端接口名稱。可以是任意三層接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示接口地址屬於公網。
【使用指導】
此命令用於限製IKE profile隻能用於指定地址或指定接口的地址上的協商,這裏的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通過命令local-address配置),若本端地址沒有配置,則為引用IPsec安全策略的接口的IP地址。
先配置的IKE profile優先級高,若希望本端在匹配某些IKE profile的時候,不按照配置的優先級來查找,則可以通過本命令來指定這類IKE profile的使用範圍。例如,IKE profile A中的match remote地址範圍大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址範圍小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先於IKE profile B配置。假設對端IP地址為2.2.2.6,那麼依據配置順序本端總是選擇profile A與對端協商。若希望本端接口(假設接口地址為3.3.3.3)使用profile B與對端協商,可以配置profile B在指定地址3.3.3.3的接口上使用。
【舉例】
# 創建IKE profile,名稱為prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 限製IKE profile prof1 隻能在2.2.2.1的IP地址上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.1
# 限製IKE profile prof1 隻能在名稱為vpn1的VPN中IP地址為2.2.2.2的接口上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1
match remote命令用來配置一條用於匹配對端身份的規則。
undo match remote命令用來刪除一條用於匹配對端身份的規則。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
【缺省情況】
未配置用於匹配對端身份的規則。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
certificate policy-name:基於對端數字證書中的信息匹配IKE profile。其中,policy-name是證書訪問控製策略的名稱,為1~31個字符的字符串。本參數用於響應方根據收到的發起方證書中的DN字段來過濾使用的IKE profile。
identity:基於指定的對端身份信息匹配IKE profile。本參數用於響應方根據發起方通過local-identity命令配置的身份信息來選擇使用的IKE profile。
address ipv4-address [ mask | mask-length ]:對端IPv4地址或IPv4網段。其中,ipv4-address為IPv4地址,mask為子網掩碼,mask-length為子網掩碼長度,取值範圍為0~32,不指定子網掩碼相關參數時默認為32位掩碼。
address range low-ipv4-address high-ipv4-address:對端IPv4地址範圍。其中low-ipv4-address為起始IPv4地址,high-ipv4-address為結束IPv4地址。結束地址必須大於起始地址。
address ipv6 ipv6-address [ prefix-length ] :對端IPv6地址或IPv6網段。其中,ipv6-address為IPv6地址,prefix-length為IPv6前綴,取值範圍為0~128,不指定IPv6前綴時默認為128位前綴。
address ipv6 range low-ipv6-address high-ipv6-address:對端IPv6地址範圍。其中low-ipv6-address為起始IPv6地址,high-ipv6-address為結束IPv6地址。結束地址必須大於起始地址。
fqdn fqdn-name:對端FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.example.com。
user-fqdn user-fqdn-name:對端User FQDN名稱,為1~255個字符的字符串,區分大小寫,例如[email protected]。
vpn-instance vpn-instance-name:指定對端地址所屬的VPN實例,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示對端地址屬於公網。
【使用指導】
響應方根據發起發的身份信息通過本配置查找IKE profile並驗證對端身份。
響應方必須配置至少一個match remote規則,當對端的身份與IKE profile中配置的match remote規則匹配時,則使用此IKE profile中的信息與對端完成認證。為了使得每個對端能夠匹配到唯一的IKE profile,不建議在兩個或兩個以上IKE profile中配置相同的match remote規則,否則能夠匹配到哪個IKE profile是不可預知的。
match remote規則可以配置多個,並同時都有效,其匹配優先級為配置順序。
【舉例】
# 創建IKE profile,名稱為prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配對端身份類型為FQDN,取值為www.test.example.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.example.com
# 指定需要匹配對端身份類型為IP地址,取值為10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相關命令】
· local-identity
pre-shared-key命令用來配置預共享密鑰。
undo pre-shared-key命令用來取消指定的預共享密鑰。
【命令】
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情況】
未配置預共享密鑰。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address:對端的地址。
ipv4-address:對端的IPv4地址。
mask:對端的IPv4地址掩碼,缺省值為255.255.255.255。
mask-length:對端的IPv4地址掩碼長度,取值範圍為0~32,缺省值為32。
ipv6:指定對端的IPv6地址。
ipv6-address:對端的IPv6地址。
prefix-length:對端的IPv6地址前綴長度,取值範圍為0~128,缺省值為128。
hostname host-name:對端主機名。取值範圍為1~255,區分大小寫。
key:設置的預共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~128個字符的字符串;密文密鑰為1~201個字符的字符串。
【使用指導】
配置預共享密鑰的同時,還通過參數address和hostname指定了使用該預共享密鑰的匹配條件,即與哪些IP地址或哪些主機名的對端協商時,才可以使用該預共享密鑰。
以hostname方式設置預共享密鑰時,IKE協商隻能采用野蠻模式,設備本身隻能作為響應方,且對端IKE身份ID需采用FQDN方式來匹配主機名。
IKE協商雙方必須配置了相同的預共享密鑰,預共享密鑰類型的身份認證才會成功。
【舉例】
# 創建IKE keychain key1並進入IKE keychain視圖。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置與地址為1.1.1.2的對端使用的預共享密鑰為明文的123456TESTplat&!。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!
【相關命令】
· authentication-method
· keychain
priority命令用來指定IKE keychain的優先級。
undo priority命令用來恢複缺省情況。
【命令】
priority priority
undo priority
【缺省情況】
IKE keychain的優先級為100。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
priority priority:IKE keychain優先級,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
配置了match local address的IKE keychain,優先級高於所有未配置match local address的IKE keychain。即IKE keychain的使用優先級首先決定於其中是否配置了match local address,其次取決於它的優先級。
【舉例】
# 指定IKE keychain key1的優先級為10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用來指定IKE profile的優先級。
undo priority 命令用來恢複缺省情況。
【命令】
priority priority
undo priority
【缺省情況】
IKE profile的優先級為100。
【視圖】
IKE-Profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
priority priority:IKE profile優先級號,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
配置了match local address的IKE profile,優先級高於所有未配置match local address的IKE profile。即IKE profile的匹配優先級首先決定於其中是否配置了match local address,其次決定於它的優先級。
【舉例】
# 指定在IKE profile prof1的優先級為10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用來配置IKE profile引用的IKE提議。
undo proposal 命令用來恢複缺省情況。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情況】
IKE profile未引用IKE提議,使用係統視圖下配置的IKE提議進行IKE協商。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
proposal-number&<1-6>:IKE提議序號,取值範圍為1~65535。該序號在IKE profile中與優先級無關,先配置的IKE提議優先級高。&<1-6>表示前麵的參數最多可以輸入6次。
【使用指導】
IKE協商過程中,對於發起方,如果使用的IPsec安全策略下指定了IKE profile,則使用IKE profile中引用的IKE提議進行協商;對於響應方,則使用係統視圖下配置的IKE提議與對端發送的IKE提議進行匹配。
【舉例】
# 設置IKE profile prof1引用序號為10的IKE安全提議。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相關命令】
· ike proposal
reset ike sa命令用來清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
connection-id connection-id:清除指定連接ID的IKE SA,取值範圍為1~2000000000。
【使用指導】
刪除IKE SA時,會向對端發送刪除通知消息。
【舉例】
# 查看當前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
2 202.38.0.3 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 清除連接ID號為2 的IKE SA。
<Sysname> reset ike sa connection-id 2
# 查看當前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
reset ike statistics命令用於清除IKE的MIB統計信息。
【命令】
reset ike statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除IKE的MIB統計信息。
<Sysname> reset ike statistics
【相關命令】
· snmp-agent trap enable ike
sa duration命令用來指定一個IKE提議的IKE SA存活時間。
undo sa duration命令用來恢複缺省情況。
【命令】
sa duration seconds
undo sa duration
【缺省情況】
IKE提議的IKE SA存活時間為86400秒。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:指定IKE SA存活時間,取值範圍為60~604800,單位為秒。
【使用指導】
在指定的IKE SA存活時間超時前,設備會提前協商另一個IKE SA來替換舊的IKE SA。在新的IKE SA還沒有協商完之前,依然使用舊的IKE SA;在新的IKE SA建立後,將立即使用新的IKE SA,而舊的IKE SA在存活時間超時後,將被自動清除。
如果協商雙方配置了不同的IKE SA存活時間,則時間較短的存活時間生效。
若配置中同時存在IPsec SA存活時間,則建議IKE SA存活時間大於IPsec SA存活時間。
【舉例】
# 指定IKE提議1的IKE SA存活時間600秒(10分鍾)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相關命令】
· display ike proposal
sa soft-duration buffer命令用來設置IKE SA的軟超時緩衝時間。
undo sa soft-duration buffer命令用來恢複缺省情況。
【命令】
sa soft-duration buffer seconds
undo sa soft-duration buffer
【缺省情況】
未配置IKE SA的軟超時緩衝時間。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:IKE SA的軟超時緩衝時間,取值範圍為10~36000,單位為秒。
【使用指導】
本命令隻對IKEv1有效。
若未配置軟超時緩衝時間,則係統會基於IKE SA存活時間使用默認算法計算軟超時時間,軟超時時間到達後會立即進行新的IKE SA協商。
需要注意的是,在配置了軟超時緩衝時間的情況下,軟超時時間(基於時間的生存時間-軟超時緩衝時間)需要大於10秒。否則,仍然采用未配置軟超時緩衝時間的默認算法計算軟超時時間。
【舉例】
# 設置IKE SA的軟超時緩衝時間為600秒。
<Sysname> system-view
[Sysname] ike profile abc
[Sysname-ike-profile-abc] sa soft-duration buffer 600
【相關命令】
· display ike sa
server-address命令用來指定國盾量子服務器的IP地址和端口號。
undo server-address命令用來恢複缺省情況。
【命令】
server-address ip-address [ port port-number ]
undo server-address
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65 |
不支持 |
|
F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70 |
不支持 |
|
F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1215、F1000-AK1315、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
未指定國盾量子服務器的IP地址和端口號。
【視圖】
IKE GDQUANTUM視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:國盾量子服務器的IPv4地址。
port port-number:指定國盾量子服務器的端口號,取值範圍為1~65535,缺省值為8013。
【使用指導】
設備將與此命令指定的國盾量子服務器進行信息交互,從而獲取量子密鑰。管理員需要根據國盾量子服務器的實際IP地址和端口號進行配置。
修改本命令對設備與國盾量子服務器已建立的連接不影響。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 指定國盾量子服務器的IP地址為192.168.0.111,端口號為5656。
<Sysname> system-view
[Sysname] ike gd-quantum
[Sysname-ike-gdquantum] server-address 192.168.0.111 port 5656
snmp-agent trap enable ike命令用來開啟IKE的告警功能。
undo snmp-agent trap enable ike命令用來關閉指定的IKE告警功能。
【命令】
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
【缺省情況】
IKE的所有告警功能均處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
attr-not-support:表示屬性參數不支持時的告警功能。
auth-failure:表示認證失敗時的告警功能。
cert-type-unsupport:表示證書類型不支持時的告警功能。
cert-unavailable:表示無法獲取證書時的告警功能。
decrypt-failure:表示解密失敗時的告警功能。
encrypt-failure:表示加密失敗時的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示證書認證無效時的告警功能。
invalid-cookie:表示cookie無效時的告警功能。
invalid-id:表示身份信息無效時的告警功能。
invalid-proposal:表示IKE提議無效時的告警功能。
invalid-protocol:表示安全協議無效時的告警功能。
invalid-sign:表示證書簽名無效時的告警功能。
no-sa-failure:表示無法查到SA時的告警功能。
proposal-add:表示添加IKE提議時的告警功能。
proposal-delete:表示刪除IKE提議時的告警功能。
tunnel-start:表示創建IKE隧道時的告警功能。
tunnel-stop:表示刪除IKE隧道時的告警功能。
unsupport-exch-type:表示協商類型不支持時的告警功能。
【使用指導】
如果不指定任何參數,則表示開啟或關閉所有類型的IKE告警功能。
如果希望生成並輸出某種類型的IKE告警信息,則需要保證IKE的全局告警功能以及相應類型的告警功能均處於開啟狀態。
【舉例】
# 開啟全局IKE告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ike global
# 開啟創建IKE 隧道時的告警功能。
[Sysname] snmp-agent trap enable ike tunnel-start
aaa authorization命令用來開啟IKEv2的AAA授權功能。
undo aaa authorization命令用來關閉IKEv2的AAA授權功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情況】
IKEv2的AAA授權功能處於關閉狀態。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain domain-name:申請授權屬性時使用的ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申請授權屬性時使用的用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
【使用指導】
開啟AAA授權功能後,IKEv2可以向AAA模塊申請授權屬性,例如IKEv2本地地址池屬性。IKEv2模塊使用指定的ISP域名和用戶名向AAA模塊發起授權請求,AAA模塊采用域中的授權配置向遠程AAA服務器或者本地用戶數據庫請求該用戶的授權信息。用戶名驗證成功之後,IKEv2本端將會得到相應的授權屬性。該功能適合於由AAA模塊集中管理和部署相關授權屬性的組網環境。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile prof1中開啟AAA授權功能,指定ISP域為abc,用戶名為test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相關命令】
· display ikev2 profile
address命令用來指定IKEv2 peer的主機地址。
undo address命令用來恢複缺省情況。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
【缺省情況】
未指定IKEv2 peer的主機地址。
【視圖】
IKEv2 peer視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:IKEv2 peer的IPv4主機地址。
Mask:IPv4地址子網掩碼。
mask-length:IPv4地址的掩碼長度,取值範圍為0~32。
ipv6 ipv6-address:IKEv2 peer的IPv6主機地址。
prefix-length:IPv6地址的前綴長度,取值範圍為0~128。
【使用指導】
使用主機地址查詢IKEv2 peer對於IKEv2協商中的發起方和響應方均適用。
同一keychain視圖下的不同IKEv2 peer不能配置相同的地址。
【舉例】
# 創建一個IKEv2 keychain,名稱為key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的IP地址為3.3.3.3,掩碼為255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相關命令】
· ikev2 keychain
· peer
authentication-method命令用來指定IKEv2本端和對端的身份認證方式。
undo authentication-method 命令用來刪除指定的IKEv2本端或對端身份認證方式。
【命令】
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
【缺省情況】
未配置本端和對端的認證方式。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:指定本端的身份認證方式。
remote:指定對端的身份認證方式。
dsa-signature:表示身份認證方式為DSA數字簽名方式。
ecdsa-signature:表示身份認證方式為ECDSA數字簽名方式。
pre-share:表示身份認證方式為預共享密鑰方式。
rsa-signature:表示身份認證方式為RSA數字簽名方式。
【使用指導】
一個IKEv2 profile中,必須配置IKEv2本端和對端的身份認證方式。本端和對端可以采用不同的身份認證方式。
隻能指定一個本端身份認證方式,可以指定多個對端身份認證方式。在有多個對端且對端身份認證方式未知的情況下,可以通過多次執行本命令指定多個對端的身份認證方式。
如果本端或對端的身份認證方式為RSA、DSA或ECDSA數字簽名方式(rsa-signature、dsa-signature或ecdsa-signature),則還必須通過命令certificate domain指定PKI域來獲取用於簽名和驗證的數字證書。若沒有指定PKI域,則使用係統視圖下通過命令pki domain配置的PKI域。
如果本端或對端的認證方式為預共享密鑰方式(pre-share),則還必須在本IKEv2 profile引用的keychain中指定對等體的預共享密鑰。
【舉例】
# 創建IKEv2 profile profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的認證方式為預共享密鑰方式,對端的認證方式為RSA數字簽名方式。
[Sysname-ikev2-profile-profile1] authentication-method local pre-share
[Sysname-ikev2-profile-profile1] authentication-method remote rsa-signature
# 指定對端用於簽名和驗證的certificate域為genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定IKEv2 profile引用的keychain為keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相關命令】
· display ikev2 profile
· certificate domain (ikev2 profile view)
· keychain (ikev2 profile view)
certificate domain命令用來指定IKEv2協商采用數字簽名認證時使用的PKI域。
undo certificate domain命令用來取消配置IKEv2協商時使用的PKI域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情況】
使用係統視圖下配置的PKI域來驗證證書。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain-name:PKI域的名稱,為1~31個字符的字符串,不區分大小寫。
sign:指定本端使用該PKI域中的本地證書生成數字簽名。
verify:指定本端使用該PKI域中的CA證書來驗證對端證書。
【使用指導】
如果沒有指定sign和verify,則表示指定的PKI域既用於簽名也用於驗證。一個PKI域用於簽名還是驗證取決於最後一次的配置,例如,先配了certificate domain abc sign,然後再配certificate domain abc verify,那麼最終PKI域abc隻用於驗證功能。
可通過多次執行本命令分別指定用於數字簽名的PKI域和用於驗證的PKI域。
如果本端的認證方式配置為RSA、DSA或ECDSA數字簽名方式,則必須通過本命令指定PKI域來獲取用於簽名的本地證書;如果對端的認證方式配置為RSA、DSA或ECDSA數字簽名方式,則使用本命令指定PKI域來獲取用於驗證的CA證書,若未指定PKI域,則使用係統視圖下的所有PKI域來驗證。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域abc用於簽名,PKI域def用於驗證。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相關命令】
· authentication-method
· pki domain(安全命令參考/PKI)
config-exchange命令用來開啟指定的配置交換功能。
undo config-exchange命令用來關閉指定的配置交換功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情況】
所有的配置交換功能均處於關閉狀態。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
request:表示本端在Auth交換請求報文中攜帶配置交換請求載荷。
set:表示本端在Info報文中攜帶配置交換設置載荷。
accept:表示本端可接受配置交換設置載荷。
send:表示本端可發送配置交換設置載荷。
【使用指導】
配置交換包括請求數據、回應數據、主動推數據和回應推數據,請求和推送的數據可以為網關地址,內部地址,路由信息等,目前僅支持中心側內部地址分配。分支側可以申請地址,但申請到的地址暫無用。
本端可以同時配置request和set參數。
如果本端配置了request參數,則隻要對端能通過AAA授權獲取到對應的請求數據,就會對本端的請求進行響應。
如果本端配置了set send參數,則對端必須配置set accept參數來配合使用。
如果本端配置了set send參數,且沒有收到配置請求時,IKEv2 SA協商成功後才會推送地址給對端。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置本端在Auth交換請求報文中攜帶配置交換請求載荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相關命令】
· aaa authorization
· display ikev2 profile
dh命令用來配置IKEv2密鑰協商時所使用的DH密鑰交換參數。
undo dh命令用來恢複缺省情況。
【命令】
dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *
undo dh
【缺省情況】
IKEv2安全提議未定義DH組。
【視圖】
IKEv2安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group1:指定密鑰協商時采用768-bit的Diffie-Hellman group。
group2:指定密鑰協商時采用1024-bit的Diffie-Hellman group。
group5:指定密鑰協商時采用1536-bit的Diffie-Hellman group。
group14:指定密鑰協商時采用2048-bit的Diffie-Hellman group。
group24:指定密鑰協商時采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group19:指定密鑰協商時采用ECP模式含256-bit的Diffie-Hellman group。
group20:指定密鑰協商時采用ECP模式含384-bit的Diffie-Hellman group。
【使用指導】
group1提供了最低的安全性,但是處理速度最快。group24提供了最高的安全性,但是處理速度最慢。其他的group隨著位數的增加,提供了更高的安全性,但是處理速度會相應減慢。請根據實際組網環境中對安全性和性能的要求選擇合適的Diffie-Hellman group。
一個IKEv2安全提議中至少需要配置一個DH組,否則該安全提議不完整。
一個IKEv2安全提議中可以配置多個DH組,其使用優先級按照配置順序依次降低。
【舉例】
# 指定IKEv2提議1使用768-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相關命令】
· ikev2 proposal
display ikev2 policy命令用來顯示IKEv2安全策略的配置信息。
【命令】
display ikev2 policy [ policy-name | default ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:IKEv2安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
default:缺省的IKEv2安全策略。
【使用指導】
如果未指定任何參數,則表示顯示所有IKEv2安全策略的配置信息。
【舉例】
# 顯示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy: 1
Priority: 100
Match local address: 1.1.1.1
Match local address ipv6: 1:1::1:1
Match VRF: vpn1
Proposal: 1
Proposal: 2
IKEv2 policy: default
Match VRF: any
Proposal: default
display ikev2 policy命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 policy |
IKEv2安全策略的名稱 |
|
Priority |
IKEv2安全策略優先級 |
|
Match local address |
匹配IKEv2安全策略的本端IPv4地址 |
|
Match local address ipv6 |
匹配IKEv2安全策略的本端IPv6地址 |
|
Match VRF |
匹配IKEv2安全策略的VPN實例名 |
|
Proposal |
IKEv2安全策略引用的IKEv2安全提議名稱 |
【相關命令】
· ikev2 policy
display ikev2 profile命令用來顯示IKEv2 profile的配置信息。
【命令】
display ikev2 profile [ profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
profile-name:IKEv2 profile的名稱,為1~63個字符的字符串,不區分大小寫。如果不指定本參數,則表示顯示所有IKEv2 profile的配置信息。
【舉例】
# 顯示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile: 1
Priority: 100
Match criteria:
Local address 1.1.1.1
Local address GigabitEthernet1/0/1
Local address 1:1::1:1
Remote identity ipv4 address 3.3.3.3/32
VRF vrf1
Inside-vrf:
Local identity: address 1.1.1.1
Local authentication method: pre-share
Remote authentication methods: pre-share
Keychain: Keychain1
Sign certificate domain:
Domain1
abc
Verify certificate domain:
Domain2
yy
SA duration: 500
DPD: Interval 32, retry 23, periodic
Config-exchange: Request, Set send, Set accept
NAT keepalive: 10
AAA authorization: Domain domain1, username ikev2
表3-1 display ikev2 profile命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 profile |
IKEv2 profile的名稱 |
|
Priority |
IKEv2 profile的優先級 |
|
Match criteria |
查找IKEv2 profile的匹配條件 |
|
Inside-vrf |
內網VPN實例名稱 |
|
Local identity |
本端身份信息 |
|
Local authentication method |
本端認證方法 |
|
Remote authentication methods |
對端認證方法 |
|
Keychain |
IKEv2 profile引用的keychain |
|
Sign certificate domain |
用於簽名的PKI域 |
|
Verify certificate domain |
用於驗證的PKI域 |
|
SA duration |
IKEv2 SA生存時間 |
|
DPD |
DPD功能參數:探測的間隔時間(單位為秒)、重傳時間間隔(單位為秒)、探測模式(按需探測或周期探測) 若未開啟DPD功能,則顯示為Disabled |
|
Config-exchange |
配置交換功能: · Request:表示本端將在Auth交換請求報文中攜帶配置交換請求載荷 · Set accept:表示本端可接受配置交換設置載荷 · Set send:表示本端可發送配置交換設置載荷 |
|
NAT keepalive |
發送NAT保活報文的時間間隔(單位為秒) |
|
AAA authorization |
請求AAA授權信息時使用的參數:ISP域名、用戶名 |
【相關命令】
· ikev2 profile
display ikev2 proposal命令用來顯示IKEv2安全提議的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name:IKEv2安全提議的名稱,為1~63個字符的字符串,不區分大小寫。
default:缺省的IKEv2安全提議。
【使用指導】
IKEv2安全提議按照優先級從高到低的順序顯示。若不指定任何參數,則顯示所有IKEv2提議的配置信息。
【舉例】
# 顯示所有IKEv2安全提議的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption: 3DES-CBC AES-CBC-128 AES-CTR-192 CAMELLIA-CBC-128
Integrity: MD5 SHA256 AES-XCBC-MAC
PRF: MD5 SHA256 AES-XCBC-MAC
DH Group: MODP1024/Group2 MODP1536/Group5
IKEv2 proposal : default
Encryption: AES-CBC-128 3DES-CBC
Integrity: SHA1 MD5
PRF: SHA1 MD5
DH Group: MODP1536/Group5 MODP1024/Group2
表3-2 display ikev2 proposal命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 proposal |
IKEv2安全提議的名稱 |
|
Encryption |
IKEv2安全提議采用的加密算法 |
|
Integrity |
IKEv2安全提議采用的完整性校驗算法 |
|
PRF |
IKEv2安全提議采用的PRF算法 |
|
DH Group |
IKEv2安全提議采用的DH組 |
【相關命令】
· ikev2 proposal
display ikev2 sa命令用來顯示IKEv2 SA的信息。
【命令】
display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
count:顯示IKEv2 SA的數量。
local:顯示指定本端地址的IKEv2 SA信息。
remote:顯示指定對端地址的IKEv2 SA信息。
ipv4-address:本端或對端的IPv4地址。
ipv6 ipv6-address:本端或對端的IPv6地址。
vpn-instance vpn-instance-name:顯示指定VPN實例內的IKEv2 SA信息,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示顯示公網的IKEv2 SA信息。
verbose:顯示IKEv2 SA的詳細信息。如果不指定該參數,則表示顯示IKEv2 SA的摘要信息。
tunnel tunnel-id:顯示指定IPsec隧道的IKEv2 SA詳細信息。tunnel-id為IPsec隧道標識符,取值範圍為1~2000000000。
【使用指導】
若不指定任何參數,則顯示所有IKEv2 SA的摘要信息。
【舉例】
# 顯示所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 顯示對端地址為1.1.1.2的IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
表3-3 display ikev2 sa命令顯示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IKEv2 SA的隧道標識符 |
|
Local |
IKEv2 SA的本端IP地址 |
|
Remote |
IKEv2 SA的對端IP地址 |
|
Status |
IKEv2 SA的狀態: · IN-NEGO(Negotiating):表示此IKE SA正在協商 · EST(Established):表示此IKE SA已建立成功 · DEL(Deleting):表示此IKE SA將被刪除 |
# 顯示當前所有IKEv2 SA的詳細信息。
<Sysname> display ikev2 sa verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD:Interval 20 secs, retry interval 2 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
# 顯示對端地址為1.1.1.2的IKEv2 SA的詳細信息。
<Sysname> display ikev2 sa remote 1.1.1.2 verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD: Interval 30 secs, retry interval 10 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
表3-4 display ikev2 sa verbose命令顯示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IKEv2 SA的隧道標識符 |
|
Local IP/Port |
本端安全網關的IP地址/端口號 |
|
Remote IP/Port |
對端安全網關的IP地址/端口號 |
|
Outside VRF |
出方向被保護數據所屬的VRF名稱,-表示屬於公網 |
|
Inside VRF |
入方向被保護數據所屬的VRF名稱,-表示屬於公網 |
|
Local SPI |
本端安全參數索引 |
|
Remote SPI |
對端安全參數索引 |
|
Local ID type |
本端安全網關的身份信息類型 |
|
Local ID |
本端安全網關的身份信息 |
|
Remote ID type |
對端安全網關的身份信息類型 |
|
Remote ID |
對端安全網關的身份信息 |
|
Auth sign method |
IKEv2安全提議中認證使用的簽名方法 |
|
Auth verify method |
IKEv2安全提議中認證使用的驗證方法 |
|
Integrity algorithm |
IKEv2安全提議中使用的完整性算法 |
|
PRF algorithm |
IKEv2安全提議中使用的PRF算法 |
|
Encryption algorithm |
IKEv2安全提議中使用的加密算法 |
|
Life duration |
IKEv2 SA的生存時間(單位為秒) |
|
Remaining key duration |
IKEv2 SA的剩餘生存時間(單位為秒) |
|
Diffie-Hellman group |
IKEv2密鑰協商時所使用的DH密鑰交換參數 |
|
NAT traversal |
是否檢測到協商雙方之間存在NAT網關設備 |
|
DPD |
DPD探測的時間間隔和重傳時間(單位為秒),若未開啟DPD探測功能,則顯示為Interval 0 secs, retry interval 0 secs |
|
Transmitting entity |
IKEv2協商中的實體角色:發起方、響應方 |
|
Local window |
本端IKEv2協商的窗口大小 |
|
Remote window |
對端IKEv2協商的窗口大小 |
|
Local request message ID |
本端下一次要發送的請求消息的序號 |
|
Remote request message ID |
對端下一次要發送的請求消息的序號 |
|
Local next message ID |
本端期望下一個接收消息的序號 |
|
Remote next message ID |
對端期望下一個接收消息的序號 |
|
Pushed IP address |
對端推送給本端的IP地址 |
|
Assigned IP address |
本端分配給對端的IP地址 |
# 顯示所有IKEv2 SA的個數。
[Sysname] display ikev2 sa count
IKEv2 SAs count: 0
表3-5 display ikev2 sa count命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 SAs count |
IKEv2 SA的總數 |
display ikev2 statistics命令用來顯示IKEv2統計信息。
【命令】
display ikev2 statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示IKEv2的統計信息。
<Sysname> display ikev2 statistics
IKEv2 statistics:
Unsupported critical payload: 0
Invalid IKE SPI: 0
Invalid major version: 0
Invalid syntax: 0
Invalid message ID: 0
Invalid SPI: 0
No proposal chosen: 0
Invalid KE payload: 0
Authentication failed: 0
Single pair required: 0
TS unacceptable: 0
Invalid selectors: 0
Temporary failure: 0
No child SA: 0
Unknown other notify: 0
No enough resource: 0
Enqueue error: 0
No IKEv2 SA: 0
Packet error: 0
Other error: 0
Retransmit timeout: 0
DPD detect error: 0
Del child for IPsec message: 1
Del child for deleting IKEv2 SA: 1
Del child for receiving delete message: 0
表3-6 display ikev2 statistics命令顯示信息描述表
|
字段 |
描述 |
|
IKEv2 statistics |
IKEv2統計信息 |
|
Unsupported critical payload |
不支持的重要載荷 |
|
Invalid IKE SPI |
無效的IKE SPI信息 |
|
Invalid major version |
無效的主版本號 |
|
Invalid syntax |
無效的語法 |
|
Invalid message ID |
無效的Message ID |
|
Invalid SPI |
無效的SPI |
|
No proposal chosen |
提議不匹配 |
|
Invalid IKE payload |
無效的IKE載荷 |
|
Authentication failed |
認證失敗 |
|
Single pair required |
需要特定的地址對 |
|
TS unacceptable |
不可接受的Traffic Selectors |
|
Invalid selectors |
無效的Selector |
|
Temporary failure |
臨時錯誤 |
|
No child SA |
找不到Child SA |
|
Unknown other notify |
未定義的其它通知類型 |
|
No enough resource |
資源不夠 |
|
Enqueue error |
入隊列錯誤 |
|
No IKEv2 SA |
沒有IKEv2 SA |
|
Packet error |
報文錯誤 |
|
Other error |
其它錯誤 |
|
Retransmit timeout |
重傳超時 |
|
Dpd detect error |
DPD探測失敗 |
|
Del child for IPsec message |
由於收到IPsec消息刪除Child SA |
|
Del child for deleting IKEv2 SA |
由於刪除IKEv2 SA刪除Chlid SA |
|
Del child for receiving delete message |
由於收到刪除消息刪除Child SA |
【相關命令】
· reset ikev2 statistics
dpd用來配置IKEv2 DPD探測功能。
undo dpd命令用來關閉 IKEv2 DPD探測功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情況】
IKEv2 profile視圖下的DPD探測功能處於關閉狀態,使用全局的DPD配置。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:指定IKEv2 DPD探測的間隔時間,取值範圍為10~3600,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則本端發送IPsec報文時觸發DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為2~60,單位為秒。缺省值為5秒。
on-demand:指定按需探測模式,即根據流量來探測對端是否存活,在本端發送用戶報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKEv2 DPD探測的時間間隔,則觸發DPD探測。
periodic:指定定時探測模式,即按照觸發IKEv2 DPD探測的時間間隔定時探測對端是否存活。
【使用指導】
IKEv2 DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKEv2對端通信時,應優先考慮使用按需探測模式。
配置的interval一定要大於retry,保證在重傳DPD報文的過程中不觸發新的DPD探測。
【舉例】
# 為IKEv2 profile1配置IKEv2 DPD功能,指定若10秒內沒有從對端收到IPsec報文,則觸發IKEv2
DPD探測,DPD請求報文的重傳時間間隔為5秒,探測模式為按需探測。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相關命令】
· ikev2 dpd
encryption命令用來指定IKEv2安全提議使用的加密算法。
undo encryption命令用來恢複缺省情況。
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
【缺省情況】
IKEv2安全提議未定義加密算法。
【視圖】
IKEv2安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
3des-cbc:指定IKEv2安全提議采用的加密算法為CBC模式的3DES算法,3DES算法采用168比特的密鑰進行加密。
aes-cbc-128:指定IKEv2安全提議采用的加密算法為CBC模式的AES算法,AES算法采用128比特的密鑰進行加密。
aes-cbc-192:指定IKEv2安全提議采用的加密算法為CBC模式的AES算法,AES算法采用192比特的密鑰進行加密。
aes-cbc-256:指定IKEv2安全提議采用的加密算法為CBC模式的AES算法,AES算法采用256比特的密鑰進行加密。
aes-ctr-128:指定IKEv2安全提議采用的加密算法為CTR模式的AES算法,密鑰長度為128比特。
aes-ctr-192:指定IKEv2安全提議采用的加密算法為CTR模式的AES算法,密鑰長度為192比特。
aes-ctr-256:指定IKEv2安全提議采用的加密算法為CTR模式的AES算法,密鑰長度為256比特。
camellia-cbc-128:指定IKEv2安全提議采用的加密算法為CBC模式的camellia算法,密鑰長度為128比特。
camellia-cbc-192:指定IKEv2安全提議采用的加密算法為CBC模式的camellia算法,密鑰長度為192比特。
camellia-cbc-256:指定IKEv2安全提議采用的加密算法為CBC模式的camellia算法,密鑰長度為256比特。
des-cbc:指定IKEv2安全提議采用的加密算法為CBC模式的DES算法,DES算法采用56比特的密鑰進行加密。
【使用指導】
IKEv2安全提議中至少需要配置一個加密算法,否則該安全提議不完整,也不可用。一個IKEv2安全提議中可以配置多個加密算法,其使用優先級按照配置順序依次降低。
【舉例】
# 指定IKEv2安全提議1的加密算法為CBC模式的168-bit 3DES。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc
【相關命令】
· ikev2 proposal
hostname命令用來指定IKEv2 peer的主機名稱。
undo hostname命令用來恢複缺省情況。
【命令】
hostname name
undo hostname
【缺省情況】
未配置IKEv2 peer的主機名稱。
【視圖】
IKEv2 peer視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name:IKEv2 peer主機名稱,為1~253個字符的字符串,不區分大小寫。
【使用指導】
主機名僅適用於在基於IPsec安全策略的IKEv2協商中發起方查詢IKEv2 peer,不適用於基於IPsec虛擬隧道接口的IKEv2協商。
【舉例】
# 創建IKEv2 keychain,名稱為key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的主機名為test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相關命令】
· ikev2 keychain
· peer
identity命令用來指定IKEv2 peer的身份信息。
undo identity命令用來恢複缺省情況。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }
undo identity
【缺省情況】
未指定IKEv2 peer的身份信息。
【視圖】
IKEv2 peer視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:對端IPv4地址。
ipv6 ipv6-address:對端IPv6地址。
fqdn fqdn-name:對端FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.example.com。
email email-string:指定標識對端身份的E-mail地址。email-string為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
key-id key-id-string:指定標識對端身份的Key-ID名稱。key-id-string為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
【使用指導】
對等體身份信息僅用於IKEv2協商的響應方查詢IKEv2 peer,因為發起方在發起IKEv2協商時並不知道對端的身份信息。
【舉例】
# 創建一個IKEv2 keychain,名稱為key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的身份信息為地址1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相關命令】
· ikev2 keychain
· peer
identity local命令用來配置本端身份信息,用於在IKEv2認證協商階段向對端標識自己的身份。
undo identity local命令用來恢複缺省情況。
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }
undo identity local
【缺省情況】
未指定IKEv2本端身份信息,使用應用IPsec安全策略的接口的IP地址作為本端身份。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用從本端數字證書中獲得的DN名作為本端身份。
email email-string:指定標識本端身份的E-mail地址。email-string為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
fqdn fqdn-name:指定標識本端身份的FQDN名稱。fqdn-name為1~255個字符的字符串,區分大小寫,例如www.test.example.com。
key-id key-id-string:指定標識本端身份的Key-ID名稱。key-id-string為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
【使用指導】
交換的身份信息用於協商雙方在協商時識別對端身份。
【舉例】
#創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2標識本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相關命令】
· peer
ikev2 address-group命令用來配置為對端分配IPv4地址的IKEv2本地IPv4地址池。
undo ikev2 address-group命令用來刪除指定的IKEv2本地地址池。
【命令】
ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ikev2 address-group group-name [ start-ipv4-address [ end-ipv4-address ] ]
【缺省情況】
未定義IKEv2本地IPv4地址池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:IPv4地址池名稱,為1~63個字符的字符串,不區分大小寫。
start-ipv4-address:IPv4地址池的起始地址。
end-ipv4-address:IPv4地址池的結束地址。
mask:IPv4地址掩碼。
mask-length:IPv4地址掩碼長度。
【使用指導】
每個地址池中包括的IPv4地址的最大數目為8192。
執行undo ikev2 address-group時:
· 如果不指定起始和結束地址,則會刪除所有指定名稱的地址池。
· 如果指定起始地址而不指定結束地址,則結束地址的取值與起始地址相同,即刪除單地址的地址池。
· 如果同時指定起始和結束地址,則刪除指定地址池。
· 若要刪除的地址池不存在,則不執行任何操作。
【舉例】
# 配置IKEv2本地IPv4地址池,名稱為ipv4group,地址池範圍為1.1.1.1~1.1.1.2,掩碼為255.255.255.0。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKEv2本地IPv4地址池,名稱為ipv4group,地址池範圍為1.1.1.1~1.1.1.2,掩碼長度為32。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
# 刪除IKEv2本地IPv4地址池,名稱為ipv4group,地址池範圍為1.1.1.1~1.1.1.2。
<Sysname> system-view
[Sysname] undo ikev2 address-group ipv4group 1.1.1.1 1.1.1.2
【相關命令】
· address-group
ikev2 cookie-challenge命令用來開啟cookie-challenge功能。
undo ikev2 cookie-challenge命令用來關閉cookie-challenge功能。
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【缺省情況】
IKEv2 cookie-challenge功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
number:指定觸發響應方啟用cookie-challenge功能的閾值,取值範圍為0~1000。
【使用指導】
若響應方配置了cookie-challenge功能,當響應方發現存在的半開IKE SA超過指定的數目時,就啟用cookie-challenge機製。響應方收到IKE_SA_INIT請求後,構造一個Cookie通知載荷並響應發起方,若發起方能夠正確攜帶收到的Cookie通知載荷向響應方重新發起IKE_SA_INIT請求,則可以繼續後續的協商過程,防止由於源IP仿冒而耗費大量響應方的係統資源,造成對響應方的DoS攻擊。
【舉例】
# 開啟cookie-challenge功能,並配置啟用cookie-challenge功能的閾值為450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
ikev2 dpd命令用來配置全局IKEv2 DPD功能。
undo ikev2 dpd命令用來關閉全局IKEv2 DPD功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情況】
IKEv2 DPD探測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:指定觸發IKEv2 DPD探測的時間間隔,取值範圍為10~3600,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則發送報文前觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為2~60,單位為秒,缺省值為5秒。
on-demand:指定按需探測模式,即根據流量來探測對端是否存活,在本端發送IPsec報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKEv2 DPD探測的時間間隔(即通過interval指定的時間),則觸發DPD探測。
periodic:指定定時探測模式,即按照觸發IKEv2 DPD探測的時間間隔(即通過interval指定的時間)定時探測對端是否存活。
【使用指導】
IKEv2 DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKEv2對端通信時,應優先考慮使用按需探測模式。
如果IKEv2 profile視圖下和係統視圖下都配置了DPD探測功能,則IKEv2 profile視圖下的DPD配置生效,如果IKEv2 profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。
配置的interval一定要大於retry,保證在重傳DPD報文的過程中不觸發新的DPD探測。
【舉例】
# 配置根據流量來觸發IKEv2 DPD探測的時間間隔為15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定時觸發IKEv2 DPD探測的時間間隔為15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 periodic
【相關命令】
· dpd(IKEv2 profile view)
ikev2 ipv6-address-group命令用來配置為對端分配IPv6地址的IKEv2本地地址池。
undo ikev2 ipv6-address-group命令用來刪除指定的IKEv2本地地址池。
【命令】
ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ikev2 ipv6-address-group group-name
【缺省情況】
未定義IKEv2本地IPv6地址池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:IPv6地址池名稱,為1~63個字符的字符串,不區分大小寫。
prefix prefix/prefix-len:指定IPv6地址池的地址前綴。prefix/prefix-len為IPv6前綴/前綴長度,其中,prefix-len取值範圍為1~128。
assign-len assign-len:指定地址池分配給對端的前綴長度。assign-len的取值範圍為1~128,必須大於或等於prefix-len,且與prefix-len之差小於或等於16。
【使用指導】
與IPv4地址池不同,IPv6地址池每次可分配的是一個IPv6地址段。對端收到該地址段後可繼續為其它設備分配地址。
所有IKEv2本地IPv6地址池包含的前綴範圍之間不能重疊,即前綴範圍不能相交也不能相互包含。
【舉例】
# 配置IKEv2本地IPv6地址池,名稱為ipv6group,前綴為1:1::,前綴長度為64,分配給使用者的前綴長度為80。
<Sysname> system-view
[Sysname] ikev2 ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相關命令】
· ipv6-address-group
ikev2 keychain命令用來創建IKEv2 keychain,並進入IKEv2 keychain視圖。如果指定的IKEv2 keychain已經存在,則直接進入IKEv2 keychain視圖。
undo ikev2 keychain命令用來刪除指定的IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情況】
不存在IKEv2 keychain。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keychain-name:IKEv2 keychain的名稱,為1~63個字符的字符串,不區分大小寫,且不能包括字符“-”。
【使用指導】
任何一端采用了預共享密鑰認證方式時,IKEv2 profile下必須引用keychain,且隻能引用一個。配置的預共享密鑰的值需要與對端IKEv2網關上配置的預共享密鑰的值相同。
一個IKEv2 keychain下可以配置多個IKEv2 peer。
【舉例】
# 創建IKEv2 keychain key1並進入IKEv2 keychain視圖。
<Sysname> system-view
[Sysname] ikev2 keychain key1
[Sysname-ikev2-keychain-key1]
ikev2 nat-keepalive命令用來配置向對端發送NAT Keepalive報文的時間間隔。
undo ikev2 nat-keepalive命令用來恢複缺省情況。
【命令】
ikev2 nat-keepalive seconds
undo ikev2 nat-keepalive
【缺省情況】
探測到NAT後發送NAT Keepalive報文的時間間隔為10秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:向對端發送NAT Keepalive報文的時間間隔,取值範圍為5~3600,單位為秒。
【使用指導】
該命令僅對位於NAT之後的設備(即該設備位於NAT設備連接的私網側)有意義。NAT之後的IKEv2網關設備需要定時向NAT之外的IKEv2網關設備發送NAT Keepalive報文,以確保NAT設備上相應於該流量的會話存活,從而讓NAT之外的設備可以訪問NAT之後的設備。因此,配置的發送NAT Keepalive報文的時間間隔需要小於NAT設備上會話表項的存活時間。
【舉例】
# 配置向NAT發送NAT Keepalive報文的時間間隔為5秒。
<Sysname> system-view
[Sysname] ikev2 nat-keepalive 5
ikev2 policy命令用來創建IKEv2安全策略,並進入IKEv2安全策略視圖。如果指定的IKEv2安全策略已經存在,則直接進入IKEv2安全策略視圖。
undo ikev2 policy命令用來刪除指定的IKEv2安全策略。
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【缺省情況】
係統中存在一個名稱為default的缺省IKEv2安全策略,該缺省的策略中包含一個缺省的IKEv2安全提議default,且可與所有的本端地址相匹配。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:IKEv2安全策略的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
IKE_SA_INIT協商時,發起方根據應用IPsec安全策略的接口地址和接口所屬的VRF來選擇要使用的IKEv2安全策略;響應方根據收到IKEv2報文的接口地址以及接口所屬的VRF來選擇要使用的IKEv2安全策略。選定IKEv2安全策略後,設備將根據安全策略中的安全提議進行加密算法、完整性校驗算法、PRF算法和DH組的協商。
可以配置多個IKEv2安全策略。一個IKEv2安全策略中必須至少包含一個IKEv2安全提議,否則該策略不完整。
若發起方使用共享源接口方式IPsec策略,則IKE_SA_INIT協商時,使用共享源接口地址來選擇要是使用的IKEv2安全策略。
相同匹配條件下,配置的優先級可用於調整匹配IKEv2安全策略的順序。
如果沒有配置IKEv2安全策略,則使用默認的IKEv2安全策略default。用戶不能進入並配置默認的IKEv2安全策略default。
【舉例】
# 創建IKEv2安全策略policy1,並進入IKEv2安全策略視圖。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相關命令】
· display ikev2 policy
ikev2 profile命令用來創建IKEv2 profile,並進入IKEv2 profile視圖。如果指定的IKEv2 profile已經存在,則直接進入IKEv2 profile視圖。
undo ikev2 profile命令用來刪除指定的IKEv2 profile。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【缺省情況】
不存在IKEv2 profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:IKEv2 profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
IKEv2 profile用於保存非協商的IKEv2 SA的參數,如本端和對端的身份、本端和對端的認證方式、用於查找IKEv2 profile的匹配條件等。
【舉例】
# 創建IKEv2 profile,名稱為profile1,並進入IKEv2 profile視圖。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【相關命令】
· display ikev2 profile
ikev2 proposal命令用來創建IKEv2安全提議,並進入IKEv2安全提議視圖。如果指定的IKEv2安全提議已經存在,則直接進入IKEv2安全提議視圖。
undo ikev2 proposal命令用來刪除指定的IKEv2安全提議。
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【缺省情況】
係統中存在一個名稱為default的缺省IKEv2安全提議。
缺省提議使用的算法:
· 加密算法:AES-CBC-128和3DES
· 完整性校驗算法:HMAC-SHA1和HMAC-MD5
· PRF算法:HMAC-SHA1和HMAC-MD5
· DH:group5和group2
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
proposal-name:指定IKEv2安全提議的名稱,為1~63個字符的字符串,不區分大小寫,且不能為default。
【使用指導】
IKEv2安全提議用於保存IKE_SA_INIT交換中所使用的安全參數,包括加密算法、完整性驗證算法、PRF(pseudo-random function)算法和DH組。
在一個IKEv2安全提議中,至少需要配置一組安全參數,即一個加密算法、一個完整性驗證算法、一個PRF算法和一個DH組。
在一個IKEv2安全提議中,可以配置多組安全參數,即多個加密算法、多個完整性驗證算法、多個PRF算法和多個DH組,這些安全參數在實際協商過程中,將會形成多種安全參數的組合與對端進行匹配。若實際協商過程中僅希望使用一組安全參數,請保證在IKEv2安全提議中僅配置了一套安全參數。
【舉例】
# 創建IKEv2安全提議prop1,並配置加密算法為aes-cbc-128,完整性校驗算法為sha1,PRF算法為sha1,DH組為group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相關命令】
· encryption-algorithm
· integrity
· prf
· dh
inside-vrf命令用來指定內部VPN實例。
undo inside-vrf命令用來恢複缺省情況。
【命令】
inside-vrf vrf-name
undo inside-vrf
【缺省情況】
IKEv2 profile未指定內部VPN實例,即內網與外網在同一個VPN實例中。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vrf-name:保護的數據所屬的VRF名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
當IPsec解封裝後的報文需要繼續轉發到不同的VPN時,設備需要知道在哪個VPN實例中查找相應的路由。缺省情況下,設備在與外網相同的VPN實例中查找路由,如果不希望在與外網相同的VPN實例中查找路由,則可以指定一個內部VPN實例,通過查找該內部VPN實例的路由來轉發報文。
本命令僅對引用了IKEv2 profile的IPsec安全策略生效,對引用了IKEv2 profile 的IPsec安全框架不生效。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile profile1中指定內部VRF為vpn1。
[Sysname-ikev2-profile-profile1] inside-vrf vpn1
integrity命令用來指定IKEv2安全提議使用的完整性校驗算法。
undo integrity命令用來恢複缺省情況。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情況】
未指定IKEv2安全提議使用的完整性校驗算法。
【視圖】
IKEv2安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aes-xcbc-mac:指定IKEv2安全提議采用的完整性校驗算法為HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提議采用的完整性校驗算法為HMAC-MD5。
sha1:指定IKEv2安全提議采用的完整性校驗算法為HMAC-SHA-1。
sha256:指定IKEv2安全提議采用的完整性校驗算法為HMAC-SHA-256。
sha384:指定IKEv2安全提議采用的完整性校驗算法為HMAC-SHA-384。
sha512:指定IKEv2安全提議采用的完整性校驗算法為HMAC-SHA-512。
【使用指導】
一個IKEv2安全提議中至少需要配置一個完整性校驗算法,否則該安全提議不完整。一個IKEv2安全提議中可以配置多個完整性校驗算法,其使用優先級按照配置順序依次降低。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的完整性校驗算法為MD5和SHA1,且優先選擇SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相關命令】
· ikev2 proposal
keychain命令用來配置采用預共享密鑰認證時使用的Keychain。
undo keychain命令用來恢複缺省情況。
【命令】
keychain keychain-name
undo keychain
【缺省情況】
IKEv2 profile中未引用Keychain。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keychain-name:IKEv2 keychain名稱,為1~63個字符的字符串,不區分大小寫,且不能包括字符-。
【使用指導】
任何一端采用了預共享密鑰認證方式時,IKEv2 profile下必須引用keychain,且隻能引用一個。
不同的IKEv2 profile可以共享同一個IKEv2 keychain 。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keychain,keychain的名稱為keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相關命令】
· display ikev2 profile
· ikev2 keychain
match local命令用來限製IKEv2 profile的使用範圍。
undo match local命令用來取消對IKEv2 profile使用範圍的限製。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情況】
未限製IKEv2 profile的使用範圍。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address:指定IKEv2 profile隻能用於指定地址或指定接口的地址上的IKEv2協商。
interface-type interface-number:本端接口編號和接口名稱,可以是任意三層接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指導】
此命令用於限製IKEv2 profile隻能用於指定地址或指定接口上的地址協商,這裏的地址指的是本端收到IKEv2報文的接口IP地址,即隻有IKEv2協商報文從該地址接收時,才會采用該IKEv2 profile。IKEv2 profile優先級可以手工配置,先配置的優先級高。若希望本端在匹配某些IKEv2 profile的時候,不按照手工配置的順序來查找,則可以通過本命令來指定這類IKEv2 profile的使用範圍。例如,IKEv2 profile A中的match remote地址範圍大(match remote identity address range 2.2.2.1 2.2.2.100),IKEv2 profile B中的match remote地址範圍小(match remote identity address range 2.2.2.1 2.2.2.10),IKEv2 profile A先於IKEv2 profile B配置。假設對端IP地址為2.2.2.6,那麼依據配置順序本端總是選擇profile A與對端協商。若希望本端接口(假設接口地址為3.3.3.3)使用profile B與對端協商,可以配置profile B在指定地址3.3.3.3的接口上使用。
通過該命令可以指定多個本端匹配條件。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 限製IKEv2 profile profile1隻能在IP地址為2.2.2.2的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相關命令】
· match remote
match local address命令用來指定匹配IKEv2安全策略的本端地址。
undo match local address命令用來刪除指定的用於匹配IKEv2安全策略的本端地址。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情況】
未指定用於匹配IKEv2安全策略的本端地址,表示本策略可匹配所有本端地址。
【視圖】
IKEv2安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface-type interface-number:本端接口編號和接口名稱,可以是任意三層接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指導】
根據本端地址匹配IKEv2安全策略時,優先匹配指定了本端地址匹配條件的策略,其次匹配未指定本端地址匹配條件的策略。
【舉例】
# 指定用於匹配IKEv2安全策略policy1的本端地址為3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相關命令】
· display ikev2 policy
· match vrf
match remote命令用來配置匹配對端身份的規則。
undo match remote命令用來刪除一條用於匹配對端身份的規則。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
【缺省情況】
未配置用於匹配對端身份的規則。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
certificate policy-name:基於對端數字證書中的信息匹配IKEv2 profile。其中,policy-name是證書訪問控製策略的名稱,為1~31個字符的字符串,不區分大小寫。本參數用於基於對端數字證書中的信息匹配IKEv2 profile。
identity:基於指定的對端身份信息匹配IKEv2 profile。本參數用於響應方根據發起方通過identity local命令配置的身份信息來選擇使用的IKEv2 profile。
address ipv4-address [ mask | mask-length ]:對端IPv4地址或IPv4網段。其中,ipv4-address為IPv4地址,mask為子網掩碼,mask-length為子網掩碼長度,取值範圍為0~32,不指定子網掩碼相關參數時默認為32位掩碼。
address range low-ipv4-address high-ipv4-address:對端IPv4地址範圍。其中low-ipv4-address為起始IPv4地址,high-ipv4-address為結束IPv4地址。結束地址必須大於起始地址。
address ipv6 ipv6-address [ prefix-length ]:對端IPv6地址或IPv6網段。其中,ipv6-address為IPv6地址,prefix-length為IPv6前綴長度,取值範圍為0~128,不指定IPv6前綴時默認為128位前綴。
address ipv6 range low-ipv6-address high-ipv6-address:對端IPv6地址範圍。其中low-ipv6-address為起始IPv6地址,high-ipv6-address為結束IPv6地址。結束地址必須大於起始地址。
fqdn fqdn-name:對端FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.example.com。
email email-string:指定標識對等體身份的E-mail地址。email-string為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
key-id key-id-string:指定標識對等體身份的Key-ID名稱。key-id-string為1~255個字符的字符串,區分大小寫,通常為具體廠商的某種私有標識字符串。
【使用指導】
查找對端匹配的IKEv2 profile時,對端需要同時滿足以下條件:
· 將對端的身份信息與本命令配置的匹配規則進行比較,二者必須相同。
· 查找IKEv2 profile和驗證對端身份時,需要使用match remote、match local address、match vrf一起匹配,若有其中一項不符合,則表示該IKEv2 profile不匹配。
查找到匹配的IKEv2 profile後,本端設備將用該IKEv2 profile中的信息與對端完成認證。
為了使得每個對端能夠匹配到唯一的IKEv2 profile,不建議在兩個或兩個以上IKEv2 profile中配置相同的match remote規則,否則能夠匹配到哪個IKEv2 profile是不可預知的。match remote規則可以配置多個,並同時都有效,其匹配優先級為配置順序。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定匹配采用FQDN作為身份標識、且取值為www.test.example.com的對端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.example.com
# 指定匹配采用IP地址作為身份標識、且取值為10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相關命令】
· identity local
· match local address
· match vrf
match vrf命令用來配置匹配IKEv2安全策略的VPN實例。
undo match vrf命令用來恢複缺省情況。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情況】
未指定用於匹配IKEv2安全策略的VPN實例,表示本策略可匹配公網內的所有本端地址。
【視圖】
IKEv2安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name vrf-name:基於指定的VPN實例匹配IKEv2安全策略。vrf-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
any:表示公網及任何VPN實例都可以匹配IKEv2安全策略。
【使用指導】
IKE_SA_INIT協商時,發起方根據應用IPsec安全策略的接口地址和接口所屬的VPN實例來選擇要使用的IKEv2安全策略;響應方根據收到IKEv2報文的接口地址以及接口所屬的VPN實例來選擇要使用的IKEv2安全策略。
根據本端地址匹配IKEv2安全策略時,優先匹配指定了VPN實例匹配條件的策略,其次匹配未指定VPN實例匹配條件的策略。
【舉例】
# 創建IKEv2安全策略,名稱為policy1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
# 指定IKEv2安全策略匹配的VPN為vpn1。
[Sysname-ikev2-policy-policy1] match vrf name vpn1
【相關命令】
· display ikev2 policy
· match local address
match vrf命令用來配置IKEv2 profile所屬的VPN實例。
undo match vrf命令用來恢複缺省情況。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情況】
IKEv2 profile屬於公網。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name vrf-name:基於指定的VPN實例匹配IKEv2 profile。vrf-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
any:表示公網及任何VPN實例都可以匹配IKEv2 profile。
【使用指導】
此命令用於限製IKEv2 profile隻能在指定所屬VPN實例的接口上協商,這裏的VPN指的是收到IKEv2報文的接口所屬VPN實例。如果配置了參數any,則表示IKEv2 profile可以在所有VPN實例接口上協商。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile所屬的VPN為vrf1。
[Sysname-ikev2-profile-profile1] match vrf name vrf1
【相關命令】
· match remote
nat-keepalive命令用來配置發送NAT keepalive的時間間隔。
undo nat-keepalive命令用來恢複缺省情況。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情況】
使用全局的IKEv2 NAT keepalive配置。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:發送NAT keepalive報文的時間間隔,取值範圍為5~3600,單位為秒。
【使用指導】
該命令僅對位於NAT之後的設備(即該設備位於NAT設備連接的私網側)有意義。NAT之後的IKEv2網關設備需要定時向NAT之外的IKEv2網關設備發送NAT Keepalive報文,以確保NAT設備上相應於該流量的會話存活,從而讓NAT之外的設備可以訪問NAT之後的設備。因此,配置的發送NAT Keepalive報文的時間間隔需要小於NAT設備上會話表項的存活時間。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置發送NAT keepalive報文的時間間隔為1200秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相關命令】
· display ikev2 profile
· ikev2 nat-keepalive
peer命令用來創建IKEv2 peer,並進入IKEv2 peer視圖。如果指定的IKEv2 peer已經存在,則直接進入IKEv2 peer視圖。
undo peer命令用來刪除指定的IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情況】
不存在IKEv2 peer。
【視圖】
IKEv2 keychain視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name:IKEv2 peer名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
一個IKEv2 peer中包含了一個預共享密鑰以及用於查找該peer的匹配條件,包括對端的主機名稱(由命令hostname配置)、對端的IP地址(由命令address配置)和對端的身份(由命令identity配置)。其中,IKEv2協商的發起方使用對端的主機名稱或IP地址查找peer,響應方使用對端的身份或IP地址查找peer。
【舉例】
# 創建IKEv2 keychain key1並進入IKEv2 keychain視圖。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-key1] peer peer1
【相關命令】
· ikev2 keychain
pre-shared-key命令用來配置IKEv2 peer的預共享密鑰。
undo pre-shared-key命令用來刪除IKEv2 peer的預共享密鑰。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
【缺省情況】
未配置IKEv2 peer的預共享密鑰。
【視圖】
IKEv2 peer視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:表示簽名密鑰。
remote:表示驗證密鑰。
ciphertext:以密文方式設置密鑰。
plaintext:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~128個字符的字符串;密文密鑰為1~201個字符的字符串。
【使用指導】
如果指定了參數local或remote,則表示指定的是非對稱密鑰;若參數local和remote均不指定,則表示指定的是對稱密鑰。
執行undo命令時,指定要刪除的密鑰類型必須和已配置的密鑰類型完全一致,該undo命令才會執行成功。例如,IKEv2 peer視圖下僅有pre-shared-key local的配置,則執行undo pre-shared-key和undo pre-shared-key remote命令均無效。
多次執行本命令,最後一次執行的命令生效。
【舉例】
· 發起方示例
# 創建一個IKEv2 keychain,名稱為key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 配置peer1的對稱預共享密鑰為明文111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 創建一個IKEv2 peer,名稱為peer2。
[Sysname-ikev2-keychain-key1] peer peer2
# 配置peer2的非對稱預共享密鑰,簽名密鑰為明文111-key-a,驗證密鑰為明文111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
· 響應方示例
# 創建一個IKEv2 keychain,名稱為telecom。
<Sysname> system-view
[Sysname] ikev2 keychain telecom
# 創建一個IKEv2 peer,名稱為peer1。
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置peer1的對稱預共享密鑰為明文111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
# 創建一個IKEv2 peer,名稱為peer2。
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置IKEv2 peer的非對稱預共享密鑰,簽名密鑰為明文111-key-b,驗證密鑰為明文111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相關命令】
· ikev2 keychain
· peer
prf命令用來指定IKEv2安全提議使用的PRF算法。
undo prf命令用來恢複缺省情況。
【命令】
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
【缺省情況】
IKEv2安全提議使用配置的完整性校驗算法作為PRF算法。
【視圖】
IKEv2安全提議視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
aes-xcbc-mac:指定IKEv2安全提議采用的PRF算法為HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提議采用的PRF算法為HMAC-MD5。
sha1:指定IKEv2安全提議采用的PRF算法為HMAC-SHA-1。
sha256:指定IKEv2安全提議采用的PRF算法為 HMAC-SHA-256。
sha384:指定IKEv2安全提議采用的PRF算法為HMAC-SHA-384。
sha512:指定IKEv2安全提議采用的PRF算法為HMAC-SHA-512。
【使用指導】
一個IKEv2安全提議中可以配置多個PRF算法,其使用優先級按照配置順序依次降低。
【舉例】
# 創建IKEv2安全提議prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定該安全提議使用的PRF算法為MD5和SHA1,且優先選擇SHA1。
[Sysname-ikev2-proposal-prop1] prf sha1 md5
【相關命令】
· ikev2 proposal
· integrity
priority命令用來指定IKEv2安全策略的優先級。
undo priority命令用來恢複缺省情況。
【命令】
priority priority
undo priority
【缺省情況】
IKEv2安全策略的優先級為100。
【視圖】
IKEv2安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
priority:IKEv2安全策略優先級,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
本命令配置的優先級僅用於響應方在查找IKEv2安全策略時調整IKEv2安全策略的匹配順序。
【舉例】
# 指定IKEv2安全策略policy1的優先級為10。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] priority 10
【相關命令】
· display ikev2 policy
priority命令用來配置IKEv2 profile的優先級。
undo priority命令用來恢複缺省情況。
【命令】
priority priority
undo priority
【缺省情況】
IKEv2 profile的優先級為100。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
priority:IKEv2 profile優先級,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
本命令配置的優先級僅用於響應方在查找IKEv2 Profile時調整IKEv2 Profile的匹配順序。
【舉例】
# 指定IKEv2 profile profile1的優先級為10。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] priority 10
proposal命令用來指定IKEv2安全策略引用的IKEv2安全提議。
undo proposal命令用來取消IKEv2安全策略引用的IKEv2安全提議。
【命令】
proposal proposal-name
undo proposal proposal-name
【缺省情況】
IKEv2安全策略未引用IKEv2安全提議。
【視圖】
IKEv2安全策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
proposal-name:被引用的IKEv2安全提議的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
若同時指定了多個IKEv2安全提議,則它們的優先級按照配置順序依次降低。
【舉例】
# 配置IKEv2安全策略policy1引用IKEv2安全提議proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1
【相關命令】
· display ikev2 policy
· ikev2 proposal
reset ikev2 sa命令用來清除IKEv2 SA。
【命令】
reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:清除指定本端地址的IKEv2 SA信息。
remote:清除指定對端地址的IKEv2 SA信息。
ipv4-address:本端或對端的IPv4地址。
ipv6 ipv6-address:本端或對端的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN實例內的IKEv2 SA的詳細信息,vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示清除公網的IKEv2 SA信息。
tunnel tunnel-id:清除指定IPsec隧道的IKEv2 SA信息,tunnel-id為IPsec隧道標識符,取值範圍為1~2000000000。
fast:不等待對端的回應,直接刪除本端的IKEv2 SA。若不指定本參數,則表示需要在收到對端的刪除通知響應之後,再刪除本端的IKEv2 SA。
【使用指導】
清除IKEv2 SA時,會向對端發送刪除通知消息,同時刪除子SA。
如果不指定任何參數,則刪除所有IKEv2 SA及其協商生成的子SA。
【舉例】
# 刪除對端地址為1.1.1.2 的IKEv2 SA。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
【相關命令】
· display ikev2 sa
reset ikev2 statistics命令用來清除IKEv2統計信息。
【命令】
reset ikev2 statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除IKEv2的統計信息。
<Sysname> reset ikev2 statistics
【相關命令】
· display ikev2 statistics
sa duration命令用來配置IKEv2 SA的生存時間。
undo sa duration命令用來恢複缺省情況。
【命令】
sa duration seconds
undo sa duration
【缺省情況】
IKEv2 SA的生存時間為86400秒。
【視圖】
IKEv2 profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:IKEv2 SA的生存時間,取值範圍為120~86400,單位為秒。
【使用指導】
在一個IKEv2 SA的生存時間到達之前,可以用該IKEv2 SA進行其它IKEv2協商。因此一個生存時間較長的IKEv2 SA可以節省很多用於重新協商的時間。但是,IKEv2 SA的生存時間越長,攻擊者越容易收集到更多的報文信息來對它實施攻擊。
本端和對端的IKEv2 SA生存時間可以不一致,也不需要進行協商,由生存時間較短的一方在本端IKEv2 SA生存時間到達之後發起重協商。
【舉例】
# 創建IKEv2 profile,名稱為profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生存時間為1200秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相關命令】
· display ikev2 profile
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
