- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-IPsec命令
本章節下載: 14-IPsec命令 (432.36 KB)
目 錄
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec statistics
1.1.8 display ipsec transform-set
1.1.11 esp authentication-algorithm
1.1.12 esp encryption-algorithm
1.1.14 ipsec anti-replay check
1.1.15 ipsec anti-replay window
1.1.16 ipsec decrypt-check enable
1.1.17 ipsec logging packet enable
1.1.20 ipsec { ipv6-policy | policy } (interface view)
1.1.21 ipsec { ipv6-policy | policy } (system view)
1.1.22 ipsec { ipv6-policy | policy } isakmp template
1.1.23 ipsec { ipv6-policy | policy } local-address
1.1.24 ipsec { ipv6-policy-template | policy-template } policy-template
1.1.26 ipsec sa global-duration
1.1.37 sa hex-key authentication
2.1.1 authentication-algorithm
2.1.12 ike invalid-spi-recovery enable
2.1.20 ike signature-identity from-certificate
2.1.24 match local address (IKE keychain view)
2.1.25 match local address (IKE profile view)
2.1.28 priority (IKE keychain view)
2.1.29 priority (IKE profile view)
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
ah authentication-algorithm命令用來配置AH協議采用的認證算法。
undo ah authentication-algorithm命令用來刪除所有指定的AH協議采用的認證算法。
【命令】
非FIPS模式下:
ah authentication-algorithm { md5 | sha1 } *
undo ah authentication-algorithm
FIPS模式下:
ah authentication-algorithm sha1
undo ah authentication-algorithm
【缺省情況】
AH協議沒有采用任何認證算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
md5:采用HMAC-MD5認證算法,密鑰長度128比特。
sha1:采用HMAC-SHA1認證算法,密鑰長度160比特。
【使用指導】
非FIPS模式下,每個IPsec安全提議中均可以配置多個AH認證算法,其優先級為配置順序。
· 對於手工方式的IPsec安全策略,IPsec安全提議中配置順序首位的AH認證算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個AH認證算法需要一致。
· 對於IKE協商方式的IPsec安全策略,IPsec安全提議中可以配置多個AH認證算法,協商時發起方將本端配置的第一個AH認證算法發送給對端,響應方將收到的AH認證算法與本端配置的所有AH認證算法進行比較,直到找到匹配者。為保證IKE協商成功,隧道兩端指定的IPsec安全提議中必須存在相同的AH認證算法。
【舉例】
# 配置IPsec安全提議采用的AH認證算法為HMAC-SHA1算法,密鑰長度為160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用來配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
無描述信息。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,為1~80個字符的字符串,區分大小寫。
【使用指導】
當係統中存在多個IPsec安全策略/IPsec安全策略模板/IPsec安全框架時,可通過配置相應的描述信息來有效區分不同的安全策略。
【舉例】
# 配置序號為1的IPsec安全策略policy1的描述信息為CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用來顯示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv6-policy:顯示IPv6 IPsec安全策略的信息。
policy:顯示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名稱,為1~63個字符的字符串,區分大小寫。
seq-number:IPsec安全策略表項的順序號,取值範圍為1~65535。
【使用指導】
· 如果不指定任何參數,則顯示所有IPsec安全策略的信息。
· 如果指定了policy-name和seq-number,則顯示指定的IPsec安全策略表項的信息;如果指定了policy-name而沒有指定seq-number,則顯示所有名稱相同的IPsec安全策略表項的信息。
【舉例】
# 顯示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
Interface: Vlan-interface 1
-------------------------------------------
-----------------------------
Sequence number: 10
Mode: manual
-----------------------------
Security data flow: 3101
Remote address: 192.168.0.64
Transform set: tran1
Inbound AH setting:
AH SPI:
AH string-key:
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 54321 (0x0000d431)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI:
AH string-key:
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 12345 (0x00003039)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 1
Mode: manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: isakmp
-----------------------------
Description: This is my complete policy
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
SA duration(time based):
SA duration(traffic based):
# 顯示所有IPv6 IPsec安全策略的詳細信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
表1-1 display ipsec { ipv6-policy | policy }命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名稱 |
|
Interface |
應用了IPsec安全策略的接口名稱 |
|
Sequence number |
IPsec安全策略表項的順序號 |
|
Mode |
IPsec安全策略采用的協商方式 · manual:手工方式 · isakmp:IKE協商方式 · template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提議未配置 · ACL中沒有permit規則 · IPsec安全提議配置不完整 · IPsec隧道對端IP地址未指定 · IPsec SA的SPI和密鑰與IPsec安全策略的SPI和密鑰不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的數據流保護方式 · standard:標準方式 · aggregation:聚合方式 · per-host:主機方式 |
|
Local address |
IPsec隧道的本端IP地址(僅IKE協商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的對端IP地址或主機名 |
|
Transform set |
IPsec安全策略引用的IPsec安全提議的名字 |
|
IKE profile |
IPsec安全策略引用的IKE對等體的名稱 |
|
SA duration(time based) |
基於時間的IPsec SA生命周期,單位為秒 |
|
SA duration(traffic based) |
基於流量的IPsec SA生命周期,單位為千字節 |
|
SA idle time |
IPsec SA的空閑超時時間,單位為秒 |
|
Inbound AH setting |
入方向采用的AH協議的相關設置 |
|
outbound AH setting |
出方向采用的AH協議的相關設置 |
|
AH SPI |
AH協議的SPI |
|
AH string-key |
AH協議的字符類型的密鑰(若配置,則顯示為******) |
|
AH authentication hex key |
AH協議的十六進製密鑰(若配置,則顯示為******) |
|
Inbound ESP setting |
入方向采用的ESP協議的相關設置 |
|
outbound ESP setting |
出方向采用的ESP協議的相關設置 |
|
ESP SPI |
ESP協議的SPI |
|
ESP string-key |
ESP協議的字符類型的密鑰(若配置,則顯示為******) |
|
ESP encryption hex key |
ESP協議的十六進製加密密鑰(若配置,則顯示為******) |
|
ESP authentication hex key |
ESP協議的十六進製認證密鑰(若配置,則顯示為******) |
【相關命令】
· ipsec { ipv6-policy | policy } (system view)
display ipsec { ipv6-policy-template | policy-template }命令用來顯示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv6-policy-template:顯示IPv6 IPsec安全策略模板的信息。
policy-template:顯示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名稱,為1~63個字符的字符串,區分大小寫。
seq-number:指定IPsec安全策略模板表項的順序號,取值範圍為1~65535。
【使用指導】
· 如果不指定任何參數,則顯示所有IPsec安全策略模板的信息。
· 如果指定了template-name和seq-number,則顯示指定的IPsec安全策略模板表項的信息;如果指定了template-name而沒有指定seq-number,則顯示所有名稱相同的IPsec安全策略模板表項的信息。
【舉例】
# 顯示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Security data flow :
IKE profile: None
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
# 顯示所有IPv6 IPsec安全策略模板的詳細信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Security data flow :
IKE profile: None
Remote address: 200::1/64
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
表1-2 display ipsec { ipv6-policy-template | policy-template }命令顯示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名稱 |
|
Sequence number |
IPsec安全策略模板表項的序號 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
IKE profile |
IPsec安全策略模板引用的IKE對等體名稱 |
|
Remote address |
IPsec隧道的對端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提議的名字 |
|
IPsec SA local duration(time based) |
基於時間的IPsec SA生命周期,單位為秒 |
|
IPsec SA local duration(traffic based) |
基於流量的IPsec SA生命周期,單位為千字節 |
【相關命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用來顯示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
profile-name:指定IPsec安全框架的名稱,為1~63個字符的字符串,區分大小寫。
【使用指導】
如果沒有指定任何參數,則顯示所有IPsec安全框架的配置信息。
【舉例】
# 顯示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Description:
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-3 display ipsec profile命令顯示信息描述表
|
字段 |
描述 |
|
IPsec profile |
IPsec安全框架的名稱 |
|
Mode |
IPsec安全框架采用的協商方式,目前僅支持手工方式(manual) |
|
Description |
IPsec安全框架的描述信息 |
|
Transform set |
IPsec安全策略引用的IPsec安全提議的名字 |
|
Inbound AH setting |
入方向采用的AH協議的相關設置 |
|
outbound AH setting |
出方向采用的AH協議的相關設置 |
|
AH SPI |
AH協議的SPI |
|
AH string-key |
AH協議的字符類型的密鑰 |
|
AH authentication hex key |
AH協議的十六進製密鑰 |
|
Inbound ESP setting |
入方向采用的ESP協議的相關設置 |
|
outbound ESP setting |
出方向采用的ESP協議的相關設置 |
|
ESP SPI |
ESP協議的SPI |
|
ESP string-key |
ESP協議的字符類型的密鑰 |
|
ESP encryption hex key |
ESP協議的十六進製加密密鑰 |
|
ESP authentication hex key |
ESP協議的十六進製認證密鑰 |
【相關命令】
· ipsec profile
display ipsec sa命令用來顯示IPsec SA的相關信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
brief:顯示所有的IPsec SA的簡要信息。
count:顯示IPsec SA的個數。
interface interface-type interface-number:顯示指定接口下的IPsec SA的詳細信息。interface-type interface-number表示接口類型和接口編號。
ipv6-policy:顯示由指定IPv6 IPsec安全策略創建的IPsec SA的詳細信息。
policy:顯示由指定IPv4 IPsec安全策略創建的IPsec SA的詳細信息。
policy-name:IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535。
profile:顯示由指定IPsec安全框架創建的IPsec SA的詳細信息。
profile-name:IPsec安全框架的名字,為1~63個字符的字符串,區分大小寫。
remote ip-address:顯示指定對端IP地址的IPsec SA的詳細信息。
ipv6:顯示指定IPv6對端地址的IPsec SA的詳細信息。若不指定本參數,則表示顯示指定IPv4對端地址的IPsec SA的詳細信息。
【使用指導】
如果不指定任何參數,則顯示所有IPsec SA的詳細信息。
【舉例】
# 顯示IPsec SA的簡要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
Vlan-int1 10.1.1.1 400 ESP active
Vlan-int1 255.255.255.255 4294967295 ESP active
Vlan-int1 100::1/64 500 AH active
global -- 600 ESP active
表1-4 display ipsec sa brief命令顯示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA屬於的接口或是全局(全局IPsec SA由IPsec profile生成) |
|
Dst Address |
IPsec隧道對端的IP地址 IPsec安全框架生成的SA中,該值無意義,顯示為“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全協議 |
|
Status |
IPsec SA的雙機熱備狀態:主用(active)、備用(backup) 單機運行環境下,該值無意義,顯示為“--” |
# 顯示IPsec SA的個數。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 顯示所有IPsec SA的詳細信息。
<Sysname> display ipsec sa
-------------------------------
Interface: Vlan-interface 1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: isakmp
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Path MTU: 1443
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SAs]
SPI: 1234563 (0x0012d683)
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SAs]
SPI: 1234563 (0x002d683)
Transform set: AH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表項順序號 |
|
Mode |
IPsec安全策略采用的協商方式 · manual:手工方式 · isakmp:IKE協商方式 |
|
Tunnel id |
IPsec隧道的ID號 |
|
Encapsulation mode |
采用的報文封裝模式,有兩種:傳輸(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略發起協商時使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman組(dh-group1) · 1024-bit Diffie-Hellman組(dh-group2) · 1536-bit Diffie-Hellman組(dh-group5) · 2048-bit Diffie-Hellman組(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman組(dh-group24) |
|
Path MTU |
IPsec SA的路徑MTU值 |
|
Tunnel |
IPsec隧道的端點地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的對端IP地址 |
|
Flow |
受保護的數據流信息 |
|
sour addr |
數據流的源IP地址 |
|
dest addr |
數據流的目的IP地址 |
|
port |
端口號 |
|
protocol |
協議類型 |
|
Inbound ESP SAs |
入方向的ESP協議的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP協議的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH協議的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH協議的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Transform set |
IPsec安全提議所采用的安全協議及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存時間,單位為千字節或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩餘的IPsec SA生存時間,單位為千字節或者秒 |
|
Max received sequence-number |
入方向接收到的報文最大序列號 |
|
Max sent sequence-number |
出方向發送的報文最大序列號 |
|
Anti-replay check enable |
抗重放檢測功能是否使能 |
|
Anti-replay window size |
抗重放窗口寬度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的雙機熱備狀態:主用(active),備用(backup) |
|
No duration limit for this SA |
手工方式創建的IPsec SA無生命周期 |
【相關命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec statistics命令用來顯示IPsec處理的報文的統計信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
tunnel-id tunnel-id:顯示指定IPsec隧道處理的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。通過display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID號。
【使用指導】
如果不指定任何參數,則顯示IPsec處理的所有報文的統計信息。
【舉例】
# 顯示所有IPsec處理的報文統計信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
# 顯示ID為1的IPsec隧道處理的報文統計信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
表1-6 display ipsec statistics命令顯示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec處理的報文統計信息 |
|
Received/sent packets |
接收/發送的受安全保護的數據包的數目 |
|
Received/sent bytes |
接收/發送的受安全保護的字節數目 |
|
Dropped packets (received/sent) |
被設備丟棄了的受安全保護的數據包的數目(接收/發送) |
|
Dropped packets statistics |
被丟棄的數據包的詳細信息 |
|
No available SA |
因為找不到IPsec SA而被丟棄的數據包的數目 |
|
Wrong SA |
因為IPsec SA錯誤而被丟棄的數據包的數目 |
|
Invalid length |
因為數據包長度不正確而被丟棄的數據包的數目 |
|
Authentication failure |
因為認證失敗而被丟棄的數據包的數目 |
|
Encapsulation failure |
因為加封裝失敗而被丟棄的數據包的數目 |
|
Decapsulation failure |
因為解封裝失敗而被丟棄的數據包的數目 |
|
Replayed packets |
被丟棄的重放的數據包的數目 |
|
ACL check failure |
因為ACL檢測失敗而被丟棄的數據包的數目 |
|
MTU check failure |
因為MTU檢測失敗而被丟棄的數據包的數目 |
|
Loopback limit exceeded |
因為本機處理的次數超過限製而被丟棄的數據包的數目 |
【相關命令】
· reset ipsec statistics
display ipsec transform-set命令用來顯示IPsec安全提議的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
transform-set-name:指定IPsec安全提議的名字,為1~63個字符的字符串,區分大小寫。
【使用指導】
如果沒有指定IPsec安全提議的名字,則顯示所有IPsec安全提議的信息。
【舉例】
# 顯示所有IPsec安全提議的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
Transform: ESP
表1-7 display ipsec transform-set命令顯示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提議的名字 |
|
State |
IPsec安全提議是否完整 |
|
Encapsulation mode |
IPsec安全提議采用的封裝模式,包括兩種:傳輸(transport)和隧道(tunnel)模式 |
|
Transform |
IPsec安全提議采用的安全協議,包括三種:AH協議、ESP協議、AH-ESP(先采用ESP協議,再采用AH協議) |
|
AH protocol |
AH協議相關配置 |
|
ESP protocol |
ESP協議相關配置 |
|
Integrity |
安全協議采用的認證算法 |
|
Encryption |
安全協議采用的加密算法 |
【相關命令】
· ipsec transform-set
display ipsec tunnel命令用來顯示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
brief:顯示IPsec隧道的簡要信息。
count:顯示IPsec隧道的個數。
tunnel-id tunnel-id:顯示指定的IPsec隧道的詳細信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。
【使用指導】
IPsec通過在特定通信方之間(例如兩個安全網關之間)建立“通道”,來保護通信方之間傳輸的用戶數據,該通道通常稱為IPsec隧道。
【舉例】
# 顯示所有IPsec隧道的簡要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 active
7000 8000
表1-8 display ipsec tunnel brief命令顯示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID號 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,該值無意義,顯示為“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,該值無意義,顯示為“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果該隧道使用了兩種安全協議,則會分為兩行分別顯示兩個入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果該隧道使用了兩種安全協議,則會分為兩行分別顯示兩個入方向的SPI |
|
Status |
IPsec SA的雙機熱備狀態:主用(active),備用(backup) 目前均顯示為“active” |
# 顯示IPsec隧道的數目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 顯示所有IPsec隧道的詳細信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: active
Perfect forward secrecy:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 顯示ID號為1的IPsec隧道的詳細信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-9 display ipsec tunnel命令顯示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用來唯一地標識一個IPsec隧道 |
|
Status |
IPsec隧道的狀態:主用(active) |
|
Perfect Forward Secrecy |
此IPsec安全策略發起協商時使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman組(dh-group1) · 1024-bit Diffie-Hellman組(dh-group2) · 1536-bit Diffie-Hellman組(dh-group5) · 2048-bit Diffie-Hellman組(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman組(dh-group24) |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端點地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的對端IP地址 |
|
Flow |
IPsec隧道保護的數據流,包括源地址、目的地址、源端口、目的端口、協議 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保護的數據流的範圍,例如IPsec隧道保護ACL 3001中定義的所有數據流 |
encapsulation-mode命令用來配置安全協議對報文的封裝模式。
undo encapsulation-mode命令用來恢複缺省情況。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情況】
使用隧道模式對IP報文進行封裝。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
transport:采用傳輸模式。
tunnel:采用隧道模式。
【使用指導】
傳輸模式下的安全協議主要用於保護上層協議報文,僅傳輸層數據被用來計算安全協議頭,生成的安全協議頭以及加密的用戶數據(僅針對ESP封裝)被放置在原IP頭後麵。若要求端到端的安全保障,即數據包進行安全傳輸的起點和終點為數據包的實際起點和終點時,才能使用傳輸模式。
隧道模式下的安全協議用於保護整個IP數據包,用戶的整個IP數據包都被用來計算安全協議頭,生成的安全協議頭以及加密的用戶數據(僅針對ESP封裝)被封裝在一個新的IP數據包中。這種模式下,封裝後的IP數據包有內外兩個IP頭,其中的內部IP頭為原有的IP頭,外部IP頭由提供安全服務的設備添加。在安全保護由設備提供的情況下,數據包進行安全傳輸的起點或終點不為數據包的實際起點和終點時(例如安全網關後的主機),則必須使用隧道模式。隧道模式用於保護兩個安全網關之間的數據傳輸。
在IPsec隧道的兩端,IPsec安全提議所采用的封裝模式要一致。
IPsec profile要引用的IPsec安全提議所采用的封裝模式必須為傳輸模式。
【舉例】
# 指定IPsec安全提議tran1采用傳輸模式對IP報文進行封裝。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相關命令】
· ipsec transform-set
esp authentication-algorithm命令用來配置ESP協議采用的認證算法。
undo esp authentication-algorithm命令用來刪除所有指定的ESP協議采用的認證算法。
【命令】
非FIPS模式下:
esp authentication-algorithm { md5 | sha1 } *
undo esp authentication-algorithm
FIPS模式下:
esp authentication-algorithm sha1
undo esp authentication-algorithm
【缺省情況】
ESP協議沒有采用任何認證算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
md5:采用HMAC-MD5認證算法,密鑰長度128比特。
sha1:采用HMAC-SHA1認證算法,密鑰長度160比特。
【使用指導】
非FIPS模式下,每個IPsec安全提議中均可以配置多個ESP認證算法,其優先級為配置順序。
· 對於手工方式的IPsec安全策略,IPsec安全提議中配置順序首位的ESP認證算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個ESP認證算法需要一致。
· 對於IKE協商方式的IPsec安全策略,IPsec安全提議中可以配置多個ESP認證算法,協商時發起方會將本端配置的第一個ESP認證算法發送給對端,響應方將收到的ESP認證算法與本端配置的所有ESP認證算法進行比較,直到找到匹配者。為保證IKE協商成功,隧道兩端指定的IPsec安全提議中必須存在相同的ESP認證算法。
【舉例】
# 配置IPsec安全提議采用的ESP認證算法為HMAC-SHA1算法,密鑰長度為160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相關命令】
· ipsec transform-set
esp encryption-algorithm命令用來配置ESP協議采用的加密算法。
undo esp encryption-algorithm命令用來刪除所有指定的ESP協議采用的加密算法。
【命令】
非FIPS模式下:
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | null } *
undo esp encryption-algorithm
FIPS模式下:
esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }*
undo esp encryption-algorithm
【缺省情況】
ESP協議沒有采用任何加密算法。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
3des-cbc:采用CBC模式的3DES算法,密鑰長度為168比特。
aes-cbc-128:采用CBC模式的AES算法,密鑰長度為128比特。
aes-cbc-192:采用CBC模式的AES算法,密鑰長度為192比特。
aes-cbc-256:采用CBC模式的AES算法,密鑰長度為256比特。
des-cbc:采用CBC模式的DES算法,密鑰長度為64比特。
null:采用NULL加密算法,表示不進行加密。
【描述】
每個IPsec安全提議中均可以配置多個ESP加密算法,其優先級為配置順序。
· 對於手工方式的IPsec安全策略,IPsec安全提議中配置順序首位的ESP加密算法生效。為保證成功建立IPsec隧道,隧道兩端指定的IPsec安全提議中配置的首個ESP加密算法需要一致。
· 對於IKE協商方式的IPsec安全策略,IPsec安全提議中可以配置多個ESP加密算法,協商時發起方會將本端配置的第一個ESP加密算法發送給對端,響應方將收到的ESP認證算法與本端配置的所有ESP加密算法進行比較,直到找到匹配者。為保證IKE協商成功,隧道兩端指定的IPsec安全提議中必須存在相同的ESP加密算法。
【舉例】
# 配置IPsec安全提議采用的ESP加密算法為CBC模式的AES算法,密鑰長度為128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相關命令】
· ipsec transform-set
ike-profile命令用來指定IPsec安全策略/IPsec安全策略模板引用的IKE profile。
undo ike-profile命令用來取消在IPsec安全策略/安全策略模板中引用IKE profile。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情況】
IPsec安全策略/IPsec安全策略模板沒有引用任何IKE profile,。若係統視圖下配置了IKE profile,則使用係統視圖下配置的IKE profile進行協商,否則使用全局的IKE參數進行協商。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:IKE profile的名稱,為1~63個字符的字符串,區分大小寫。
【使用指導】
IPsec安全策略、IPsec安全策略模板引用的IKE profile中定義了用於IKE協商的相關參數。
一個IPsec安全策略視圖或一個IPsec安全策略模板視圖下隻能引用一個IKE profile,且不能引用已經被其它IPsec安全策略或IPsec安全策略模板引用的IKE profile。
【舉例】
# 指定IPsec安全策略policy1中引用的IKE profile為profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相關命令】
· ike profile(安全命令參考/IKE)
ipsec anti-replay check命令用來開啟IPsec抗重放檢測功能。
undo ipsec anti-replay check用來關閉IPsec抗重放檢測功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情況】
IPsec抗重放檢測功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
對重放報文的解封裝無意義,並且解封裝過程涉及密碼學運算,會消耗設備大量的資源,導致業務可用性下降,造成了拒絕服務攻擊。通過使能IPsec抗重放檢測功能,將檢測到的重放報文在解封裝處理之前丟棄,可以降低設備資源的消耗。
在某些特定環境下,業務數據報文的接收順序可能與正常的順序差別較大,雖然並非有意的重放攻擊,但會被抗重放檢測認為是重放報文,導致業務數據報文被丟棄,影響業務的正常運行。因此,這種情況下就可以通過關閉IPsec抗重放檢測功能來避免業務數據報文的錯誤丟棄,也可以通過適當地增大抗重放窗口的寬度,來適應業務正常運行的需要。
隻有IKE協商的IPsec SA才能夠支持抗重放檢測,手工方式生成的IPsec SA不支持抗重放檢測。因此該功能使能與否對手工方式生成的IPsec SA沒有影響。
【舉例】
# 開啟IPsec抗重放檢測功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相關命令】
· ipsec anti-replay window
ipsec anti-replay window命令用來配置IPsec抗重放窗口的寬度。
undo ipsec anti-replay window命令用來恢複缺省情況。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情況】
IPsec抗重放窗口的寬度為64。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
width:IPsec抗重放窗口的寬度,可取的值為64、128、256、512、1024,單位為報文個數。
【描述】
修改後的抗重放窗口寬度僅對新協商成功的IPsec SA生效。
在某些特定環境下,業務數據報文的接收順序可能與正常的順序差別較大,雖然並非有意的重放攻擊,但會被抗重放檢測認為是重放報文,導致業務數據報文被丟棄,影響業務的正常運行。因此,這種情況下就可以通過關閉IPsec抗重放檢測功能來避免業務數據報文的錯誤丟棄,也可以通過適當地增大抗重放窗口的寬度,來適應業務正常運行的需要。
【舉例】
# 配置IPsec抗重放窗口的寬度為128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相關命令】
· ipsec anti-replay check
ipsec decrypt-check enable命令用來開啟解封裝後IPsec報文的ACL檢查功能。
undo ipsec decrypt-check命令用來關閉解封裝後IPsec報文的ACL檢查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情況】
解封裝後IPsec報文的ACL檢查功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在隧道模式下,接口入方向上解封裝的IPsec報文的內部IP頭有可能不在當前IPsec安全策略引用的ACL的保護範圍內,如網絡中一些惡意偽造的攻擊報文就可能有此問題,所以設備需要重新檢查解封裝後的報文的IP頭是否在ACL保護範圍內。使能該功能後可以保證ACL檢查不通過的報文被丟棄,從而提高網絡安全性。
【舉例】
# 開啟解封裝後IPsec報文的ACL檢查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
ipsec logging packet enable命令用來開啟IPsec報文日誌記錄功能。
undo ipsec logging packet enable命令用來關閉IPsec報文日誌記錄功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情況】
IPsec報文日誌記錄功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟IPsec報文日誌記錄功能後,設備會在丟棄IPsec報文的情況下,例如入方向找不到對應的IPsec SA,AH/ESP認證失敗或ESP加密失敗等時,輸出相應的日誌信息,該日誌信息內容主要包括報文的源和目的IP地址、報文的SPI值、報文的序列號信息,以及設備丟包的原因。
【舉例】
# 開啟IPsec報文日誌記錄功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
ipsec df-bit命令用來為當前接口設置IPsec封裝後外層IP頭的DF位。
undo ipsec df-bit命令用來恢複缺省情況。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情況】
接口下未設置IPsec封裝後外層IP頭的DF位,采用全局設置的DF位。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
clear:表示清除外層IP頭的DF位,IPsec封裝後的報文可被分片。
copy:表示外層IP頭的DF位從原始報文IP頭中拷貝。
set:表示設置外層IP頭的DF位,IPsec封裝後的報文不能分片。
【使用指導】
該功能僅在IPsec的封裝模式為隧道模式時有效(因為傳輸模式不會增加新的IP頭,因此對於傳輸模式無影響)。
該功能用於設置IPsec隧道模式封裝後的外層IP頭的DF位,原始報文IP頭的DF位不會被修改。
如果有多個接口應用了共享源接口安全策略,則這些接口上必須使用相同的DF位設置。
【舉例】
# 在Vlan-interface1接口上設置IPsec封裝後外層IP頭的DF位。
<Sysname> system-view
[Sysname] interface vlan-interface1
[Sysname-Vlan-interface1] ipsec df-bit set
【相關命令】
· ipsec global-df-bit
ipsec global-df-bit命令用來為所有接口設置IPsec封裝後外層IP頭的DF位。
undo ipsec global-df-bit命令用來恢複缺省情況。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情況】
IPsec封裝後外層IP頭的DF位從原始報文IP頭中拷貝。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
clear:表示清除外層IP頭的DF位,IPsec封裝後的報文可被分片。
copy:表示外層IP頭的DF位從原始報文IP頭中拷貝。
set:表示設置外層IP頭的DF位,IPsec封裝後的報文不能分片。
【使用指導】
該功能僅在IPsec的封裝模式為隧道模式時有效(因為傳輸模式不會增加新的IP頭,因此對於傳輸模式無影響)。
該功能用於設置IPsec隧道模式封裝後的外層IP頭的DF位,原始報文IP頭的DF位不會被修改。
【舉例】
# 為所有接口設置IPsec封裝後外層IP頭的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相關命令】
· ipsec df-bit
ipsec { ipv6-policy | policy }命令用來在接口上應用IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用來從接口上取消應用的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name
undo { ipv6-policy | policy }
【缺省情況】
接口上沒有應用任何IPsec安全策略。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
【使用指導】
一個接口下隻能應用一個IPsec安全策略。若要在接口下應用一個新的安全策略時,首先需要將該接口下已經應用的IPsec安全策略取消,再重新引用新的IPsec安全策略。
IKE方式的IPsec安全策略可以應用到多個接口上,但建議隻應用到一個接口上;手工方式的IPsec安全策略隻能應用到一個接口上。
【舉例】
# 在Vlan-interface1接口上應用名為policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ipsec policy policy1
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } (system view)
ipsec { ipv6-policy | policy }命令用來創建一條IPsec安全策略,並進入IPsec安全策略視圖。
undo ipsec { ipv6-policy | policy }命令用來刪除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情況】
不存在任何IPsec安全策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535。
isakmp:指定通過IKE協商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指導】
· 創建IPsec安全策略時,必須指定協商方式(isakmp或manual)。進入已創建的IPsec安全策略時,可以不指定協商方式。
· 不能修改已創建的IPsec安全策略的協商方式。
· 一個IPsec安全策略是若幹具有相同名字、不同順序號的IPsec安全策略表項的集合。在同一個IPsec安全策略中,順序號越小的IPsec安全策略表項優先級越高。
· 對於undo命令,攜帶seq-number參數時表示刪除一個IPsec安全策略表項,不攜帶該參數時表示刪除指定IPsec安全策略的所有表項。
· IPv4 IPsec安全策略和IPv6 IPsec安全策略名稱可以相同。
【舉例】
# 創建一個名字為policy1、順序號為100、采用IKE方式協商IPsec SA的IPsec安全策略,並進入IPsec安全策略視圖。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 創建一個名字為policy1、順序號為101、采用手工方式建立IPsec SA的IPsec安全策略,並進入IPsec安全策略視圖。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } (interface view)
ipsec { ipv6-policy | policy } isakmp template命令用來引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用來刪除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情況】
沒有任何IPsec安全策略存在。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
seq-number:IPsec安全策略的順序號,取值範圍為1~65535,值越小優先級越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名字,為1~64個字符的字符串,區分大小寫。該IPsec安全策略模板必須已經存在。
【使用指導】
· 不攜帶seq-number參數的undo命令用來刪除一個安全策略。
· 應用了該類IPsec安全策略的接口不能發起協商,僅可以響應遠端設備的協商請求。由於IPsec安全策略模板中未定義的可選參數由發起方來決定,而響應方會接受發起方的建議,因此這種方式創建的IPsec安全策略適用於通信對端(例如對端的IP地址)未知的情況下,允許這些對端設備向本端設備主動發起協商。
【舉例】
# 引用IPsec策略模板temp1,創建名字為policy2、順序號為200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相關命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用來配置IPsec安全策略為共享源接口IPsec安全策略,即將指定的IPsec安全策略與一個源接口進行綁定。
undo ipsec { ipv6-policy | policy } local-address命令用來取消IPsec安全策略為共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情況】
IPsec安全策略不是共享源接口IPsec安全策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享該接口IP地址的IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
local-address interface-type interface-number:指定的共享源接口的名稱。interface-type interface-nunmber為接口類型和接口編號。
【使用指導】
在不同的接口上應用安全策略時,各個接口將分別協商生成IPsec SA。如果兩個互為備份的接口上都引用了IPsec安全策略,並采用相同的安全策略,則在主備鏈路切換時,接口狀態的變化會觸發重新進行IKE協商,從而導致IPsec業務流的暫時中斷。通過將一個IPsec安全策略與一個源接口綁定,使之成為共享源接口IPsec安全策略,可以實現多個應用該共享源接口IPsec安全策略的出接口共享同一個指定的源接口(稱為共享源接口)協商出的IPsec SA。隻要該源接口的狀態不變化,各接口上IPsec業務就不會中斷。
· 當非共享源接口IPsec安全策略應用於業務接口,並已經生成IPsec SA時,如果將該安全策略配置為共享源接口安全策略,則已經生成的IPsec SA將被刪除。
· 隻有IKE協商方式的IPsec安全策略才能配置為IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置為共享源接口IPsec安全策略。
l 一個IPsec安全策略隻能與一個源接口綁定。當需要將其綁定到另外一個源接口時,需要先解除與當前源接口的綁定關係,再與其它源接口綁定。
· 一個源接口可以同時與多個IPsec安全策略綁定。
· 推薦使用狀態較為穩定的接口作為共享源接口,例如Loopback接口。
【舉例】
# 配置IPsec安全策略map為共享源接口安全策略,共享源接口為Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相關命令】
· ipsec { ipv6-policy | policy } (system view)
ipsec { ipv6-policy-template | policy-template }命令用來創建一個IPsec安全策略模板,並進入IPsec安全策略模板視圖。
undo ipsec { ipv6-policy-template | policy-template }命令用來刪除指定的IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情況】
不存在任何IPsec安全策略模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名字,為1~64個字符的字符串,區分大小寫。
seq-number:IPsec安全策略模板表項的順序號,取值範圍為1~65535,值越小優先級越高。
【使用指導】
IPsec安全策略模板與直接配置的IKE協商方式的IPsec安全策略中可配置的參數類似,但是配置較為簡單,除了IPsec安全提議和IKE對等體之外的其它參數均為可選。
· 攜帶seq-number參數的undo命令用來刪除一個IPsec安全策略模板表項。
· 一個IPsec安全策略模板是若幹具有相同名字、不同順序號的IPsec安全策略模板表項的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名稱可以相同。
【舉例】
# 創建一個名字為template1、順序號為100的IPsec安全策略模板,並進入IPsec安全策略模板視圖。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相關命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy } (sysytem view)
· ipsec { ipv6-policy | policy } isakmp template
ipsec profile命令用來創建一個IPsec安全框架,並進入IPsec安全框架視圖。
undo ipsec profile命令用來刪除指定的IPsec安全框架。
【命令】
ipsec profile profile-name [ manual ]
undo ipsec profile profile-name
【缺省情況】
沒有任何IPsec安全框架存在。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:IPsec安全框架的名字,為1~63個字符的字符串,區分大小寫。
manual:手工方式的IPsec安全框架。
【使用指導】
· 創建IPsec安全框架時,必須指定協商方式(目前隻支持manual);進入已創建的IPsec安全框架時,可以不指定協商方式。
· IPsec profile專門用於為應用協議配置IPsec安全策略,它相當於一個手工方式創建的IPsec安全策略,其中的應用協議可包括但不限於OSPFv3、IPv6 BGP、RIPng。
【舉例】
# 配置名字為profile1的IPsec安全框架。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile-profile1]
【相關命令】
· display ipsec profile
ipsec sa global-duration命令用來配置全局的IPsec SA生存時間。
undo ipsec sa global-duration命令用來恢複缺省情況。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情況】
IPsec SA基於時間的生存時間為3600秒,基於流量的生存時間為1843200千字節。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time-based seconds:指定基於時間的全局生存時間,取值範圍為180~604800,單位為秒。
traffic-based kilobytes:指定基於流量的全局生存時間,取值範圍為2560~4294967295,單位為千字節。如果流量達到此值,則生存時間到期。
【使用指導】
IPsec安全策略/IPsec安全策略模板視圖下也可配置IPsec SA的生存時間,若IPsec安全策略/IPsec安全策略模板視圖和全局都配置了IPsec SA的生存時間,則優先采用IPsec安全策略/IPsec安全策略模板視圖下的配置值與對端協商。
IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
可同時存在基於時間和基於流量兩種方式的IPsec SA生存時間,隻要IPsec SA的生存時間到達指定的時間或流量時,該IPsec SA就會失效。IPsec SA失效前,IKE將為IPsec對等體協商建立新的IPsec SA,這樣,在舊的IPsec SA失效前新的IPsec SA就已經準備好。在新的IPsec SA開始協商而沒有協商好之前,繼續使用舊的IPsec SA保護通信。在新的IPsec SA協商好之後,則立即采用新的IPsec SA保護通信。
【舉例】
# 配置全局的IPsec SA生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存時間為10M字節,即傳輸10240千字節的流量後,當前的IPsec SA過期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相關命令】
· display ipsec sa
· sa duration
ipsec sa idle-time命令用來開啟全局的IPsec SA空閑超時功能,並配置全局IPsec SA空閑超時時間。在指定超時時間內沒有流量匹配的IPsec SA即被刪除。
undo ipsec sa idle-time命令用來恢複缺省情況。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情況】
全局的IPsec SA空閑超時功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:IPsec SA的空閑超時時間,取值範圍為60~86400,單位為秒。
【使用指導】
此功能隻適用於IKE協商出的IPsec SA。
IPsec安全策略/IPsec安全策略模板視圖下也可配置IPsec SA的空閑超時時間,若IPsec安全策略/IPsec安全策略模板視圖和全局都配置了IPsec SA的空閑超時時間,則優先采用IPsec安全策略/IPsec安全策略模板視圖下的配置值。
【舉例】
# 配置全局IPsec SA的空閑超時時間為600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相關命令】
· display ipsec sa
· sa idle-time
ipsec transform-set命令用來創建IPsec安全提議,並進入IPsec安全提議視圖。
undo ipsec transform-set命令用來刪除指定的IPsec安全提議。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情況】
沒有任何IPsec安全提議存在。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
transform-set-name:IPsec安全提議的名字,為1~63個字符的字符串,區分大小寫。
【使用指導】
IPsec安全提議是IPsec安全策略的一個組成部分,它用於保存IPsec需要使用的安全協議、加密/認證算法以及封裝模式,為IPsec協商SA提供各種安全參數。
【舉例】
# 創建名為tran1的IPsec安全提議,並進入IPsec安全提議視圖。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相關命令】
· display ipsec transform-set
local-address命令用來配置IPsec隧道的本端IP地址。
undo local-address命令用來恢複缺省情況。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情況】
IPsec隧道的本端IPv4地址為應用IPsec安全策略的接口的主IPv4地址,本端IPv6地址為應用IPsec安全策略的接口的第一個IPv6地址。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指導】
采用IKE協商方式的IPsec安全策略上,發起方的IPsec隧道的對端IP地址必須與響應方的IPsec隧道本端IP地址一致。
【舉例】
# 配置IPsec隧道的本端IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相關命令】
· remote-address
pfs命令用來配置在使用此安全提議發起IKE協商時使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用來恢複缺省情況。
【命令】
非FIPS模式下:
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group24 }
undo pfs
FIPS模式下:
pfs dh-group14
undo pfs
【缺省情況】
使用IPsec安全策略發起IKE協商時不使用PFS特性。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
dh-group1:采用768-bit Diffie-Hellman組。
dh-group2:采用1024-bit Diffie-Hellman組。
dh-group5:采用1536-bit Diffie-Hellman組。
dh-group14:采用2048-bit Diffie-Hellman組。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman組。
【使用指導】
2048-bit和256-bit子群Diffie-Hellman組(dh-group24)、2048-bit Diffie-Hellman組(dh-group14)、1536-bit Diffie-Hellman組(dh-group5)、1024-bit Diffie-Hellman組(dh-group2)、768-bit Diffie-Hellman組(dh-group1)算法的強度,即安全性和需要計算的時間依次遞減。
發起方的PFS強度必須大於或等於響應方的PFS強度,否則IKE協商會失敗。
不配置PFS特性的一端,按照對端的PFS特性要求進行IKE協商。
【舉例】
# 配置IPsec安全提議使用PFS特性,並采用2048-bit Diffie-Hellman組。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
protocol命令用來配置IPsec安全提議采用的安全協議。
undo protocol命令用來恢複缺省情況。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情況】
使用ESP安全協議。
【視圖】
IPsec安全提議視圖
【缺省用戶角色】
network-admin
【參數】
ah:采用AH協議對報文進行保護。
ah-esp:先用ESP協議對報文進行保護,再用AH協議對報文進行保護。
esp:采用ESP協議對報文進行保護。
【使用指導】
在IPsec隧道的兩端,IPsec安全提議所采用的安全協議必須一致。
【舉例】
# 配置IPsec安全提議采用AH協議。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
qos pre-classify命令用來開啟QoS預分類功能。
undo qos pre-classify命令用來恢複缺省情況。
【命令】
qos pre-classify
undo qos pre-classify
【缺省情況】
QoS預分類功能處於關閉狀態,即QoS使用IPsec封裝後報文的外層IP頭信息來對報文進行分類。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【使用指導】
QoS預分類功能是指,QoS基於被封裝報文的原始IP頭信息對報文進行分類。
【舉例】
# 在IPsec安全策略中開啟QoS預分類功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
remote-address命令用來指定IPsec隧道的對端IP地址。
undo remote-address命令用來恢複缺省情況。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情況】
未指定IPsec隧道的對端IP地址。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 IPsec隧道的對端地址或主機名稱。如果不指定該參數,則表示指定IPv4 IPsec隧道的對端地址或主機名稱。
hostname:IPsec隧道的對端主機名,為1~255個字符的字符串,區分大小寫。該主機名可被DNS服務器解析為IP地址。
ipv4-address:IPsec隧道的對端IPv4地址。
ipv6-address:IPsec隧道的對端IPv6地址。
【使用指導】
IKE協商發起方必須配置IPsec隧道的對端IP地址,響應方可選配。
手工方式的IPsec安全策略不支持域名解析,因此隻能指定IP地址類型的對端IP地址。
對於主機名方式的對端地址,地址更新的查詢過程有所不同。
· 若此處指定對端主機名由DNS服務器來解析,則本端按照DNS服務器通知的域名解析有效期,在該有效期超時之後向DNS服務器查詢主機名對應的最新的IP地址。
· 若此處指定對端主機名由本地配置的靜態域名解析(通過ip host命令配置)來解析,則更改此主機名對應的IP地址之後,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,才能使得本端解析到更新後的對端IP地址。
例如,本端已經存在一條靜態域名解析配置,它指定了主機名test對應的IP地址為1.1.1.1。若先後執行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的對端主機名為test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主機名test對應的IP地址為2.2.2.2。
[Sysname] ip host test 2.2.2.2
則,需要在IPsec安全策略policy1中重新指定對端主機名,使得本端可以根據更新後的本地域名解析配置得到最新的對端IP地址2.2.2.2,否則仍會解析為原來的IP地址1.1.1.1。
# 重新指定IPsec隧道的對端主機名為test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname -ipsec-policy-isakmp-policy1-1] remote-address test
【舉例】
# 指定IPsec隧道的對端IPv4地址為10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-policy1-10] remote-addresss 10.1.1.2
【相關命令】
· ip host(三層技術-IP業務/域名解析)
· local-address
reset ipsec sa命令用來清除已經建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根據IPsec安全策略名稱清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名字,為1~63個字符的字符串,區分大小寫。
· seq-number:IPsec安全策略表項的順序號,取值範圍為1~65535。如果不指定該參數,則表示指定名字為policy-name的安全策略中所有安全策略表項。
profile profile-name:表示根據IPsec安全框架名稱清除IPsec SA。profile-name表示IPsec安全框架的名字,為1~63個字符的字符串,區分大小寫。
remote:表示根據對端IP地址清除IPsec SA。
· ipv4-address:對端的IPv4地址。
· ipv6 ipv6-address:對端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根據SA的三元組信息(對端IP地址、安全協議、安全參數索引)清除IPsec SA。
· ipv4-address:對端的IPv4地址。
· ipv6 ipv6-address:對端的IPv6地址。
· ah:AH協議。
· esp:ESP協議。
· spi-num:安全參數索引,取值範圍為256~4294967295。
【使用指導】
如果不指定任何參數,則清除所有的IPsec SA。
如果指定了一個IPsec SA的三元組信息,則將清除符合該三元組的某一個方向的IPsec SA以及對應的另外一個方向的IPsec SA。若是同時采用了兩種安全協議,則還會清除另外一個協議的出方向和入方向的IPsec SA。
對於出方向IPsec SA,三元組是它的唯一標識;對於入方向IPsec SA,SPI是它的唯一標識。因此,若是希望通過指定出方向的三元組信息來清除IPsec SA,則需要準確指定三元組信息(其中,IPsec安全框架生成的SA由於沒有地址信息,所以地址信息可以任意);若是希望通過指定入方向的三元組信息來清除IPsec SA,則隻需要準確指定SPI值即可,另外兩個信息可以任意。
通過手工建立的IPsec SA被清除後,係統會立即根據對應的手工IPsec安全策略建立新的IPsec SA。
通過IKE協商建立的IPsec SA被清除後,係統會在有報文需要進行IPsec保護時觸發協商新的IPsec SA。
【舉例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI為123、對端地址為10.1.1.2、安全協議為AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 123
# 清除IPsec對端地址為10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名字為policy1、順序號為10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相關命令】
· display ipsec sa
reset ipsec statistics命令用來清除IPsec的報文統計信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
tunnel-id tunnel-id:清除指定IPsec隧道的報文統計信息。其中,tunnel-id為隧道的ID號,取值範圍為0~4294967295。如果未指定任何參數,則清除IPsec的所有報文統計信息。
【舉例】
# 清除IPsec的所有報文統計信息。
<Sysname> reset ipsec statistics
【相關命令】
· display ipsec statistics
sa duration命令用來配置IPsec SA的生存時間。
undo sa duration命令用來刪除配置的IPsec SA生存時間。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情況】
IPsec安全策略和IPsec安全策略模板的IPsec SA生存時間均為當前全局的IPsec SA生存時間。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
time-based seconds:指定基於時間的生存時間,取值範圍為180~604800,單位為秒。
traffic-based kilobytes:指定基於流量的生存時間,取值範圍為2560~4294967295,單位為千字節。
【使用指導】
當IKE協商IPsec SA時,如果采用的IPsec安全策略下未配置IPsec SA的生存時間,將采用全局的IPsec SA生存時間(通過命令ipsec sa global-duration設置)與對端協商。如果IPsec安全策略/IPsec安全策略模板下配置了IPsec SA的生存時間,則優先使用IPsec安全策略/IPsec安全策略模板下的配置值與對端協商。
IKE為IPsec協商建立IPsec SA時,采用本地配置的生存時間和對端提議的IPsec SA生存時間中較小的一個。
【舉例】
# 配置IPsec安全策略policy1的IPsec SA生存時間為兩個小時,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存時間為20M字節,即傳輸20480千字節的流量後,當前的IPsec SA就過期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
【相關命令】
· display ipsec sa
· ipsec sa global-duration
sa hex-key authentication命令用來為手工創建的IPsec SA配置十六進製形式的認證密鑰。
undo sa hex-key authentication命令用來刪除為IPsec SA配置的十六進製形式的認證密鑰。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } key-value
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情況】
未配置IPsec SA使用的認證密鑰。
【視圖】
IPsec安全策略視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
inbound:指定入方向IPsec SA使用的認證密鑰。
outbound:指定出方向IPsec SA使用的認證密鑰。
ah:指定AH協議。
esp:指定ESP協議。
cipher key-value:表示以密文形式設置認證密鑰。key-value為1~85個字符的字符串,區分大小寫。
simple key-value:表示以明文形式設置認證密鑰。key-value為十六進製格式的字符串,不區分大小寫。對於不同的算法,密鑰長度不同:HMAC-MD5算法,密鑰長度為16個字節;HMAC-SHA1算法,密鑰長度為20個字節。
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
· 必須分別配置inbound和outbound兩個方向的IPsec SA參數。
· 在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的認證密鑰必須和對端的出方向IPsec SA的認證密鑰一致;本端的出方向IPsec SA的認證密鑰必須和對端的入方向IPsec SA的認證密鑰一致。
· 如果先後以不同的方式輸入了密鑰,則最後設定的密鑰有效。
· 在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能建立IPsec隧道。
· 以明文或密文方式設置的認證密鑰,均以密文的方式保存在配置文件中。
【舉例】
# 配置采用AH協議的入方向IPsec SA的認證密鑰為明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的認證密鑰為明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相關命令】
· display ipsec sa
· sa string-key
sa hex-key encryption命令用來為手工創建的IPsec SA配置十六進製形式的加密密鑰。
undo sa hex-key encryption命令用來刪除為IPsec SA配置的十六進製形式的加密密鑰。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } key-value
undo sa hex-key encryption { inbound | outbound } esp
【缺省情況】
未配置IPsec SA使用的加密密鑰。
【視圖】
IPsec安全策略視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
inbound:指定入方向IPsec SA使用的加密密鑰。
outbound:指定出方向IPsec SA使用的加密密鑰。
esp:指定ESP協議。
cipher key-value:表示以密文形式設置加密密鑰。key-value為1~117個字符的字符串,區分大小寫。
simple key-value:表示以明文形式設置加密密鑰。key-value為16進製格式的字符串,不區分大小寫。對於不同的算法,密鑰長度不同:DES-CBC算法,密鑰長度為8個字節;3DES-CBC算法,密鑰長度為24個字節;AES128-CBC算法,密鑰長度為16字節;AES192-CBC算法,密鑰長度為24字節;AES256-CBC算法,密鑰長度為32字節。
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
· 必須分別配置inbound和outbound兩個方向的IPsec SA參數。
· 在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的加密密鑰必須和對端的出方向IPsec SA的加密密鑰一致;本端的出方向IPsec SA的加密密鑰必須和對端的入方向IPsec SA的加密密鑰一致。
· 如果先後以不同的方式輸入了密鑰,則最後設定的密鑰有效。
· 在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能建立IPsec隧道。
· 以明文或密文方式設置的加密密鑰,均以密文的方式保存在配置文件中。
【舉例】
# 配置采用ESP協議的入方向IPsec SA的加密算法的密鑰為明文0x1234567890abcdef;出方向IPsec SA的加密算法的密鑰為明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相關命令】
· display ipsec sa
· sa string-key
sa idle-time命令用來配置IPsec SA的空閑超時時間。在指定的超時時間內,沒有流量使用的IPsec SA將被刪除。
undo sa idle-time命令用來恢複缺省情況。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情況】
IPsec安全策略和IPsec安全策略模板下的IPsec SA空閑超時時間為當前全局的IPsec SA空閑超時時間。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
seconds:IPsec SA的空閑超時時間,取值範圍為60~86400,單位為秒。
【使用指導】
此功能隻適用於IKE協商出的IPsec SA,且隻有通過ipsec sa idle-time命令開啟空閑超時功能後,本功能才會生效。
如果IPsec安全策略/IPsec安全策略模板下沒有配置IPsec SA 空閑超時時間,將采用全局的IPsec SA空閑超時時間(通過命令ipsec sa idle-time設置)決定IPsec SA是否空閑並進行刪除。如果IPsec安全策略/IPsec安全策略模板下配置了IPsec SA 空閑超時時間,則優先使用IPsec安全策略/IPsec安全策略模板下的配置值。
【舉例】
# 配置IPsec安全策略的IPsec SA的空閑超時時間為600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相關命令】
· display ipsec sa
· ipsec sa idle-time
sa spi命令用來配置IPsec SA的SPI。
undo sa spi命令用來刪除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情況】
不存在IPsec SA的SPI。
【視圖】
IPsec安全策略視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH協議。
esp:指定ESP協議。
spi-number:IPsec SA的安全參數索引,取值範圍為256~4294967295。
【使用指導】
此命令僅用於手工方式的IPsec安全策略以及IPsec安全框架。對於IKE協商方式的IPsec安全策略,IKE將自動協商IPsec SA的參數並創建IPsec SA,不需要手工設置IPsec SA的參數。
· 必須分別配置inbound和outbound兩個方向IPsec SA的參數,且保證每一個方向上的IPsec SA的唯一性:對於出方向IPsec SA,必須保證三元組(對端IP地址、安全協議、SPI)唯一;對於入方向IPsec SA,必須保證SPI唯一。
· 在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端的入方向IPsec SA的SPI必須和對端的出方向IPsec SA的SPI一樣;本端的出方向IPsec SA的SPI必須和對端的入方向IPsec SA的SPI一樣。
【舉例】
# 配置入方向IPsec SA的SPI為10000,出方向IPsec SA的SPI為20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相關命令】
· display ipsec sa
sa string-key命令用來為手工創建的IPsec SA配置字符串形式的密鑰。
undo sa string-key命令用來刪除為指定的IPsec SA配置的字符串形式的密鑰。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } key-value
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情況】
未配置IPsec SA使用的密鑰。
【視圖】
IPsec安全策略視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
inbound:指定入方向IPsec SA的密鑰。
outbound:指定出方向IPsec SA的密鑰。
ah:指定AH協議。
esp:指定ESP協議。
cipher:表示以密文形式設置密碼。
simple:表示以明文形式設置密碼。
key-value:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。對於不同的算法,係統會根據輸入的字符串自動生成符合算法要求的密鑰。對於ESP協議,係統會自動地同時生成認證算法的密鑰和加密算法的密鑰。
【使用指導】
此命令僅用於手工方式的IPsec安全策略及IPsec安全框架。
· 必須分別配置inbound和outbound兩個方向IPsec SA的參數。
· 在IPsec隧道的兩端設置的IPsec SA參數必須是完全匹配的。本端入方向IPsec SA的密鑰必須和對端出方向IPsec SA的密鑰一樣;本端出方向IPsec SA的密鑰必須和對端入方向IPsec SA的密鑰一樣。
· 如果先後以不同的方式輸入了密鑰,則最後設定的密鑰有效。
· 在IPsec隧道的兩端,應當以相同的方式輸入密鑰。如果一端以字符串方式輸入密鑰,另一端以十六進製方式輸入密鑰,則不能正確地建立IPsec隧道。
· 以明文或密文方式設置的密鑰,均以密文的方式保存在配置文件中。
【舉例】
# 配置采用AH協議的入方向IPsec SA的密鑰為明文字符串abcdef;出方向IPsec SA的密鑰為明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
【相關命令】
· display ipsec sa
· sa hex-key
security acl命令用來指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用來取消IPsec安全策略/IPsec安全策略模板引用的ACL。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情況】
IPsec安全策略/IPsec安全策略模板沒有引用任何ACL。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 ACL。
acl-number:ACL編號,取值範圍為3000~3999。
name acl-name:ACL名稱,為1~63個字符的字符串,不區分大小寫。
aggregation:指定IPsec安全策略的數據流保護方式為聚合方式。不支持對IPv6數據流采用該保護方式。
per-host:指定IPsec安全策略的數據流保護方式為主機方式。
【使用指導】
對於IKE協商方式的IPsec安全策略,數據流的保護方式包括以下幾種:
· 標準方式:一條隧道保護一條數據流。ACL中的每一個規則對應的數據流都會由一條單獨創建的隧道來保護。不指定aggregation和per-host參數的情況下,缺省采用此方式。
· 聚合方式:一條隧道保護ACL中定義的所有數據流。ACL中的所有規則對應的數據流隻會由一條創建的隧道來保護。對於聚合方式和標準方式都支持的設備,聚合方式僅用於和老版本的設備互通。
· 主機方式:一條隧道保護一條主機到主機的數據流。ACL中的每一個規則對應的不同主機之間的數據流,都會由一條單獨創建的隧道來保護。這種方式下,受保護的網段之間存在多條數據流的情況下,將會消耗更多的係統資源。
需要注意的是:
· 手工方式的IPsec安全策略缺省使用標準方式,且僅支持標準方式;
· IKE協商方式的IPsec安全策略中可以通過配置來選擇不同的保護方式。
【舉例】
# 配置IPsec安全策略引用ACL 3001。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
【相關命令】
· display ipsec sa
· display ipsec tunnel
transform-set命令用來指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提議。
undo transform-set命令用來取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提議。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情況】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架沒有引用任何IPsec安全提議。
【視圖】
IPsec安全策略視圖/IPsec安全策略模板視圖/IPsec安全框架視圖
【缺省用戶角色】
network-admin
【參數】
transform-set-name&<1-6>:IPsec安全提議的名字,為1~63個字符的字符串,區分大小寫。&<1-6>表示前麵的參數最多可以輸入6次。
【使用指導】
· 對於手工方式的IPsec安全策略,隻能引用一個IPsec安全提議。改變IPsec安全策略引用的IPsec安全提議時,新配置的IPsec安全提議將覆蓋舊的IPsec安全提議。
· 對於IKE協商方式的IPsec安全策略,一條IPsec安全策略最多可以引用六個IPsec安全提議。IKE協商過程中,IKE將會在隧道兩端配置的IPsec安全策略中查找能夠完全匹配的IPsec安全提議。如果IKE在兩端找不到完全匹配的IPsec安全提議,則SA不能協商成功,需要被保護的報文將被丟棄。
· 若不指定任何參數,則undo transform-set命令表示刪除所有引用的IPsec安全提議。
【舉例】
# 配置IPsec安全策略引用名字為prop1的IPsec安全提議。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相關命令】
· ipsec { ipv6-policy | policy } (system view)
· ipsec profile
· ipsec transform-set
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
authentication-algorithm命令用來指定一個供IKE提議使用的認證算法。
undo authentication-algorithm命令用來恢複缺省情況。
【命令】
非FIPS模式下:
authentication-algorithm { md5 | sha }
undo authentication-algorithm
FIPS模式下:
authentication-algorithm sha
undo authentication-algorithm
【缺省情況】
IKE提議使用的認證算法為HMAC-SHA1。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
【參數】
md5:指定認證算法為HMAC-MD5。
sha:指定認證算法為HMAC-SHA1。
【舉例】
# 指定IKE提議1的認證算法為HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相關命令】
· display ike proposal
authentication-method命令用來指定一個供IKE提議使用的認證方法。
undo authentication-method命令用來恢複缺省情況。
【命令】
authentication-method { dsa-signature | pre-share | rsa-signature }
undo authentication-method
【缺省情況】
IKE提議使用預共享密鑰的認證方法。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
【參數】
dsa-signature:指定認證方法為DSA數字簽名方法。
pre-share:指定認證方法為預共享密鑰方法。
rsa-signature:指定認證方法為RSA數字簽名方法。
【使用指導】
認證方法分為預共享密鑰認證和數字簽名認證(包括RSA數字簽名認證和DSA數字簽名認證)。預共享密鑰認證機製簡單,不需要證書,常在小型組網環境中使用;數字簽名認證安全性更高,常在“中心—分支”模式的組網環境中使用。例如,在“中心—分支”組網中使用預共享密鑰認證進行IKE協商時,中心側可能需要為每個分支配置一個預共享密鑰,當分支很多時,配置會很複雜,而使用數字簽名認證時中心隻需配置一個PKI域。
需要注意的是:
· 協商雙方必須有匹配的認證方法。
· 如果指定認證方法為RSA數字簽名方法或者DSA數字簽名方法,則還必須保證對端從CA(證書認證機構)獲得數字證書。
· 如果指定認證方法為預共享密鑰方法,必須使用pre-shared-key命令在兩端配置相同的預共享密鑰。
【舉例】
# 指定IKE提議1的認證方法為預共享密鑰。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相關命令】
l display ike proposal
l ike keychain
l pre-shared-key
certificate domain命令用來指定IKE協商采用數字簽名認證時使用的PKI域。
undo certificate domain命令用來取消配置IKE協商時使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情況】
未指定用於IKE協商的PKI域。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:PKI域的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
可通過多次執行本命令指定多個PKI域。如果在IKE profile中指定了PKI域,則使用指定的PKI域發送本端證書請求、驗證對端證書請求、發送本端證書、驗證對端證書、進行數字簽名。如果IKE profile中沒有指定PKI域,則使用設備上配置的PKI域進行以上證書相關的操作。
一個IKE profile中最多可以引用六個PKI域。
IKE可以通過PKI自動獲取CA證書、自動申請證書,對這種情況,有幾點需要說明:
· 對於發起方:若在IKE profile中指定了PKI域,且PKI域中的證書申請為自動申請方式,則發起方會自動獲取CA證書;若在IKE profile中沒有指定PKI域,則發起方不會自動獲取CA證書,需要手動獲取CA證書。
· 對於響應方:第一階段采用主模式的IKE協商時,響應方不會自動獲取CA證書,需要手動獲取CA證書;第一階段采用野蠻模式的IKE協商時,若響應方找到了匹配的IKE profile並且IKE profile下指定了PKI域,且PKI域中的證書申請為自動申請方式,則會自動獲取CA證書;否則,響應方不會自動獲取CA證書,需要手動獲取CA證書。
· 在IKE協商過程中先自動獲取CA證書,再自動申請證書。若CA證書存在,則不獲取CA證書,直接自動申請證書。
【舉例】
# 在IKE profile 1中指定IKE協商時使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相關命令】
l authentication-method
· pki domain(安全命令參考/PKI)
dh命令用來配置IKE階段1密鑰協商時所使用的DH密鑰交換參數。
undo dh命令用來恢複缺省情況。
【命令】
非FIPS模式下:
dh { group1 | group14 | group2 | group24 | group5 }
undo dh
FIPS模式下:
dh group14
undo dh
【缺省情況】
非FIPS模式下:
IKE提議使用的DH密鑰交換參數為group1,即768-bit的Diffie-Hellman group。
FIPS模式下:
IKE提議使用的DH密鑰交換參數為group14,即2048-bit的Diffie-Hellman group。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
【參數】
group1:指定階段1密鑰協商時采用768-bit的Diffie-Hellman group。
group14:指定階段1密鑰協商時采用2048-bit的Diffie-Hellman group。
group2:指定階段1密鑰協商時采用1024-bit的Diffie-Hellman group。
group24:指定階段1密鑰協商時采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定階段1密鑰協商時采用1536-bit的Diffie-Hellman group。
【使用指導】
group1提供了最低的安全性,但是處理速度最快。group24提供了最高的安全性,但是處理速度最慢。其它的Diffie-Hellman group隨著其位數的增加提供更高的安全性,但是處理速度會相應減慢。請根據實際組網環境中對安全性和性能的要求選擇合適的Diffie-Hellman group。
【舉例】
# 指定IKE提議1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相關命令】
l display ike proposal
display ike proposal命令用來顯示所有IKE提議的配置信息。
【命令】
display ike proposal
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
IKE提議按照優先級的先後順序顯示。如果沒有配置任何IKE提議,則隻顯示缺省的IKE提議。
【舉例】
# 顯示IKE提議的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG SHA1 AES-CBC-128 Group 14 5000
11 PRE-SHARED-KEY SHA1 AES-CBC-128 Group 14 50000
default PRE-SHARED-KEY SHA1 AES-CBC-128 Group 14 86400
表2-1 display ike proposal命令顯示信息描述表
|
字段 |
描述 |
|
Priority |
IKE提議的優先級 |
|
Authentication method |
IKE提議使用的認證方法,包括: · PRE-SHARED-KEY:預共享密鑰 · RSA-SIG:RSA簽名 · DSA-SIG:DSA簽名 |
|
Authentication algorithm |
IKE提議使用的認證算法,包括: · MD5:HMAC-MD5算法 · SHA:HMAC-SHA1算法 |
|
Encryption algorithm |
IKE提議使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
|
Diffie-Hellman group |
IKE階段1密鑰協商時所使用的DH密鑰交換參數,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
Duration (seconds) |
IKE提議中指定的IKE SA存活時間,單位為秒 |
【相關命令】
· ike proposal
display ike sa命令用來顯示當前IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-name ] ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
verbose:顯示當前IKE SA的詳細信息。
connection-id connection-id:按照連接標識符顯示IKE SA的詳細信息,取值範圍為1~2000000000。
remote-address:顯示指定對端IP地址的IKE SA的詳細信息。
ipv6:指定IPv6地址。
remote-address:對端的IP地址。
vpn-instance vpn-name:顯示指定VPN內的IKE SA的詳細信息,vpn-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示顯示的IKE SA屬於公網。
【使用指導】
若不指定任何參數,則顯示當前所有IKE SA的摘要信息。
【舉例】
# 顯示當前所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING
表2-2 display ike sa命令顯示信息描述表
|
字段 |
描述 |
|
Connection-ID |
IKE SA的標識符 |
|
Remote |
此IKE SA的對端的IP地址 |
|
Flags |
IKE SA的狀態,包括: · RD(READY):表示此IKE SA已建立成功 · ST(STAYALIVE):表示此端是隧道協商發起方 · RL(REPLACED):表示此IKE SA已經被新的IKE SA代替,一段時間後將被刪除 · FD(FADING):表示此隧道已發生過一次軟超時,目前還在使用,在硬超時發生時,會刪除此隧道 |
|
DOI |
IKE SA所屬解釋域,包括: · IPSEC:表示此IKE SA使用的DOI為IPSEC DOI |
# 顯示當前IKE SA的詳細信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: HASH-SHA1
Encryption-algorithm: AES-CBC-192
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 14
NAT traversal: Not detected
# 顯示目的地址為4.4.4.5的IKE SA的詳細信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: HASH-SHA1
Encryption-algorithm: AES-CBC-192
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 14
NAT traversal: Not detected
表2-3 display ike sa verbose命令顯示信息描述表
|
字段 |
描述 |
|
Connection ID |
IKE SA的標識符 |
|
Outside VPN |
接收報文的接口所屬的MPLS L3VPN的VPN實例名稱 |
|
Inside VPN |
被保護數據所屬的MPLS L3VPN的VPN實例名稱 |
|
Profile |
IKE SA協商過程中匹配到的IKE profile的名稱,如果協商過程中沒有匹配到任何profile,則該字段不會顯示任何KE profile名稱 |
|
Transmitting entity |
IKE協商中的實體角色,包括: · Initiator:發起方 · Responder:響應方 |
|
Local IP |
本端安全網關的IP地址 |
|
Local ID type |
本端安全網關的身份信息類型 |
|
Local ID |
本端安全網關的身份信息 |
|
Remote IP |
對端安全網關的IP地址 |
|
Remote ID type |
對端安全網關的身份信息類型 |
|
Remote ID |
對端安全網關的身份信息 |
|
Authentication-method |
IKE提議使用的認證方法,包括: · PRE-SHARED-KEY:預共享密鑰 · RSA-SIG:RSA簽名 · DSA-SIG:DSA簽名 |
|
Authentication-algorithm |
IKE提議使用的認證算法,包括: · MD5:HMAC-MD5算法 · SHA:HMAC-SHA1算法 |
|
Encryption-algorithm |
IKE提議使用的加密算法,包括: · 3DES-CBC:CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:CBC模式的DES算法 |
|
Life duration(sec) |
IKE SA的存活時間,單位為秒 |
|
Remaining key duration(sec) |
IKE SA的剩餘存活時間,單位為秒 |
|
Exchange-mode |
IKE第一階段的協商模式 |
|
Diffie-Hellman group |
IKE第一階段密鑰協商時所使用的DH密鑰交換參數,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
NAT traversal |
是否檢測到協商雙方之間存在NAT網關設備 |
dpd命令用來配置IKE DPD功能。
undo dpd命令用來關閉IKE DPD功能。
【命令】
dpd interval interval-seconds [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情況】
IKE DPD功能處於關閉狀態。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
interval interval-seconds:指定觸發IKE DPD探測的時間間隔,取值範圍為1~300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒。缺省情況下,DPD報文的重傳時間間隔為5秒。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送用戶報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔,則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔定時探測對端是否存活。
【使用指導】
IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
如果IKE profile視圖下和係統視圖下都配置了IKE DPD功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置IKE DPD功能,則采用係統視圖下的DPD配置。
建議配置的interval時間大於retry時間,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文過程中不會觸發新的DPD探測。
【舉例】
# 為IKE profile 1配置IKE DPD功能,指定若10秒內沒有從對端收到IPsec報文,則觸發IKE DPD探測,DPD請求報文的重傳時間間隔為5秒,探測模式為按需探測。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相關命令】
l ike dpd
encryption-algorithm命令用來指定一個供IKE提議使用的加密算法。
undo encryption-algorithm命令用來恢複缺省情況。
【命令】
非FIPS模式下:
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }
undo encryption-algorithm
FIPS模式下:
encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }
undo encryption-algorithm
【缺省情況】
非FIPS模式下:
IKE提議使用的加密算法為des-cbc,即CBC模式的56-bit DES加密算法。
FIPS模式下:
IKE提議使用的加密算法為aes-cbc-128,即CBC模式的AES算法,AES算法采用128比特的密鑰進行加密。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
【參數】
3des-cbc:指定IKE安全提議采用的加密算法為CBC模式的3DES算法,3DES算法采用168比特的密鑰進行加密。
aes-cbc-128:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用128比特的密鑰進行加密。
aes-cbc-192:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用192比特的密鑰進行加密。
aes-cbc-256:指定IKE安全提議采用的加密算法為CBC模式的AES算法,AES算法采用256比特的密鑰進行加密。
des-cbc:指定IKE安全提議采用的加密算法為CBC模式的DES算法,DES算法采用56比特的密鑰進行加密。
【使用指導】
算法強度從低到高依次為des-cbc、3des-cbc、aes-cbc-128、aes-cbc-192、aes-cbc-256,算法強度越高,安全性越好,計算量越大。請根據實際組網環境中對安全性和性能的要求選擇適當強度的算法。
【舉例】
# 指定IKE提議1的加密算法為192比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-192
【相關命令】
l display ike proposal
exchange-mode命令用來選擇IKE第一階段的協商模式。
undo exchange-mode命令用來恢複缺省情況。
【命令】
非FIPS模式下:
exchange-mode { aggressive | main }
undo exchange-mode
FIPS模式下:
exchange-mode main
undo exchange-mode
【缺省情況】
IKE第一階段的協商模式為主模式。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
aggressive:野蠻模式。
main:主模式。
【使用指導】
當本端的IP地址為自動獲取(如本端用戶為撥號方式,IP地址為動態分配),且采用預共享密鑰認證方式時,建議將本端的協商模式配置為野蠻模式。
【舉例】
# 配置IKE第一階段協商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相關命令】
· display ike proposal
ike dpd命令用來配置全局IKE DPD功能。
undo ike dpd命令用來關閉全局IKE DPD功能。
【命令】
ike dpd interval interval-seconds [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情況】
全局IKE DPD功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval interval-seconds:指定觸發IKE DPD探測的時間間隔,取值範圍為1~300,單位為秒。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔。
retry seconds:指定DPD報文的重傳時間間隔,取值範圍為1~60,單位為秒,缺省值為5秒。
on-demand:指定按需探測模式,根據流量來探測對端是否存活,在本端發送IPsec報文時,如果發現當前距離最後一次收到對端報文的時間超過指定的觸發IKE DPD探測的時間間隔(即通過interval-seconds指定的時間),則觸發DPD探測。
periodic:指定定時探測模式,按照觸發IKE DPD探測的時間間隔(即通過interval-seconds指定的時間)定時探測對端是否存活。
【使用指導】
IKE DPD有兩種模式:按需探測模式和定時探測模式。一般若無特別要求,建議使用按需探測模式,在此模式下,僅在本端需要發送報文時,才會觸發探測;如果需要盡快地檢測出對端的狀態,則可以使用定時探測模式。在定時探測模式下工作,會消耗更多的帶寬和計算資源,因此當設備與大量的IKE對端通信時,應優先考慮使用按需探測模式。
如果IKE profile視圖下和係統視圖下都配置了DPD探測功能,則IKE profile視圖下的DPD配置生效,如果IKE profile視圖下沒有配置DPD探測功能,則采用係統視圖下的DPD配置。
建議配置的interval大於retry,使得直到當前DPD探測結束才可以觸發下一次DPD探測,在重傳DPD報文的過程中不觸發新的DPD探測。
【舉例】
# 配置流量觸發IKE DPD探測間隔時間為10秒,重傳時間間隔為5秒,探測模式為按需探測。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相關命令】
· dpd
ike identity命令用來配置本端身份信息,用於在IKE認證協商階段向對端標識自己的身份。
undo ike identity命令用來刪除配置的本端身份信息,並恢複為默認身份。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情況】
使用IP地址標識本端的身份,該IP地址為IPsec安全策略或IPsec安全策略模板應用的接口IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用從數字證書中獲得的DN名作為本端身份。
fqdn fqdn-name:指定標識本端身份的FQDN名稱,fqdn-name表示FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.com。不指定fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端FQDN類型的身份。
user-fqdn user-fqdn-name:指定標識本端身份的User FQDN名稱,user-fqdn-name表示User FQDN名稱,為1~255個字符的字符串,區分大小寫,例如[email protected]。不指定user-fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端user FQDN類型的身份。
【使用指導】
本命令用於全局配置IKE對等體的本端身份,適用於所有IKE SA的協商,而IKE profile下的local-identity為局部配置身份,僅適用於使用本IKE profile的IKE SA的協商。
如果本端的認證方式為數字簽名方式,則本端可以配置任何類型的身份信息;如果本端的認證方式為預共享密鑰方式,則隻能配置除DN之外的其它類型的身份信息。
如果希望在采用數字簽名認證時,總是從證書中的主題字段取得本端身份,則可以通過ike signature-identity from-certificate命令實現。如果沒有配置ike signature-identity from-certificate,並且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),則使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下沒有配置本端身份,則使用全局配置的本端身份(由ike identity命令指定)。
【舉例】
# 指定使用IP地址2.2.2.2標識本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相關命令】
l local-identity
· ike signature-identity from-certificate
ike invalid-spi-recovery enable命令用來使能針對無效IPsec SPI的IKE SA恢複功能。
undo ike invalid-spi-recovery enable命令用來恢複缺省情況。
【命令】
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
【缺省情況】
針對無效IPsec SPI的IKE SA恢複功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當IPsec隧道一端的安全網關出現問題(例如安全網關重啟)導致本端IPsec SA丟失時,會造成IPsec流量黑洞現象:一端(接收端)的IPsec SA已經完全丟失,而另一端(發送端)還持有對應的IPsec SA且不斷地向對端發送報文,當接收端收到發送端使用此IPsec SA封裝的IPsec報文時,就會因為找不到對應的SA而持續丟棄報文,形成流量黑洞。該現象造成IPsec通信鏈路長時間得不到恢複(隻有等到發送端舊的IPsec SA生命周期超時,並重建IPsec SA後,兩端的IPsec流量才能得以恢複),因此需要采取有效的IPsec SA恢複手段來快速恢複中斷的IPsec通信鏈路。
SA由SPI唯一標識,接收方根據IPsec報文中的SPI在SA數據庫中查找對應的IPsec SA,若接收方找不到處理該報文的IPsec SA,則認為此報文的SPI無效。如果接收端當前存在IKE SA,則會向對端發送刪除對應IPsec SA的通知消息,發送端IKE接收到此通知消息後,就會立即刪除此無效SPI對應的IPsec SA。之後,當發送端需要繼續向接收端發送報文時,就會觸發兩端重建IPsec SA,使得中斷的IPsec通信鏈路得以恢複;如果接收端當前不存在IKE SA,就不會觸發本端向對端發送刪除IPsec SA的通知消息,接受端將默認丟棄無效SPI的IPsec 報文,使得鏈路無法恢複。後一種情況下,如果使能了IPsec無效SPI恢複IKE SA功能,就會觸發本端與對端協商新的IKE SA並發送刪除消息給對端,從而使鏈路恢複正常。
由於使能此功能後,若攻擊者偽造大量源IP地址不同但目的IP地址相同的無效SPI報文發給設備,會導致設備因忙於與無效對端協商建立IKE SA而麵臨受到DoS(Denial of Sevice)攻擊的風險,通常情況下,建議關閉針對無效IPsec SPI的IKE SA恢複功能。
【舉例】
# 使能IPsec無效SPI恢複IKE SA功能。
<Sysname> system-view
[Sysname] ike invalid-spi-recovery enable
ike keepalive interval命令用來配置通過IKE SA向對端發送IKE Keepalive報文的時間間隔。
undo ike keepalive interval命令用來恢複缺省情況。
【命令】
ike keepalive interval seconds
undo ike keepalive interval
【缺省情況】
不向對端發送IKE Keepalive報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:指定向對端發送IKE SA的Keepalive報文的時間間隔,取值範圍為20~28800,單位為秒。
【使用指導】
當有檢測對方IKE SA和IPsec SA是否存活的需求時,通常建議配置IKE DPD,不建議配置IKE Keepalive功能。僅當對方不支持IKE DPD特性,但支持IKE Keepalive功能時,才考慮配置IKE Keepalive功能。
本端配置的IKE Keepalive報文的等待超時時間要大於對端發送的時間間隔。由於網絡中一般不會出現超過三次的報文丟失,所以,本端的超時時間可以配置為對端配置的發送IKE Keepalive報文的時間間隔的三倍。
【舉例】
# 配置本端向對端發送Keepalive報文的時間間隔為200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相關命令】
· ike keepalive timeout
ike keepalive timeout命令用來配置本端等待對端發送IKE Keepalive報文的超時時間。超過該時間之後,本端的IKE SA將會被刪除。
undo ike keepalive timeout命令用來恢複缺省情況。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情況】
永不超時。無論是否收到對端的IKE Keepalive報文,本端IKE SA僅按照協商出來的老化時間進行老化。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:指定本端等待對端發送IKE Keepalive報文的超時時間,取值範圍為20~28800,單位為秒。
【使用指導】
本端配置的等待對端發送IKE Keepalive報文的超時時間要大於對端發送IKE Keepalive報文的時間間隔。由於網絡中一般不會出現超過三次的報文丟失,所以,本端的超時時間可以配置為對端配置的發送IKE Keepalive報文的時間間隔的三倍。
【舉例】
# 配置本端等待對端發送IKE Keepalive報文的超時時間為20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相關命令】
· ike keepalive interval
ike keychain命令用來創建並進入一個IKE keychain視圖,該視圖用於配置IKE對等體的密鑰信息。
undo ike keychain命令用來刪除指定的IKE keychain以及IKE對等體的密鑰信息。
【命令】
ike keychain keychain-name [ vpn-instance vpn-name ]
undo ike keychain keychain-name [ vpn-instance vpn-name ]
【缺省情況】
不存在IKE keychain。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
keychain-name:IKE keychain的名字,為1~63個字符的字符串,不區分大小寫。
vpn-instance vpn-name:指定IKE keychain所屬的VPN。vpn-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示IKE keychain屬於公網。
【使用指導】
在IKE需要通過預共享密鑰方式進行認證時,需要創建並指定IKE keychain。
【舉例】
# 創建IKE keychain key1並進入IKE keychain視圖。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相關命令】
l authentication-method
l pre-shared-key
ike limit命令用來配置對本端IKE SA數目的限製。
undo ike limit命令用來恢複缺省情況。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情況】
不限製IKE SA數目。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-negotiating-sa negotiation-limit:指定允許同時處於協商狀態的IKE SA的最大數,取值範圍為1~99999。
max-sa sa-limit:指定允許建立的IKE SA的最大數,取值範圍為1~99999。
【使用指導】
可以通過max-negotiating-sa參數設置允許同時協商更多的IKE SA,以充分利用設備處理能力,以便在設備有較強處理能力的情況下得到更高的新建性能;可以通過該參數設置允許同時協商更少的IKE SA,以避免產生大量不能完成協商的IKE SA,以便在設備處理能力較弱時保證一定的新建性能。
可以通過max-sa參數設置允許建立更多的IKE SA,以便在設備有充足內存的情況下得到更高的並發性能;可以通過該參數設置允許建立更少的IKE SA,以便在設備沒有充足的內存的情況下,使IKE不過多占用係統內存。
【舉例】
# 配置本端允許同時處於協商狀態的IKE SA最大數為200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允許成功建立的IKE SA的最大數為5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
ike nat-keepalive命令用來配置向對端發送NAT Keepalive報文的時間間隔。
undo ike nat-keepalive命令用來恢複缺省情況。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情況】
向對端發送NAT Keepalive報文的時間間隔為20秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:指定向對端發送NAT Keepalive報文的時間間隔,取值範圍為5~300,單位為秒。
【使用指導】
該命令僅對位於NAT之後的設備(即該設備位於NAT設備連接的私網側)有意義。NAT之後的IKE網關設備需要定時向NAT之外的IKE網關設備發送NAT Keepalive報文,以便維持NAT設備上對應的IPsec流量的會話存活,從而讓NAT之外的設備可以訪問NAT之後的設備。
因此,需要確保該命令配置的時間小於NAT設備上會話表項的存活時間。
【舉例】
# 配置向對端發送NAT Keepalive報文的時間間隔為5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
ike profile命令用來創建一個IKE profile,並進入IKE profile視圖。
undo ike profile命令用來刪除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情況】
不存在IKE profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:IKE profile名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 創建IKE profile 1,並進入其視圖。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用來創建IKE提議,並進入IKE提議視圖。
undo ike proposal命令用來刪除一個IKE提議。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情況】
係統提供一條缺省的IKE提議,此缺省的IKE提議具有最低的優先級。缺省的提議的參數不可修改,其參數包括:
l 加密算法:非FIPS模式下使用DES-CBC,FIPS模式下使用AES-CBC-128
l 認證算法:HMAC-SHA1
l 認證方法:預共享密鑰
l DH密鑰交換參數:非FIPS模式使用group1,FIPS模式下使用group14
l IKE SA存活時間:86400秒
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
proposal-number:IKE提議序號,取值範圍為1~65535。該序號同時表示優先級,數值越小,優先級越高。
【使用指導】
在進行IKE協商的時候,協商發起方會將自己的IKE提議發送給對端,由對端進行匹配。若發起方使用的IPsec安全策略中沒有引用IKE profile,則會將當前係統中所有的IKE提議發送給對端;否則,發起方會將引用的IKE profle中的所有IKE提議發送給對端。
響應方則以對端發送的IKE提議優先級從高到低的順序與本端所有的IKE提議進行匹配,一旦找到匹配項則停止匹配並使用匹配的提議,否則繼續查找其它的IKE提議。如果本端配置中沒有和對端匹配的IKE提議,則使用係統缺省的IKE提議進行匹配。
【舉例】
# 創建IKE提議1,並進入IKE提議視圖。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相關命令】
· display ike proposal
ike signature-identity from-certificate命令用來配置當使用數字簽名認證方式時,本端的身份總是從本端證書的主題字段中獲得,不論local-identity或ike identity如何配置。
undo ike signature-identity from-certificate命令用來恢複缺省的情況。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情況】
當使用數字簽名認證方式時,本端身份信息由local-identity或ike identity命令指定。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在采用IPsec野蠻協商模式以及數字簽名認證方式的情況下,與僅支持使用DN類型身份進行數字簽名認證的ComwareV5設備互通時需要配置本命令。
如果沒有配置ike signature-identity from-certificate,並且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),則使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下沒有配置本端身份,則使用全局配置的本端身份(由ike identity命令指定)。
【舉例】
# 在采用數字簽名認證時,指定總從本端證書中的主題字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相關命令】
l local-identity
l ike identity
inside-vpn 命令用來指定內部VPN實例。
undo inside-vpn 命令用來取消指定的內部VPN實例。
【命令】
inside-vpn vpn-instance vpn-name
undo inside-vpn
【缺省情況】
IKE profile未指定內部VPN實例,設備在與外網相同的VPN中查找路由。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
vpn-instance vpn-name:保護的數據屬於指定的VPN。vpn-name為MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【舉例】
# 在IKE profile prof1中指定內部VPN實例為vpn1。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1
keychain命令用來指定采用預共享密鑰認證時使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情況】
未指定IKE keychain。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
keychain-name:指定配置的IKE keychain名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
一個IKE profile中最多可以指定六個IKE keychain,先配置的IKE keychain優先級高。
【舉例】
# 在IKE profile 1中指定名稱為abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相關命令】
· ike keychain
local-identity命令用來配置本端身份信息,用於在IKE認證協商階段向對端標識自己的身份。
undo local-identity命令用來刪除配置的本端身份信息。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情況】
未配置本端身份信息。此時使用係統視圖下通過ike identity命令配置的身份信息作為本端身份信息。若兩者都沒有配置,則使用IP地址標識本端的身份,該IP地址為IPsec安全策略或IPsec安全策略模板應用的接口的IP地址。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
address { ipv4-address | ipv6 ipv6-address }:指定標識本端身份的IP地址,其中ipv4-address為標識本端身份的IPv4地址,ipv6-address為標識本端身份的IPv6地址。
dn:使用從本端數字證書中獲得的DN名作為本端身份。
fqdn fqdn-name:指定標識本端身份的FQDN名稱,fqdn-name為1~255個字符的字符串,區分大小寫,例如www.test.com。不指定fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端FQDN類型的身份。
user-fqdn user-fqdn-name:指定標識本端身份的user FQDN名稱,user-fqdn-name為1~255個字符的字符串,區分大小寫,例如[email protected]。不指定user-fqdn-name時,則設備將使用sysname命令配置的設備的名稱作為本端user FQDN類型的身份。
【使用指導】
如果本端的認證方式為數字簽名方式,則本端可以配置任何類型的身份信息;如果本端的認證方式為預共享密鑰方式,則隻能配置除DN之外的其它類型的身份信息。
如果本端的認證方式為數字簽名方式,且配置的本端身份為IP地址,但這個IP地址與本端證書中的IP地址不同,則設備將使用FQDN類型的本端身份標識,該標識為使用sysname命令配置的設備名稱。
響應方使用發起方的身份信息查找本地的IKE profile,通過與match remote命令中指定的發起方身份信息進行匹配,可查找到本端要采用的IKE profile。
一個IKE profile中隻能配置一條本端身份信息。
IKE profile下的本端身份信息優先級高於係統視圖下通過ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,則使用係統視圖下配置的本端身份信息。
【舉例】
# 創建IKE profile,名稱為prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定使用IP地址2.2.2.2標識本端身份。
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相關命令】
l match remote
· ike identity
match local address命令用來限製IKE keychain的使用範圍,即IKE keychain隻能用於指定地址或指定接口的地址上的IKE協商。
undo match local address命令用來取消對IKE keychain使用範圍的限製。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-name ] }
undo match local address
【缺省情況】
未限製IKE keychain的使用範圍。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
【參數】
interface-type interface-number:本端接口名稱。可以是任意的三層接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
vpn-instance vpn-name:指定接口地址所屬的VPN。vpn-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示接口地址屬於公網。
【使用指導】
此命令用於限製IKE keychain隻能用於指定地址或指定接口的地址上的協商,這裏的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通過命令local-address配置),若本端地址沒有配置,則為引用IPsec安全策略的接口的IP地址。
一個IKE profile中最多可以指定六個IKE keychain,先配置的IKE keychain優先級高。若希望本端在匹配某些IKE keychain的時候,不按照配置的優先級來查找,則可以通過本命令來指定這類IKE keychain的使用範圍。例如,IKE keychain A中的預共享密鑰的匹配地址範圍大(2.2.0.0/16),IKE keychain B中的預共享密鑰的匹配地址範圍小(2.2.2.0/24),IKE keychain A先於IKE keychain B配置。若希望本端IP地址為2.2.2.2的接口上使用IKE keychain B,但是按照配置順序匹配,依據本端IP地址2.2.2.2總會匹配到預共享密鑰地址範圍大的IKE keychain A,而找不到期望的IKE keychain B。這中情況下,可以通過配置IKE keychainB在指定地址2.2.2.2的接口上使用,使其找到正確的預共享密鑰。
【舉例】
# 創建IKE keychain,名稱為key1。
<Sysname> system-view
[Sysname] ike keychain key1
# 限製IKE keychain key1隻能在名稱為vpn1的VPN實例中IP地址為2.2.2.2的接口上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1
match local address命令用來限製IKE profile的使用範圍,即IKE profile隻能用於指定地址或指定接口的地址上的IKE協商。
undo match local address命令用來取消對IKE profile使用範圍的限製。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-name ] }
undo match local address
【缺省情況】
未限製IKE profile的使用範圍。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
interface-type interface-number:本端接口名稱。可以是任意三層接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
vpn-instance vpn-name:指定接口地址所屬的VPN。vpn-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示接口地址屬於公網。
【使用指導】
此命令用於限製IKE profile隻能用於指定地址或指定接口的地址上的協商,這裏的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通過命令local-address配置),若本端地址沒有配置,則為引用IPsec安全策略的接口的IP地址。
先配置的IKE profile優先級高,若希望本端在匹配某些IKE profile的時候,不按照配置的優先級來查找,則可以通過本命令來指定這類IKE profile的使用範圍。例如,IKE profile A中的match remote地址範圍大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址範圍小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先於IKE profile B配置。若希望本端IP地址為2.2.2.2的接口上使用IKE profile B,但是按照配置順序匹配,依據本端IP地址2.2.2.2總會匹配到預共享密鑰地址範圍大的IKE profile A,而找不到期望的IKE profile B。這種情況下,可以通過配置IKE profile B在指定地址2.2.2.2的接口上使用,使其找到正確的IKE profile。
【舉例】
# 創建IKE profile,名稱為prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 限製IKE profile prof1 隻能在名稱為vpn1的VPN中IP地址為2.2.2.2的接口上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1
match remote命令用來配置一條用於匹配對端身份的規則。
undo match remote命令用來刪除一條用於匹配對端身份的規則。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name } }
【缺省情況】
未配置任何用於匹配對端身份的規則。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
certificate policy-name:基於對端數字證書中的信息匹配IKE profile。其中,policy-name是證書訪問控製策略的名稱,為1~31個字符的字符串。本參數用於響應方根據收到的發起方證書中的DN字段來過濾使用的IKE profile。
identity:基於指定的對端身份信息匹配IKE profile。本參數用於響應方根據發起方通過local-identity命令配置的身份信息來選擇使用的IKE profile。
· address ipv4-address [ mask | mask-length ]:對端IPv4地址或IPv4網段。其中,ipv4-address為IPv4地址,mask為子網掩碼,mask-length為子網掩碼長度,取值範圍為0~32。
· address range low-ipv4-address high-ipv4-address:對端IPv4地址範圍。其中low-ipv4-address為起始IPv4地址,high-ipv4-address為結束IPv4地址。結束地址必須大於起始地址。
· address ipv6 ipv6-address [ prefix-length ] :對端IPv6地址或IPv6網段。其中,ipv6-address為IPv6地址,prefix-length為IPv6前綴,取值範圍為0~128。結束地址必須大於起始地址。
· address ipv6 range low-ipv6-address high-ipv6-address:對端IPv6地址範圍。其中low-ipv6-address為起始IPv6地址,high-ipv6-address為結束IPv6地址。
· fqdn fqdn-name:對端FQDN名稱,為1~255個字符的字符串,區分大小寫,例如www.test.com。
· user-fqdn user-fqdn-name:對端User FQDN名稱,為1~255個字符的字符串,區分大小寫,例如[email protected]。
vpn-instance vpn-name:指定對端地址所屬的MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定該參數,則表示對端地址屬於公網。
【使用指導】
響應方根據發起發的身份信息通過本配置查找IKE profile並驗證對端身份,發起方根據響應方的身份信息通過本配置驗證對端身份。
協商雙方都必須配置至少一個match remote規則,當對端的身份與IKE profile中配置的match remote規則匹配時,則使用此IKE profile中的信息與對端完成認證。為了使得每個對端能夠匹配到唯一的IKE profile,不建議在兩個或兩個以上IKE profile中配置相同的match remote規則,否則能夠匹配到哪個IKE profile是不可預知的。
match remote規則可以配置多個,並同時都有效,其匹配優先級為配置順序。
【舉例】
# 創建IKE profile,名稱為prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配對端身份類型為FQDN,取值為www.test.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.com
# 指定需要匹配對端身份類型為IP地址,取值為10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相關命令】
· local-identity
pre-shared-key命令用來配置預共享密鑰。
undo pre-shared-key命令用來取消配置的預共享密鑰。
【命令】
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher cipher-key | simple simple-key }
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情況】
未配置預共享密鑰。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
【參數】
address:對端的地址。
ipv4-address:對端的IPv4地址。
mask:對端的IPv4地址掩碼,缺省值為255.255.255.255。
mask-length:對端的IPv4地址掩碼長度,取值範圍為0~32,缺省值為32。
ipv6:指定對端的IPv6地址。
ipv6-address:對端的IPv6地址。
prefix-length:對端的IPv6地址前綴長度,取值範圍為0~128,缺省值為128。
hostname host-name:對端主機名。取值範圍為1~255,區分大小寫。
key:設置的預共享密鑰。
simple:表示以明文方式設置預共享密鑰。
simple-key:設置的明文密鑰。非FIPS模式下,為1~128個字符的字符串,區分大小寫;FIPS模式下,為15~128個字符的字符串,區分大小寫,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符)。
cipher:表示以密文方式設置預共享密鑰。
cipher-key:設置密文密鑰。非FIPS模式下,為1~201個字符的字符串,區分大小寫;FIPS模式下,為15~201個字符的字符串,區分大小寫。
【使用指導】
配置預共享密鑰的同時,還通過參數address和hostname指定了使用該預共享密鑰的匹配條件,即與哪些IP地址或哪些主機名的對端協商時,才可以使用該預共享密鑰。
IKE協商雙方必須配置了相同的預共享密鑰,預共享密鑰類型的身份認證才會成功。
以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
【舉例】
# 創建IKE keychain key1並進入IKE keychain視圖。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置與地址為1.1.1.2的對端使用的預共享密鑰為明文的123456。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456
【相關命令】
l authentication-method
l keychain
priority命令用來指定IKE keychain的優先級。
undo priority命令用來恢複缺省情況。
【命令】
priority number
undo priority
【缺省情況】
IKE keychain的優先級為100。
【視圖】
IKE keychain視圖
【缺省用戶角色】
network-admin
【參數】
priority number:IKE keychain優先級,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
配置了match local address的IKE keychain,優先級高於所有未配置match local address的IKE keychain。即IKE keychain的使用優先級首先決定於其中是否配置了match local address,其次取決於它的優先級。
【舉例】
# 指定IKE keychain key1的優先級為10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用來指定IKE profile的優先級。
undo priority 命令用來恢複缺省情況。
【命令】
priority number
undo priority
【缺省情況】
IKE profile的優先級為100。
【視圖】
IKE-Profile視圖
【缺省用戶角色】
network-admin
【參數】
priority number:IKE profile優先級號,取值範圍為1~65535。該數值越小,優先級越高。
【使用指導】
配置了match local address的IKE profile,優先級高於所有未配置match local address的IKE profile。即IKE profile的匹配優先級首先決定於其中是否配置了match local address,其次決定於它的優先級。
【舉例】
# 指定在IKE profile prof1的優先級為10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用來配置IKE profile引用的IKE提議。
undo proposal 命令用來取消所有引用的IKE提議。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情況】
IKE profile未引用任何IKE提議,使用係統視圖下配置的IKE提議進行IKE協商。
【視圖】
IKE profile視圖
【缺省用戶角色】
network-admin
【參數】
proposal-number&<1-6>:IKE提議序號,取值範圍為1~65535。該序號在IKE profile中與優先級無關,先配置的IKE提議優先級高。&<1-6>表示前麵的參數最多可以輸入6次。
【使用指導】
IKE協商過程中,對於發起方,如果使用的IPsec安全策略下指定了IKE profile,則使用IKE profile中引用的IKE提議進行協商;對於響應方,則使用係統視圖下配置的IKE提議與對端發送的IKE提議進行匹配。
【舉例】
# 設置IKE profile prof1引用序號為10的IKE安全提議。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相關命令】
· ike proposal
reset ike sa命令用來清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
connection-id connection-id:清除指定連接ID的IKE SA,取值範圍為1~2000000000。
【使用指導】
刪除IKE SA時,會向對端發送刪除通知消息。
【舉例】
# 查看當前的IKE SA。
<Sysname> display ike sa
Total IKE SAs: 2
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD|ST IPSEC
2 202.38.0.3 RD|ST IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
# 清除連接ID號為2 的IKE SA。
<Sysname> reset ike sa 2
# 查看當前的IKE SA。
<Sysname> display ike sa
Total IKE SAs: 1
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD|ST IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
sa duration命令用來指定一個IKE提議的IKE SA存活時間,超時後IKE SA將自動更新。
undo sa duration命令用來恢複缺省情況。
【命令】
sa duration seconds
undo sa duration
【缺省情況】
IKE提議的IKE SA存活時間為86400秒。
【視圖】
IKE提議視圖
【缺省用戶角色】
network-admin
【參數】
seconds:指定IKE SA存活時間,取值範圍為60~604800,單位為秒。
【使用指導】
在指定的IKE SA存活時間超時前,設備會提前協商另一個IKE SA來替換舊的IKE SA。在新的IKE SA還沒有協商完之前,依然使用舊的IKE SA;在新的IKE SA建立後,將立即使用新的IKE SA,而舊的IKE SA在存活時間超時後,將被自動清除。
如果協商雙方配置了不同的IKE SA存活時間,則時間較短的存活時間生效。
【舉例】
# 指定IKE提議1的IKE SA存活時間600秒(10分鍾)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相關命令】
· display ike proposal
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
