09-IPsec命令
本章节下载: 09-IPsec命令 (446.24 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec statistics
1.1.8 display ipsec transform-set
1.1.11 esp authentication-algorithm
1.1.12 esp encryption-algorithm
1.1.14 ipsec { ipv6-policy | policy }
1.1.15 ipsec { ipv6-policy | policy } isakmp template
1.1.16 ipsec { ipv6-policy | policy } local-address
1.1.17 ipsec { ipv6-policy-template | policy-template } policy-template
1.1.18 ipsec anti-replay check
1.1.19 ipsec anti-replay window
1.1.21 ipsec decrypt-check enable
1.1.24 ipsec logging packet enable
1.1.26 ipsec redundancy enable
1.1.27 ipsec sa global-duration
1.1.34 redundancy replay-interval
1.1.39 sa hex-key authentication
1.1.45 snmp-agent trap enable ipsec
2.1.11 ike invalid-spi-recovery enable
2.1.19 ike signature-identity from-certificate
2.1.22 match local address (IKE keychain view)
2.1.23 match local address (IKE profile view)
2.1.26 priority (IKE keychain view)
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· IPsec功能中所指的“接口”为三层接口,包括VLAN接口、三层以太网接口等。三层以太网接口是指在以太网接口视图下通过port link-mode route命令切换为三层模式的以太网接口,有关以太网接口模式切换的操作,请参见“二层技术-以太网交换配置指导”中的“以太网接口配置”。
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来删除所有指定的AH协议采用的认证算法。
非FIPS模式下:
ah authentication-algorithm { md5 | sha1 } *
undo ah authentication-algorithm
FIPS模式下:
ah authentication-algorithm sha1
undo ah authentication-algorithm
【缺省情况】
AH协议没有采用任何认证算法。
IPsec安全提议视图
【缺省用户角色】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
非FIPS模式下,每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【缺省情况】
IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省用户角色】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【缺省用户角色】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
· 如果不指定任何参数,则显示所有IPsec安全策略的信息。
· 如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
Interface: Vlan-interface 1
-------------------------------------------
-----------------------------
Sequence number: 10
Mode: manual
-----------------------------
Security data flow: 3101
Remote address: 192.168.0.64
Transform set: tran1
Inbound AH setting:
AH SPI:
AH string-key:
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 54321 (0x0000d431)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI:
AH string-key:
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 12345 (0x00003039)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 1
Mode: manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: isakmp
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Security data flow:
Selector mode: standard
Local address:
Remote address:
Transform set:
IKE profile:
SA duration(time based):
SA duration(traffic based):
SA idle time:
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: isakmp
-----------------------------
Description: This is my complete policy
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
SA duration(time based):
SA duration(traffic based):
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表
IPsec安全策略的名称 |
|
应用了IPsec安全策略的接口名称 |
|
IPsec安全策略表项的顺序号 |
|
IPsec安全策略采用的协商方式 · mannul:手工方式 · isakmp:IKE协商方式 · template:策略模板方式 |
|
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
|
IPsec安全策略的描述信息 |
|
IPsec安全策略引用的ACL |
|
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
|
IPsec隧道的对端IP地址或主机名 |
|
IPsec安全策略引用的IPsec安全提议的名字 |
|
IPsec安全策略引用的IKE对等体的名称 |
|
基于时间的IPsec SA生命周期,单位为秒 |
|
基于流量的IPsec SA生命周期,单位为千字节 |
|
IPsec SA的空闲超时时间,单位为秒 |
|
入方向采用的AH协议的相关设置 |
|
出方向采用的AH协议的相关设置 |
|
AH协议的SPI |
|
AH协议的字符类型的密钥(若配置,则显示为******) |
|
AH协议的十六进制密钥(若配置,则显示为******) |
|
入方向采用的ESP协议的相关设置 |
|
出方向采用的ESP协议的相关设置 |
|
ESP协议的SPI |
|
ESP协议的字符类型的密钥(若配置,则显示为******) |
|
ESP协议的十六进制加密密钥(若配置,则显示为******) |
|
ESP协议的十六进制认证密钥(若配置,则显示为******) |
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【缺省用户角色】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
· 如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
· 如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Security data flow :
IKE profile: None
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
# 显示所有IPv6 IPsec安全策略模板的详细信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Security data flow :
IKE profile: None
Remote address: 200::1/64
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
IPsec安全策略模板名称 |
|
IPsec安全策略模板表项的序号 |
|
IPsec安全策略模板的描述信息 |
|
IPsec安全策略模板引用的ACL |
|
IPsec安全策略模板引用的IKE对等体名称 |
|
IPsec隧道的对端IP地址 |
|
IPsec安全策略模板引用的安全提议的名字 |
|
基于时间的IPsec SA生命周期,单位为秒 |
|
基于流量的IPsec SA生命周期,单位为千字节 |
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用来显示IPsec安全框架的信息。
display ipsec profile [ profile-name ]
【缺省用户角色】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Description:
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-3 display ipsec profile命令显示信息描述表
IPsec安全框架的名称 |
|
IPsec安全框架采用的协商方式,目前仅支持手工方式(mannul) |
|
IPsec安全框架的描述信息 |
|
IPsec安全策略引用的IPsec安全提议的名字 |
|
入方向采用的AH协议的相关设置 |
|
出方向采用的AH协议的相关设置 |
|
AH协议的SPI |
|
AH协议的字符类型的密钥 |
|
AH协议的十六进制密钥 |
|
入方向采用的ESP协议的相关设置 |
|
出方向采用的ESP协议的相关设置 |
|
ESP协议的SPI |
|
ESP协议的字符类型的密钥 |
|
ESP协议的十六进制加密密钥 |
|
ESP协议的十六进制认证密钥 |
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【缺省用户角色】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名字,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
Vlan-int1 192.168.0.64 12345 ESP Active
Vlan-int1 192.168.0.61 54321 ESP Active
表1-4 display ipsec sa brief命令显示信息描述表
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec profile生成) |
|
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
IPsec SA的SPI |
|
IPsec采用的安全协议 |
|
IPsec SA的状态,取值只能为Active |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
-------------------------------
Interface: Vlan-interface 1
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: manual
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Path MTU: 1427
Tunnel:
local address: 192.168.0.61
remote address: 192.168.0.64
Flow:
as defined in ACL 3101
[Inbound ESP SA]
SPI: 54321 (0x0000d431)
Transform set: ESP-ENCRYPT-AES-CBC-192 ESP-AUTH-SHA1
No duration limit for this SA
[Outbound ESP SA]
SPI: 12345 (0x00003039)
Transform set: ESP-ENCRYPT-AES-CBC-192 ESP-AUTH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令显示信息描述表
IPsec SA所在的接口 |
|
采用的IPsec安全策略名 |
|
采用的IPsec安全框架名 |
|
IPsec安全策略表项顺序号 |
|
IPsec安全策略采用的协商方式 · mannul:手工方式 · isakmp:IKE协商方式 |
|
IPsec隧道的ID号 |
|
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) |
|
IPsec SA的路径MTU值 |
|
IPsec隧道的端点地址信息 |
|
IPsec隧道的本端IP地址 |
|
IPsec隧道的对端IP地址 |
|
数据流的源IP地址 |
|
数据流的目的IP地址 |
|
入方向的ESP协议的IPsec SA信息 |
|
出方向的ESP协议的IPsec SA信息 |
|
入方向的AH协议的IPsec SA信息 |
|
出方向的AH协议的IPsec SA信息 |
|
IPsec SA的SPI |
|
IPsec安全提议所采用的安全协议及算法 |
|
IPsec SA生存时间,单位为千字节或者秒 |
|
剩余的IPsec SA生存时间,单位为千字节或者秒 |
|
此IPsec SA是否使用NAT穿越功能 |
|
IPsec SA的状态,取值只能为Active |
|
手工方式创建的IPsec SA无生命周期 |
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
display ipsec statistics [ tunnel-id tunnel-id ]
【缺省用户角色】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
表1-6 display ipsec statistics命令显示信息描述表
IPsec处理的报文统计信息 |
|
接收/发送的受安全保护的数据包的数目 |
|
接收/发送的受安全保护的字节数目 |
|
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
因为IPsec SA错误而被丢弃的数据包的数目 |
|
因为ACL检测失败而被丢弃的数据包的数目 |
|
因为MTU检测失败而被丢弃的数据包的数目 |
|
display ipsec transform-set命令用来显示IPsec安全提议的信息。
display ipsec transform-set [ transform-set-name ]
【缺省用户角色】
transform-set-name:指定IPsec安全提议的名字,为1~63个字符的字符串,不区分大小写。
如果没有指定IPsec安全提议的名字,则显示所有IPsec安全提议的信息。
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-7 display ipsec transform-set命令显示信息描述表
IPsec安全提议的名字 |
|
IPsec安全提议是否完整 |
|
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH协议相关配置 |
|
ESP协议相关配置 |
|
display ipsec tunnel命令用来显示IPsec隧道的信息。
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【缺省用户角色】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 192.168.0.61 192.168.0.64 54321 12345 Active
表1-8 display ipsec tunnel brief命令显示信息描述表
IPsec隧道的ID号 |
|
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
IPsec隧道中生效的入方向SPI |
|
IPsec隧道中生效的出方向SPI |
|
IPsec SA的状态,取值只能为Active |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-9 display ipsec tunnel命令显示信息描述表
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
IPsec隧道的状态,取值只能为Active |
|
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) |
|
出方向和入方向的IPsec SA的SPI |
|
IPsec隧道的端点地址信息 |
|
IPsec隧道的本端IP地址 |
|
IPsec隧道的对端IP地址 |
|
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
encapsulation-mode { transport | tunnel }
【缺省情况】
使用隧道模式对IP报文进行封装。
IPsec安全提议视图
【缺省用户角色】
transport:采用传输模式。
tunnel:采用隧道模式。
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
IPsec profile要引用的IPsec安全提议所采用的封装模式必须为传输模式。
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
· ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来删除所有指定的ESP协议采用的认证算法。
非FIPS模式下:
esp authentication-algorithm { md5 | sha1 } *
undo esp authentication-algorithm
FIPS模式下:
esp authentication-algorithm sha1
undo esp authentication-algorithm
【缺省情况】
ESP协议没有采用任何认证算法。
IPsec安全提议视图
【缺省用户角色】
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
非FIPS模式下,每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
# 配置IPsec安全提议采用的ESP认证算法为HMAC-SHA1算法,密钥长度为160比特。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来删除所有指定的ESP协议采用的加密算法。
非FIPS模式下:
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | null } *
FIPS模式下:
esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }*
【缺省情况】
ESP协议没有采用任何加密算法。
IPsec安全提议视图
【缺省用户角色】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
null:采用NULL加密算法,表示不进行加密。
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
# 配置IPsec安全提议采用的ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板引用的IKE profile。
undo ike-profile命令用来取消在IPsec安全策略/安全策略模板中引用IKE profile。
【缺省情况】
IPsec安全策略/IPsec安全策略模板没有引用任何IKE profile。若系统视图下配置了IKE profile,则使用系统视图下配置的IKE profile进行协商,否则使用全局的IKE参数进行协商。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
IPsec安全策略、IPsec安全策略模板引用的IKE profile中定义了用于IKE协商的相关参数。
一个IPsec安全策略视图或一个IPsec安全策略模板视图下只能引用一个IKE profile,且不能引用已经被其它IPsec安全策略或IPsec安全策略模板引用的IKE profile。
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
· ike profile(安全命令参考/IKE)
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在任何IPsec安全策略。
【缺省用户角色】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
· 创建IPsec安全策略时,必须指定协商方式(isakmp或manual)。进入已创建的IPsec安全策略时,可以不指定协商方式。
· 不能修改已创建的IPsec安全策略的协商方式。
· 一个IPsec安全策略是若干具有相同名字、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
· 对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除指定IPsec安全策略的所有表项。
· IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
# 创建一个名字为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名字为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
· display ipsec { ipv6-policy | policy }
ipsec { ipv6-policy | policy } isakmp template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
没有任何IPsec安全策略存在。
【缺省用户角色】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名字,为1~63个字符的字符串,不区分大小写。该IPsec安全策略模板必须已经存在。
· 不携带seq-number参数的undo命令用来删除一个安全策略。
· 应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
# 引用IPsec策略模板temp1,创建名字为policy2、顺序号为200的IPsec安全策略。
[Sysname] ipsec policy policy2 200 isakmp template temp1
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【缺省用户角色】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
· 当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
· 只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
l 一个IPsec安全策略只能与一个源接口绑定。当需要将其绑定到另外一个源接口时,需要先解除与当前源接口的绑定关系,再与其它源接口绑定。
· 一个源接口可以同时与多个IPsec安全策略绑定。
· 推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
[Sysname] ipsec policy map local-address loopback 11
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec安全策略模板。
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在任何IPsec安全策略模板。
【缺省用户角色】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名字,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。
· 一个IPsec安全策略模板是若干具有相同名字、不同顺序号的IPsec安全策略模板表项的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。
# 创建一个名字为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。
undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
【缺省情况】
IPsec抗重放检测功能处于开启状态。
【缺省用户角色】
对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过使能IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能使能与否对手工方式生成的IPsec SA没有影响。
# 开启IPsec抗重放检测功能。
[Sysname] ipsec anti-replay check
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。
undo ipsec anti-replay window命令用来恢复缺省情况。
ipsec anti-replay window width
【缺省情况】
IPsec抗重放窗口的宽度为64。
【缺省用户角色】
width:IPsec抗重放窗口的宽度,可取的值为64、128、256、512、1024,单位为报文个数。
【描述】
修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
# 配置IPsec抗重放窗口的宽度为128。
[Sysname] ipsec anti-replay window 128
ipsec apply命令用来在接口上应用IPsec安全策略。
undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上没有应用任何IPsec安全策略。
【缺省用户角色】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
一个接口下只能应用一个IPsec安全策略。若要在接口下应用一个新的安全策略时,首先需要将该接口下已经应用的IPsec安全策略取消,再重新引用新的IPsec安全策略。
IKE方式的IPsec安全策略可以应用到多个接口上,但建议只应用到一个接口上;手工方式的IPsec安全策略只能应用到一个接口上。
# 在Vlan-interface1接口上应用名为policy1的IPsec安全策略。
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ipsec apply policy policy1
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check enable
【缺省情况】
解封装后IPsec报文的ACL检查功能处于开启状态。
【缺省用户角色】
在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。使能该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。
# 开启解封装后IPsec报文的ACL检查功能。
[Sysname] ipsec decrypt-check enable
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
ipsec df-bit { clear | copy | set }
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【缺省用户角色】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
# 在Vlan-interface1接口上设置IPsec封装后外层IP头的DF位。
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] ipsec df-bit set
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
ipsec global-df-bit { clear | copy | set }
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【缺省用户角色】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
# 为所有接口设置IPsec封装后外层IP头的DF位。
[Sysname] ipsec global-df-bit set
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【缺省用户角色】
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
# 开启IPsec报文日志记录功能。
[Sysname] ipsec logging packet enable
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。
undo ipsec profile命令用来删除指定的IPsec安全框架。
ipsec profile profile-name [ manual ]
undo ipsec profile profile-name
【缺省情况】
没有任何IPsec安全框架存在。
【缺省用户角色】
profile-name:IPsec安全框架的名字,为1~63个字符的字符串,不区分大小写。
manual:手工方式的IPsec安全框架。
· 创建IPsec安全框架时,必须指定协商方式(目前只支持manual);进入已创建的IPsec安全框架时,可以不指定协商方式。
· IPsec profile专门用于为应用协议配置IPsec安全策略,它相当于一个手工方式创建的IPsec安全策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。
# 配置名字为profile1的IPsec安全框架。
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile-profile1]
· display ipsec profile
ipsec redundancy enable命令用来使能IPsec冗余备份功能。
undo ipsec redundancy enable命令用来恢复缺省情况。
undo ipsec redundancy enable
【缺省情况】
IPsec冗余备份功能处于关闭状态。
【缺省用户角色】
【使用指导】
使能冗余备份功能后,系统会根据命令redundancy replay-interval指定的备份间隔对系统中的所有IPsec SA进行抗重放窗口值和序列号的备份,当IRF系统中发生主备切换时,可以保证主备IPsec流量不中断。
# 使能IPsec冗余备份功能。
[Sysname] ipsec redundancy enable
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【缺省用户角色】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。在指定超时时间内没有流量匹配的IPsec SA即被删除。
undo ipsec sa idle-time命令用来恢复缺省情况。
【缺省情况】
全局的IPsec SA空闲超时功能处于关闭状态。
【缺省用户角色】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
此功能只适用于IKE协商出的IPsec SA。
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的空闲超时时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值。
# 配置全局IPsec SA的空闲超时时间为600秒。
[Sysname] ipsec sa idle-time 600
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
没有任何IPsec安全提议存在。
【缺省用户角色】
transform-set-name:IPsec安全提议的名字,为1~63个字符的字符串,不区分大小写。
IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
local-address命令用来配置IPsec隧道的本端IP地址。
undo local-address命令用来恢复缺省情况。
local-address { ipv4-address | ipv6 ipv6-address }
【缺省情况】
IPsec隧道的本端IPv4地址为应用IPsec安全策略的接口的主IPv4地址,本端IPv6地址为应用IPsec安全策略的接口的第一个IPv6地址。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
采用IKE协商方式的IPsec安全策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。
# 配置IPsec隧道的本端IP地址为1.1.1.1。
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用来恢复缺省情况。
非FIPS模式下:
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group24 }
FIPS模式下:
【缺省情况】
使用IPsec安全策略发起IKE协商时不使用PFS特性。
IPsec安全提议视图
【缺省用户角色】
dh-group1:采用768-bit Diffie-Hellman组。
dh-group2:采用1024-bit Diffie-Hellman组。
dh-group5:采用1536-bit Diffie-Hellman组。
dh-group14:采用2048-bit Diffie-Hellman组。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。
2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。
发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。
不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。
# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
protocol { ah | ah-esp | esp }
【缺省情况】
使用ESP安全协议。
IPsec安全提议视图
【缺省用户角色】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
# 配置IPsec安全提议采用AH协议。
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
qos pre-classify命令用来开启QoS预分类功能。
undo qos pre-classify命令用来恢复缺省情况。
【缺省情况】
QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
【使用指导】
QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。
# 在IPsec安全策略中开启QoS预分类功能。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
redundancy replay-interval命令用来配置抗重放窗口和序号的同步间隔。
undo redundancy replay-interval命令用来恢复缺省情况。
redundancy replay-interval inbound inbound-interval outbound outbound-interval
undo redundancy replay-interval
【缺省情况】
同步入方向抗重放窗口的报文间隔为1000,同步出方向IPsec SA抗重放序号的报文间隔为100000。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
inbound inbound-interval:同步入方向IPsec SA抗重放窗口的报文间隔,取值范围为0~1000,单位为报文个数,取值为0,表示不同步防重放窗口。
outbound outbound-interval:同步出方向IPsec SA抗重放序号的报文间隔,取值范围为1000~100000,单位为报文个数。
【使用指导】
IPsec冗余备份功能处于开启状态时,抗重放序号同步间隔的配置才会生效。
调小同步的报文间隔,可以增加主备间保持抗重放窗口和序号一致的精度,但同时对转发性能会有一定影响。
# 配置同步入方向抗重放窗口的报文间隔为800,同步出方向抗重放序号的报文间隔为50000。
[Sysname] ipsec policy test 1
[sysname-ipsec-policy-test-1] redundancy relay-interval inbound 800 outbound 50000
remote-address命令用来指定IPsec隧道的对端IP地址。
undo remote-address命令用来恢复缺省情况。
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定IPsec隧道的对端IP地址。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。
hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。
ipv4-address:IPsec隧道的对端IPv4地址。
ipv6-address:IPsec隧道的对端IPv6地址。
【使用指导】
IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec安全策略模板的响应方可选配。
手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。
· 若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。
· 若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,才能使得本端解析到更新后的对端IP地址。
例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主机名test对应的IP地址为2.2.2.2。
[Sysname] ip host test 2.2.2.2
则,需要在IPsec安全策略policy1中重新指定对端主机名,使得本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2,否则仍会解析为原来的IP地址1.1.1.1。
# 重新指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname -ipsec-policy-isakmp-policy1-1] remote-address test
# 指定IPsec隧道的对端IPv4地址为10.1.1.2。
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-policy1-10] remote-addresss 10.1.1.2
· ip host(三层技术-IP业务/域名解析)
reset ipsec sa命令用来清除已经建立的IPsec SA。
【缺省用户角色】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名字,为1~63个字符的字符串,不区分大小写。
· seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名字为policy-name的安全策略中所有安全策略表项。
profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名字,为1~63个字符的字符串,不区分大小写。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。
通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。
# 清除所有IPsec SA。
# 清除SPI为123、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 123
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名字为policy1、顺序号为10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
reset ipsec statistics命令用来清除IPsec的报文统计信息。
reset ipsec statistics [ tunnel-id tunnel-id ]
【缺省用户角色】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定任何参数,则清除IPsec的所有报文统计信息。
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
sa duration命令用来配置IPsec SA的生存时间。
undo sa duration命令用来删除配置的IPsec SA生存时间。
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情况】
IPsec安全策略和IPsec安全策略模板的IPsec SA生存时间均为当前全局的IPsec SA生存时间。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的生存时间,取值范围为2560~4294967295,单位为千字节。
当IKE协商IPsec SA时,如果采用的IPsec安全策略下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
sa hex-key authentication命令用来为手工创建的IPsec SA配置十六进制形式的认证密钥。
undo sa hex-key authentication命令用来删除为IPsec SA配置的十六进制形式的认证密钥。
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } key-value
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
IPsec安全策略视图/IPsec安全框架视图
【缺省用户角色】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher key-value:表示以密文形式设置认证密钥。key-value为1~85个字符的字符串,区分大小写。
simple key-value:表示以明文形式设置认证密钥。key-value为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:HMAC-MD5算法,密钥长度为16个字节;HMAC-SHA1算法,密钥长度为20个字节。
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
· 必须分别配置inbound和outbound两个方向的IPsec SA参数。
· 在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
· 对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
· 在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
· 以明文或密文方式设置的认证密钥,均以密文的方式保存在配置文件中。
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
sa hex-key encryption命令用来为手工创建的IPsec SA配置十六进制形式的加密密钥。
undo sa hex-key encryption命令用来删除为IPsec SA配置的十六进制形式的加密密钥。
sa hex-key encryption { inbound | outbound } esp { cipher | simple } key-value
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
IPsec安全策略视图/IPsec安全框架视图
【缺省用户角色】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher key-value:表示以密文形式设置加密密钥。key-value为1~117个字符的字符串,区分大小写。
simple key-value:表示以明文形式设置加密密钥。key-value为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:DES-CBC算法,密钥长度为8个字节;3DES-CBC算法,密钥长度为24个字节;AES128-CBC算法,密钥长度为16字节;AES192-CBC算法,密钥长度为24字节;AES256-CBC算法,密钥长度为32字节。
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
· 必须分别配置inbound和outbound两个方向的IPsec SA参数。
· 在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
· 对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
· 在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
· 以明文或密文方式设置的加密密钥,均以密文的方式保存在配置文件中。
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
sa idle-time命令用来配置IPsec SA的空闲超时时间。在指定的超时时间内,没有流量使用的IPsec SA将被删除。
undo sa idle-time命令用来恢复缺省情况。
【缺省情况】
IPsec安全策略和IPsec安全策略模板下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且只有通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。
如果IPsec安全策略/IPsec安全策略模板下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec安全策略/IPsec安全策略模板下配置了IPsec SA 空闲超时时间,则优先使用IPsec安全策略/IPsec安全策略模板下的配置值。
# 配置IPsec安全策略的IPsec SA的空闲超时时间为600秒。
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
IPsec安全策略视图/IPsec安全框架视图
【缺省用户角色】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
此命令仅用于手工方式的IPsec安全策略以及IPsec安全框架。对于IKE协商方式的IPsec安全策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。
· 必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
· 在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;
· 同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除为指定的IPsec SA配置的字符串形式的密钥。
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } key-value
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
IPsec安全策略视图/IPsec安全框架视图
【缺省用户角色】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:表示以密文形式设置密码。
simple:表示以明文形式设置密码。
key-value:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
· 必须分别配置inbound和outbound两个方向IPsec SA的参数。
· 在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
· 在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
· 以明文或密文方式设置的密钥,均以密文的方式保存在配置文件中。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;
· 同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在要应用于IPv6路由协议的安全策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
· sa hex-key
security acl命令用来指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用来取消IPsec安全策略/IPsec安全策略模板引用的ACL。
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
【缺省情况】
IPsec安全策略/IPsec安全策略模板没有引用任何ACL。
IPsec安全策略视图/IPsec安全策略模板视图
【缺省用户角色】
ipv6:指定IPv6 ACL。
acl-number:ACL编号,取值范围为3000~3999。
name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。
aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。不支持对IPv6数据流采用该保护方式。
per-host:指定IPsec安全策略的数据流保护方式为主机方式。
对于IKE协商方式的IPsec安全策略,数据流的保护方式包括以下几种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregation和per-host参数的情况下,缺省采用此方式。
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。
· 主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。
· 手工方式的IPsec安全策略缺省使用标准方式,且仅支持标准方式;
· IKE协商方式的IPsec安全策略中可以通过配置来选择不同的保护方式。
# 配置IPsec安全策略引用ACL 3001。
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用ACL 3002,并设置数据流保护方式为聚合方式。
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
IPsec的所有告警功能均处于关闭状态。
auth-failure:表示认证失败时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec安全策略时的告警功能。
policy-attach:表示将IPsec安全策略应用到接口时的告警功能。
policy-delete:表示删除IPsec安全策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
希望设备在创建IPsec隧道时生成并发送告警信息,需要开启以下告警功能:
# 开启全局IPsec Trap告警。
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
transform-set命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提议。
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架没有引用任何IPsec安全提议。
IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图
【缺省用户角色】
transform-set-name&<1-6>:IPsec安全提议的名字,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
· 对于手工方式的IPsec安全策略,只能引用一个IPsec安全提议。改变IPsec安全策略引用的IPsec安全提议时,新配置的IPsec安全提议将覆盖旧的IPsec安全提议。
· 对于IKE协商方式的IPsec安全策略,一条IPsec安全策略最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec安全策略中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。
· 若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。
# 配置IPsec安全策略引用名字为prop1的IPsec安全提议。
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· IKE功能中所指的“接口”为三层接口,包括VLAN接口、三层以太网接口等。三层以太网接口是指在以太网接口视图下通过port link-mode route命令切换为三层模式的以太网接口,有关以太网接口模式切换的操作,请参见“二层技术-以太网交换配置指导”中的“以太网接口配置”。
authentication-algorithm命令用来指定一个供IKE提议使用的认证算法。
undo authentication-algorithm命令用来恢复缺省情况。
非FIPS模式下:
authentication-algorithm { md5 | sha }
FIPS模式下:
IKE提议使用的认证算法为HMAC-SHA1。
IKE提议视图
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
# 指定IKE提议1的认证算法为HMAC-SHA1。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
authentication-method命令用来指定一个供IKE提议使用的认证方法。
undo authentication-method命令用来恢复缺省情况。
authentication-method { dsa-signature | pre-share | rsa-signature }
IKE提议使用预共享密钥的认证方法。
IKE提议视图
dsa-signature:指定认证方法为DSA数字签名方法。
pre-share:指定认证方法为预共享密钥方法。
rsa-signature:指定认证方法为RSA数字签名方法。
认证方法分为预共享密钥认证和数字签名认证(包括RSA数字签名认证和DSA数字签名认证)。预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域。
· 如果指定认证方法为RSA数字签名方法或者DSA数字签名方法,则还必须保证对端从CA(证书认证机构)获得数字证书。
· 如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。
# 指定IKE提议1的认证方法为预共享密钥。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消配置IKE协商时使用的PKI域。
certificate domain domain-name
undo certificate domain domain-name
未指定用于IKE协商的PKI域。
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
可通过多次执行本命令指定多个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。
一个IKE profile中最多可以引用六个PKI域。
IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:
· 对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。
· 对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。
· 在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。
# 在IKE profile 1中指定IKE协商时使用的PKI域。
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
· pki domain(安全命令参考/PKI)
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
非FIPS模式下:
dh { group1 | group14 | group2 | group24 | group5 }
FIPS模式下:
非FIPS模式下:
IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
FIPS模式下:
IKE提议使用的DH密钥交换参数为group14,即2048-bit的Diffie-Hellman group。
IKE提议视图
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。
group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
# 指定IKE提议1使用2048-bit的Diffie-Hellman group。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
display ike proposal命令用来显示所有IKE提议的配置信息。
IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。
# 显示IKE提议的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表2-1 display ike proposal命令显示信息描述表
IKE提议的优先级 |
|
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
|
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 |
|
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
|
IKE阶段1密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
IKE提议中指定的IKE SA存活时间,单位为秒 |
display ike sa命令用来显示当前IKE SA的信息。
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address ] ]
verbose:显示当前IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
ipv6:指定IPv6地址。
remote-address:对端的IP地址。
若不指定任何参数,则显示当前所有IKE SA的摘要信息。
# 显示当前所有IKE SA的摘要信息。
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING
表2-2 display ike sa命令显示信息描述表
IKE SA的标识符 |
|
此IKE SA的对端的IP地址 |
|
IKE SA的状态,包括: · RD(READY):表示此IKE SA已建立成功 · ST(STAYALIVE):表示此端是隧道协商发起方 · RL(REPLACED):表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD(FADING):表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · Unknown:表示IKE协商的状态未知 |
|
IKE SA所属解释域,包括: · IPSEC:表示此IKE SA使用的DOI为IPSEC DOI |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
# 显示目的地址为4.4.4.5的IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Profile: prof1
Transmitting entity: Initiator
---------------------------------------------
Local IP: 4.4.4.4
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP: 4.4.4.5
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
表2-3 display ike sa verbose命令显示信息描述表
IKE SA的标识符 |
|
IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称 |
|
IKE协商中的实体角色,包括: · Initiator:发起方 · Responder:响应方 |
|
本端安全网关的身份信息类型 |
|
本端安全网关的身份信息 |
|
对端安全网关的身份信息类型 |
|
对端安全网关的身份信息 |
|
IKE提议使用的认证方法,包括: · PRE-SHARED-KEY:预共享密钥 · RSA-SIG:RSA签名 · DSA-SIG:DSA签名 |
|
IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 |
|
IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 |
|
IKE SA的存活时间,单位为秒 |
|
IKE SA的剩余存活时间,单位为秒 |
|
IKE第一阶段的协商模式,包括: · Main:主模式 · Aggressive: 野蛮模式 |
|
IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
|
是否检测到协商双方之间存在NAT网关设备 |
dpd命令用来配置IKE DPD功能。
undo dpd命令用来关闭IKE DPD功能。
dpd interval interval-seconds [ retry seconds ] { on-demand | periodic }
IKE DPD功能处于关闭状态。
interval interval-seconds:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。
建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。
# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
encryption-algorithm命令用来指定一个供IKE提议使用的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
非FIPS模式下:
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }
FIPS模式下:
encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 }
非FIPS模式下:
IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。
FIPS模式下:
IKE提议使用的加密算法为aes-cbc-128,即CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
IKE提议视图
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
算法强度从低到高依次为des-cbc、3des-cbc、aes-cbc-128、aes-cbc-192、aes-cbc-256,算法强度越高,安全性越好,计算量越大。请根据实际组网环境中对安全性和性能的要求选择适当强度的算法。
# 指定IKE提议1的加密算法为128比特的CBC模式的AES。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
exchange-mode命令用来选择IKE第一阶段的协商模式。
undo exchange-mode命令用来恢复缺省情况。
非FIPS模式下:
exchange-mode { aggressive | main }
FIPS模式下:
IKE第一阶段的协商模式为主模式。
aggressive:野蛮模式。
main:主模式。
当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。
# 配置IKE第一阶段协商使用主模式。
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
ike dpd命令用来配置全局IKE DPD功能。
undo ike dpd命令用来关闭全局IKE DPD功能。
ike dpd interval interval-seconds [ retry seconds ] { on-demand | periodic }
全局IKE DPD功能处于关闭状态。
interval interval-seconds:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval-seconds指定的时间),则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval-seconds指定的时间)定时探测对端是否存活。
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。
# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。
[Sysname] ike dpd interval 10 retry 5 on-demand
ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo ike identity命令用来删除配置的本端身份信息,并恢复为默认身份。
使用IP地址标识本端的身份,该IP地址为IPsec安全策略或IPsec安全策略模板应用的接口IP地址。
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如adc@test.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
# 指定使用IP地址2.2.2.2标识本端身份。
[sysname] ike identity address 2.2.2.2
· ike signature-identity from-certificate
ike invalid-spi-recovery enable命令用来使能针对无效IPsec SPI的IKE SA恢复功能。
undo ike invalid-spi-recovery enable命令用来恢复缺省情况。
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。
当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致本端IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经完全丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收到发送端使用此IPsec SA封装的IPsec报文时,就会因为找不到对应的SA而持续丢弃报文,形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复(只有等到发送端旧的IPsec SA生命周期超时,并重建IPsec SA后,两端的IPsec流量才能得以恢复),因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。
SA由SPI唯一标识,接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA,若接收方找不到处理该报文的IPsec SA,则认为此报文的SPI无效。如果接收端当前存在IKE SA,则会向对端发送删除对应IPsec SA的通知消息,发送端IKE接收到此通知消息后,就会立即删除此无效SPI对应的IPsec SA。之后,当发送端需要继续向接收端发送报文时,就会触发两端重建IPsec SA,使得中断的IPsec通信链路得以恢复;如果接收端当前不存在IKE SA,就不会触发本端向对端发送删除IPsec SA的通知消息,接受端将默认丢弃无效SPI的IPsec 报文,使得链路无法恢复。后一种情况下,如果使能了IPsec无效SPI恢复IKE SA功能,就会触发本端与对端协商新的IKE SA并发送删除消息给对端,从而使链路恢复正常。
由于使能此功能后,若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备,会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS(Denial of Sevice)攻击的风险,通常情况下,建议关闭针对无效IPsec SPI的IKE SA恢复功能。
# 使能IPsec无效SPI恢复IKE SA功能。
[Sysname] ike invalid-spi-recovery enable
ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。
undo ike keepalive interval命令用来恢复缺省情况。
ike keepalive interval seconds
seconds:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。
本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
[Sysname] ike keepalive interval 200
ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。超过该时间之后,本端的IKE SA将会被删除。
undo ike keepalive timeout命令用来恢复缺省情况。
永不超时。无论是否收到对端的IKE Keepalive报文,本端IKE SA仅按照协商出来的老化时间进行老化。
seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。
[Sysname] ike keepalive timeout 20
ike keychain命令用来创建并进入一个IKE keychain视图,该视图用于配置IKE对等体的密钥信息。
undo ike keychain命令用来删除指定的IKE keychain以及IKE对等体的密钥信息。
undo ike keychain keychain-name
keychain-name:IKE keychain的名字,为1~63个字符的字符串,不区分大小写。
在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。
# 创建IKE keychain key1并进入IKE keychain视图。
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
ike limit命令用来配置对本端IKE SA数目的限制。
undo ike limit命令用来恢复缺省情况。
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
不限制IKE SA数目。
max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。
max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999。
可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。
可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。
# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允许成功建立的IKE SA的最大数为5000。
[Sysname] ike limit max-sa 5000
ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive命令用来恢复缺省情况。
向对端发送NAT Keepalive报文的时间间隔为20秒。
seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。
因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。
# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。
[Sysname] ike nat-keepalive 5
ike profile命令用来创建一个IKE profile,并进入IKE profile视图。
undo ike profile命令用来删除指定的IKE profile。
profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。
# 创建IKE profile 1,并进入其视图。
[Sysname] ike profile 1
[Sysname-ike-profile-1]
ike proposal命令用来创建IKE提议,并进入IKE提议视图。
undo ike proposal命令用来删除一个IKE提议。
undo ike proposal proposal-number
系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:
l 加密算法:非FIPS模式下使用DES-CBC,FIPS模式下使用AES-CBC-128
l DH密钥交换参数:非FIPS模式使用group1,FIPS模式下使用group14
l IKE SA存活时间:86400秒
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。
响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。
# 创建IKE提议1,并进入IKE提议视图。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
ike signature-identity from-certificate命令用来配置当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identity或ike identity如何配置。
undo ike signature-identity from-certificate命令用来恢复缺省的情况。
ike signature-identity from-certificate
undo ike signature-identity from-certificate
当使用数字签名认证方式时,本端身份信息由local-identity或ike identity命令指定。
在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。
如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
[sysname] ike signature-identity from-certificate
keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
keychain-name:指定配置的IKE keychain名称,为1~63个字符的字符串,不区分大小写。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。
# 在IKE profile 1中指定名称为abc的配置的IKE keychain。
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo local-identity命令用来删除配置的本端身份信息。
未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略或IPsec安全策略模板应用的接口的IP地址。
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如adc@test.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。
响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。
一个IKE profile中只能配置一条本端身份信息。
IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。
# 指定使用IP地址2.2.2.2标识本端身份。
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来取消对IKE keychain使用范围的限制。
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
未限制IKE keychain的使用范围。
interface-type interface-number:本端接口名称。可以是任意的三层接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。若希望本端IP地址为2.2.2.2的接口上使用IKE keychain B,但是按照配置顺序匹配,依据本端IP地址2.2.2.2总会匹配到预共享密钥地址范围大的IKE keychain A,而找不到期望的IKE keychain B。这中情况下,可以通过配置IKE keychainB在指定地址2.2.2.2的接口上使用,使其找到正确的预共享密钥。
# 创建IKE keychain,名称为key1。
[Sysname] ike keychain key1
match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来取消对IKE profile使用范围的限制。
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
未限制IKE profile的使用范围。
interface-type interface-number:本端接口名称。可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。若希望本端IP地址为2.2.2.2的接口上使用IKE profile B,但是按照配置顺序匹配,依据本端IP地址2.2.2.2总会匹配到预共享密钥地址范围大的IKE profile A,而找不到期望的IKE profile B。这种情况下,可以通过配置IKE profile B在指定地址2.2.2.2的接口上使用,使其找到正确的IKE profile。
# 创建IKE profile,名称为prof1。
[Sysname] ike profile prof1
match remote命令用来配置一条用于匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。
identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。
· address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32。
· address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
· address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128。
· address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
· fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
· user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如abc@test.com。
响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份,发起方根据响应方的身份信息通过本配置验证对端身份。
协商双方都必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。
match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
# 创建IKE profile,名称为prof1。
[Sysname] ike profile prof1
# 指定需要匹配对端身份类型为FQDN,取值为www.test.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.com
# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
pre-shared-key命令用来配置预共享密钥。
undo pre-shared-key命令用来取消配置的预共享密钥。
address:对端的地址。
ipv4-address:对端的IPv4地址。
mask:对端的IPv4地址掩码,缺省值为255.255.255.255。
mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。
ipv6:指定对端的IPv6地址。
ipv6-address:对端的IPv6地址。
prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。
hostname host-name:对端主机名。取值范围为1~255,区分大小写。
key:设置的预共享密钥。
simple:表示以明文方式设置预共享密钥。
simple-key:设置的明文密钥。非FIPS模式下,为1~128个字符的字符串,区分大小写;FIPS模式下,为15~128个字符的字符串,区分大小写,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
cipher:表示以密文方式设置预共享密钥。
cipher-key:设置密文密钥。非FIPS模式下,为1~201个字符的字符串,区分大小写;FIPS模式下,为15~201个字符的字符串,区分大小写。
配置预共享密钥的同时,还通过参数address和hostname指定了使用该预共享密钥的匹配条件,即与哪些IP地址或哪些主机名的对端协商时,才可以使用该预共享密钥。
IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 创建IKE keychain key1并进入IKE keychain视图。
[Sysname] ike keychain key1
# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。
priority命令用来指定IKE keychain的优先级。
undo priority命令用来恢复缺省情况。
IKE keychain的优先级为100。
priority number:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。
配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。
# 指定IKE keychain key1的优先级为10。
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
priority 命令用来指定IKE profile的优先级。
undo priority 命令用来恢复缺省情况。
IKE profile的优先级为100。
priority number:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。
配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。
# 指定在IKE profile prof1的优先级为10。
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
proposal 命令用来配置IKE profile引用的IKE提议。
undo proposal 命令用来取消所有引用的IKE提议。
proposal proposal-number&<1-6>
IKE profile未引用任何IKE提议,使用系统视图下配置的IKE提议进行IKE协商。
proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。
IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。
# 设置IKE profile prof1引用序号为10的IKE安全提议。
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
reset ike sa命令用来清除IKE SA。
reset ike sa [ connection-id connection-id ]
connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
删除IKE SA时,会向对端发送删除通知消息。
# 查看当前的IKE SA。
Total IKE SAs: 2
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD|ST IPSEC
2 202.38.0.3 RD|ST IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
# 清除连接ID号为2 的IKE SA。
# 查看当前的IKE SA。
Total IKE SAs: 1
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD|ST IPSEC
Flags:
RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT
reset ike statistics命令用于清除IKE的MIB统计信息。
# 清除IKE的MIB统计信息。
<Sysname> reset ike statistics
sa duration命令用来指定一个IKE提议的IKE SA存活时间,超时后IKE SA将自动更新。
undo sa duration命令用来恢复缺省情况。
IKE提议的IKE SA存活时间为86400秒。
IKE提议视图
seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。
在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。
如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。
# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
snmp-agent trap enable ike命令用来开启IKE的告警功能。
undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
IKE的所有告警功能均处于开启状态。
attr-not-support:表示属性参数不支持时的告警功能。
auth-failure:表示认证失败时的告警功能。
cert-type-unsupport:表示证书类型不支持时的告警功能。
cert-unavailable:表示无法获取证书时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示证书认证无效时的告警功能。
invalid-cookie:表示cookie无效时的告警功能。
invalid-id:表示身份信息无效时的告警功能。
invalid-proposal:表示IKE提议无效时的告警功能。
invalid-protocol:表示安全协议无效时的告警功能。
invalid-sign:表示证书签名无效时的告警功能。
no-sa-failure:表示无法查到SA时的告警功能。
proposal-add:表示添加IKE提议时的告警功能。
proposal-delete:表示删除IKE提议时的告警功能。
tunnel-start:表示创建IKE隧道时的告警功能。
tunnel-stop:表示删除IKE隧道时的告警功能。
unsupport-exch-type:表示协商类型不支持时的告警功能。
如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。
如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。
希望设备在创建IKE隧道时生成并发送告警信息,需要开启以下告警功能:
# 开启全局IKE告警功能。
[Sysname] snmp-agent trap enable ike global
# 开启创建IKE 隧道时的告警功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!