• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

11-IPsec命令

本章节下载 11-IPsec命令  (167.91 KB)

11-IPsec命令


1 IPsec配置命令

1.1  IPsec配置命令

1.1.1  ah authentication-algorithm

【命令】

ah authentication-algorithm { md5 | sha1 }

undo ah authentication-algorithm

【视图】

安全提议视图

【缺省级别】

2:系统级

【参数】

md5:采用MD5认证算法。

sha1:采用SHA-1认证算法。

【描述】

ah authentication-algorithm命令用来配置AH协议采用的认证算法。undo ah authentication-algorithm命令用来恢复缺省情况。

缺省情况下,AH协议采用MD5认证算法。

需要注意的是,只有先使用transform命令选择了ahah-esp安全协议后,才能够配置ah认证算法。

相关配置可参考命令ipsec proposaltransform

【举例】

# 配置安全提议prop1,设定AH协议采用SHA-1算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform ah

[Sysname-ipsec-proposal-prop1] ah authentication-algorithm sha1

1.1.2  display ipsec policy

【命令】

display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

brief:显示所有安全策略的简要信息。

name:显示指定安全策略的详细信息。

policy-name:指定安全策略的名字,为1~15个字符的字符串。

seq-number:指定安全策略的顺序号,取值范围为1~65535。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipsec policy命令用来显示安全策略的信息。

需要注意的是:

l            如果不指定任何参数,则显示所有安全策略的详细信息。

l            如果指定了name policy-name,而没有指定seq-number,则显示指定的安全策略组的详细信息。

相关配置可参考命令ipsec policy (system-view)。

【举例】

# 显示所有安全策略的简要信息。

<Sysname> display ipsec policy brief

IPsec-Policy-Name     Mode    acl    ike-peer name    Mapped Template

------------------------------------------------------------------------

bbbbbbbbbbbbbbb-1     template                        aaaaaaaaaaaaaaa

man-1                 manual  3400

 

IPsec-Policy-Name     Mode    acl          Local-Address  Remote-Address

------------------------------------------------------------------------

man-1                 manual  3400         3.3.3.1         3.3.3.2

表1-1 display ipsec policy brief命令显示信息描述表

字段

描述

IPsec-Policy-Name

安全策略的名字和顺序号(例如map-1表示安全策略组名为map、顺序号为1)

Mode

安全策略采用的协商方式

l      manual:手工方式

acl

安全策略引用的访问控制列表

ike-peer name

对等体的名称

Mapped Template

引用的安全策略模板名

Local-Address

本端的IP地址

Remote-Address

对端的IP地址

 

# 显示所有安全策略的详细信息。

<Sysname> display ipsec policy

===========================================

IPsec Policy Group: "manual"

Interface:

Protocol: OSPFv3, RIPng, BGP

===========================================

 

  -----------------------------

  IPsec policy name: "policy001"

  sequence number: 10

  mode: manual

  -----------------------------

    security data flow :

    tunnel local  address:

    tunnel remote address:

    proposal name: prop1

    inbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    inbound ESP setting:

      ESP spi: 23456 (0x5ba0)

      ESP string-key:

      ESP encryption hex key: 1234567890abcdef1234567890abcdef1234567812345678

      ESP authentication hex key: 1234567890abcdef1234567890abcdef

    outbound AH setting:

      AH spi:

      AH string-key:

      AH authentication hex key:

    outbound ESP setting:

      ESP spi: 23456 (0x5ba0)

      ESP string-key:

      ESP encryption hex key: 1234567890abcdef1234567890abcdef1234567812345678

      ESP authentication hex key: 1234567890abcdef1234567890abcdef

表1-2 display ipsec policy命令显示信息描述表

字段

描述

IPsec Policy Group

安全策略组的名称

security data flow

安全策略引用的访问控制列表

Interface

应用了安全策略的接口名称

Protocol

应用了安全策略的协议名称(策略未应用在任何路由协议上时,不显示该字段)

IPsec policy name

安全策略的名称

sequence number

安全策略的顺序号

mode

安全策略采用的协商方式

l      mannul:手工方式

policy template name

安全策略模板名称

selector mode

安全策略的数据流保护方式

l      standard:标准方式

l      aggregation:聚合方式

ike-peer name

安全策略引用的IKE对等体名称

tunnel local address

隧道本端的IP地址

tunnel remote address

隧道对端的IP地址

perfect forward secrecy

是否采用了完善的前向安全性(PFS)

proposal name

安全策略引用的提议的名字

inbound/outbound AH/ESP setting

输入/输出端采用AH/ESP协议的有关设置,包括SPI和密钥

 

1.1.3  display ipsec proposal

【命令】

display ipsec proposal [ proposal-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

proposal-name:指定提议的名字,为1~32个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipsec proposal命令用来显示安全提议的信息。

如果没有指定提议的名字,则显示所有安全提议的信息。

相关配置可参考命令ipsec proposal

【举例】

# 显示所有安全提议的信息。

<Sysname> display ipsec proposal

 

  IPsec proposal name: prop1

    encapsulation mode: transport

    transform: esp-new

    ESP protocol: authentication md5-hmac-96, encryption des

表1-3 display ipsec proposal命令显示信息描述表

字段

描述

IPsec proposal name

提议的名字

encapsulation mode

提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式

transform

提议采用的安全协议,包括三种:AH协议、ESP协议、先ESP协议再AH协议

AH protocol

AH协议采用的认证算法

ESP protocol

ESP协议采用的认证算法和加密算法

 

1.1.4  display ipsec sa

【命令】

display ipsec sa [ brief | policy policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

brief:显示所有的安全联盟的简要信息。

policy:显示由指定安全策略创建的安全联盟的详细信息。

policy-name:指定安全策略的名字,为1~15个字符的字符串。

seq-number:指定安全策略的顺序号,取值范围为1~65535。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipsec sa命令用来显示安全联盟的相关信息。

需要注意的是,当未指定任何参数时,显示所有的安全联盟的信息。

相关配置可参考命令reset ipsec saipsec sa global-duration

【举例】

# 显示安全联盟的简要信息。

<Sysname> display ipsec sa brief

Src Address  Dst Address  SPI    Protocol     Algorithm

--------------------------------------------------------

                       300    ESP          E:DES;

                                              A:HMAC-MD5-96

                       300    ESP          E:DES;

                                              A:HMAC-MD5-96

表1-4 display ipsec sa brief命令显示信息描述表

字段

描述

Src Address

本端的IP地址

Dst Address

对端的IP地址

SPI

安全参数索引

Protocol

IPsec采用的安全协议

Algorithm

安全协议采用的认证算法和加密算法,其中,以“E:”开头表示加密算法;以“A:”开头表示认证算法;NULL表示未指定相关算法

 

# 显示所有安全联盟的详细信息。

<Sysname> display ipsec sa

===============================

Protocol: OSPFv3

===============================

 

  -----------------------------

  IPsec policy name: "manual"

  sequence number: 1

  mode: manual

  -----------------------------

    connection id: 2

    encapsulation mode: transport

    perfect forward secrecy:

    tunnel:

    flow :

 

    [inbound AH SAs]

      spi: 1234563 (0x12d683)

      proposal: AH-MD5HMAC96

      No duration limit for this sa

 

    [outbound AH SAs]

      spi: 1234563 (0x12d683)

      proposal: AH-MD5HMAC96

      No duration limit for this sa

表1-5 display ipsec sa命令显示信息描述表

字段

描述

Interface

应用了安全策略的接口

path MTU

从该接口发送出去的最大IP数据报文长度

Protocol

应用了安全策略的协议

IPsec policy name

采用的安全策略名

sequence number

安全策略顺序号

mode

IPsec协商方式

connection id

安全隧道标识符

encapsulation mode

采用的封装模式,有两种:传输(transport)和隧道(tunnel)模式

perfect forward secrecy

此安全策略发起协商时使用完善的前向安全特性

tunnel

安全隧道

local address

安全隧道本端的IP地址

remote address

安全隧道对端的IP地址

flow

数据流

sour addr

数据流的源地址

dest addr

数据流的目的地址

port

端口号

protocol

协议类型

inbound

输入端安全联盟的信息

spi

安全参数索引号

proposal

安全提议所采用的安全协议及算法

sa duration

安全联盟生命周期

sa remaining duration

安全联盟剩余的生命周期

max received sequence-number

接收的报文最大序列号(安全协议提供的防重放功能)

udp encapsulation used for nat traversal

此安全联盟是否使用NAT穿越功能

outbound

输出端安全联盟的信息

max sent sequence-number

发送的报文最大序列号(安全协议提供的防重放功能)

anti-replay check enable

抗重放检测开关是否使能

anti-replay window size

抗重放窗口宽度

 

1.1.5  display ipsec statistics

【命令】

display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

tunnel-id integer:显示指定IPsec隧道的报文统计信息。其中,integer为隧道的ID号,取值范围为1~2000000000。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipsec statistics命令用来显示IPsec处理报文的统计信息。

需要注意的是,如果不指定任何参数,则显示所有IPsec处理的报文统计信息。

相关配置可参考命令reset ipsec statistics

【举例】

# 显示所有IPsec处理的报文统计信息。

<Sysname> display ipsec statistics

  the security packet statistics:

    input/output security packets: 47/62

    input/output security bytes: 3948/5208

    input/output dropped security packets: 0/45

    dropped security packet detail:

      not enough memory: 0

      can't find SA: 45

      queue is full: 0

      authentication has failed: 0

      wrong length: 0

      replay packet: 0

      packet too long: 0

      wrong SA: 0

# 显示隧道ID为3的IPsec报文统计信息。

<Sysname> display ipsec statistics tunnel-id 3

------------------------------------------------

  Connection ID : 3

 ------------------------------------------------

  the security packet statistics:

    input/output security packets: 5124/8231

    input/output security bytes: 52348/64356

    input/output dropped security packets: 0/0

    dropped security packet detail:

      not enough memory: 0

      queue is full: 0

      authentication has failed: 0

      wrong length: 0

      replay packet: 0

      packet too long: 0

      wrong SA: 0

表1-6 display ipsec statistics命令显示信息描述表

字段

描述

Connection ID

隧道ID号

input/output security packets

受安全保护的输入/输出数据包

input/output security bytes

受安全保护的输入/输出字节数

input/output dropped security packets

被设备丢弃了的受安全保护的输入/输出数据包

dropped security packet detail

被丢弃的输入/输出数据包的详细信息(包括以下各项)

not enough memory

因为内存不足而被丢弃的数据包的数目

can't find SA

因为找不到安全联盟而被丢弃的数据包的数目

queue is full

因为队列满而被丢弃的数据包的数目

authentication has failed

因为认证失败而被丢弃的数据包的数目

wrong length

因为数据包长度不正确而被丢弃的数据包的数目

replay packet

重放的数据包的数目

packet too long

因为数据包过长而被丢弃的数据包的数目

wrong SA

因为安全联盟不正确而被丢弃的数据包的数目

 

1.1.6  display ipsec tunnel

【命令】

display ipsec tunnel [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ipsec tunnel命令用来显示IPsec隧道的信息。

【举例】

# 显示IPsec隧道的信息。

<Sysname> display ipsec tunnel

    total tunnel : 2

------------------------------------------------

    connection id: 5

    perfect forward secrecy:

    SA's SPI:

        inbound:  12345 (0x3039) [ESP]

        outbound: 12345 (0x3039) [ESP]

    tunnel:

    flow:

    current Encrypt-card:

# 显示聚合方式下的IPsec隧道信息。

<Sysname> display ipsec tunnel

    total tunnel: 2

    ------------------------------------------------

    connection id: 4

    perfect forward secrecy:

    SA's SPI:

        inbound :  2454606993 (0x924e5491) [ESP]

        uutbound : 675720232 (0x2846ac28) [ESP]

    tunnel :

        local address:  44.44.44.44

        remote address : 44.44.44.45

    flow :

        as defined in acl 3001

    current Encrypt-card : None

表1-7 display ipsec tunnel命令显示信息描述表

字段

描述

connection id

连接标识符,用来唯一地标识一个IPsec Tunnel

perfect forward secrecy

完善的前向安全,标志IKE第二阶段快速模式使用哪个DH组

SA's SPI

出方向和入方向的安全策略索引

tunnel

IPsec隧道端点的地址

flow

IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议

as defined in acl 3001

IPsec隧道保护ACL 3001中定义的所有数据流

current Encrypt-card

当前Tunnel使用的加密卡接口

 

1.1.7  encapsulation-mode

【命令】

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

【视图】

安全提议视图

【缺省级别】

2:系统级

【参数】

transport:采用传输模式。

tunnel:采用隧道模式。

【描述】

encapsulation-mode命令用来配置安全协议对IP报文的封装形式。undo encapsulation-mode命令用来恢复缺省情况。

缺省情况下,安全协议采用隧道模式对IP报文进行封装。

若要配置应用于IPv6路由协议的手工安全策略,则该安全策略引用的安全提议仅支持传输模式的封装模式。

相关配置可参考命令ipsec proposal

【举例】

# 配置名为prop2的提议采用传输模式对IP报文进行封装。

<Sysname> system-view

[Sysname] ipsec proposal prop2

[Sysname-ipsec-proposal-prop2] encapsulation-mode transport

1.1.8  esp authentication-algorithm

【命令】

esp authentication-algorithm { md5 | sha1 }

undo esp authentication-algorithm

【视图】

安全提议视图

【缺省级别】

2:系统级

【参数】

md5:采用MD5认证算法,密钥长度128位。

sha1:采用SHA-1认证算法,密钥长度160位。

【描述】

esp authentication-algorithm命令用来配置ESP协议采用的认证算法。undo esp authentication-algorithm命令用来配置ESP协议不对报文进行认证。

缺省情况下,ESP协议采用MD5认证算法。

相关配置可参考命令ipsec proposalesp encryption-algorithmproposaltransform

【举例】

# 配置提议prop1采用ESP协议并使用SHA-1认证算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform esp

[Sysname-ipsec-proposal-prop1] esp authentication-algorithm sha1

1.1.9  esp encryption-algorithm

【命令】

esp encryption-algorithm { 3des | aes [ key-length ] | des }

undo esp encryption-algorithm

【视图】

安全提议视图

【缺省级别】

2:系统级

【参数】

3des:指定安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168bits的密钥进行加密。

aes:指定安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128bits、192bits、256bits的密钥进行加密。

key-length:AES算法采用的密钥长度,取值可以为128、192、256,缺省值为128。采用AES算法时,此参数有效。

des:指定安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56bits的密钥进行加密。

【描述】

esp encryption-algorithm命令用来配置ESP协议采用的加密算法。undo esp encryption-algorithm命令用来配置ESP协议不对报文进行加密。

缺省情况下,ESP协议采用DES加密算法。

需要注意的是:

l            对于保密及安全性要求非常高的地方,采用3DES算法可以满足需要,但3DES加密速度比较慢;对于普通的安全要求,DES算法就可以满足需要。

l            ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。

l            ESP协议采用的加密算法和认证算法不能同时设置为空。当认证算法不为空时,undo esp encryption-algorithm命令才起作用。

相关配置可参考命令ipsec proposalesp authentication-algorithmproposaltransform

【举例】

# 配置提议prop1采用ESP协议并使用3DES加密算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform esp

[Sysname-ipsec-proposal-prop1] esp encryption-algorithm 3des

1.1.10  ipsec policy

【命令】

ipsec policy policy-name seq-number [ manual ]

undo ipsec policy policy-name [ seq-number ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

policy-name:安全策略的名字,为1~15个字符的字符串,不区分大小写,字符可以是英文字母或者数字,不能包括减号“-”。

seq-number:安全策略的顺序号,取值范围为1~65535。

manual:指定用手工方式建立安全联盟。

【描述】

ipsec policy命令用来创建一条安全策略,并进入安全策略视图。undo ipsec policy命令用来删除指定的安全策略。

缺省情况下,没有任何安全策略存在。

需要注意的是:

l            使用此命令创建安全策略时,必须指定协商方式,但进入已创建的安全策略时,可以不指定协商方式。

l            不能修改已创建的安全策略的协商方式,只能先删除该安全策略,再重新创建。

l            具有相同名字的安全策略一起组成一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略。在一个安全策略组中,顺序号seq-number越小的安全策略,优先级越高。

l            不带seq-number参数的undo命令用来删除一个安全策略组。

相关配置可参考命令display ipsec policy

【举例】

# 配置名字为policy1,顺序号为101,采用手工方式建立安全联盟的安全策略。

<Sysname> system-view

[Sysname] ipsec policy policy1 101 manual

[Sysname-ipsec-policy-isakmp-policy1-101]

1.1.11  ipsec proposal

【命令】

ipsec proposal proposal-name

undo ipsec proposal proposal-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

proposal-name:指定安全提议的名字,为1~32个字符的字符串,不区分大小写。

【描述】

ipsec proposal命令用来创建一个安全提议,并进入IPsec提议视图。undo ipsec proposal命令用来删除指定的安全提议。

缺省情况下,没有任何安全提议存在。

需要注意的是,在使用该命令创建一个新的IPsec安全提议后,其缺省参数为采用ESP协议、DES加密算法、MD5认证算法。

相关配置可参考命令display ipsec proposal

【举例】

# 创建名为newprop1的安全提议。

<Sysname> system-view

[Sysname] ipsec proposal newprop1

1.1.12  proposal

【命令】

proposal proposal-name

undo proposal [ proposal-name ]

【视图】

安全策略视图

【缺省级别】

2:系统级

【参数】

proposal-name:所采用的提议名字,为1~32个字符的字符串。

【描述】

proposal命令用来配置安全策略所引用的提议。undo proposal命令用来取消安全策略引用的提议。

缺省情况下,安全策略没有引用任何提议。

需要注意的是:

l            在使用此命令之前,必须已经配置了相应的安全提议。

l            如果安全策略是手工(manual)方式的,则安全策略在引用提议时只能指定一个安全提议。如果需要改变已配置好的安全提议,必须先使用命令undo proposal取消原先的安全提议,再配置新的安全提议。

相关配置可参考命令ipsec proposalipsec policy

【举例】

# 配置安全策略引用名字为prop1的安全提议。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] proposal prop1

1.1.13  reset ipsec sa

【命令】

reset ipsec sa [ policy policy-name [ seq-number ] ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

policy:指定安全策略。

policy-name:指定安全策略的名字,为1~15个字符的字符串,区分大小写,字符可以是英文字母或者数字。

seq-number:指定安全策略的顺序号,取值范围为1~65535。如果不指定seq-number,则是指名字为policy-name的安全策略组中所有安全策略。

【描述】

reset ipsec sa命令用来清除已经建立的安全联盟。

如果不指定任何参数,则清除所有的安全联盟。

需要注意的是:通过手工建立的安全联盟被清除后,系统会自动根据对应的手工安全策略建立新的安全联盟。

相关配置可参考命令display ipsec sa

【举例】

# 清除所有安全联盟。

<Sysname> reset ipsec sa

1.1.14  reset ipsec statistics

【命令】

reset ipsec statistics

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset ipsec statistics命令用来清除IPsec的报文统计信息,所有的统计信息都被设置成零。

相关配置可参考命令display ipsec statistics

【举例】

# 清除IPsec的报文统计信息。

<Sysname> reset ipsec statistics

1.1.15  sa authentication-hex

【命令】

sa authentication-hex { inbound | outbound } { ah | esp } hex-key

undo sa authentication-hex { inbound | outbound } { ah | esp }

【视图】

安全策略视图

【缺省级别】

2:系统级

【参数】

inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。

outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。

ah:采用AH协议。

esp:采用ESP协议。

hex-key:指定安全联盟的认证密钥,以16进制格式输入。如果使用MD5算法,密钥长度为16个字节;如果使用SHA1算法,密钥长度为20个字节。

【描述】

sa authentication-hex命令用来对配置安全联盟的认证密钥。undo sa authentication-hex命令用来删除配置的安全联盟的认证密钥。

需要注意的是:

l            此命令仅用于manual方式的安全策略。

l            在配置manual方式的安全策略时,必须分别配置inboundoutbound两个方向安全联盟的参数。

l            在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。

l            对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。

l            在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。

相关配置可参考命令ipsec policy

【举例】

# 配置采用AH协议的入方向安全联盟的认证密钥为0x112233445566778899aabbccddeeff00;出方向安全联盟的认证密钥为0x112233445566778899aabbccddeeff00。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah 112233445566778899aabbccddeeff00

[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah 112233445566778899aabbccddeeff00

1.1.16  sa encryption-hex

【命令】

sa encryption-hex { inbound | outbound } esp hex-key

undo sa encryption-hex { inbound | outbound } esp

【视图】

安全策略视图

【缺省级别】

2:系统级

【参数】

inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。

outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。

esp:采用ESP协议。

hex-key:指定安全联盟的加密密钥。以16进制格式输入,输入的密钥长度必须符合所采用的加密算法的要求。如果使用DES算法,密钥长度为8个字节;如果使用3DES算法,密钥长度为24个字节。

【描述】

sa encryption-hex命令用来配置安全联盟的加密密钥参数。undo sa encryption-hex命令用来删除配置的安全联盟的加密密钥参数。

需要注意的是:

l            此命令仅用于manual方式的安全策略。

l            在配置安全策略时,必须分别配置inboundoutbound两个方向安全联盟的参数。

l            在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样;本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。

l            对于要应用于IPv6路由协议的安全策略,还必须保证本端出方向SA的SPI和本端入方向SA的SPI一致。

l            在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能通讯。而且,任何一端出入方向的SA使用的密钥也应当以相同的方式输入。

相关配置可参考命令ipsec policy

【举例】

# 配置采用ESP协议的入方向安全联盟的加密算法的密钥为0x1234567890abcdef;出方向加密算法的密钥为0x1234567890abcdef。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp 1234567890abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp 1234567890abcdef

1.1.17  sa spi

【命令】

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

【视图】

安全策略视图

【缺省级别】

2:系统级

【参数】

inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。

outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。

ah:采用AH协议。

esp:采用ESP协议。

spi-number:安全联盟三元组标识中的安全参数索引,取值范围为256~4294967295。

【描述】

sa spi命令用来配置安全联盟的安全参数索引参数。undo sa spi命令用来删除配置的安全联盟的安全参数索引参数。

需要注意的是:

l            此命令仅用于manual方式的安全策略。

l            在配置安全策略时,必须分别配置inboundoutbound两个方向安全联盟的参数。同时,为保证SA的唯一性,不同SA必须对应不同的SPI,且同一个方向上的SPI必须不同。

l            在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。

在配置应用于IPv6路由协议的安全策略时,还需要注意的是:

l            本端出方向SA的SPI必须和本端入方向SA的SPI保持一致;

l            同一个范围内的,所有设备上的SA的SPI均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。

相关配置可参考命令ipsec policy

【举例】

# 配置入方向安全联盟的SPI为10000,出方向安全联盟的SPI为10000。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000

[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 10000

1.1.18  sa string-key

【命令】

sa string-key { inbound | outbound } { ah | esp } string-key

undo sa string-key { inbound | outbound } { ah | esp }

【视图】

安全策略视图

【缺省级别】

2:系统级

【参数】

inbound:入方向,IPsec使用入方向安全联盟处理接收的报文。

outbound:出方向,IPsec使用出方向安全联盟处理发送的报文。

ah:采用AH协议。

esp:采用ESP协议。

string-key:指定安全联盟的密钥,为1~255个字符的字符串。对不同的算法,均可输入不超过长度范围的字符串,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。

【描述】

sa string-key命令用来配置安全联盟的密钥。undo sa string-key命令用来删除配置的安全联盟的密钥。

需要注意的是:

l            此命令仅用于manual方式的安全策略。

l            在配置安全策略时,必须分别配置inboundoutbound两个方向安全联盟的参数。

l            在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端入方向安全联盟的密钥必须和对端出方向安全联盟的密钥一样;本端出方向安全联盟的密钥必须和对端入方向安全联盟的密钥一样。

l            在安全隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立安全隧道。

在配置应用于IPv6路由协议的安全策略时,还需要注意的是:

l            本端出方向SA的密钥必须和本端入方向SA的密钥保持一致;

l            同一个范围内的,所有设备上的SA的密钥均要保持一致。该范围内容与协议相关:对于OSPF,是OSPF邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。

相关配置可参考命令ipsec policy

【举例】

# 在要应用于IPv6路由协议的安全策略中,配置采用AH协议的入方向安全联盟的密钥为字符串abcdef;出方向安全联盟的密钥为字符串abcdef。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah abcdef

1.1.19  transform

【命令】

transform { ah | ah-esp | esp }

undo transform

【视图】

安全提议视图

【缺省级别】

2:系统级

【参数】

ah:采用AH协议。

ah-esp:先用ESP协议对报文进行保护,再用AH协议进行保护。

esp:采用ESP协议。

【描述】

transform命令用来配置提议采用的安全协议。undo transform命令用来恢复缺省情况。

缺省情况下,采用ESP协议。

需要注意的是:

l            如果采用ESP协议,则缺省的加密算法为DES,认证算法为MD5。

l            如果采用AH协议,则缺省的认证算法为MD5。

l            如果指定参数ah-esp,则AH缺省的认证算法为MD5;ESP协议缺省的加密算法为DES,不使用认证算法。

l            在安全隧道的两端,IPsec提议所使用的安全协议需要匹配。

相关配置可参考命令ipsec proposal

【举例】

# 配置一个采用AH协议的提议。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform ah

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们