Huawei AR100-S, AR110-S, AR120-S, AR150-S, AR160-S, AR200-S, AR1200-S, AR2200-S, AR3200-S 产品文档命令参考VPN命令IPSec配置命令
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100021771&id=remote-id
remote-id
使用指南
应用场景
IKE对等体的对端ID类型为IP、DN、FQDN、USER-FQDN时,可以使用本命令配置对端ID为对端IP、对端DN、对端FQDN或对端USER-FQDN的值。
IKE协商过程中,可以使用remote-id-type、remote-id命令配置对端的ID类型和ID,对接入的对等体进行验证。
注意事项
在IKEv1版本中,配置的remote-id,只能验证对端的身份。
在IKEv2版本中,配置的remote-id,可以发送给对端,与对端的local-id进行验证。
使用实例
当认证方式为预共享密钥认证时,且当对端配置ID类型为FQDN或USER-FQDN时,配置IKE对等体peer1的对端ID。
# 隧道对端设备配置如下: <Huawei_A> system-view[Huawei_A] ike local-name device_A# 隧道本端设备配置如下: <Huawei_B> system-view[Huawei_B] ike peer peer1[Huawei_B-ike-peer-peer1] remote-id device_A
认证方式为数字签名认证时,配置IKE对等体peer1的对端ID。
当对端配置ID类型为DN时,配置如下:
<Huawei> system-view[Huawei] ike peer peer1[Huawei-ike-peer-peer1] remote-id /C=CN/ST=beijing
remote-id配置成主题(subject)对应字段,但格式上有变化,形式如下: “/”+“subject”。其中,“subject”里的空格要去掉,“,”用“/”替换。例如证书中subject字段为C=CN, ST=beijing。
当对端配置ID类型为FQDN时,配置如下:
<Huawei> system-view[Huawei] ike peer peer1[Huawei-ike-peer-peer1] remote-id www.hw.com
当对端配置ID类型为USER-FQDN时,配置如下:
<Huawei> system-view[Huawei] ike peer peer1[Huawei-ike-peer-peer1] remote-id user@hw.com
# Efficient VPN策略视图下配置IKE协商时的对端名称为Huawei。
<Huawei> system-view[Huawei] ipsec efficient-vpn name mode client[Huawei-ipsec-efficient-vpn-name] remote-id Huawei
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4673.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
