https://www.h3c.com/cn/d_202302/1783466_30005_0.htm
1 IPsec
1.1 IPsec配置命令
1.1.1 ah authentication-algorithm
1.1.2 description
1.1.3 display ipsec global-info
1.1.4 display ipsec { ipv6-policy | policy }
1.1.5 display ipsec { ipv6-policy-template | policy-template }
1.1.6 display ipsec p2mp tunnel-table interface tunnel
1.1.7 display ipsec profile
1.1.8 display ipsec sa
1.1.9 display ipsec statistics
1.1.10 display ipsec transform-set
1.1.11 display ipsec tunnel
1.1.12 encapsulation-mode
1.1.13 esn enable
1.1.14 esp authentication-algorithm
1.1.15 esp encryption-algorithm
1.1.16 ike-profile
1.1.17 ikev2-profile
1.1.18 ipsec { ipv6-policy | policy }
1.1.19 ipsec { ipv6-policy | policy } template
1.1.20 ipsec { ipv6-policy | policy } local-address
1.1.21 ipsec { ipv6-policy-template | policy-template }
1.1.22 ipsec anti-replay check
1.1.23 ipsec anti-replay window
1.1.24 ipsec apply
1.1.25 ipsec decrypt-check enable
1.1.26 ipsec df-bit
1.1.27 ipsec flow-overlap check enable
1.1.28 ipsec fragmentation
1.1.29 ipsec global-df-bit
1.1.30 ipsec limit max-tunnel
1.1.31 ipsec logging ipsec-p2mp enable
1.1.32 ipsec logging negotiation enable
1.1.33 ipsec logging packet enable
1.1.34 ipsec netmask-filter
1.1.35 ipsec no-nat-process enable
1.1.36 ipsec profile
1.1.37 ipsec redundancy enable
1.1.38 ipsec sa global-duration
1.1.39 ipsec sa global-soft-duration buffer
1.1.40 ipsec sa idle-time
1.1.41 ipsec tcp-encaps responder
1.1.42 ipsec transform-set
1.1.43 local-address
1.1.44 pfs
1.1.45 protocol
1.1.46 qos pre-classify
1.1.47 redundancy replay-interval
1.1.48 remote-address
1.1.49 remote-address switch-back enable
1.1.50 reset ipsec sa
1.1.51 reset ipsec statistics
1.1.52 reverse-route dynamic
1.1.53 reverse-route preference
1.1.54 reverse-route tag
1.1.55 sa df-bit
1.1.56 sa duration
1.1.57 sa hex-key authentication
1.1.58 sa hex-key encryption
1.1.59 sa idle-time
1.1.60 sa soft-duration buffer
1.1.61 sa spi
1.1.62 sa string-key
1.1.63 sa trigger-mode
1.1.64 security acl
1.1.65 snmp-agent trap enable ipsec
1.1.66 tcp-encaps initiator
1.1.67 tfc enable
1.1.68 transform-set
1.1.69 tunnel protection ipsec
2 IKE
2.1 IKE配置命令
2.1.1 aaa authorization
2.1.2 authentication-algorithm
2.1.3 authentication-method
2.1.4 certificate domain
2.1.5 client-authentication
2.1.6 client-authentication xauth user
2.1.7 client source-udp-port dynamic
2.1.8 description
2.1.9 dh
2.1.10 display ike global-info
2.1.11 display ike proposal
2.1.12 display ike sa
2.1.13 display ike statistics
2.1.14 dpd
2.1.15 encryption-algorithm
2.1.16 exchange-mode
2.1.17 ike address-group
2.1.18 ike compatible-gm-main enable
2.1.19 ike compatible-sm4 enable
2.1.20 ike dpd
2.1.21 ike gm-main sm4-version
2.1.22 ike identity
2.1.23 ike invalid-spi-recovery enable
2.1.24 ike ipv6-address-group
2.1.25 ike keepalive interval
2.1.26 ike keepalive timeout
2.1.27 ike keychain
2.1.28 ike limit
2.1.29 ike logging negotiation enable
2.1.30 ike nat-keepalive
2.1.31 ike profile
2.1.32 ike proposal
2.1.33 ike signature-identity from-certificate
2.1.34 inside-vpn
2.1.35 keychain
2.1.36 local-identity
2.1.37 match local address (IKE keychain view)
2.1.38 match local address (IKE profile view)
2.1.39 match remote
2.1.40 pre-shared-key
2.1.41 priority (IKE keychain view)
2.1.42 priority (IKE profile view)
2.1.43 proposal
2.1.44 reset ike sa
2.1.45 reset ike statistics
2.1.46 sa duration
2.1.47 sa soft-duration buffer
2.1.48 snmp-agent trap enable ike
3 IKEv2
3.1 IKEv2配置命令
3.1.1 aaa authorization
3.1.2 address
3.1.3 authentication-method
3.1.4 certificate domain
3.1.5 config-exchange
3.1.6 dh
3.1.7 display ikev2 policy
3.1.8 display ikev2 profile
3.1.9 display ikev2 proposal
3.1.10 display ikev2 sa
3.1.11 display ikev2 statistics
3.1.12 dpd
3.1.13 encryption
3.1.14 hostname
3.1.15 identity
3.1.16 identity local
3.1.17 ikev2 address-group
3.1.18 ikev2 cookie-challenge
3.1.19 ikev2 dpd
3.1.20 ikev2 ipv6-address-group
3.1.21 ikev2 keychain
3.1.22 ikev2 nat-keepalive
3.1.23 ikev2 policy
3.1.24 ikev2 profile
3.1.25 ikev2 proposal
3.1.26 inside-vrf
3.1.27 integrity
3.1.28 keychain
3.1.29 match local (IKEv2 profile view)
3.1.30 match local address (IKEv2 policy view)
3.1.31 match remote
3.1.32 match vrf (IKEv2 policy view)
3.1.33 match vrf (IKEv2 profile view)
3.1.34 nat-keepalive
3.1.35 peer
3.1.36 pre-shared-key
3.1.37 prf
3.1.38 priority (IKEv2 policy view)
3.1.39 priority (IKEv2 profile view)
3.1.40 proposal
3.1.41 reset ikev2 sa
3.1.42 reset ikev2 statistics
3.1.43 sa duration
1 IPsec
· 设备运行于低加密版本时,本特性部分配置相对于高加密版本有所变化,具体差异请见本文相关描述。可以通过安装相应的license将设备从低加密版本升级为高加密版本,也可以通过卸载相应的license将升级为高加密版本的设备恢复为低加密版本。
1.1 IPsec配置命令
1.1.1 ah authentication-algorithm
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特。本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
1.1.2 description
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
1.1.3 display ipsec global-info
display ipsec global-info命令用来显示IPsec模块全局信息。
【命令】
display ipsec global-info
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
显示当前设备上IPsec模块相关全局运行数据。
【举例】
# 显示当前设备上IPsec模块相关全局运行数据。
<Sysname> display ipsec global-info
IPsec anti-reply check: enable
IPsec anti-replay window (packets): 1024
IPsec decrypt-check: enable
IPsec flow-redirect: disable
IPsec fragmentation: after-encryption
IPsec global-df-bit: copy
IPsec limit max-tunnel: 5000
IPsec redundancy: disable
IPsec sa global-duration time-based (seconds): 180
IPsec sa global-duration traffic-based (KBytes): 4096
IPsec sa idle-time (seconds): 120
IPsec over tcp: Enabled
IPsec over tcp port: 5500
IPsec over tcp mode: Enhanced
表1-1 display ipsec global-info命令显示信息描述表
字段 | 描述 |
IPsec anti-reply check | IPsec抗重放检测功能开启状态。取值包括: · disable:IPsec抗重放检测功能未开启 · enable:IPsec抗重放检测功能已开启 |
IPsec anti-replay window (packets) | IPsec抗重放窗口大小,单位为报文 |
IPsec decrypt-check | 解封装后IPsec报文的ACL检查功能开启状态。取值包括: · disable:解封装后IPsec报文的ACL检查功能未开启 · enable:解封装后IPsec报文的ACL检查功能已开启 |
IPsec flow-redirect | (暂不支持)IPsec模块下发OpenFlow流表项功能开启状态。取值包括: · disable:IPsec模块下发OpenFlow流表项功能未开启 · enable:IPsec模块下发OpenFlow流表项功能已开启 |
IPsec fragmentation | IPsec分片时机。取值包括: · after-encryption:表示封装后分片 · before-encryption:表示封装前分片 |
IPsec global-df-bit | IPsec封装外层IP头DF位填充方式。取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 |
IPsec limit max-tunnel | 本端允许建立IPsec隧道最大个数 |
IPsec redundancy | IPsec冗余备份功能开始状态。取值包括: · disable:IPsec冗余备份功能未开启 · enable:IPsec冗余备份功能已开启 |
IPsec sa global-duration time-based (seconds) | 基于时间的IPsec SA生存时间,单位为秒 |
IPsec sa global-duration traffic-based (KBytes) | 基于流量的IPsec SA生存时间,单位为千字节 |
IPsec sa idle-time (seconds) | IPsec SA的空闲超时时间,单位为秒 |
IPsec over tcp | IPsec使用TCP封装功能的开启状态,取值包括: · Disabled:关闭 · Enabled:开启 |
IPsec over tcp port | IPsec使用TCP封装功能的端口号,IPsec使用TCP封装功能未开启时显示为“--” |
IPsec over tcp mode | IPsec使用TCP封装功能的模式,取值包括: · Advanced:高级模式 · Enhanced:增强模式 IPsec使用TCP封装功能未开启时显示为“--” |
1.1.4 display ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address: 5.2.2.1, primary, track 1 (track state: Positive)
Remote address: test, track 2 (track state: Positive)
Remote address switchback mode: Enabled
Transform set:
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
IPsec over tcp initiator: Disabled
IPsec over tcp initiator remote-port: 4500
IPsec over tcp initiator mode: Enhanced
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.3.1, primary, track 3 (track state: Positive)
Remote address: test, track 4 (track state: Positive)
Remote address switchback mode: Enabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
IPsec over tcp initiator: Disabled
IPsec over tcp initiator remote-port: --
IPsec over tcp initiator mode: --
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 1000::2
Remote address switchback mode: Disabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
IPsec over tcp initiator: Enabled
IPsec over tcp initiator remote-port: 4500
IPsec over tcp initiator mode: Enhanced
表1-2 display ipsec { ipv6-policy | policy }命令显示信息描述表
字段 | 描述 |
IPsec Policy | IPsec安全策略的名称 |
Interface | 应用了IPsec安全策略的接口名称 |
Sequence number | IPsec安全策略表项的顺序号 |
Mode | IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 · GDOI:GDOI方式 |
The policy configuration is incomplete | IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
Description | IPsec安全策略的描述信息 |
Traffic Flow Confidentiality | TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
Security data flow | IPsec安全策略引用的ACL |
Selector mode | IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
Local address | IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
Remote address | IPsec隧道的对端IP地址或主机名 primary地址显示在第一条,其余IP地址或主机名按照配置顺序显示 IPsec隧道的对端IP地址或主机名track状态(track state),取值包括: · Positive · Negative · NotReady |
Remote address switchback mode | 对端地址回切至primary地址功能,取值包括: · Enabled:回切功能开启 · Disabled:回切功能未开启 |
Transform set | IPsec安全策略引用的IPsec安全提议的名称 |
IKE profile | IPsec安全策略引用的IKE Profile的名称 |
IKEv2 profile | IPsec安全策略引用的IKEv2 Profile的名称 |
smart-link policy | (暂不支持)智能选路策略 |
SA trigger mode | 触发建立IPsec SA的模式,包括: · Auto:自动触发模式 · Traffic-based:流量触发模式 |
SA duration(time based) | 基于时间的IPsec SA生存时间,单位为秒 |
SA duration(traffic based) | 基于流量的IPsec SA生存时间,单位为千字节 |
SA soft-duration buffer(time based) | IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
SA soft-duration buffer(traffic based) | IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
SA idle time | IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
IPsec over tcp initiator | IPsec发起方使用TCP封装功能的开启状态,取值包括: · Disabled:关闭 · Enabled:开启 |
IPsec over tcp initiator remote-port | IPsec发起方使用TCP封装功能的对端端口号,IPsec发起方使用TCP封装功能未开启时显示为“--” |
IPsec over tcp initiator mode | IPsec发起方使用TCP封装功能的模式,取值包括: · Advanced:高级模式 · Enhanced:增强模式 IPsec发起方使用TCP封装功能未开启时显示为“--” |
Inbound AH setting | 入方向采用的AH协议的相关设置 |
Outbound AH setting | 出方向采用的AH协议的相关设置 |
AH SPI | AH协议的SPI |
AH string-key | AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
AH authentication hex key | AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
Inbound ESP setting | 入方向采用的ESP协议的相关设置 |
Outbound ESP setting | 出方向采用的ESP协议的相关设置 |
ESP SPI | ESP协议的SPI |
ESP string-key | ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
ESP encryption hex key | ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
ESP authentication hex key | ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
Group name | 引用的GDOI GM组的名称 该信息仅在GDOI方式下显示 |
【相关命令】
· ipsec { ipv6-policy | policy }
1.1.5 display ipsec { ipv6-policy-template | policy-template }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
# 显示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
表1-3 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
字段 | 描述 |
IPsec Policy Template | IPsec安全策略模板名称 |
Sequence number | IPsec安全策略模板表项的序号 |
Description | IPsec安全策略模板的描述信息 |
Traffic Flow Confidentiality | TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
Security data flow | IPsec安全策略模板引用的ACL |
Selector mode | IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
Local address | IPsec隧道的本端IP地址 |
IKE profile | IPsec安全策略模板引用的IKE Profile名称 |
IKEv2 profile | IPsec安全策略引用的IKEv2 Profile的名称 |
Remote address | IPsec隧道的对端IP地址 |
Transform set | IPsec安全策略模板引用的安全提议的名称 |
IPsec SA local duration(time based) | 基于时间的IPsec SA生存时间,单位为秒 |
IPsec SA local duration(traffic based) | 基于流量的IPsec SA生存时间,单位为千字节 |
SA idle time | IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
1.1.6 display ipsec p2mp tunnel-table interface tunnel
display ipsec p2mp tunnel-table interface tunnel命令用来显示点到多点IPsec隧道接口的隧道动态表项信息。
【命令】
display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:指定显示隧道IPv4动态表项信息。
ipv6:指定显示隧道IPv6动态表项信息。
【使用指导】
如果不指定任何参数,则显示所有点到多点IPsec隧道动态表项信息。
【举例】
# 显示点到多点IPsec隧道接口Tunnel0的隧道动态表项信息。
<Sysname> display ipsec p2mp tunnel-table interface tunnel 0
Total number:2
Dest Addr Dest Port Tunnel Dest Addr Time
10.1.1.1 62465 192.168.10.2 01:56:23
100::1 62465 20::2 00:29:38
表1-4 display ipsec p2mp tunnel-table interface tunnel命令显示信息描述表
字段 | 描述 |
Total number | 隧道动态表项总个数 |
Dest Addr | 分支公网物理口地址 |
Dest Port | 分支公网端口号 |
Tunnel Dest Addr | 隧道的目的地址 |
Time | 隧道动态表项已创建的时间 |
1.1.7 display ipsec profile
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-------------------------------------------
IPsec profile: myprofile
Mode: isakmp
-------------------------------------------
Transform set: tran1
IKE profile: profile
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-5 display ipsec profile命令显示信息描述表
字段 | 描述 |
IPsec profile | IPsec安全框架的名称 |
Mode | IPsec安全框架采用的协商方式 |
Description | IPsec安全框架的描述信息 |
Transform set | IPsec安全策略引用的IPsec安全提议的名称 |
IKE profile | IPsec安全策略引用的IKE Profile的名称 |
SA duration(time based) | 基于时间的IPsec SA生存时间,单位为秒 |
SA duration(traffic based) | 基于流量的IPsec SA生存时间,单位为千字节 |
SA soft-duration buffer(time based) | IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
SA soft-duration buffer(traffic based) | IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
SA idle time | IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
Inbound AH setting | 入方向采用的AH协议的相关设置 |
Outbound AH setting | 出方向采用的AH协议的相关设置 |
AH SPI | AH协议的SPI |
AH string-key | AH协议的字符类型的密钥 |
AH authentication hex key | AH协议的十六进制密钥 |
Inbound ESP setting | 入方向采用的ESP协议的相关设置 |
Outbound ESP setting | 出方向采用的ESP协议的相关设置 |
ESP SPI | ESP协议的SPI |
ESP string-key | ESP协议的字符类型的密钥 |
ESP encryption hex key | ESP协议的十六进制加密密钥 |
ESP authentication hex key | ESP协议的十六进制认证密钥 |
【相关命令】
· ipsec profile
1.1.8 display ipsec sa
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE1/0/1 10.1.1.1 400 ESP Active
GE1/0/1 255.255.255.255 4294967295 ESP Active
GE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-6 display ipsec sa brief命令显示信息描述表
字段 | 描述 |
Interface/Global | IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
Dst Address | IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
SPI | IPsec SA的SPI |
Protocol | IPsec采用的安全协议 |
Status | IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1443
Tunnel:
local address/port: 2.2.2.2/500
remote address/port: 1.1.1.2/500
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID:90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID:64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-7 display ipsec sa命令显示信息描述表
字段 | 描述 |
Interface | IPsec SA所在的接口 |
Global IPsec SA | 全局IPsec SA |
IPsec policy | 采用的IPsec安全策略名 |
IPsec profile | 采用的IPsec安全框架名 |
Sequence number | IPsec安全策略表项顺序号 |
Mode | IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
Tunnel id | IPsec隧道的ID号 |
Encapsulation mode | 采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
Perfect Forward Secrecy | 此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Extended Sequence Numbers enable | ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
Traffic Flow Confidentiality enable | TFC(Traffic Flow Confidentiality)填充功能是否开启 |
Inside VPN | 被保护数据所属的VRF实例名称 |
Transmitting entity | IKE方式协商中的实体角色包括: · Initiator:发起方 · Responder:响应方 |
Path MTU | IPsec SA的路径MTU值 |
Tunnel | IPsec隧道的端点地址信息 GDOI模式下不显示该信息 |
local address/port | IPsec隧道的本端IP地址/端口号 |
remote address/port | IPsec隧道的对端IP地址/端口号 |
Flow | 受保护的数据流信息 |
sour addr | 数据流的源IP地址 |
dest addr | 数据流的目的IP地址 |
port | 端口号 |
protocol | 协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
Current outbound SPI | 当前出方向使用的SPI值 该信息仅在GDOI方式下显示 |
Inbound ESP SAs | 入方向的ESP协议的IPsec SA信息 |
Outbound ESP SAs | 出方向的ESP协议的IPsec SA信息 |
Inbound AH SAs | 入方向的AH协议的IPsec SA信息 |
Outbound AH SAs | 出方向的AH协议的IPsec SA信息 |
SPI | IPsec SA的SPI |
Connection ID | IPsec SA标识 |
Transform set | IPsec安全提议所采用的安全协议及算法 |
SA duration (kilobytes/sec) | IPsec SA生存时间,单位为千字节或者秒 |
SA remaining duration (kilobytes/sec) | 剩余的IPsec SA生存时间,单位为千字节或者秒 |
Max received sequence-number | 入方向接收到的报文最大序列号 |
Max sent sequence-number | 出方向发送的报文最大序列号 |
Anti-replay check enable | 抗重放检测功能是否开启 |
Anti-replay window size | 抗重放窗口宽度 |
UDP encapsulation used for NAT traversal | 此IPsec SA是否使用NAT穿越功能 |
Status | IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
No duration limit for this SA | 手工方式创建的IPsec SA无生存时间 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
1.1.9 display ipsec statistics
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-8 display ipsec statistics命令显示信息描述表
字段 | 描述 |
IPsec packet statistics | IPsec处理的报文统计信息 |
Received/sent packets | 接收/发送的受安全保护的数据包的数目 |
Received/sent bytes | 接收/发送的受安全保护的字节数目 |
Dropped packets (received/sent) | 被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
Dropped packets statistics | 被丢弃的数据包的详细信息 |
No available SA | 因为找不到IPsec SA而被丢弃的数据包的数目 |
Wrong SA | 因为IPsec SA错误而被丢弃的数据包的数目 |
Invalid length | 因为数据包长度不正确而被丢弃的数据包的数目 |
Authentication failure | 因为认证失败而被丢弃的数据包的数目 |
Encapsulation failure | 因为加封装失败而被丢弃的数据包的数目 |
Decapsulation failure | 因为解封装失败而被丢弃的数据包的数目 |
Replayed packets | 被丢弃的重放的数据包的数目 |
ACL check failure | 因为ACL检测失败而被丢弃的数据包的数目 |
MTU check failure | 因为MTU检测失败而被丢弃的数据包的数目 |
Loopback limit exceeded | 因为本机处理的次数超过限制而被丢弃的数据包的数目 |
Crypto speed limit exceeded | 因为加密速度的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
1.1.10 display ipsec transform-set
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-9 display ipsec transform-set命令显示信息描述表
字段 | 描述 |
IPsec transform set | IPsec安全提议的名称 |
State | IPsec安全提议是否完整 |
Encapsulation mode | IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
ESN | ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
PFS | PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Transform | IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
AH protocol | AH协议相关配置 |
ESP protocol | ESP协议相关配置 |
Integrity | 安全协议采用的认证算法 |
Encryption | 安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
1.1.11 display ipsec tunnel
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-10 display ipsec tunnel brief命令显示信息描述表
字段 | 描述 |
Tunn-id | IPsec隧道的ID号 |
Src Address | IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
Dst Address | IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
Inbound SPI | IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
Outbound SPI | IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
Status | IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-11 display ipsec tunnel命令显示信息描述表
字段 | 描述 |
Tunnel ID | IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
Status | IPsec隧道的状态,取值只能为Active,表示隧道处于可用状态 |
Perfect forward secrecy | 此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
Inside vpn-instance | 被保护数据所属的VPN实例名 |
SA's SPI | 出方向和入方向的IPsec SA的SPI |
Tunnel | IPsec隧道的端点地址信息 |
local address | IPsec隧道的本端IP地址 |
remote address | IPsec隧道的对端IP地址 |
Flow | IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
as defined in ACL 3001 | 手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
1.1.12 encapsulation-mode
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
1.1.13 esn enable
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
1.1.14 esp authentication-algorithm
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特,本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
1.1.15 esp encryption-algorithm
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
(低加密版本中)
esp encryption-algorithm des-cbc
undo esp encryption-algorithm
(高加密版本)
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null | sm1-cbc-128 | sm4-cbc } *
undo esp encryption-algorithm
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:采用CTR模式的AES算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
aes-ctr-192:采用CTR模式的AES算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
aes-ctr-256:采用CTR模式的AES算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
camellia-cbc-128:采用CBC模式的Camellia算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
camellia-cbc-192:采用CBC模式的Camellia算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
camellia-cbc-256:采用CBC模式的Camellia算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
sm1-cbc-128:采用CBC模式的SM1算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
sm4-cbc:采用CBC模式的SM4算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
1.1.16 ike-profile
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
未引用IKE profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4705.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
