1.1.17 ikev2-profile
ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec安全策略视图/一个IPsec安全策略模板视图/IPsec安全框架视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
1.1.18 ipsec { ipv6-policy | policy }
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ gdoi | isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
gdoi:指定使用GDOI(Group Domain of Interpretation,组解释域)方式建立IPsec SA。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec安全策略时,必须指定协商方式(gdoi、isakmp或manual)。进入已创建的IPsec安全策略时,可以不指定协商方式。
不能修改已创建的IPsec安全策略的协商方式。
一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
# 创建一个名称为policygdoi,顺序号为100、采用GDOI方式建立IPsec SA的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policygdoi 100 gdoi
[Sysname-ipsec-policy-gdoi-policygdoi-100]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
1.1.19 ipsec { ipv6-policy | policy } template
ipsec { ipv6-policy | policy } template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp:被引用的IPsec安全策略模板为isakmp类型模板。
template template-name:指定被引用的IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
1.1.20 ipsec { ipv6-policy | policy } local-address
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec安全策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
1.1.21 ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
【使用指导】
IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。
· 一个IPsec安全策略模板是若干具有相同名称、不同顺序号的IPsec安全策略模板表项的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。
【举例】
# 创建一个名称为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相关命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
1.1.22 ipsec anti-replay check
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。
undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情况】
IPsec抗重放检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过开启IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能开启与否对手工方式生成的IPsec SA没有影响。
【举例】
# 开启IPsec抗重放检测功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相关命令】
· ipsec anti-replay window
1.1.23 ipsec anti-replay window
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。
undo ipsec anti-replay window命令用来恢复缺省情况。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情况】
IPsec抗重放窗口的宽度为64。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
width:IPsec抗重放窗口的宽度,取值可以为64、128、256、512、1024,单位为报文个数。
【使用指导】
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相关命令】
· ipsec anti-replay check
1.1.24 ipsec apply
ipsec apply命令用来在接口上应用IPsec安全策略。
undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上未应用IPsec安全策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。
在将IKE方式的IPsec安全策略可以应用到多个接口上时,请使用共享源接口的IPsec安全策略;手工方式的IPsec安全策略只能应用到一个接口上。
【举例】
# 在接口GigabitEthernet1/0/1上应用名为policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec apply policy policy1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
1.1.25 ipsec decrypt-check enable
ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情况】
解封装后IPsec报文的ACL检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。
【举例】
# 开启解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
1.1.26 ipsec df-bit
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 在接口GigabitEthernet1/0/2上设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ipsec df-bit set
【相关命令】
· ipsec global-df-bit
1.1.27 ipsec flow-overlap check enable
ipsec flow-overlap check enable命令用来开启IPsec流量重叠检测功能。
undo ipsec flow-overlap check enable命令用来关闭IPsec流量重叠检测功能。
【命令】
ipsec flow-overlap check enable
undo ipsec flow-overlap check enable
【缺省情况】
IPsec流量重叠检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在中心-分支组网环境中,通常中心侧采用IPsec安全策略模板方式协商IPsec SA,当分支侧分支众多时,需保护的数据流范围可能会重叠。此时通过开启本功能,在协商IPsec SA时,设备会检测新建隧道与已有隧道的需保护数据流是否存在重叠。若重叠,则IPsec SA协商失败,设备将生成IPsec流量重叠检测失败的告警信息,提示用户当前需要保护的数据流存在流量重叠。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划分支侧的ACL配置。
中心侧设备判断是否存在IPsec流量重叠的方法为:检测待保护数据流的目的IP地址范围是否与已有隧道保护的数据流的目的IP地址范围重叠。若重叠,则认为待保护的数据流与已有隧道保护的数据流发生了重叠。
本功能的实现情况如下:
· 建议在中心-分支组网环境中的中心侧配置本功能。
· 仅在设备采用IPsec安全策略模板方式协商IPsec SA时生效。
· 仅支持对新建的IPsec SA进行流量重叠检测,不支持对已有的IPsec SA进行流量重叠检测。
· 仅支持在同一接口、同一VPN实例下进行流量重叠检测。
· 不支持对IPsec重协商后生成的IPsec SA进行流量重叠检测。
· 流量重叠检测时不会判断源IP地址范围是否与已有隧道保护的数据流的源IP地址范围重叠。
· 流量重叠检测对设备性能有一定的影响,建议仅在进行网络升级扩容等操作时开启,并在操作完成后及时关闭。
【举例】
# 开启IPsec流量重叠检测功能。
<Sysname> system-view
[Sysname] ipsec flow-overlap check enable
1.1.28 ipsec fragmentation
ipsec fragmentation命令用来配置IPsec分片功能。
undo ipsec fragmentation命令用来恢复缺省情况。
【命令】
ipsec fragmentation { after-encryption | before-encryption }
undo ipsec fragmentation
【缺省情况】
IPsec分片功能为封装前分片。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
after-encryption:表示开启IPsec封装后分片功能。
before-encryption:表示开启IPsec封装前分片功能。
【使用指导】
IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果待报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。
IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。
【举例】
# 开启IPsec封装后分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation after-encryption
1.1.29 ipsec global-df-bit
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 为所有接口设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相关命令】
· ipsec df-bit
1.1.30 ipsec limit max-tunnel
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
本端允许建立IPsec隧道的最大数为4294967295。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相关命令】
· ike limit
1.1.31 ipsec logging ipsec-p2mp enable
ipsec logging ipsec-p2mp enable命令用来开启IPsec P2MP模式隧道口日志记录功能。
undo ipsec logging ipsec-p2mp enable命令用来关闭IPsec P2MP模式隧道口日志记录功能。
【命令】
ipsec logging ipsec-p2mp enable
undo ipsec logging ipsec-p2mp enable
【缺省情况】
IPsec P2MP模式隧道口日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec P2MP模式隧道口日志记录功能后,当IPsec P2MP隧道学习表项和删除表项时,设备会输出相关日志信息。有关日志信息的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启IPsec P2MP模式隧道口日志功能。
<Sysname> system-view
[Sysname] ipsec logging ipsec-p2mp enable
1.1.32 ipsec logging negotiation enable
ipsec logging negotiation enable命令用来开启IPsec协商事件日志功能。
undo ipsec logging negotiation enable命令用来关闭IPsec协商事件日志功能。
【命令】
ipsec logging negotiation enable
undo ipsec logging negotiation enable
【缺省情况】
IPsec协商事件日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec协商事件日志记录功能后,设备会输出IPsec协商过程中的相关日志。
【举例】
# 开启IPsec协商事件日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging negotiation enable
1.1.33 ipsec logging packet enable
ipsec logging packet enable命令用来开启IPsec报文日志记录功能。
undo ipsec logging packet enable命令用来关闭IPsec报文日志记录功能。
【命令】
ipsec logging packet enable
undo ipsec logging packet enable
【缺省情况】
IPsec报文日志记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IPsec报文日志记录功能后,设备会在丢弃IPsec报文的情况下,例如入方向找不到对应的IPsec SA,AH/ESP认证失败或ESP加密失败等时,输出相应的日志信息,该日志信息内容主要包括报文的源和目的IP地址、报文的SPI值、报文的序列号信息,以及设备丢包的原因。
【举例】
# 开启IPsec报文日志记录功能。
<Sysname> system-view
[Sysname] ipsec logging packet enable
1.1.34 ipsec netmask-filter
ipsec netmask-filter命令用来配置IPsec掩码过滤功能。
undo ipsec netmask-filter命令用来恢复缺省情况。
【命令】
ipsec netmask-filter { destination-mask mask-length | source-mask mask-length } *
undo ipsec netmask-filter [ destination-mask | source-mask ]
【缺省情况】
未配置IPsec掩码过滤功能。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
destination-mask mask-length:指定数据流的目的IP地址掩码长度,取值范围为1~32。
source-mask mask-length:指定数据流的源IP地址掩码长度,取值范围为1~32。
【使用指导】
仅IPv4网络支持本功能。
建议在中心-分支组网环境中的中心侧配置本功能。
本功能仅在设备采用IPsec安全策略模板方式协商IPsec SA时生效。
在中心-分支组网环境中,当有新的分支加入组网时,如果新分支侧配置的保护数据流范围过大,可能会导致其他分支的流量被引入到该分支,导致报文转发错误。配置本功能后,当中心侧设备与分支侧进行IPsec SA协商时,如果中心侧需要保护数据流的源、目的IP地址的掩码长度大于或等于本命令配置的值,则允许继续协商;否则,IPsec SA协商失败,设备将生成掩码过滤失败的告警信息,提示用户当前需要保护数据流的掩码设置过小。当IPsec SA协商失败时,管理员需要针对当前组网环境,重新规划合理的ACL配置。
多次执行本命令,最后一次执行的命令生效。
如果不指定任何参数,则undo ipsec netmask-filter命令表示取消所有类型的掩码过滤功能。
【举例】
# 配置IPsec掩码过滤功能,过滤数据流的源IP地址掩码长度为24,目的IP地址掩码长度为24。
<Sysname> system-view
[Sysname] ipsec netmask-filter source-mask 24 destination-mask 24
1.1.35 ipsec no-nat-process enable
ipsec no-nat-process enable命令用来在接口上开启IPsec流量不进行NAT转换功能。
undo ipsec no-nat-process enable命令用来恢复缺省情况。
【命令】
ipsec no-nat-process enable
undo ipsec no-nat-process enable
【缺省情况】
IPsec流量不进行NAT转换功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
该功能会影响NAT业务的处理流程,请谨慎使用。
在一个接口上同时配置了IPsec与NAT的情况下,对于出方向报文,设备先进行NAT转换,再进行IPsec处理。若接口上需要进行NAT转换的流量与需要进行IPsec处理的流量未能通过配置准确的区分,将会导致接口上的报文不能按照预期进行IPsec处理。而准确的区分可能导致配置复杂,难以维护。
开启本功能后,当前接口上需要进行IPsec处理的流量将不会进行NAT转换,减轻划分NAT与IPsec流量的工作量,进而降低接口上IPsec与NAT共存时配置的复杂度。
【举例】
# 在接口GigabitEthernet1/0/1上开启IPsec流量不进行NAT转换功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipsec no-nat-process enable
1.1.36 ipsec profile
ipsec profile命令用来创建一个IPsec安全框架,并进入IPsec安全框架视图。如果指定的IPsec安全框架已经存在,则直接进入IPsec安全框架视图。
undo ipsec profile命令用来删除指定的IPsec安全框架。
【命令】
ipsec profile profile-name [ manual | isakmp ]
undo ipsec profile profile-name
【缺省情况】
不存在IPsec安全框架。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
manual:手工方式的IPsec安全框架。
isakmp:指定通过IKE协商建立安全联盟。
【使用指导】
创建IPsec安全框架时,必须指定协商方式(manual或isakmp);进入已创建的IPsec安全框架时,可以不指定协商方式。
手工方式IPsec profile专门用于为应用协议配置IPsec安全策略,它相当于一个手工方式创建的IPsec安全策略,其中的应用协议可包括但不限于OSPFv3、IPv6 BGP、RIPng。
IKE协商方式IPsec profile用于为应用协议模块自动协商生成安全联盟,不限制对端的地址,不需要进行ACL匹配,且适用于IPv4和IPv6应用协议,其中的应用协议模块包括但是不限于ADVPN等。
【举例】
# 配置名称为profile1的IPsec安全框架,通过手工配置建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 manual
[Sysname-ipsec-profile—manual-profile1]
# 配置名称为profile1的IPsec安全框架,通过IKE协商建立安全联盟。
<Sysname> system-view
[Sysname] ipsec profile profile1 isakmp
[Sysname-ipsec-profile-isakmp-profile1]
【相关命令】
· display ipsec profile
1.1.37 ipsec redundancy enable
ipsec redundancy enable命令用来开启IPsec冗余备份功能。
undo ipsec redundancy enable命令用来关闭IPsec冗余备份功能。
【命令】
ipsec redundancy enable
undo ipsec redundancy enable
【缺省情况】
IPsec冗余备份功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启冗余备份功能后,系统会根据命令redundancy replay-interval指定的备份间隔将接口上IPsec入方向抗重放窗口的左侧值和出方向IPsec报文的抗重放序号进行备份,当发生主备切换时,可以保证主备IPsec流量不中断和抗重放保护不间断。
【举例】
# 开启IPsec冗余备份功能。
<Sysname> system-view
[Sysname] ipsec redundancy enable
【相关命令】
· redundancy replay-interval
1.1.38 ipsec sa global-duration
ipsec sa global-duration命令用来配置全局的IPsec SA生存时间。
undo ipsec sa global-duration命令用来恢复缺省情况。
【命令】
ipsec sa global-duration { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-duration { time-based | traffic-based }
【缺省情况】
IPsec SA基于时间的生存时间为3600秒,基于流量的生存时间为1843200千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的全局生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的全局生存时间,取值范围为2560~4294967295,单位为千字节。如果流量达到此值,则生存时间到期。
【使用指导】
IPsec安全策略/IPsec安全策略模板视图下也可配置IPsec SA的生存时间,若IPsec安全策略/IPsec安全策略模板视图和全局都配置了IPsec SA的生存时间,则优先采用IPsec安全策略/IPsec安全策略模板视图下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
可同时存在基于时间和基于流量两种方式的IPsec SA生存时间,只要IPsec SA的生存时间到达指定的时间或流量时,该IPsec SA就会失效。IPsec SA失效前,IKE将为IPsec对等体协商建立新的IPsec SA,这样,在旧的IPsec SA失效前新的IPsec SA就已经准备好。在新的IPsec SA开始协商而没有协商好之前,继续使用旧的IPsec SA保护通信。在新的IPsec SA协商好之后,则立即采用新的IPsec SA保护通信。
【举例】
# 配置全局的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec sa global-duration time-based 7200
# 配置全局的IPsec SA生存时间为10M字节,即传输10240千字节的流量后,当前的IPsec SA过期。
[Sysname] ipsec sa global-duration traffic-based 10240
【相关命令】
· display ipsec sa
· sa duration
1.1.39 ipsec sa global-soft-duration buffer
ipsec sa global-soft-duration buffer命令用来设置IPsec SA的全局软超时缓冲参数。
undo ipsec sa global-soft-duration buffer命令用来恢复缺省情况。
【命令】
ipsec sa global-soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo ipsec sa global-soft-duration buffer { time-based | traffic-based }
【缺省情况】
未配置全局软超时缓冲时间和全局软超时缓冲流量。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:IPsec SA的全局软超时缓冲时间,取值范围为20~201600,单位为秒。
traffic-based kilobytes:IPsec SA的全局软超时缓冲流量,取值范围为1000~4294901760,单位为KB。
【使用指导】
本命令只对IKEv1有效。
在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。
同时配置了全局软超时缓冲参数和局部软超时缓冲参数时,以局部软超时缓冲为准。
【举例】
# 设置所有IPsec安全策略的IPsec SA的软超时缓冲时间为600秒。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer time-based 600
# 设置所有IPsec安全策略的IPsec SA的软超时缓冲流量为10000KB。
<Sysname> sytem-view
[Sysname] ipsec sa global-soft-duration buffer traffic-based 10000
【相关命令】
· sa soft-duration buffer
1.1.40 ipsec sa idle-time
ipsec sa idle-time命令用来开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA空闲超时时间。
undo ipsec sa idle-time命令用来关闭全局的IPsec SA空闲超时功能。
【命令】
ipsec sa idle-time seconds
undo ipsec sa idle-time
【缺省情况】
全局的IPsec SA空闲超时功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA。
从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下也可配置IPsec SA的空闲超时时间,若IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图和全局都配置了IPsec SA的空闲超时时间,则优先采用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。
【举例】
# 开启全局的IPsec SA空闲超时功能,并配置全局IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec sa idle-time 600
【相关命令】
· display ipsec sa
· sa idle-time
1.1.41 ipsec tcp-encaps responder
ipsec tcp-encaps responder命令用来配置IPsec响应方使用TCP封装功能。
undo ipsec tcp-encaps responder命令用来恢复缺省情况。
【命令】
ipsec tcp-encaps responder { advanced | enhanced } [ listen-port port-number ]
undo ipsec tcp-encaps responder
【缺省情况】
IPsec响应方使用UDP协议进行封装。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
advanced:表示响应方IPsec支持的TCP封装功能为高级模式。该模式下,TCP连接支持重传,可靠性较高,但是报文传输效率较低。
enhanced:表示响应方IPsec使用的TCP封装功能为增强模式。该模式下,TCP连接不支持重传,可靠性较低,但是报文传输效率较高。
listen-port port-number:指定IPsec监听的TCP端口号,取值范围为1024~65535,缺省值为4500。
【使用指导】
本功能仅在IKE协商的响应方生效。
AH协议不支持本功能。
IPsec使用TCP封装是指,IPsec响应方和IPsec发起方同时开启TCP封装功能后,IPsec发起方和IPsec响应方先建立TCP连接。然后IPsec发起方再与IPsec响应方之间进行IKE协商,IKE协商报文以及协商成功后的IPsec报文均通过TCP连接传输。
IPsec响应方配置本功能后,设备仅处理TCP封装的IPsec报文,当收到UDP封装的IPsec报文时丢弃该报文。
当网络中存在阻止或限制UDP报文的情况时,需要将IPsec报文封装成TCP报文进行传输,此时可以配置本功能从而摆脱限制。
修改本命令会删除已建立的所有IPsec SA,请谨慎操作。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置IPsec响应方使用TCP封装功能,IPsec监听的TCP端口号为10000。
<Sysname> system-view
[Sysname] ipsec tcp-encaps responder enhanced listen-port 10000
【相关命令】
· display ipsec global-info
· tcp-encaps initiator
1.1.42 ipsec transform-set
ipsec transform-set命令用来创建IPsec安全提议,并进入IPsec安全提议视图。如果指定的IPsec安全提议已经存在,则直接进入IPsec安全提议视图。
undo ipsec transform-set命令用来删除指定的IPsec安全提议。
【命令】
ipsec transform-set transform-set-name
undo ipsec transform-set transform-set-name
【缺省情况】
不存在IPsec安全提议。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
transform-set-name:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全提议是IPsec安全策略的一个组成部分,它用于保存IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
【举例】
# 创建名为tran1的IPsec安全提议,并进入IPsec安全提议视图。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-transform-set-tran1]
【相关命令】
· display ipsec transform-set
1.1.43 local-address
local-address命令用来配置IPsec隧道的本端IP地址。
undo local-address命令用来恢复缺省情况。
【命令】
local-address { ipv4-address | ipv6 ipv6-address }
undo local-address
【缺省情况】
IPsec隧道的本端IPv4地址为应用IPsec安全策略的接口的主IPv4地址,本端IPv6地址为应用IPsec安全策略的接口的第一个IPv6地址。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IPsec隧道的本端IPv4地址。
ipv6 ipv6-address:IPsec隧道的本端IPv6地址。
【使用指导】
采用IKE协商方式的IPsec安全策略上,发起方的IPsec隧道的对端IP地址必须与响应方的IPsec隧道本端IP地址一致。
在VRRP组网环境中,必须指定IPsec隧道本端的IP地址为应用IPsec安全策略的接口所在备份组的虚拟IP地址。
IPsec隧道的本端IP地址不得为应用IPsec安全策略的接口的从IP地址。
【举例】
# 配置IPsec隧道的本端IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] local-address 1.1.1.1
【相关命令】
· remote-address
1.1.44 pfs
pfs命令用来配置在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。
undo pfs命令用来恢复缺省情况。
【命令】
pfs { dh-group1 | dh-group2 | dh-group5 | dh-group14 | dh-group19 | dh-group20 | dh-group24 }
undo pfs
【缺省情况】
使用IPsec安全策略发起IKE协商时不使用PFS特性。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
dh-group1:采用768-bit Diffie-Hellman组。
dh-group2:采用1024-bit Diffie-Hellman组。
dh-group5:采用1536-bit Diffie-Hellman组。
dh-group14:采用2048-bit Diffie-Hellman组。
dh-group19:采用256-bit ECP模式 Diffie-Hellman组。本参数仅适用于IKEv2协商。
dh-group20:采用384-bit ECP模式 Diffie-Hellman组。本参数仅适用于IKEv2协商。
dh-group24:采用2048-bit和256_bit子群Diffie-Hellman组。
【使用指导】
384-bit ECP模式 Diffie-Hellman组(dh-group20)、256-bit ECP模式 Diffie-Hellman组(dh-group19)、2048-bit和256-bit子群Diffie-Hellman组(dh-group24)、2048-bit Diffie-Hellman组(dh-group14)、1536-bit Diffie-Hellman组(dh-group5)、1024-bit Diffie-Hellman组(dh-group2)、768-bit Diffie-Hellman组(dh-group1)算法的强度,即安全性和需要计算的时间依次递减。
IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。IKEv2不受该限制。
不配置PFS特性的一端,按照对端的PFS特性要求进行IKE协商。
【举例】
# 配置IPsec安全提议使用PFS特性,并采用2048-bit Diffie-Hellman组。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] pfs dh-group14
1.1.45 protocol
protocol命令用来配置IPsec安全提议采用的安全协议。
undo protocol命令用来恢复缺省情况。
【命令】
protocol { ah | ah-esp | esp }
undo protocol
【缺省情况】
使用ESP安全协议。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
ah:采用AH协议对报文进行保护。
ah-esp:先用ESP协议对报文进行保护,再用AH协议对报文进行保护。
esp:采用ESP协议对报文进行保护。
【使用指导】
在IPsec隧道的两端,IPsec安全提议所采用的安全协议必须一致。
【举例】
# 配置IPsec安全提议采用AH协议。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] protocol ah
1.1.46 qos pre-classify
qos pre-classify命令用来开启QoS预分类功能。
undo qos pre-classify命令用来关闭QoS预分类功能。
【命令】
qos pre-classify
undo qos pre-classify
【缺省情况】
QoS预分类功能处于关闭状态,即QoS使用IPsec封装后报文的外层IP头信息来对报文进行分类。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
QoS预分类功能是指,QoS基于被封装报文的原始IP头信息对报文进行分类。
【举例】
# 在IPsec安全策略中开启QoS预分类功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] qos pre-classify
1.1.47 redundancy replay-interval
redundancy replay-interval命令用来配置抗重放窗口和序号的同步间隔。
undo redundancy replay-interval命令用来恢复缺省情况。
【命令】
redundancy replay-interval inbound inbound-interval outbound outbound-interval
undo redundancy replay-interval
【缺省情况】
同步入方向抗重放窗口的报文间隔为1000,同步出方向IPsec SA抗重放序号的报文间隔为100000。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound inbound-interval:同步入方向IPsec SA抗重放窗口左侧值的报文间隔,取值范围为0~1000,单位为报文个数,取值为0,表示不同步防重放窗口。
outbound outbound-interval:同步出方向IPsec SA抗重放序号的报文间隔,取值范围为1000~100000,单位为报文个数。
【使用指导】
IPsec冗余备份功能处于开启状态时,抗重放序号同步间隔的配置才会生效。
调小同步的报文间隔,可以增加主备间保持抗重放窗口和序号一致的精度,但同时对转发性能会有一定影响。
【举例】
# 配置同步入方向抗重放窗口的报文间隔为800,同步出方向抗重放序号的报文间隔为50000。
<Sysname> system-view
[Sysname] ipsec policy test 1 manual
[sysname-ipsec-policy-manual-test-1] redundancy replay-interval inbound 800 outbound 50000
【相关命令】
· ipsec anti-replay check
· ipsec anti-replay window
· ipsec redundancy enable
1.1.48 remote-address
remote-address命令用来指定IPsec隧道的对端IP地址。
undo remote-address命令用来恢复缺省情况。
【命令】
remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address } [ primary ] [ track track-id ]
undo remote-address { [ ipv6 ] host-name | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定IPsec隧道的对端IP地址。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数,则表示指定IPv4 IPsec隧道的对端地址或主机名称。
hostname:IPsec隧道的对端主机名,为1~253个字符的字符串,不区分大小写。该主机名可被DNS服务器解析为IP地址。
ipv4-address:IPsec隧道的对端IPv4地址。
ipv6-address:IPsec隧道的对端IPv6地址。
primary:将指定的对端地址配置为首选地址。未指定该参数时,先配置的地址优先级更高。
track track-id:指定地址关联的track项。
【使用指导】
IKE协商发起方必须配置IPsec隧道的对端IP地址,对于使用IPsec安全策略模板的响应方可选配。
手工方式的IPsec安全策略不支持域名解析,因此只能指定IP地址类型的对端IP地址。
对于主机名方式的对端地址,地址更新的查询过程有所不同。
· 若此处指定对端主机名由DNS服务器来解析,则本端按照DNS服务器通知的域名解析有效期,在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。
· 若此处指定对端主机名由本地配置的静态域名解析(通过ip host命令配置)来解析,则更改此主机名对应的IP地址之后,需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address,本端解析到的对端IP地址将为更改后的IP地址。
例如,本端已经存在一条静态域名解析配置,它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置:
# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test
# 更改主机名test对应的IP地址为2.2.2.2。
[Sysname] ip host test 2.2.2.2
则,本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。
多次执行本命令可指定多个对端IP地址,形成对端IP地址列表。建立IPsec隧道时,本端依次按配置顺序向列表中的IP地址发起IPsec协商:协商成功,则与该地址建立IPsec隧道;否则尝试向列表中的下一个IP地址建立IPsec隧道,直至列表中最后一个IP地址。
如果执行本命令时配置了primary参数,则此地址拥有最高优先级,每次触发协商时都会优先向该地址发起协商,每个地址列表中最多可配置一条首选地址。
不能通过重复执行remote-address命令来修改首选地址。如需修改首选地址,请先通过undo remote-address命令删除当前首选地址,再执行remote-address命令。
如果需要关注对端地址是否可用,需要在remote-address后关联track项。配置相应track项之后,能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时打开了对端地址回切功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。
仅在安全策略视图下,支持remote-address命令配置多个对端地址、指定primary远端地址及指定地址关联的track项。
【举例】
# 指定IPsec隧道的对端IPv4地址为10.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 manual
[Sysname-ipsec-policy-manual-policy1-10] remote-address 10.1.1.2
【相关命令】
· ip host(三层技术-IP业务/域名解析)
· local-address
· remote-address switch-back enable
1.1.49 remote-address switch-back enable
remote-address switch-back enable命令用来开启对端地址回切功能。
undo remote-address switch-back enable命令用来恢复缺省情况。
【命令】
remote-address switch-back enable
undo remote-address switch-back enable
【缺省情况】
对端地址回切功能处于关闭状态。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【使用指导】
如果配置remote-address时指定了track项,IPsec能够实现对对端地址状态的探测。当探测到首选地址不可用时,设备会立即选择备份地址建立IPsec隧道。如果同时开启了本功能,在首选地址恢复到可用状态时,设备将重新与首选地址建立IPsec隧道。
如果对端地址回切功能处于关闭状态,则当首选地址可用时,IPsec不会自动选择首选地址建立IPsec隧道。
【举例】
在IPsec安全策略policy1中开启对端地址回切功能。
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] remote-address switch-back enable
【相关命令】
· remote-address
1.1.50 reset ipsec sa
reset ipsec sa命令用来清除已经建立的IPsec SA。
【命令】
reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
{ ipv6-policy | policy } policy-name [ seq-number ]:表示根据IPsec安全策略名称清除IPsec SA。
· ipv6-policy:IPv6 IPsec安全策略。
· policy:IPv4 IPsec安全策略。
· policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
· seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。如果不指定该参数,则表示指定名称为policy-name的安全策略中所有安全策略表项。
profile profile-name:表示根据IPsec安全框架名称清除IPsec SA。profile-name表示IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote:表示根据对端IP地址清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num:表示根据SA的三元组信息(对端IP地址、安全协议、安全参数索引)清除IPsec SA。
· ipv4-address:对端的IPv4地址。
· ipv6 ipv6-address:对端的IPv6地址。
· ah:AH协议。
· esp:ESP协议。
· spi-num:安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则清除所有的IPsec SA。
如果指定了一个IPsec SA的三元组信息,则将清除符合该三元组的某一个方向的IPsec SA以及对应的另外一个方向的IPsec SA。若是同时采用了两种安全协议,则还会清除另外一个协议的出方向和入方向的IPsec SA。
对于出方向IPsec SA,三元组是它的唯一标识;对于入方向IPsec SA,SPI是它的唯一标识。因此,若是希望通过指定出方向的三元组信息来清除IPsec SA,则需要准确指定三元组信息(其中,IPsec安全框架生成的SA由于没有地址信息,所以地址信息可以任意);若是希望通过指定入方向的三元组信息来清除IPsec SA,则只需要准确指定SPI值即可,另外两个信息可以任意。
通过手工建立的IPsec SA被清除后,系统会立即根据对应的手工IPsec安全策略建立新的IPsec SA。
通过IKE协商建立的IPsec SA被清除后,系统会在有报文需要进行IPsec保护时触发协商新的IPsec SA。
【举例】
# 清除所有IPsec SA。
<Sysname> reset ipsec sa
# 清除SPI为256、对端地址为10.1.1.2、安全协议为AH的出方向和入方向的IPsec SA。
<Sysname> reset ipsec sa spi 10.1.1.2 ah 256
# 清除IPsec对端地址为10.1.1.2的所有IPsec SA。
<Sysname> reset ipsec sa remote 10.1.1.2
# 清除IPsec安全策略名称为policy1、顺序号为10的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1 10
# 清除IPsec安全策略policy1中的所有IPsec SA。
<Sysname> reset ipsec sa policy policy1
【相关命令】
· display ipsec sa
1.1.51 reset ipsec statistics
reset ipsec statistics命令用来清除IPsec的报文统计信息。
【命令】
reset ipsec statistics [ tunnel-id tunnel-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
tunnel-id tunnel-id:清除指定IPsec隧道的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。如果未指定本参数,则清除IPsec的所有报文统计信息。
【举例】
# 清除IPsec的所有报文统计信息。
<Sysname> reset ipsec statistics
【相关命令】
· display ipsec statistics
1.1.52 reverse-route dynamic
reverse-route dynamic命令用来开启IPsec反向路由注入功能。
undo reverse-route dynamic命令用来关闭IPsec反向路由注入功能。
【命令】
reverse-route [ next-hop [ ipv6 ] ip-address ] dynamic
undo reverse-route dynamic
【缺省情况】
IPsec反向路由注入功能处于关闭状态。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
next-hop:指定自动生成的静态路由下一跳地址。若未指定下一跳地址,则自动生成的静态路由下一跳为IPsec隧道的对端地址。
ipv6:指定自动生成的静态路由下一跳IPv6地址。若不指定此参数,则表示IPv4地址。
ip-address:下一跳的IPv4或IPv6地址。
【使用指导】
在企业中心侧网关设备上的某安全策略视图/安全策略模板视图下开启IPsec反向路由注入功能后,设备会根据协商的IPsec SA自动生成一条静态路由,该路由的目的地址为受保护的对端私网,下一跳地址缺省为IPsec隧道的对端地址;在有多条路径到达隧道对端目的地址的情况下,可以通过next-hop参数指定下一跳来控制隧道到达对端所经过的路径。
开启反向路由注入功能时,会删除本策略协商出的所有IPsec SA。当有新的流量触发生成IPsec SA时,根据新协商的IPsec生成路由信息。
关闭反向路由注入功能时,会删除本策略协商出的所有IPsec SA。
生成的静态路由随IPsec SA的创建而创建,随IPsec SA的删除而删除。
需要查看生成的路由信息时,可以通过display ip routing-table命令查看。
【举例】
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段3.0.0.0/24,下一跳地址为对端隧道地址1.1.1.2。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,可查看到生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
3.0.0.0/24 Static 60 0 1.1.1.2 GE1/0/1
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由,目的地址为受保护的对端私网网段4.0.0.0/24,指定下一跳地址为2.2.2.3。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route next-hop 2.2.2.3 dynamic
[Sysname-ipsec-policy-isakmp-1-1] quit
# 隧道两端的IPsec SA协商成功后,查看路由表,可以看到已生成如下静态路由(其它显示信息略)。
[Sysname] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
4.0.0.0/24 Static 60 0 2.2.2.3 GE1/0/1
【相关命令】
· display ip routing-table(三层技术-IP路由命令参考/IP路由基础)
· ipsec policy
· ipsec policy-template
1.1.53 reverse-route preference
reverse-route preference命令用来设置IPsec反向路由注入功能生成的静态路由的优先级。
undo reverse-route preference命令用来恢复缺省情况。
【命令】
reverse-route preference number
undo reverse-route preference
【缺省情况】
IPsec反向路由注入功能生成的静态路由的优先级为60。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
number:静态路由的优先级,取值范围为1~255。该值越小,优先级越高。
【使用指导】
若对静态路由优先级进行修改,会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的优先级为100。
<Sysname> system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route preference 100
【相关命令】
· ipsec policy
· ipsec policy-template
1.1.54 reverse-route tag
reverse-route tag命令用来设置IPsec反向路由注入功能生成的静态路由的Tag值。
undo reverse-route tag命令用来恢复缺省情况。
【命令】
reverse-route tag tag-value
undo reverse-route tag
【缺省情况】
IPsec反向路由注入功能生成的静态路由的Tag值为0。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
tag-value:静态路由的Tag值,取值范围为1~4294967295。
【使用指导】
本Tag值用于标识静态路由,以便在路由策略中根据Tag值对路由进行灵活的控制,若对静态路由Tag值进行修改,则会删除本策略协商生成的所有IPsec SA和根据这些IPsec SA生成的静态路由。
【举例】
# 配置IPsec反向路由注入功能生成的静态路由的Tag值为50。
<Sysname>system-view
[Sysname] ipsec policy 1 1 isakmp
[Sysname-ipsec-policy-isakmp-1-1] reverse-route tag 50
【相关命令】
· ipsec policy
· ipsec policy-template
1.1.55 sa df-bit
sa df-bit命令用来设置IPsec SA封装后外层IP头的DF位。
undo sa df-bit命令用来恢复缺省情况。
【命令】
sa df-bit { clear | copy | set }
undo sa df-bit
【缺省情况】
未设置IPsec封装后外层IP头的DF位,采用接口或全局设置的DF位。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
只有IKE协商方式的IPsec才支持本功能。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec DF位,将使用接口下配置的IPsec DF位;如果接口下也未配置IPsec DF位,将使用IPsec 全局配置的DF位。
【举例】
# 配置IPsec安全策略policy1封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa df-bit set
【相关命令】
· ipsec df-bit
· ipsec global-df-bit
1.1.56 sa duration
sa duration命令用来配置IPsec SA的生存时间。
undo sa duration命令用来删除指定的IPsec SA生存时间。
【命令】
sa duration { time-based seconds | traffic-based kilobytes }
undo sa duration { time-based | traffic-based }
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架的IPsec SA生存时间为当前全局的IPsec SA生存时间。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:指定基于时间的生存时间,取值范围为180~604800,单位为秒。
traffic-based kilobytes:指定基于流量的生存时间,取值范围为2560~4294967295,单位为千字节。
【使用指导】
当IKE协商IPsec SA时,如果采用的IPsec安全策略/IPsec安全策略模板/IPsec安全框架下未配置IPsec SA的生存时间,将采用全局的IPsec SA生存时间(通过命令ipsec sa global-duration设置)与对端协商。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架下配置了IPsec SA的生存时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的配置值与对端协商。
IKE为IPsec协商建立IPsec SA时,采用本地配置的生存时间和对端提议的IPsec SA生存时间中较小的一个。
【举例】
# 配置IPsec安全策略policy1的IPsec SA生存时间为两个小时,即7200秒。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200
# 配置IPsec安全策略policy1的IPsec SA生存时间为20M字节,即传输20480千字节的流量后,当前的IPsec SA就过期。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480
【相关命令】
· display ipsec sa
· ipsec sa global-duration
1.1.57 sa hex-key authentication
sa hex-key authentication命令用来为手工创建的IPsec SA配置十六进制形式的认证密钥。
undo sa hex-key authentication命令用来删除指定的IPsec SA的认证密钥。
【命令】
sa hex-key authentication { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa hex-key authentication { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的认证密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的认证密钥。
outbound:指定出方向IPsec SA使用的认证密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为十六进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同:HMAC-MD5算法,密钥长度为16个字节;HMAC-SHA1算法,密钥长度为20个字节;HMAC-SM3算法,密钥长度为32个字节。密文密钥为1~85个字符的字符串,区分大小写。
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的认证密钥必须和对端的出方向IPsec SA的认证密钥一致;本端的出方向IPsec SA的认证密钥必须和对端的入方向IPsec SA的认证密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
在相同方向和协议的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的认证密钥为明文0x112233445566778899aabbccddeeff00;出方向IPsec SA的认证密钥为明文0xaabbccddeeff001100aabbccddeeff00。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication inbound ah simple 112233445566778899aabbccddeeff00
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key authentication outbound ah simple aabbccddeeff001100aabbccddeeff00
【相关命令】
· display ipsec sa
· sa string-key
1.1.58 sa hex-key encryption
sa hex-key encryption命令用来为手工创建的IPsec SA配置十六进制形式的加密密钥。
undo sa hex-key encryption命令用来删除指定的IPsec SA的加密密钥。
【命令】
sa hex-key encryption { inbound | outbound } esp { cipher | simple } string
undo sa hex-key encryption { inbound | outbound } esp
【缺省情况】
未配置IPsec SA使用的加密密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA使用的加密密钥。
outbound:指定出方向IPsec SA使用的加密密钥。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:明文密钥为16进制格式的字符串,不区分大小写。对于不同的算法,密钥长度不同,详见表1-12。密文密钥为1~117个字符的字符串,区分大小写。
表1-12 算法与密钥长度对照表
算法 | 密钥长度(字节) |
DES-CBC | 8 |
3DES-CBC | 24 |
AES128-CBC | 16 |
AES192-CBC | 24 |
AES256-CBC | 32 |
SM1128-CBC | 16 |
SM4128-CBC | 16 |
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向的IPsec SA参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的加密密钥必须和对端的出方向IPsec SA的加密密钥一致;本端的出方向IPsec SA的加密密钥必须和对端的入方向IPsec SA的加密密钥一致。
对于要应用于IPv6路由协议的IPsec安全框架,还必须保证本端出方向SA的密钥和本端入方向SA的密钥一致。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能建立IPsec隧道。
相同方向的情况下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用ESP协议的入方向IPsec SA的加密算法的密钥为明文0x1234567890abcdef;出方向IPsec SA的加密算法的密钥为明文0xabcdefabcdef1234。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption inbound esp simple 1234567890abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa hex-key encryption outbound esp simple abcdefabcdef1234
【相关命令】
· display ipsec sa
· sa string-key
1.1.59 sa idle-time
sa idle-time命令用来配置IPsec SA的空闲超时时间。
undo sa idle-time命令用来恢复缺省情况。
【命令】
sa idle-time seconds
undo sa idle-time
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下的IPsec SA空闲超时时间为当前全局的IPsec SA空闲超时时间。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
seconds:IPsec SA的空闲超时时间,取值范围为60~86400,单位为秒。
【使用指导】
此功能只适用于IKE协商出的IPsec SA,且只有通过ipsec sa idle-time命令开启空闲超时功能后,本功能才会生效。
从创建IPsec SA开始计时,在指定超时时间内,没有匹配过流量的IPsec SA会被删除。
如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下没有配置IPsec SA 空闲超时时间,将采用全局的IPsec SA空闲超时时间(通过命令ipsec sa idle-time设置)决定IPsec SA是否空闲并进行删除。如果IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下配置了IPsec SA 空闲超时时间,则优先使用IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图下的配置值。
【举例】
# 配置IPsec安全策略的IPsec SA的空闲超时时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy map 100 isakmp
[Sysname-ipsec-policy-isakmp-map-100] sa idle-time 600
【相关命令】
· display ipsec sa
· ipsec sa idle-time
1.1.60 sa soft-duration buffer
sa soft-duration buffer命令用来设置IPsec SA的软超时缓冲参数。
undo sa soft-duration buffer命令用来恢复缺省配置。
【命令】
sa soft-duration buffer { time-based seconds | traffic-based kilobytes }
undo sa soft-duration buffer { time-based | traffic-based }
【缺省情况】
未配置软超时缓冲时间或软超时缓冲流量。
【视图】
IPsec策略视图
IPsec 安全框架视图
【缺省用户角色】
network-admin
【参数】
time-based seconds:IPsec SA的软超时缓冲时间,取值范围为20~201600,单位为秒。
traffic-based kilobytes:IPsec SA的软超时缓冲流量,取值范围为1000~4294901760,单位为KB。
【使用指导】
本命令只对IKEv1有效。
在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于20秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
在配置了软超时缓冲流量的情况下,软超时流量(基于流量的生存时间-软超时缓冲流量)需要大于1000KB。否则,仍然采用未配置软超时缓冲流量的默认算法计算软超时流量。
【举例】
# 设置IPsec SA的软超时缓冲时间为600秒。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer time-based 600
# 设置IPsec SA的软超时缓冲流量为10000KB。
<Sysname> system-view
[Sysname] ipsec policy example 1 isakmp
[Sysname-ipsec-policy-isakmp-example-1] sa soft-duration buffer traffic-based 10000
【相关命令】
· ipsec sa global-soft-duration buffer
1.1.61 sa spi
sa spi命令用来配置IPsec SA的SPI。
undo sa spi命令用来删除指定的IPsec SA的SPI。
【命令】
sa spi { inbound | outbound } { ah | esp } spi-number
undo sa spi { inbound | outbound } { ah | esp }
【缺省情况】
不存在IPsec SA的SPI。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的SPI。
outbound:指定出方向IPsec SA的SPI。
ah:指定AH协议。
esp:指定ESP协议。
spi-number:IPsec SA的安全参数索引,取值范围为256~4294967295。
【使用指导】
此命令仅用于手工方式的IPsec安全策略以及IPsec安全框架。对于IKE协商方式的IPsec安全策略,IKE将自动协商IPsec SA的参数并创建IPsec SA,不需要手工设置IPsec SA的参数。
必须分别配置inbound和outbound两个方向IPsec SA的参数,且保证每一个方向上的IPsec SA的唯一性:对于出方向IPsec SA,必须保证三元组(对端IP地址、安全协议、SPI)唯一;对于入方向IPsec SA,必须保证SPI唯一。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端的入方向IPsec SA的SPI必须和对端的出方向IPsec SA的SPI一样;本端的出方向IPsec SA的SPI必须和对端的入方向IPsec SA的SPI一样。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的SPI必须和本端入方向IPsec SA的SPI保持一致;
· 同一个范围内的、所有设备上的IPsec SA的SPI均要保持一致。该范围与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP4+,是BGP4+邻居之间或邻居所在的一个组。
【举例】
# 配置入方向IPsec SA的SPI为10000,出方向IPsec SA的SPI为20000。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000
[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000
【相关命令】
· display ipsec sa
1.1.62 sa string-key
sa string-key命令用来为手工创建的IPsec SA配置字符串形式的密钥。
undo sa string-key命令用来删除指定的IPsec SA的字符串形式的密钥。
【命令】
sa string-key { inbound | outbound } { ah | esp } { cipher | simple } string
undo sa string-key { inbound | outbound } { ah | esp }
【缺省情况】
未配置IPsec SA使用的密钥。
【视图】
IPsec安全策略视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
inbound:指定入方向IPsec SA的密钥。
outbound:指定出方向IPsec SA的密钥。
ah:指定AH协议。
esp:指定ESP协议。
cipher:以密文形式设置密钥。
simple:以明文形式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为1~373个字符的字符串。对于不同的算法,系统会根据输入的字符串自动生成符合算法要求的密钥。对于ESP协议,系统会自动地同时生成认证算法的密钥和加密算法的密钥。
【使用指导】
此命令仅用于手工方式的IPsec安全策略及IPsec安全框架。
必须分别配置inbound和outbound两个方向IPsec SA的参数。
在IPsec隧道的两端设置的IPsec SA参数必须是完全匹配的。本端入方向IPsec SA的密钥必须和对端出方向IPsec SA的密钥一样;本端出方向IPsec SA的密钥必须和对端入方向IPsec SA的密钥一样。
在IPsec隧道的两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以十六进制方式输入密钥,则不能正确地建立IPsec隧道。
在配置应用于IPv6路由协议的IPsec安全框架时,还需要注意的是:
· 本端出方向IPsec SA的密钥必须和本端入方向IPsec SA的密钥保持一致;
· 同一个范围内的,所有设备上的IPsec SA的密钥均要保持一致。该范围内容与协议相关:对于OSPFv3,是OSPFv3邻居之间或邻居所在的区域;对于RIPng,是RIPng直连邻居之间或邻居所在的进程;对于BGP,是BGP邻居之间或邻居所在的一个组。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串efcdab。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-policy-manual-policy1-100] sa string-key outbound ah simple efcdab
# 在IPv6 IPsec策略中,配置采用AH协议的入方向IPsec SA的密钥为明文字符串abcdef;出方向IPsec SA的密钥为明文字符串abcdef。
<Sysname> system-view
[Sysname] ipsec ipv6-policy policy1 100 manual
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key inbound ah simple abcdef
[Sysname-ipsec-ipv6-policy-manual-policy1-100] sa string-key outbound ah simple abcdef
【相关命令】
· display ipsec sa
· sa hex-key
1.1.63 sa trigger-mode
sa trigger-mode命令用来配置触发建立IPsec SA的模式。
undo sa trigger-mode命令用来恢复缺省情况。
【命令】
sa trigger-mode { auto | traffic-based }
undo sa trigger-mode
【缺省情况】
触发建立IPSec SA的模式为流量触发。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
auto:自动触发模式,完成IPsec的基本配置后设备自动触发协商建立IPsec SA。
traffic-based:流量触发模式,当存在符合IPsec安全策略条件的数据流时才会触发IPSec SA协商。
【使用指导】
· 此功能只适用于IKE协商方式的IPsec安全策略。
· 自动触发模式下,无论是否有流量需要保护,都会在配置条件满足的情况下触发建立IPsec SA,这在一定程度上占用了系统资源;而流量触发模式只在有流量需要保护时才会触发建立IPsec SA,相对于自动模式,系统资源占用率较低,但IPsec SA成功建立之前的流量不会受到保护。
· IPsec隧道两端的设备上并不要求配置一致的触发建立IPsec SA的模式。
· 修改模式,对当前已经存在的IPsec SA无影响。如果已经配置了auto模式,IPsec SA建立完成后,建议修改为traffic-based模式。
· 若IPsec安全策略/IPsec安全策略模板引用的ACL被指定为聚合方式或主机方式,则该IPsec安全策略/IPsec安全策略模板无法通过自动触发模式建立IPsec SA。
【举例】
# 配置序号为10的IPsec安全策略policy1触发建立IPsec SA的模式为自动触发。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] sa trigger-mode auto
1.1.64 security acl
security acl命令用来指定IPsec安全策略/IPsec安全策略模板引用的ACL。
undo security acl命令用来恢复缺省情况。
【命令】
security acl [ ipv6 ] { acl-number | name acl-name } [ aggregation | per-host ]
undo security acl
【缺省情况】
IPsec安全策略/IPsec安全策略模板未引用ACL。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定IPv6 ACL。
acl-number:ACL编号,取值范围为3000~3999。
name acl-name:ACL名称,为1~63个字符的字符串,不区分大小写。
aggregation:指定IPsec安全策略的数据流保护方式为聚合方式。不支持对IPv6数据流采用该保护方式。
per-host:指定IPsec安全策略的数据流保护方式为主机方式。
【使用指导】
对于IKE协商方式的IPsec安全策略,数据流的保护方式包括以下几种:
· 标准方式:一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。不指定aggregation和per-host参数的情况下,缺省采用此方式。
· 聚合方式:一条隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的隧道来保护。对于聚合方式和标准方式都支持的设备,聚合方式仅用于和老版本的设备互通。
· 主机方式:一条隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流,都会由一条单独创建的隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。
手工方式的IPsec安全策略缺省使用聚合方式,且仅支持聚合方式;IKE协商方式的IPsec安全策略中可以通过配置来选择不同的保护方式。
GDOI模式的IPsec安全策略仅支持标准方式。如果引用的ACL中存在permit规则,则与permit规则匹配的报文将被丢弃。GDOI的支持情况请参见命令ipsec { ipv6 policy | policy }。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示IPsec安全策略不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 配置IPsec安全策略引用IPv4高级ACL 3001。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] security acl 3001
# 配置IPsec安全策略引用IPv4高级ACL 3002,并设置数据流保护方式为聚合方式。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule 0 permit ip source 10.1.2.1 0.0.0.255 destination 10.1.2.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] rule 1 permit ip source 10.1.3.1 0.0.0.255 destination 10.1.3.2 0.0.0.255
[Sysname-acl-ipv4-adv-3002] quit
[Sysname] ipsec policy policy2 1 isakmp
[Sysname-ipsec-policy-isakmp-policy2-1] security acl 3002 aggregation
【相关命令】
· display ipsec sa
· display ipsec tunnel
1.1.65 snmp-agent trap enable ipsec
snmp-agent trap enable ipsec命令用来开启IPsec告警功能。
undo snmp-agent trap enable ipsec命令用来关闭指定的IPsec告警功能。
【命令】
snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
undo snmp-agent trap enable ipsec [ auth-failure | connection-start | connection-stop | decrypt-failure | encrypt-failure | global | invalid-sa-failure | no-sa-failure | policy-add | policy-attach | policy-delete | policy-detach | tunnel-start | tunnel-stop] *
【缺省情况】
IPsec的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
auth-failure:表示认证失败时的告警功能。
connection-start:表示相同description的安全策略表项下创建第一个IPsec隧道时的告警功能。
connection-stop:表示相同description的安全策略表项下删除最后一个IPsec隧道时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-sa-failure:表示无效SA的告警功能。
no-sa-failure:表示无法查找到SA时的告警功能。
policy-add:表示添加IPsec安全策略时的告警功能。
policy-attach:表示将IPsec安全策略应用到接口时的告警功能。
policy-delete:表示删除IPsec安全策略时的告警功能。
policy-detach:表示将IPsec 安全策略从接口下删除时的告警功能。
tunnel-start:表示创建IPsec隧道时的告警功能。
tunnel-stop:表示删除IPsec隧道时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IPsec 告警功能。
如果希望生成并输出某种类型的IPsec告警信息,则需要保证IPsec的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IPsec Trap告警。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsec global
# 开启创建IPsec隧道时的告警功能。
[Sysname] snmp-agent trap enable ipsec tunnel-start
1.1.66 tcp-encaps initiator
tcp-encaps initiator命令用来配置IPsec发起方使用TCP封装功能。
undo tcp-encaps initiator命令用来恢复缺省情况。
【命令】
tcp-encaps initiator { advanced | enhanced } [ remote-port port-number ]
undo tcp-encaps initiator
【缺省情况】
IPsec发起方使用UDP协议进行封装。
【视图】
IPsec安全策略视图
【缺省用户角色】
network-admin
【参数】
advanced:表示IPsec发起方支持的TCP封装功能为高级模式。该模式下,TCP连接支持重传,可靠性较高,但是报文传输效率较低,当网络中的设备会严格检查TCP报文格式时需要使用该模式。
enhanced:表示IPsec发起方支持的TCP封装功能为增强模式。该模式下,TCP连接不支持重传,可靠性较低,但是报文传输效率较高。
remote-port port-number:指定对端IPsec监听的TCP端口号,取值范围为1024~65535,缺省值为4500。
【使用指导】
AH协议不支持本功能。
本功能仅在IKE协商的发起方生效。
IPsec使用TCP封装是指,IPsec响应方和IPsec发起方同时开启TCP封装功能后,IPsec发起方和IPsec响应方先建立TCP连接。然后IPsec发起方再与IPsec响应方之间进行IKE协商,IKE协商报文以及协商成功后的IPsec报文均通过TCP连接传输。
本功能基于IPsec安全策略进行配置,引用了配置本功能的IPsec安全策略的接口将使用TCP连接进行IKE协商及协商成功后的IPsec报文传输;引用了未配置本功能的IPsec安全策略的接口将使用UDP协议进行IKE协商以及协商成功后的IPsec报文传输。
当网络中存在阻止或限制UDP报文的情况时,需要将IPsec报文封装成TCP报文进行传输,此时可以配置本功能从而摆脱限制。
修改本命令会删除该IPsec 安全策略建立的IPsec SA,请谨慎操作。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置IPsec发起方使用TCP封装功能,对端IPsec监听的TCP端口号为10000。
<Sysname> system-view
[Sysname] ipsec policy map 1 isakmp
[Sysname-ipsec-policy-isakmp-map-1] tcp-encaps initiator enhanced remote-port 10000
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec tcp-encaps responder
1.1.67 tfc enable
tfc enable命令用来开启TFC(Traffic Flow Confidentiality)填充功能。
undo tfc enable命令用来关闭TFC填充功能。
【命令】
tfc enable
undo tfc enable
【缺省情况】
TFC填充功能处于关闭状态。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
TFC填充功能可隐藏原始报文的长度,但可能对报文的加封装及解封装处理性能稍有影响,且仅对于使用ESP协议以传输模式封装的UDP报文以及使用ESP协议以隧道模式封装的原始IP报文生效。
【举例】
# 指定IPsec安全策略policy1中开启TFC填充功能。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] tfc enable
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
1.1.68 transform-set
transform-set命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架所引用的IPsec安全提议。
undo transform-set命令用来取消IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IPsec安全提议。
【命令】
transform-set transform-set-name&<1-6>
undo transform-set [ transform-set-name ]
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架未引用IPsec安全提议。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。需要注意的是,同时指定的多个安全提议名称不可重复,否则提示参数出错。
【使用指导】
对于手工方式的IPsec安全策略,只能引用一个IPsec安全提议。多次执行本命令,最后一次执行的命令生效。
对于IKE协商方式的IPsec安全策略,一条IPsec安全策略最多可以引用六个IPsec安全提议。IKE协商过程中,IKE将会在隧道两端配置的IPsec安全策略中查找能够完全匹配的IPsec安全提议。如果IKE在两端找不到完全匹配的IPsec安全提议,则SA不能协商成功,需要被保护的报文将被丢弃。
若不指定任何参数,则undo transform-set命令表示删除所有引用的IPsec安全提议。
【举例】
# 配置IPsec安全策略引用名称为prop1的IPsec安全提议。
<Sysname> system-view
[Sysname] ipsec transform-set prop1
[Sysname-ipsec-transform-set-prop1] quit
[Sysname] ipsec policy policy1 100 manual
[Sysname-ipsec-policy-manual-policy1-100] transform-set prop1
【相关命令】
· ipsec { ipv6-policy | policy }
· ipsec profile
· ipsec transform-set
1.1.69 tunnel protection ipsec
tunnel protection ipsec命令用来在隧道接口上应用IPsec安全框架。
undo tunnel protection ipsec命令用来恢复缺省情况。
【命令】
tunnel protection ipsec profile profile-name [ acl [ ipv6 ] { acl-number | name acl-name } ]
undo tunnel protection ipsec profile
【缺省情况】
Tunnel接口下未引用IPsec安全框架。
【视图】
Tunnel接口视图
【缺省用户角色】
network-admin
【参数】
profile profile-name:指定使用的IPsec安全框架,且必须为IKE协商方式的IPsec安全框架。其中,profile-name为IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
ipv6:指定ACL类型为IPv6 ACL。若不指定本参数,则表示IPv4 ACL。
acl-number:指定安全框架关联的ACL编号,取值范围为3000~3999。
name acl-name:指定安全框架关联的ACL名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在隧道接口上应用IPsec安全框架后,隧道两端会通过IKE协商建立IPsec隧道对隧道接口上传输的数据流进行IPsec保护。指定安全框架关联的ACL后,隧道接口上传输的数据流只有匹配ACL才会受到IPsec保护。
IPsec IPv4 模式下,安全框架关联IPv4 ACL。
IPsec IPv6 模式下,安全框架关联IPv6 ACL。
IPsec安全框架关联的ACL中不能配置vpn-instance参数,否则,此框架将无法发起IPsec协商。
在隧道接口上应用IPsec安全框架时,如果需要此IPsec隧道绑定VPN实例,请在该隧道接口上绑定VPN实例。因为,此种环境中IPsec SA中的VPN实例,由该隧道接口绑定的vpn-instance参数决定。
【举例】
# 配置使用IPsec安全框架prf1来保护接口Tunnel1的报文。
<Sysname> system-view
[Sysname] interface tunnel 1 mode advpn gre
[Sysname-Tunnel1] tunnel protection ipsec profile prf1
# 配置使用IPsec安全框架prf1来保护IPv4接口Tunnel1的报文,prf1与ACL 3000关联。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 0 permit ip source 1.0.0.0 0.0.0.255 destination 2.0.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl 3000
# 配置使用IPsec安全框架prf1来保护IPv6接口Tunnel1的报文,prf1与IPv6 ACL 3000关联。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule 0 permit ipv6 source 1:1::/64 destination 2:2::/64
[Sysname-acl-ipv6-adv-3000] quit
[Sysname] interface tunnel 1 mode ipsec ipv6
[Sysname-Tunnel1] tunnel protection ipsec profile prf1 acl ipv6 3000
【相关命令】
· interface tunnel(IP业务命令参考/隧道)
· display interface tunnel(IP业务命令参考/隧道)
· ipsec profile
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/7510.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
