11-IPsec命令
本章节下载: 11-IPsec命令 (643.61 KB)
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec statistics
1.1.8 display ipsec transform-set
1.1.12 esp authentication-algorithm
1.1.13 esp encryption-algorithm
1.1.16 ipsec { ipv6-policy | policy }
1.1.17 ipsec { ipv6-policy | policy } isakmp template
1.1.18 ipsec { ipv6-policy | policy } local-address
1.1.19 ipsec { ipv6-policy-template | policy-template }
1.1.20 ipsec anti-replay check
1.1.21 ipsec anti-replay window
1.1.23 ipsec decrypt-check enable
1.1.28 ipsec logging packet enable
1.1.30 ipsec redundancy enable
1.1.31 ipsec sa global-duration
1.1.38 redundancy replay-interval
1.1.43 sa hex-key authentication
1.1.49 snmp-agent trap enable ipsec
2.1.1 authentication-algorithm
2.1.14 ike invalid-spi-recovery enable
2.1.22 ike signature-identity from-certificate
2.1.26 match local address (IKE keychain view)
2.1.27 match local address (IKE profile view)
2.1.30 priority (IKE keychain view)
2.1.31 priority (IKE profile view)
2.1.36 snmp-agent trap enable ike
3.1.10 display ikev2 statistics
3.1.26 match local (IKEv2 profile view)
3.1.27 match local address (IKEv2 policy view)
3.1.29 match vrf (IKEv2 policy view)
3.1.30 match vrf (IKEv2 profile view)
3.1.35 priority (IKEv2 policy view)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
非FIPS模式下:
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
FIPS模式下:
ah authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-MAC认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address:
Transform set:
IKE profile:
IKEv2 profile:
SA duration(time based):
SA duration(traffic based):
SA idle time:
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
IKEv2 profile:
SA duration(time based):
SA duration(traffic based):
SA idle time:
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名称 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Sequence number |
IPsec安全策略表项的顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的对端IP地址或主机名 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
SA duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
AH authentication hex key |
AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
# 显示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1/64
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time:
表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名称 |
|
Sequence number |
IPsec安全策略模板表项的序号 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
Selector mode |
IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec安全策略模板引用的IKE Profile名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提议的名称 |
|
IPsec SA local duration(time based) |
基于时间的IPsec SA生命周期,单位为秒 |
|
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生命周期,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-----------------------------------------------
IPsec profile: profile
Mode: Manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
表1-3 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
IPsec profile |
IPsec安全框架的名称 |
|
Mode |
IPsec安全框架采用的协商方式 |
|
Description |
IPsec安全框架的描述信息 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥 |
|
AH authentication hex key |
AH协议的十六进制密钥 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
【相关命令】
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
Vlan100 10.1.1.1 400 ESP Active
Vlan100 255.255.255.255 4294967295 ESP Active
Vlan100 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-4 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: Vlan-interface100
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
Flow table status:Active
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VRF: vp1
Extended Sequence Number enable: Y
Traffic Flow Confidentiality enable: N
Path MTU: 1443
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID: 1
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 2
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SAs]
SPI: 1234563 (0x0012d683)
Connection ID: 9
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SAs]
SPI: 1234563 (0x002d683)
Connection ID: 10
Transform set: AH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表项顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 |
|
Flow table status |
IPsec下发引流规则的状态,包括以下取值: · Inactive:引流规则下发失败 · Active:引流规则下发成功 |
|
Tunnel id |
IPsec隧道的ID号 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Extended Sequence Number enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
|
Inside VRF |
被保护数据所属的VRF实例名称 |
|
Path MTU |
IPsec SA的路径MTU值 |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
受保护的数据流信息 |
|
sour addr |
数据流的源IP地址 |
|
dest addr |
数据流的目的IP地址 |
|
port |
端口号 |
|
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA标识 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒 |
|
Max received sequence-number |
入方向接收到的报文最大序列号 |
|
Max sent sequence-number |
出方向发送的报文最大序列号 |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的状态,取值仅为Active,表示SA处于可用状态 |
|
No duration limit for this SA |
手工方式创建的IPsec SA无生命周期 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-6 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-7 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-8 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Status |
IPsec SA的状态,取值仅为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: active
Perfect forward secrecy:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-9 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态,取值仅为Active,表示隧道处于可用状态 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
非FIPS模式下:
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
FIPS模式下:
esp authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-MAC认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
非FIPS模式下:
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null } *
undo esp encryption-algorithm.
FIPS模式下:
esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 }*
undo esp encryption-algorithm
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:采用CTR模式的AES算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
aes-ctr-192:采用CTR模式的AES算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
aes-ctr-256:采用CTR模式的AES算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
camellia-cbc-128:采用CBC模式的Camellia算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
camellia-cbc-192:采用CBC模式的Camellia算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
camellia-cbc-256:采用CBC模式的Camellia算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架中未引用IKE profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略/IPsec安全策略模板引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec安全策略视图/一个IPsec安全策略模板视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile体为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec安全策略时,必须指定协商方式(isakmp或manual )。进入已创建的IPsec安全策略时,可以不指定协商方式。
不能修改已创建的IPsec安全策略的协商方式。
一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } isakmp template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec安全策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除IPsec安全策略模板。
【命令】
ipsec</
支持