在智能选路功能开启的情况下，手动激活链路后，如果该链路的丢包率或时延高于设定的阈值，设备同样会进行链路的循环切换。循环切换的起始链路是手动激活的这条链路，循环切换的终止链路仍然是优先级最低的链路。例如，有四条链路，手动激活第三条链路后，则立即切换到第三条链路。在第三条链路的丢包率或时延高于设定的阈值时，切换到第四条链路，之后继续按照1>2>3>4进行循环切换。

在智能选路功能关闭的情况下，手动激活链路后，不会进行链路自动切换。

【举例】

# 手动激活链路ID为2的IPsec智能选路的链路。

<Sysname> system-view

[Sysname] ipsec smart-link policy smlkpolicy1

[Sysname-ipsec-smart-link-policy-smlkpolicy1] activate link 2

【相关命令】

· display ipsec smart-link policy

1.1.2 ah authentication-algorithm

ah authentication-algorithm命令用来配置AH协议采用的认证算法。

undo ah authentication-algorithm命令用来恢复缺省情况。

【命令】

ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *

undo ah authentication-algorithm

【缺省情况】

AH协议未采用任何认证算法。

【视图】

IPsec安全提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

aes-xcbc-mac：采用HMAC-AES-XCBC-96认证算法，密钥长度128比特。本参数仅适用于IKEv2协商。

md5：采用HMAC-MD5-96认证算法，密钥长度128比特。

sha1：采用HMAC-SHA1-96认证算法，密钥长度160比特。

sha256：采用HMAC-SHA-256认证算法，密钥长度256比特。

sha384：采用HMAC-SHA-384认证算法，密钥长度384比特。

sha512：采用HMAC-SHA-512认证算法，密钥长度512比特。

sm3：采用HMAC-SM3-96认证算法，密钥长度256比特。本参数仅适用于IKEv1协商。

【使用指导】

每个IPsec安全提议中均可以配置多个AH认证算法，其优先级为配置顺序。

对于手工方式以及IKEv1（第1版本的IKE协议）协商方式的IPsec安全策略，IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道，隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。

【举例】

# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法，密钥长度为160比特。

<Sysname> system-view

[Sysname] ipsec transform-set tran1

[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1

1.1.3 description

description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

无描述信息。

【视图】

IPsec安全策略视图

IPsec安全策略模板视图

IPsec安全框架视图

【缺省用户角色】

network-admin

context-admin

【参数】

text：IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息，为1～80个字符的字符串，区分大小写。

【使用指导】

当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时，可通过配置相应的描述信息来有效区分不同的安全策略。

【举例】

# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。

<Sysname> system-view

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA

1.1.4 display ipsec { ipv6-policy | policy }

display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。

【命令】

display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv6-policy：显示IPv6 IPsec安全策略的信息。

policy：显示IPv4 IPsec安全策略的信息。

policy-name：IPsec安全策略的名称，为1～63个字符的字符串，不区分大小写。

seq-number：IPsec安全策略表项的顺序号，取值范围为1～65535。

【使用指导】

如果不指定任何参数，则显示所有IPsec安全策略的信息。

如果指定了policy-name和seq-number，则显示指定的IPsec安全策略表项的信息；如果指定了policy-name而没有指定seq-number，则显示所有名称相同的IPsec安全策略表项的信息。

【举例】

# 显示所有IPv4 IPsec安全策略的信息。

<Sysname> display ipsec policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

-----------------------------

Sequence number: 1

Mode: Manual

-----------------------------

The policy configuration is incomplete:

ACL not specified

Incomplete transform-set configuration

Description: This is my first IPv4 manual policy

Security data flow:

Remote address: 2.5.2.1

Transform set: transform

Inbound AH setting:

AH SPI: 1200 (0x000004b0)

AH string-key: ******

AH authentication hex key:

Inbound ESP setting:

ESP SPI: 1400 (0x00000578)

ESP string-key:

ESP encryption hex key:

ESP authentication hex key:

Outbound AH setting:

AH SPI: 1300 (0x00000514)

AH string-key: ******

AH authentication hex key:

Outbound ESP setting:

ESP SPI: 1500 (0x000005dc)

ESP string-key: ******

ESP encryption hex key:

ESP authentication hex key:

-----------------------------

Sequence number: 2

Mode: ISAKMP

-----------------------------

The policy configuration is incomplete:

Remote-address not set

ACL not specified

Transform-set not set

Description: This is my first IPv4 Isakmp policy

Traffic Flow Confidentiality: Enabled

Security data flow:

Selector mode: standard

Local address:

Remote address:

Transform set:

IKE profile:

IKEv2 profile:

smart-link policy:

SA trigger mode: Auto

SA duration(time based): 3600 seconds

SA duration(traffic based): 1843200 kilobytes

SA soft-duration buffer(time based): 1000 seconds

SA soft-duration buffer(traffic based): 43200 kilobytes

SA idle time: 100 seconds

-------------------------------------------

IPsec Policy: mycompletepolicy

Interface: LoopBack2

-------------------------------------------

-----------------------------

Sequence number: 1

Mode: Manual

-----------------------------

Description: This is my complete policy

Security data flow: 3100

Remote address: 2.2.2.2

Transform set: completetransform

Inbound AH setting:

AH SPI: 5000 (0x00001388)

AH string-key: ******

AH authentication hex key:

Inbound ESP setting:

ESP SPI: 7000 (0x00001b58)

ESP string-key: ******

ESP encryption hex key:

ESP authentication hex key:

Outbound AH setting:

AH SPI: 6000 (0x00001770)

AH string-key: ******

AH authentication hex key:

Outbound ESP setting:

ESP SPI: 8000 (0x00001f40)

ESP string-key: ******

ESP encryption hex key:

ESP authentication hex key:

-----------------------------

Sequence number: 2

Mode: ISAKMP

-----------------------------

Description: This is my complete policy

Traffic Flow Confidentiality: Enabled

Security data flow: 3200

Selector mode: standard

Local address:

Remote address: 5.3.6.9

Transform set: completetransform

IKE profile:

IKEv2 profile:

smart-link policy:

SA trigger mode: Auto

SA duration(time based): 3600 seconds

SA duration(traffic based): 1843200 kilobytes

SA soft-duration buffer(time based): 1000 seconds

SA soft-duration buffer(traffic based): 43200 kilobytes

SA idle time: 100 seconds

# 显示所有IPv6 IPsec安全策略的详细信息。

<Sysname> display ipsec ipv6-policy

-------------------------------------------

IPsec Policy: mypolicy

-------------------------------------------

-----------------------------

Sequence number: 1

Mode: Manual

-----------------------------

Description: This is my first IPv6 policy

Security data flow: 3600

Remote address: 1000::2

Transform set: mytransform

Inbound AH setting:

AH SPI: 1235 (0x000004d3)

AH string-key: ******

AH authentication hex key:

Inbound ESP setting:

ESP SPI: 1236 (0x000004d4)

ESP string-key: ******

ESP encryption hex key:

ESP authentication hex key:

Outbound AH setting:

AH SPI: 1237 (0x000004d5)

AH string-key: ******

AH authentication hex key:

Outbound ESP setting:

ESP SPI: 1238 (0x000004d6)

ESP string-key: ******

ESP encryption hex key:

ESP authentication hex key:

-----------------------------

Sequence number: 2

Mode: ISAKMP

-----------------------------

Description: This is my complete policy

Traffic Flow Confidentiality: Enabled

Security data flow: 3200

Selector mode: standard

Local address:

Remote address: 1000::2

Transform set: completetransform

IKE profile:

IKEv2 profile:

smart-link policy:

SA trigger mode: Auto

SA duration(time based): 3600 seconds

SA duration(traffic based): 1843200 kilobytes

SA soft-duration buffer(time based): 1000 seconds

SA soft-duration buffer(traffic based): 43200 kilobytes

SA idle time: 100 seconds

表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表

字段	描述
IPsec Policy	IPsec安全策略的名称
Interface	应用了IPsec安全策略的接口名称
Sequence number	IPsec安全策略表项的顺序号
Mode	IPsec安全策略采用的协商方式 · Mannul：手工方式 · ISAKMP：IKE协商方式 · Template：策略模板方式
The policy configuration is incomplete	IPsec安全策略配置不完整，可能的原因包括： · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配
Description	IPsec安全策略的描述信息
Traffic Flow Confidentiality	TFC（Traffic Flow Confidentiality）填充功能的开启状态
Security data flow	IPsec安全策略引用的ACL
Selector mode	IPsec安全策略的数据流保护方式 · standard：标准方式 · aggregation：聚合方式 · per-host：主机方式
Local address	IPsec隧道的本端IP地址（仅IKE协商方式的IPsec安全策略下存在）
Remote address	IPsec隧道的对端IP地址或主机名
Transform set	IPsec安全策略引用的IPsec安全提议的名称
IKE profile	IPsec安全策略引用的IKE Profile的名称
IKEv2 profile	IPsec安全策略引用的IKEv2 Profile的名称
smart-link policy	智能选路策略
SA trigger mode	触发建立IPsec SA的模式，包括： · Auto：自动触发模式 · Traffic-based：流量触发模式
SA duration(time based)	基于时间的IPsec SA生存时间，单位为秒
SA duration(traffic based)	基于流量的IPsec SA生存时间，单位为千字节
SA soft-duration buffer(time based)	IPsec SA软超时缓冲时间，单位为秒，未配置时显示为“--”
SA soft-duration buffer(traffic based)	IPsec SA软超时缓冲流量，单位为千字节，未配置时显示为“--”
SA idle time	IPsec SA的空闲超时时间，单位为秒，未配置时显示为“--”
Inbound AH setting	入方向采用的AH协议的相关设置
Outbound AH setting	出方向采用的AH协议的相关设置
AH SPI	AH协议的SPI
AH string-key	AH协议的字符类型的密钥，若配置，则显示为******，否则显示为空
AH authentication hex key	AH协议的十六进制密钥，若配置，则显示为******，否则显示为空
Inbound ESP setting	入方向采用的ESP协议的相关设置
Outbound ESP setting	出方向采用的ESP协议的相关设置
ESP SPI	ESP协议的SPI
ESP string-key	ESP协议的字符类型的密钥，若配置，则显示为******，否则显示为空
ESP encryption hex key	ESP协议的十六进制加密密钥，若配置，则显示为******，否则显示为空
ESP authentication hex key	ESP协议的十六进制认证密钥，若配置，则显示为******，否则显示为空

【相关命令】

· ipsec { ipv6-policy | policy }

1.1.5 display ipsec { ipv6-policy-template | policy-template }

display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。

【命令】

display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv6-policy-template：显示IPv6 IPsec安全策略模板的信息。

policy-template：显示IPv4 IPsec安全策略模板的信息。

template-name：指定IPsec安全策略模板的名称，为1～63个字符的字符串，不区分大小写。

seq-number：指定IPsec安全策略模板表项的顺序号，取值范围为1～65535。

【使用指导】

如果不指定任何参数，则显示所有IPsec安全策略模板的信息。

如果指定了template-name和seq-number，则显示指定的IPsec安全策略模板表项的信息；如果指定了template-name而没有指定seq-number，则显示所有名称相同的IPsec安全策略模板表项的信息。

【举例】

# 显示所有IPv4 IPsec安全策略模板的信息。

<Sysname> display ipsec policy-template

-----------------------------------------------

IPsec Policy Template: template

-----------------------------------------------

---------------------------------

Sequence number: 1

---------------------------------

Description: This is policy template

Traffic Flow Confidentiality: Disabled

Security data flow :

Selector mode: standard

Local address:

IKE profile:

IKEv2 profile:

Remote address: 162.105.10.2

Transform set: testprop

IPsec SA local duration(time based): 3600 seconds

IPsec SA local duration(traffic based): 1843200 kilobytes

SA idle time: 100 seconds

# 显示所有IPv6 IPsec安全策略模板的信息。

<Sysname> display ipsec ipv6-policy-template

-----------------------------------------------

IPsec Policy Template: template6

-----------------------------------------------

---------------------------------

Sequence number: 1

---------------------------------

Description: This is policy template

Traffic Flow Confidentiality: Disabled

Security data flow :

Selector mode: standard

Local address:

IKE profile:

IKEv2 profile:

Remote address: 200::1

Transform set: testprop

IPsec SA local duration(time based): 3600 seconds

IPsec SA local duration(traffic based): 1843200 kilobytes

SA idle time: 100 seconds

表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表

字段	描述
IPsec Policy Template	IPsec安全策略模板名称
Sequence number	IPsec安全策略模板表项的序号
Description	IPsec安全策略模板的描述信息
Traffic Flow Confidentiality	TFC（Traffic Flow Confidentiality）填充功能的开启状态
Security data flow	IPsec安全策略模板引用的ACL
Selector mode	IPsec安全策略模板的数据流保护方式 · standard：标准方式 · aggregation：聚合方式 · per-host：主机方式
Local address	IPsec隧道的本端IP地址
IKE profile	IPsec安全策略模板引用的IKE Profile名称
IKEv2 profile	IPsec安全策略引用的IKEv2 Profile的名称
Remote address	IPsec隧道的对端IP地址
Transform set	IPsec安全策略模板引用的安全提议的名称
IPsec SA local duration(time based)	基于时间的IPsec SA生存时间，单位为秒
IPsec SA local duration(traffic based)	基于流量的IPsec SA生存时间，单位为千字节
SA idle time	IPsec SA的空闲超时时间，单位为秒，未配置时显示为“--”

【相关命令】

· ipsec { ipv6-policy | policy } isakmp template

1.1.6 display ipsec profile

display ipsec profile命令用来显示IPsec安全框架的信息。

【命令】

display ipsec profile [ profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

profile-name：指定IPsec安全框架的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

如果没有指定任何参数，则显示所有IPsec安全框架的配置信息。

【举例】

# 显示所有IPsec安全框架的配置信息。

<Sysname> display ipsec profile

-------------------------------------------

IPsec profile: myprofile

Mode: isakmp

-------------------------------------------

Transform set: tran1

IKE profile: profile

SA duration(time based): 3600 seconds

SA duration(traffic based): 1843200 kilobytes

SA soft-duration buffer(time based): 1000 seconds

SA soft-duration buffer(traffic based): 43200 kilobytes

SA idle time: 100 seconds

-----------------------------------------------

IPsec profile: profile

Mode: manual

-----------------------------------------------

Transform set: prop1

Inbound AH setting:

AH SPI: 12345 (0x00003039)

AH string-key:

AH authentication hex key: ******

Inbound ESP setting:

ESP SPI: 23456 (0x00005ba0)

ESP string-key:

ESP encryption hex-key: ******

ESP authentication hex-key: ******

Outbound AH setting:

AH SPI: 12345 (0x00003039)

AH string-key:

AH authentication hex key: ******

Outbound ESP setting:

ESP SPI: 23456 (0x00005ba0)

ESP string-key:

ESP encryption hex key: ******

ESP authentication hex key: ******

表1-3 display ipsec profile命令显示信息描述表

字段	描述
IPsec profile	IPsec安全框架的名称
Mode	IPsec安全框架采用的协商方式
Description	IPsec安全框架的描述信息
Transform set	IPsec安全策略引用的IPsec安全提议的名称
IKE profile	IPsec安全策略引用的IKE Profile的名称
SA duration(time based)	基于时间的IPsec SA生存时间，单位为秒
SA duration(traffic based)	基于流量的IPsec SA生存时间，单位为千字节
SA soft-duration buffer(time based)	IPsec SA软超时缓冲时间，单位为秒，未配置时显示为“--”
SA soft-duration buffer(traffic based)	IPsec SA软超时缓冲流量，单位为千字节，未配置时显示为“--”
SA idle time	IPsec SA的空闲超时时间，单位为秒，未配置时显示为“--”
Inbound AH setting	入方向采用的AH协议的相关设置
Outbound AH setting	出方向采用的AH协议的相关设置
AH SPI	AH协议的SPI
AH string-key	AH协议的字符类型的密钥
AH authentication hex key	AH协议的十六进制密钥
Inbound ESP setting	入方向采用的ESP协议的相关设置
Outbound ESP setting	出方向采用的ESP协议的相关设置
ESP SPI	ESP协议的SPI
ESP string-key	ESP协议的字符类型的密钥
ESP encryption hex key	ESP协议的十六进制加密密钥
ESP authentication hex key	ESP协议的十六进制认证密钥

【相关命令】

· ipsec profile

1.1.7 display ipsec sa

display ipsec sa命令用来显示IPsec SA的相关信息。

【命令】

display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

brief：显示所有的IPsec SA的简要信息。

count：显示IPsec SA的个数。

interface interface-type interface-number：显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。

ipv6-policy：显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。

policy：显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。

policy-name：IPsec安全策略的名称，为1～63个字符的字符串，不区分大小写。

seq-number：IPsec安全策略的顺序号，取值范围为1～65535。

profile：显示由指定IPsec安全框架创建的IPsec SA的详细信息。

profile-name：IPsec安全框架的名称，为1～63个字符的字符串，不区分大小写。

remote ip-address：显示指定对端IP地址的IPsec SA的详细信息。

ipv6：显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数，则表示显示指定IPv4对端地址的IPsec SA的详细信息。

【使用指导】

如果不指定任何参数，则显示所有IPsec SA的详细信息。

【举例】

# 显示IPsec SA的简要信息。

<Sysname> display ipsec sa brief

-----------------------------------------------------------------------

Interface/Global Dst Address SPI Protocol Status

-----------------------------------------------------------------------

GE1/0/1 10.1.1.1 400 ESP Active

GE1/0/1 255.255.255.255 4294967295 ESP Active

GE1/0/1 100::1/64 500 AH Active

Global -- 600 ESP Active

表1-4 display ipsec sa brief命令显示信息描述表

字段	描述
Interface/Global	IPsec SA属于的接口或是全局（全局IPsec SA由IPsec安全框架生成）
Dst Address	IPsec隧道对端的IP地址 IPsec安全框架生成的SA中，该值无意义，显示为“--”
SPI	IPsec SA的SPI
Protocol	IPsec采用的安全协议
Status	IPsec SA的状态，取值只能为Active，表示SA处于可用状态

# 显示IPsec SA的个数。

<Sysname> display ipsec sa count

Total IPsec SAs count：4

# 显示所有IPsec SA的详细信息。

<Sysname> display ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/1

-------------------------------

-----------------------------

IPsec policy: r2

Sequence number: 1

Mode: ISAKMP

-----------------------------

Tunnel id: 3

Encapsulation mode: tunnel

Perfect Forward Secrecy:

Inside VPN: vp1

Extended Sequence Numbers enable: Y

Traffic Flow Confidentiality enable: N

Transmitting entity: Initiator

Path MTU: 1443

Tunnel:

local address: 2.2.2.2

remote address: 1.1.1.2

Flow:

sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip

dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip

[Inbound ESP SAs]

SPI: 3564837569 (0xd47b1ac1)

Connection ID：90194313219

Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

SA duration (kilobytes/sec): 4294967295/604800

SA remaining duration (kilobytes/sec): 1843200/2686

Max received sequence-number: 5

Anti-replay check enable: Y

Anti-replay window size: 32

UDP encapsulation used for NAT traversal: N

Status: Active

[Outbound ESP SAs]

SPI: 801701189 (0x2fc8fd45)

Connection ID：64424509441

Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

SA duration (kilobytes/sec): 4294967295/604800

SA remaining duration (kilobytes/sec): 1843200/2686

Max sent sequence-number: 6

UDP encapsulation used for NAT traversal: N

Status: Active

-------------------------------

Global IPsec SA

-------------------------------

-----------------------------

IPsec profile: profile

Mode: Manual

-----------------------------

Encapsulation mode: transport

[Inbound AH SA]

SPI: 1234563 (0x0012d683)

Connection ID： 64426789452

Transform set: AH-SHA1

No duration limit for this SA

[Outbound AH SA]

SPI: 1234563 (0x002d683)

Connection ID： 64428999468

Transform set: AH-SHA1

No duration limit for this SA

表1-5 display ipsec sa命令显示信息描述表

字段	描述
Interface	IPsec SA所在的接口
Global IPsec SA	全局IPsec SA
IPsec policy	采用的IPsec安全策略名
IPsec profile	采用的IPsec安全框架名
Sequence number

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

06-VPN命令参考

目录

02-IPsec命令

1 IPsec

1.1 IPsec配置命令

1.1.1 activate link

1.1.4 display ipsec { ipv6-policy | policy }

1.1.5 display ipsec { ipv6-policy-template | policy-template }