02-IPsec命令
本章节下载: 02-IPsec命令 (747.94 KB)
目 录
1.1.1 ah authentication-algorithm
1.1.3 display ipsec { ipv6-policy | policy }
1.1.4 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec sdwan-sa local
1.1.8 display ipsec sdwan-sa remote
1.1.9 display ipsec sdwan-statistics
1.1.10 display ipsec sdwan-tunnel
1.1.11 display ipsec statistics
1.1.12 display ipsec transform-set
1.1.16 esp authentication-algorithm
1.1.17 esp encryption-algorithm
1.1.20 ipsec { ipv6-policy | policy }
1.1.21 ipsec { ipv6-policy | policy } isakmp template
1.1.22 ipsec { ipv6-policy | policy } local-address
1.1.23 ipsec { ipv6-policy-template | policy-template }
1.1.24 ipsec anti-replay check
1.1.25 ipsec anti-replay window
1.1.27 ipsec decrypt-check enable
1.1.32 ipsec logging negotiation enable
1.1.33 ipsec logging packet enable
1.1.35 ipsec redundancy enable
1.1.36 ipsec sa global-duration
1.1.37 ipsec sa global-soft-duration buffer
1.1.45 redundancy replay-interval
1.1.49 reset ipsec sdwan-statistics
1.1.50 reset ipsec sdwan-tunnel
1.1.54 reverse-route preference
1.1.58 sa hex-key authentication
1.1.61 sa soft-duration buffer
IPSec只支持对控制平面软转发报文加解密,不支持对用户平面数据报文加解密。有关控制平面和用户平面的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
IPsec AKA Profile视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
【使用指导】
每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
在IPsec AKA Profile视图下配置的AH协议采用的认证算法仅适用于IP多媒体子系统。每个AKA Profile中均支持配置多个AH协议采用的认证算法,其优先级为配置顺序。如果在AKA Profile中配置的AH协议采用的认证算法与UE中支持的认证算法没有交集,则IMS服务器与UE无法建立IPsec隧道。有关IMS的详细介绍,请参见“语音配置指导”中的“IMS”。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address:
Transform set:
IKE profile:
IKEv2 profile:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.6.9
Transform set: completetransform
IKE profile:
IKEv2 profile:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 1000::2
Transform set: completetransform
IKE profile:
IKEv2 profile:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
表1-1 display ipsec { ipv6-policy | policy }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名称 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Sequence number |
IPsec安全策略表项的顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的对端IP地址或主机名 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
SA trigger mode |
触发建立IPsec SA的模式,包括: · Auto:自动触发模式 · Traffic-based:流量触发模式 |
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
AH authentication hex key |
AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
# 显示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
表1-2 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名称 |
|
Sequence number |
IPsec安全策略模板表项的序号 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
Selector mode |
IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec安全策略模板引用的IKE Profile名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提议的名称 |
|
IPsec SA local duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-------------------------------------------
IPsec profile: myprofile
Mode: isakmp
-------------------------------------------
Transform set: tran1
IKE profile: profile
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
-----------------------------------------------
IPsec profile: profile
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
-------------------------------------------
IPsec profile: myprofile
Mode: SDWAN
-------------------------------------------
Transform set: tran1
SA duration (time based): 3600 seconds
表1-3 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
IPsec profile |
IPsec安全框架的名称 |
|
Mode |
IPsec安全框架采用的协商方式,取值包括: · AKA:AKA方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 |
|
Description |
IPsec安全框架的描述信息 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥 |
|
AH authentication hex key |
AH协议的十六进制密钥 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
【相关命令】
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ aka | brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
aka:显示AKA方式IPsec安全框架创建的IPsec SA的详细信息。本参数仅语音应用支持。
brief:显示所有的IPsec SA的简要信息。
count:显示IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
HGE1/0/1 10.1.1.1 400 ESP Active
HGE1/0/1 255.255.255.255 4294967295 ESP Active
HGE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-4 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态:主用(Active)、备用(Standby) · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,仅为Active,表示SA处于可用状态 |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示AKA方式IPsec安全框架创建的IPsec SA的详细信息。
<Sysname> display ipsec sa aka
-------------------------------
IPsec AKA SA
Total IPsec AKA SAs count:1
-------------------------------
-----------------------------
IPsec profile: profile1
Mode: AKA
-----------------------------
Encapsulation mode: transport
Flow:
sour addr: 44.1.1.3 port: 38211 protocol: tcp
dest addr: 10.10.0.72 port: 24771 protocol: tcp
[Inbound ESP SAs]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Algorithms set: ESP-ENCRYPT-NULL ESP-AUTH-MD5
[Outbound ESP SAs]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Algorithms set: ESP-ENCRYPT-NULL ESP-AUTH-MD5
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: HundredGigE1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Path MTU: 1443
Transmitting entity: Initiator
Tunnel:
local address: 2.2.2.2
remote address: 1.1.1.2
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID:90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID:64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-5 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表项顺序号 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 |
|
Tunnel id |
IPsec隧道的ID号 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
|
Inside VPN |
被保护数据所属的VRF实例名称 |
|
Path MTU |
IPsec SA的路径MTU值 |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
Transmitting entity |
IKE方式协商中的实体角色包括: · Initiator:发起方 · Responder:响应方 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
受保护的数据流信息 |
|
sour addr |
数据流的源IP地址 |
|
dest addr |
数据流的目的IP地址 |
|
port |
端口号 |
|
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 · tcp:TCP协议 · udp:UDP协议 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA标识 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
Total IPsec AKA SAs count |
AKA方式的IPsec SA的总数 |
|
Algorithms set |
AKA方式的IPsec SA使用的安全协议及算法,取值为AKA方式的IPsec安全框架中配置的安全协议及算法和语音模块发送来的安全协议及算法的交集 |
|
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒 |
|
Max received sequence-number |
入方向接收到的报文最大序列号 |
|
Max sent sequence-number |
出方向发送的报文最大序列号 |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
No duration limit for this SA |
手工方式创建的IPsec SA无生存时间 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec sdwan-sa local命令用来显示本端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa local [ brief | count | interface tunnel tunnel-number | spi spi-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示本端所有SDWAN模式的IPsec SA的简要信息。
count:显示本端SDWAN模式的IPsec SA的个数。
interface:显示指定接口的SDWAN模式的IPsec SA。
tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。
spi spi-number:显示指定spi-number的SDWAN模式的IPsec SA。其中,spi-number为安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则显示所有SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有本端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local
-------------------------------
Interface: Tunnel1
-------------------------------
-----------------------------
IPsec profile: abc
Mode: SDWAN
-----------------------------
Site ID: 1
Device ID: 1
Interface ID: 1
Link ID: 273(0x111)
Encapsulation mode: transport
Local address: 10.1.1.1
[Inbound ESP SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Status: Active
[Inbound AH SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 1
Connection ID: 4294967296
Transform set: AH-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Status: Active
# 显示本端指定SPI的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local spi 1968608062
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968608062 (0x7556933e)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Status: Active
# 显示本端指定接口的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local interface tunnel 2
-------------------------------
Interface: Tunnel2
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968 (0x7b0)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Status: Active
表1-6 display ipsec sdwan-sa local命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的SDWAN隧道接口 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Mode |
IPsec安全框架采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式
|
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
本端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (sec) |
IPsec SA的生存时间,单位为秒,未配置时显示为“--” |
|
SA remaining duration |
IPsec SA的剩余生存时间,单位为秒,未配置时显示为“--” |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示所有本端SDWAN模式的IPsec SA的简要信息
<Sysname> display ipsec sdwan-sa local brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Local address SPI Protocol Status
----------------------------------------------------------------------------------------
10 20 30 660510 200.200.200.10 1968 ESP Active
# 显示本端SDWAN模式的IPsec SA的个数
<Sysname> display ipsec sdwan-sa local count
Total IPsec Sdwan Local SAs count: 1
表1-7 display ipsec sdwan-sa local brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Local address |
IPsec隧道的本端IP地址 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Local SAs count |
本端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa local
display ipsec sdwan-sa remote命令用来显示对端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa remote [ brief | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SDWAN模式的IPsec SA的简要信息。
count:显示SDWAN模式的IPsec的SA个数。
【使用指导】
如果不指定任何参数,则显示所有对端SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有对端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa remote
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 20
Device ID: 20
Interface ID: 35
Link ID: 1315875 (0x141423)
Encapsulation mode: transport
Remote address: 200.200.200.20
[Outbound ESP SAs]
SPI: 2360 (0x936)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 30
Device ID: 30
Interface ID: 30
Link ID: 1973790 (0x1e1e1e)
Encapsulation mode: transport
Remote address: 200.200.200.30
[Outbound ESP SAs]
SPI: 4137 (0x1029)
SA index: 3
Connection ID: 4294967299
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
表1-8 display ipsec sdwan-sa remote命令显示信息描述表
|
字段 |
描述 |
|
Mode |
IPsec安全框架采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式
|
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
本端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示所有对端SDWAN模式的IPsec SA的简要信息。
<Sysname> display ipsec sdwan-sa remote brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Remote address SPI Protocol Status
----------------------------------------------------------------------------------------
20 20 35 1315875 200.200.200.20 2360 ESP Active
30 30 30 1973790 200.200.200.30 4137 ESP Active
# 显示所有对端SDWAN模式的IPsec SA的个数。
<Sysname> display ipsec sdwan-sa remote count
Total IPsec Sdwan Remote SAs count: 1
表1-9 display ipsec sdwan-sa remote brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Remote SAs count |
对端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa remote
display ipsec sdwan-statistics命令用来显示SDWAN模式的IPsec隧道的报文统计信息。
【命令】
display ipsec sdwan-statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
如果未指定任何参数,则显示所有SDWAN模式的IPsec隧道的报文统计信息。
【举例】
# 显示所有SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示IPsec隧道的ID号为1的SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-10 display ipsec sdwan-statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃的受安全保护的数据包数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因找不到IPsec SA而被丢弃的数据包数目 |
|
Wrong SA |
因IPsec SA错误而被丢弃的数据包数目 |
|
Invalid length |
因数据包长度错误被丢弃的数据包数目 |
|
Authentication failure |
因认证失败被丢弃的数据包数目 |
|
Encapsulation failure |
因加密封装失败被丢弃的数据包数目 |
|
Decapsulation failure |
因解封转失败被丢弃的数据包数目 |
|
Replayed packets |
被丢弃的重放数据包数目 |
|
MTU check failure |
因MTU检测失败被丢弃的数据包数目 |
|
Loopback limit exceeded |
因本机处理次数超过限制而被丢弃的数据包数目 |
|
Crypto speed limit exceeded |
因加密速度的限制而被丢弃的数据包数目 |
【相关命令】
· reset ipsec sdwan-statistics
display ipsec sdwan-tunnel命令用来显示SDWAN模式的IPsec隧道信息。
【命令】
display ipsec sdwan-tunnel [ brief | count | remote-site site-id device-id interface-id | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
remote-site site-id device-id interface-id:显示指定对端站点的IPsec隧道的详细信息。其中,site-id为站点ID,取值范围为1~65535,device-id为设备ID,取值范围为1~255,interface-id为SDWAN隧道接口的接口ID,取值范围1~255。
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。
若不指定任何参数,默认显示所有SDWAN模式的IPsec隧道的详细信息。
有关SDWAN的详细介绍,请参见“SDWAN配置指导”中的“SDWAN”。
【举例】
# 显示所有SDWAN模式的IPsec隧道的简略信息。
<Sysname> display ipsec sdwan-tunnel brief
----------------------------------------------------------------------------
Tunnel-ID Src Address Dst Address Inbound SPI Outbound SPI
----------------------------------------------------------------------------
1 1.2.3.1 2.2.2.2 5000 6000
表1-11 display ipsec sdwan-tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunnel-ID |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 |
|
Dst Address |
IPsec隧道的目的地址 |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI |
# 显示所有SDWAN模式的IPsec隧道的个数。
<Sysname> display ipsec sdwan-tunnel count
Total SDWAN IPsec tunnels: 2
# 显示所有SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示对端站点中站点ID为10,设备ID为10,接口ID为35的SDWAN模式的IPsec隧道详细信息
<Sysname> display ipsec sdwan-tunnel remote-site 10 10 35
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示ID号为1的SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
表1-12 display ipsec sdwan-tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道ID |
|
Status |
IPsec隧道的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示隧道处于可用状态 |
|
Path MTU |
SDWAN模式IPsec SA的路径MTU值 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Outbound |
IPsec隧道中生效的出方向SPI |
|
Inbound |
IPsec隧道中生效的入方向SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Remote Site |
远端站点 |
|
Site ID |
站点ID |
|
Device ID |
设备ID |
|
Interface ID |
接口ID |
|
Link ID |
为TTE分配的Link ID,用来标识一个TTE连接 |
【相关命令】
· reset ipsec sdwan-tunnel
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
表1-13 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
|
Responder only limitation |
因为仅可作为响应方的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-14 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel { brief | count | tunnel-id tunnel-id }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967295。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-15 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-16 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示隧道处于可用状态 |
|
Perfect forward secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Inside vpn-instance |
被保护数据所属的VPN实例名 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
IPsec AKA Profile视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
在IPsec AKA Profile视图下配置的ESP协议采用的认证算法仅适用于IP多媒体子系统。每个AKA Profile中均支持配置多个ESP协议采用的认证算法,其优先级为配置顺序。如果在AKA Profile中配置的ESP协议采用的认证算法与UE中支持的认证算法没有交集,则IMS服务器与UE无法建立IPsec隧道。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null } *
undo esp encryption-algorithm.
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
IPsec AKA Profile视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:采用CTR模式的AES算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
aes-ctr-192:采用CTR模式的AES算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
aes-ctr-256:采用CTR模式的AES算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
camellia-cbc-128:采用CBC模式的Camellia算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
camellia-cbc-192:采用CBC模式的Camellia算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
camellia-cbc-256:采用CBC模式的Camellia算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
在IPsec AKA Profile视图下配置的ESP协议采用的加密算法仅适用于IP多媒体子系统。每个AKA Profile中均支持配置多个ESP协议采用的加密算法,其优先级为配置顺序。如果在AKA Profile中配置的ESP协议采用的加密算法与UE支持的加密算法没有交集,则IMS服务器与UE无法建立IPsec隧道。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
未引用IKE profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec安全策略视图/一个IPsec安全策略模板视图/IPsec安全框架视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ isakmp | manual ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
isakmp:指定通过IKE协商建立IPsec SA。
manual:指定用手工方式建立IPsec SA。
【使用指导】
创建IPsec安全策略时,必须指定协商方式(isakmp或manual )。进入已创建的IPsec安全策略时,可以不指定协商方式。
不能修改已创建的IPsec安全策略的协商方式。
一个IPsec安全策略是若干具有相同名称、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
IPv4 IPsec安全策略和IPv6 IPsec安全策略名称可以相同。
【举例】
# 创建一个名称为policy1、顺序号为100、采用IKE方式协商IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 100 isakmp
[Sysname-ipsec-policy-isakmp-policy1-100]
# 创建一个名称为policy1、顺序号为101、采用手工方式建立IPsec SA的IPsec安全策略,并进入IPsec安全策略视图。
<Sysname> system-view
[Sysname] ipsec policy policy1 101 manual
[Sysname-ipsec-policy-manual-policy1-101]
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec apply
ipsec { ipv6-policy | policy } isakmp template命令用来引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number isakmp template template-name
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535,值越小优先级越高。
isakmp template template-name:指定被引用的IPsec安全策略模板。template-name表示IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
对于undo命令,携带seq-number参数时表示删除一个IPsec安全策略表项,不携带该参数时表示删除一个指定的IPsec安全策略。
应用了该类IPsec安全策略的接口不能发起协商,仅可以响应远端设备的协商请求。由于IPsec安全策略模板中未定义的可选参数由发起方来决定,而响应方会接受发起方的建议,因此这种方式创建的IPsec安全策略适用于通信对端(例如对端的IP地址)未知的情况下,允许这些对端设备向本端设备主动发起协商。
【举例】
# 引用IPsec策略模板temp1,创建名称为policy2、顺序号为200的IPsec安全策略。
<Sysname> system-view
[Sysname] ipsec policy policy2 200 isakmp template temp1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy-template | policy-template }
ipsec { ipv6-policy | policy } local-address命令用来配置IPsec安全策略为共享源接口IPsec安全策略,即将指定的IPsec安全策略与一个源接口进行绑定。
undo ipsec { ipv6-policy | policy } local-address命令用来取消IPsec安全策略为共享源接口IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name local-address interface-type interface-number
undo ipsec { ipv6-policy | policy } policy-name local-address
【缺省情况】
IPsec安全策略不是共享源接口IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:共享该接口IP地址的IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
local-address interface-type interface-number:指定的共享源接口的名称。interface-type interface-nunmber为接口类型和接口编号。
【使用指导】
在不同的接口上应用安全策略时,各个接口将分别协商生成IPsec SA。如果两个互为备份的接口上都引用了IPsec安全策略,并采用相同的安全策略,则在主备链路切换时,接口状态的变化会触发重新进行IKE协商,从而导致IPsec业务流的暂时中断。通过将一个IPsec安全策略与一个源接口绑定,使之成为共享源接口IPsec安全策略,可以实现多个应用该共享源接口IPsec安全策略的出接口共享同一个指定的源接口(称为共享源接口)协商出的IPsec SA。只要该源接口的状态不变化,各接口上IPsec业务就不会中断。
当非共享源接口IPsec安全策略应用于业务接口,并已经生成IPsec SA时,如果将该安全策略配置为共享源接口安全策略,则已经生成的IPsec SA将被删除。
只有IKE协商方式的IPsec安全策略才能配置为IPsec共享源接口安全策略,手工方式的IPsec安全策略不能配置为共享源接口IPsec安全策略。
一个IPsec安全策略只能与一个源接口绑定,多次执行本命令,最后一次执行的命令生效。
一个源接口可以同时与多个IPsec安全策略绑定。
推荐使用状态较为稳定的接口作为共享源接口,例如Loopback接口。
【举例】
# 配置IPsec安全策略map为共享源接口安全策略,共享源接口为Loopback11。
<Sysname> system-view
[Sysname] ipsec policy map local-address loopback 11
【相关命令】
· ipsec { ipv6-policy | policy }
ipsec { ipv6-policy-template | policy-template }命令用来创建一个IPsec安全策略模板,并进入IPsec安全策略模板视图。如果指定的IPsec安全策略模板已经存在,则直接进入IPsec安全策略模板视图。
undo ipsec { ipv6-policy-template | policy-template }命令用来删除指定的IPsec安全策略模板。
【命令】
ipsec { ipv6-policy-template | policy-template } template-name seq-number
undo ipsec { ipv6-policy-template | policy-template } template-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy-template:指定IPv6 IPsec安全策略模板。
policy-template:指定IPv4 IPsec安全策略模板。
template-name:IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略模板表项的顺序号,取值范围为1~65535,值越小优先级越高。
【使用指导】
IPsec安全策略模板与直接配置的IKE协商方式的IPsec安全策略中可配置的参数类似,但是配置较为简单,除了IPsec安全提议和IKE对等体之外的其它参数均为可选。
· 携带seq-number参数的undo命令用来删除一个IPsec安全策略模板表项。
· 一个IPsec安全策略模板是若干具有相同名称、不同顺序号的IPsec安全策略模板表项的集合。
· IPv4 IPsec安全策略模板和IPv6 IPsec安全策略模板名称可以相同。
【举例】
# 创建一个名称为template1、顺序号为100的IPsec安全策略模板,并进入IPsec安全策略模板视图。
<Sysname> system-view
[Sysname] ipsec policy-template template1 100
[Sysname-ipsec-policy-template-template1-100]
【相关命令】
· display ipsec { ipv6-policy-template | policy-template }
· ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy } isakmp template
ipsec anti-replay check命令用来开启IPsec抗重放检测功能。
undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。
【命令】
ipsec anti-replay check
undo ipsec anti-replay check
【缺省情况】
IPsec抗重放检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对重放报文的解封装无意义,并且解封装过程涉及密码学运算,会消耗设备大量的资源,导致业务可用性下降,造成了拒绝服务攻击。通过开启IPsec抗重放检测功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
只有IKE协商的IPsec SA才能够支持抗重放检测,手工方式生成的IPsec SA不支持抗重放检测。因此该功能开启与否对手工方式生成的IPsec SA没有影响。
【举例】
# 开启IPsec抗重放检测功能。
<Sysname> system-view
[Sysname] ipsec anti-replay check
【相关命令】
· ipsec anti-replay window
ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。
undo ipsec anti-replay window命令用来恢复缺省情况。
【命令】
ipsec anti-replay window width
undo ipsec anti-replay window
【缺省情况】
IPsec抗重放窗口的宽度为64。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
width:IPsec抗重放窗口的宽度,取值可以为64、128、256、512、1024、2048、4096,单位为报文个数。
【使用指导】
在某些特定环境下,业务数据报文的接收顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
修改后的抗重放窗口宽度仅对新协商成功的IPsec SA生效。
【举例】
# 配置IPsec抗重放窗口的宽度为128。
<Sysname> system-view
[Sysname] ipsec anti-replay window 128
【相关命令】
· ipsec anti-replay check
ipsec apply命令用来在接口上应用IPsec安全策略。
undo ipsec apply命令用来从接口上取消应用的IPsec安全策略。
【命令】
ipsec apply { ipv6-policy | policy } policy-name
undo ipsec apply { ipv6-policy | policy }
【缺省情况】
接口上未应用IPsec安全策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个接口下最多只能应用一个IPv4/IPv6类型的IPsec安全策略,但可以同时应用一个IPv4类型的IPsec安全策略和一个IPv6类型的IPsec安全策略。
在将IKE方式的IPsec安全策略可以应用到多个接口上时,请使用共享源接口的IPsec安全策略;手工方式的IPsec安全策略只能应用到一个接口上。
【举例】
# 在接口HundredGigE1/0/1上应用名为policy1的IPsec安全策略。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] ipsec apply policy policy1
【相关命令】
· display ipsec { ipv6-policy | policy }
· ipsec { ipv6-policy | policy }
ipsec decrypt-check enable命令用来开启解封装后IPsec报文的ACL检查功能。
undo ipsec decrypt-check命令用来关闭解封装后IPsec报文的ACL检查功能。
【命令】
ipsec decrypt-check enable
undo ipsec decrypt-check enable
【缺省情况】
解封装后IPsec报文的ACL检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在隧道模式下,接口入方向上解封装的IPsec报文的内部IP头有可能不在当前IPsec安全策略引用的ACL的保护范围内,如网络中一些恶意伪造的攻击报文就可能有此问题,所以设备需要重新检查解封装后的报文的IP头是否在ACL保护范围内。开启该功能后可以保证ACL检查不通过的报文被丢弃,从而提高网络安全性。
【举例】
# 开启解封装后IPsec报文的ACL检查功能。
<Sysname> system-view
[Sysname] ipsec decrypt-check enable
ipsec df-bit命令用来为当前接口设置IPsec封装后外层IP头的DF位。
undo ipsec df-bit命令用来恢复缺省情况。
【命令】
ipsec df-bit { clear | copy | set }
undo ipsec df-bit
【缺省情况】
接口下未设置IPsec封装后外层IP头的DF位,采用全局设置的DF位。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
如果有多个接口应用了共享源接口安全策略,则这些接口上必须使用相同的DF位设置。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 在接口HundredGigE1/0/2上设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/2
[Sysname-HundredGigE1/0/2] ipsec df-bit set
【相关命令】
· ipsec global-df-bit
ipsec fragmentation命令用来配置IPsec分片功能。
undo ipsec fragmentation命令用来恢复缺省情况。
【命令】
ipsec fragmentation { after-encryption | before-encryption }
undo ipsec fragmentation
【缺省情况】
IPsec分片功能为封装前分片。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
after-encryption:表示开启IPsec封装后分片功能。
before-encryption:表示开启IPsec封装前分片功能。
【使用指导】
IPsec封装前分片功能处于开启状态时,设备会先判断报文在经过IPsec封装之后大小是否会超过发送接口的MTU值,如果封装后的大小超过发送接口的MTU值,且报文的DF位未置位那么会先对其分片再封装;如果待报文的DF位被置位,那么设备会丢弃该报文,并发送ICMP差错控制报文。
IPsec封装后分片功能处于开启状态时,无论报文封装后大小是否超过发送接口的MTU值,设备会直接对其先进行IPsec封装处理,再由后续业务对其进行分片。
【举例】
# 开启IPsec封装后分片功能。
<Sysname>system-view
[Sysname] ipsec fragmentation after-encryption
ipsec global-df-bit命令用来为所有接口设置IPsec封装后外层IP头的DF位。
undo ipsec global-df-bit命令用来恢复缺省情况。
【命令】
ipsec global-df-bit { clear | copy | set }
undo ipsec global-df-bit
【缺省情况】
IPsec封装后外层IP头的DF位从原始报文IP头中拷贝。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片。
copy:表示外层IP头的DF位从原始报文IP头中拷贝。
set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片。
【使用指导】
该功能仅在IPsec的封装模式为隧道模式时有效(因为传输模式不会增加新的IP头,因此对于传输模式无影响)。
该功能用于设置IPsec隧道模式封装后的外层IP头的DF位,原始报文IP头的DF位不会被修改。
转发报文时对报文进行分片、重组,可能会导致报文的转发延时较大。若设置了封装后IPsec报文的DF位,则不允许对IPsec报文进行分片,可以避免引入分片延时。这种情况下,要求IPsec报文转发路径上各个接口的MTU大于IPsec报文长度,否则,会导致IPsec报文被丢弃。如果无法保证转发路径上各个接口的MTU大于IPsec报文长度,则建议清除DF位。
【举例】
# 为所有接口设置IPsec封装后外层IP头的DF位。
<Sysname> system-view
[Sysname] ipsec global-df-bit set
【相关命令】
· ipsec df-bit
ipsec limit max-tunnel命令用来配置本端允许建立IPsec隧道的最大数。
undo ipsec limit max-tunnel命令用来恢复缺省情况。
【命令】
ipsec limit max-tunnel tunnel-limit
undo ipsec limit max-tunnel
【缺省情况】
不限制本端允许建立IPsec隧道的最大数。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tunnel-limit:指定允许本端建立IPsec隧道的最大数,取值范围为1~4294967295。
【使用指导】
本端允许建立IPsec隧道的最大数与内存资源有关。内存充足时可以设置较大的数值,提高IPsec的并发性能;内存不足时可以设置较小的数值,降低IPsec占用内存的资源。
【举例】
# 配置本端允许建立IPsec隧道的最大数为5000。
<Sysname> system-view
[Sysname] ipsec limit max-tunnel 5000
【相关命令】
· ike limit
ipsec logging negotiation enable命令用来开启IPsec协商事件日志功能。
undo ipsec logging negotiation enable命令用来关闭IPsec协商事件日志功能。
支持