12-IPsec命令
本章节下载: 12-IPsec命令 (1.80 MB)
目 录
1.1.1 ah authentication-algorithm
1.1.2 anti-replay time-based window
1.1.4 display ipsec global-info
1.1.5 display ipsec { ipv6-policy | policy }
1.1.6 display ipsec { ipv6-policy-template | policy-template }
1.1.7 display ipsec p2mp tunnel-table interface tunnel
1.1.10 display ipsec sdwan-sa local
1.1.11 display ipsec sdwan-sa remote
1.1.12 display ipsec sdwan-statistics
1.1.13 display ipsec sdwan-tunnel
1.1.14 display ipsec statistics
1.1.15 display ipsec transform-set
1.1.19 esp authentication-algorithm
1.1.20 esp encryption-algorithm
1.1.23 ipsec { ipv6-policy | policy }
1.1.24 ipsec { ipv6-policy | policy } template
1.1.25 ipsec { ipv6-policy | policy } local-address
1.1.26 ipsec { ipv6-policy-template | policy-template }
1.1.27 ipsec anti-replay check
1.1.28 ipsec anti-replay window
1.1.30 ipsec decrypt-check enable
1.1.32 ipsec flow-overlap check enable
1.1.36 ipsec logging ipsec-p2mp enable
1.1.37 ipsec logging negotiation enable
1.1.38 ipsec logging packet enable
1.1.40 ipsec no-nat-process enable
1.1.42 ipsec quantum hub user-name
1.1.44 ipsec quantum registration
1.1.46 ipsec redundancy enable
1.1.47 ipsec sa global-duration
1.1.48 ipsec sa global-soft-duration buffer
1.1.50 ipsec sdwan-statistics enable
1.1.59 redundancy replay-interval
1.1.61 remote-address switch-back enable
1.1.62 remote-certificate serial
1.1.65 reset ipsec sdwan-statistics
1.1.66 reset ipsec sdwan-tunnel
1.1.70 reverse-route preference
1.1.74 sa hex-key authentication
1.1.77 sa soft-duration buffer
1.1.82 snmp-agent trap enable ipsec
1.1.85 tunnel protection ipsec
2.1.2 app-dev-info (IKE GDQUANTUM view)
2.1.3 app-dev-info (IKE ZDQUANTUM view)
2.1.4 authentication-algorithm
2.1.9 client-authentication xauth
2.1.10 client source-udp-port dynamic
2.1.14 display ike global-info
2.1.22 ike compatible-gm-main enable
2.1.23 ike compatible-sm4 enable
2.1.25 ike dual-active address-alloc
2.1.27 ike gm-main global-ike-version
2.1.28 ike gm-main ike-version
2.1.29 ike gm-main sm4-version
2.1.31 ike invalid-spi-recovery enable
2.1.37 ike logging negotiation enable
2.1.41 ike signature-identity from-certificate
2.1.46 match local address (IKE keychain view)
2.1.47 match local address (IKE profile view)
2.1.51 priority (IKE keychain view)
2.1.52 priority (IKE profile view)
2.1.57 sa soft-duration buffer
2.1.59 snmp-agent trap enable ike
3.1.11 display ikev2 statistics
3.1.20 ikev2 ipv6-address-group
3.1.30 match local (IKEv2 profile view)
3.1.31 match local address (IKEv2 policy view)
3.1.33 match vrf (IKEv2 policy view)
3.1.34 match vrf (IKEv2 profile view)
3.1.39 priority (IKEv2 policy view)
· 设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· 设备运行于低加密版本时,本特性部分配置相对于高加密版本有所变化,具体差异请见本文相关描述。可以通过安装相应的license将设备从低加密版本升级为高加密版本,也可以通过卸载相应的license将升级为高加密版本的设备恢复为低加密版本。
ah authentication-algorithm命令用来配置AH协议采用的认证算法。
undo ah authentication-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
ah authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo ah authentication-algorithm
(FIPS模式下)
ah authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *
undo ah authentication-algorithm
【缺省情况】
AH协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用HMAC-SHA-256认证算法,密钥长度256比特。
sha384:采用HMAC-SHA-384认证算法,密钥长度384比特。
sha512:采用HMAC-SHA-512认证算法,密钥长度512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特。本参数仅适用于IKEv1协商。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个AH认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的AH认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个AH认证算法需要一致。
【举例】
# 配置IPsec安全提议采用的AH认证算法为HMAC-SHA1算法,密钥长度为160比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] ah authentication-algorithm sha1
anti-replay time-based window命令用来配置基于时间的抗重放窗口宽度。
undo anti-replay time-based window命令用来恢复缺省情况。
【命令】
anti-replay time-based window seconds
undo anti-replay time-based window
【缺省情况】
使用全局配置的基于序列号的抗重放窗口宽度。
【视图】
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
seconds:基于时间的抗重放窗口宽度,取值范围为1~100,单位为秒。窗口宽度的取值需要根据实际网络状况进行调整。当网络延迟比较大时,可以适当调大窗口宽度,以免影响正常业务;当网络延迟比较小时,为了更好的进行抗重放检测,可以适当调小窗口宽度。
【使用指导】
相较于系统视图下的基于序列号的全局抗重放功能,基于时间的抗重放检测,不影响设备的转发性能。在实现抗重放功能的同时,可以保证设备的转发性能。因此,如果需要提升SDWAN的转发性能,可以使用基于时间的抗重放功能。
在某些特定环境下,业务报文的发送和接收时间差可能与正常的时间差相差较大,虽然并非有意的重放攻击,但会被基于时间的抗重放检测认为是重放报文,导致业务数据报文被丢弃,影响业务的正常运行。因此,这种情况下就可以通过关闭基于时间的抗重放检测功能,避免业务数据报文被错误丢弃,也可以通过适当地增大抗重放时间窗口的宽度,来适应业务正常运行的需要。
基于时间的抗重放检测是指,本端设备向对端设备发送报文时,会在报文中添加时间戳,用于记录报文的发送时间。该报文到达对端设备后,对端设备会检测报文的时间戳,只有在指定时间内到达的报文才会被接收,超过本命令配置的抗重放时间窗口宽度的报文将被设备丢弃。
本功能仅支持在SDWAN方式的IPsec安全框架下进行配置。
修改后的抗重放时间窗口宽度仅对新协商成功的IPsec SA生效。
本功能需要开启IPsec抗重放检测功能(通过ipsec anti-replay check命令开启)后才能生效。
当本功能与系统视图下的全局抗重放功能同时配置时,仅本功能生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在SDWAN方式的IPsec安全框架profile1下,配置基于时间的抗重放窗口宽度为50秒。
<Sysname> system-view
[Sysname] ipsec profile profile1 sdwan
[Sysname-ipsec-profile-sdwan-profile1] anti-replay time-based window 50
【相关命令】
· ipsec anti-replay check
· ipsec anti-replay window
description命令用来配置IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
无描述信息。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
text:IPsec安全策略/IPsec安全策略模板/IPsec安全框架的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IPsec安全策略/IPsec安全策略模板/IPsec安全框架时,可通过配置相应的描述信息来有效区分不同的安全策略。
【举例】
# 配置序号为1的IPsec安全策略policy1的描述信息为CenterToA。
<Sysname> system-view
[Sysname] ipsec policy policy1 1 isakmp
[Sysname-ipsec-policy-isakmp-policy1-1] description CenterToA
display ipsec global-info命令用来显示IPsec模块全局信息。
【命令】
display ipsec global-info
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
显示当前设备上IPsec模块相关全局运行数据。
【举例】
# 显示当前设备上IPsec模块相关全局运行数据。
<Sysname> display ipsec global-info
IPsec anti-replay check: enable
IPsec anti-replay window (packets): 1024
IPsec decrypt-check: enable
IPsec flow-redirect: enable
IPsec fragmentation: after-encryption
IPsec global-df-bit: copy
IPsec limit max-tunnel: 5000
IPsec redundancy: disable
IPsec sa global-duration time-based (seconds): 180
IPsec sa global-duration traffic-based (KBytes): 4096
IPsec sa idle-time (seconds): 120
表1-1 display ipsec global-info命令显示信息描述表
|
字段 |
描述 |
|
IPsec anti-replay check |
IPsec抗重放检测功能开启状态。取值包括: · disable:IPsec抗重放检测功能未开启 · enable:IPsec抗重放检测功能已开启 |
|
IPsec anti-replay window (packets) |
IPsec抗重放窗口大小,单位为报文 |
|
IPsec decrypt-check |
解封装后IPsec报文的ACL检查功能开启状态。取值包括: · disable:解封装后IPsec报文的ACL检查功能未开启 · enable:解封装后IPsec报文的ACL检查功能已开启 |
|
IPsec flow-redirect |
(暂不支持)IPsec模块下发OpenFlow流表项功能开启状态。取值包括: · disable:IPsec模块下发OpenFlow流表项功能未开启 · enable:IPsec模块下发OpenFlow流表项功能已开启 |
|
IPsec fragmentation |
IPsec分片时机。取值包括: · after-encryption:表示封装后分片 · before-encryption:表示封装前分片 |
|
IPsec global-df-bit |
IPsec封装外层IP头DF位填充方式。取值包括: · clear:表示清除外层IP头的DF位,IPsec封装后的报文可被分片 · copy:表示外层IP头的DF位从原始报文IP头中拷贝 · set:表示设置外层IP头的DF位,IPsec封装后的报文不能分片 |
|
IPsec limit max-tunnel |
本端允许建立IPsec隧道最大个数 |
|
IPsec redundancy |
IPsec冗余备份功能开始状态。取值包括: · disable:IPsec冗余备份功能未开启 · enable:IPsec冗余备份功能已开启 |
|
IPsec sa global-duration time-based (seconds) |
基于时间的IPsec SA生存时间,单位为秒 |
|
IPsec sa global-duration traffic-based (KBytes) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
IPsec sa idle-time (seconds) |
IPsec SA的空闲超时时间,单位为秒 |
display ipsec { ipv6-policy | policy }命令用来显示IPsec安全策略的信息。
【命令】
display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy:显示IPv6 IPsec安全策略的信息。
policy:显示IPv4 IPsec安全策略的信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略的信息。
如果指定了policy-name和seq-number,则显示指定的IPsec安全策略表项的信息;如果指定了policy-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略的信息。
<Sysname> display ipsec policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-1
Mode: Manual
-----------------------------
The policy configuration is incomplete:
ACL not specified
Incomplete transform-set configuration
Description: This is my first IPv4 manual policy
Security data flow:
Remote address: 2.5.2.1
Transform set: transform
Inbound AH setting:
AH SPI: 1200 (0x000004b0)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1400 (0x00000578)
ESP string-key:
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1300 (0x00000514)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1500 (0x000005dc)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: mypolicy-2
Mode: ISAKMP
-----------------------------
The policy configuration is incomplete:
Remote-address not set
ACL not specified
Transform-set not set
Description: This is my first IPv4 Isakmp policy
Traffic Flow Confidentiality: Enabled
Security data flow:
Selector mode: standard
Local address:
Remote address: 5.2.2.1, primary, track 1 (track state: Positive)
Remote address: test, track 2 (track state: Positive)
Remote address switchback mode: Enabled
Transform set:
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
-------------------------------------------
IPsec Policy: mycompletepolicy
Interface: LoopBack2
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-3
Mode: Manual
-----------------------------
Description: This is my complete policy
Security data flow: 3100
Remote address: 2.2.2.2
Transform set: completetransform
Inbound AH setting:
AH SPI: 5000 (0x00001388)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 7000 (0x00001b58)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 6000 (0x00001770)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 8000 (0x00001f40)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: hub1-spoke2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 5.3.3.1, primary, track 3 (track state: Positive)
Remote address: test, track 4 (track state: Positive)
Remote address switchback mode: Enabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
# 显示所有IPv6 IPsec安全策略的详细信息。
<Sysname> display ipsec ipv6-policy
-------------------------------------------
IPsec Policy: mypolicy
-------------------------------------------
-----------------------------
Sequence number: 1
Alias: mypolicy-2
Mode: Manual
-----------------------------
Description: This is my first IPv6 policy
Security data flow: 3600
Remote address: 1000::2
Transform set: mytransform
Inbound AH setting:
AH SPI: 1235 (0x000004d3)
AH string-key: ******
AH authentication hex key:
Inbound ESP setting:
ESP SPI: 1236 (0x000004d4)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
Outbound AH setting:
AH SPI: 1237 (0x000004d5)
AH string-key: ******
AH authentication hex key:
Outbound ESP setting:
ESP SPI: 1238 (0x000004d6)
ESP string-key: ******
ESP encryption hex key:
ESP authentication hex key:
-----------------------------
Sequence number: 2
Alias: hub1-spoke2
Mode: ISAKMP
-----------------------------
Description: This is my complete policy
Traffic Flow Confidentiality: Enabled
Security data flow: 3200
Selector mode: standard
Local address:
Remote address: 1000::2
Remote address switchback mode: Disabled
Transform set: completetransform
IKE profile:
IKEv2 profile:
smart-link policy:
SA trigger mode: Auto
SA duration(time based): 3600 seconds
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
表1-2 display ipsec { ipv6-policy | policy }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy |
IPsec安全策略的名称 |
|
Interface |
应用了IPsec安全策略的接口名称 |
|
Sequence number |
IPsec安全策略表项的顺序号 |
|
Alias |
IPsec安全策略表项的别名 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:策略模板方式 · GDOI:GDOI方式 |
|
The policy configuration is incomplete |
IPsec安全策略配置不完整,可能的原因包括: · ACL未配置 · IPsec安全提议未配置 · ACL中没有permit规则 · IPsec安全提议配置不完整 · IPsec隧道对端IP地址未指定 · IPsec SA的SPI和密钥与IPsec安全策略的SPI和密钥不匹配 |
|
Description |
IPsec安全策略的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略引用的ACL |
|
Selector mode |
IPsec安全策略的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址(仅IKE协商方式的IPsec安全策略下存在) |
|
Remote address |
IPsec隧道的对端IP地址或主机名 primary地址显示在第一条,其余IP地址或主机名按照配置顺序显示 IPsec隧道的对端IP地址或主机名track状态(track state),取值包括: · Positive · Negative · NotReady |
|
Remote address switchback mode |
对端地址回切至primary地址功能,取值包括: · Enabled:回切功能开启 · Disabled:回切功能未开启 |
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
smart-link policy |
(暂不支持)智能选路策略 |
|
SA trigger mode |
触发建立IPsec SA的模式,包括: · Auto:自动触发模式 · Traffic-based:流量触发模式 |
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
AH SPI |
AH协议的SPI |
|
AH string-key |
AH协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
AH authentication hex key |
AH协议的十六进制密钥,若配置,则显示为******,否则显示为空 |
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
ESP SPI |
ESP协议的SPI |
|
ESP string-key |
ESP协议的字符类型的密钥,若配置,则显示为******,否则显示为空 |
|
ESP encryption hex key |
ESP协议的十六进制加密密钥,若配置,则显示为******,否则显示为空 |
|
ESP authentication hex key |
ESP协议的十六进制认证密钥,若配置,则显示为******,否则显示为空 |
|
Group name |
引用的GDOI GM组的名称 该信息仅在GDOI方式下显示 |
【相关命令】
· ipsec { ipv6-policy | policy }
display ipsec { ipv6-policy-template | policy-template }命令用来显示IPsec安全策略模板的信息。
【命令】
display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv6-policy-template:显示IPv6 IPsec安全策略模板的信息。
policy-template:显示IPv4 IPsec安全策略模板的信息。
template-name:指定IPsec安全策略模板的名称,为1~63个字符的字符串,不区分大小写。
seq-number:指定IPsec安全策略模板表项的顺序号,取值范围为1~65535。
【使用指导】
如果不指定任何参数,则显示所有IPsec安全策略模板的信息。
如果指定了template-name和seq-number,则显示指定的IPsec安全策略模板表项的信息;如果指定了template-name而没有指定seq-number,则显示所有名称相同的IPsec安全策略模板表项的信息。
【举例】
# 显示所有IPv4 IPsec安全策略模板的信息。
<Sysname> display ipsec policy-template
-----------------------------------------------
IPsec Policy Template: template
-----------------------------------------------
---------------------------------
Sequence number: 1
Alias: template-template-1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 162.105.10.2
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
# 显示所有IPv6 IPsec安全策略模板的信息。
<Sysname> display ipsec ipv6-policy-template
-----------------------------------------------
IPsec Policy Template: template6
-----------------------------------------------
---------------------------------
Sequence number: 1
Alias: hub1-spoke1
---------------------------------
Description: This is policy template
Traffic Flow Confidentiality: Disabled
Security data flow :
Selector mode: standard
Local address:
IKE profile:
IKEv2 profile:
Remote address: 200::1
Transform set: testprop
IPsec SA local duration(time based): 3600 seconds
IPsec SA local duration(traffic based): 1843200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
表1-3 display ipsec { ipv6-policy-template | policy-template }命令显示信息描述表
|
字段 |
描述 |
|
IPsec Policy Template |
IPsec安全策略模板名称 |
|
Sequence number |
IPsec安全策略模板表项的序号 |
|
Alias |
IPsec安全策略模板表项的别名 |
|
Description |
IPsec安全策略模板的描述信息 |
|
Traffic Flow Confidentiality |
TFC(Traffic Flow Confidentiality)填充功能的开启状态 |
|
Security data flow |
IPsec安全策略模板引用的ACL |
|
Selector mode |
IPsec安全策略模板的数据流保护方式 · standard:标准方式 · aggregation:聚合方式 · per-host:主机方式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
IKE profile |
IPsec安全策略模板引用的IKE Profile名称 |
|
IKEv2 profile |
IPsec安全策略引用的IKEv2 Profile的名称 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Transform set |
IPsec安全策略模板引用的安全提议的名称 |
|
IPsec SA local duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
IPsec SA local duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
【相关命令】
· ipsec { ipv6-policy | policy } isakmp template
display ipsec p2mp tunnel-table interface tunnel命令用来显示点到多点IPsec隧道接口的隧道动态表项信息。
【命令】
(独立运行模式)
display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ]
(IRF模式)
display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:指定显示隧道IPv4动态表项信息。
ipv6:指定显示隧道IPv6动态表项信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。(IRF模式)
【使用指导】
如果不指定任何参数,则显示所有点到多点IPsec隧道动态表项信息。
【举例】
# 显示点到多点IPsec隧道接口Tunnel0的隧道动态表项信息。(独立运行模式)
<Sysname> display ipsec p2mp tunnel-table interface tunnel 0
Total number:2
Dest Addr Dest Port Tunnel Dest Addr Time
10.1.1.1 500 192.168.10.2 01:56:23
100::1 500 20::2 00:29:38
# 显示指定slot上的点到多点IPsec隧道接口Tunnel0的隧道动态表项信息。(IRF模式)
<Sysname> display ipsec p2mp tunnel-table interface tunnel 0 slot 0
Total number:2
Dest Addr Dest Port Tunnel Dest Addr Time
10.1.1.1 500 192.168.10.2 01:56:23
100::1 500 20::2 00:29:38
表1-4 display ipsec p2mp tunnel-table interface tunnel命令显示信息描述表
|
字段 |
描述 |
|
Total number |
隧道动态表项总个数 |
|
Dest Addr |
分支公网物理口地址 |
|
Dest Port |
分支公网端口号 |
|
Tunnel Dest Addr |
隧道的目的地址 |
|
Time |
隧道动态表项已创建的时间 |
display ipsec profile命令用来显示IPsec安全框架的信息。
【命令】
display ipsec profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:指定IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定任何参数,则显示所有IPsec安全框架的配置信息。
【举例】
# 显示所有IPsec安全框架的配置信息。
<Sysname> display ipsec profile
-------------------------------------------
IPsec profile: myprofile
Alias: ccc
Mode: isakmp
-------------------------------------------
Transform set: tran1
IKE profile: profile
SA duration(time based): 3600 seconds
Anti-Replay time-based window: 20
SA duration(traffic based): 1843200 kilobytes
SA soft-duration buffer(time based): 1000 seconds
SA soft-duration buffer(traffic based): 43200 kilobytes
SA idle time: 100 seconds
Responder only: Disabled
-----------------------------------------------
IPsec profile: profile
Alias: dddd
Mode: manual
-----------------------------------------------
Transform set: prop1
Inbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Inbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex-key: ******
ESP authentication hex-key: ******
Outbound AH setting:
AH SPI: 12345 (0x00003039)
AH string-key:
AH authentication hex key: ******
Outbound ESP setting:
ESP SPI: 23456 (0x00005ba0)
ESP string-key:
ESP encryption hex key: ******
ESP authentication hex key: ******
-------------------------------------------
IPsec profile: myprofile
Mode: SDWAN
-------------------------------------------
Transform set: tran1
SA duration (time based): 3600 seconds
表1-5 display ipsec profile命令显示信息描述表
|
字段 |
描述 |
|
|
IPsec profile |
IPsec安全框架的名称 |
|
|
Alias |
IPsec安全框架的别名 |
|
|
Mode |
IPsec安全框架采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 |
|
|
Description |
IPsec安全框架的描述信息 |
|
|
Transform set |
IPsec安全策略引用的IPsec安全提议的名称 |
|
|
IKE profile |
IPsec安全策略引用的IKE Profile的名称 |
|
|
SA duration(time based) |
基于时间的IPsec SA生存时间,单位为秒 |
|
|
Anti-replay time-based window size |
基于时间的抗重放窗口宽度,单位为秒 |
|
|
SA duration(traffic based) |
基于流量的IPsec SA生存时间,单位为千字节 |
|
|
SA soft-duration buffer(time based) |
IPsec SA软超时缓冲时间,单位为秒,未配置时显示为“--” |
|
|
SA soft-duration buffer(traffic based) |
IPsec SA软超时缓冲流量,单位为千字节,未配置时显示为“--” |
|
|
SA idle time |
IPsec SA的空闲超时时间,单位为秒,未配置时显示为“--” |
|
|
Responder only |
IPsec协商时,本端仅作为响应方功能,取值包括: · Enabled:开启状态 · Disabled:关闭状态 |
|
|
Inbound AH setting |
入方向采用的AH协议的相关设置 |
|
|
Outbound AH setting |
出方向采用的AH协议的相关设置 |
|
|
AH SPI |
AH协议的SPI |
|
|
AH string-key |
AH协议的字符类型的密钥 |
|
|
AH authentication hex key |
AH协议的十六进制密钥 |
|
|
Inbound ESP setting |
入方向采用的ESP协议的相关设置 |
|
|
Outbound ESP setting |
出方向采用的ESP协议的相关设置 |
|
|
ESP SPI |
ESP协议的SPI |
|
|
ESP string-key |
ESP协议的字符类型的密钥 |
|
|
ESP encryption hex key |
ESP协议的十六进制加密密钥 |
|
|
ESP authentication hex key |
ESP协议的十六进制认证密钥 |
|
【相关命令】
· ipsec profile
display ipsec sa命令用来显示IPsec SA的相关信息。
【命令】
display ipsec sa [ brief | count | interface interface-type interface-number [ brief | count ] | { ipv6-policy | policy } policy-name [ seq-number ] [ brief | count ] | profile profile-name [ brief | count ] | remote [ ipv6 ] ip-address [ brief | count ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有或指定的IPsec SA的简要信息。
count:显示所有或指定的IPsec SA的个数。
interface interface-type interface-number:显示指定接口下的IPsec SA的详细信息。interface-type interface-number表示接口类型和接口编号。
ipv6-policy:显示由指定IPv6 IPsec安全策略创建的IPsec SA的详细信息。
policy:显示由指定IPv4 IPsec安全策略创建的IPsec SA的详细信息。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
profile:显示由指定IPsec安全框架创建的IPsec SA的详细信息。
profile-name:IPsec安全框架的名称,为1~63个字符的字符串,不区分大小写。
remote ip-address:显示指定对端IP地址的IPsec SA的详细信息。
ipv6:显示指定IPv6对端地址的IPsec SA的详细信息。若不指定本参数,则表示显示指定IPv4对端地址的IPsec SA的详细信息。
【使用指导】
如果不指定任何参数,则显示所有IPsec SA的详细信息。
【举例】
# 显示IPsec SA的简要信息。
<Sysname> display ipsec sa brief
-----------------------------------------------------------------------
Interface/Global Dst Address SPI Protocol Status
-----------------------------------------------------------------------
GE1/0/1 10.1.1.1 400 ESP Active
GE1/0/1 255.255.255.255 4294967295 ESP Active
GE1/0/1 100::1/64 500 AH Active
Global -- 600 ESP Active
表1-6 display ipsec sa brief命令显示信息描述表
|
字段 |
描述 |
|
Interface/Global |
IPsec SA属于的接口或是全局(全局IPsec SA由IPsec安全框架生成) |
|
Dst Address |
IPsec隧道对端的IP地址 IPsec安全框架生成的SA中,该值无意义,显示为“--” |
|
SPI |
IPsec SA的SPI |
|
Protocol |
IPsec采用的安全协议 |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
Tunnel-ID |
IPsec隧道的ID号 |
|
Name |
IPsec隧道的名称,显示配置的IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名 |
|
Dst Address(port) |
IPsec隧道的目的地址 “<”表示本端入方向IPsec SA,“>”表示本端出方向IPsec SA |
# 显示IPsec SA的个数。
<Sysname> display ipsec sa count
Total IPsec SAs count:4
# 显示所有IPsec SA的详细信息。
<Sysname> display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: r2
Sequence number: 1
Alias: mypolicy
Mode: ISAKMP
-----------------------------
Tunnel id: 3
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN: vp1
Extended Sequence Numbers enable: Y
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1443
Tunnel:
local address/port: 2.2.2.2/500
remote address/port: 1.1.1.2/500
Flow:
sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 3564837569 (0xd47b1ac1)
Connection ID:90194313219
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID:64424509441
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 4294967295/604800
SA remaining duration (kilobytes/sec): 1843200/2686
Max sent sequence-number: 6
UDP encapsulation used for NAT traversal: N
Status: Active
-------------------------------
Global IPsec SA
-------------------------------
-----------------------------
IPsec profile: profile
Alias: abc
Mode: Manual
-----------------------------
Encapsulation mode: transport
[Inbound AH SA]
SPI: 1234563 (0x0012d683)
Connection ID: 64426789452
Transform set: AH-SHA1
No duration limit for this SA
[Outbound AH SA]
SPI: 1234563 (0x002d683)
Connection ID: 64428999468
Transform set: AH-SHA1
No duration limit for this SA
表1-7 display ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的接口 |
|
Global IPsec SA |
全局IPsec SA |
|
IPsec policy |
采用的IPsec安全策略名 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Sequence number |
IPsec安全策略表项顺序号 |
|
Alias |
IPsec安全策略表项、IPsec安全策略模板表项或IPsec安全框架的别名 |
|
Mode |
IPsec安全策略采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
|
Tunnel id |
IPsec隧道的ID号 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Perfect Forward Secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Extended Sequence Numbers enable |
ESN(Extended Sequence Number,扩展序列号)功能是否开启 |
|
Traffic Flow Confidentiality enable |
TFC(Traffic Flow Confidentiality)填充功能是否开启 |
|
Inside VPN |
被保护数据所属的VRF实例名称 |
|
Transmitting entity |
IKE方式协商中的实体角色包括: · Initiator:发起方 · Responder:响应方 |
|
Path MTU |
IPsec SA的路径MTU值 |
|
Tunnel |
IPsec隧道的端点地址信息 GDOI模式下不显示该信息 |
|
local address/port |
IPsec隧道的本端IP地址和端口号 |
|
remote address/port |
IPsec隧道的对端IP地址和端口号 |
|
Flow |
受保护的数据流信息 |
|
sour addr |
数据流的源IP地址 |
|
dest addr |
数据流的目的IP地址 |
|
port |
端口号 |
|
protocol |
协议类型,取值包括: · ip:IPv4协议 · ipv6:IPv6协议 |
|
Current outbound SPI |
当前出方向使用的SPI值 该信息仅在GDOI方式下显示 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
IPsec SA的SPI |
|
Connection ID |
IPsec SA标识 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (kilobytes/sec) |
IPsec SA生存时间,单位为千字节或者秒 |
|
SA remaining duration (kilobytes/sec) |
剩余的IPsec SA生存时间,单位为千字节或者秒 |
|
Max received sequence-number |
入方向接收到的报文最大序列号 |
|
Max sent sequence-number |
出方向发送的报文最大序列号 |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
UDP encapsulation used for NAT traversal |
此IPsec SA是否使用NAT穿越功能 |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
|
No duration limit for this SA |
手工方式创建的IPsec SA无生存时间 |
【相关命令】
· ipsec sa global-duration
· reset ipsec sa
display ipsec sdwan-sa local命令用来显示本端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa local [ brief | count | interface tunnel tunnel-number | spi spi-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示本端所有SDWAN模式的IPsec SA的简要信息。
count:显示本端SDWAN模式的IPsec SA的个数。
interface:显示指定接口的SDWAN模式的IPsec SA。
tunnel tunnel-number:显示指定SDWAN Tunnel接口下的SDWAN模式的IPsec SA,tunnel-number为已创建的SDWAN Tunnel接口编号。
spi spi-number:显示指定spi-number的SDWAN模式的IPsec SA。其中,spi-number为安全参数索引,取值范围为256~4294967295。
【使用指导】
如果不指定任何参数,则显示所有SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有本端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local
-------------------------------
Interface: Tunnel1
-------------------------------
-----------------------------
IPsec profile: abc
Mode: SDWAN
-----------------------------
Site ID: 1
Device ID: 1
Interface ID: 1
Link ID: 273(0x111)
Encapsulation mode: transport
Local address: 10.1.1.1
[Inbound ESP SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Anti-replay time-based window size: 50
Status: Active
[Inbound AH SAs]
SPI: 2701952073 (0xa10c8449)
SA index: 1
Connection ID: 4294967296
Transform set: AH-AUTH-SHA1
SA duration (sec): 3600
SA remaining duration (sec): 3180
Anti-replay check enable: Y
Anti-replay window size: 4096
Status: Active
# 显示本端指定SPI的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local spi 1968608062
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968608062 (0x7556933e)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Anti-replay time-based window size: 50
Status: Active
# 显示本端指定接口的SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa local interface tunnel 2
-------------------------------
Interface: Tunnel2
-------------------------------
-----------------------------
IPsec profile: 2644
Mode: SDWAN
-----------------------------
Site ID: 10
Device ID: 20
Interface ID: 30
Link ID: 660510 (0xa141e)
Encapsulation mode: transport
Local address: 200.200.200.10
[Inbound ESP SAs]
SPI: 1968 (0x7b0)
SA index: 1
Connection ID: 12884901889
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
SA duration (sec): 3600
SA remaining duration (sec): 1712
Anti-replay check enable: Y
Anti-replay window size: 64
Anti-replay time-based window size: 50
Status: Active
表1-8 display ipsec sdwan-sa local命令显示信息描述表
|
字段 |
描述 |
|
Interface |
IPsec SA所在的SDWAN隧道接口 |
|
IPsec profile |
采用的IPsec安全框架名 |
|
Mode |
IPsec安全框架采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Inbound ESP SAs |
入方向的ESP协议的IPsec SA信息 |
|
Inbound AH SAs |
入方向的AH协议的IPsec SA信息 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
本端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
SA duration (sec) |
IPsec SA的生存时间,单位为秒,未配置时显示为“--” |
|
SA remaining duration |
IPsec SA的剩余生存时间,单位为秒,未配置时显示为“--” |
|
Anti-replay check enable |
抗重放检测功能是否开启 |
|
Anti-replay window size |
抗重放窗口宽度 |
|
Anti-replay time-based window size |
基于时间的抗重放窗口宽度,单位为秒 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示所有本端SDWAN模式的IPsec SA的简要信息
<Sysname> display ipsec sdwan-sa local brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Local address SPI Protocol Status
----------------------------------------------------------------------------------------
10 20 30 660510 200.200.200.10 1968 ESP Active
# 显示本端SDWAN模式的IPsec SA的个数
<Sysname> display ipsec sdwan-sa local count
Total IPsec Sdwan Local SAs count: 1
表1-9 display ipsec sdwan-sa local brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Local address |
IPsec隧道的本端IP地址 |
|
SPI |
本地IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Local SAs count |
本端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa local
display ipsec sdwan-sa remote命令用来显示对端SDWAN模式的IPsec SA的相关信息。
【命令】
display ipsec sdwan-sa remote [ brief | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示所有SDWAN模式的IPsec SA的简要信息。
count:显示SDWAN模式的IPsec的SA个数。
【使用指导】
如果不指定任何参数,则显示所有对端SDWAN模式的IPsec SA的详细信息。
【举例】
# 显示所有对端SDWAN模式的IPsec SA的详细信息。
<Sysname> display ipsec sdwan-sa remote
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 20
Device ID: 20
Interface ID: 35
Link ID: 1315875 (0x141423)
Encapsulation mode: transport
Remote address: 200.200.200.20
[Outbound ESP SAs]
SPI: 2360 (0x936)
SA index: 0
Connection ID: 4294967296
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
-------------------------------
Mode: SDWAN
-----------------------------
Site ID: 30
Device ID: 30
Interface ID: 30
Link ID: 1973790 (0x1e1e1e)
Encapsulation mode: transport
Remote address: 200.200.200.30
[Outbound ESP SAs]
SPI: 4137 (0x1029)
SA index: 3
Connection ID: 4294967299
Transform set: ESP-ENCRYPT- ESP-AUTH-SHA384
Status: Active
表1-10 display ipsec sdwan-sa remote命令显示信息描述表
|
字段 |
描述 |
|
Mode |
IPsec安全框架采用的协商方式 · Mannul:手工方式 · ISAKMP:IKE协商方式 · SDWAN:SDWAN方式 · Template:IKE模板方式 · GDOI:GDOI方式 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Encapsulation mode |
采用的报文封装模式,有两种:传输(transport)和隧道(tunnel)模式 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Outbound ESP SAs |
出方向的ESP协议的IPsec SA信息 |
|
Outbound AH SAs |
出方向的AH协议的IPsec SA信息 |
|
SPI |
对端IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
SA index |
对端IPsec SA索引 |
|
Connection ID |
标识IPsec SA的索引号 |
|
Transform set |
IPsec安全提议所采用的安全协议及算法 |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
# 显示所有对端SDWAN模式的IPsec SA的简要信息。
<Sysname> display ipsec sdwan-sa remote brief
----------------------------------------------------------------------------------------
Site ID Device ID Interface ID Link ID Remote address SPI Protocol Status
----------------------------------------------------------------------------------------
20 20 35 1315875 200.200.200.20 2360 ESP Active
30 30 30 1973790 200.200.200.30 4137 ESP Active
# 显示所有对端SDWAN模式的IPsec SA的个数。
<Sysname> display ipsec sdwan-sa remote count
Total IPsec Sdwan Remote SAs count: 1
表1-11 display ipsec sdwan-sa remote brief命令显示信息描述表
|
字段 |
描述 |
|
Site ID |
站点索引 |
|
Device ID |
设备索引 |
|
Interface ID |
接口索引 |
|
Link ID |
链路索引,用于唯一标识一个SDWAN隧道,Link id由Site id、Device id和Interface id生成 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
SPI |
对端IPsec SA的安全参数索引,全局唯一,由协议规定 |
|
Protocol |
加密协议,包括AH和ESP |
|
Status |
IPsec SA的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示SA处于可用状态 |
|
Total IPsec Sdwan Remote SAs count |
对端SDWAN模式的IPsec SA总数 |
【相关命令】
· reset ipsec sdwan-sa remote
display ipsec sdwan-statistics命令用来显示SDWAN模式的IPsec隧道的报文统计信息。
【命令】
display ipsec sdwan-statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的报文统计信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
如果未指定任何参数,则显示所有SDWAN模式的IPsec隧道的报文统计信息。
【举例】
# 显示所有SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
# 显示IPsec隧道的ID号为1的SDWAN模式的IPsec隧道的报文统计信息。
<Sysname> display ipsec sdwan-statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA:
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
表1-12 display ipsec sdwan-statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃的受安全保护的数据包数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因找不到IPsec SA而被丢弃的数据包数目 |
|
Wrong SA |
因IPsec SA错误而被丢弃的数据包数目 |
|
Invalid length |
因数据包长度错误被丢弃的数据包数目 |
|
Authentication failure |
因认证失败被丢弃的数据包数目 |
|
Encapsulation failure |
因加密封装失败被丢弃的数据包数目 |
|
Decapsulation failure |
因解封转失败被丢弃的数据包数目 |
|
Replayed packets |
被丢弃的重放数据包数目 |
|
MTU check failure |
因MTU检测失败被丢弃的数据包数目 |
|
Loopback limit exceeded |
因本机处理次数超过限制而被丢弃的数据包数目 |
|
Crypto speed limit exceeded |
因加密速度的限制而被丢弃的数据包数目 |
【相关命令】
· reset ipsec sdwan-statistics
display ipsec sdwan-tunnel命令用来显示SDWAN模式的IPsec隧道信息。
【命令】
display ipsec sdwan-tunnel [ brief | count | remote-site site-id device-id interface-id | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
remote-site site-id device-id interface-id:显示指定对端站点的IPsec隧道的详细信息。其中,site-id为站点ID,取值范围为1~65535,device-id为设备ID,取值范围为1~255,interface-id为SDWAN隧道接口的接口ID,取值范围1~255。
tunnel-id tunnel-id:显示指定tunnel-id的IPsec隧道的详细信息。其中,tunnel-id为IPsec隧道的ID号,取值范围为0~4294967294。
【使用指导】
SDWAN组网环境中,IPsec在SDWAN设备之间建立“通道”,来保护SDWAN设备之间传输的数据,该通道通常称为SDWAN模式的IPsec隧道。
若不指定任何参数,默认显示所有SDWAN模式的IPsec隧道的详细信息。
有关SDWAN的详细介绍,请参见“SDWAN配置指导”中的“SDWAN”。
【举例】
# 显示所有SDWAN模式的IPsec隧道的简略信息。
<Sysname> display ipsec sdwan-tunnel brief
----------------------------------------------------------------------------
Tunnel-ID Src Address Dst Address Inbound SPI Outbound SPI
----------------------------------------------------------------------------
1 1.2.3.1 2.2.2.2 5000 6000
表1-13 display ipsec sdwan-tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunnel-ID |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 |
|
Dst Address |
IPsec隧道的目的地址 |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI |
# 显示所有SDWAN模式的IPsec隧道的个数。
<Sysname> display ipsec sdwan-tunnel count
Total SDWAN IPsec tunnels: 2
# 显示所有SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示对端站点中站点ID为10,设备ID为10,接口ID为35的SDWAN模式的IPsec隧道详细信息
<Sysname> display ipsec sdwan-tunnel remote-site 10 10 35
Tunnel ID: 1
Status: Active
Path MTU: 1432
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
# 显示ID号为1的SDWAN模式的IPsec隧道的详细信息。
<Sysname> display ipsec sdwan-tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
SA's SPI:
Outbound: 1091054028 (0x410829cc) [ESP]
Inbound: 2400381837 (0x8f12eb8d) [ESP]
Tunnel:
Local address: 11.1.2.1
Remote address: 11.1.3.1
Remote Site:
Site ID: 10
Device ID: 10
Interface ID: 35
Link ID: 1315875 (0x141423)
表1-14 display ipsec sdwan-tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道ID |
|
Status |
IPsec隧道的状态: · 多机备份环境下,取值为Active表示主用、取值为Standby表示备用 · 单机运行环境下,取值仅为Active,表示隧道处于可用状态 |
|
Path MTU |
SDWAN模式IPsec SA的路径MTU值 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Outbound |
IPsec隧道中生效的出方向SPI |
|
Inbound |
IPsec隧道中生效的入方向SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
Local address |
IPsec隧道的本端IP地址 |
|
Remote address |
IPsec隧道的对端IP地址 |
|
Remote Site |
远端站点 |
|
Site ID |
站点ID |
|
Device ID |
设备ID |
|
Interface ID |
接口ID |
|
Link ID |
为TTE分配的Link ID,用来标识一个TTE连接 |
【相关命令】
· reset ipsec sdwan-tunnel
display ipsec statistics命令用来显示IPsec处理的报文的统计信息。
【命令】
display ipsec statistics [ tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
tunnel-id tunnel-id:显示指定IPsec隧道处理的报文统计信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。通过display ipsec tunnel brief可以查看到已建立的IPsec隧道的ID号。
【使用指导】
如果不指定任何参数,则显示IPsec处理的所有报文的统计信息。
【举例】
# 显示所有IPsec处理的报文统计信息。
<Sysname> display ipsec statistics
IPsec packet statistics:
Received/sent packets: 47/64
Received/sent bytes: 3948/5208
Received/sent packet rate: 5/5 packets/sec
Received/sent byte rate: 290/290 bytes/sec
Dropped packets (received/sent): 0/45
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 45
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
# 显示ID为1的IPsec隧道处理的报文统计信息。
<Sysname> display ipsec statistics tunnel-id 1
IPsec packet statistics:
Received/sent packets: 5124/8231
Received/sent bytes: 52348/64356
Received/sent packet rate: 4/4 packets/sec
Received/sent byte rate: 232/232 bytes/sec
Dropped packets (received/sent): 0/0
Dropped packets statistics
No available SA: 0
Wrong SA: 0
Invalid length: 0
Authentication failure: 0
Encapsulation failure: 0
Decapsulation failure: 0
Replayed packets: 0
ACL check failure: 0
MTU check failure: 0
Loopback limit exceeded: 0
Crypto speed limit exceeded: 0
Responder only limitation: 0
表1-15 display ipsec statistics命令显示信息描述表
|
字段 |
描述 |
|
IPsec packet statistics |
IPsec处理的报文统计信息 |
|
Received/sent packets |
接收/发送的受安全保护的数据包的数目 |
|
Received/sent bytes |
接收/发送的受安全保护的字节数目 |
|
Received/sent packet rate |
接收/发送的受安全保护的数据包的速率:packets/sec表示每秒接收或发送的数据包数目 |
|
Received/sent bytes rate |
接收/发送的受安全保护的字节速率:bytes/sec表示每秒接收或发送的字节数目 |
|
Dropped packets (received/sent) |
被设备丢弃了的受安全保护的数据包的数目(接收/发送) |
|
Dropped packets statistics |
被丢弃的数据包的详细信息 |
|
No available SA |
因为找不到IPsec SA而被丢弃的数据包的数目 |
|
Wrong SA |
因为IPsec SA错误而被丢弃的数据包的数目 |
|
Invalid length |
因为数据包长度不正确而被丢弃的数据包的数目 |
|
Authentication failure |
因为认证失败而被丢弃的数据包的数目 |
|
Encapsulation failure |
因为加封装失败而被丢弃的数据包的数目 |
|
Decapsulation failure |
因为解封装失败而被丢弃的数据包的数目 |
|
Replayed packets |
被丢弃的重放的数据包的数目 |
|
ACL check failure |
因为ACL检测失败而被丢弃的数据包的数目 |
|
MTU check failure |
因为MTU检测失败而被丢弃的数据包的数目 |
|
Loopback limit exceeded |
因为本机处理的次数超过限制而被丢弃的数据包的数目 |
|
Crypto speed limit exceeded |
因为加密速度的限制而被丢弃的数据包的数目 |
|
Responder only limitation |
因为仅可作为响应方的限制而被丢弃的数据包的数目 |
【相关命令】
· reset ipsec statistics
display ipsec transform-set命令用来显示IPsec安全提议的信息。
【命令】
display ipsec transform-set [ transform-set-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
transform-set-name:指定IPsec安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果没有指定IPsec安全提议的名称,则显示所有IPsec安全提议的信息。
【举例】
# 显示所有IPsec安全提议的信息。
<Sysname> display ipsec transform-set
IPsec transform set: mytransform
State: incomplete
Encapsulation mode: tunnel
ESN: Enabled
PFS:
Transform: ESP
IPsec transform set: completeTransform
State: complete
Encapsulation mode: transport
ESN: Enabled
PFS:
Transform: AH-ESP
AH protocol:
Integrity: SHA1
ESP protocol:
Integrity: SHA1
Encryption: AES-CBC-128
表1-16 display ipsec transform-set命令显示信息描述表
|
字段 |
描述 |
|
IPsec transform set |
IPsec安全提议的名称 |
|
State |
IPsec安全提议是否完整 |
|
Encapsulation mode |
IPsec安全提议采用的封装模式,包括两种:传输(transport)和隧道(tunnel)模式 |
|
ESN |
ESN(Extended Sequence Number,扩展序列号)功能的开启状态 |
|
PFS |
PFS(Perfect Forward Secrecy,完善的前向安全性)特性的配置,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Transform |
IPsec安全提议采用的安全协议,包括三种:AH协议、ESP协议、AH-ESP(先采用ESP协议,再采用AH协议) |
|
AH protocol |
AH协议相关配置 |
|
ESP protocol |
ESP协议相关配置 |
|
Integrity |
安全协议采用的认证算法 |
|
Encryption |
安全协议采用的加密算法 |
【相关命令】
· ipsec transform-set
display ipsec tunnel命令用来显示IPsec隧道的信息。
【命令】
display ipsec tunnel [ brief | count | tunnel-id tunnel-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:显示IPsec隧道的简要信息。
count:显示IPsec隧道的个数。
tunnel-id tunnel-id:显示指定的IPsec隧道的详细信息。其中,tunnel-id为隧道的ID号,取值范围为0~4294967294。
【使用指导】
IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。
如果不指定任何参数,则显示所有IPsec隧道的信息。
【举例】
# 显示所有IPsec隧道的简要信息。
<Sysname> display ipsec tunnel brief
----------------------------------------------------------------------------
Tunn-id Src Address Dst Address Inbound SPI Outbound SPI Status
----------------------------------------------------------------------------
0 -- -- 1000 2000 Active
3000 4000
1 1.2.3.1 2.2.2.2 5000 6000 Active
7000 8000
表1-17 display ipsec tunnel brief命令显示信息描述表
|
字段 |
描述 |
|
Tunn-id |
IPsec隧道的ID号 |
|
Src Address |
IPsec隧道的源地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Dst Address |
IPsec隧道的目的地址 在IPsec Profile生成的SA中,该值无意义,显示为“--” |
|
Inbound SPI |
IPsec隧道中生效的入方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个入方向的SPI |
|
Outbound SPI |
IPsec隧道中生效的出方向SPI 如果该隧道使用了两种安全协议,则会分为两行分别显示两个出方向的SPI |
|
Status |
IPsec SA的状态,取值只能为Active,表示SA处于可用状态 |
# 显示IPsec隧道的数目。
<Sysname> display ipsec tunnel count
Total IPsec Tunnel Count: 2
# 显示所有IPsec隧道的详细信息。
<Sysname> display ipsec tunnel
Tunnel ID: 0
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 2000 (0x000007d0) [AH]
inbound: 1000 (0x000003e8) [AH]
outbound: 4000 (0x00000fa0) [ESP]
inbound: 3000 (0x00000bb8) [ESP]
Tunnel:
local address:
remote address:
Flow:
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
# 显示ID号为1的IPsec隧道的详细信息。
<Sysname> display ipsec tunnel tunnel-id 1
Tunnel ID: 1
Status: Active
Perfect forward secrecy:
Inside vpn-instance:
SA's SPI:
outbound: 6000 (0x00001770) [AH]
inbound: 5000 (0x00001388) [AH]
outbound: 8000 (0x00001f40) [ESP]
inbound: 7000 (0x00001b58) [ESP]
Tunnel:
local address: 1.2.3.1
remote address: 2.2.2.2
Flow:
as defined in ACL 3100
表1-18 display ipsec tunnel命令显示信息描述表
|
字段 |
描述 |
|
Tunnel ID |
IPsec隧道的ID,用来唯一地标识一个IPsec隧道 |
|
Status |
IPsec隧道的状态,取值只能为Active,表示隧道处于可用状态 |
|
Perfect forward secrecy |
此IPsec安全策略发起协商时使用完善的前向安全(PFS)特性,取值包括: · 768-bit Diffie-Hellman组(dh-group1) · 1024-bit Diffie-Hellman组(dh-group2) · 1536-bit Diffie-Hellman组(dh-group5) · 2048-bit Diffie-Hellman组(dh-group14) · 2048-bit和256_bit子群Diffie-Hellman组(dh-group24) · 256-bit ECP模式 Diffie-Hellman组(dh-group19) · 384-bit ECP模式 Diffie-Hellman组(dh-group20) |
|
Inside vpn-instance |
被保护数据所属的VPN实例名 |
|
SA's SPI |
出方向和入方向的IPsec SA的SPI |
|
Tunnel |
IPsec隧道的端点地址信息 |
|
local address |
IPsec隧道的本端IP地址 |
|
remote address |
IPsec隧道的对端IP地址 |
|
Flow |
IPsec隧道保护的数据流,包括源地址、目的地址、源端口、目的端口、协议 |
|
as defined in ACL 3001 |
手工方式建立的IPsec隧道所保护的数据流的范围,例如IPsec隧道保护ACL 3001中定义的所有数据流 |
encapsulation-mode命令用来配置安全协议对报文的封装模式。
undo encapsulation-mode命令用来恢复缺省情况。
【命令】
encapsulation-mode { transport | tunnel }
undo encapsulation-mode
【缺省情况】
使用隧道模式对IP报文进行封装。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
transport:采用传输模式。
tunnel:采用隧道模式。
【使用指导】
传输模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和终点时,才能使用传输模式。
隧道模式下的安全协议用于保护整个IP数据包,用户的整个IP数据包都被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被封装在一个新的IP数据包中。这种模式下,封装后的IP数据包有内外两个IP头,其中的内部IP头为原有的IP头,外部IP头由提供安全服务的设备添加。在安全保护由设备提供的情况下,数据包进行安全传输的起点或终点不为数据包的实际起点和终点时(例如安全网关后的主机),则必须使用隧道模式。隧道模式用于保护两个安全网关之间的数据传输。
在IPsec隧道的两端,IPsec安全提议所采用的封装模式要一致。
【举例】
# 指定IPsec安全提议tran1采用传输模式对IP报文进行封装。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] encapsulation-mode transport
【相关命令】
· ipsec transform-set
esn enable命令用来开启ESN(Extended Sequence Number,扩展序列号)功能。
undo esn enable命令用来关闭ESN功能。
【命令】
esn enable [ both ]
undo esn enable
【缺省情况】
ESN功能处于关闭状态。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
both:既支持扩展序列号,又支持非扩展序列号。若不指定该参数,则表示仅支持扩展序列号。
【使用指导】
本功能仅适用于IKEv2协商的IPsec SA。
ESN功能用于扩展防重放序列号的范围,可将抗重放序列号长度由传统的32比特扩大到64比特。在有大量数据流需要使用IPsec SA保护进行高速传输的情况下,该功能可避免防重放序列号被过快消耗而引发频繁地重协商。
只有发起方和响应方都开启了ESN功能,ESN功能才能生效。
【举例】
# 在IPsec安全提议中开启ESN功能。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esn enable
【相关命令】
· display ipsec transform-set
esp authentication-algorithm命令用来配置ESP协议采用的认证算法。
undo esp authentication-algorithm命令用来恢复缺省情况。
【命令】
(非FIPS模式下)
esp authentication-algorithm { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 | sm3 } *
undo esp authentication-algorithm
(FIPS模式下)
esp authentication-algorithm { sha1 | sha256 | sha384 | sha512 } *
undo esp authentication-algorithm
【缺省情况】
ESP协议未采用任何认证算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:采用HMAC-AES-XCBC-96认证算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
md5:采用HMAC-MD5-96认证算法,密钥长度128比特。
sha1:采用HMAC-SHA1-96认证算法,密钥长度160比特。
sha256:采用 HMAC-SHA-256认证算法,密钥长度 256比特。
sha384:采用 HMAC-SHA-384认证算法,密钥长度 384比特。
sha512:采用 HMAC-SHA-512认证算法,密钥长度 512比特。
sm3:采用HMAC-SM3-96认证算法,密钥长度256比特,本参数仅适用于IKEv1协商。
【使用指导】
非FIPS模式下,每个IPsec安全提议中均可以配置多个ESP认证算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP认证算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP认证算法需要一致。
【举例】
# 在IPsec安全提议中配置ESP认证算法为HMAC-SHA1算法。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp authentication-algorithm sha1
【相关命令】
· ipsec transform-set
esp encryption-algorithm命令用来配置ESP协议采用的加密算法。
undo esp encryption-algorithm命令用来恢复缺省情况。
【命令】
(低加密版本中)
esp encryption-algorithm des-cbc
undo esp encryption-algorithm
(高加密版本-非FIPS模式下)
esp encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 | null | sm1-cbc-128 | sm4-cbc } *
undo esp encryption-algorithm
(高加密版本-FIPS模式下)
esp encryption-algorithm { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | gmac-128 | gmac-192 | gmac-256 | gcm-128 | gcm-192 | gcm-256 }*
undo esp encryption-algorithm
【缺省情况】
ESP协议未采用任何加密算法。
【视图】
IPsec安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:采用CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:采用CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:采用CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:采用CBC模式的AES算法,密钥长度为256比特。
aes-ctr-128:采用CTR模式的AES算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
aes-ctr-192:采用CTR模式的AES算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
aes-ctr-256:采用CTR模式的AES算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
camellia-cbc-128:采用CBC模式的Camellia算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
camellia-cbc-192:采用CBC模式的Camellia算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
camellia-cbc-256:采用CBC模式的Camellia算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
des-cbc:采用CBC模式的DES算法,密钥长度为64比特。
gmac-128:采用GMAC算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gmac-192:采用GMAC算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gmac-256:采用GMAC算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
gcm-128:采用GCM算法,密钥长度为128比特。本参数仅适用于IKEv2协商。
gcm-192:采用GCM算法,密钥长度为192比特。本参数仅适用于IKEv2协商。
gcm-256:采用GCM算法,密钥长度为256比特。本参数仅适用于IKEv2协商。
null:采用NULL加密算法,表示不进行加密。
sm1-cbc-128:采用CBC模式的SM1算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
sm4-cbc:采用CBC模式的SM4算法,密钥长度为128比特。本参数仅适用于IKEv1协商。
【使用指导】
每个IPsec安全提议中均可以配置多个ESP加密算法,其优先级为配置顺序。
对于手工方式以及IKEv1(第1版本的IKE协议)协商方式的IPsec安全策略,IPsec安全提议中配置顺序首位的ESP加密算法生效。为保证成功建立IPsec隧道,隧道两端指定的IPsec安全提议中配置的首个ESP加密算法需要一致。
GCM、GMAC属于组合模式算法(Combined mode algorithm)。其中,GCM算法能同时为ESP协议提供加密与认证服务,GMAC只能提供认证服务。组合模式算法只能用于仅采用ESP协议的配置环境,不能用于同时采用AH协议和ESP协议的配置环境,且不能与普通的ESP认证算法同时使用。
【举例】
# 在IPsec安全提议中配置ESP加密算法为CBC模式的AES算法,密钥长度为128比特。
<Sysname> system-view
[Sysname] ipsec transform-set tran1
[Sysname-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
【相关命令】
· ipsec transform-set
ike-profile命令用来指定IPsec安全策略/IPsec安全策略模板/IPsec安全框架引用的IKE profile。
undo ike-profile命令用来恢复缺省情况。
【命令】
ike-profile profile-name
undo ike-profile
【缺省情况】
未引用IKE profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略、IPsec安全策略模板、IPsec安全框架中若不引用IKE profile,则使用系统视图下配置的IKE profile进行协商,若系统视图下没有任何IKE profile,则使用全局的IKE参数进行协商。
IPsec安全策略、IPsec安全策略模板、IPsec安全框架引用的IKE profile中定义了用于IKE协商的相关参数。
IPsec安全策略/IPsec安全策略模板/IPsec安全框架下只能引用一个IKE profile。
【举例】
# 指定IPsec安全策略policy1中引用的IKE profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ike-profile profile1
【相关命令】
· ike profile(安全命令参考/IKE)
ikev2-profile命令用来指定IPsec安全策略视图/IPsec安全策略模板视图/IPsec安全框架视图引用的IKEv2 profile。
undo ikev2-profile命令用来恢复缺省情况。
【命令】
ikev2-profile profile-name
undo ikev2-profile
【缺省情况】
未引用IKEv2 profile。
【视图】
IPsec安全策略视图
IPsec安全策略模板视图
IPsec安全框架视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IPsec安全策略/IPsec安全策略模板/IPsec安全框架视图引用的IKEv2 profile中定义了用于IKEv2协商的相关参数。
一个IPsec安全策略视图/一个IPsec安全策略模板视图/IPsec安全框架视图下只能引用一个IKEv2 profile。发起方必须引用IKEv2 profile,响应方引用IKEv2 profile表示此IPsec策略只允许用此IKEv2 profile协商,否则表示此IPsec策略允许用任何IKEv2 profile协商。
【举例】
# 指定IPsec安全策略policy1中引用的IKEv2 profile为profile1。
<Sysname> system-view
[Sysname] ipsec policy policy1 10 isakmp
[Sysname-ipsec-policy-isakmp-policy1-10] ikev2-profile profile1
【相关命令】
· display ipsec ipv6-policy
· display ipsec policy
· ikev2 profile
ipsec { ipv6-policy | policy }命令用来创建一条IPsec安全策略,并进入IPsec安全策略视图。如果指定的IPsec安全策略已经存在,则直接进入IPsec安全策略视图。
undo ipsec { ipv6-policy | policy }命令用来删除指定的IPsec安全策略。
【命令】
ipsec { ipv6-policy | policy } policy-name seq-number [ gdoi | isakmp | manual | quantum ]
undo ipsec { ipv6-policy | policy } policy-name [ seq-number ]
【缺省情况】
不存在IPsec安全策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-policy:指定IPv6 IPsec安全策略。
policy:指定IPv4 IPsec安全策略。
policy-name:IPsec安全策略的名称,为1~63个字符的字符串,不区分大小写。
seq-number:IPsec安全策略的顺序号,取值范围为1~65535。
gdoi:指定使用GDOI(Group Domain of Interpretation,组解释域)方式建立IPsec SA。
本参数的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
MSR610 |
支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
支持 |
|
MSR810-LMS、MSR810-LUS |
不支持 |
|
MSR810-SI、MSR810-LM-SI |
不支持 |
|
MSR810-LMS-EA、MSR810-LME |
支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN |
支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
不支持 |
|
MSR2600-10-X1 |
不支持 |
|
MSR2630-G-X1 |
不支持 |
|
MSR2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
不支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
不支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
不支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-iMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型号 |
说明 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
支持 |
|
MSR830-4LM-WiNet |
支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
支持 |
|
MSR2600-6-WiNet |
不支持 |
|
MSR2600-10-X1-WiNet |
不支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
支持