2 IKE
2.1 IKE配置命令
2.1.1 aaa authorization
aaa authorization命令用来开启IKE的AAA授权功能。
undo aaa authorization命令用来关闭IKE的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKE的AAA授权功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKE可以向AAA模块申请授权属性,例如IKE本地地址池属性。IKE模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKE本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKE profile,名称为profile1。
<Sysname> system-view
[Sysname] ike profile profile1
# 在IKE profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ike-profile-profile1] aaa authorization domain abc username test
2.1.2 authentication-algorithm
authentication-algorithm命令用来指定IKE提议使用的认证算法。
undo authentication-algorithm命令用来恢复缺省情况。
【命令】
authentication-algorithm { md5 | sha | sha256 | sha384 | sha512 | sm3 }
undo authentication-algorithm
【缺省情况】
IKE提议使用的认证算法为HMAC-SHA1
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
md5:指定认证算法为HMAC-MD5。
sha:指定认证算法为HMAC-SHA1。
sha256:指定认证算法为HMAC-SHA256。
sha384:指定认证算法为HMAC-SHA384。
sha512:指定认证算法为HMAC-SHA512。
sm3:指定认证算法为HMAC-SM3。
【举例】
# 指定IKE提议1的认证算法为HMAC-SHA1。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-algorithm sha
【相关命令】
· display ike proposal
2.1.3 authentication-method
authentication-method命令用来指定IKE提议使用的认证方法。
undo authentication-method命令用来恢复缺省情况。
【命令】
authentication-method { dsa-signature | pre-share | rsa-de | rsa-signature | sm2-de }
undo authentication-method
【缺省情况】
IKE提议使用预共享密钥的认证方法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
dsa-signature:指定认证方法为DSA数字签名方法。
pre-share:指定认证方法为预共享密钥方法。
rsa-de:指定认证方法为RSA数字信封方法。
rsa-signature:指定认证方法为RSA数字签名方法。
sm2-de:指定认证方法为SM2数字信封方法。
【使用指导】
认证方法分为预共享密钥认证、数字签名认证(包括RSA数字签名认证和DSA数字签名认证)和数字信封认证(包括RSA数字信封认证和SM2数字信封认证)。
· 预共享密钥认证机制简单、不需要证书,常在小型组网环境中使用;
· 数字签名认证安全性更高,常在“中心—分支”模式的组网环境中使用。例如,在“中心—分支”组网中使用预共享密钥认证进行IKE协商时,中心侧可能需要为每个分支配置一个预共享密钥,当分支很多时,配置会很复杂,而使用数字签名认证时中心只需配置一个PKI域;
· 数字信封认证用于设备需要符合国家密码管理局要求时使用,此认证方法只能在IKEv1的协商过程中支持。
协商双方必须有匹配的认证方法。
如果指定认证方法为RSA数字签名方法或者DSA数字签名方法,则还必须保证对端从CA(证书认证机构)获得数字证书。
如果指定认证方法为预共享密钥方法,必须使用pre-shared-key命令在两端配置相同的预共享密钥。
【举例】
# 指定IKE提议1的认证方法为预共享密钥。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] authentication-method pre-share
【相关命令】
· display ike proposal
· ike keychain
· pre-shared-key
2.1.4 certificate domain
certificate domain命令用来指定IKE协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消指定IKE协商时使用的PKI域。
【命令】
certificate domain domain-name
undo certificate domain domain-name
【缺省情况】
未指定用于IKE协商的PKI域。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
可通过多次执行本命令指定多个PKI域,一个IKE profile中最多可以引用六个PKI域。如果在IKE profile中指定了PKI域,则使用指定的PKI域发送本端证书请求、验证对端证书请求、发送本端证书、验证对端证书、进行数字签名。如果IKE profile中没有指定PKI域,则使用设备上配置的PKI域进行以上证书相关的操作。
IKE可以通过PKI自动获取CA证书、自动申请证书,对这种情况,有几点需要说明:
· 对于发起方:若在IKE profile中指定了PKI域,且PKI域中的证书申请为自动申请方式,则发起方会自动获取CA证书;若在IKE profile中没有指定PKI域,则发起方不会自动获取CA证书,需要手动获取CA证书。
· 对于响应方:第一阶段采用主模式的IKE协商时,响应方不会自动获取CA证书,需要手动获取CA证书;第一阶段采用野蛮模式的IKE协商时,若响应方找到了匹配的IKE profile并且IKE profile下指定了PKI域,且PKI域中的证书申请为自动申请方式,则会自动获取CA证书;否则,响应方不会自动获取CA证书,需要手动获取CA证书。
· 在IKE协商过程中先自动获取CA证书,再自动申请证书。若CA证书存在,则不获取CA证书,直接自动申请证书。
【举例】
# 在IKE profile 1中指定IKE协商时使用的PKI域。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] certificate domain abc
【相关命令】
· authentication-method
· pki domain(安全命令参考/PKI)
2.1.5 client-authentication
client-authentication命令用来开启对客户端的认证。
undo client-authentication命令用来关闭对客户端的认证。
【命令】
client-authentication xauth
undo client-authentication xauth
【缺省情况】
对客户端的认证处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
xauth:表示采用XAUTH (Extended Authentication within ISAKMP/Oakley)方式认证。
【使用指导】
在部署多分支远程访问企业中心的IPsec VPN应用时,为区别不同的客户端,通常需要中心侧的网管人员为每一个远程客户端设置不同IPsec安全策略和认证密码,此工作量巨大,也不方便管理。在中心侧开启了对客户端认证之后,远程客户端与中心侧设备进行IKE协商的过程中,中心侧设备可以利用RADIUS服务器来对客户端进行用户名和密码的验证,要求每个远程客户端在接入时,都需要提供不同的用户名和密码,这样可以简化中心侧的配置负担,保证了远程接入客户端的安全性。
【举例】
# 开启基于XAUTH方式的认证。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth
【相关命令】
· local-user
2.1.6 client-authentication xauth user
client-authentication xauth user命令用来配置客户端认证所需的用户信息。
undo client-authentication xauth user命令用来恢复缺省情况。
【命令】
client-authentication xauth { aaa-auth-server | user username password { cipher | simple } string }
undo client-authentication xauth { aaa-auth-server | user }
【缺省情况】
未配置客户端认证所需的用户信息。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
aaa-auth-server:指定通过AAA服务器获取客户端认证所需的用户信息。
user:指定客户端认证使用的用户信息。
user-name:客户端认证使用的用户名称,为1~55个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
password:指定客户端认证使用的用户密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
【使用指导】
在多分支远程访问企业中心的IPsec VPN组网环境中,在客户端上可以通过以下两种方式配置用户信息,向企业中心侧发起扩展认证:
· 通过AAA服务器获取用户信息:此方式下,客户端需要通过AAA服务器获取用户身份信息,并发送至对端进行身份认证。当对端使用吉大服务器对客户端进行身份认证时,客户端需要配置为此方式。有关AAA的详细介绍,请参见“安全配置指导”中的“AAA”。
· 手工配置用户信息:此方式下,客户端将配置的用户名和密码发送至对端进行身份认证。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置客户端认证的用户名为abc,密文密码为123456TESTplat&!。
<Sysname> system-view
[Sysname] ike profile test
[Sysname-ike-profile-test] client-authentication xauth user abc password simple 123456TESTplat&!
# 配置通过AAA服务器获取用户信息,进行客户端认证。
<Sysname> system-view
[Sysname] ike profile abc
[Sysname-ike-profile-abc] client-authentication xauth aaa-auth-server
2.1.7 client source-udp-port dynamic
client source-udp-port dynamic命令用来配置发起方IKE协商使用的UDP源端口号为动态设置。
undo client source-udp-port dynamic命令用来恢复缺省情况。
【命令】
client source-udp-port dynamic
undo client source-udp-port dynamic
【缺省情况】
发起方IKE协商使用的UDP源端口号为500。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【使用指导】
本命令仅在发起方生效。
当发起方配置本命令后,发起方在IKE协商过程中将使用随机的UDP源端口号发送协商报文,响应方会根据收到的协商报文中的UDP端口号来发送接下来的协商报文。如果随机使用的UDP源端口号无法使IKE协商成功,IKE将再次随机使用一个UDP源端口号进行协商,直至协商成功。
正常情况下,IKE对等体之间协商IKE SA时,如果对等体之间存在NAT设备,IKE会将协商报文的UDP源和目的端口号都修改为4500。在某些组网环境中,网络中间设备会将UDP源端口号为4500的报文丢弃,从而导致IKE协商失败。将IKE协商报文的UDP源端口号设置为自动设置,可以避免IKE协商报文被网络中间设备丢弃。
修改本命令对已建立的IKE SA不影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在IKE profile prof1下,配置发起方IKE协商使用的UDP源端口号为动态设置。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] client source-udp-port dynamic
【相关命令】
· display ike sa
2.1.8 description
description命令用来配置IKE提议的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在IKE提议的描述信息。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
text:IKE提议的描述信息,为1~80个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个IKE提议时,可通过配置相应的描述信息来有效区分不同的IKE提议。
【举例】
# 配置序号为1的IKE提议的描述信息为test。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] description test
2.1.9 dh
dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
dh { group1 | group14 | group2 | group24 | group5 }
undo dh
【缺省情况】
IKE提议使用的DH密钥交换参数为group1,即768-bit的Diffie-Hellman group。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。
group14:指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。
group2:指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。
group24:指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group5:指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
【举例】
# 指定IKE提议1使用2048-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] dh group14
【相关命令】
· display ike proposal
2.1.10 display ike global-info
display ike global-info命令用来显示IKE模块全局信息。
【命令】
display ike global-info
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
显示当前设备上IKE模块相关全局运行数据。
【举例】
# 显示当前设备上IKE模块相关全局运行数据
<Sysname> display ike global-info
IKE identity type: FQDN
IKE identity: h3c.com
IKE dpd: on-demand
IKE dpd interval (seconds): 200
IKE dpd retry (seconds): 20
IKE invalid-spi-recovery: disable
IKE limit max-negotiating-sa: 1024
IKE limit max-sa: 512
IKE nat-keepalive (seconds): 60
IKE signature-identity from-certificate: disable
IKE keepalive timeout (seconds): 4096
IKE keepalive interval (seconds): 2048
表2-1 display ike global-info命令显示信息描述表
字段 | 描述 |
IKE identity type | IKE本端身份信息。取值包括: · IP-Address:以IP地址标识本端身份 · DN:使用从数字证书中获得的DN名作为本端身份 · FQDN:以FQDN名称标识本端身份 · User-FQDN:以User FQDN名称标识本端身份 |
IKE identity | IKE本端身份信息 |
IKE dpd | IKE DPD的探测模式。取值包括: · on-demand:指定按需探测模式 · periodic:指定定时探测模式 |
IKE dpd interval (seconds) | IKE DPD 探测间隔 |
IKE dpd retry (seconds) | IKE DPD 报文重传间隔 |
IKE invalid-spi-recovery | 针对无效IPsec SPI的IKE SA恢复功能开启状态。取值包括: · disable:针对无效IPsec SPI的IKE SA恢复功能未开启 · enable:针对无效IPsec SPI的IKE SA恢复功能已开启 |
IKE limit max-negotiating-sa | 允许同时处于协商状态的IKE一阶段和二阶段SA的最大总数 |
IKE limit max-sa | 允许建立的IKE一阶段SA的最大数 |
IKE nat-keepalive (seconds) | 向对端发送NAT Keepalive报文的间隔 |
IKE signature-identity from-certificate | 设备使用由本端证书中获得的身份信息参与数字签名认证功能开启状态。取值包括: · disable:设备使用由本端证书中获得的身份信息参与数字签名认证功能未开启 · enable:设备使用由本端证书中获得的身份信息参与数字签名认证功能已开启 |
IKE keepalive timeout (seconds) | 本端等待对端发送IKE Keepalive报文的超时时间 |
IKE keepalive interval (seconds) | 通过IKE SA向对端发送IKE Keepalive报文的间隔 |
2.1.11 display ike proposal
display ike proposal命令用来显示所有IKE提议的配置信息。
【命令】
display ike proposal
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
IKE提议按照优先级的先后顺序显示。如果没有配置任何IKE提议,则只显示缺省的IKE提议。
【举例】
# 显示IKE提议的配置信息。
<Sysname> display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
1 RSA-SIG MD5 DES-CBC Group 1 5000
11 PRE-SHARED-KEY MD5 DES-CBC Group 1 50000
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
表2-2 display ike proposal命令显示信息描述表
字段 | 描述 |
Priority | IKE提议的优先级 |
Authentication method | IKE提议使用的认证方法,包括: · DSA-SIG:DSA签名 · PRE-SHARED-KEY:预共享密钥 · RSA-DE:RSA数字信封 · RSA-SIG:RSA签名 · SM2-DE:SM2数字信封 |
Authentication algorithm | IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
Encryption algorithm | IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
Diffie-Hellman group | IKE阶段1密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 |
Duration (seconds) | IKE提议中指定的IKE SA存活时间,单位为秒 |
【相关命令】
· ike proposal
2.1.12 display ike sa
display ike sa命令用来显示当前IKE SA的信息。
【命令】
display ike sa [ verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address [ vpn-instance vpn-instance-name ] ] | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示当前IKE SA的详细信息。
connection-id connection-id:按照连接标识符显示IKE SA的详细信息,取值范围为1~2000000000。
remote-address:显示指定对端IP地址的IKE SA的详细信息。
ipv6:指定IPv6地址。
remote-address:对端的IP地址。
vpn-instance vpn-instance-name:显示指定VPN实例内的IKE SA的详细信息,vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示的IKE SA属于公网。
count:显示IKE SA的数量。
【使用指导】
若不指定任何参数,则显示当前所有IKE SA的摘要信息。
【举例】
# 显示当前所有IKE SA的摘要信息。
<Sysname> display ike sa
Connection-ID Local Remote Flag DOI
---------------------------------------------------------------
1 10.1.1.2 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
表2-3 display ike sa命令显示信息描述表
字段 | 描述 |
Connection-ID | IKE SA的标识符 |
Local | 此IKE SA的本端的IP地址 |
Remote | 此IKE SA的对端的IP地址 |
Flags | IKE SA的状态,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · RK-REKEY:表示此IKE SA是Rekey SA · Unknown:表示IKE协商的状态未知 |
DOI | IKE SA所属解释域,包括: · IPsec:表示此IKE SA使用的DOI为IPsec DOI · Group表示此IKE SA使用的DOI为GDOI |
# 显示当前IKE SA的详细信息。
<Sysname> display ike sa verbose
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
# 显示目的地址为4.4.4.5的IKE SA的详细信息。
<Sysname> display ike sa verbose remote-address 4.4.4.5
---------------------------------------------
Connection ID: 2
Outside VPN: 1
Inside VPN: 1
Profile: prof1
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
---------------------------------------------
Local IP/port: 4.4.4.4/500
Local ID type: IPV4_ADDR
Local ID: 4.4.4.4
Remote IP/port: 4.4.4.5/500
Remote ID type: IPV4_ADDR
Remote ID: 4.4.4.5
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: SHA1
Encryption-algorithm: AES-CBC-128
Life duration(sec): 86400
Remaining key duration(sec): 86379
Exchange-mode: Main
Diffie-Hellman group: Group 1
NAT traversal: Not detected
Extend authentication: Enabled
Assigned IP address: 192.168.2.1
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
表2-4 display ike sa verbose命令显示信息描述表
字段 | 描述 |
Connection ID | IKE SA的标识符 |
Outside VPN | 接收报文的接口所属的VPN实例名称 |
Inside VPN | 被保护数据所属的VPN实例名称 |
Profile | IKE SA协商过程中匹配到的IKE profile的名称,如果协商过程中没有匹配到任何profile,则该字段不会显示任何KE profile名称 |
Transmitting entity | IKE协商中的实体角色,包括: · Initiator:发起方 · Responder:响应方 |
Initiator cookie | IKE SA发起者Cookie |
Responder cookie | IKE SA响应者Cookie |
Local IP/port | 本端安全网关的IP地址和端口号 |
Local ID type | 本端安全网关的身份信息类型 |
Local ID | 本端安全网关的身份信息 |
Remote IP/port | 对端安全网关的IP地址和端口号 |
Remote ID type | 对端安全网关的身份信息类型 |
Remote ID | 对端安全网关的身份信息 |
Authentication-method | IKE提议使用的认证方法,包括: · DSA-SIG:DSA签名 · PRE-SHARED-KEY:预共享密钥 · RSA-DE:RSA数字信封 · RSA-SIG:RSA签名 · SM2-DE:SM2数字信封 |
Authentication-algorithm | IKE提议使用的认证算法,包括: · MD5:HMAC-MD5算法 · SHA1:HMAC-SHA1算法 · SHA256:HMAC-SHA256算法 · SHA384:HMAC-SHA384算法 · SHA512:HMAC-SHA512算法 · SM3:HMAC-SM3算法 |
Encryption-algorithm | IKE提议使用的加密算法,包括: · 3DES-CBC:168位CBC模式的3DES算法 · AES-CBC-128:128位CBC模式的AES算法 · AES-CBC-192:192位CBC模式的AES算法 · AES-CBC-256:256位CBC模式的AES算法 · DES-CBC:56位CBC模式的DES算法 · SM1-CBC-128:128位CBC模式的SM1算法 · SM4-CBC:128位CBC模式的SM4算法 |
Life duration(sec) | IKE SA的存活时间,单位为秒 |
Remaining key duration(sec) | IKE SA的剩余存活时间,单位为秒 |
Exchange-mode | IKE第一阶段的协商模式,包括: · Aggressive:野蛮模式 · GM-main:国密主模式 · Main:主模式 |
Diffie-Hellman group | IKE第一阶段密钥协商时所使用的DH密钥交换参数,包括: · Group 1:DH group1 · Group 2:DH group2 · Group 5:DH group5 · Group 14:DH group14 · Group 24:DH group24 若IKE第一阶段协商模式为国密主模式,则不显示此字段 |
NAT traversal | 是否检测到协商双方之间存在NAT网关设备 |
Extend authentication | 是否开启扩展认证: · Enabled:开启 · Disabled:关闭 |
Assigned IP address | 本端分配给对端的IP地址,如果没有分配则不显示 |
Vendor ID index | 触发IKE协商时,使用的厂商自定义常量索引 |
Vendor ID sequence number | 触发IKE协商时,使用的厂商自定义常量序列号 |
# 显示当前IKE SA的数量。
<Sysname> display ike sa count
Total: 10
Established: 6
Negotiating: 4
表2-5 display ike sa count命令显示信息描述表
字段 | 描述 |
Total | 所有IKE SA个数总和 |
Established | 已经协商成功的IKE SA个数 |
Negotiating | 正在协商的IKE SA个数 |
2.1.13 display ike statistics
display ike statistics命令用来显示IKE的统计信息。
【命令】
display ike statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKE的统计信息。
<Sysname> display ike statistics
IKE statistics:
No matching proposal: 0
Invalid ID information: 0
Unavailable certificate: 0
Unsupported DOI: 0
Unsupported situation: 0
Invalid proposal syntax: 0
Invalid SPI: 0
Invalid protocol ID: 0
Invalid certificate: 0
Authentication failure: 0
Invalid flags: 0
Invalid message id: 0
Invalid cookie: 0
Invalid transform ID: 0
Malformed payload: 0
Invalid key information: 0
Invalid hash information: 0
Unsupported attribute: 0
Unsupported certificate type: 0
Invalid certificate authority: 0
Invalid signature: 0
Unsupported exchange type: 0
No available SA: 1
Retransmit timeout: 0
Not enough memory: 0
Enqueue fails: 0
Failures to send R_U_THERE DPD packets: 0
Failures to receive R_U_THERE DPD packets: 0
Failures to send ACK DPD packets: 0
Failures to receive ACK DPD packets: 0
Sent P1 SA lifetime change packets: 0
Received P1 SA lifetime change packets: total=0, process failures=0 (no SA=0, failures to reset SA soft lifetime=0, failures to reset SA hard lifetime=0)
Sent P2 SA lifetime change packets: 0
Received P2 SA lifetime change packets: total=0, process failures=0
表2-6 display ike statistics命令显示信息描述表
字段 | 描述 |
No matching proposal | 提议不匹配 |
Invalid ID information | 无效的ID信息 |
Unavailable certificate | 本地未发现此证书 |
Unsupported DOI | 不支持的DOI |
Unsupported situation | 不支持的形式 |
Invalid proposal syntax | 无效的提议语法 |
Invalid SPI | 无效的SPI |
Invalid protocol ID | 无效的协议ID |
Invalid certificate | 无效的证书 |
Authentication failure | 认证失败 |
Invalid flags | 无效的标记 |
Invalid message id | 无效的消息ID |
Invalid cookie | 无效的cookie |
Invalid transform ID | 无效的transform ID |
Malformed payload | 畸形载荷 |
Invalid key information | 无效的密钥信息 |
Invalid hash information | 无效的hash信息 |
Unsupported attribute | 不支持的属性 |
Unsupported certificate type | 不支持的证书类型 |
Invalid certificate authority | 无效的证书授权 |
Invalid signature | 无效的签名 |
Unsupported exchange type | 不支持的交换类型 |
No available SA | 没有可用的SA |
Retransmit timeout | 重传超时 |
Not enough memory | 内存不足 |
Enqueue fails | 入队列失败 |
Failures to send R_U_THERE DPD packets | 发送R_U_THERE类型DPD报文失败的次数 |
Failures to receive R_U_THERE DPD packets | 接收R_U_THERE类型DPD报文失败的次数 |
Failures to send ACK DPD packets | 发送DPD ACK报文失败的次数 |
Failures to receive ACK DPD packets | 接收DPD ACK报文失败的次数 |
Sent P1 SA lifetime change packets | 发送P1阶段改变生存周期的info类型报文的个数 |
Received P1 SA lifetime change packets: total=N, process failures=N (no SA=N, failures to reset SA soft lifetime=N, failures to reset SA hard lifetime=N) | 接收P1阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数 ¡ 因为没有sa记录的个数 ¡ 软超时定时器流程处理失败的个数 生存时间定时器流程处理失败的个数 |
Sent P2 SA lifetime change packets | 发送P2阶段改变生存周期的info类型报文的个数 |
Received P2 SA lifetime change packets: total=N, process failures=N | 接收P2阶段改变生存周期的info类型报文的个数 · 总个数 · 处理失败的个数 |
【相关命令】
· reset ike statistics
2.1.14 dpd
dpd命令用来配置IKE DPD功能。
undo dpd命令用来关闭IKE DPD功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKE DPD功能处于关闭状态。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒。缺省情况下,DPD报文的重传时间间隔为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了IKE DPD功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置IKE DPD功能,则采用系统视图下的DPD配置。
建议配置的interval时间大于retry时间,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文过程中不会触发新的DPD探测。
【举例】
# 为IKE profile 1配置IKE DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKE DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] dpd interval 10 retry 5 on-demand
【相关命令】
· ike dpd
2.1.15 encryption-algorithm
encryption-algorithm命令用来指定IKE提议使用的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
【命令】
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc | sm1-cbc-128 | sm4-cbc }
undo encryption-algorithm
【缺省情况】
IKE提议使用的加密算法为des-cbc,即CBC模式的56-bit DES加密算法。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKE安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKE安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
des-cbc:指定IKE安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
sm1-cbc-128:指定IKE安全提议采用的加密算法为CBC模式的SM1算法,SM1算法采用128比特的密钥进行加密。
sm4-cbc:指定IKE安全提议采用的加密算法为CBC模式的SM4算法,SM4算法采用128比特的密钥进行加密。
【举例】
# 指定IKE提议1的加密算法为128比特的CBC模式的AES。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] encryption-algorithm aes-cbc-128
【相关命令】
· display ike proposal
2.1.16 exchange-mode
exchange-mode命令用来选择IKE第一阶段的协商模式。
undo exchange-mode命令用来恢复缺省情况。
【命令】
exchange-mode { aggressive | gm-main | main }
undo exchange-mode
【缺省情况】
IKE第一阶段的协商模式为主模式。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
aggressive:野蛮模式。
gm-main:国密主模式。
main:主模式。
【使用指导】
当本端的IP地址为自动获取(如本端用户为拨号方式,IP地址为动态分配),且采用预共享密钥认证方式时,建议将本端的协商模式配置为野蛮模式。
本端的协商模式配置为国密主模式,必须使用RSA-DE或者SM2-DE数字信封方式认证。
【举例】
# 配置IKE第一阶段协商使用国密主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode gm-main
# 配置IKE第一阶段协商使用主模式。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] exchange-mode main
【相关命令】
· display ike proposal
2.1.17 ike address-group
ike address-group命令用来配置为对端分配IPv4地址的IKE本地地址池。
undo ike address-group命令用来删除指定的IKE本地地址池。
【命令】
ike address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ike address-group group-name
【缺省情况】
未配置IKE本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address end-ipv4-address:IPv4地址池的地址范围。其中,start-ipv4-address为IPv4地址池的起始地址,end-ipv4-address为IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
如果修改或者删除地址池,则需要删除所有的IKE SA和IPsec SA,否则,可能会导致已经分配的地址无法回收。
【举例】
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKE本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ike address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
· aaa authorization
2.1.18 ike compatible-gm-main enable
ike compatible-gm-main enable命令用来配置IKE协商国密主模式与老版本设备兼容。
undo ike compatible-gm-main enable命令用来恢复缺省情况。
【命令】
ike compatible-gm-main enable
undo ike compatible-gm-main enable
【缺省情况】
IKE协商国密主模式与现有版本设备及第三方设备兼容。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
同一时间,设备的IKE协商国密主模式只能兼容老版本设备,或兼容现有版本和第三方设备。
【举例】
# 配置IKE协商国密主模式与老版本设备兼容。
<Sysname> system-view
[Sysname] ike compatible-gm-main enable
2.1.19 ike compatible-sm4 enable
ike compatible-sm4 enable命令用来设置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。
undo ike compatible-sm4 enable命令用来恢复缺省情况。
【命令】
ike compatible-sm4 enable
undo ike compatible-sm4 enable
【缺省情况】
IKE协商过程中使用的sm4-cbc算法的密钥长度不兼容老版本。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 配置IKE协商过程中使用的sm4-cbc算法密钥长度与老版本兼容。
<Sysname> system-view
[Sysname] ike compatible-sm4 enable
2.1.20 ike dpd
ike dpd命令用来配置全局IKE DPD功能。
undo ike dpd命令用来关闭全局IKE DPD功能。
【命令】
ike dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ike dpd interval
【缺省情况】
全局IKE DPD功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKE DPD探测的时间间隔,取值范围为1~300,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为1~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKE DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,按照触发IKE DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKE DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKE对端通信时,应优先考虑使用按需探测模式。
如果IKE profile视图下和系统视图下都配置了DPD探测功能,则IKE profile视图下的DPD配置生效,如果IKE profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
建议配置的interval大于retry,使得直到当前DPD探测结束才可以触发下一次DPD探测,在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置流量触发IKE DPD探测间隔时间为10秒,重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ike dpd interval 10 retry 5 on-demand
【相关命令】
· dpd
2.1.21 ike gm-main sm4-version
ike gm-main sm4-version命令用来配置IKE国密主模式协商时使用的SM4算法版本。
undo ike gm-main sm4-version命令用来恢复缺省情况。
【命令】
ike gm-main sm4-version { draft | standard }
undo ike gm-main sm4-version
【缺省情况】
IKE国密主模式协商时使用的SM4算法版本为standard。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
draft:指定SM4算法的版本为草案版本,SM4算法的属性值为127。
standard:指定SM4算法的版本为标准版本,SM4算法的属性值为129。
【使用指导】
由于SM4算法的版本存在差异,设备作为发起方与其他厂家设备进行IKE协商时,需要通过本命令指定SM4算法版本,保证两端设备使用相同版本的SM4算法进行协商。
本命令仅在新协商IKE SA时生效,对已协商成功的IKE SA不起作用。
【举例】
# 在IKE profile视图下,配置IKE国密主模式协商时使用的SM4算法版本为draft,即草案版本。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] ike gm-main sm4-version draft
2.1.22 ike identity
ike identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo ike identity命令用来恢复缺省情况。
【命令】
ike identity { address { ipv4-address | ipv6 ipv6-address }| dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo ike identity
【缺省情况】
使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name表示FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的User FQDN名称,user-fqdn-name表示User FQDN名称,为1~255个字符的字符串,区分大小写,例如adc@test.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
本命令用于全局配置IKE对等体的本端身份,适用于所有IKE SA的协商,而IKE profile下的local-identity为局部配置身份,仅适用于使用本IKE profile的IKE SA的协商。
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果希望在采用数字签名认证时,总是从证书中的主题字段取得本端身份,则可以通过ike signature-identity from-certificate命令实现。如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<sysname> system-view
[sysname] ike identity address 2.2.2.2
【相关命令】
· local-identity
· ike signature-identity from-certificate
2.1.23 ike invalid-spi-recovery enable
ike invalid-spi-recovery enable命令用来开启针对无效IPsec SPI的IKE SA恢复功能。
undo ike invalid-spi-recovery enable命令用来关闭针对无效IPsec SPI的IKE SA恢复功能。
【命令】
ike invalid-spi-recovery enable
undo ike invalid-spi-recovery enable
【缺省情况】
针对无效IPsec SPI的IKE SA恢复功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在ADVPN组网环境下,不支持本功能,有关ADVPN的详细介绍,请参见“三层技术-IP业务配置指导”中的“ADVPN”。
当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致本端IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经完全丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收到发送端使用此IPsec SA封装的IPsec报文时,就会因为找不到对应的SA而持续丢弃报文,形成流量黑洞。该现象造成IPsec通信链路长时间得不到恢复(只有等到发送端旧的IPsec SA生存时间超时,并重建IPsec SA后,两端的IPsec流量才能得以恢复),因此需要采取有效的IPsec SA恢复手段来快速恢复中断的IPsec通信链路。
SA由SPI唯一标识,接收方根据IPsec报文中的SPI在SA数据库中查找对应的IPsec SA,若接收方找不到处理该报文的IPsec SA,则认为此报文的SPI无效。如果接收端当前存在IKE SA,则会向对端发送删除对应IPsec SA的通知消息,发送端IKE接收到此通知消息后,就会立即删除此无效SPI对应的IPsec SA。之后,当发送端需要继续向接收端发送报文时,就会触发两端重建IPsec SA,使得中断的IPsec通信链路得以恢复;如果接收端当前不存在IKE SA,就不会触发本端向对端发送删除IPsec SA的通知消息,接收端将默认丢弃无效SPI的IPsec 报文,使得链路无法恢复。后一种情况下,如果开启了IPsec无效SPI恢复IKE SA功能,就会触发本端与对端协商新的IKE SA并发送删除消息给对端,从而使链路恢复正常。
由于开启此功能后,若攻击者伪造大量源IP地址不同但目的IP地址相同的无效SPI报文发给设备,会导致设备因忙于与无效对端协商建立IKE SA而面临受到DoS(Denial of Sevice)攻击的风险,通常情况下,建议关闭针对无效IPsec SPI的IKE SA恢复功能。
【举例】
# 开启IPsec无效SPI恢复IKE SA功能。
<Sysname> system-view
[Sysname] ike invalid-spi-recovery enable
2.1.24 ike ipv6-address-group
ike ipv6-address-group命令用来创建IKE本地IPv6地址池。
undo ike ipv6-address-group命令用来删除指定的地址池。
【命令】
ike ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ike ipv6-address-group group-name
【缺省情况】
不存在IKE本地IPv6地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。
prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。
assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为1~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。
【使用指导】
本命令创建的地址池用来为对端分配IPv6地址。与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。
所有IKE本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。
【举例】
# 创建IKE本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。
<Sysname> system-view
[Sysname] ike ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相关命令】
· aaa authorization
2.1.25 ike keepalive interval
ike keepalive interval命令用来配置通过IKE SA向对端发送IKE Keepalive报文的时间间隔。
undo ike keepalive interval命令用来恢复缺省情况。
【命令】
ike keepalive interval interval
undo ike keepalive interval
【缺省情况】
不向对端发送IKE Keepalive报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:指定向对端发送IKE SA的Keepalive报文的时间间隔,取值范围为20~28800,单位为秒。
【使用指导】
当有检测对方IKE SA和IPsec SA是否存活的需求时,通常建议配置IKE DPD,不建议配置IKE Keepalive功能。仅当对方不支持IKE DPD特性,但支持IKE Keepalive功能时,才考虑配置IKE Keepalive功能。
本端配置的IKE Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端向对端发送Keepalive报文的时间间隔为200秒。
<Sysname> system-view
[Sysname] ike keepalive interval 200
【相关命令】
· ike keepalive timeout
2.1.26 ike keepalive timeout
ike keepalive timeout命令用来配置本端等待对端发送IKE Keepalive报文的超时时间。
undo ike keepalive timeout命令用来恢复缺省情况。
【命令】
ike keepalive timeout seconds
undo ike keepalive timeout
【缺省情况】
未配置本端等待对端发送IKE Keepalive报文的超时时间。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定本端等待对端发送IKE Keepalive报文的超时时间,取值范围为20~28800,单位为秒。
【使用指导】
当本端IKE SA在配置的超时时间内未收到IKE Keepalive报文时,则删除该IKE SA以及由其协商的IPsec SA。
本端配置的等待对端发送IKE Keepalive报文的超时时间要大于对端发送IKE Keepalive报文的时间间隔。由于网络中一般不会出现超过三次的报文丢失,所以,本端的超时时间可以配置为对端配置的发送IKE Keepalive报文的时间间隔的三倍。
【举例】
# 配置本端等待对端发送IKE Keepalive报文的超时时间为20秒。
<Sysname> system-view
[Sysname] ike keepalive timeout 20
【相关命令】
· ike keepalive interval
2.1.27 ike keychain
ike keychain命令用来创建IKE keychain,并进入IKE keychain视图。如果指定的IKE keychain已经存在,则直接进入IKE keychain视图。
undo ike keychain命令用来删除指定的IKE keychain。
【命令】
ike keychain keychain-name [ vpn-instance vpn-instance-name ]
undo ike keychain keychain-name [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在IKE keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance vpn-instance-name:指定IKE keychain所属的VPN实例。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示IKE keychain属于公网。
【使用指导】
在IKE需要通过预共享密钥方式进行认证时,需要创建并指定IKE keychain。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1]
【相关命令】
· authentication-method
· pre-shared-key
2.1.28 ike limit
ike limit命令用来配置对本端IKE SA数目的限制。
undo ike limit命令用来恢复缺省情况。
【命令】
ike limit { max-negotiating-sa negotiation-limit | max-sa sa-limit }
undo ike limit { max-negotiating-sa | max-sa }
【缺省情况】
同时处于协商状态的IKE SA和IPsec SA的最大总和数为200,不限制非协商状态的IKE SA数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-negotiating-sa negotiation-limit:指定允许同时处于协商状态的IKE SA和IPsec SA的最大总和数,取值范围为1~99999。
max-sa sa-limit:指定允许建立的IKE SA的最大数,取值范围为1~99999。
【使用指导】
可以通过max-negotiating-sa参数设置允许同时协商更多的IKE SA,以充分利用设备处理能力,以便在设备有较强处理能力的情况下得到更高的新建性能;可以通过该参数设置允许同时协商更少的IKE SA,以避免产生大量不能完成协商的IKE SA,以便在设备处理能力较弱时保证一定的新建性能。
可以通过max-sa参数设置允许建立更多的IKE SA,以便在设备有充足内存的情况下得到更高的并发性能;可以通过该参数设置允许建立更少的IKE SA,以便在设备没有充足的内存的情况下,使IKE不过多占用系统内存。
【举例】
# 配置本端允许同时处于协商状态的IKE SA和IPsec SA的最大总和数为200。
<Sysname> system-view
[Sysname] ike limit max-negotiating-sa 200
# 配置本端允许成功建立的IKE SA的最大数为5000。
<Sysname> system-view
[Sysname] ike limit max-sa 5000
2.1.29 ike logging negotiation enable
ike logging negotiation enable命令用来开启IKE协商事件日志功能。
undo ike logging negotiation enable命令用来关闭IKE协商事件日志功能。
【命令】
ike logging negotiation enable
undo ike logging negotiation enable
【缺省情况】
IKE协商事件日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IKE协商事件日志记录功能后,设备会输出IKE协商过程中的相关日志。
【举例】
# 开启IKE事件协商日志功能。
<Sysname> system-view
[Sysname] ike logging negotiation enable
2.1.30 ike nat-keepalive
ike nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive命令用来恢复缺省情况。
【命令】
ike nat-keepalive seconds
undo ike nat-keepalive
【缺省情况】
向对端发送NAT Keepalive报文的时间间隔为20秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:指定向对端发送NAT Keepalive报文的时间间隔,取值范围为5~300,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKE网关设备需要定时向NAT之外的IKE网关设备发送NAT Keepalive报文,以便维持NAT设备上对应的IPsec流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。
因此,需要确保该命令配置的时间小于NAT设备上会话表项的存活时间。关于如何查看NAT表项的存活时间,请参见“三层技术-IP业务命令参考”中的“NAT”。
【举例】
# 配置向对端发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ike nat-keepalive 5
2.1.31 ike profile
ike profile命令用来创建一个IKE profile,并进入IKE profile视图。如果指定的IKE profile已经存在,则直接进入IKE profile视图。
undo ike profile命令用来删除指定的IKE profile。
【命令】
ike profile profile-name
undo ike profile profile-name
【缺省情况】
不存在IKE profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKE profile名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建IKE profile 1,并进入其视图。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1]
2.1.32 ike proposal
ike proposal命令用来创建IKE提议,并进入IKE提议视图。如果指定的IKE提议已经存在,则直接进入IKE提议视图。
undo ike proposal命令用来删除指定IKE提议。
【命令】
ike proposal proposal-number
undo ike proposal proposal-number
【缺省情况】
系统提供一条缺省的IKE提议,此缺省的IKE提议具有最低的优先级。缺省的提议的参数不可修改,其参数包括:
· 加密算法:使用DES-CBC
· 认证算法:使用HMAC-SHA1
· 认证方法:预共享密钥
· DH密钥交换参数:使用group1
· IKE SA存活时间:86400秒
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-number:IKE提议序号,取值范围为1~65535。该序号同时表示优先级,数值越小,优先级越高。
【使用指导】
在进行IKE协商的时候,协商发起方会将自己的IKE提议发送给对端,由对端进行匹配。若发起方使用的IPsec安全策略中没有引用IKE profile,则会将当前系统中所有的IKE提议发送给对端;否则,发起方会将引用的IKE profle中的所有IKE提议发送给对端。
响应方则以对端发送的IKE提议优先级从高到低的顺序与本端所有的IKE提议进行匹配,一旦找到匹配项则停止匹配并使用匹配的提议,否则继续查找其它的IKE提议。如果本端配置中没有和对端匹配的IKE提议,则使用系统缺省的IKE提议进行匹配。
【举例】
# 创建IKE提议1,并进入IKE提议视图。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1]
【相关命令】
· display ike proposal
2.1.33 ike signature-identity from-certificate
ike signature-identity from-certificate命令用来配置设备使用由本端证书中获得的身份信息参与数字签名认证。
undo ike signature-identity from-certificate命令用来恢复缺省情况。
【命令】
ike signature-identity from-certificate
undo ike signature-identity from-certificate
【缺省情况】
当使用数字签名认证方式时,本端身份信息由local-identity或ike identity命令指定。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当使用数字签名认证方式时,本端的身份总是从本端证书的主题字段中获得,不论local-identity或ike identity如何配置。
在采用IPsec野蛮协商模式以及数字签名认证方式的情况下,与仅支持使用DN类型身份进行数字签名认证的ComwareV5设备互通时需要配置本命令。
如果没有配置ike signature-identity from-certificate,并且IPsec安全策略或IPsec安全策略模板下指定的IKE profile中配置了本端身份(由local-identity命令指定),则使用IKE profile中配置的本端身份;若IPsec安全策略或IPsec安全策略模板下未指定IKE profile或IKE profile下没有配置本端身份,则使用全局配置的本端身份(由ike identity命令指定)。
【举例】
# 在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。
<Sysname> system-view
[sysname] ike signature-identity from-certificate
【相关命令】
· local-identity
· ike identity
2.1.34 inside-vpn
inside-vpn 命令用来指定内部VPN实例。
undo inside-vpn 命令用来恢复缺省情况。
【命令】
inside-vpn vpn-instance vpn-instance-name
undo inside-vpn
【缺省情况】
IKE profile未指定内部VPN实例,设备在收到IPsec报文的接口所属的VPN中查找路由。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
vpn-instance vpn-instance-name:保护的数据属于指定的VPN实例。vpn-instance-name为VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN中查找路由。如果不希望在与外网相同的VPN中查找路由去转发解封装后的报文,则可以通过此命令指定一个内部VPN实例,指定设备通过查找该内部VPN实例中的路由来转发解封装后的报文。
本命令仅对引用了IKE profile的IPsec安全策略生效,对引用了IKE profile 的IPsec安全框架不生效。
【举例】
# 在IKE profile prof1中指定内部VPN实例为vpn1。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] inside-vpn vpn-instance vpn1
2.1.35 keychain
keychain命令用来指定采用预共享密钥认证时使用的IKE keychain。
undo keychain命令用取消指定的IKE keychain。
【命令】
keychain keychain-name
undo keychain keychain-name
【缺省情况】
未指定采用预共享密钥认证时使用的IKE keychain。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKE keychain名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。
【举例】
# 在IKE profile 1中指定名称为abc的配置的IKE keychain。
<Sysname> system-view
[Sysname] ike profile 1
[Sysname-ike-profile-1] keychain abc
【相关命令】
· ike keychain
2.1.36 local-identity
local-identity命令用来配置本端身份信息,用于在IKE认证协商阶段向对端标识自己的身份。
undo local-identity命令用来恢复缺省情况。
【命令】
local-identity { address { ipv4-address | ipv6 ipv6-address } | dn | fqdn [ fqdn-name ] | user-fqdn [ user-fqdn-name ] }
undo local-identity
【缺省情况】
未配置本端身份信息。此时使用系统视图下通过ike identity命令配置的身份信息作为本端身份信息。若两者都没有配置,则使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address } :指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
fqdn fqdn-name:指定标识本端身份的FQDN名称,fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。不指定fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端FQDN类型的身份。
user-fqdn user-fqdn-name:指定标识本端身份的user FQDN名称,user-fqdn-name为1~255个字符的字符串,区分大小写,例如adc@test.com。不指定user-fqdn-name时,则设备将使用sysname命令配置的设备的名称作为本端user FQDN类型的身份。
【使用指导】
如果本端的认证方式为数字签名方式,则本端可以配置任何类型的身份信息;如果本端的认证方式为预共享密钥方式,则只能配置除DN之外的其它类型的身份信息。
如果本端的认证方式为数字签名方式,且配置的本端身份为IP地址,但这个IP地址与本端证书中的IP地址不同,则设备将使用FQDN类型的本端身份标识,该标识为使用sysname命令配置的设备名称。
野蛮模式下,如果本端的认证方式为数字签名方式,且配置的本端身份为DN名,则设备将使用FQDN类型的本端身份标识进行协商。如果需要使用DN名协商,则必须在系统视图下配置ike signature-identity from-certificate命令。
响应方使用发起方的身份信息查找本地的IKE profile,通过与match remote命令中指定的发起方身份信息进行匹配,可查找到本端要采用的IKE profile。
一个IKE profile中只能配置一条本端身份信息。
IKE profile下的本端身份信息优先级高于系统视图下通过ike identity命令配置的本端身份信息。如果IKE profile下未配置本端身份信息,则使用系统视图下配置的本端身份信息。
【举例】
# 指定使用IP地址2.2.2.2标识本端身份。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] local-identity address 2.2.2.2
【相关命令】
· match remote
· ike identity
· ike signature-identity from-certificate
2.1.37 match local address (IKE keychain view)
match local address命令用来限制IKE keychain的使用范围,即IKE keychain只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情况】
未限制IKE keychain的使用范围。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意的三层接口。
ipv4-address:本端接口的IPv4地址。
ipv6 ipv6-address:本端接口的IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。
【使用指导】
此命令用于限制IKE keychain只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
一个IKE profile中最多可以指定六个IKE keychain,先配置的IKE keychain优先级高。若希望本端在匹配某些IKE keychain的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE keychain的使用范围。例如,IKE keychain A中的预共享密钥的匹配地址范围大(2.2.0.0/16),IKE keychain B中的预共享密钥的匹配地址范围小(2.2.2.0/24),IKE keychain A先于IKE keychain B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择keychain A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用keychain B与对端协商,可以配置keychain B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE keychain,名称为key1。
<Sysname> system-view
[Sysname] ike keychain key1
# 限制IKE keychain key1只能在2.2.2.1的IP地址上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.1
# 限制IKE keychain key1只能在名称为vpn1的VPN实例中IP地址为2.2.2.2的接口上使用。
[sysname-ike-keychain-key1] match local address 2.2.2.2 vpn-instance vpn1
2.1.38 match local address (IKE profile view)
match local address命令用来限制IKE profile的使用范围,即IKE profile只能用于指定地址或指定接口的地址上的IKE协商。
undo match local address命令用来恢复缺省情况。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo match local address
【缺省情况】
未限制IKE profile的使用范围。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口名称。可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
vpn-instance vpn-instance-name:指定接口地址所属的VPN实例。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示接口地址属于公网。
【使用指导】
此命令用于限制IKE profile只能用于指定地址或指定接口的地址上的协商,这里的地址指的是IPsec安全策略/IPsec安全策略模板下配置的本端地址(通过命令local-address配置),若本端地址没有配置,则为引用IPsec安全策略的接口的IP地址。
先配置的IKE profile优先级高,若希望本端在匹配某些IKE profile的时候,不按照配置的优先级来查找,则可以通过本命令来指定这类IKE profile的使用范围。例如,IKE profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKE profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKE profile A先于IKE profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 限制IKE profile prof1 只能在2.2.2.1的IP地址上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.1
# 限制IKE profile prof1 只能在名称为vpn1的VPN中IP地址为2.2.2.2的接口上使用。
[sysname-ike-profile-prof1] match local address 2.2.2.2 vpn-instance vpn1
2.1.39 match remote
match remote命令用来配置一条用于匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } [ vpn-instance vpn-instance-name ] | fqdn fqdn-name | user-fqdn user-fqdn-name | domain fqdn-domain-name } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKE profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串。本参数用于响应方根据收到的发起方证书中的DN字段来过滤使用的IKE profile。
identity:基于指定的对端身份信息匹配IKE profile。本参数用于响应方根据发起方通过local-identity命令配置的身份信息来选择使用的IKE profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ] :对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
user-fqdn user-fqdn-name:对端User FQDN名称,为1~255个字符的字符串,区分大小写,例如abc@test.com。
domain fqdn-domain-name:对端FQDN域名,为1~255个字符的字符串,区分大小写,例如:test.com。
vpn-instance vpn-instance-name:指定对端地址所属的VPN实例,vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示对端地址属于公网。
【使用指导】
响应方根据发起发的身份信息通过本配置查找IKE profile并验证对端身份。
响应方必须配置至少一个match remote规则,当对端的身份与IKE profile中配置的match remote规则匹配时,则使用此IKE profile中的信息与对端完成认证。为了使得每个对端能够匹配到唯一的IKE profile,不建议在两个或两个以上IKE profile中配置相同的match remote规则,否则能够匹配到哪个IKE profile是不可预知的。
match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKE profile,名称为prof1。
<Sysname> system-view
[Sysname] ike profile prof1
# 指定需要匹配对端身份类型为FQDN,取值为www.test.com。
[Sysname-ike-profile-prof1] match remote identity fqdn www.test.com
# 指定需要匹配对端身份类型为IP地址,取值为10.1.1.1。
[Sysname-ike-profile-prof1] match remote identity address 10.1.1.1
【相关命令】
· local-identity
2.1.40 pre-shared-key
pre-shared-key命令用来配置预共享密钥。
undo pre-shared-key命令用来取消指定的预共享密钥。
【命令】
pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name } key { cipher | simple } string
undo pre-shared-key { address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] } | hostname host-name }
【缺省情况】
未配置预共享密钥。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
address:对端的地址。
ipv4-address:对端的IPv4地址。
mask:对端的IPv4地址掩码,缺省值为255.255.255.255。
mask-length:对端的IPv4地址掩码长度,取值范围为0~32,缺省值为32。
ipv6:指定对端的IPv6地址。
ipv6-address:对端的IPv6地址。
prefix-length:对端的IPv6地址前缀长度,取值范围为0~128,缺省值为128。
hostname host-name:对端主机名。取值范围为1~255,区分大小写。
key:设置的预共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。
【使用指导】
配置预共享密钥的同时,还通过参数address和hostname指定了使用该预共享密钥的匹配条件,即与哪些IP地址或哪些主机名的对端协商时,才可以使用该预共享密钥。
以hostname方式设置预共享密钥时,IKE协商只能采用野蛮模式,设备本身只能作为响应方,且对端IKE身份ID需采用FQDN方式来匹配主机名。
IKE协商双方必须配置了相同的预共享密钥,预共享密钥类型的身份认证才会成功。
不支持交互式设置预共享密钥。
【举例】
# 创建IKE keychain key1并进入IKE keychain视图。
<Sysname> system-view
[Sysname] ike keychain key1
# 配置与地址为1.1.1.2的对端使用的预共享密钥为明文的123456TESTplat&!。
[Sysname-ike-keychain-key1] pre-shared-key address 1.1.1.2 255.255.255.255 key simple 123456TESTplat&!
【相关命令】
· authentication-method
· keychain
2.1.41 priority (IKE keychain view)
priority命令用来指定IKE keychain的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE keychain的优先级为100。
【视图】
IKE keychain视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE keychain优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE keychain,优先级高于所有未配置match local address的IKE keychain。即IKE keychain的使用优先级首先决定于其中是否配置了match local address,其次取决于它的优先级。
【举例】
# 指定IKE keychain key1的优先级为10。
<Sysname> system-view
[Sysname] ike keychain key1
[Sysname-ike-keychain-key1] priority 10
2.1.42 priority (IKE profile view)
priority 命令用来指定IKE profile的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKE profile的优先级为100。
【视图】
IKE-Profile视图
【缺省用户角色】
network-admin
【参数】
priority priority:IKE profile优先级号,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
配置了match local address的IKE profile,优先级高于所有未配置match local address的IKE profile。即IKE profile的匹配优先级首先决定于其中是否配置了match local address,其次决定于它的优先级。
【举例】
# 指定在IKE profile prof1的优先级为10。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] priority 10
2.1.43 proposal
proposal 命令用来配置IKE profile引用的IKE提议。
undo proposal 命令用来恢复缺省情况。
【命令】
proposal proposal-number&<1-6>
undo proposal
【缺省情况】
IKE profile未引用IKE提议,使用系统视图下配置的IKE提议进行IKE协商。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
proposal-number&<1-6>:IKE提议序号,取值范围为1~65535。该序号在IKE profile中与优先级无关,先配置的IKE提议优先级高。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
IKE协商过程中,对于发起方,如果使用的IPsec安全策略下指定了IKE profile,则使用IKE profile中引用的IKE提议进行协商;对于响应方,则使用系统视图下配置的IKE提议与对端发送的IKE提议进行匹配。
【举例】
# 设置IKE profile prof1引用序号为10的IKE安全提议。
<Sysname> system-view
[Sysname] ike profile prof1
[Sysname-ike-profile-prof1] proposal 10
【相关命令】
· ike proposal
2.1.44 reset ike sa
reset ike sa命令用来清除IKE SA。
【命令】
reset ike sa [ connection-id connection-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
connection-id connection-id:清除指定连接ID的IKE SA,取值范围为1~2000000000。
【使用指导】
删除IKE SA时,会向对端发送删除通知消息。
【举例】
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
2 202.38.0.3 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 清除连接ID号为2 的IKE SA。
<Sysname> reset ike sa connection-id 2
# 查看当前的IKE SA。
<Sysname> display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 202.38.0.2 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
2.1.45 reset ike statistics
reset ike statistics命令用于清除IKE的MIB统计信息。
【命令】
reset ike statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKE的MIB统计信息。
<Sysname> reset ike statistics
【相关命令】
· snmp-agent trap enable ike
2.1.46 sa duration
sa duration命令用来指定一个IKE提议的IKE SA存活时间。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKE提议的IKE SA存活时间为86400秒。
【视图】
IKE提议视图
【缺省用户角色】
network-admin
【参数】
seconds:指定IKE SA存活时间,取值范围为60~604800,单位为秒。
【使用指导】
在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。
如果协商双方配置了不同的IKE SA存活时间,则时间较短的存活时间生效。
若配置中同时存在IPsec SA存活时间,则建议IKE SA存活时间大于IPsec SA存活时间。
【举例】
# 指定IKE提议1的IKE SA存活时间600秒(10分钟)。
<Sysname> system-view
[Sysname] ike proposal 1
[Sysname-ike-proposal-1] sa duration 600
【相关命令】
· display ike proposal
2.1.47 sa soft-duration buffer
sa soft-duration buffer命令用来设置IKE SA的软超时缓冲时间。
undo sa soft-duration buffer命令用来恢复缺省情况。
【命令】
sa soft-duration buffer seconds
undo sa soft-duration buffer
【缺省情况】
未配置IKE SA的软超时缓冲时间。
【视图】
IKE profile视图
【缺省用户角色】
network-admin
【参数】
seconds:IKE SA的软超时缓冲时间,取值范围为10~36000,单位为秒。
【使用指导】
本命令只对IKEv1有效。
若未配置软超时缓冲时间,则系统会基于IKE SA存活时间使用默认算法计算软超时时间,软超时时间到达后会立即进行新的IKE SA协商。
需要注意的是,在配置了软超时缓冲时间的情况下,软超时时间(基于时间的生存时间-软超时缓冲时间)需要大于10秒。否则,仍然采用未配置软超时缓冲时间的默认算法计算软超时时间。
【举例】
# 设置IKE SA的软超时缓冲时间为600秒。
<Sysname> system-view
[Sysname] ike profile abc
[Sysname-ike-profile-abc] sa soft-duration buffer 600
【相关命令】
· display ike sa
2.1.48 snmp-agent trap enable ike
snmp-agent trap enable ike命令用来开启IKE的告警功能。
undo snmp-agent trap enable ike命令用来关闭指定的IKE告警功能。
【命令】
snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
undo snmp-agent trap enable ike [ attr-not-support | auth-failure | cert-type-unsupport | cert-unavailable | decrypt-failure | encrypt-failure | global | invalid-cert-auth | invalid-cookie | invalid-id | invalid-proposal | invalid-protocol | invalid-sign | no-sa-failure | proposal-add | proposal–delete | tunnel-start | tunnel-stop | unsupport-exch-type ] *
【缺省情况】
IKE的所有告警功能均处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
attr-not-support:表示属性参数不支持时的告警功能。
auth-failure:表示认证失败时的告警功能。
cert-type-unsupport:表示证书类型不支持时的告警功能。
cert-unavailable:表示无法获取证书时的告警功能。
decrypt-failure:表示解密失败时的告警功能。
encrypt-failure:表示加密失败时的告警功能。
global:表示全局告警功能。
invalid-cert-auth:表示证书认证无效时的告警功能。
invalid-cookie:表示cookie无效时的告警功能。
invalid-id:表示身份信息无效时的告警功能。
invalid-proposal:表示IKE提议无效时的告警功能。
invalid-protocol:表示安全协议无效时的告警功能。
invalid-sign:表示证书签名无效时的告警功能。
no-sa-failure:表示无法查到SA时的告警功能。
proposal-add:表示添加IKE提议时的告警功能。
proposal-delete:表示删除IKE提议时的告警功能。
tunnel-start:表示创建IKE隧道时的告警功能。
tunnel-stop:表示删除IKE隧道时的告警功能。
unsupport-exch-type:表示协商类型不支持时的告警功能。
【使用指导】
如果不指定任何参数,则表示开启或关闭所有类型的IKE告警功能。
如果希望生成并输出某种类型的IKE告警信息,则需要保证IKE的全局告警功能以及相应类型的告警功能均处于开启状态。
【举例】
# 开启全局IKE告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ike global
# 开启创建IKE 隧道时的告警功能。
[Sysname] snmp-agent trap enable ike tunnel-start
3 IKEv2
3.1 IKEv2配置命令
3.1.1 aaa authorization
aaa authorization命令用来开启IKEv2的AAA授权功能。
undo aaa authorization命令用来关闭IKEv2的AAA授权功能。
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKEv2的AAA授权功能处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:申请授权属性时使用的ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
username user-name:申请授权属性时使用的用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
开启AAA授权功能后,IKEv2可以向AAA模块申请授权属性,例如IKEv2本地地址池属性。IKEv2模块使用指定的ISP域名和用户名向AAA模块发起授权请求,AAA模块采用域中的授权配置向远程AAA服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKEv2本端将会得到相应的授权属性。该功能适合于由AAA模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile prof1中开启AAA授权功能,指定ISP域为abc,用户名为test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相关命令】
· display ikev2 profile
3.1.2 address
address命令用来指定IKEv2 peer的主机地址。
undo address命令用来恢复缺省情况。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
【缺省情况】
未指定IKEv2 peer的主机地址。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:IKEv2 peer的IPv4主机地址。
Mask:IPv4地址子网掩码。
mask-length:IPv4地址的掩码长度,取值范围为0~32。
ipv6 ipv6-address:IKEv2 peer的IPv6主机地址。
prefix-length:IPv6地址的前缀长度,取值范围为0~128。
【使用指导】
使用主机地址查询IKEv2 peer对于IKEv2协商中的发起方和响应方均适用。
同一keychain视图下的不同IKEv2 peer不能配置相同的地址。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的IP地址为3.3.3.3,掩码为255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相关命令】
· ikev2 keychain
· peer
3.1.3 authentication-method
authentication-method命令用来指定IKEv2本端和对端的身份认证方式。
undo authentication-method 命令用来删除指定的IKEv2本端或对端身份认证方式。
【命令】
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share | rsa-signature }
【缺省情况】
未配置本端和对端的认证方式。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
local:指定本端的身份认证方式。
remote:指定对端的身份认证方式。
dsa-signature:表示身份认证方式为DSA数字签名方式。
ecdsa-signature:表示身份认证方式为ECDSA数字签名方式。
pre-share:表示身份认证方式为预共享密钥方式。
rsa-signature:表示身份认证方式为RSA数字签名方式。
【使用指导】
一个IKEv2 profile中,必须配置IKEv2本端和对端的身份认证方式。本端和对端可以采用不同的身份认证方式。
只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。
如果本端或对端的身份认证方式为RSA、DSA或ECDSA数字签名方式(rsa-signature、dsa-signature或ecdsa-signature),则还必须通过命令certificate domain指定PKI域来获取用于签名和验证的数字证书。若没有指定PKI域,则使用系统视图下通过命令pki domain配置的PKI域。
如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本IKEv2 profile引用的keychain中指定对等体的预共享密钥。
【举例】
# 创建IKEv2 profile profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的认证方式为预共享密钥方式,对端的认证方式为RSA数字签名方式。
[Sysname-ikev2-profile-profile1] authentication-method local pre-share
[Sysname-ikev2-profile-profile1] authentication-method remote rsa-signature
# 指定对端用于签名和验证的certificate域为genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定IKEv2 profile引用的keychain为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· certificate domain (ikev2 profile view)
· keychain (ikev2 profile view)
3.1.4 certificate domain
certificate domain命令用来指定IKEv2协商采用数字签名认证时使用的PKI域。
undo certificate domain命令用来取消配置IKEv2协商时使用的PKI域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情况】
使用系统视图下配置的PKI域来验证证书。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域的名称,为1~31个字符的字符串,不区分大小写。
sign:指定本端使用该PKI域中的本地证书生成数字签名。
verify:指定本端使用该PKI域中的CA证书来验证对端证书。
【使用指导】
如果没有指定sign和verify,则表示指定的PKI域既用于签名也用于验证。一个PKI域用于签名还是验证取决于最后一次的配置,例如,先配了certificate domain abc sign,然后再配certificate domain abc verify,那么最终PKI域abc只用于验证功能。
可通过多次执行本命令分别指定用于数字签名的PKI域和用于验证的PKI域。
如果本端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则必须通过本命令指定PKI域来获取用于签名的本地证书;如果对端的认证方式配置为RSA、DSA或ECDSA数字签名方式,则使用本命令指定PKI域来获取用于验证的CA证书,若未指定PKI域,则使用系统视图下的所有PKI域来验证。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 profile引用的PKI域abc用于签名,PKI域def用于验证。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相关命令】
· authentication-method
· pki domain(安全命令参考/PKI)
3.1.5 config-exchange
config-exchange命令用来开启指定的配置交换功能。
undo config-exchange命令用来关闭指定的配置交换功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情况】
所有的配置交换功能均处于关闭状态。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
request:表示本端在Auth交换请求报文中携带配置交换请求载荷。
set:表示本端在Info报文中携带配置交换设置载荷。
accept:表示本端可接受配置交换设置载荷。
send:表示本端可发送配置交换设置载荷。
【使用指导】
配置交换包括请求数据、回应数据、主动推数据和回应推数据,请求和推送的数据可以为网关地址,内部地址,路由信息等,目前仅支持中心侧内部地址分配。分支侧可以申请地址,但申请到的地址暂无用。
本端可以同时配置request和set参数。
如果本端配置了request参数,则只要对端能通过AAA授权获取到对应的请求数据,就会对本端的请求进行响应。
如果本端配置了set send参数,则对端必须配置set accept参数来配合使用。
如果本端配置了set send参数,且没有收到配置请求时,IKEv2 SA协商成功后才会推送地址给对端。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置本端在Auth交换请求报文中携带配置交换请求载荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相关命令】
· aaa authorization
· display ikev2 profile
3.1.6 dh
dh命令用来配置IKEv2密钥协商时所使用的DH密钥交换参数。
undo dh命令用来恢复缺省情况。
【命令】
dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *
undo dh
【缺省情况】
IKEv2安全提议未定义DH组。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
group1:指定密钥协商时采用768-bit的Diffie-Hellman group。
group2:指定密钥协商时采用1024-bit的Diffie-Hellman group。
group5:指定密钥协商时采用1536-bit的Diffie-Hellman group。
group14:指定密钥协商时采用2048-bit的Diffie-Hellman group。
group24:指定密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。
group19:指定密钥协商时采用ECP模式含256-bit的Diffie-Hellman group。
group20:指定密钥协商时采用ECP模式含384-bit的Diffie-Hellman group。
【使用指导】
group1提供了最低的安全性,但是处理速度最快。group24提供了最高的安全性,但是处理速度最慢。其他的group随着位数的增加,提供了更高的安全性,但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。
一个IKEv2安全提议中至少需要配置一个DH组,否则该安全提议不完整。
一个IKEv2安全提议中可以配置多个DH组,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2提议1使用768-bit的Diffie-Hellman group。
<Sysname> system-view
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相关命令】
· ikev2 proposal
3.1.7 display ikev2 policy
display ikev2 policy命令用来显示IKEv2安全策略的配置信息。
【命令】
display ikev2 policy [ policy-name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全策略。
【使用指导】
如果未指定任何参数,则表示显示所有IKEv2安全策略的配置信息。
【举例】
# 显示所有IKEv2安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy: 1
Priority: 100
Match local address: 1.1.1.1
Match local address ipv6: 1:1::1:1
Match VRF: vpn1
Proposal: 1
Proposal: 2
IKEv2 policy: default
Match VRF: any
Proposal: default
display ikev2 policy命令显示信息描述表
字段 | 描述 |
IKEv2 policy | IKEv2安全策略的名称 |
Priority | IKEv2安全策略优先级 |
Match local address | 匹配IKEv2安全策略的本端IPv4地址 |
Match local address ipv6 | 匹配IKEv2安全策略的本端IPv6地址 |
Match VRF | 匹配IKEv2安全策略的VPN实例名 |
Proposal | IKEv2安全策略引用的IKEv2安全提议名称 |
【相关命令】
· ikev2 policy
3.1.8 display ikev2 profile
display ikev2 profile命令用来显示IKEv2 profile的配置信息。
【命令】
display ikev2 profile [ profile-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则表示显示所有IKEv2 profile的配置信息。
【举例】
# 显示所有IKEv2 profile的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile: 1
Priority: 100
Match criteria:
Local address 1.1.1.1
Local address GigabitEthernet1/0/1
Local address 1:1::1:1
Remote identity ipv4 address 3.3.3.3/32
VRF vrf1
Inside-vrf:
Local identity: address 1.1.1.1
Local authentication method: pre-share
Remote authentication methods: pre-share
Keychain: Keychain1
Sign certificate domain:
Domain1
abc
Verify certificate domain:
Domain2
yy
SA duration: 500
DPD: Interval 32, retry 23, periodic
Config-exchange: Request, Set send, Set accept
NAT keepalive: 10
AAA authorization: Domain domain1, username ikev2
表3-1 display ikev2 profile命令显示信息描述表
字段 | 描述 |
IKEv2 profile | IKEv2 profile的名称 |
Priority | IKEv2 profile的优先级 |
Match criteria | 查找IKEv2 profile的匹配条件 |
Inside-vrf | 内网VPN实例名称 |
Local identity | 本端身份信息 |
Local authentication method | 本端认证方法 |
Remote authentication methods | 对端认证方法 |
Keychain | IKEv2 profile引用的keychain |
Sign certificate domain | 用于签名的PKI域 |
Verify certificate domain | 用于验证的PKI域 |
SA duration | IKEv2 SA生存时间 |
DPD | DPD功能参数:探测的间隔时间(单位为秒)、重传时间间隔(单位为秒)、探测模式(按需探测或周期探测) 若未开启DPD功能,则显示为Disabled |
Config-exchange | 配置交换功能: · Request:表示本端将在Auth交换请求报文中携带配置交换请求载荷 · Set accept:表示本端可接受配置交换设置载荷 · Set send:表示本端可发送配置交换设置载荷 |
NAT keepalive | 发送NAT保活报文的时间间隔(单位为秒) |
AAA authorization | 请求AAA授权信息时使用的参数:ISP域名、用户名 |
【相关命令】
· ikev2 profile
3.1.9 display ikev2 proposal
display ikev2 proposal命令用来显示IKEv2安全提议的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name:IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
default:缺省的IKEv2安全提议。
【使用指导】
IKEv2安全提议按照优先级从高到低的顺序显示。若不指定任何参数,则显示所有IKEv2提议的配置信息。
【举例】
# 显示所有IKEv2安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal : 1
Encryption: 3DES-CBC AES-CBC-128 AES-CTR-192 CAMELLIA-CBC-128
Integrity: MD5 SHA256 AES-XCBC-MAC
PRF: MD5 SHA256 AES-XCBC-MAC
DH Group: MODP1024/Group2 MODP1536/Group5
IKEv2 proposal : default
Encryption: AES-CBC-128 3DES-CBC
Integrity: SHA1 MD5
PRF: SHA1 MD5
DH Group: MODP1536/Group5 MODP1024/Group2
表3-2 display ikev2 proposal命令显示信息描述表
字段 | 描述 |
IKEv2 proposal | IKEv2安全提议的名称 |
Encryption | IKEv2安全提议采用的加密算法 |
Integrity | IKEv2安全提议采用的完整性校验算法 |
PRF | IKEv2安全提议采用的PRF算法 |
DH Group | IKEv2安全提议采用的DH组 |
【相关命令】
· ikev2 proposal
3.1.10 display ikev2 sa
display ikev2 sa命令用来显示IKEv2 SA的信息。
【命令】
display ikev2 sa [ count | [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
count:显示IKEv2 SA的数量。
local:显示指定本端地址的IKEv2 SA信息。
remote:显示指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
vpn-instance vpn-instance-name:显示指定VPN实例内的IKEv2 SA信息,vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示显示公网的IKEv2 SA信息。
verbose:显示IKEv2 SA的详细信息。如果不指定该参数,则表示显示IKEv2 SA的摘要信息。
tunnel tunnel-id:显示指定IPsec隧道的IKEv2 SA详细信息。tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
【使用指导】
若不指定任何参数,则显示所有IKEv2 SA的摘要信息。
【举例】
# 显示所有IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 显示对端地址为1.1.1.2的IKEv2 SA的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
表3-3 display ikev2 sa命令显示信息描述表
字段 | 描述 |
Tunnel ID | IKEv2 SA的隧道标识符 |
Local | IKEv2 SA的本端IP地址 |
Remote | IKEv2 SA的对端IP地址 |
Status | IKEv2 SA的状态: · IN-NEGO(Negotiating):表示此IKE SA正在协商 · EST(Established):表示此IKE SA已建立成功 · DEL(Deleting):表示此IKE SA将被删除 |
# 显示当前所有IKEv2 SA的详细信息。
<Sysname> display ikev2 sa verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD:Interval 20 secs, retry interval 2 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
# 显示对端地址为1.1.1.2的IKEv2 SA的详细信息。
<Sysname> display ikev2 sa remote 1.1.1.2 verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN
Local ID: device_a
Remote ID type: FQDN
Remote ID: device_b
Auth sign method: Pre-shared key
Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs
Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD: Interval 30 secs, retry interval 10 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
表3-4 display ikev2 sa verbose命令显示信息描述表
字段 | 描述 |
Tunnel ID | IKEv2 SA的隧道标识符 |
Local IP/Port | 本端安全网关的IP地址/端口号 |
Remote IP/Port | 对端安全网关的IP地址/端口号 |
Outside VRF | 出方向被保护数据所属的VRF名称,-表示属于公网 |
Inside VRF | 入方向被保护数据所属的VRF名称,-表示属于公网 |
Local SPI | 本端安全参数索引 |
Remote SPI | 对端安全参数索引 |
Local ID type | 本端安全网关的身份信息类型 |
Local ID | 本端安全网关的身份信息 |
Remote ID type | 对端安全网关的身份信息类型 |
Remote ID | 对端安全网关的身份信息 |
Auth sign method | IKEv2安全提议中认证使用的签名方法 |
Auth verify method | IKEv2安全提议中认证使用的验证方法 |
Integrity algorithm | IKEv2安全提议中使用的完整性算法 |
PRF algorithm | IKEv2安全提议中使用的PRF算法 |
Encryption algorithm | IKEv2安全提议中使用的加密算法 |
Life duration | IKEv2 SA的生存时间(单位为秒) |
Remaining key duration | IKEv2 SA的剩余生存时间(单位为秒) |
Diffie-Hellman group | IKEv2密钥协商时所使用的DH密钥交换参数 |
NAT traversal | 是否检测到协商双方之间存在NAT网关设备 |
DPD | DPD探测的时间间隔和重传时间(单位为秒),若未开启DPD探测功能,则显示为Interval 0 secs, retry interval 0 secs |
Transmitting entity | IKEv2协商中的实体角色:发起方、响应方 |
Local window | 本端IKEv2协商的窗口大小 |
Remote window | 对端IKEv2协商的窗口大小 |
Local request message ID | 本端下一次要发送的请求消息的序号 |
Remote request message ID | 对端下一次要发送的请求消息的序号 |
Local next message ID | 本端期望下一个接收消息的序号 |
Remote next message ID | 对端期望下一个接收消息的序号 |
Pushed IP address | 对端推送给本端的IP地址 |
Assigned IP address | 本端分配给对端的IP地址 |
# 显示所有IKEv2 SA的个数。
[Sysname] display ikev2 sa count
IKEv2 SAs count: 0
表3-5 display ikev2 sa count命令显示信息描述表
字段 | 描述 |
IKEv2 SAs count | IKEv2 SA的总数 |
3.1.11 display ikev2 statistics
display ikev2 statistics命令用来显示IKEv2统计信息。
【命令】
display ikev2 statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IKEv2的统计信息。
<Sysname> display ikev2 statistics
IKEv2 statistics:
Unsupported critical payload: 0
Invalid IKE SPI: 0
Invalid major version: 0
Invalid syntax: 0
Invalid message ID: 0
Invalid SPI: 0
No proposal chosen: 0
Invalid KE payload: 0
Authentication failed: 0
Single pair required: 0
TS unacceptable: 0
Invalid selectors: 0
Temporary failure: 0
No child SA: 0
Unknown other notify: 0
No enough resource: 0
Enqueue error: 0
No IKEv2 SA: 0
Packet error: 0
Other error: 0
Retransmit timeout: 0
DPD detect error: 0
Del child for IPsec message: 1
Del child for deleting IKEv2 SA: 1
Del child for receiving delete message: 0
表3-6 display ikev2 statistics命令显示信息描述表
字段 | 描述 |
IKEv2 statistics | IKEv2统计信息 |
Unsupported critical payload | 不支持的重要载荷 |
Invalid IKE SPI | 无效的IKE SPI信息 |
Invalid major version | 无效的主版本号 |
Invalid syntax | 无效的语法 |
Invalid message ID | 无效的Message ID |
Invalid SPI | 无效的SPI |
No proposal chosen | 提议不匹配 |
Invalid IKE payload | 无效的IKE载荷 |
Authentication failed | 认证失败 |
Single pair required | 需要特定的地址对 |
TS unacceptable | 不可接受的Traffic Selectors |
Invalid selectors | 无效的Selector |
Temporary failure | 临时错误 |
No child SA | 找不到Child SA |
Unknown other notify | 未定义的其它通知类型 |
No enough resource | 资源不够 |
Enqueue error | 入队列错误 |
No IKEv2 SA | 没有IKEv2 SA |
Packet error | 报文错误 |
Other error | 其它错误 |
Retransmit timeout | 重传超时 |
Dpd detect error | DPD探测失败 |
Del child for IPsec message | 由于收到IPsec消息删除Child SA |
Del child for deleting IKEv2 SA | 由于删除IKEv2 SA删除Chlid SA |
Del child for receiving delete message | 由于收到删除消息删除Child SA |
【相关命令】
· reset ikev2 statistics
3.1.12 dpd
dpd用来配置IKEv2 DPD探测功能。
undo dpd命令用来关闭 IKEv2 DPD探测功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKEv2 profile视图下的DPD探测功能处于关闭状态,使用全局的DPD配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定IKEv2 DPD探测的间隔时间,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则本端发送IPsec报文时触发DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒。缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送用户报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔,则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 为IKEv2 profile1配置IKEv2 DPD功能,指定若10秒内没有从对端收到IPsec报文,则触发IKEv2
DPD探测,DPD请求报文的重传时间间隔为5秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相关命令】
· ikev2 dpd
3.1.13 encryption
encryption命令用来指定IKEv2安全提议使用的加密算法。
undo encryption命令用来恢复缺省情况。
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
【缺省情况】
IKEv2安全提议未定义加密算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
3des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的3DES算法,3DES算法采用168比特的密钥进行加密。
aes-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用128比特的密钥进行加密。
aes-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用192比特的密钥进行加密。
aes-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的AES算法,AES算法采用256比特的密钥进行加密。
aes-ctr-128:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为128比特。
aes-ctr-192:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为192比特。
aes-ctr-256:指定IKEv2安全提议采用的加密算法为CTR模式的AES算法,密钥长度为256比特。
camellia-cbc-128:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为128比特。
camellia-cbc-192:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为192比特。
camellia-cbc-256:指定IKEv2安全提议采用的加密算法为CBC模式的camellia算法,密钥长度为256比特。
des-cbc:指定IKEv2安全提议采用的加密算法为CBC模式的DES算法,DES算法采用56比特的密钥进行加密。
【使用指导】
IKEv2安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。一个IKEv2安全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。
【举例】
# 指定IKEv2安全提议1的加密算法为CBC模式的168-bit 3DES。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption 3des-cbc
【相关命令】
· ikev2 proposal
3.1.14 hostname
hostname命令用来指定IKEv2 peer的主机名称。
undo hostname命令用来恢复缺省情况。
【命令】
hostname name
undo hostname
【缺省情况】
未配置IKEv2 peer的主机名称。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer主机名称,为1~253个字符的字符串,不区分大小写。
【使用指导】
主机名仅适用于在基于IPsec安全策略的IKEv2协商中发起方查询IKEv2 peer,不适用于基于IPsec虚拟隧道接口的IKEv2协商。
【举例】
# 创建IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的主机名为test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相关命令】
· ikev2 keychain
· peer
3.1.15 identity
identity命令用来指定IKEv2 peer的身份信息。
undo identity命令用来恢复缺省情况。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string }
undo identity
【缺省情况】
未指定IKEv2 peer的身份信息。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:对端IPv4地址。
ipv6 ipv6-address:对端IPv6地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
email email-string:指定标识对端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如esec@test.com。
key-id key-id-string:指定标识对端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
对等体身份信息仅用于IKEv2协商的响应方查询IKEv2 peer,因为发起方在发起IKEv2协商时并不知道对端的身份信息。
【举例】
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定IKEv2 peer的身份信息为地址1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相关命令】
· ikev2 keychain
· peer
3.1.16 identity local
identity local命令用来配置本端身份信息,用于在IKEv2认证协商阶段向对端标识自己的身份。
undo identity local命令用来恢复缺省情况。
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }
undo identity local
【缺省情况】
未指定IKEv2本端身份信息,使用应用IPsec安全策略的接口的IP地址作为本端身份。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }:指定标识本端身份的IP地址,其中ipv4-address为标识本端身份的IPv4地址,ipv6-address为标识本端身份的IPv6地址。
dn:使用从本端数字证书中获得的DN名作为本端身份。
email email-string:指定标识本端身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@abc.com。
fqdn fqdn-name:指定标识本端身份的FQDN名称。fqdn-name为1~255个字符的字符串,区分大小写,例如www.test.com。
key-id key-id-string:指定标识本端身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
交换的身份信息用于协商双方在协商时识别对端身份。
【举例】
#创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用IP地址2.2.2.2标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相关命令】
· peer
3.1.17 ikev2 address-group
ikev2 address-group命令用来配置为对端分配IPv4地址的IKEv2本地IPv4地址池。
undo ikev2 address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ikev2 address-group group-name [ start-ipv4-address [ end-ipv4-address ] ]
【缺省情况】
未定义IKEv2本地IPv4地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv4地址池名称,为1~63个字符的字符串,不区分大小写。
start-ipv4-address:IPv4地址池的起始地址。
end-ipv4-address:IPv4地址池的结束地址。
mask:IPv4地址掩码。
mask-length:IPv4地址掩码长度。
【使用指导】
每个地址池中包括的IPv4地址的最大数目为8192。
执行undo ikev2 address-group时:
· 如果不指定起始和结束地址,则会删除所有指定名称的地址池。
· 如果指定起始地址而不指定结束地址,则结束地址的取值与起始地址相同,即删除单地址的地址池。
· 如果同时指定起始和结束地址,则删除指定地址池。
· 若要删除的地址池不存在,则不执行任何操作。
【举例】
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码为255.255.255.0。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2,掩码长度为32。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
# 删除IKEv2本地IPv4地址池,名称为ipv4group,地址池范围为1.1.1.1~1.1.1.2。
<Sysname> system-view
[Sysname] undo ikev2 address-group ipv4group 1.1.1.1 1.1.1.2
【相关命令】
· address-group
3.1.18 ikev2 cookie-challenge
ikev2 cookie-challenge命令用来开启cookie-challenge功能。
undo ikev2 cookie-challenge命令用来关闭cookie-challenge功能。
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【缺省情况】
IKEv2 cookie-challenge功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:指定触发响应方启用cookie-challenge功能的阈值,取值范围为0~1000。
【使用指导】
若响应方配置了cookie-challenge功能,当响应方发现存在的半开IKE SA超过指定的数目时,就启用cookie-challenge机制。响应方收到IKE_SA_INIT请求后,构造一个Cookie通知载荷并响应发起方,若发起方能够正确携带收到的Cookie通知载荷向响应方重新发起IKE_SA_INIT请求,则可以继续后续的协商过程,防止由于源IP仿冒而耗费大量响应方的系统资源,造成对响应方的DoS攻击。
【举例】
# 开启cookie-challenge功能,并配置启用cookie-challenge功能的阈值为450。
<Sysname> system-view
[Sysname] ikev2 cookie-challenge 450
3.1.19 ikev2 dpd
ikev2 dpd命令用来配置全局IKEv2 DPD功能。
undo ikev2 dpd命令用来关闭全局IKEv2 DPD功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情况】
IKEv2 DPD探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval interval:指定触发IKEv2 DPD探测的时间间隔,取值范围为10~3600,单位为秒。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则发送报文前触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔。
retry seconds:指定DPD报文的重传时间间隔,取值范围为2~60,单位为秒,缺省值为5秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送IPsec报文时,如果发现当前距离最后一次收到对端报文的时间超过指定的触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间),则触发DPD探测。
periodic:指定定时探测模式,即按照触发IKEv2 DPD探测的时间间隔(即通过interval指定的时间)定时探测对端是否存活。
【使用指导】
IKEv2 DPD有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与大量的IKEv2对端通信时,应优先考虑使用按需探测模式。
如果IKEv2 profile视图下和系统视图下都配置了DPD探测功能,则IKEv2 profile视图下的DPD配置生效,如果IKEv2 profile视图下没有配置DPD探测功能,则采用系统视图下的DPD配置。
配置的interval一定要大于retry,保证在重传DPD报文的过程中不触发新的DPD探测。
【举例】
# 配置根据流量来触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定时触发IKEv2 DPD探测的时间间隔为15秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 periodic
【相关命令】
· dpd(IKEv2 profile view)
3.1.20 ikev2 ipv6-address-group
ikev2 ipv6-address-group命令用来配置为对端分配IPv6地址的IKEv2本地地址池。
undo ikev2 ipv6-address-group命令用来删除指定的IKEv2本地地址池。
【命令】
ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ikev2 ipv6-address-group group-name
【缺省情况】
未定义IKEv2本地IPv6地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:IPv6地址池名称,为1~63个字符的字符串,不区分大小写。
prefix prefix/prefix-len:指定IPv6地址池的地址前缀。prefix/prefix-len为IPv6前缀/前缀长度,其中,prefix-len取值范围为1~128。
assign-len assign-len:指定地址池分配给对端的前缀长度。assign-len的取值范围为1~128,必须大于或等于prefix-len,且与prefix-len之差小于或等于16。
【使用指导】
与IPv4地址池不同,IPv6地址池每次可分配的是一个IPv6地址段。对端收到该地址段后可继续为其它设备分配地址。
所有IKEv2本地IPv6地址池包含的前缀范围之间不能重叠,即前缀范围不能相交也不能相互包含。
【举例】
# 配置IKEv2本地IPv6地址池,名称为ipv6group,前缀为1:1::,前缀长度为64,分配给使用者的前缀长度为80。
<Sysname> system-view
[Sysname] ikev2 ipv6-address-group ipv6group prefix 1:1::/64 assign-len 80
【相关命令】
· ipv6-address-group
3.1.21 ikev2 keychain
ikev2 keychain命令用来创建IKEv2 keychain,并进入IKEv2 keychain视图。如果指定的IKEv2 keychain已经存在,则直接进入IKEv2 keychain视图。
undo ikev2 keychain命令用来删除指定的IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情况】
不存在IKEv2 keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain的名称,为1~63个字符的字符串,不区分大小写,且不能包括字符“-”。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。配置的预共享密钥的值需要与对端IKEv2网关上配置的预共享密钥的值相同。
一个IKEv2 keychain下可以配置多个IKEv2 peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
[Sysname-ikev2-keychain-key1]
3.1.22 ikev2 nat-keepalive
ikev2 nat-keepalive命令用来配置向对端发送NAT Keepalive报文的时间间隔。
undo ikev2 nat-keepalive命令用来恢复缺省情况。
【命令】
ikev2 nat-keepalive seconds
undo ikev2 nat-keepalive
【缺省情况】
探测到NAT后发送NAT Keepalive报文的时间间隔为10秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
seconds:向对端发送NAT Keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 配置向NAT发送NAT Keepalive报文的时间间隔为5秒。
<Sysname> system-view
[Sysname] ikev2 nat-keepalive 5
3.1.23 ikev2 policy
ikev2 policy命令用来创建IKEv2安全策略,并进入IKEv2安全策略视图。如果指定的IKEv2安全策略已经存在,则直接进入IKEv2安全策略视图。
undo ikev2 policy命令用来删除指定的IKEv2安全策略。
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全策略,该缺省的策略中包含一个缺省的IKEv2安全提议default,且可与所有的本端地址相匹配。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:IKEv2安全策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VRF来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VRF来选择要使用的IKEv2安全策略。选定IKEv2安全策略后,设备将根据安全策略中的安全提议进行加密算法、完整性校验算法、PRF算法和DH组的协商。
可以配置多个IKEv2安全策略。一个IKEv2安全策略中必须至少包含一个IKEv2安全提议,否则该策略不完整。
若发起方使用共享源接口方式IPsec策略,则IKE_SA_INIT协商时,使用共享源接口地址来选择要是使用的IKEv2安全策略。
相同匹配条件下,配置的优先级可用于调整匹配IKEv2安全策略的顺序。
如果没有配置IKEv2安全策略,则使用默认的IKEv2安全策略default。用户不能进入并配置默认的IKEv2安全策略default。
【举例】
# 创建IKEv2安全策略policy1,并进入IKEv2安全策略视图。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相关命令】
· display ikev2 policy
3.1.24 ikev2 profile
ikev2 profile命令用来创建IKEv2 profile,并进入IKEv2 profile视图。如果指定的IKEv2 profile已经存在,则直接进入IKEv2 profile视图。
undo ikev2 profile命令用来删除指定的IKEv2 profile。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【缺省情况】
不存在IKEv2 profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:IKEv2 profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
IKEv2 profile用于保存非协商的IKEv2 SA的参数,如本端和对端的身份、本端和对端的认证方式、用于查找IKEv2 profile的匹配条件等。
【举例】
# 创建IKEv2 profile,名称为profile1,并进入IKEv2 profile视图。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1]
【相关命令】
· display ikev2 profile
3.1.25 ikev2 proposal
ikev2 proposal命令用来创建IKEv2安全提议,并进入IKEv2安全提议视图。如果指定的IKEv2安全提议已经存在,则直接进入IKEv2安全提议视图。
undo ikev2 proposal命令用来删除指定的IKEv2安全提议。
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【缺省情况】
系统中存在一个名称为default的缺省IKEv2安全提议。
缺省提议使用的算法:
· 加密算法:AES-CBC-128和3DES
· 完整性校验算法:HMAC-SHA1和HMAC-MD5
· PRF算法:HMAC-SHA1和HMAC-MD5
· DH:group5和group2
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
proposal-name:指定IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写,且不能为default。
【使用指导】
IKEv2安全提议用于保存IKE_SA_INIT交换中所使用的安全参数,包括加密算法、完整性验证算法、PRF(pseudo-random function)算法和DH组。
在一个IKEv2安全提议中,至少需要配置一组安全参数,即一个加密算法、一个完整性验证算法、一个PRF算法和一个DH组。
在一个IKEv2安全提议中,可以配置多组安全参数,即多个加密算法、多个完整性验证算法、多个PRF算法和多个DH组,这些安全参数在实际协商过程中,将会形成多种安全参数的组合与对端进行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在IKEv2安全提议中仅配置了一套安全参数。
【举例】
# 创建IKEv2安全提议prop1,并配置加密算法为aes-cbc-128,完整性校验算法为sha1,PRF算法为sha1,DH组为group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption aes-cbc-128
[Sysname-ikev2-proposal-prop1] integrity sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相关命令】
· encryption-algorithm
· integrity
· prf
· dh
3.1.26 inside-vrf
inside-vrf命令用来指定内部VPN实例。
undo inside-vrf命令用来恢复缺省情况。
【命令】
inside-vrf vrf-name
undo inside-vrf
【缺省情况】
IKEv2 profile未指定内部VPN实例,即内网与外网在同一个VPN实例中。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
vrf-name:保护的数据所属的VRF名称,为1~31个字符的字符串,区分大小写。
【使用指导】
当IPsec解封装后的报文需要继续转发到不同的VPN时,设备需要知道在哪个VPN实例中查找相应的路由。缺省情况下,设备在与外网相同的VPN实例中查找路由,如果不希望在与外网相同的VPN实例中查找路由,则可以指定一个内部VPN实例,通过查找该内部VPN实例的路由来转发报文。
本命令仅对引用了IKEv2 profile的IPsec安全策略生效,对引用了IKEv2 profile 的IPsec安全框架不生效。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在IKEv2 profile profile1中指定内部VRF为vpn1。
[Sysname-ikev2-profile-profile1] inside-vrf vpn1
3.1.27 integrity
integrity命令用来指定IKEv2安全提议使用的完整性校验算法。
undo integrity命令用来恢复缺省情况。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情况】
未指定IKEv2安全提议使用的完整性校验算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的完整性校验算法为HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提议采用的完整性校验算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的完整性校验算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。一个IKEv2安全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的完整性校验算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相关命令】
· ikev2 proposal
3.1.28 keychain
keychain命令用来配置采用预共享密钥认证时使用的Keychain。
undo keychain命令用来恢复缺省情况。
【命令】
keychain keychain-name
undo keychain
【缺省情况】
IKEv2 profile中未引用Keychain。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
keychain-name:IKEv2 keychain名称,为1~63个字符的字符串,不区分大小写,且不能包括字符-。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile下必须引用keychain,且只能引用一个。
不同的IKEv2 profile可以共享同一个IKEv2 keychain 。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile引用的keychain,keychain的名称为keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
· display ikev2 profile
· ikev2 keychain
3.1.29 match local (IKEv2 profile view)
match local命令用来限制IKEv2 profile的使用范围。
undo match local命令用来取消对IKEv2 profile使用范围的限制。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未限制IKEv2 profile的使用范围。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
address:指定IKEv2 profile只能用于指定地址或指定接口的地址上的IKEv2协商。
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
此命令用于限制IKEv2 profile只能用于指定地址或指定接口上的地址协商,这里的地址指的是本端收到IKEv2报文的接口IP地址,即只有IKEv2协商报文从该地址接收时,才会采用该IKEv2 profile。IKEv2 profile优先级可以手工配置,先配置的优先级高。若希望本端在匹配某些IKEv2 profile的时候,不按照手工配置的顺序来查找,则可以通过本命令来指定这类IKEv2 profile的使用范围。例如,IKEv2 profile A中的match remote地址范围大(match remote identity address range 2.2.2.1 2.2.2.100),IKEv2 profile B中的match remote地址范围小(match remote identity address range 2.2.2.1 2.2.2.10),IKEv2 profile A先于IKEv2 profile B配置。假设对端IP地址为2.2.2.6,那么依据配置顺序本端总是选择profile A与对端协商。若希望本端接口(假设接口地址为3.3.3.3)使用profile B与对端协商,可以配置profile B在指定地址3.3.3.3的接口上使用。
通过该命令可以指定多个本端匹配条件。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 限制IKEv2 profile profile1只能在IP地址为2.2.2.2的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相关命令】
· match remote
3.1.30 match local address (IKEv2 policy view)
match local address命令用来指定匹配IKEv2安全策略的本端地址。
undo match local address命令用来删除指定的用于匹配IKEv2安全策略的本端地址。
【命令】
match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
undo match local address { interface-type interface-number | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未指定用于匹配IKEv2安全策略的本端地址,表示本策略可匹配所有本端地址。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口IPv4地址。
ipv6 ipv6-address:本端接口IPv6地址。
【使用指导】
根据本端地址匹配IKEv2安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。
【举例】
# 指定用于匹配IKEv2安全策略policy1的本端地址为3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相关命令】
· display ikev2 policy
· match vrf
3.1.31 match remote
match remote命令用来配置匹配对端身份的规则。
undo match remote命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask | mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask |mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] | range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id key-id-string } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配IKEv2 profile。其中,policy-name是证书访问控制策略的名称,为1~31个字符的字符串,不区分大小写。本参数用于基于对端数字证书中的信息匹配IKEv2 profile。
identity:基于指定的对端身份信息匹配IKEv2 profile。本参数用于响应方根据发起方通过identity local命令配置的身份信息来选择使用的IKEv2 profile。
address ipv4-address [ mask | mask-length ]:对端IPv4地址或IPv4网段。其中,ipv4-address为IPv4地址,mask为子网掩码,mask-length为子网掩码长度,取值范围为0~32,不指定子网掩码相关参数时默认为32位掩码。
address range low-ipv4-address high-ipv4-address:对端IPv4地址范围。其中low-ipv4-address为起始IPv4地址,high-ipv4-address为结束IPv4地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ]:对端IPv6地址或IPv6网段。其中,ipv6-address为IPv6地址,prefix-length为IPv6前缀长度,取值范围为0~128,不指定IPv6前缀时默认为128位前缀。
address ipv6 range low-ipv6-address high-ipv6-address:对端IPv6地址范围。其中low-ipv6-address为起始IPv6地址,high-ipv6-address为结束IPv6地址。结束地址必须大于起始地址。
fqdn fqdn-name:对端FQDN名称,为1~255个字符的字符串,区分大小写,例如www.test.com。
email email-string:指定标识对等体身份的E-mail地址。email-string为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如sec@abc.com。
key-id key-id-string:指定标识对等体身份的Key-ID名称。key-id-string为1~255个字符的字符串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
查找对端匹配的IKEv2 profile时,对端需要同时满足以下条件:
· 将对端的身份信息与本命令配置的匹配规则进行比较,二者必须相同。
· 查找IKEv2 profile和验证对端身份时,需要使用match remote、match local address、match vrf一起匹配,若有其中一项不符合,则表示该IKEv2 profile不匹配。
查找到匹配的IKEv2 profile后,本端设备将用该IKEv2 profile中的信息与对端完成认证。
为了使得每个对端能够匹配到唯一的IKEv2 profile,不建议在两个或两个以上IKEv2 profile中配置相同的match remote规则,否则能够匹配到哪个IKEv2 profile是不可预知的。match remote规则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定匹配采用FQDN作为身份标识、且取值为www.test.com的对端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.com
# 指定匹配采用IP地址作为身份标识、且取值为10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相关命令】
· identity local
· match local address
· match vrf
3.1.32 match vrf (IKEv2 policy view)
match vrf命令用来配置匹配IKEv2安全策略的VPN实例。
undo match vrf命令用来恢复缺省情况。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情况】
未指定用于匹配IKEv2安全策略的VPN实例,表示本策略可匹配公网内的所有本端地址。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
name vrf-name:基于指定的VPN实例匹配IKEv2安全策略。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
any:表示公网及任何VPN实例都可以匹配IKEv2安全策略。
【使用指导】
IKE_SA_INIT协商时,发起方根据应用IPsec安全策略的接口地址和接口所属的VPN实例来选择要使用的IKEv2安全策略;响应方根据收到IKEv2报文的接口地址以及接口所属的VPN实例来选择要使用的IKEv2安全策略。
根据本端地址匹配IKEv2安全策略时,优先匹配指定了VPN实例匹配条件的策略,其次匹配未指定VPN实例匹配条件的策略。
【举例】
# 创建IKEv2安全策略,名称为policy1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
# 指定IKEv2安全策略匹配的VPN为vpn1。
[Sysname-ikev2-policy-policy1] match vrf name vpn1
【相关命令】
· display ikev2 policy
· match local address
3.1.33 match vrf (IKEv2 profile view)
match vrf命令用来配置IKEv2 profile所属的VPN实例。
undo match vrf命令用来恢复缺省情况。
【命令】
match vrf { name vrf-name | any }
undo match vrf
【缺省情况】
IKEv2 profile属于公网。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
name vrf-name:基于指定的VPN实例匹配IKEv2 profile。vrf-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
any:表示公网及任何VPN实例都可以匹配IKEv2 profile。
【使用指导】
此命令用于限制IKEv2 profile只能在指定所属VPN实例的接口上协商,这里的VPN指的是收到IKEv2报文的接口所属VPN实例。如果配置了参数any,则表示IKEv2 profile可以在所有VPN实例接口上协商。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定IKEv2 profile所属的VPN为vrf1。
[Sysname-ikev2-profile-profile1] match vrf name vrf1
【相关命令】
· match remote
3.1.34 nat-keepalive
nat-keepalive命令用来配置发送NAT keepalive的时间间隔。
undo nat-keepalive命令用来恢复缺省情况。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情况】
使用全局的IKEv2 NAT keepalive配置。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:发送NAT keepalive报文的时间间隔,取值范围为5~3600,单位为秒。
【使用指导】
该命令仅对位于NAT之后的设备(即该设备位于NAT设备连接的私网侧)有意义。NAT之后的IKEv2网关设备需要定时向NAT之外的IKEv2网关设备发送NAT Keepalive报文,以确保NAT设备上相应于该流量的会话存活,从而让NAT之外的设备可以访问NAT之后的设备。因此,配置的发送NAT Keepalive报文的时间间隔需要小于NAT设备上会话表项的存活时间。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置发送NAT keepalive报文的时间间隔为1200秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相关命令】
· display ikev2 profile
· ikev2 nat-keepalive
3.1.35 peer
peer命令用来创建IKEv2 peer,并进入IKEv2 peer视图。如果指定的IKEv2 peer已经存在,则直接进入IKEv2 peer视图。
undo peer命令用来删除指定的IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情况】
不存在IKEv2 peer。
【视图】
IKEv2 keychain视图
【缺省用户角色】
network-admin
【参数】
name:IKEv2 peer名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IKEv2 peer中包含了一个预共享密钥以及用于查找该peer的匹配条件,包括对端的主机名称(由命令hostname配置)、对端的IP地址(由命令address配置)和对端的身份(由命令identity配置)。其中,IKEv2协商的发起方使用对端的主机名称或IP地址查找peer,响应方使用对端的身份或IP地址查找peer。
【举例】
# 创建IKEv2 keychain key1并进入IKEv2 keychain视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
【相关命令】
· ikev2 keychain
3.1.36 pre-shared-key
pre-shared-key命令用来配置IKEv2 peer的预共享密钥。
undo pre-shared-key命令用来删除IKEv2 peer的预共享密钥。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
【缺省情况】
未配置IKEv2 peer的预共享密钥。
【视图】
IKEv2 peer视图
【缺省用户角色】
network-admin
【参数】
local:表示签名密钥。
remote:表示验证密钥。
ciphertext:以密文方式设置密钥。
plaintext:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~128个字符的字符串;密文密钥为1~201个字符的字符串。
【使用指导】
如果指定了参数local或remote,则表示指定的是非对称密钥;若参数local和remote均不指定,则表示指定的是对称密钥。
执行undo命令时,指定要删除的密钥类型必须和已配置的密钥类型完全一致,该undo命令才会执行成功。例如,IKEv2 peer视图下仅有pre-shared-key local的配置,则执行undo pre-shared-key和undo pre-shared-key remote命令均无效。
多次执行本命令,最后一次执行的命令生效。
【举例】
· 发起方示例
# 创建一个IKEv2 keychain,名称为key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-key1] peer peer2
# 配置peer2的非对称预共享密钥,签名密钥为明文111-key-a,验证密钥为明文111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
· 响应方示例
# 创建一个IKEv2 keychain,名称为telecom。
<Sysname> system-view
[Sysname] ikev2 keychain telecom
# 创建一个IKEv2 peer,名称为peer1。
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置peer1的对称预共享密钥为明文111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
# 创建一个IKEv2 peer,名称为peer2。
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置IKEv2 peer的非对称预共享密钥,签名密钥为明文111-key-b,验证密钥为明文111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相关命令】
· ikev2 keychain
· peer
3.1.37 prf
prf命令用来指定IKEv2安全提议使用的PRF算法。
undo prf命令用来恢复缺省情况。
【命令】
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
【缺省情况】
IKEv2安全提议使用配置的完整性校验算法作为PRF算法。
【视图】
IKEv2安全提议视图
【缺省用户角色】
network-admin
【参数】
aes-xcbc-mac:指定IKEv2安全提议采用的PRF算法为HMAC-AES-XCBC-MAC。
md5:指定IKEv2安全提议采用的PRF算法为HMAC-MD5。
sha1:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-1。
sha256:指定IKEv2安全提议采用的PRF算法为 HMAC-SHA-256。
sha384:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-384。
sha512:指定IKEv2安全提议采用的PRF算法为HMAC-SHA-512。
【使用指导】
一个IKEv2安全提议中可以配置多个PRF算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建IKEv2安全提议prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的PRF算法为MD5和SHA1,且优先选择SHA1。
[Sysname-ikev2-proposal-prop1] prf sha1 md5
【相关命令】
· ikev2 proposal
· integrity
3.1.38 priority (IKEv2 policy view)
priority命令用来指定IKEv2安全策略的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2安全策略的优先级为100。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2安全策略优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2安全策略时调整IKEv2安全策略的匹配顺序。
【举例】
# 指定IKEv2安全策略policy1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] priority 10
【相关命令】
· display ikev2 policy
3.1.39 priority (IKEv2 profile view)
priority命令用来配置IKEv2 profile的优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2 profile的优先级为100。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
priority:IKEv2 profile优先级,取值范围为1~65535。该数值越小,优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找IKEv2 Profile时调整IKEv2 Profile的匹配顺序。
【举例】
# 指定IKEv2 profile profile1的优先级为10。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] priority 10
3.1.40 proposal
proposal命令用来指定IKEv2安全策略引用的IKEv2安全提议。
undo proposal命令用来取消IKEv2安全策略引用的IKEv2安全提议。
【命令】
proposal proposal-name
undo proposal proposal-name
【缺省情况】
IKEv2安全策略未引用IKEv2安全提议。
【视图】
IKEv2安全策略视图
【缺省用户角色】
network-admin
【参数】
proposal-name:被引用的IKEv2安全提议的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
若同时指定了多个IKEv2安全提议,则它们的优先级按照配置顺序依次降低。
【举例】
# 配置IKEv2安全策略policy1引用IKEv2安全提议proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1
【相关命令】
· display ikev2 policy
· ikev2 proposal
3.1.41 reset ikev2 sa
reset ikev2 sa命令用来清除IKEv2 SA。
【命令】
reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
local:清除指定本端地址的IKEv2 SA信息。
remote:清除指定对端地址的IKEv2 SA信息。
ipv4-address:本端或对端的IPv4地址。
ipv6 ipv6-address:本端或对端的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN实例内的IKEv2 SA的详细信息,vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示清除公网的IKEv2 SA信息。
tunnel tunnel-id:清除指定IPsec隧道的IKEv2 SA信息,tunnel-id为IPsec隧道标识符,取值范围为1~2000000000。
fast:不等待对端的回应,直接删除本端的IKEv2 SA。若不指定本参数,则表示需要在收到对端的删除通知响应之后,再删除本端的IKEv2 SA。
【使用指导】
清除IKEv2 SA时,会向对端发送删除通知消息,同时删除子SA。
如果不指定任何参数,则删除所有IKEv2 SA及其协商生成的子SA。
【举例】
# 删除对端地址为1.1.1.2 的IKEv2 SA。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
【相关命令】
· display ikev2 sa
3.1.42 reset ikev2 statistics
reset ikev2 statistics命令用来清除IKEv2统计信息。
【命令】
reset ikev2 statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除IKEv2的统计信息。
<Sysname> reset ikev2 statistics
【相关命令】
· display ikev2 statistics
3.1.43 sa duration
sa duration命令用来配置IKEv2 SA的生存时间。
undo sa duration命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKEv2 SA的生存时间为86400秒。
【视图】
IKEv2 profile视图
【缺省用户角色】
network-admin
【参数】
seconds:IKEv2 SA的生存时间,取值范围为120~86400,单位为秒。
【使用指导】
在一个IKEv2 SA的生存时间到达之前,可以用该IKEv2 SA进行其它IKEv2协商。因此一个生存时间较长的IKEv2 SA可以节省很多用于重新协商的时间。但是,IKEv2 SA的生存时间越长,攻击者越容易收集到更多的报文信息来对它实施攻击。
本端和对端的IKEv2 SA生存时间可以不一致,也不需要进行协商,由生存时间较短的一方在本端IKEv2 SA生存时间到达之后发起重协商。
【举例】
# 创建IKEv2 profile,名称为profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置IKEv2 SA的生存时间为1200秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相关命令】
· display ikev2 profile
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqy.ip-ddns.com/post/7509.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
