https://support.huawei.com/enterprise/zh/doc/EDOC1100214487?section=j0eg
IPSec配置命令(IPSec Efficient VPN)
anti-replay window
命令功能
anti-replay window命令用来配置单个IPSec隧道的抗重放窗口的大小。
undo anti-replay window命令用来恢复某个IPSec隧道的抗重放窗口大小为缺省值。
缺省情况下,设备上没有配置单个IPSec隧道的抗重放窗口的大小,系统采用当前全局IPSec抗重放窗口的大小。
命令格式
anti-replay window window-size
undo anti-replay window
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
window-size | 指定IPSec隧道抗重放窗口的大小。 | 可取值为32、64、128、256、512、1024,单位为bit。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
在某些特定环境下,例如当网络出现拥塞时或报文经过QoS处理后,业务数据报文的序列号顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃。这种情况下就可以通过关闭IPSec抗重放功能来避免报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
前置条件
该命令在IPSec隧道抗重放功能开启时生效。缺省情况下,系统已执行命令ipsec anti-reply enable开启抗重放功能。
注意事项
同时配置anti-replay window和ipsec anti-replay window时,系统采用anti-replay window的配置;当没有配置anti-replay window时,系统采用ipsec anti-replay window的配置。
使用实例
# 配置IPSec抗重放窗口的大小为128位。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] anti-replay window 128
dh
命令功能
dh命令用来配置IKE协商时所使用的DH(Diffie-Hellman)组。
undo dh命令用来恢复为缺省配置。
缺省情况下,IKE协商时所使用的DH组为group14。
命令格式
dh { group14 | group19 | group20 | group21 }
undo dh
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
group14 | 表示IKE阶段1密钥协商时采用2048-bit的DH组。 | - |
group19 | 表示IKE阶段1密钥协商时采用256-bit ECP(Elliptic Curve Groups modulo a Prime)的DH组。 | - |
group20 | 表示IKE阶段1密钥协商时采用384-bit ECP(Elliptic Curve Groups modulo a Prime)的DH组。 | - |
group21 | 表示IKE阶段1密钥协商时采用521-bit ECP(Elliptic Curve Groups modulo a Prime)的DH组。 | - |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
DH算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三方(如黑客)截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
注意事项
在IPSec隧道的两端设置的Diffie-Hellman组必须相同,否则IKE协商不能通过。
DH密钥交换组安全级别由高到低的顺序是group21 > group20 > group19 > group14。
系统软件中不包含group1、group2和group5参数,如需使用,需要安装WEAKEA插件,但是它们的安全性低。为了保证更好的安全性,推荐使用其他DH组。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
使用实例
# 配置Efficient VPN策略中使用的DH组标识为2048-bit的DH组。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] dh group14
display ike error-info
命令功能
display ike error-info命令用来查看IKE协商IPSec隧道失败的信息。
命令格式
display ike error-info [ verbose ] [ peer remote-address ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
verbose | 显示IKE协商IPSec隧道失败的详细信息。 | - |
peer remote-address | 显示指定对端地址的IKE协商IPSec隧道失败的信息。 | 点分十进制格式。 |
视图
所有视图
缺省级别
1:监控级
使用指南
此命令只能显示最近200次IKE协商IPSec隧道失败的信息。
使用实例
# 查看IKE协商IPSec隧道失败的信息。
<HUAWEI> display ike error-info current info Num :2 Ike error information: current ike Error-info number :2 ----------------------------------------------------------------------------- peer port error-reason version error-time ----------------------------------------------------------------------------- 10.1.1.1 500 phase1 proposal mismatch v1 2013-08-26 13:42:37 10.1.1.1 500 phase1 proposal mismatch v1 2013-08-26 13:08:45 -----------------------------------------------------------------------------
# 查看IKE协商IPSec隧道失败的详细信息。
<HUAWEI> display ike error-info verbose current info Num :1 Ike error information: current ike Error-info number :1 -------------------------------------------------------------------------- Peer : 10.1.1.1 Port : 500 version : v1 Reason : phase1 proposal mismatch Detail : phase1 proposal mismatch Error-time : 2013-08-26 12:02:37 --------------------------------------------------------------------------
表8-4 display ike error-info命令输出信息描述
项目 | 描述 |
|---|---|
current info Num | 目前信息数目。 |
Ike error information | IKE协商IPSec隧道失败的信息。 |
current ike Error-info number | 目前IKE协商IPSec隧道失败的信息数目。 |
peer或Peer | 对端IP地址。 |
port或Port | 对端UDP端口号。 |
error-reason或Reason | IKE协商IPSec隧道失败的常见原因,包括:
|
version | IKE版本。 |
Error-time/error-time | IKE协商IPSec隧道失败的时间。 |
Detail | IKE协商IPSec隧道失败的详细信息。
|
display ike global config
命令功能
display ike global config命令用来查看IKE的全局配置信息。
命令格式
display ike global config
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
执行本命令,可以查看IKE的全局配置信息,例如本端名称、heartbeat报文的时间间隔、heartbeat报文的超时时间和NAT Keepalive报文的时间间隔。
使用实例
# 查看IKE的全局配置信息。
<HUAWEI> display ike global config IKE Global Config: -------------------------------------------------------------- IKE local-name : huawei IKE heartbeat-timer interval : 30 IKE heartbeat-timer timeout : 100 IKE nat-keepalive-timer interval : 52 IKEv1 phase1-phase2 sa dependent : enable IKE DSCP : - IKEv2 initial-contact : enable IKEv2 delete old child-sa : enable --------------------------------------------------------------
表8-5 display ike global config命令输出信息描述
项目 | 描述 |
|---|---|
IKE Global Config | IKE全局配置。 |
IKE local-name | IKE协商时的本端名称。可通过ike local-name命令进行配置。未配置ike local-name情况下,IKE协商时则自动使用sysname配置的设备名称进行协商。 |
IKE heartbeat-timer interval | 设备通过IKE SA发送heartbeat报文的时间间隔,单位是秒。可通过ike heartbeat-timer interval命令进行配置。 |
IKE heartbeat-timer timeout | 设备通过IKE SA等待heartbeat报文的超时时间,单位是秒。可通过ike heartbeat-timer timeout命令进行配置。 |
IKE nat-keepalive-timer interval | 设备通过IKE SA发送NAT Keepalive报文的时间间隔,单位是秒。可通过ike nat-keepalive-timer interval命令进行配置。 |
IKEv1 phase1-phase2 sa dependent | IKEv1协商中IPSec SA的存在是否依赖于IKE SA。
可通过ikev1 phase1-phase2 sa dependent命令进行配置。 |
IKE DSCP | IKE报文的全局DSCP值。可通过ike dscp命令进行配置。 |
IKEv2 initial-contact | 第一个IKE_AUTH请求消息是否发送INITIAL_CONTACT通知载荷。
可通过ikev2 initial-contact enable命令进行配置。 |
IKEv2 delete old child-sa | 是否开启通知对端删除旧的子SA功能。
可通过ikev2 delete old child-sa enable命令进行配置。 |
display ike offline-info
命令功能
display ike offline-info命令用来查看IKE协商建立的IPSec隧道被删除的信息。
命令格式
display ike offline-info [ peer remote-address ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| peer remote-address | 显示指定对端地址的IKE协商建立的IPSec隧道被删除的信息。 | 点分十进制格式。 |
视图
所有视图
缺省级别
1:监控级
使用指南
此命令只能显示最近200次IPSec隧道的删除原因和时间。
使用实例
# 查看IKE协商建立的IPSec隧道被删除的信息。
<HUAWEI> display ike offline-info Current info Num :2 Ike offline information: ----------------------------------------------------------------------------- peer offline-reason version offline-time ----------------------------------------------------------------------------- 2.1.1.2 dpd timeout v2 2017-02-18 02:12:39 2.1.1.2 dpd timeout v2 2017-02-18 01:17:06 -----------------------------------------------------------------------------
表8-6 display ike offline-info命令输出信息描述
项目 | 描述 |
|---|---|
| Current info Num | 目前消息数目。 |
| Ike offline information | IKE协商建立的IPSec隧道被删除的消息。 |
| peer | 删除的IPSec隧道的对端IP。 |
| offline-reason | IKE协商建立的IPSec隧道被删除的原因,包括:
|
| version | IKE版本。 |
| offline-time | IPSec隧道删除的时间。 |
display ike sa
命令功能
display ike sa命令用来查看由IKE协商建立的安全联盟信息。
命令格式
display ike sa [ remote ipv4-address ]
display ike sa [ remote-id-type remote-id-type ] remote-id remote-id
display ike sa verbose [ remote ipv4-address | connection-id connection-id | [ remote-id-type remote-id-type ] remote-id remote-id ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
remote ipv4-address | 指定对端IPv4地址。 | 点分十进制格式。 |
remote-id-type remote-id-type | 指定对端ID类型。 | 对端ID类型为:ip、key-id、fqdn和user-fqdn。 |
remote-id remote-id | 指定对端ID。 | 必须是已存在的对端ID。 |
verbose | 显示安全联盟的详细信息。 说明:仅配置该参数不携带其他参数时,该命令可以查看所有sa详细信息。 | - |
connection-id connection-id | 指定安全联盟的连接索引。 | 整数形式,取值范围为1~4294967295。 |
视图
所有视图
缺省级别
1:监控级
使用指南
display ike sa命令可以查看到的信息包括:安全联盟的连接索引、安全联盟的对端IP地址、VPN实例名称、SA所属阶段、对端ID类型、对端ID、此安全联盟的状态。
项目
描述
IKE SA information
安全联盟配置信息。
Conn-ID
安全联盟的连接索引。
Peer
对端的IP地址和UDP端口号。
VPN
应用IPSec安全策略的接口所绑定的VPN实例。
Flag(s)
安全联盟的状态:
RD--READY:表示此SA已建立成功。
ST--STAYALIVE:表示此端是通道协商发起方。
RL--REPLACED:表示此通道已经被新的通道代替,一段时间后将被删除。
FD--FADING:表示此通道已发生过一次软超时,目前还在使用,在硬超时时会删除此通道。
TO--TIMEOUT:表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文,如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文,此SA将被删除。
HRT--HEARTBEAT:表示本端IKE SA发送heartbeat报文。
LKG--LAST KNOWN GOOD SEQ NO.:表示已知的最后的序列号。
BCK--BACKED UP:表示备份状态。
M--ACTIVE:表示IPSec策略组状态为主状态。
S--STANDBY:表示IPSec策略组状态为备状态。
A--ALONE:表示IPSec策略组状态为不备份状态。
NEG--NEGOTIATING:表示SA正在协商中。
字段为空:表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致。
Phase
SA所属阶段:
v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。
v1:2或v2:2:v1和v2表示IKE的版本;2表示协商安全服务的阶段,此阶段建立IPSec SA。
RemoteType
对端ID类型。
RemoteID
对端ID。
# 对等体间采用IKEv1协商IPSec时,显示建立的IKE SA和IPSec SA的详细信息。
<HUAWEI> display ike sa verbose remote 10.100.1.1 ------------------------------------------------ Ike Sa phase : 2 Establish Time : 2017-02-08 13:10:29 PortCfg Index : 0x448 IKE Peer Name : _resv_ikev1__1 Connection Id : 26 Version : v1 Flow VPN : Peer VPN : ------------------------------------------------ Initiator Cookie : 0x33d7a5bbf8ad12bb Responder Cookie : 0xf311b3991d739d38 Local Address : 10.1.1.1/500 Remote Address : 10.100.1.1/500 PFS : Flags : RD|ST|A ------------------------------------------------ ------------------------------------------------ Ike Sa phase : 1 Establish Time : 2017-02-07 20:57:48 PortCfg Index : 0x448 IKE Peer Name : _resv_ikev1__1 Connection Id : 7 Version : v1 Exchange Mode : Aggressive Flow VPN : Peer VPN : ------------------------------------------------ Initiator Cookie : 0x33d7a5bbf8ad12bb Responder Cookie : 0xf311b3991d739d38 Local Address : 10.1.1.1/500 Remote Address : 10.100.1.1/500 Encryption Algorithm : 3DES-CBC Authentication Algorithm : SHA1 Authentication Method : Pre-Shared key DPD Capability : Yes DPD Enable : Yes DPD Message Learning Enable : Yes DPD Message Format : Seq-Notify-Hash Reference Counter : 0 Flags : RD|ST|A Local Id Type : IP local Id : 10.1.1.1 Remote Id Type : IP Remote Id : 10.1.1.2 DH Group : 2 NAT Traversal Version : RFC3947 SA Remaining Soft Timeout (sec):100 SA Remaining Hard Timeout (sec):200 ------------------------------------------------ Number of IKE SA : 2 ------------------------------------------------ Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
# 对等体间采用IKEv2协商IPSec时,显示建立的IKE SA和IPSec SA的详细信息。
<HUAWEI> display ike sa verbose remote 10.100.1.1 ------------------------------------------------ Ike Sa phase : 2 Establish Time : 2017-02-20 22:07:57 PortCfg Index : 0x98 IKE Peer Name : _resv_ikev2__1 Connection Id : 4 Version : v2 Flow VPN : Peer VPN : ------------------------------------------------ Initiator Cookie : 0x039b87ea4e1e91b2 Responder Cookie : 0xdedd86121d2038d7 Local Address : 10.1.1.1/500 Remote Address : 10.100.1.1/4500 PFS : Flags : RD|ST|A ------------------------------------------------ ------------------------------------------------ Ike Sa phase : 1 Establish Time : 2017-02-20 22:07:57 PortCfg Index : 0x98 IKE Peer Name : _resv_ikev2__1 Connection Id : 3 Version : v2 Flow VPN : Peer VPN : ------------------------------------------------ Initiator Cookie : 0x039b87ea4e1e91b2 Responder Cookie : 0xdedd86121d2038d7 Local Address : 10.1.1.1/500 Remote Address : 10.100.1.1/4500 Encryption Algorithm : 3DES-CBC Authentication Method : Pre-Shared key Integrity Algorithm : hmac-sha1-96 Prf Algorithm : hmac-sha1 DPD Capability : Yes DPD Enable : Yes Reference Counter : 1 Flags : RD|ST|A Local Id Type : IP Local Id : huawei1Remote Id Type : IP Remote Id : huawei DH Group : 14 Re-authentication remaining time (sec) : - SA Remaining Soft Timeout (sec) :100 SA Remaining Hard Timeout (sec) :200 ------------------------------------------------ Number of IKE SA : 2 ------------------------------------------------ Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
表8-8 display ike sa verbose命令输出信息描述
项目 | 描述 |
|---|---|
Ike Sa phase | SA所属阶段:
|
Establish Time | 安全联盟的创建时间。 |
PortCfg Index | 应用IPSec安全策略的接口索引。 |
IKE Peer Name | IKE对等体名称。 |
Connection Id | 安全联盟的连接索引。 |
Version | IKE对等体开启的IKE协议版本:
|
Exchange Mode | IKEv1阶段1协商模式。
|
Flow VPN | 数据流所属VPN实例。 |
Peer VPN | IKE对等体所属VPN实例。 |
Initiator Cookie | IKE协商发起者的cookie。 |
Responder Cookie | IKE协商响应者的cookie。 |
Local Address | IPSec隧道的本端IP地址。 |
Remote Address | IPSec隧道的对端IP地址和UDP端口号。 |
Encryption Algorithm | IKE安全提议使用的加密算法。 |
Authentication Algorithm | IKE安全提议使用的认证算法。 |
Authentication Method | IKE安全提议使用的认证方法。 |
Integrity Algorithm | IKEv2协商IKE安全提议使用的完整性算法。 |
Prf Algorithm | IKEv2协商伪随机数产生函数的算法。 |
DPD Capability | DPD能力是否协商成功:
|
DPD Enable | 是否开启DPD功能:
|
DPD Message Learning Enable | 是否开启DPD报文的载荷顺序自学习功能:
可通过dpd msg notify-hash-sequence learning命令进行配置。 |
DPD Message Format | DPD报文的载荷顺序。
|
Reference Counter | IKE SA协商出的IPSec SA数目。 |
PFS | IPSec隧道协商时使用完美的前向安全PFS(Perfect Forward Secrecy)功能。 |
Flags | 安全联盟的状态:
|
Local Id Type | 本端ID类型。 |
Local Id | IKE协商时的本端ID。 |
Remote Id Type | 对端ID类型。 |
Remote Id | IKE协商时的对端ID。 |
DH Group | IKE安全提议使用的DH密钥交换参数。 |
NAT Traversal Version | NAT穿越版本:
|
Re-authentication remaining time (sec) | IKEv2发起重认证的剩余时间,单位为秒。 |
SA Remaining Soft Timeout (sec) | IKE SA剩余的软存活时间,单位为秒。 |
SA Remaining Hard Timeout (sec) | IKE SA剩余的硬存活时间,单位为秒。 |
Number of IKE SA | IKE SA和IPSec SA的总数。 |
display ike statistics
命令功能
display ike statistics用来查看IKE运行统计信息。
命令格式
display ike statistics { v1 | v2 }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
v1 | 查看IKEv1运行统计信息。 | - |
v2 | 查看IKEv2运行统计信息。 | - |
视图
所有视图
缺省级别
1:监控级
使用指南
当通过IKE协商建立IPSec隧道出现故障时,通过查看IKE运行过程中的统计信息,如IKE对等体、IKE安全联盟、DPD检测报文等相关的统计信息,有助于诊断和定位故障。
使用实例
# 查看IKEv1运行统计信息。
<HUAWEI> display ike statistics v1 -------------------------------------------------------------------------------- IKE V1 statistics information Number of total peers : 7 Maximum of total peers in history : 0 Begin time of total peers : 2015-04-08 21:23:10 Maximum time of total peers : 2015-04-08 21:23:10 Number of proposals : 4 Number of established V1 phase 1 SAs : 0 Number of established V1 phase 2 SAs : 0 Number of total V1 phase 1 SAs : 0 Number of total V1 phase 2 SAs : 0 Number of total SAs : 0 Maximum of V1 phase 1 SAs in history : 0 Begin time of V1 phase 1 SAs : 2015-04-08 21:23:10 Maximum time of V1 phase 1 SAs : 2015-04-08 21:23:10 Maximum of V1 phase 2 SAs in history : 0 Begin time of V1 phase 2 SAs : 2015-04-08 21:23:10 Maximum time of V1 phase 2 SAs : 2015-04-08 21:23:10 Maximum of total SAs in history : 0 Begin time of total SAs : 2015-04-08 21:23:10 Maximum time of total SAs : 2015-04-08 21:23:10 Number of messages in V1 fast queue : 0 Number of messages in V1 slow queue : 0 Number of DPD request sent : 0 Number of DPD ack received : 0 Number of DPD request received : 0 Number of DPD ack sent : 0 Number of DPD request receive dropped : 0 Number of DPD ack receive dropped : 0 --------------------------------------------------------------------------------
# 查看IKEv2运行统计信息。
<HUAWEI> display ike statistics v2 -------------------------------------------------------------------------------- IKE V2 statistics information Number of total peers : 0 Maximum of total peers in history : 0 Begin time of total peers : 2015-04-08 21:23:10 Maximum time of total peers : 2015-04-08 21:23:10 Number of proposals : 4 Number of established V2 phase 1 SAs : 0 Number of established V2 phase 2 SAs : 0 Number of total V2 phase 1 SAs : 0 Number of total V2 phase 2 SAs : 0 Number of total SAs : 0 Maximum of V2 phase 1 SAs in history : 0 Begin time of V2 phase 1 SAs : 2015-04-08 21:23:10 Maximum time of V2 phase 1 SAs : 2015-04-08 21:23:10 Maximum of V2 phase 2 SAs in history : 0 Begin time of V2 phase 2 SAs : 2015-04-08 21:23:10 Maximum time of V2 phase 2 SAs : 2015-04-08 21:23:10 Maximum of total SAs in history : 0 Begin time of total SAs : 2015-04-08 21:23:10 Maximum time of total SAs : 2015-04-08 21:23:10 Number of messages in V2 fast queue : 0 Number of messages in V2 slow queue : 0 Number of DPD request sent : 0 Number of DPD ack received : 0 Number of DPD request received : 0 Number of DPD ack sent : 0 Number of DPD request receive dropped : 0 Number of DPD ack receive dropped : 0 --------------------------------------------------------------------------------
表8-9 display ike statistics命令输出信息描述
项目 | 描述 |
|---|---|
IKE V1 statistics information | IKEv1运行统计信息。 |
IKE V2 statistics information | IKEv2运行统计信息。 |
Number of total peers | 对等体总数目。 |
Maximum of total peers in history | 对等体总数目所达到的最大值。 |
Begin time of total peers | 计算对等体总数目的起始时间。 |
Maximum time of total peers | 对等体总数目所达到的最大值的时间。 |
Number of proposals | IKE安全提议数目。 |
Number of established V1/V2 phase 1 SAs | 建立成功的阶段1安全联盟总数目。 |
Number of established V1/V2 phase 2 SAs | 建立成功的阶段2安全联盟总数目。 |
Number of total V1/V2 phase 1 SAs | 阶段1安全联盟总数目。 |
Number of total V1/V2 phase 2 SAs | 阶段2安全联盟总数目。 |
Number of total SAs | 安全联盟总数目。 |
Maximum of V1/V2 phase 1 SAs in history | 阶段1安全联盟总数目所达到的最大值。 |
Begin time of V1/V2 phase 1 SAs | 计算阶段1安全联盟总数目的起始时间。 |
Maximum time of V1/V2 phase 1 SAs | 阶段1安全联盟总数目所达到的最大值的时间。 |
Maximum of V1/V2 phase 2 SAs in history | 阶段2安全联盟总数目所达到的最大值。 |
Begin time of V1/V2 phase 2 SAs | 计算阶段2安全联盟总数目的起始时间。 |
Maximum time of V1/V2 phase 2 SAs | 阶段2安全联盟总数目所达到的最大值的时间。 |
Maximum of total SAs in history | 安全联盟总数目所达到的最大值。 |
Begin time of total SAs | 计算安全联盟总数目的起始时间。 |
Maximum time of total SAs | 安全联盟总数目所达到的最大值的时间。 |
Number of messages in V1/V2 fast queue | 入快队列的IKE报文数。 |
Number of messages in V1/V2 slow queue | 入慢队列的IKE报文数。 |
Number of DPD request sent | 发送的DPD请求报文数。 |
Number of DPD ack received | 接收的DPD应答报文数。 |
Number of DPD request received | 接收的DPD请求报文数。 |
Number of DPD ack sent | 发送的DPD应答报文数。 |
Number of DPD request receive dropped | 收到的DPD请求报文被丢弃数。 |
Number of DPD ack receive dropped | 收到的DPD响应报文被丢弃数。 |
display ikev2 statistics
命令功能
display ikev2 statistics命令用来查看IKEv2协商IPSec隧道的统计信息。
命令格式
display ikev2 statistics { error | notify-info | packet | sa }
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
| error | 指定显示IKEv2协商IPSec隧道相关的错误统计信息。 | - |
| notify-info | 指定显示IKEv2协商IPSec隧道相关的通知消息统计信息。 | - |
| packet | 指定显示IKEv2协商IPSec隧道相关的报文统计信息。 | - |
| sa | 指定显示IKEv2协商IPSec隧道相关的SA统计信息。 | - |
视图
所有视图
缺省级别
1:监控级
使用指南
执行本命令可以查看IKEv2协商IPSec隧道相关的错误、报文、SA和通知消息统计信息。
使用实例
# 查看IKEv2协商IPSec隧道相关的错误统计信息。
<HUAWEI> display ikev2 statistics error Error statistics: ------------------------------------------------------------------------------- Config error: Version error :0 Peer address can not match with any ike peer config :0 Phase1 proposal mismatch :0 Phase2 proposal or pfs mismatch:0 Responder dh mismatch :0 Initiator dh mismatch :0 Flow mismatch :1 ID can not match with any ike peer config :0 Construct local id fail :0 Authentication fail (may be pre-shared-key error) :0 Peer's flow netmask range is too wide :0 ------------------------------------------------------------------------------- Packet or payload error: Invalid length :0 Message-id unordered :0 Unknown exchange type :0 Invalid cookie :6 Shortpacket :0 Malformed message :4 Malformed payload :0 Rekey, not find old child:0 Rekey, old child close :14 Exchange-type or role(initiator or responder) mismatch :0 Unexpected critical payload, drop :0 Unexpected uncritical payload, ignore :0 ------------------------------------------------------------------------------- Maybe ddos attack: Responder request IKEV2_COOKIE :0 Responder receive invalid cookie for IKEV2_COOKIE request :0 Responder receive no cookie for IKEV2_COOKIE request :0 ------------------------------------------------------------------------------- System abnormal: Fail decrypt :0 Fail encrypt :0 Fail integrity check :0 No memory, fail send packet :0 No memory, fail process packet :0 ------------------------------------------------------------------------------- System limited: First packet speed limited :0 License limited :0 -------------------------------------------------------------------------------
表8-10 display ikev2 statistics error命令输出信息描述
项目 | 描述 |
|---|---|
Error statistics | 错误统计信息。 |
Config error | 配置错误。 |
Version error | IKE版本不匹配。 |
Peer address can not match with any ike peer config | 根据对端地址没有找到对应的IKE peer。 |
Phase1 proposal mismatch | 第一阶段安全提议不匹配。 |
Phase2 proposal or pfs mismatch | 第二阶段安全提议或PFS不匹配。 |
Responder dh mismatch | 接收端DH组匹配失败(但是,在发起端的算法列表中若发现可以匹配的DH组,此时会向发起端发送一个information消息,通知对端使用匹配的那个DH组进行协商,如果发起端接受这个information消息,则协商成功。) |
Initiator dh mismatch | 发起端DH组匹配失败,即收到请求匹配DH组的消息后,处理失败。 |
Flow mismatch | 数据流不匹配。 |
ID can not match with any ike peer config | 对端ID与IKE Peer中配置的不匹配。 |
Construct local id fail | 构造本端ID失败。 |
| Authentication fail (may be pre-shared-key error) | 认证失败,可能是预共享密钥不匹配。 |
| Peer's flow netmask range is too wide | 对端流的掩码长度过大。 |
Packet or payload error | 报文或载荷错误。 |
Invalid length | 长度错误。 |
Message-id unordered | Message ID乱序。 |
Unknown exchange type | 未知的交换类型。 |
Invalid cookie | 无效的cookie:
|
| Shortpacket | 超短报文。 |
| Malformed message | 非法消息。 |
| Malformed payload | 非法载荷。 |
| Rekey, not find old child | 重协商时,找不到旧的IPSec SA。 |
| Rekey, old child close | 重协商时,旧的IPSec SA下线。 |
| Exchange-type or role(initiator or responder) mismatch | 交换类型或角色(发起端或接收端)不匹配。 |
| Unexpected critical payload, drop | 丢弃的未识别的关键载荷。 |
| Unexpected uncritical payload, ignore | 忽略的未识别的非关键载荷。 |
| Maybe ddos attack | 可能是DDoS攻击。 |
| Responder request IKEV2_COOKIE | 协商状态的SA超过门限值时,请求cookie。 |
| Responder receive invalid cookie for IKEV2_COOKIE request | 请求cookie后,收到的应答cookie不合法。 |
| Responder receive no cookie for IKEV2_COOKIE request | 请求cookie后,没有收到cookie应答。 |
| System abnormal | 系统异常。 |
| Fail decrypt | 解密失败。 |
| Fail encrypt | 加密失败。 |
| Fail integrity check | 完整性检查失败。 |
| No memory, fail send packet | 内存不足,报文发送失败。 |
| No memory, fail process packet | 内存不足,报文解析失败。 |
| System limited | 系统限制。 |
| First packet speed limited | 首包限速。 |
| License limited | License限制。 |
# IKEv2协商IPSec隧道相关的通知消息统计信息。
<HUAWEI> display ikev2 statistics notify-info Ikev2 notification statistics: ------------------------------------------------------------------------------- Notification: INVALID_IKE_SPI notification send:0 receive:0 INVALID_MAJOR_VERSION notification send:0 receive:0 INVALID_SYNTAX notification send:0 receive:0 INVALID_IPSEC_SPI notification send:0 receive:0 INVALID_KE_PAYLOAD notification send:0 receive:0 SINGLE_PAIR_REQUIRED notification send:0 receive:0 NO_ADDITIONAL_SA notification send:0 receive:0 TS_UNACCEPTABLE notification send:0 receive:0 INVALID_IPSEC_SELECTORS notification send:0 receive:0 INITIAL_CONTACT payload send:0 receive:0 SET_WINDOW_SIZE payload send:0 receive:0 NAT_DETECTION_SOURCE_IP payload send:0 receive:0 NAT_DETECTION_DESTINATION_IP payload send:0 receive:0 USE_TRANSPORT_MODE notification send:0 receive:0 REKEY_SA notification send:0 receive:0 ESP_TFC_PADDING_NOT_SUPPORTED payload send:0 receive:0 AUTH_LIFETIME payload send:0 receive:0 REDIRECT payload send:0 receive:0 DELETE_OLD_CHILDSA notification send:0 receive:0 DSCP payload send:0 receive:0 IKEV2_FRAGMENTATION_SUPPORTED payload send:0 receive:0 -------------------------------------------------------------------------------
表8-11 display ikev2 statistics notify-info命令输出信息描述
项目 | 描述 |
|---|---|
Ikev2 notification statistics | IKEv2通知消息统计信息。 |
Notification | IKEv2通知消息。 |
INVALID_IKE_SPI notification | 非法IKE SPI通知消息。 |
INVALID_MAJOR_VERSION notification | 非法Major版本号通知消息。 |
INVALID_SYNTAX notification | 语法错误通知消息。 |
INVALID_IPSEC_SPI notification | 非法IPSec SPI通知消息。 |
INVALID_KE_PAYLOAD notification | KE载荷不正确。 |
SINGLE_PAIR_REQUIRED notification | Single_Pair_Required通知消息。 |
NO_ADDITIONAL_SA notification | 没有额外的SA通知消息。 |
TS_UNACCEPTABLE notification | 非法的TS载荷。 |
INVALID_IPSEC_SELECTORS notification | 非法IPSec Selectors通知消息。 |
| INITIAL_CONTACT payload | Initial_Contact通知消息。 |
SET_WINDOW_SIZE payload | Set_Window_Size通知消息。 |
NAT_DETECTION_SOURCE_IP payload | NAT源IP地址通知消息。 |
NAT_DETECTION_DESTINATION_IP payload | NAT目的IP地址通知消息。 |
USE_TRANSPORT_MODE notification | 传输模式通知消息。 |
REKEY_SA notification | SA重协商通知消息。 |
| ESP_TFC_PADDING_NOT_SUPPORTED payload | ESP_TFC_Padding_Not_Supported通知消息。 |
| AUTH_LIFETIME payload | Auth_Lifetime通知消息。 |
| REDIRECT payload | 重定向通知消息。 |
| DELETE_OLD_CHILDSA notification | Delete_Old_ChildSa通知消息。 |
| DSCP payload | DSCP通知消息。 |
| IKEV2_FRAGMENTATION_SUPPORTED payload | IKEV2_FRAGMENTATION_SUPPORTED通知载荷消息。 |
| send | 发送的消息数。 |
| receive | 接收的消息数。 |
# IKEv2协商IPSec隧道相关的报文统计信息。
<HUAWEI> display ikev2 statistics packet Packet statistics: ------------------------------------------------------------------------------- Ike_init request send :0 Ike_init request recv :0 Ike_init response recv :0 Ike_init response send :0 Ike_auth request send :0 Ike_auth request recv :0 Ike_auth response recv :0 Ike_auth response send :0 Create_child req send :0 Create_child req recv :0 Create_child resp recv :0 Create_child resp send :0 Ike_info request send :0 Ike_info request recv :0 Ike_info response recv :0 Ike_info response send :0 Del_info request send :0 Del_info request recv :0 Del_info response recv :0 Del_info response send :0 DPD_info request send :0 DPD_info request recv :0 DPD_info response recv :0 DPD_info response send :0 DPD_info req recv drop :0 DPD_info resp recv drop :0 Fragment message send :0 Fragment message recv :0 Fragment packet send :0 Fragment packet recv :0 Ike_init request resend :0 Ike_auth request resend :0 Create_child req resend :0 Ike_info request resend :0 -------------------------------------------------------------------------------
表8-12 display ikev2 statistics packet命令输出信息描述
项目 | 描述 |
|---|---|
Packet statistics | IPSec的报文统计。 |
Ike_init request send | 发送ike_init(IKE安全联盟初始交换)请求的个数。 |
Ike_init request recv | 接收ike_init请求的个数。 |
Ike_init response recv | 接收ike_init响应的个数。 |
Ike_init response send | 发送ike_init响应的个数。 |
| Ike_auth request send | 发送ike_auth(IKE认证交换)请求的个数。 |
Ike_auth request recv | 接收ike_auth请求的个数。 |
Ike_auth response recv | 接收ike_auth响应的个数。 |
Ike_auth response send | 发送ike_auth响应的个数。 |
Create_child req send | 发送create_child(创建子隧道,对应IPSec SA)请求的个数。 |
Create_child req recv | 接收create_child请求的个数。 |
Create_child resp send | 发送create_child响应的个数。 |
Create_child resp recv | 接收create_child响应的个数。 |
Ike_info request send | 发送ike_info(IKE通知交换)请求的个数。 |
| Ike_info request recv | 接收ike_info请求的个数。 |
| Ike_info response recv | 接收ike_info响应的个数。 |
| Ike_info response send | 发送ike_info响应的个数。 |
| Del_info request send | 发送del_info(删除隧道信息)请求的个数。 |
| Del_info request recv | 接收del_info请求的个数。 |
| Del_info response recv | 接收del_info响应的个数 |
| Del_info response send | 发送del_info响应的个数。 |
| Dpd_info request send | 发送dpd_info(DPD信息)请求的个数。 |
| Dpd_info request recv | 接收dpd_info请求的个数。 |
| Dpd_info response recv | 接收dpd_info响应的个数。 |
| Dpd_info response send | 发送dpd_info响应的个数。 |
| Dpd_info req recv drop | 接收dpd_info请求被丢弃的个数。 |
| Dpd_info resp recv drop | 接收dpd_info响应被丢弃的个数。 |
| Fragment message send | 发送分片消息的个数。 |
| Fragment message recv | 接收分片消息的个数。 |
| Fragment packet send | 发送分片报文的个数。 |
| Fragment packet recv | 接收分片报文的个数。 |
| Ike_init request resend | 重传ike_init请求的个数。 |
| Ike_auth request resend | 重传ike_auth请求的个数。 |
| Create_child req resend | 重传create_child请求的个数。 |
| Ike_info request resend | 重传ike_info请求的个数。 |
# IKEv2协商IPSec隧道相关的SA统计信息。
<HUAWEI> display ikev2 statistics sa Sa establish and offline statistic: ------------------------------------------------------------------------------- Establish: Initiator request phase1 negotiation :33 Initiator request phase2 negotiation :16 Initiator request and success phase1 negotiation :10 Initiator request and success phase2 negotiation :41 Responder response phase1 negotiation :0 Responder response phase2 negotiation :0 Responder response and success phase1 negotiation :0 Responder response and success phase2 negotiation :0 Offline: Receive delete info :1 Config modify :0 Manual reset :1 Dpd timeout :0 Phase1 hardware expire :0 Phase2 hardware expire :0 Phase1 replace :0 Phase2 replace :0 Aaa cut user :0 Reauth timeout :0 Flow overlap :0 IP address syn failed :0 Port mismatch :0 Kick old SA :0 CPU table updated :0 SPI conflict :0 EAP delete old sa :0 Hash gene adjusted :0 -------------------------------------------------------------------------------
表8-13 display ikev2 statistics sa命令输出信息描述
项目 | 描述 |
|---|---|
Sa establish and offline statistic | SA的建立和删除信息。 |
| Establish | IPSec隧道建立信息统计。 |
| Initiator request phase1 negotiation | 发起端请求第一阶段协商的次数。 |
| Initiator request phase2 negotiation | 发起端请求第二阶段协商的次数。 |
Initiator request and success phase1 negotiation | 发起端请求第一阶段协商成功的次数。 |
Initiator request and success phase2 negotiation | 发起端请求第二阶段协商成功的次数。 |
Responder response phase1 negotiation | 响应端响应第一阶段协商的次数。 |
Responder response phase2 negotiation | 响应端响应第二阶段协商的次数。 |
Responder response and success phase1 negotiation | 响应端响应第一阶段协商成功的次数。 |
Responder response and success phase2 negotiation | 响应端响应第二阶段协商成功的次数。 |
Offline | IPSec隧道删除信息统计。 |
Receive delete info | 收到删除消息删除隧道的次数。 |
Config modify | 修改配置删除隧道的次数。 |
Manual reset | 手动删除隧道的次数。 |
| Phase1 hardware expire | 第一阶段硬超时删除隧道的次数。 |
| Phase2 hardware expire | 第二阶段硬超时删除隧道的次数。 |
| Phase1 replace | 第一阶段隧道重协商的次数。 |
| Phase2 replace | 第二阶段隧道重协商的次数。 |
| Aaa cut user | AAA强制用户下线导致删除隧道的次数。 |
| Dpd timeout | DPD探测超时删除隧道的次数。 |
| Reauth timeout | 重新认证超时删除隧道的次数。 |
Flow overlap | 加密流中的IP地址与对端的IP地址冲突导致删除隧道的次数。 |
IP address syn failed | IP地址同步失败导致删除隧道的次数。 |
Port mismatch | UDP端口不匹配导致删除隧道的次数。 |
Kick old SA | 流冲突导致删除隧道的次数。 |
CPU table updated | CPU表刷新导致删除隧道的次数。 |
SPI conflict | SPI冲突导致删除隧道的次数。 |
EAP delete old sa | EAP认证时设备删除老SA的次数。 |
Hash gene adjusted | Hash因子调整导致删除隧道的次数。 |
display ipsec efficient-vpn
命令功能
display ipsec efficient-vpn命令用来查看Efficient VPN策略的信息。
命令格式
display ipsec efficient-vpn [ brief | capability | name efficient-vpn-name ]
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
brief | 查看Efficient VPN策略的简要信息。 | - |
capability | 查看当前Efficient VPN策略支持的IPSec配置信息。 | - |
name efficient-vpn-name | 查看指定名称的Efficient VPN策略信息。 | 必须是已存在的Efficient VPN策略名称。 |
视图
所有视图
缺省级别
1:监控级
使用指南
配置完Efficient VPN策略后,可以执行本命令了解Efficient VPN策略的配置信息,例如Efficient VPN策略的名称、接口、认证方法、IKE版本号、DH算法和PFS算法。
使用实例
# 查看Efficient VPN策略的简要信息。
<HUAWEI> display ipsec efficient-vpn brief Total number of IPSec efficient-vpn: 1 Efficient-vpn name Efficient-vpn mode ------------------------------------------ v1 client
# 查看名称为easyvpn_1的Efficient VPN策略信息。
<HUAWEI> display ipsec efficient-vpn name easyvpn_1 ===========================================IPSec efficient-vpn name: easyvpn_1 Using interface : Vlanif27 =========================================== IPSec Efficient-vpn Mode : 1 (1:Client 2:Network 3:Network-plus) ACL Number : Auth Method : 8 (8:PSK) VPN name : wbh Local ID Type : 11 (1:IP 2:Name 3:User-fqdn 11:Key-id) IKE Version : 2 (1:IKEv1 2:IKEv2) Remote Address : 10.10.10.1 Pre Shared Key Cipher : ****** DH Group : DH group 14 PFS Type : DH group 14 Remote Name : Re-auth interval : 400 seconds Anti-replay window size : 0 Service-scheme name : ser DPD message type : seq-notify-hash DPD message learning : enable Interface loopback : LoopBack0 Interface loopback IP : 1.1.1.1/32
表8-14 display ipsec efficient-vpn命令输出信息描述
项目 | 描述 |
|---|---|
Total number of IPSec efficient-vpn | Efficient VPN策略的总数目。 |
IPSec Efficient-vpn Name | Efficient VPN策略的名称。可通过ipsec efficient-vpn(系统视图)命令进行配置。 |
Using interface | 应用Efficient VPN策略的接口。 |
IPSec Efficient-vpn Mode | Efficient VPN策略的运行模式:
|
ACL Number | Efficient VPN策略引用的ACL号。可通过security acl命令进行配置。 |
Auth Method | Efficient VPN策略使用的认证方法为预共享密钥认证(8)。 |
VPN name | 绑定的VPN实例名称。可通过sa binding vpn-instance(Efficient VPN策略视图)命令进行配置。 |
Local ID Type | IKE协商时本端ID类型:
可通过local-id-type命令进行配置。 |
IKE Version | 配置的IKE版本:
|
Remote Address | 对端IP地址。可通过remote-address(Efficient VPN策略视图)命令进行配置。 |
Pre Shared Key Cipher | 预共享密钥。可通过pre-shared-key(Efficient VPN策略视图)命令进行配置。 |
DH Group | IKE安全提议使用的DH密钥交换参数,可通过dh命令进行配置。 |
PFS Type | IKE发起协商时使用的PFS特性,可通过pfs命令进行配置。 |
Remote Name | IKE协商时的对端名称。 |
Re-auth interval | IKEv2重认证的时间间隔。可通过re-authentication interval命令进行配置。 |
Anti-replay window size | IPSec抗重放窗口的大小,在抗重放功能使能时生效。可通过anti-replay window命令进行配置。 取值为0时,表示全局IPSec抗重放功能处于开启状态。可通过ipsec anti-replay enable命令进行配置。 |
Service-scheme name | 引用的业务方案名称。可通过service-scheme(Efficient VPN策略视图)命令进行配置。 |
DPD message type | DPD报文中的载荷顺序:
|
DPD message learning | 是否开启DPD报文的载荷顺序自学习功能:
可通过dpd msg notify-hash-sequence learning命令进行配置。 |
Interface loopback | LoopBack接口编号,该接口由Remote端自动创建,并采用该接口与Server端建立IPSec隧道。 |
Interface loopback IP | LoopBack接口的IP地址,该IP地址由Server端为Remote端分配。 |
# 查看当前Efficient VPN策略支持的IPSec配置信息。
<HUAWEI> display ipsec efficient-vpn capability IKEv1 Global Supported Algorithms ------------------------------------------------------- Supported DH Groups: DH_GROUP1 | DH_GROUP2 | DH_GROUP5 | DH_GROUP14 | DH_GROUP19 | DH_GROUP20 | DH_GROUP21 Supported Encryption Algorithms: DES | 3DES | AES128 | AES192 | AES256 Supported Authentication Algorithms: MD5 | SHA1 | SHA2-256 | SHA2-384 | SHA2-512 Supported Authentication Methods: Pre Shared Key IKEv2 Global Supported Algorithms ------------------------------------------------------- Supported DH Groups: DH_GROUP1 | DH_GROUP2 | DH_GROUP5 | DH_GROUP14 | DH_GROUP19 | DH_GROUP20 | DH_GROUP21 Supported Encryption Algorithms: DES | 3DES | AES128 | AES192 | AES256 Supported Integrity Algorithms: MD5 | SHA1 | AES-XCBC-96 | SHA2-256 | SHA2-384 | SHA2-512 Supported PRF: PRF-MD5 | PRF-SHA1 | PRF-AES-XCBC-128 | PRF-SHA2-256 | PRF-SHA2-384 | PRF-SHA2-512 IPSEC Global Supported Algorithms ------------------------------------------------------- Supported Security Protocols: ESP Supported Encapsulation Modes: TUNNEL Supported Authentication Algorithms: MD5 | SHA1 | SHA256 | SHA384 | SHA512 Supported Encryption Algorithms: DES | 3DES | AES128 | AES192 | AES256
项目
描述
IKEv1 Global Supported Algorithms
Efficient VPN策略使用IKEv1版本时支持的各种算法。表示Server端只能使用这些算法与Remote端进行协商。
Supported DH Groups
使用IKEv1或IKEv2版本时,支持的DH组。
Supported Encryption Algorithms
使用IKEv1或IKEv2版本时,支持的加密算法。
Supported Authentication Algorithms
使用IKEv1版本时,支持的认证算法。
Supported Authentication Methods
使用IKEv1版本时,支持的认证算法:Pre Shared Key(预共享密钥认证)。
IKEv2 Global Supported Algorithms
Efficient VPN策略使用IKEv2版本时支持的各种算法。表示Server端只能使用这些算法与Remote端进行协商。
Supported Integrity Algorithms
使用IKEv2版本时,支持的完整性算法。
Supported PRF
使用IKEv2版本时,支持的prf算法。
IPSEC Global Supported Algorithms
IPSec全局支持的算法。
Supported Security Protocols
支持的安全协议:ESP。
Supported Encapsulation Modes
支持的数据封装模式:TUNNEL(隧道模式)。
Supported Authentication Algorithms
IPSec支持的认证算法。
Supported Encryption Algorithms
IPSec支持的加密算法。
display ipsec global config
命令功能
display ipsec global config命令用来查看IPSec的全局配置信息。
命令格式
display ipsec global config
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
执行本命令,可以查看IPSec的全局配置信息,例如SA全局生存周期和是否使能抗重放功能。
使用实例
# 查看IPSec的全局配置信息。
<HUAWEI> display ipsec global config IPSec Global Config: -------------------------------------------------------------- IPSec sa global-duration time-based(seconds) : 3600 IPSec sa global-duration traffic-based(kbytes) : 1843200 IPSec anti-replay : enable --------------------------------------------------------------
表8-16 display ipsec global config命令输出信息描述
项目 | 描述 |
|---|---|
IPSec Global Config | IPSec全局配置。 |
IPSec sa global-duration time-based(seconds) | 以时间为基准的SA全局生存周期,单位是秒。可通过ipsec sa global-duration time-based命令进行配置。 |
IPSec sa global-duration traffic-based(kbytes) | 以流量为基准的SA全局生存周期,单位是千字节。可通过ipsec sa global-duration traffic-based命令进行配置。 |
IPSec anti-replay | 是否使能抗重放功能。可通过ipsec anti-replay enable命令进行配置。 |
display ipsec interface brief
命令功能
display ipsec interface brief命令用来查看接口下引用的IPSec策略信息。
命令格式
display ipsec interface brief
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
接口下引用IPSec策略后,可以执行本命令查看接口下引用的IPSec策略信息,例如IPSec策略和引用IPSec策略的接口。
使用实例
# 查看接口下引用的IPSec策略信息。
<HUAWEI> display ipsec interface brief ------------------------------------------------ IPSec policy : evpn_client Using interface : Vlanif100 IPSec policy number : - IPSec policy Type : efficient-vpn ------------------------------------------------
表8-17 display ipsec interface brief命令输出信息描述
项目 | 描述 |
|---|---|
IPSec policy | 接口引用的IPSec策略的名称。可通过ipsec efficient-vpn(接口视图)命令进行配置。 |
Using interface | 引用IPSec策略的接口。 |
IPSec policy number | 接口引用的IPSec策略的序号。 |
IPSec policy Type | 接口引用的IPSec策略的类型。 |
display ipsec history record
命令功能
display ipsec history record命令用来查看IPSec隧道的历史信息。
命令格式
display ipsec history record [ remote-address remote-address ]
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
remote-address remote-address | 显示指定对端IP地址的IPSec隧道历史信息。 | 点分十进制格式。 |
视图
所有视图
缺省级别
1:监控级
使用指南
执行本命令可以查看IPSec隧道最后一次断开的原因和时间。
使用实例
# 查看IPSec隧道的历史信息。
<HUAWEI> display ipsec history record IPSec history record: Current record number: 1 =============================== Interface : Vlanif100 remote-address : 2.1.1.1 remote-port : 500 VPN instance : huawei flow-source : 10.1.1.1/255.255.255.255 flow-destination : 10.2.2.2/255.255.255.255 last-offline-reason : peer request last-offline-time : 2017-07-17 20:25:31 offline-times-in-24Hour: 1
表8-18 display ipsec history record命令输出信息描述
项目 | 描述 |
|---|---|
IPSec history record | IPSec隧道的历史信息。 |
Current record number | 当前IPSec隧道断开的记录数目。 |
Interface | IPSec安全策略所应用到的接口。 |
remote-address | IPSec隧道的对端IP地址。 |
remote-port | 对端UDP端口号。 |
VPN instance | VPN实例名称。 |
flow-source | 数据流的源地址网段。 |
flow-destination | 数据流的目的地址网段。 |
last-offline-reason | IPSec隧道最后一次断开原因:
|
last-offline-time | IPSec隧道最后一次断开时间。 |
offline-times-in-24Hour | 24小时内IPSec隧道断开次数。 |
display ipsec sa efficient-vpn
命令功能
display ipsec sa efficient-vpn命令用来查看IPSec安全联盟的配置信息。
命令格式
display ipsec sa efficient-vpn efficient-vpn-name
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
efficient-vpn-name | 显示指定Efficient VPN策略的SA的信息。 | 必须是已存在的Efficient VPN策略名称。 |
视图
所有视图
缺省级别
1:监控级
使用指南
执行本命令可以查看Efficient VPN的SA信息,例如IPSec隧道的本端/对端地址、数据流的源/目的地址和SA生存时间。
使用实例
# 查看Efficient VPN策略的安全联盟配置信息。
<HUAWEI> display ipsec sa efficient-vpn evpn ipsec sa information: =============================== Interface: Vlanif20 =============================== ----------------------------- IPSec efficient-vpn name: "evpn" Mode : EFFICIENTVPN-CLIENT MODE ----------------------------- Connection ID : 268435456 Tunnel index : 4026531842 Encapsulation mode: Tunnel Holding time : 0d 0h 4m 29s Tunnel local : 10.10.10.1/500 Tunnel remote : 10.2.1.2/500 Flow source : 10.10.10.6/255.255.255.255 0/0 Flow destination : 0.0.0.0/0.0.0.0 0/0 Flow dscp : af11 [Outbound ESP SAs] SPI: 2703436139 (0xa123296b) Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1 SA remaining key soft duration (kilobytes/sec): 4666163/2960 SA remaining key hard duration (kilobytes/sec): 5242880/3355 Max sent sequence-number: 0 UDP encapsulation used for NAT traversal: N SA encrypted packets (number/bytes): 0/0 [Inbound ESP SAs] SPI: 2303751342 (0x895074ae) Proposal: ESP-ENCRYPT-3DES-192 ESP-AUTH-SHA1 SA remaining key soft duration (kilobytes/sec): 4666163/2960 SA remaining key hard duration (kilobytes/sec): 5242880/3355 Max received sequence-number: 0 UDP encapsulation used for NAT traversal: N SA decrypted packets (number/bytes): 0/0 Anti-replay : Enable Anti-replay window size: 1024
表8-19 display ipsec sa efficient-vpn命令输出信息描述
项目 | 描述 |
|---|---|
ipsec sa information | IPSec SA的配置信息。 |
Interface | Efficient VPN策略所应用到的接口。 |
IPSec efficient-vpn name | Efficient VPN策略的名称。可通过ipsec efficient-vpn(系统视图)命令进行配置。 |
Mode | Efficient VPN策略创建方式。 |
Connection ID | 安全联盟的连接索引。 |
Tunnel index | 隧道索引。 |
Encapsulation mode | IPSec安全提议中配置的封装模式。 |
Holding time | IPSec隧道已存在的时间。 |
Tunnel local | IPSec隧道的本端IP地址和NAT穿越端口号。IPSec隧道的本端IP地址可通过tunnel local命令进行配置。 |
Tunnel remote | IPSec隧道的对端IP地址和NAT穿越端口号。IPSec隧道的对端IP地址可通过remote-address(Efficient VPN策略视图)命令进行配置。 |
Flow source | 本端发出的数据流的源地址网段及ACL的协议号和端口号。 |
Flow destination | 本端发出的数据流的目的地址网段及ACL的协议号和端口号。 |
Flow dscp | 本端发出的数据流的DSCP值。 |
Outbound ESP SAs | 出方向采用ESP协议的IPSec SA的信息。 |
SPI | 安全参数索引值。 |
Proposal | IPSec安全提议。 |
SA remaining key soft duration (kilobytes/sec) | IPSec SA剩余的软存活时间,单位是千字节数或秒。 |
SA remaining key hard duration (kilobytes/sec) | IPSec SA剩余的硬存活时间,单位是千字节数或秒。可通过ipsec sa global-duration命令进行配置。 |
Max sent sequence-number | 发送的报文最大序列号。序列号在通信过程中维持单向递增,可以在对等体间提供数据抗重放服务。 |
UDP encapsulation used for NAT traversal | 是否使能NAT穿越功能:
|
SA encrypted packets (number/bytes) | 最终由IPSec SA加密成功的报文计数。 |
Inbound ESP SAs | 入方向采用ESP协议的IPSec SA的信息。 |
Max received sequence-number | 接收的报文最大序列号。 |
SA decrypted packets (number/bytes) | 最终由IPSec SA解密成功的报文计数。 |
Anti-replay | IPSec隧道是否使能抗重放功能:
可通过ipsec anti-replay enable命令进行配置。 |
Anti-replay window size | IPSec抗重放窗口的大小,在抗重放功能使能时生效。可通过anti-replay window或ipsec anti-replay window命令进行配置。 |
display ipsec packet statistics
命令功能
display ipsec packet statistics命令用来查看IPSec报文统计信息。
命令格式
display ipsec packet statistics
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
通过display ipsec packet statistics命令可以查看IPSec报文的相关统计信息,如受安全保护的进出报文统计信息、加解密报文统计信息、被丢弃的受安全保护的详细统计信息以及IKE协商相关的报文统计信息等,这有助于IPSec故障诊断和维护。
注意事项
display ipsec packet statistics命令只统计明文字节数。
使用实例
# 查看所有IPSec报文的统计信息。
<HUAWEI> display ipsec packet statistics IPSec statistics information: Number of IPSec tunnels: 1 Number of standby IPSec tunnels: 0 the security packet statistics: input/output security packets: 0/0 input/output security bytes: 0/0 input/output dropped security packets: 0/0 the encrypt packet statistics: send chip: 0, recv chip: 0, send err: 0 local cpu: 0, other cpu: 0, recv other cpu: 0 intact packet: 0, first slice: 0, after slice: 0 the decrypt packet statistics: send chip: 0, recv chip: 0, send err: 0 local cpu: 0, other cpu: 0, recv other cpu: 0 reass first slice: 0, after slice: 0 dropped security packet detail: can not find SA: 0, wrong SA: 0 authentication: 0, replay: 0 front recheck: 0, after recheck: 0 change cpu enc: 0, dec change cpu: 0 fib search: 0, output l3: 0 flow err: 0, slice err: 0, byte limit: 0 negotiate about packet statistics: IKE fwd packet ok: 0, err: 0 IKE ctrl packet inbound ok: 0, outbound ok: 0 SoftExpr: 0, HardExpr: 0, DPDOper: 0 trigger ok: 0, switch sa: 0, sync sa: 0 recv IKE nat keepalive: 0, IKE input: 0
表8-20 display ipsec packet statistics命令输出信息描述
项目 | 描述 |
|---|---|
| IPSec statistics information | IPSec报文统计信息。 |
| Number of IPSec tunnels | IPSec隧道数目。 |
| Number of standby IPSec tunnels | 备用IPSec隧道数目。 |
| the security packet statistics | 受安全保护的报文统计信息。 |
| input/output security packets | 受安全保护的进出报文数。 |
| input/output security bytes | 受安全保护的进出字节数。 |
| input/output dropped security packets | 被丢弃的受安全保护的进出报文数。 |
| the encrypt packet statistics | 加密报文的统计信息。 |
| send chip | 发给硬件加密、解密的报文数。 |
| recv chip | 收到硬件加密、解密结果的报文数。 |
| send err | 发送硬件加密、解密失败的报文数。 |
| local cpu | 本CPU加密、解密的报文数。 |
| other cpu | 转发其他CPU加密、解密的报文数。 |
| recv other cpu | 收到其他CPU发来加密、解密的报文数。 |
| intact packet | 非分片加密的报文数。 |
| first slice | 首分片报文数。 |
| after slice | 后续分片报文数。 |
| the decrypt packet statistics | 解密报文的统计信息。 |
| reass first slice | 分片重组首包数。 |
| after slice | 分片重组后续包数。 |
| dropped security packet detail | 被丢弃的受安全保护报文的详细统计信息。 |
| can not find SA | 未找到SA的报文数。 |
| wrong SA | 无效SA的报文数。 |
| authentication | 验证失败的报文数。 |
| replay | 重放丢弃的报文数。 |
| front recheck | 前反查丢弃的报文数。 |
| after recheck | 后反查丢弃的报文数。 |
| change cpu enc | 加密转板失败的报文数。 |
| dec change cpu | 解密后转板失败的报文数。 |
| fib search | 加密后路由查找失败的报文数。 |
| output l3 | 加密后报文发送失败的报文数。 |
| flow err | 因触发协商丢弃的报文数。 |
| slice err | IPSec分片失败的报文数。 |
| byte limit | 限流丢弃的报文数。 |
| negotiate about packet statistics | IKE协商相关的报文统计信息。 |
| IKE fwd packet ok | 发给IKE进程的IKE报文数。 |
| err | 发给IKE进程失败的报文数。 |
| IKE ctrl packet inbound ok | 控制面收到的IKE报文数。 |
| outbound ok | 控制面发送的IKE报文数。 |
| SoftExpr | 流量软超时次数。 |
| HardExpr | 流量硬超时次数。 |
| DPDOper | 按需检测模式时,DPD操作检测次数。 |
| trigger ok | 触发协商次数。 |
| switch sa | 收到对端新的SA加密的数据,通知IKE进程进行新老SA交换的次数。 |
| sync sa | 将备机没有的SA三元组(远端地址、SPI、协议号)告诉IKE进程的次数。 |
| recv IKE nat keepalive | 收到的IKE nat keepalive报文数。 |
| IKE input | 收到的IKE报文数。 |
display ipsec statistics tunnel-number
命令功能
display ipsec statistics tunnel-number命令用来查看IPSec隧道数。
命令格式
display ipsec statistics tunnel-number
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
用户需要查看已建立的IPSec隧道数时,可以执行本命令。
使用实例
# 查看IPSec隧道数。
<HUAWEI> display ipsec statistics tunnel-number IPSec tunnel totals: 0 IPSec tunnel specifications: 4000
表8-21 display ipsec statistics tunnel-number命令输出信息描述
项目 | 描述 |
|---|---|
IPSec tunnel totals | 已建立的IPSec隧道数。 |
IPSec tunnel specifications | IPSec隧道规格。 |
dpd msg
命令功能
dpd msg命令用来配置指定IKE对等体的DPD报文中的载荷顺序。
undo dpd msg命令用来将IKE对等体的DPD报文中的载荷顺序恢复为缺省配置。
缺省情况下,IKE对等体的DPD报文中的载荷顺序为seq-notify-hash。
命令格式
dpd msg { seq-hash-notify | seq-notify-hash }
undo dpd msg
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
seq-hash-notify | 指定DPD报文中的载荷顺序是hash-notify。 | - |
seq-notify-hash | 指定DPD报文中的载荷顺序是notify-hash。 | - |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
DPD报文是一个双向交换的消息,该消息包含通知载荷(notify)和Hash载荷(hash)。发起者发送的通知载荷携带R-U-THERE消息,相当于一个Hello报文,响应者发送的通知载荷携带R-U-THERE-ACK消息,相当于一个ACK报文。
不同设备缺省发出的DPD报文的载荷顺序可能不同,而两端IKE对等体的DPD报文中的载荷顺序需要一致,否则对等体存活检测功能无效。此时可使用命令dpd msg设置DPD报文的载荷顺序,使两端保持一致。
注意事项
该命令功能仅适用于IKE对等体使用IKEv1协议的场景。
使用实例
# 指定DPD报文的载荷顺序为hash-notify。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] dpd msg seq-hash-notify
dpd msg notify-hash-sequence learning
命令功能
dpd msg notify-hash-sequence learning命令用来开启DPD报文的载荷顺序自学习功能。
undo dpd msg notify-hash-sequence learning命令用来关闭DPD报文的载荷顺序自学习功能。
缺省情况下,DPD报文的载荷顺序自学习功能处于开启状态。
命令格式
dpd msg notify-hash-sequence learning
undo dpd msg notify-hash-sequence learning
参数说明
无
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
使用DPD检测IKEv1对等体状态时,两端的DPD报文的载荷顺序必须一致,否则DPD检测功能无效,甚至会造成IPSec隧道震荡。
如果用户不知道对端DPD报文的载荷顺序,可以在本端执行命令dpd msg notify-hash-sequence learning开启DPD报文的载荷顺序自学习功能。当收到对端DPD报文时,本端会学习对端DPD报文的载荷顺序,并以对端DPD报文的载荷顺序发送DPD报文。
使用实例
# 开启DPD报文的载荷顺序自学习功能。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] dpd msg notify-hash-sequence learning
ike dscp
命令功能
ike dscp命令用来配置IKE报文的全局DSCP值。
undo ike dscp命令用来取消DSCP值配置。
缺省情况下,IKE报文的全局DSCP值为0。
命令格式
ike dscp dscp-value
undo ike dscp
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| dscp-value | 指定IKE报文的全局DSCP值。 | 取值可以是整数形式或字符串形式。整数形式时,取值范围是0~63;字符串形式时,取值为AF11~AF13、AF21~AF23、AF31~AF33、AF41~AF43、CS1~CS7、EF和default。 |
视图
系统视图
缺省级别
2:配置级
使用指南
IKE报文用来协商IKE SA、IPSec SA,或者用于DPD检测等,一旦IKE报文在传输过程中丢失,会导致IPSec SA协商失败,进而使需要IPSec保护的报文得不到保护。为此,可通过提高IKE报文的DSCP优先级,使IKE报文得到优先处理,进而提高IKE报文传输的可靠性。
当需要为所有IKE对等体的IKE报文配置相同DSCP优先级时,使用此命令。
使用实例
# 配置IKE报文的全局DSCP值为CS2。
<HUAWEI> system-view [HUAWEI] ike dscp cs2
ike heartbeat
命令功能
ike heartbeat命令用来配置heartbeat报文参数。
undo ike heartbeat命令用来恢复heartbeat报文参数为缺省值。
缺省情况下,heartbeat报文采用old类型序列号机制,并且不携带SPI列表。
命令格式
ike heartbeat { seq-num { new | old } | spi-list }
undo ike heartbeat { seq-num | spi-list }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| seq-num { new | old } | 配置heartbeat报文序列号机制。
| - |
| spi-list | 配置heartbeat报文携带SPI列表。 | - |
视图
系统视图
缺省级别
使用指南
应用场景
对等体间进行IPSec通信时,如果一端不响应,而对端因系统失效等异常环境并不知道,仍旧继续发送IPSec流量,会造成流量的丢失。为了阻止流量丢失,引入了heartbeat检测机制。heartbeat检测是指本端定时地向对端发送探测报文,接收端在定时器超时后,若仍然收不到报文,就认为对端已经不能正常工作。IKE通过heartbeat报文检测对端故障,维护IKE SA的链路状态。
注意事项
本端配置的heartbeat报文参数需要与对端配置的heartbeat报文参数相同。可以重复执行本命令,但后面的配置将覆盖前面所进行的配置。
使用实例
# 配置heartbeat报文序列号机制为new。
<HUAWEI> system-view [HUAWEI] ike heartbeat seq-num new
ike heartbeat-timer interval
命令功能
ike heartbeat-timer interval命令用来配置IKE SA发送heartbeat报文的时间间隔。
undo ike heartbeat-timer interval命令用来取消配置IKE SA发送heartbeat报文的时间间隔。
缺省情况下,IKE SA不发送heartbeat报文。
命令格式
ike heartbeat-timer interval interval
undo ike heartbeat-timer interval
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| interval | 指定IKE SA发送heartbeat报文的时间间隔。 | 整数形式,取值范围是20~28800,单位是秒。 |
视图
系统视图
缺省级别
使用指南
应用场景
heartbeat检测是指本端定时地向对端发送探测报文,接收端在定时器超时后,若仍然收不到报文,就认为对端已经不能正常工作。IKE可以通过heartbeat报文检测对端故障,维护IKE SA的链路状态。本命令用来配置发送端发送heartbeat报文的时间间隔。
本端配置的发送heartbeat报文的时间间隔需要与对端配置的等待heartbeat报文的超时时间ike heartbeat-timer timeout配合使用。当对端在配置的超时时间内未收到heartbeat报文时,如果该IKE SA带有TIMEOUT标记,则删除该IKE SA以及由其协商的IPSec SA;否则,将其标记为TIMEOUT。
注意事项
配置ike heartbeat-timer interval和ike heartbeat-timer timeout时,对等体两端interval和timeout要成对出现,即在一个设备上配置了ike heartbeat-timer timeout,在对端就要配置ike heartbeat-timer interval。
等待heartbeat报文的超时时间一般要比发送heartbeat报文的时间间隔长。由于在网络上一般不会出现超过连续三次的报文丢失,可配置ike heartbeat-timer timeout为对端配置的ike heartbeat-timer interval的三倍。
使用实例
# 配置本端向对端发送heartbeat报文的时间间隔为20秒。
<HUAWEI> system-view [HUAWEI] ike heartbeat-timer interval 20
ike heartbeat-timer timeout
命令功能
ike heartbeat-timer timeout命令用来配置IKE SA等待heartbeat报文的超时时间。
undo ike heartbeat-timer timeout命令用来取消配置IKE SA等待heartbeat报文的超时时间。
缺省情况下,IKE SA不等待对端发送的heartbeat报文。
命令格式
ike heartbeat-timer timeout seconds
undo ike heartbeat-timer timeout
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| seconds | 指定IKE SA等待heartbeat报文的时间间隔。 | 整数形式,取值范围是30~28800,单位是秒。 |
视图
系统视图
缺省级别
使用指南
应用场景
heartbeat检测是指本端定时地向对端发送探测报文,接收端在定时器超时后,若仍然收不到报文,就认为对端已经不能正常工作。IKE可以通过heartbeat报文检测对端故障,维护IKE SA的链路状态。本命令即用来配置接收端的定时器。
注意事项
配置ike heartbeat-timer interval和ike heartbeat-timer timeout时,对等体两端interval和timeout要成对出现,即在本端配置了ike heartbeat-timer timeout,在对端就要配置ike heartbeat-timer interval。
等待heartbeat报文的超时时间一般要比发送heartbeat报文的时间间隔长。由于在网络上一般不会出现超过连续三次的报文丢失,可配置ike heartbeat-timer timeout为对端配置的ike heartbeat-timer interval的三倍。
使用实例
# 配置本端等待对端发送heartbeat报文的超时时间为60秒。
<HUAWEI> system-view [HUAWEI] ike heartbeat-timer timeout 60
ike local-name
命令功能
ike local-name命令用来配置IKE协商时的本端名称。
undo ike local-name命令用来取消IKE协商时的本端名称配置。
缺省情况下,系统没有设置IKE协商时的本端名称。
命令格式
ike local-name local-name
undo ike local-name
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
local-name | 指定IKE协商时的本端名称。 | 字符串形式,长度范围为1~255个字符,区分大小写,字符串中不能包含“?”。 |
视图
系统视图
缺省级别
2:配置级
使用指南
身份认证时,如果IKE对等体的ID类型为FQDN、USER-FQDN,则IKE对等体使用名称进行身份认证。此时,需要执行ike local-name命令配置本端名称。
使用实例
# 配置IKE协商时的本端身份ID为Huawei。
<HUAWEI> system-view [HUAWEI] ike local-name Huawei
ike nat-keepalive-timer interval
命令功能
ike nat-keepalive-timer interval命令用来配置设备发送NAT Keepalive报文的时间间隔。
undo ike nat-keepalive-timer interval命令用来恢复设备发送NAT Keepalive报文的时间间隔为缺省值。
缺省情况下,设备发送NAT Keepalive报文的时间间隔为20秒。
命令格式
ike nat-keepalive-timer interval interval
undo ike nat-keepalive-timer interval
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| interval | 设备发送NAT Keepalive报文的时间间隔。 | 整数形式,取值范围是5~300,单位是秒。 |
视图
系统视图
缺省级别
使用指南
当对等体间存在NAT网关,为防止NAT表项老化,NAT网关内网侧的设备会以一定的时间间隔向对端发送NAT Keepalive报文,以维持NAT会话的存活。
使用实例
# 配置IKE SA向对端发送NAT Keepalive报文的时间间隔为30秒。
<HUAWEI> system-view [HUAWEI] ike nat-keepalive-timer interval 30
ikev1 phase1-phase2 sa dependent
命令功能
ikev1 phase1-phase2 sa dependent命令用来配置IKEv1协商时IPSec SA的存在依赖于IKE SA。
undo ikev1 phase1-phase2 sa dependent命令用来取消IKEv1协商时IPSec SA的存在依赖于IKE SA的配置。
缺省情况下,IKEv1协商时,IPSec SA的存在不依赖于IKE SA。
命令格式
ikev1 phase1-phase2 sa dependent
undo ikev1 phase1-phase2 sa dependent
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
IKEv1协商时,第一阶段建立IKE SA,第二阶段建立IPSec SA。缺省情况下,IPSec SA的存在不依赖于IKE SA,即两个阶段的SA可以被独立删除,这可能会导致IKE SA已删除而对应的IPSec SA仍然存在,进而影响流量转发。为此,可配置此命令,使IPSec SA的存在依赖于IKE SA。
使用实例
# 配置IKEv1协商时IPSec SA的存在依赖于IKE SA。
<HUAWEI> system-view [HUAWEI] ikev1 phase1-phase2 sa dependent
ikev2 delete old child-sa enable
命令功能
ikev2 delete old child-sa enable命令用来开启通知对端删除旧的子SA功能。
undo ikev2 delete old child-sa enable命令用来关闭通知对端删除旧的子SA功能。
缺省情况下,通知对端删除旧的子SA功能处于开启状态。
命令格式
ikev2 delete old child-sa enable
undo ikev2 delete old child-sa enable
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
在IKEv2场景中,本端设备删除子SA重新向对端设备发起IKEv2协商时,默认协商消息中会携带IKEV2_NOTIFY_DELETE_OLD_CHILDSA载荷,通知对端删除旧的子SA。如果对端设备不支持处理IKEV2_NOTIFY_DELETE_OLD_CHILDSA载荷,导致两端IKEv2协商失败,此时可以在本端设备上执行命令undo ikev2 delete old child-sa enable,使得发送的IKEv2协商消息中不携带IKEV2_NOTIFY_DELETE_OLD_CHILDSA载荷。
使用实例
# 开启通知对端删除旧的子SA功能。
<HUAWEI> system-view [HUAWEI] ikev2 delete old child-sa enable
ikev2 initial-contact enable
命令功能
ikev2 initial-contact enable命令用来配置第一个IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷。
undo ikev2 initial-contact enable命令用来取消第一个IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷。
缺省情况下,系统没有配置IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷。
命令格式
ikev2 initial-contact enable
undo ikev2 initial-contact enable
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
INITIAL_CONTACT通知载荷用于维护一对IKE对等体间的IKE SA,确保一对IKE对等体间只能存在唯一一个激活状态的IKE SA。
缺省情况下,设备不依赖于INITIAL_CONTACT通知载荷就可以在IKE SA协商成功后自动删除过时的IKE SA。当对端设备依赖于INITIAL_CONTACT通知载荷来删除过时的IKE SA时,需要配置第一个IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷。
本端设备重启或本端设备期望使用当前IKE SA作为唯一SA建立IPSec隧道时,也可配置第一个IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷来通知对端删除遗留的SA。
使用实例
# 配置第一个IKE_AUTH请求消息发送INITIAL_CONTACT通知载荷。
<HUAWEI> system-view [HUAWEI] ikev2 initial-contact enable
ipsec anti-replay enable
命令功能
ipsec anti-replay enable命令用来开启全局IPSec抗重放功能。
undo ipsec anti-replay enable命令用来关闭全局IPSec抗重放功能。
缺省情况下,全局IPSec抗重放功能处于开启状态。
命令格式
ipsec anti-replay enable
undo ipsec anti-replay enable
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
重放报文是指已经处理过的报文。IPSec通过滑动窗口(抗重放窗口)机制检测重放报文。AH和ESP协议报文头中带有32比特序列号,在同一个SA内,报文的序列号依次递增。当设备收到一个经过认证的报文以后,如果报文的序列号与已经解封装过的报文序列号相同,或报文的序列号较小而不在滑动窗口内,则认为该报文为重放报文。
由于对重放报文的解封装无实际作用,并且解封装过程会消耗设备大量的资源,导致业务可用性下降,重放报文实际上构成了拒绝服务攻击。通过开启IPSec抗重放功能,将检测到的重放报文在解封装处理之前丢弃,可以降低设备资源的消耗。
注意事项
在某些特定环境下,例如当网络出现拥塞时或报文经过QoS处理后,业务数据报文的序列号顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃。这种情况下就可以通过关闭IPSec抗重放功能来避免报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
使用实例
# 开启全局IPSec抗重放功能。
<HUAWEI> system-view [HUAWEI] ipsec anti-replay enable
ipsec anti-replay window
命令功能
ipsec anti-replay window命令用来配置全局IPSec抗重放窗口的大小。
undo ipsec anti-replay window命令用来恢复全局IPSec抗重放窗口大小为缺省值。
缺省情况下,全局IPSec抗重放窗口的大小是1024位。
命令格式
ipsec anti-replay window window-size
undo ipsec anti-replay window
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| window-size | 指定全局IPSec抗重放窗口的大小。 | 可取值为32、64、128、256、512、1024,单位为bit。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
在某些特定环境下,例如当网络出现拥塞时或报文经过QoS处理后,业务数据报文的序列号顺序可能与正常的顺序差别较大,虽然并非有意的重放攻击,但会被抗重放检测认为是重放报文,导致业务数据报文被丢弃。这种情况下就可以通过关闭IPSec抗重放功能来避免报文的错误丢弃,也可以通过适当地增大抗重放窗口的宽度,来适应业务正常运行的需要。
前置条件
该命令在抗重放功能开启时生效。缺省情况下,系统已执行命令ipsec anti-reply enable开启抗重放功能。
注意事项
同时配置anti-replay window和ipsec anti-replay window时,系统采用anti-replay window的配置;当没有配置anti-replay window时,系统采用ipsec anti-replay window的配置。
使用实例
# 配置全局IPSec抗重放窗口的大小为128位。
<HUAWEI> system-view [HUAWEI] ipsec anti-replay window 128
ipsec efficient-vpn(接口视图)
命令功能
ipsec efficient-vpn命令用来在接口上应用Efficient VPN策略。
undo ipsec efficient-vpn命令用来在接口上取消应用的Efficient VPN策略。
缺省情况下,接口上没有应用Efficient VPN策略。
命令格式
ipsec efficient-vpn efficient-vpn-name
undo ipsec efficient-vpn
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
efficient-vpn-name | 指定Efficient VPN策略的名称。 | 必须是已存在的Efficient VPN策略名称。 |
视图
VLANIF接口视图
缺省级别
2:配置级
使用指南
应用场景
大量的分支机构和出差员工与总部之间建立IPSec隧道时,必须在分支网关和总部网关进行许多相似或者重复的IPSec配置及其他网络资源配置。Efficient VPN方案采用复杂配置集中在总部网关上、各个分支网关的配置尽量简单的方法,将管理员从IPSec VPN复杂的配置和维护中解脱出来,实现了配置的简化,提高了可维护性。
前置条件
已执行命令ipsec efficient-vpn(系统视图)创建的Efficient VPN策略。
注意事项
如果需要通过Efficient VPN策略在分支与总部间建立IPSec隧道,则分支网关需要应用Efficient VPN策略,而总部网关需要应用模板方式的安全策略。
使用实例
# 指定接口上应用的Efficient VPN策略,名称为evpn。
<HUAWEI> system-view [HUAWEI] interface vlanif 10 [HUAWEI-Vlanif10] ipsec efficient-vpn evpn
ipsec efficient-vpn(系统视图)
命令功能
ipsec efficient-vpn命令用来创建一个Efficient VPN策略,并进入Efficient VPN策略视图。
undo ipsec efficient-vpn命令用来删除创建的Efficient VPN策略。
缺省情况下,系统没有配置Efficient VPN策略。
命令格式
ipsec efficient-vpn efficient-vpn-name [ mode { client | network | network-plus } ]
undo ipsec efficient-vpn efficient-vpn-name
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
efficient-vpn-name | 指定Efficient VPN策略的名称。 | 字符串格式,长度范围是1~12,区分大小写,不能包含“?”和空格。 |
| mode | 指定Efficient VPN策略的模式。 | - |
client | 指定Efficient VPN策略为Client模式。 | - |
network | 指定Efficient VPN策略为Network模式。 | - |
network-plus | 指定Efficient VPN策略为Network-plus模式。 | - |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
大量的分支机构和出差员工与总部之间建立IPSec隧道时,必须在分支网关和总部网关进行许多相似或者重复的IPSec配置及其他网络资源配置。Efficient VPN方案采用复杂配置集中在总部网关上、各个分支网关的配置尽量简单的方法,将管理员从IPSec VPN复杂的配置和维护中解脱出来,实现了配置的简化,提高了可维护性。
Efficient VPN策略的模式分为三种类型:
Client模式
Remote端向Server端申请IP地址,同时Remote端自动创建一个LoopBack接口,将从Server端获取的IP地址应用到该LoopBack接口上。Remote端用该IP地址与总部建立IPSec隧道。
Client模式一般用于小的分支机构通过私网接入总部网络,该模式无需考虑与Server端或其它Remote端下挂用户地址的冲突问题,但下挂的用户数目有限。
Network模式
Network模式中Remote端不会向Server端申请IP地址,而是用原有IP地址与总部建立IPSec隧道。
Network模式一般用于分支和总部IP地址已统一规划的场景,需要考虑IP地址的规划,各个区域的IP地址不能重叠。
Network-plus模式
与Network模式相比,Network-plus模式中Remote端还会向Server端申请IP地址。这时分支和总部IP地址已统一规划,但Remote端仍会向Server端申请IP地址,获取的IP地址只用于总部对分支进行Ping、Telnet等管理维护。
后续任务
需要在Efficient VPN策略视图下配置Efficient VPN的各项协商参数,并执行ipsec efficient-vpn(接口视图)命令在接口上应用Efficient VPN策略。
使用实例
# 创建一个Client模式的Efficient VPN,名称为vpn1。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn vpn1 mode client [HUAWEI-ipsec-efficient-vpn-vpn1]
ipsec sa global-duration
命令功能
ipsec sa global-duration命令用来配置全局的安全联盟(SA)硬生存周期。
undo ipsec sa global-duration命令用来恢复缺省配置。
缺省情况下,以时间为基准的全局SA硬生存周期为3600秒,以流量为基准的全局SA硬生存周期为1843200KB。
命令格式
ipsec sa global-duration { time-based interval | traffic-based size }
undo ipsec sa global-duration { time-based | traffic-based }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
time-based interval | 指定以时间为基准的SA全局硬生存周期。 当两个设备间建立大量IPSec隧道时,建议SA全局硬生存周期大于等于1800秒。 | 整数形式,取值范围为30~604800,单位为秒。 |
traffic-based size | 指定以流量为基准的SA全局硬生存周期。 建议配置的流量值大于等于1小时里设备转发的IPSec流量。 | 整数形式,取值为0或256~200000000,单位为KB。 采用IKEv1进行IPSec协商时,如果隧道有一端的流量超时配置为0,则隧道两端都关闭流量超时功能。采用IKEv2进行IPSec协商时,隧道流量超时值配置为0,则关闭本端流量超时功能。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
当以IKE动态协商方式建立SA时,配置SA生存周期能使SA实时更新,降低SA被破解的风险,提高安全性。
衡量生存周期有两种方式:基于时间的生存周期和基于流量的生存周期。
基于时间的生存周期是从安全联盟建立开始,此安全联盟存活的时间。
基于流量的生存周期是此安全联盟允许处理的最大流量。
生存周期又有两种类型:
硬生存周期:是IPSec SA的生命周期截止时间。
两端设备协商时,实际生效的硬生存周期为两端设备上配置的硬生存周期中较小的一个。
软生存周期:是从旧IPSec SA建立到生命周期截止前启动协商新IPSec SA的时间。
缺省情况下,软生存周期取值如表8-22所示。表8-22 软生存周期取值
软生存周期方式
描述
基于时间的软生存周期(软超时时间)
实际生效的硬生存周期(硬超时时间)的7/10
基于流量的软生存周期(软超时流量)
对于IKEv1协议,实际生效的硬生存周期(硬超时流量)的7/10
对于IKEv2协议,实际生效的硬生存周期(硬超时流量)的[65/100, 75/100]
IPSec SA快要失效前,IKE将为对等体协商新的IPSec SA。在新的IPSec SA协商好之后,对等体立即采用新的IPSec SA保护IPSec通信。如果有业务流,则旧IPSec SA立即被清除;如果无业务流量,则旧IPSec SA在10秒或硬生存周期到期后被清除。
当同时配置了基于时间和流量的生存周期时,无论哪一种方式的生存周期先到期,IPSec SA都会失效。
注意事项
采用IKEv1协商时:
响应方IPSec SA软生存周期超期后,不能主动发起IPSec SA重协商。
发起方IKE SA已被删除,IPSec SA软生存周期超期后,不能主动发起IPSec SA重协商。
采用IKEv2协商时,发起方或响应方IKE SA已被删除,IPSec SA软生存周期超期后,不能主动发起重协商。
使用实例
# 配置以时间为基准的全局SA硬生存周期为7200秒。
<HUAWEI> system-view [HUAWEI] ipsec sa global-duration time-based 7200
# 配置以流量为基准的全局SA硬生存周期为10MB。
<HUAWEI> system-view [HUAWEI] ipsec sa global-duration traffic-based 10240
local-id-type
命令功能
local-id-type命令用来配置IKE协商时本端的ID类型。
undo local-id-type命令用来恢复IKE协商时本端的ID类型为缺省设置。
缺省情况下,IKE协商时本端ID类型为IP地址形式。
命令格式
local-id-type { fqdn | ip | key-id | user-fqdn }
undo local-id-type
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
fqdn | 指定IKE协商时本端ID类型为名称形式。 | - |
ip | 指定IKE协商时本端ID类型为IP地址形式。 | - |
key-id | 指定IKE协商时本端ID类型为key-id形式。 | - |
user-fqdn | 指定IKE协商时本端ID类型为用户域名形式。 | - |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
身份认证是IKE协商的一种自保护机制,它通过确认通信双方的身份来确保安全性。IKE对等体的身份可采用不同类型,此命令即用来配置IKE对等体中本端的身份类型,也称本端的ID类型。
注意事项
本端ID类型与对端ID类型无需一致,用户可分别通过命令指定本端ID类型和对端ID类型。
预共享密钥认证方法要求本端配置的本端ID类型与对端配置的对端ID类型保持一致,并且本端配置的本端ID与对端配置的对端ID保持一致。
不同的身份认证方式支持的本端ID类型以及本端ID的配置方法存在差异,如表8-23所示。表8-23 身份认证方式与本端ID类型、本端ID间的关系
认证方式 | IP | FQDN | User-FQDN | key-id |
|---|---|---|---|---|
预共享密钥认证(pre-share) | 支持 默认为本端进行IKE协商地址。 | 支持 ID使用ike local-name命令配置,表示设备上所有的对等体都使用此ID进行身份认证。 | 支持 ID使用ike local-name命令配置,表示设备上所有的对等体都使用此ID进行身份认证。 | 支持 Efficient VPN策略中设备作为Remote端与思科设备互通时使用该参数。 |
使用实例
# 配置Efficient VPN的ID类型为名称形式。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] local-id-type fqdn
pfs
命令功能
pfs命令用来配置本端发起IPSec隧道协商时使用PFS功能。
undo pfs命令用来取消上述配置。
缺省情况下,本端发起IPSec隧道协商时未使用PFS功能。
命令格式
pfs { dh-group14 | dh-group19 | dh-group20 | dh-group21 }
undo pfs
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
dh-group14 | 表示协商时采用2048-bit的DH组。 | - |
dh-group19 | 表示协商时采用256-bit ECP(Elliptic Curve Groups modulo a Prime)的DH组。 | - |
dh-group20 | 表示协商时采用384-bit ECP的DH组。 | - |
dh-group21 | 表示协商时采用521-bit ECP的DH组。 | - |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
该命令用于本端发起协商时,在IKEv1阶段2或IKEv2创建子SA交换的协商中进行一次附加的DH交换,保证IPSec SA密钥的安全,以提高通信的安全性。
注意事项
系统软件中不包含dh-group1、dh-group2和dh-group5参数,如需使用,需要安装WEAKEA插件,但是它们的安全性低。为了保证更好的安全性,推荐使用其他DH组。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
使用实例
# 设置使用Efficient VPN策略进行协商时使用PFS特性。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] pfs dh-group14
pre-shared-key(Efficient VPN策略视图)
命令功能
pre-shared-key命令用来配置对等体IKE协商采用预共享密钥认证时所使用的预共享密钥。
undo pre-shared-key命令用来删除对等体IKE协商采用预共享密钥认证时所使用的预共享密钥。
缺省情况下,没有配置对等体IKE协商采用预共享密钥认证时所使用的预共享密钥。
命令格式
pre-shared-key cipher key
undo pre-shared-key
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
cipher | 密文密码类型。可以键入明文或密文密码,但在查看配置文件时均以密文方式显式密码。 | - |
key | 指定对等体IKE协商所采用的预共享密钥。 | 字符串格式,不支持空格,区分大小写,明文时输入范围是1~128,密文时输入范围是48~188。当输入的字符串两端使用双引号时,可在字符串中输入空格。 说明:为提高安全性,建议认证字至少包含小写字母、大写字母、数字、特殊字符这四种形式中的3种,同时认证字长度不小于6个字符。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
IKE协商时,IPSec可以采用预共享密钥认证方式来验证通信双方的身份。配置后,在IKE协商过程中,信息在传输前发起方使用预共享密钥加密,接收方使用同样的预共享密钥解密,如果接收方能够解密,则发起方的身份验证通过。
注意事项
IKE协商的两端必须采用相同的预共享密钥。
使用实例
# 配置Efficient VPN策略evpn的预共享密钥为Example@123,以密文显示。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] pre-shared-key cipher Example@123
re-authentication interval
命令功能
re-authentication interval命令用来配置IKEv2重认证的时间间隔。
undo re-authentication interval命令用来取消IKEv2重认证。
缺省情况下,系统不进行IKEv2重认证。
命令格式
re-authentication interval interval
undo re-authentication interval
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| interval | 指定IKEv2重认证时间间隔。 经过约70%的时间间隔时,设备会发起IKEv2重认证。 | 整数形式,单位是秒,取值范围是60~604800。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
在远程接入应用时,对等体间通信存在第三方攻击的安全隐患,对等体间实施周期性的重认证,可以提升IPSec网络的安全性。
注意事项
只有IKEv2支持重认证。
使用实例
# 设置Efficient VPN策略中重认证时间间隔为400秒。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] re-authentication interval 400
remote-address(Efficient VPN策略视图)
命令功能
remote-address命令用来配置IKE协商时对端的IP地址或域名。
undo remote-address命令用来删除配置的IKE协商时对端的IP地址或域名。
缺省情况下,系统没有配置IKE协商时对端的IP地址或域名。
命令格式
remote-address { ip-address | host-name host-name } { v1 | v2 }
undo remote-address [ ip-address | host-name host-name ]
参数
参数说明
取值
ip-address
指定对端的IP地址。
点分十进制形式。
host-name host-name
指定对端的域名。
必须是已存在的对端域名。
v1
两端使用IKEv1版本。
-
v2
两端使用IKEv2版本。
-
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
该命令用来配置Efficient VPN策略中IKE协商时的对端地址,包括对端IP地址和对端域名两种方式。如果配置的对端地址是域名,则可以通过以下两种方式获取对端的IP地址。
静态方式:用户手工配置域名和IP地址的对应关系。
动态方式:通过DNS域名服务器解析获取对端的IP地址。
为了提高网络的可靠性,总部提供两台设备供分支网关接入。Efficient VPN策略支持分支网关配置2个对端IKE对等体的地址或域名,分支网关首先采用第一个地址或域名与总部网关建立IKE连接,若第一个IKE连接建立失败,采用第二个地址或域名建立IKE连接。
注意事项
如果配置2个对端IKE对等体的地址和域名,必须保证配置的2个remote-address类型和使用IKE版本必须都一致。一般情况下,由于总部只有一台设备供分支网关接入,所以只需配置一个remote-address。
使用实例
# Efficient VPN策略视图下配置IKE协商时的对端IP地址为10.1.1.1和10.1.2.1。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] remote-address 10.1.1.1 v2 [HUAWEI-ipsec-efficient-vpn-evpn] remote-address 10.1.2.1 v2
# Efficient VPN策略视图下配置IKE协商时的对端域名为mypeer。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] remote-address host-name mypeer v2
remote-id
命令功能
remote-id命令用来配置IKE协商时的对端ID。
undo remote-id命令用来取消上述配置。
缺省情况下,系统没有配置IKE协商时的对端ID。
命令格式
remote-id id
undo remote-id
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
id | 指定对端ID。 | 字符串格式,长度范围是1~255,区分大小写,支持特殊字符(如!、@、#、$、%等)。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
IKE对等体的对端ID类型为FQDN、USER-FQDN时,可以使用本命令配置对端ID为对端FQDN、USER-FQDN的值。
IKE对等体的对端ID类型为DN、FQDN、USER-FQDN时,可以使用本命令配置对端ID为对端DN、对端FQDN或对端USER-FQDN的值。
IKE协商过程中,可以使用remote-id命令配置ID,对接入的对等体进行验证。
注意事项
在IKEv1版本中,配置的remote-id,只能验证对端的身份。
在IKEv2版本中,配置的remote-id,可以发送给对端,与对端的local-name进行验证。
使用实例
# Efficient VPN策略视图下配置IKE协商时的对端名称为Huawei。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn name mode client [HUAWEI-ipsec-efficient-vpn-name] remote-id Huawei
reset ike error-info
命令功能
reset ike error-info命令用来清除IKE协商IPSec隧道失败的信息。
命令格式
reset ike error-info
参数说明
无
视图
用户视图
缺省级别
3:管理级
使用指南
视图
用户视图
缺省级别
3:管理级
使用指南
应用场景
如果要删除通过IKE协商建立的IPSec隧道,可以执行本命令删除用于协商隧道的SA。
IKE协商方式建立的SA分为两种,阶段1的IKE SA用于IKE本身的协商,阶段2的IPSec SA在阶段1的IKE SA保护下建立,用于保护数据流。
如果指定的conn-id对应阶段1的IKE SA,此IKE SA被清除后不会再自动协商。只有数据流再次命中安全策略中的ACL时,才会重新协商建立阶段1的IKE SA。
如果指定的conn-id对应阶段2的IPSec SA,有两种情况:
IPSec SA的触发方式为自动触发方式:此IPSec SA被清除后会在阶段1的IKE SA保护下自动协商,重新建立阶段2的IPSec SA。
IPSec SA的触发方式为流量触发方式:此IPSec SA被清除后不会再自动协商。只有数据流再次命中安全策略中的ACL时,才会在阶段1的IKE SA保护下协商,重新建立阶段2的IPSec SA。
如果未指定conn-id,则清除所有SA,与第一种情况相同。
注意事项
执行命令undo ikev1 phase1-phase2 sa dependent配置IKEv1协商时IPSec SA的存在不依赖于IKE SA后,执行命令reset ike sa conn-id删除IKE SA时,依然会删除相应的IPSec SA。
使用实例
# 清除所有阶段的SA。
<HUAWEI> reset ike sa
reset ike statistics
命令功能
reset ike statistics命令用来清除IKE运行统计信息。
命令格式
reset ike statistics
参数说明
无
视图
用户视图
缺省级别
3:管理级
使用指南
指定一个SA所对应的三元素,包括目的IP地址、安全协议(ESP)、安全参数索引SPI(Security Parameter Index)。
三元素的取值如下:
ipv4-address:IPv4地址。
安全协议:ESP。
spi:整数,取值范围为256~4294967295。
指定Efficient VPN策略的名称。
必须是已存在的Efficient VPN策略名称。
视图
用户视图
缺省级别
3:管理级
使用指南
使用reset ipsec sa命令清除IPSec SA时需要注意:
如果未指定任何参数,则系统会删除所有的IPSec SA。
如果指定了参数parameters,由于IPSec SA是成对出现的,删除了一个方向的IPSec SA,另一个方向的IPSec SA也会被删除。
当要清除通过IKE方式协商建立的IPSec SA时,reset ipsec sa命令必须在reset ike sa命令之前使用,否则不能生效。IPSec SA被清除后,仅当有报文重新触发IKE协商时,IKE才会重新协商建立新的IPSec SA。
使用实例
# 删除Efficient VPN策略evpn的IPSec SA。
<HUAWEI> reset ipsec sa efficient-vpn evpn
reset ipsec packet statistics
命令功能
reset ipsec packet statistics命令用来清除IPSec报文的统计信息。
命令格式
reset ipsec packet statistics
参数说明
无
视图
用户视图
缺省级别
3:管理级
使用指南
应用场景
如果需要统计在某一时间段内的IPSec报文统计信息,可以执行该命令清除以前的报文统计信息,使设备重新进行统计。
注意事项
清除IPSec报文的统计信息后,以前的统计信息将无法恢复,执行此命令前请务必仔细确认。
使用实例
# 清除所有IPSec报文的统计信息。
<HUAWEI> reset ipsec packet statistics
sa binding vpn-instance(Efficient VPN策略视图)
命令功能
sa binding vpn-instance命令用来指定IPSec隧道绑定的VPN实例。
undo sa binding vpn-instance命令用来删除IPSec隧道绑定的VPN实例。
缺省情况下,IPSec隧道没有绑定VPN实例。
命令格式
sa binding vpn-instance vpn-instance-name
undo sa binding vpn-instance
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
vpn-instance-name | 指定IPSec隧道绑定的VPN实例名称。 | 必须是已存在的VPN实例名称。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
对于一个VPN网络,若VPN Site比较小,CE和PE之间没有使用专线连接,而是通过公网连接,此时,CE内部接入主机要访问其他VPN Site的资源,就必须通过不安全的公网,对这部分用户可以提供通过IPSec隧道方式接入VPN的骨干网。
通过配置该命令指定隧道对端所属的VPN,从而知道报文的发送接口,并将报文发送出去,可以实现IPSec的VPN多实例连接。
前置条件
vpn-instance-name是一个已经通过ip vpn-instance命令创建的VPN实例。
使用route-distinguisher命令对VPN实例配置RD(Route Distinguisher)后,此VPN实例才可用。
使用实例
# 配置Efficient VPN策略绑定VPN实例vpna。
<HUAWEI> system-view [HUAWEI] ip vpn-instance vpna [HUAWEI-vpn-instance-vpna] ipv4-family [HUAWEI-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1 [HUAWEI-vpn-instance-vpna-af-ipv4] vpn-target 100:100 [HUAWEI-vpn-instance-vpna-af-ipv4] quit [HUAWEI-vpn-instance-vpna] quit [HUAWEI] ipsec efficient-vpn evpn mode client [HUAWEI-ipsec-efficient-vpn-evpn] sa binding vpn-instance vpna
security acl
命令功能
security acl命令用来配置IPSec安全策略或IPSec安全策略模板引用的ACL。
undo security acl命令用来取消上述配置。
缺省情况下,IPSec安全策略和IPSec安全策略模板没有引用ACL。
命令格式
security acl acl-number
undo security acl
参数说明
参数 | 参数说明 | 取值 |
|---|---|---|
acl-number | 指定ACL编号。 | 整数形式,取值范围是3000~3999。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
应用场景
该命令用于通过ACL方式指定需要IPSec保护的数据流。实际应用中,首先需要通过配置ACL的规则定义数据流范围,再在IPSec安全策略中引用该ACL,才能起到保护该数据流的作用。
当以IPSec安全策略模板方式创建IPSec安全策略时,定义需要IPSec保护的数据流在协商的响应方为可选:
如果协商的响应方不指定需要IPSec保护的数据流,则表示接受发起方定义的需要IPSec保护的数据流的范围。
如果协商的响应方指定需要IPSec保护的数据流,则需要与发起方镜像配置或者包含发起方指定的保护的数据流范围。
使用实例
# 设置Efficient VPN策略引用ACL 3101。
<HUAWEI> system-view [HUAWEI] acl number 3101 [HUAWEI-acl-adv-3101] rule permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.1.2 0.0.0.0 [HUAWEI-acl-adv-3101] quit [HUAWEI] ipsec efficient-vpn name mode network [HUAWEI-ipsec-efficient-vpn-name] security acl 3101
service-scheme(Efficient VPN策略视图)
命令功能
service-scheme命令用来配置Efficient VPN策略中Server端的业务方案。
undo service-scheme命令用来删除Efficient VPN策略中Server端的业务方案。
缺省情况下,Efficient VPN策略没有配置Server端的业务方案。
命令格式
service-scheme service-scheme-name
undo service-scheme
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| service-scheme-name | 指定Server端的业务方案的名称。 | 必须是已存在的Server端的业务方案名称。 |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
Efficient VPN场景中,用户希望将IP地址、DNS域名、DNS服务器地址和WINS服务器地址等网络资源集中部署在Server端(总部网关),然后通过总部网关推送网络资源给Remote端(分支网关),从而简化Remote端的网络资源的配置和维护。
Remote端可以直接以Server端推送的网络资源来获取授权;也可以在Efficient VPN策略中指定Server端配置的AAA业务方案来获取授权。如果用户希望通过Remote端指定Server端配置的AAA业务方案来获取授权,则需要执行service-scheme命令配置Efficient VPN策略中Server端的业务方案,而且必须同时执行local-id-type命令指定key-id参数,否则配置不生效。
使用实例
# 配置Efficient VPN策略中Server端的业务方案名称为service。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn name mode network [HUAWEI-ipsec-efficient-vpn-name] service-scheme service
tunnel local
命令功能
tunnel local命令用来配置隧道的本端地址。
undo tunnel local命令用来取消上述配置。
缺省情况下,系统没有配置IPSec隧道的本端地址。
命令格式
tunnel local { ipv4-address | applied-interface }
undo tunnel local
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| ipv4-address | 指定IPSec隧道的本端IPv4地址。 | 点分十进制格式。 |
| applied-interface | 指定安全策略接口的主地址为IPSec隧道的本端地址。 | - |
视图
Efficient VPN策略视图
缺省级别
2:配置级
使用指南
该命令用于配置IPSec隧道的起点。
一般不需要配置IPSec隧道的本端地址,SA协商时会根据路由选择IPSec隧道的本端地址。而如下情况则需要配置本端地址:
当安全策略实际绑定的接口IP地址不固定或无法预知时,可以执行命令tunnel local ipv4-address指定设备上的其他接口(如LoopBack接口)的IP地址作为IPSec隧道的本端IP地址,也可以执行命令tunnel local applied-interface指定安全策略应用接口的地址作为IPSec隧道的本端IP地址。
当安全策略实际绑定的接口配置了多个IP地址(一个主IP地址和多个从IP地址)时,可以执行命令tunnel local ipv4-address指定其中一个IP地址作为IPSec隧道的本端IP地址,也可以执行命令tunnel local applied-interface指定该接口的主地址作为IPSec隧道的本端地址。
当本端与对端存在等价路由时,可以执行命令tunnel local来指定IPSec隧道的本端IP地址。
使用实例
# 在Efficient VPN策略中配置绑定安全策略接口的主地址为IPSec隧道的本端地址。
<HUAWEI> system-view [HUAWEI] ipsec efficient-vpn name mode network [HUAWEI-ipsec-efficient-vpn-name] tunnel local applied-interface
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://sg.hqyman.cn/post/4668.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
