所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
Keychain配置命令

Keychain配置命令

algorithm

命令功能

algorithm命令用来配置key的认证算法。

undo algorithm命令用来删除key的认证算法。

缺省情况下,没有配置认证算法。

命令格式

algorithm { hmac-md5 | hmac-sha-256 | hmac-sha1-12 | hmac-sha1-20 | md5 | sha-1 | sha-256 }

undo algorithm

参数说明

参数 参数说明 取值
hmac-md5 指定采用HMAC-MD5认证算法对报文进行加密和认证。
说明:

HMAC-MD5认证算法存在安全风险,推荐配置HMAC-SHA-256或SHA-256认证算法。

-
hmac-sha-256 指定采用HMAC-SHA-256认证算法对报文进行认证。 -
hmac-sha1-12 指定采用HMAC-SHA1-12认证算法对报文进行加密和认证。 -
hmac-sha1-20 指定采用HMAC-SHA1-20认证算法对报文进行加密和认证。 -
md5 指定采用MD5认证算法对报文进行加密和认证。
说明:

MD5认证算法存在安全风险,推荐配置HMAC-SHA-256或SHA-256认证算法。

-
sha-1 指定采用SHA-1认证算法对报文进行加密和认证。 -
sha-256 指定采用SHA-256认证算法对报文进行认证。 -

视图

key-id视图

缺省级别

2:配置级

使用指南

应用场景

Keychain通过动态更换认证算法和密钥的方法,保证应用程序协议报文传输的安全性。每个Keychain中由多个key组成,每一key需要对应配置一个认证算法,不同的key在不同时间段活跃,从而实现Keychain认证算法的动态切换。

key通过认证算法和密钥实现对协议报文的认证和加密,提升协议报文传输的安全性。

配置各种认证算法的特点如下:
  • MD5(Message Digest 5):MD5通过输入任意长度的消息,产生128bit的消息摘要。

  • SHA-1(Secure Hash Algorithm):SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。

  • HMAC-MD5(Keyed-Hashing for Message Authentication-md5):HMAC-MD5通过输入任意长度的信息,先转换成512bit信息,再产生128bit的信息摘要。

    说明:

    如果输入的信息不足512bit,通过补充0构成512bit信息。如果输入的信息超过512bit,先经过一次MD5运算,转换成128位信息,再补零构成512bit信息。

  • HMAC-SHA1-12:HMAC-SHA1-12通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,取用高96bit(12*8)的信息作为验证码。

  • HMAC-SHA1-20:HMAC-SHA1-20通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,160bit的信息全部作为验证码。

  • SHA-256:SHA-256通过输入长度小于2的64次方比特的消息,产生256bit的消息摘要。

  • HMAC-SHA-256:HMAC-SHA-256通过输入任意长度的信息,先转换成512bit信息,产生256bit的摘要信息,256bit的信息全部作为验证码。

MD5算法的计算速度比SHA算法快,而SHA算法的安全强度比MD5算法高。HMAC较普通的MD5和SHA更加安全,速度较慢。为了保证更好的安全性,建议不要使用MD5算法。

注意事项

发送方key的认证加密算法必须和接收方key的认证加密算法一致,否则将导致应用协议因认证不通过而断开连接。

不配置认证算法,key将处于非活跃状态。

各个应用程序支持的算法有不同,具体情况如下:

  • RIP支持MD5。

  • BGP和BGP4+支持MD5。

  • IS-IS支持HMAC-MD5。

  • OSPF支持MD5和HMAC-MD5。

  • MSDP支持MD5。

  • MPLS的LDP支持MD5。

  • TRILL支持HMAC-MD5。

使用实例

# 配置key-id 1采用SHA-256算法进行加密和认证。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute
[*HUAWEI-keychain-huawei] key-id 1
[*HUAWEI-keychain-huawei-keyid-1] algorithm sha-256
相关主题

default send-key-id

命令功能

default send-key-id命令用来指定一个key为缺省发送key。

undo default send-key-id命令用来删除Keychain配置的缺省发送key。

缺省情况下,没有配置缺省发送key。

命令格式

default send-key-id

undo default send-key-id

参数说明

视图

key-id视图

缺省级别

2:配置级

使用指南

应用场景

Keychain通过定期动态更改认证算法和密钥的方法,保证协议报文传输的安全性,同时能减少人工更改算法和密钥的工作量。每个Keychain中由多个key组成,每一key有自己的发送和接收时间,不同的key在指定的时间内活跃。

当Keychain中不存在发送key,或者某个时间段没有活跃的发送key时,Keychain将不能对协议报文进行认证和加密处理,导致应用协议因认证不通过而断开连接。配置缺省的发送key可以保证在没有活跃的key时,Keychain采用该key对协议报文进行认证和加密,从而保证协议报文的正常通信。

注意事项

一个Keychain中只能存在一个缺省的发送key。

  • 当指定的缺省发送key是一个已经存在的key时,缺省发送key直接继承该key的认证加密算法和密钥。

  • 当指定的缺省发送key是一个新创建的key时,需要同时配置key的认证加密算法和密钥。

使用实例

# 配置Keychain huawei的key-1为缺省send-key-id。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute
[*HUAWEI-keychain-huawei] key-id 1
[*HUAWEI-keychain-huawei-keyid-1] default send-key-id
相关主题

digest-length 16

命令功能

digest-length 16命令用来配置HMAC-SHA-256加密算法的摘要长度为16字节。

undo digest-length 16命令恢复HMAC-SHA-256加密算法的摘要长度为默认值32字节。

缺省情况下,HMAC-SHA-256加密算法的摘要长度为默认值32字节。

命令格式

digest-length 16

undo digest-length 16

参数说明

视图

keychain视图

缺省级别

2:配置级

使用指南

应用场景

执行algorithm配置Key-id的认证算法后,Keychain会自动生成一定长度的摘要信息,对Keychain协议报文进行认证和加密,提升协议报文传输的安全性。

当配置Key-id的认证算法为HMAC-SHA-256时,在V200R002C50之前的版本,会产生16字节(128bit)的摘要信息;在V200R002C50版本及之后版本,会产生32字节(256bit)的摘要信息。为了保证和V200R002C50之前的版本对接时,绑定Keychain的OSPF、RSVP等业务不中断,需在V200R002C50版本及之后版本上,配置此命令行,保证摘要信息长度一致。

使用实例

# 配置HMAC-SHA-256加密算法的摘要信息长度为16字节。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute
[*HUAWEI-keychain-huawei] digest-length 16

display keychain

命令功能

display keychain命令用来查看指定Keychain的配置信息。

命令格式

display keychain keychain-name [ key-id key-id ]

参数说明

参数 参数说明 取值
keychain-name 显示指定Keychain名称的配置信息。 必须是已存在的Keychain。
key-id key-id 显示Keychain中特定key的配置信息。 必须是已存在的key。

视图

所有视图

缺省级别

1:监控级

使用指南

为了定位或排除Keychain认证失败故障,或者进行配置更改前的信息收集,可以执行该命令查看Keychain的相关配置信息。

使用实例

# 显示Keychain huawei的配置信息。

<HUAWEI> display keychain huawei
 Keychain information:
 ----------------------
 Keychain name             : huawei
   Timer mode              : Absolute
   Receive tolerance(min)  : 100
   TCP kind                : 254
   TCP algorithm ID        :
     HMAC-MD5              : 5
     HMAC-SHA1-12          : 2
     HMAC-SHA1-20          : 6
     MD5                   : 3
     SHA1                  : 4
     HMAC-SHA-256          : 7
     SHA-256               : 8
 Number of key ID          : 1
 Active send key ID        : 1
 Active receive key ID     : 01
 Default send key ID       : Not configured

 Key ID information:
 ----------------------
 Key ID                    : 1
   Key string              : ******
   Algorithm               : MD5
   Send timer              :
     Start time            : 2012-03-12 00:00
     End time              : 2012-03-12 23:59
     Status                : Active
   Receive timer           :
     Start time            : 2012-03-12 00:00
     End time              : 2012-03-12 23:59
     Status                : Active
                                      

# 显示Keychain huawei中key-id为1的配置信息。

<HUAWEI> display keychain huawei key-id 1
 Keychain information:
 ---------------------
 Keychain name             : huawei
   Timer mode              : Absolute
   Receive tolerance(min)  : 100
   TCP kind                : 182
   TCP algorithm ID        :
     HMAC-MD5              : 5
     HMAC-SHA1-12          : 2
     HMAC-SHA1-20          : 6
     MD5                   : 3
     SHA1                  : 4
     HMAC-SHA-256          : 7
     SHA-256               : 8

 Key ID information:
 -------------------
 Key ID                    : 1
   Key string              : ******
   Algorithm               : MD5
   Send timer              :
     Start time            : 2012-03-14 00:00
     End time              : 2012-08-08 23:59
     Status                : Active
   Receive timer           :
     Start time            : 2012-03-14 00:00
     End time              : 2012-08-08 23:59
     Status                : Active
   Default send key ID information 
     Default               : Configured
表16-98  display keychain命令输出信息描述。

项目

描述

Keychain name

Keychain名称。

相关命令请参见keychain

Timer mode

Keychain配置的时间模式。

  • absolute :Keychain在绝对时间段内生效。
  • Daily periodic :Keychain以日为周期生效。
  • Weekly periodic :Keychain以周为周期生效。
  • Monthly periodic :Keychain以月为周期生效。
  • Yearly periodic :Keychain以年为周期生效。

相关命令请参见keychain

Receive tolerance(min)

Keychain配置的接收容忍时间。

相关命令请参见receive-tolerance

TCP kind

Keychain配置的TCP-Kind的值。

相关命令请参见tcp-kind

TCP algorithm ID

Keychain配置的TCP认证算法对应的ID。

配置各种认证算法的特点如下:
  • MD5(Message Digest 5):MD5通过输入任意长度的消息,产生128bit的消息摘要。

  • SHA-1(Secure Hash Algorithm):SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。

  • HMAC-MD5(Keyed-Hashing for Message Authentication-md5):HMAC-MD5通过输入任意长度的信息,先转换成512bit信息,再产生128bit的信息摘要。

    说明:

    如果输入的信息不足512bit,通过补充0构成512bit信息。如果输入的信息超过512bit,先经过一次MD5运算,转换成128位信息,再补零构成512bit信息。

  • HMAC-SHA1-12:HMAC-SHA1-12通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,取用高96bit(12*8)的信息作为验证码。

  • HMAC-SHA1-20:HMAC-SHA1-20通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,160bit的信息全部作为验证码。

  • SHA-256:SHA-256通过输入长度小于2的64次方比特的消息,产生256bit的消息摘要。

  • HMAC-SHA-256:HMAC-SHA-256通过输入任意长度的信息,先转换成512bit信息,产生256bit的摘要信息,256bit的信息全部作为验证码。

MD5算法的计算速度比SHA算法快,而SHA算法的安全强度比MD5算法高。HMAC较普通的MD5和SHA更加安全,速度较慢。为了保证更好的安全性,建议不要使用MD5算法。

相关命令请参见tcp-algorithm-id

Number of key ID

配置的key的数目。

Active send key ID

活跃状态的发送key的ID。

Active receive key ID

活跃状态的接收key的ID。

Default send key ID

缺省发送key的ID。

Key ID

Keychain配置的key。

相关命令请参见key-id

Key string

key配置的认证密钥。

相关命令请参见key-string

Algorithm

key的认证算法。

相关命令请参见algorithm

Send timer

key的发送时间。

相关命令请参见send-time

Start time

key的生效时间。

End time

key的结束时间。

Status

发送/接收key的状态。

  • Active:key处于活跃状态。
  • Inactive:key处于非活跃状态。

Receive timer

key的接收时间。

相关命令请参见receive-time

Default send key ID information

缺省发送key的信息。

Default

缺省发送key配置情况:

  • Not configured:没有配置缺省发送key。
  • Configured:已配置缺省发送key。

keychain

命令功能

keychain命令用来创建一个Keychain或进入Keychain视图。

undo keychain命令用来删除Keychain配置。

缺省情况下,没有配置Keychain。

命令格式

keychain keychain-name mode { absolute | periodic { daily | weekly | monthly | yearly } }

undo keychain keychain-name

参数说明

参数 参数说明 取值
keychain-name 指定Keychain的名称。应用程序通过Keychain名称引用Keychain。 字符串形式,长度范围是1~47,不区分大小写。字符不包括问号和空格,但是当输入的字符串两端使用双引号时,可在字符串中输入空格。
mode 指定Keychain的生效的时间模式。
说明:
  • 创建Keychain时需指定Keychain的生效时间模式;
  • 进入已创建的Keychain时,可以不用指定Keychain的生效时间模式。
-
absolute 指定Keychain以绝对时间生效,不以周期形式生效。 -
periodic 指定Keychain以周期形式生效。 -
daily 指定Keychain以日方式周期生效。 -
weekly 指定Keychain以星期方式周期生效。 -
monthly 指定Keychain以月方式周期生效。 -
yearly 指定Keychain以年方式周期生效。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提升协议报文传输的安全性,需要定期更改协议报文的认证和加密算法,从而防止非法用户获取认证和加密的算法及密钥。Keychain协议能有效解决该问题,Keychain通过定期动态更改认证算法和密钥的方法,保证协议报文传输的安全性,同时能减少人工更改算法和密钥的工作量。

每个Keychain中由多个key组成,每一key需要对应配置一个认证算法,不同的key在不同时间段活跃,从而实现Keychain认证算法的动态切换。

Keychain的生效模式分为绝对时间模式和周期时间模式:
  • 绝对时间模式:在一个时间段内一次性生效,超出该时间段Keychain永远不再生效。

  • 周期时间模式:在一个时间段内周期性生效,超出该时间段后,下一个周期的该时间段继续生效。

后续处理

Keychain创建完成后,需要通过命令key-id配置key,否则Keychain将不能对协议报文进行认证和加密保护。

配置key的发送和接收时间时,需要和Keychain的时间模式一致。

注意事项

一个Keychain中最多配置64个key。

keychain keychain-name命令仅用来进入Keychain视图,若keychain-name不存在,则keychain keychain-name命令无法执行。如果创建Keychain,必须使用keychain keychain-name mode { absolute | periodic { daily | weekly | monthly | yearly } }命令。

使用实例

# 创建一个名为huawei的Keychain,并进入Keychain视图。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute 
[*HUAWEI-keychain-huawei] 
相关主题

key-id

命令功能

key-id命令用来创建一个新的key-id或者进入一个已存在的key-id视图。

undo key-id命令用来删除一个存在的key-id。

缺省情况下,没有配置key-id。

命令格式

key-id key-id

undo key-id key-id

参数说明

参数 参数说明 取值
key-id key-id的值,用来唯一标识Keychain中的Key。 整数形式,取值范围是0~63。

视图

Keychain视图

缺省级别

2:配置级

使用指南

应用场景

为了提升协议报文传输的安全性,需要定期更改协议报文的认证和加密算法,从而防止非法用户获取认证和加密的算法及密钥。Keychain协议能有效解决该问题,Keychain通过定期动态更改认证算法和密钥的方法,保证协议报文传输的安全性,同时能减少人工更改算法和密钥的工作量。

Keychain认证算法的动态切换是通过key来实现的。每个Keychain中由多个key组成,每一key需要对应配置一个认证算法,不同的key在不同时间段活跃,实现动态切换认证算法。

后续处理

创建key-id后,还需要完成以下任务:

注意事项

设备上,用key-id代表key。

一个Keychain中最多配置64个key,但同时只能有一个发送key生效。

为了避免各个key间隔时间内没有活跃的key对协议报文进行认证和加密,建议配置key时,通过命令default send-key-id指定其中一个为缺省的发送key。

配置key的发送和接收时间时,key的时间模式必须和创建Keychain时的模式一致。

使用实例

# 配置key-id 1。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute 
[*HUAWEI-keychain-huawei] key-id 1
[*HUAWEI-keychain-huawei-keyid-1]

key-string

命令功能

key-string命令用来配置Keychain认证的密钥。

undo key-string命令用来删除Keychain认证的密钥。

缺省情况下,没有配置认证的密钥。

命令格式

key-string { plain plain-text | [ cipher ] cipher-text }

undo key-string

参数说明

参数 参数说明 取值
plain plain-text 指定明文密钥。以明文方式输入,明文方式显示。
说明:

配置认证密码时,请尽量选择密文模式,因为明文格式密码会以明文的方式保存在配置文件中,有高安全风险。为保证设备安全,请定期修改密码。

字符串形式,区分大小写,不支持空格,长度范围是1~255字节。
说明:
当密码包含空格时,密码需要加双引号,并且只能有这一个双引号。
cipher 密文口令类型。 -
cipher-text 指定密文密钥。
字符串形式,区分大小写,不支持空格。可以输入明文或密文,以密文形式显示。可以输入1~255字节的明文字符串,也可以输入32~432的密文字符串。同时也支持24字节格式的密文。
说明:

当密码包含空格时,密码需要加双引号,并且只能有这一个双引号。

视图

key-id视图

缺省级别

2:配置级

使用指南

应用场景

为了提升协议报文传输的安全性,需要定期更改协议报文的认证和加密算法,从而防止非法用户获取认证和加密的算法及密钥。Keychain协议能有效解决该问题,Keychain通过定期动态更改认证算法和密钥的方法,保证协议报文传输的安全性,同时能减少人工更改算法和密钥的工作量。

每个Keychain由多个key组成,每一key需要对应配置一个认证算法,不同的key在不同时间段活跃,从而实现Keychain认证算法的动态切换。

注意事项

配置密文形式密钥时,需要用户保存好明文形式的密钥,方便遗忘时找回密钥。

如果认证密钥没有配置,key将处于非活跃状态。

使用实例

# 配置密码字为Huawei@1234。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute 
[*HUAWEI-keychain-huawei] key-id 1
[*HUAWEI-keychain-huawei-keyid-1] key-string cipher Huawei@1234
相关主题

receive-time

命令功能

receive-time命令用来配置key接收报文生效的时间段。

undo receive-time命令用来删除key的接收报文时间段。

缺省情况下,没有配置key的接收时间段。

命令格式

receive-time start-time start-date { duration { duration-value | infinite } | to end-time end-date }

receive-time daily start-time to end-time

receive-time day { start-day-name to end-day-name | day-name &<1-7> }

receive-time date { start-date-value to end-date-value | date-value &<1-31> }

receive-time month { start-month-name to end-month-name | month-name &<1-12> }

undo receive-time

参数说明

参数 参数说明 取值
start-time 指定接收的开始时间。 HH:MM方式。取值范围是00:00~23:59。
start-date 指定接收的开始日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
duration duration-value 指定接收报文的持续时间。 单位为分钟,取值范围是1~26280000。
infinite 指定Keychain接收报文从配置的开始时间起永久活跃。 -
to 连接两个时间范围。 -
end-time 指定接收的结束时间。 HH:MM方式。取值范围是00:00~23:59。结束时间必须迟于开始时间。
end-date 指定接收的结束日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
daily 指定Keychain每天接收报文生效的时间。 -
day 指定Keychain每周接收报文生效的日期。 -
start-day-name 指定Keychain每周接收报文生效的起始日期。
取值范围是:
  • mon,星期一
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
end-day-name 指定Keychain每周接收报文生效的结束日期。
取值范围是:
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
结束日期必须迟于开始日期。
day-name &<1-7> 指定Keychain每周接收报文生效的日期。
取值范围是:
  • mon,星期一
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
可以取其中任意一个或多个日期。
date 指定Keychain每月接收报文生效的日期。 -
start-date-value 指定Keychain每月接收报文生效的起始日期。 取值范围是1~31。
end-date-value 指定Keychain每月接收报文生效的结束日期。 取值范围是2~31。结束日期必须迟于开始日期。
date-value &<1-31> 指定Keychain每月接收报文生效的日期。

取值范围是1~31,可以取其中任意一个或多个日期。

month 指定Keychain每年接收报文生效的月份。 -
start-month-name 指定Keychain每年接收报文生效的起始月份。
取值范围是:
  • jan,一月
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
end-month-name 指定Keychain每年接收报文生效的结束月份。 结束月份必须迟于开始月份。
取值范围是:
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
month-name &<1-12> 指定Keychain每年接收报文生效的月份。
取值范围是:
  • jan,一月
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
可以取其中任意一个或多个月份。

视图

key-id视图

缺省级别

2:配置级

使用指南

应用场景

Keychain由多个key组成,不同的key在不同时间段活跃,从而实现Keychain认证算法和认证密钥的动态切换,提升协议数据传输的安全性。为了使不同key生效,需要配置key的发送时间和接收时间,key将在相应的时间段处于发送或接收活跃状态。

当系统时间处于配置的key接收时间段内,该接收key处于活跃状态。

Keychain的生效模式分为绝对时间模式和周期时间模式:
  • 绝对时间模式:在一个时间段内一次性生效,超出该时间段Keychain不再生效。

  • 周期时间模式:在一个时间段内周期性生效,超出该时间段后,下一个周期的该时间段继续生效。

key的接收时间模式需要和Keychain配置的时间模式一致。

注意事项

key的接收时间段可以重叠,即同一时间可以有多个接收key活跃,设备会根据接收的报文,选择合适的key进行解密。

使用实例

# 配置接收时间为时钟模式并且持续时间为永久生效。

<HUAWEI> system-view
[~HUAWEI] keychain huawei1 mode absolute
[*HUAWEI-keychain-huawei1] key-id 1 
[*HUAWEI-keychain-huawei1-keyid-1] receive-time 14:52 2008-10-1 duration infinite 

# 配置接收时间为每天周期生效模式。

<HUAWEI> system-view
[~HUAWEI] keychain huawei2 mode periodic daily
[*HUAWEI-keychain-huawei2] key-id 1 
[*HUAWEI-keychain-huawei2-keyid-1] receive-time daily 14:52 to 18:10 
相关主题

receive-tolerance

命令功能

receive-tolerance命令用来在Keychain中配置key的接收容忍时间。

undo receive-tolerance命令用来删除key的接收容忍时间。

缺省情况下,接收容错时间是0。

命令格式

receive-tolerance { value | infinite }

undo receive-tolerance

参数说明

参数 参数说明 取值
value 接收容忍时间的值。 整数形式,单位是分钟,取值范围是1~14400。
infinite 配置接收容忍时间为无限大,即所有key的接收时间为永久生效。 -

视图

Keychain视图

缺省级别

2:配置级

使用指南

应用场景

Keychain通过动态更换认证算法和密钥的方法,保证协议报文传输的安全性。Keychain动态更换认证算法和密钥是通过Keychain中不同的key在不同的时间段活跃实现的。

由于网络环境或者通信方时间未同步等因素影响,设备发送的报文可能存在时间差,使接收端在非活跃时间段收到报文。接收端处于非活跃状态,没有合适的认证算法和密钥来解密报文,设备将会丢弃报文。为了解决该问题,用户可以配置接收的容忍时间,使接收时间的起始时间和结束时间同时增加相应的时间,保证使接收端能处理发送端发送的所有报文,保证协议报文的正常处理。

注意事项

一个Keychain中只需要配置一个接收容忍时间,对该Keychain中所有的key生效。

使用实例

# 配置接收容忍时间为570分钟。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute 
[*HUAWEI-keychain-huawei] receive-tolerance 570 

send-time

命令功能

send-time命令用来配置key发送报文生效的时间段。

undo send-time命令用来删除key的发送报文生效时间段。

缺省情况下,没有配置发送时间。

命令格式

send-time start-time start-date { duration { duration-value | infinite } | to end-time end-date }

send-time daily start-time to end-time

send-time day { start-day-name to end-day-name | day-name &<1-7> }

send-time date { start-date-value to end-date-value | date-value &<1-31> }

send-time month { start-month-name to end-month-name | month-name &<1-12> }

undo send-time

参数说明

参数 参数说明 取值
start-time 指定发送的开始时间。 HH:MM方式。取值范围是00:00~23:59。
start-date 指定发送的开始日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
duration duration-value 指定发送报文的持续时间。 单位为分钟,取值范围是1~26280000。
infinite 指定Keychain发送报文从配置的开始时间起永久活跃。 -
to 连接两个时间范围。 -
end-time 指定发送的结束时间。 HH:MM方式。取值范围是00:00~23:59。结束时间必须大于开始时间。
end-date 指定发送的结束日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
daily 指定Keychain每天发送报文生效的时间。 -
day 指定Keychain每周发送报文生效的日期。 -
start-day-name 指定Keychain每周发送报文生效的起始日期。
取值范围是:
  • mon,星期一
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
end-day-name 指定Keychain每周发送报文生效的结束日期。
取值范围是:
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
结束日期必须大于开始日期。
day-name &<1-7> 指定Keychain每周发送报文生效的日期。
取值范围是:
  • mon,星期一
  • tue,星期二
  • wed,星期三
  • thu,星期四
  • fri,星期五
  • sat,星期六
  • sun,星期日
可以取其中任意一个或多个日期。
date 指定Keychain每月发送报文生效的日期。 -
start-date-value 指定Keychain每月发送报文生效的起始日期。 取值范围是1~31。
end-date-value 指定Keychain每月发送报文生效的结束日期。 取值范围是2~31。结束日期必须大于开始日期。
date-value &<1-31> 指定Keychain每月接收报文生效的日期。

取值范围是1~31,可以取其中任意一个或多个日期。

month 指定Keychain每年发送报文生效的月份。 -
start-month-name 指定Keychain每年发送报文生效的起始月份。
取值范围是:
  • jan,一月
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
end-month-name 指定Keychain每年发送报文生效结束月份。 结束月份必须大于开始月份。
取值范围是:
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
month-name &<1-12> 指定Keychain每年接收报文生效的月份。
取值范围是:
  • jan,一月
  • feb,二月
  • mar,三月
  • apr,四月
  • may,五月
  • jun,六月
  • jul,七月
  • aug,八月
  • sep,九月
  • oct,十月
  • nov,十一月
  • dec,十二月
可以取其中任意一个或多个月份。

视图

key-id视图

缺省级别

2:配置级

使用指南

应用场景

Keychain由多个key组成,不同的key在不同时间段活跃,从而实现Keychain认证算法和认证密钥的动态切换,提升协议数据传输的安全性。为了使不同key生效,需要配置key的发送时间和接收时间,key将在相应的时间段处于活跃状态。

当系统时间处于配置的key发送时间段内,设备将会使用该key配置的认证算法和密钥对发送的报文进行加密。

Keychain的生效模式分为绝对时间模式和周期时间模式:
  • 绝对时间模式:在一个时间段内一次性生效,超出该时间段Keychain永远不再生效。

  • 周期时间模式:在一个时间段内周期性生效,超出该时间段后,下一个周期的该时间段继续生效。

key的发送时间模式需要和Keychain配置的时间模式一致。

注意事项

Keychain在同一时间段只能有一个key生效,因此不同key的发送时间段不能重叠。

使用实例

# 配置发送时间为时钟模式并且持续时间为绝对的时间段。

<HUAWEI> system-view
[~HUAWEI] keychain huawei1 mode absolute
[*HUAWEI-keychain-huawei1] key-id 1 
[*HUAWEI-keychain-huawei1-keyid-1] send-time 14:52 2008-10-1 to 14:52 2040-10-1 

# 配置发送时间为每天周期生效模式。

<HUAWEI> system-view
[~HUAWEI] keychain huawei2 mode periodic daily
[*HUAWEI-keychain-huawei2] key-id 1 
[*HUAWEI-keychain-huawei2-keyid-1] send-time daily 14:52 to 18:10 
相关主题

tcp-algorithm-id

命令功能

tcp-algorithm-id命令用来配置Keychain支持的TCP认证算法所对应的算法ID。

undo tcp-algorithm-id命令用来恢复缺省配置。

缺省情况下,采用IANA(Internet Assigned Numbers Authority)支持的算法ID和认证算法的对应关系。

命令格式

tcp-algorithm-id { hmac-md5 | hmac-sha-256 | hmac-sha1-12 | hmac-sha1-20 | md5 | sha-1 | sha-256 } algorithm-id

undo tcp-algorithm-id { hmac-md5 | hmac-sha-256 | hmac-sha1-12 | hmac-sha1-20 | md5 | sha-1 | sha-256 }

参数说明

参数 参数说明 取值
hmac-md5 指定配置HMAC-MD5认证算法的算法ID。
说明:

HMAC-MD5认证算法存在安全风险,推荐配置HMAC-SHA-256或SHA-256认证算法。

-
hmac-sha-256 采用HMAC-SHA–256认证算法对报文进行加密和认证。 -
hmac-sha1-12 指定配置HMAC-SHA1-12认证算法的算法ID。 -
hmac-sha1-20 指定配置HMAC-SHA1-20认证算法的算法ID。 -
md5 指定配置MD5认证算法的算法ID。
说明:

MD5认证算法存在安全风险,推荐配置HMAC-SHA-256或SHA-256认证算法。

-
sha-1 指定配置SHA-1认证算法的算法ID。 -
sha-256 采用SHA-256认证算法对报文进行加密和认证。 -
algorithm-id 指定认证算法的ID值。 取值范围是1~63。缺省情况下:
  • md5:3
  • hmac-sha-256:7
  • sha-1:4
  • hmac-md5:5
  • hmac-sha1-12:2
  • hmac-sha1-20:6
  • sha-256:8

视图

Keychain视图

缺省级别

2:配置级

使用指南

应用场景

Keychain通过动态更换认证算法和密钥的方法,保证应用程序协议报文传输的安全性。针对非TCP连接应用程序,可以通过key的认证算法和认证密钥对协议报文传输进行认证;针对TCP连接应用程序,除对协议报文传输进行认证外,还可以针对TCP连接建立进行认证,增强TCP应用程序的安全性。

配置TCP连接认证时,TCP用algorithm-id识别认证算法对报文进行认证。由于algorithm-id不是IANA统一定义的,不同的厂商之间使用不同的algorithm-id来代表认证算法。为了实现不同厂商之间的互通,用户必须根据对端配置的算法类型,配置TCP algorithm-id,以保持两端算法的一致。

配置各种认证算法的特点如下:
  • MD5(Message Digest 5):MD5通过输入任意长度的消息,产生128bit的消息摘要。

  • SHA-1(Secure Hash Algorithm):SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。

  • HMAC-MD5(Keyed-Hashing for Message Authentication-md5):HMAC-MD5通过输入任意长度的信息,先转换成512bit信息,再产生128bit的信息摘要。

    说明:

    如果输入的信息不足512bit,通过补充0构成512bit信息。如果输入的信息超过512bit,先经过一次MD5运算,转换成128位信息,再补零构成512bit信息。

  • HMAC-SHA1-12:HMAC-SHA1-12通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,取用高96bit(12*8)的信息作为验证码。

  • HMAC-SHA1-20:HMAC-SHA1-20通过输入任意长度的信息,先转换成512bit信息,产生160bit的摘要信息,160bit的信息全部作为验证码。

  • SHA-256:SHA-256通过输入长度小于2的64次方比特的消息,产生256bit的消息摘要。

  • HMAC-SHA-256:HMAC-SHA-256通过输入任意长度的信息,先转换成512bit信息,产生256bit的摘要信息,256bit的信息全部作为验证码。

MD5算法的计算速度比SHA算法快,而SHA算法的安全强度比MD5算法高。HMAC较普通的MD5和SHA更加安全,速度较慢。为了保证更好的安全性,建议不要使用MD5算法。

后续处理

配置通信双方认证算法对应的ID后,还需通过命令tcp-kind配置通信双方的TCP类型值。

注意事项

每一种算法对应一个algorithm-id,并且必须是唯一的。

使用实例

# 配置hmac-sha-256的TCP algorithm-id为1。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute
[*HUAWEI-keychain-huawei] tcp-algorithm-id hmac-sha-256 1
相关主题

tcp-kind

命令功能

tcp-kind命令用来指定TCP增强认证选项中的类型值。

undo tcp-kind命令用来恢复TCP的缺省类型值。

缺省情况下,TCP类型值为254。

命令格式

tcp-kind kind-value

undo tcp-kind

参数说明

参数 参数说明 取值
kind-value 指定Keychain应用的TCP类型值。 取值范围是28~255。

视图

Keychain视图

缺省级别

2:配置级

使用指南

应用场景

Keychain通过动态更换认证算法和密钥的方法,保证应用程序协议报文传输的安全性。针对非TCP连接应用程序,可以通过key的认证和加密算法对协议报文传输进行认证;针对TCP连接应用程序,除对协议报文传输进行认证外,还可以针对TCP连接建立进行认证,增强TCP应用程序的安全性。

对于TCP连接建立的认证交互,TCP使用增强的TCP认证选项。目前,不同的厂商使用不同的kind-value值代表增强的TCP认证选项。为了实现不同厂商设备之间的交互,用户可以选择配置kind-value,使通信两端设备的TCP类型一致。

后续处理

通信双方的TCP类型配置一致后,还需要通过命令tcp-algorithm-id指定通信双方认证算法对应的ID。

注意事项

配置kind-value值时,采用Keychain认证的通信双方必须是采用TCP建立连接的应用程序。否则配置的TCP认证不生效。

使用实例

# 配置Keychain huawei的TCP类型值为252。

<HUAWEI> system-view
[~HUAWEI] keychain huawei mode absolute
[*HUAWEI-keychain-huawei] tcp-kind 252

time mode

命令功能

time mode命令用来配置Keychain使用的时间模式。

undo time mode命令用来恢复缺省值。

缺省情况下,Keychain使用的时间模式是当地平均时间LMT(Local Mean Time)。

命令格式

time mode { utc | lmt }

undo time mode

参数说明

参数 参数说明 取值
utc 指定时间格式为通用协调时间UTC(Universal Time Coordinated)。 -
lmt 指定时间格式为当地平均时间LMT。 -

视图

Keychain视图

缺省级别

2:配置级

使用指南

Kechain由多个key-id组成,不同的key-id在不同时间段活跃,从而实现Keychain认证算法的动态切换,提升协议数据传输的安全性。为了使不同key-id生效,需要配置key-id的发送时间和接收时间,key-id将在相应的时间段处于活跃状态。

该命令用来配置Keychain所使用的时间模式,用户可以根据整网规划选择UTC或LMT模式,建议Keychain的时间模式整网保持统一。

使用实例

# 配置Keychain的时间模式是UTC。

<HUAWEI> system-view
[~HUAWEI] keychain huawei1 mode absolute
[*HUAWEI-keychain-huawei1] time mode utc 
相关主题
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:15767

下载量:402

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页