所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSec配置命令

IPSec配置命令

说明:

CE6810LI不支持该命令。

ah authentication-algorithm

命令功能

ah authentication-algorithm命令用来设置AH(Authentication Header)协议采用的认证算法。

undo ah authentication-algorithm命令用来恢复缺省配置。

缺省情况下,没有为AH协议配置认证算法。

命令格式

ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 }

undo ah authentication-algorithm

参数说明

参数

参数说明

取值

md5

指定AH协议采用MD5认证。

-

sha1

指定AH协议采用SHA-1认证。

-

sha2-256

指定AH协议采用SHA-256认证。

-

sha2-384

指定AH协议采用SHA-384认证。

-

sha2-512

指定AH协议采用SHA-512认证。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

当IPSec安全提议采用的安全协议为AH协议时,必须使用本命令设置AH协议采用的认证算法。

MD5和SHA认证算法的差异如下:

  • MD5算法使用128位的密钥;SHA-1算法使用160位的密钥;SHA-256、SHA-384和SHA-512的密钥位数分别为256位、384位和512位

  • 随着密钥位数的上升,增加了破解的难度,算法安全强度更高,但计算速度越慢。

基于上述差异,应根据实际环境中对安全级别的要求以及设备的性能采取适当的认证算法。不建议使用MD5和SHA-1算法,否则无法满足您安全防御的要求。

前置条件

需要首先通过transform命令选择了ah后,才能配置该命令。

注意事项

在IPSec隧道两端所引用的IPSec安全提议中AH协议必须采用相同的认证算法。

使用实例

# 在配置IPSec安全提议prop1时,指定AH协议采用SHA-512认证算法。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal prop1
[*HUAWEI-ipsec-proposal-prop1] transform ah
[*HUAWEI-ipsec-proposal-prop1] ah authentication-algorithm sha2-512

display ipsec proposal

命令功能

display ipsec proposal命令用来查看IPSec安全提议的信息。

命令格式

display ipsec proposal [ name proposal-name | brief ]

参数说明

参数

参数说明

取值

proposal-name

指定IPSec安全提议的名称。如果没有指定名称,则显示所有IPSec安全提议的信息。

必须是已存在的IPSec安全提议名称。

brief

指定查看安全提议的简要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

无。

使用实例

# 查看所有的IPSec安全提议。

<HUAWEI> display ipsec proposal
  Total IPsec proposal number: 2 
                        
  IPsec proposal name: prop1
    encapsulation mode: transport
    transform: ah-new
    AH protocol: authentication SHA2-HMAC-256
                                               
  IPsec proposal name: aa  
    encapsulation mode: tunnel
    transform: esp-new 
    ESP protocol: authentication SHA1-HMAC-96, encryption 256-aes
表16-99  display ipsec proposal命令输出信息描述

项目

描述

Total IPsec proposal number

已创建的安全提议数目。

IPsec proposal name

IPSec安全提议的名称。可通过ipsec proposal命令进行配置。

encapsulation mode

IPSec对数据的封装模式:
  • tunnel:隧道模式。
  • transport:传输模式。
可通过encapsulation-mode命令进行配置。
说明:

目前仅支持transport模式。

transform

使用的安全协议:
  • ah-new:使用AH协议。
  • esp-new:使用ESP协议。
可通过transform命令进行配置。

ESP protocol

ESP协议采用的认证算法和加密算法。可通过esp authentication-algorithm命令和esp encryption-algorithm命令进行配置。

AH protocol

AH协议采用的认证算法。可通过ah authentication-algorithm命令进行配置。

display ipsec sa

命令功能

display ipsec sa命令用来查看安全联盟的相关信息。

命令格式

display ipsec sa [ name sa-name ] [ brief ]

参数说明

参数

参数说明

取值

name sa-name 指定安全联盟的名称。 必须是已存在的安全联盟名称。

brief

显示指定或所有的SA的简要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看安全联盟sa1的相关信息。

<HUAWEI> display ipsec sa name sa1
  SHA1-HMAC-96
  IP security association name: sa1                                             
  Number of references: 0                                                       
    proposal name: prop1                                                        
    State: InComplete                                                           
    inbound AH setting:                                                         
      AH spi: 1000 (0x3E8)                                                      
      AH string-key: %#%##*+o3{>omV(fzWL,d}7@]$[e%qErP4&,:`X{;qLT%#%#           
      AH authentication hex key:                                                
    inbound ESP setting:                                                        
      ESP spi:                                                                  
      ESP string-key:                                                           
      ESP encryption hex key:                                                   
      ESP authentication hex key:                                               
    outbound AH setting:                                                        
      AH spi: 2200 (0x898)                                                      
      AH string-key:                                                            
      AH authentication hex key:                                                
    outbound ESP setting:                                                       
      ESP spi:                                                                  
      ESP string-key:                                                           
      ESP encryption hex key: %#%#^nu|KC!YX-fWC/C3{h~8OR(u1[Q`B9tHrwD>(un.%#%#  
      ESP authentication hex key:  
表16-100  display ipsec sa命令输出信息描述

项目

描述

IP security association name

安全联盟的名称,可通过ipsec sa命令进行配置。

Number of references

安全联盟被引用次数。

proposal name

安全联盟引用的安全提议,可通过proposal命令进行配置。

State

安全联盟状态。
  • Complete:完整
  • Incomplete:不完整

inbound AH setting

入方向的AH协议参数。

AH spi

AH协议类型的安全联盟的安全参数索引,可通过sa spi命令进行配置。

AH string-key

字符串形式的AH协议认证密钥,可通过sa string-key命令进行配置。

AH authentication hex key

密文形式的AH协议认证密钥,可通过sa authentication-hex命令进行配置。

inbound ESP setting

入方向的ESP协议参数。

ESP spi

ESP协议的安全参数索引,可通过sa spi命令进行配置。

ESP string-key

字符串形式的ESP协议认证密钥,可通过sa string-key命令进行配置。

ESP encryption hex key

密文形式的ESP协议加密密钥,可通过sa encryption-hex命令进行配置。

ESP authentication hex key

密文形式的ESP协议认证密钥,可通过sa authentication-hex命令进行配置。

outbound AH setting

出方向的AH协议参数。

outbound ESP setting

出方向的ESP协议参数。

display ipsec statistics

命令功能

display ipsec statistics命令用来查看IPSec处理报文的统计信息。

命令格式

display ipsec statistics [ sa-name sa-name ] [ slot slot-number ]

参数说明

参数

参数说明

取值

sa-name sa-name

显示指定名称的IPSec SA信息。

必须是已存在的IPSec SA名称。

slot slot-number

指定运行IPSec组件的槽位号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看IPSec处理的报文统计信息。

<HUAWEI> display ipsec statistics sa-name sa1 
  IPv6 security packet statistics:
    input/output security packets: 0/0
    input/output security bytes: 0/0
    input/output dropped security packets: 0/0
    dropped security packet detail:
      memory process problem: 0
      can't find SA: 0
      queue is full: 0
      authentication is failed: 0
      wrong length: 0
      replay packet: 0
      too long packet: 0
      invalid SA: 0
      policy deny: 0
  the normal packet statistics:
    input/output dropped normal packets: 0/0
                                                                                 
  IPv4 security packet statistics:                                               
    input/output security packets: 0/7011                                        
    input/output security bytes: 0/224328                                        
    input/output dropped security packets: 0/372                                 
    dropped security packet detail:                                              
      memory process problem: 0                                                  
      can't find SA: 0                                                           
      queue is full: 0                                                           
      authentication is failed: 0                                                
      wrong length: 0                                                            
      replay packet: 0                                                           
      too long packet: 0                                                         
      invalid SA: 372                                                            
      policy deny: 0                                                             
  the normal packet statistics:                                                  
    input/output dropped normal packets: 0/0 
表16-101  display ipsec statistics命令输出信息描述

项目

描述

IPv6 security packet statistics

IPv6安全报文数

input/output security packets

接收和发送方向的报文数目

input/output security bytes

接收和发送方向的报文字节数

input/output dropped security packets

接收和发送方向丢弃的报文数目

dropped security packet detail

被丢弃的报文详细信息

memory process problem

因储存问题而被丢弃的报文数目

can't find SA

由于没有找到SA而被丢弃的报文数目

queue is full

由于队列已满而被丢弃的报文数目

authentication is failed

由于认证失败而被丢弃的报文数目

wrong length

由于长度错误而被丢弃的报文数目

replay packet

由于重复而被丢弃的报文数目

too long packet

由于数据包太长而被丢弃的报文数目

invalid SA

由于存在无效SA而被丢弃的报文数目

policy deny

由于策略拒绝而被丢弃的报文数目

the normal packet statistics

正常的报文统计信息

input/output dropped normal packets

接收和发送方向被丢弃了的正常报文数目

IPv4 security packet statistics

IPv4安全报文数

encapsulation-mode

命令功能

encapsulation-mode命令用来配置安全协议对报文的封装模式。

undo encapsulation-mode命令用来恢复安全协议对报文的封装模式为缺省值。

缺省情况下,安全协议对报文的封装模式采用隧道模式。

命令格式

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

参数说明

参数

参数说明

取值

transport

指定安全协议对报文的封装模式采用传输模式。

-

tunnel

指定安全协议对报文的封装模式采用隧道模式。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

封装是指将AH或ESP相关的字段插入到协议报文中,以实现对协议报文的认证和加密。目前仅支持传输模式。

注意事项

IPSec对等体两端设置的安全联盟所引用的IPSec安全提议必须采用相同的数据封装模式。

使用实例

# 设置IPSec安全提议newprop1采用传输模式对报文进行封装。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal newprop1
[*HUAWEI-ipsec-proposal-newprop1] encapsulation-mode transport
相关主题

esp authentication-algorithm

命令功能

esp authentication-algorithm命令用来设置ESP协议采用的认证算法。

undo esp authentication-algorithm命令用来恢复缺省配置。

缺省情况下,没有为ESP协议配置认证算法。

命令格式

esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 }

undo esp authentication-algorithm

参数说明

参数

参数说明

取值

md5

指定ESP协议采用MD5认证。

-

sha1

指定ESP协议采用SHA-1认证。

-

sha2-256

指定ESP协议采用SHA-256认证。

-

sha2-384

指定ESP协议采用SHA-384认证。

-

sha2-512

指定ESP协议采用SHA-512认证。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

当IPSec安全提议采用的安全协议为ESP协议时,必须使用本命令设置ESP协议采用的认证算法。

MD5和SHA认证算法的差异如下:

  • MD5算法使用128位的密钥,SHA-1算法使用160位的密钥。SHA-256、SHA-384和SHA-512的密钥位数分别为256位、384位和512位。

  • 随着密钥位数的上升,增加了破解的难度,算法安全强度更高,但计算速度越慢。

基于上述差异,应根据实际环境中对安全级别的要求以及设备的性能采取适当的认证算法。不建议使用MD5和SHA-1算法,否则无法满足您安全防御的要求。

前置条件

需要首先通过transform命令选择了esp后,才能配置该命令。

注意事项

在IPSec隧道两端设置的安全策略所引用的IPSec安全提议中,安全协议使用的认证算法必须相同。

使用实例

# 设定IPSec安全提议prop1采用ESP协议并使用SHA-512认证算法。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal prop1
[*HUAWEI-ipsec-proposal-prop1] transform esp 
[*HUAWEI-ipsec-proposal-prop1] esp authentication-algorithm sha2-512 

esp encryption-algorithm

命令功能

esp encryption-algorithm命令用来设置ESP协议采用的加密算法。

undo esp encryption-algorithm命令用来恢复缺省配置。

缺省情况下,没有为ESP协议配置加密算法。

命令格式

esp encryption-algorithm { 3des | aes { 128 | 192 | 256 } | des | null }

undo esp encryption-algorithm

参数说明

参数

参数说明

取值

3des

指定ESP协议的加密算法为168-bit的3DES算法(Triple Data Encryption Standard)。

-

des

指定ESP协议的加密算法为56-bit的DES算法。

-

aes 128

指定ESP协议的加密算法为高级加密标准AES(Advanced Encryption Standard),使用128-bit密钥长度对明文进行加密。

-

aes 192

指定ESP协议的加密算法为高级加密标准AES(Advanced Encryption Standard),使用192-bit密钥长度对明文进行加密。

-

aes 256

指定ESP协议的加密算法为高级加密标准AES(Advanced Encryption Standard),使用256-bit密钥长度对明文进行加密。

-

null 指定ESP协议在对协议报文加密时采用NULL方式,也就是不加密。 -

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

当IPSec安全提议采用的安全协议为ESP协议时,必须使用本命令设置ESP协议采用的加密算法。

加密算法位数表示输出密钥长度,随着输出密钥长度的提升,加密算法的保密及安全性要求越高,但计算速度也越慢。

不建议使用DES和3DES算法,否则无法满足您安全防御的要求。

ESP协议允许对报文同时进行加密和认证,或只认证。当不需要对报文进行加密时,执行命令esp encryption-algorithm null设置加密算法为空。

前置条件

需要首先通过transform命令选择了esp后,才能配置该命令。

注意事项

在IPSec对等体两端设置的安全联盟所引用的IPSec安全提议中,安全协议使用的加密算法必须相同。

使用实例

# 设定IPSec安全提议prop1采用ESP协议并使用AES-256加密算法。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal prop1
[*HUAWEI-ipsec-proposal-prop1] transform esp
[*HUAWEI-ipsec-proposal-prop1] esp encryption-algorithm aes 256

ipsec proposal

命令功能

ipsec proposal命令用来创建一个IPSec安全提议,并进入IPSec安全提议视图。

undo ipsec proposal命令用来删除所配置的IPSec安全提议。

缺省情况下,系统没有配置IPSec安全提议。

命令格式

ipsec proposal proposal-name

undo ipsec proposal proposal-name

参数说明

参数

参数说明

取值

proposal-name

指定IPSec安全提议的名称。

字符串格式,不支持“?”和空格,不区分大小写,长度范围是1~15。当输入的密码两端使用双引号时,可在密码中间输入空格。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

安全提议决定了对协议报文进行保护的策略,即实现协议报文保护需要的安全协议,以及安全协议的认证算法或加密算法等。因此,在配置IPSec安全保护时,需要首先执行ipsec proposal命令创建一个安全提议。

后续任务

配置安全协议、安全协议的认证算法或加密算法、协议报文的封装模式。

注意事项

当安全提议被安全联盟SA(Security Association)应用时,安全提议不能被删除。但是同一个安全提议可以应用到不同的安全联盟。如果需要删除安全提议,必须先执行undo proposal命令删除安全提议的引用。

使用实例

# 创建一个名称为newprop1的IPSec安全提议。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal newprop1
[*HUAWEI-ipsec-proposal-newprop1] 

ipsec sa

命令功能

ipsec sa命令用来创建安全联盟,并进入安全联盟视图。

undo ipsec sa命令用来删除安全联盟。

缺省情况下,系统不存在任何安全联盟。

命令格式

ipsec sa sa-name

undo ipsec sa sa-name

参数说明

参数 参数说明 取值
sa-name 指定安全联盟的名称。 字符串格式,不支持“?”和空格,不区分大小写,长度范围是1~15。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

2: 配置级

使用指南

应用场景

IPSec为数据包在网络中的安全传输提供了保证,而这些安全服务需要通过引用安全联盟来实现。因此在配置IPSec安全保护时,需要执行ipsec sa创建安全联盟,然后配置安全联盟的参数。

后续任务

执行proposal命令引用安全提议,执行sa spi配置安全参数索引,执行sa string-keysa authentication-hex命令配置认证密钥。

注意事项

安全联盟是单向的,因此对于入方向和出方向的数据流需要分别建立各自的安全联盟。

安全联盟与安全协议相关,即一个SA只能配置一种安全协议。

使用实例

# 创建SA。

<HUAWEI> system-view
[~HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1]

proposal

命令功能

proposal命令用来引用IPSec安全提议。

undo proposal命令用来删除已引用的IPSec安全提议。

缺省情况下,系统没有引用IPSec安全提议。

命令格式

proposal proposal-name

undo proposal

参数说明

参数

参数说明

取值

proposal-name

指定IPSec安全提议的名称。

必须是已存在的IPSec安全提议名称。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

该命令用于在安全联盟中引用,用于定义IPSec的保护方法。

前置条件

proposal-name是一个已经通过ipsec proposal命令创建的IPSec安全提议。

使用实例

# 创建名称为prop1的IPSec安全提议,采用缺省参数,然后指定安全联盟sa1引用该IPSec安全提议。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal prop1
[*HUAWEI-ipsec-proposal-prop1] quit
[*HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1] proposal prop1
相关主题

reset ipsec statistics

命令功能

reset ipsec statistics命令清除IPSec的报文统计信息。

命令格式

reset ipsec statistics [ sa-name sa-name ] [ slot slot-number ]

参数说明

参数

参数说明

取值

sa-name sa-name

指定安全联盟名称。

必须是已存在的安全联盟名称。

slot slot-number 指定运行IPSec组件的槽位号。

整数形式,根据设备实际配置情况选取。

视图

用户视图

缺省级别

2:配置级

使用指南

清除统计信息后,以前的统计信息将无法恢复。

可通过display ipsec statistics命令查看当前IPSec的报文统计信息。

使用实例

# 清除IPSec的报文统计信息。

<HUAWEI> reset ipsec statistics sa-name sa1

sa authentication-hex

命令功能

sa authentication-hex命令用来配置SA的认证密钥。

undo sa authentication-hex命令用来删除配置的SA的认证密钥。

缺省情况下,系统没有配置SA的认证密钥。

命令格式

sa authentication-hex { inbound | outbound } { ah | esp } [ cipher ] hex-string

undo sa authentication-hex { inbound | outbound } { ah | esp }

参数说明

参数

参数说明

取值

inbound

指定入方向SA的参数。

-

outbound

指定出方向SA的参数。

-

ah

指定采用AH协议。如果安全联盟引用的IPSec安全提议采用AH协议,则使用ah关键字来设置SA的认证密钥。

-

esp

指定采用ESP协议。如果安全联盟引用的IPSec安全提议采用ESP协议,则使用esp关键字来设置SA的认证密钥。

-

cipher

密文口令类型。可以键入明文或密文口令,但在查看配置文件时均以密文方式显示口令。

-

hex-string

指定认证密钥。

十六进制格式。

  • 如果使用MD5算法,密钥长度为16字节。

  • 如果使用SHA-1算法,密钥长度为20字节。

  • 如果使用SHA-256算法,密钥长度为32字节。

  • 如果使用SHA-384算法,密钥长度为48字节。

  • 如果使用SHA-512算法,密钥长度为64字节。

加密后的密文数据取值范围为20 ~432个字符。

不建议使用MD5和SHA-1算法,否则无法满足您安全防御的要求。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

在配置安全联盟时,当引用的IPSec安全提议选择了认证算法时,需要用户分别针对出/入方向SA手工配置认证密钥。并且本端的入方向SA的认证密钥必须和对端的出方向SA的认证密钥相同,同时本端的出方向SA的认证密钥必须和对端的入方向SA的认证密钥相同。

输入的认证密钥有两种形式,分别为十六进制和字符串。

  • 执行sa authentication-hex命令表示采用十六进制形式输入密钥。

  • 执行sa string-key命令表示采用字符串形式输入密钥。

如果分别以两种形式设置了认证密钥,则最后设定的认证密钥有效。

注意事项

当引用的IPSec安全提议同时选择了加密算法和认证算法时,还需要执行sa encryption-hex命令配置认证密钥。

使用实例

# 在安全联盟sa1中设置入方向SA的认证密钥为112233445566778899aabbccddeeff00;出方向SA的认证密钥为aabbccddeeff001100aabbccddeeff00。密钥以密文显示。

<HUAWEI> system-view
[~HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1] sa authentication-hex inbound ah cipher 112233445566778899aabbccddeeff00
[*HUAWEI-ipsec-sa-sa1] sa authentication-hex outbound ah cipher aabbccddeeff001100aabbccddeeff00

sa encryption-hex

命令功能

sa encryption-hex命令用来配置SA的加密密钥。

undo sa encryption-hex命令用来删除所配置的SA的加密密钥。

缺省情况下,系统没有配置SA的加密密钥。

命令格式

sa encryption-hex { inbound | outbound } esp [ cipher ] hex-string

undo sa encryption-hex { inbound | outbound } esp

参数说明

参数

参数说明

取值

inbound

指定入方向SA的参数。

-

outbound

指定出方向SA的参数。

-

esp

指定采用ESP协议。如果安全联盟引用的IPSec安全提议采用ESP协议,则使用esp关键字来配置SA的加密密钥。

-

cipher

密文口令类型。可以键入明文或密文口令,但在查看配置文件时均以密文方式显示口令。

-

hex-string

指定加密密钥。

十六进制格式。

  • 如果使用DES算法,则密钥长度为8字节。

  • 如果使用3DES算法,则密钥长度为24字节。

  • 如果使用AES-128算法,则密钥长度为16字节。

  • 如果使用AES-192算法,则密钥长度为24字节。

  • 如果使用AES-256算法,则密钥长度为32字节。

加密后的密文数据取值范围为20~432个字符。

说明:

DES和3DES为不安全算法,存在安全隐患,建议使用AES-128、AES-192、AES-256算法。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

在配置安全联盟时,当引用的IPSec安全提议选择了加密算法时,需要用户分别针对出/入方向SA手工配置加密密钥。并且本端的入方向SA的加密密钥必须和对端的出方向SA的加密密钥相同,同时本端的出方向SA的加密密钥必须和对端的入方向SA的加密密钥相同。

后续任务

当引用的IPSec安全提议同时选择了加密算法和认证算法时,还需要执行sa authentication-hex命令配置认证密钥。

使用实例

# 在安全联盟sa1中设置入方向SA的认证密钥为0x1234567890abcdef;出方向SA的认证密钥为0xabcdefabcdef1234。密钥以密文显示。

<HUAWEI> system-view
[~HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1] sa encryption-hex inbound esp cipher 1234567890abcdef
[*HUAWEI-ipsec-sa-sa1] sa encryption-hex outbound esp cipher abcdefabcdef1234

sa spi

命令功能

sa spi命令用来配置SA的安全参数索引SPI(Security Parameter Index)。

undo sa spi命令用来删除所设置的SA的SPI。

缺省情况下,SA没有设置SPI。

命令格式

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

参数说明

参数

参数说明

取值

inbound

指定入方向SA的参数。

-

outbound

指定出方向SA的参数。

-

ah

指定采用AH协议。如果安全联盟引用的IPSec安全提议采用AH协议,则使用ah关键字来设置SPI。

-

esp

指定采用ESP协议。如果安全联盟引用的IPSec安全提议采用ESP协议,则使用esp关键字来设置SPI。

-

spi-number

指定SPI。

整数形式,取值范围是256~4294967295。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

SPI是用来唯一标识一个特定的安全联盟。当应用安全联盟时,SPI会被设置在每个外发的协议报文上,接收方在收到协议报文时,将会根据SPI进行有效性检验。在使用ipsec sa sa-name创建安全联盟时,需要执行此命令,配置安全参数索引。

注意事项

在配置安全联盟时,必须分别设置inboundoutbound两个方向安全联盟的参数。

本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。

使用实例

# 在安全联盟sa1中设置入方向SA的SPI为10000,出方向SA的SPI为20000。

<HUAWEI> system-view
[~HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1] sa spi inbound ah 10000
[*HUAWEI-ipsec-sa-sa1] sa spi outbound ah 20000
相关主题

sa string-key

命令功能

sa string-key命令用来配置SA的认证密钥。

undo sa string-key命令用来删除所配置的SA的认证密钥。

缺省情况下,系统没有配置SA的认证密钥。

命令格式

sa string-key { inbound | outbound } { ah | esp } [ cipher ] string-key

undo sa string-key { inbound | outbound } { ah | esp }

参数说明

参数

参数说明

取值

inbound

指定入方向SA的参数。

-

outbound

指定出方向SA的参数。

-

ah

指定采用AH协议的SA的参数。如果安全联盟引用的IPSec安全提议采用AH协议,则使用ah关键字来设置SA的认证密钥。

-

esp

指定采用ESP协议的SA的参数。如果安全联盟引用的IPSec安全提议采用ESP协议,则使用esp关键字来设置SA的认证密钥。

-

cipher

密文口令类型。可以键入明文或密文口令,但在查看配置文件时均以密文方式显示口令。

-

string-key

指定SA的认证密钥。

字符串格式,不支持“?”和空格,区分大小写。如果明文显示,长度范围是1~255。如果输入密文,长度要求为20~432。当输入的字符串两端使用双引号时,可在字符串中输入空格。

说明:

为提高安全性,建议密钥至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密钥长度不小于6个字符。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

在配置安全联盟时,当引用的IPSec安全提议选择了认证算法时,需要用户分别针对出/入方向SA手工配置认证密钥。并且本端的入方向SA的认证密钥必须和对端的出方向SA的认证密钥相同,同时本端的出方向SA的认证密钥必须和对端的入方向SA的认证密钥相同。

输入的认证密钥有两种形式,分别为十六进制和字符串:

  • 执行sa string-key命令表示采用字符串形式输入密钥。

  • 执行sa authentication-hex命令表示采用十六进制形式输入密钥。

如果分别以两种形式设置了认证密钥,则最后设定的认证密钥有效。

使用实例

# 在安全联盟sa1中设置入方向SA的密钥为字符串abcdef;出方向SA的密钥为efcdab。密钥以密文显示。

<HUAWEI> system-view
[~HUAWEI] ipsec sa sa1
[*HUAWEI-ipsec-sa-sa1] sa string-key inbound ah cipher abcdef
[*HUAWEI-ipsec-sa-sa1] sa string-key outbound ah cipher efcdab

transform

命令功能

transform命令用来配置IPSec安全提议采用的安全协议。

undo transform命令用来将IPSec安全提议采用的安全协议恢复为缺省配置。

缺省情况下,IPSec安全提议采用安全协议为ESP协议。

命令格式

transform { ah | esp }

undo transform

参数说明

参数

参数说明

取值

ah

指定采用的安全协议为AH协议。

-

esp

指定采用的安全协议为ESP协议。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

  • 安全协议采用AH协议时,AH协议只能对报文进行认证。

  • 安全协议采用ESP协议时,ESP协议允许对报文同时进行加密和认证或只认证。

AH能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP虽然提供的认证服务不如AH,但它还可以对有效载荷进行加密。

注意事项

在IPSec对等体两端,IPSec安全提议所使用的安全协议必须一致。

使用实例

# 设置IPSec安全提议采用的安全协议为AH协议。

<HUAWEI> system-view
[~HUAWEI] ipsec proposal newprop1
[*HUAWEI-ipsec-proposal-newprop1] transform ah
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16258

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页