所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSec配置命令(IPSec加密)

IPSec配置命令(IPSec加密)

命令支持情况

命令支持情况请见各命令行中的说明,如无相关描述,默认所有款型支持该命令。

ah authentication-algorithm

命令功能

ah authentication-algorithm命令用来设置AH(Authentication Header)协议采用的认证算法。

undo ah authentication-algorithm命令用来恢复AH协议采用的认证方式为缺省值。

缺省情况下,AH协议采用SHA-256(Secure Hash Algorithm-256)认证算法。

命令格式

ah authentication-algorithm { md5 | sha1 | sha2-256 }

undo ah authentication-algorithm

参数说明

参数

参数说明

取值

md5

指定AH协议采用MD5认证。

-

sha1

指定AH协议采用SHA-1认证。

-

sha2-256

指定AH协议采用SHA-256认证。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

在数据包传送过程中,为了防止数据被窥探、修改以及保证数据来源的合法性,可以采用AH协议。AH协议通过使用带有密钥的认证算法在接收端和发送端对数据进行Hash计算,生成数字摘要,并比较摘要是否一致,以保证数据的完整性、可靠性。

AH协议目前提供了以下几种散列算法可选择,分别是:MD5、SHA-1、SHA2-256。

  • MD5:MD5通过输入任意长度的消息,产生128比特的消息摘要。
  • SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160比特的消息摘要。
  • SHA2-256:通过输入长度小于2的64次方比特的消息,产生256比特的消息摘要。

MD5算法的计算速度比SHA算法快,而SHA算法的安全强度比MD5算法高。

前置条件

在配置AH认证算法之前,必须先执行transform命令选择AH协议。

注意事项

IPSec对等体之间必须采用相同的认证算法。

使用实例

# 在配置IPSec安全提议prop1时,指定AH协议采用SHA-256认证算法。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop1
[HUAWEI-ipsec-proposal-prop1] transform ah
[HUAWEI-ipsec-proposal-prop1] ah authentication-algorithm sha2-256

display ipsec proposal

命令功能

display ipsec proposal命令用来查看IPSec安全提议的信息。

命令格式

display ipsec proposal [ name proposal-name ]

参数说明

参数 参数说明 取值
name proposal-name

指定IPSec安全提议的名称。

必须是已存在的IPSec安全提议名称。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

当配置了IPSec后,出现IPSec对等体之间的合法报文被丢弃时,可以在对等体两端设备上执行display ipsec proposal命令查看是否由于两端IPSec安全提议配置不一致导致。

IPSec对数据的具体保护措施是通过IPSec安全提议来决定的。因此,为了查看当前系统已有的IPSec安全提议及其详细信息,可以执行display ipsec proposal命令。包含如下内容:

  • IPSec安全提议的名称

  • IPSec安全提议采用的封装模式

  • IPSec安全提议采用的安全协议

  • 安全协议采用的认证算法和加密算法

使用实例

# 查看所有的IPSec安全提议信息。

<HUAWEI> display ipsec proposal
  Total IP security proposal number: 1

  IP security proposal name: proposal1
    encapsulation mode: transport
    transform: esp-new
    ESP protocol: authentication SHA2-HMAC-256, encryption AES-192
表10-6  display ipsec proposal命令输出信息描述

项目

描述

Total IP security proposal number

已创建的安全提议数目。

IP security proposal name

IPSec安全提议的名称。可通过ipsec proposal命令进行配置。

encapsulation mode

IPSec对数据的封装模式:
  • transport:传输模式。
  • tunnel:隧道模式。
可通过encapsulation-mode命令进行配置。
说明:

目前仅支持transport模式。

transform

安全提议配置的安全协议:
  • esp-new:表示封装安全载荷协议。
  • ah-new:表示认证头协议。
可通过transform命令进行配置。

ESP protocol

ESP(Encapsulating Security Payload)协议的配置信息:
  • authentication MD5-HMAC-96
  • authentication SHA1-HMAC-96
  • authentication SHA2-HMAC-256
  • encryption DES
  • encryption 3DES
  • encryption AES-128
  • encryption AES-192
  • encryption AES-256
  • not use encryption
  • not use authentication
注意:
  • MD5-HMAC-96和SHA1-HMAC-96认证算法存在安全隐患,建议优先使用SHA2-HMAC-256算法。

  • DES和3DES加密算法存在安全隐患,建议优先使用AES-128、AES-192或AES-256算法。

可通过esp authentication-algorithm命令和esp encryption-algorithm命令进行配置。

AH protocol

AH(Authentication Header)协议的配置信息:
  • MD5-HMAC-96
  • SHA1-HMAC-96
  • SHA2-HMAC-256
注意:

MD5-HMAC-96和SHA1-HMAC-96认证算法存在安全隐患,建议优先使用SHA2-HMAC-256算法。

可通过ah authentication-algorithm命令进行配置。
相关主题

display ipsec sa

命令功能

display ipsec sa命令用来查看安全联盟的配置信息。

命令格式

display ipsec sa [ name sa-name ] [ brief ]

参数说明

参数 参数说明 取值
name sa-name 指定安全联盟的名称。

必须是已存在的安全联盟名称。

brief 查看安全联盟的概要信息,包括安全联盟SA(Security Association)的名称、安全参数索引SPI(Security Parameter Index)值。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在故障诊断时,可以执行display ipsec sa命令查看IPSec对等体两端出方向和入方向的安全联盟配置是否匹配。能够查看到的安全联盟信息包括:

  • 安全联盟名称。

  • 在安全联盟中应用的安全提议。

  • 安全联盟被应用的次数。

  • 入方向的AH(Authentication Header)配置信息。

  • 出方向AH配置信息。

  • 入方向ESP(Encapsulating Security Payload)配置信息。

  • 出方向ESP配置信息。

使用实例

# 查看安全联盟的配置信息。

<HUAWEI> display ipsec sa
  IP security association name: sa1  
  Number of references: 0  
    proposal name: prop1  
    inbound AH setting:   
      AH spi:      
      AH string-key:  
      AH authentication hex key: %^%#0D_@HS5002;U1AR{t$3W:H188Ghs~N'_r`Y&R<j70V5-,r-NF(z!92N)oSNA%^%#
    inbound ESP setting:  
      ESP spi:   
      ESP string-key:  
      ESP encryption hex key: %^%#A*v9(B!U3U%*HL%Rod;%|G}F;B3[5%q#VMTG#9EP%^%#
      ESP authentication hex key: %^%#w_eeVg;FD3ybX!(2&P2ecMN%'JMGWXm^bR#qcUNKj_3AGrb@#\B4(Vn5cYC%^%#
    outbound AH setting: 
      AH spi:
      AH string-key:
      AH authentication hex key: %^%#jp!o1aA7qD^qMN&yI4M8nG_(~~O.{8;tyqI3%o5M4&L@G]rJw/au]r'm=j^9%^%#
    outbound ESP setting: 
      ESP spi:   
      ESP string-key:
      ESP encryption hex key: %^%#".dAYkLlqV_o-'SI0.":&<M';66l4UGMEjB9Cl\S%^%#
      ESP authentication hex key: %^%#Nkz8Z-sF*Pw3clT]@_F9B4:8>RIwc'r#sCJl0N[;{drLI|%uU5lVUWQkY3p1%^%#
表10-7  display ipsec sa命令输出信息描述

项目

描述

IP security association name

安全联盟的名称

Number of references

安全联盟被引用次数

proposal name

安全联盟引用的安全提议

inbound AH setting

入方向的AH协议参数

AH spi

AH协议类型的安全联盟的安全参数索引

AH string-key

字符串形式的AH协议认证密钥

AH authentication hex key

密文形式的AH协议认证密钥

inbound ESP setting

入方向的ESP协议参数

ESP spi

ESP协议的安全参数索引

ESP string-key

字符串形式的ESP协议认证密钥

ESP encryption hex key

密文形式的ESP协议加密密钥

ESP authentication hex key

密文形式的ESP协议认证密钥

outbound AH setting

出方向的AH协议参数

outbound ESP setting

出方向的ESP协议参数

display ipsec statistics

命令功能

display ipsec statistics命令用来查看IPSec处理报文的统计信息。

命令格式

display ipsec statistics [ sa-name sa-name slot slot-number ]

参数说明

参数 参数说明 取值
sa-name sa-name 查看指定名称的IPSec SA(Security Association)信息。

必须是已存在的安全联盟名称。

slot slot-number 查看指定槽位上运行的指定IPSec SA的统计信息。

整数形式,具体取值以设备为准。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

当配置了IPSec安全保护之后,可以执行display ipsec statistics命令查看IPSec接收和发送方向的报文信息以及被丢弃的报文信息。具体信息如下:
  • 接收和发送方向的报文数目

  • 接收和发送方向的报文字节数目

  • 接收和发送方向丢弃的报文数目

  • 被丢弃的报文详细信息

使用实例

# 查看IPSec处理的报文统计信息。

<HUAWEI> display ipsec statistics
  IPv6 security packet statistics:
    input/output security packets: 0/0
    input/output security bytes: 0/0
    input/output dropped security packets: 0/0
    dropped security packet detail:
      memory process problem: 0
      can't find SA: 0
      queue is full: 0
      authentication is failed: 0
      wrong length: 0
      replay packet: 0
      too long packet: 0
      invalid SA: 0
      policy deny: 0
  the normal packet statistics:
    input/output dropped normal packets: 0/0
  IPv4 security packet statistics:
    input/output security packets: 0/0
    input/output security bytes: 0/0
    input/output dropped security packets: 0/0
    dropped security packet detail:
      memory process problem: 0
      can't find SA: 0
      queue is full: 0
      authentication is failed: 0
      wrong length: 0
      replay packet: 0
      too long packet: 0
      invalid SA: 0
      policy deny: 0
  the normal packet statistics:
    input/output dropped normal packets: 0/0
表10-8  display ipsec statistics命令输出信息描述

项目

描述

IPv6 security packet statistics

IPv6的安全报文统计信息。

IPv4 security packet statistics

IPv4的安全报文统计信息。

input/output security packets

接收和发送方向的报文数目。

input/output security bytes

接收和发送方向的报文字节数。

input/output dropped security packets

接收和发送方向丢弃的报文数目。

dropped security packet detail

被丢弃的报文详细信息。

memory process problem

因储存问题而被丢弃的报文数目。

can't find SA

由于没有找到SA而被丢弃的报文数目。

queue is full

由于队列已满而被丢弃的报文数目。

authentication is failed

由于认证失败而被丢弃的报文数目。

wrong length

由于长度错误而被丢弃的报文数目。

replay packet

由于重复而被丢弃的报文数目。

too long packet

由于数据包太长而被丢弃的报文数目。

invalid SA

由于存在无效SA而被丢弃的报文数目。

policy deny

由于策略拒绝而被丢弃的报文数目。

the normal packet statistics

正常的报文统计信息。

input/output dropped normal packets

接收和发送方向被丢弃了的正常报文数目。

encapsulation-mode

命令功能

encapsulation-mode命令用来设置安全协议对IP报文的封装模式。

undo encapsulation-mode命令用来恢复到缺省的报文封装模式。

缺省情况下,安全协议采用tunnel模式,即隧道模式。

命令格式

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

说明:

目前交换机仅支持transport模式。

参数说明

参数 参数说明 取值
transport 指定IP报文的封装模式采用传输模式。 -
tunnel 指定IP报文的封装模式采用隧道模式。 -

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

在配置安全提议时,根据数据的秘密程度,需要选择AH(Authentication Header)协议或者ESP(Encapsulating Security Payload)协议对数据进行认证和加密的方式。如果选择了AH协议,则会生成AH头部,如果选择ESP协议,则会生成ESP头部、ESP尾部和ESP验证字段。为了将这些数据和源数据报文封装以便进行数据的检验,需要选择数据的封装模式。IPSec协议有两种封装模式:传输模式和隧道模式。

  • 传输模式适合两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。
  • 通常,在两个安全网关之间,总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。

注意事项

IPSec隧道两端都必须使用相同的封装模式。

使用实例

# 配置名为prop2的提议采用传输模式对IP报文进行封装。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop2
[HUAWEI-ipsec-proposal-prop2] encapsulation-mode transport
相关主题

esp authentication-algorithm

命令功能

esp authentication-algorithm命令用来设置ESP(Encapsulating Security Payload)协议采用的认证算法。

undo esp authentication-algorithm命令用来设置ESP协议不对报文进行认证。

缺省情况下,ESP协议采用SHA-256(Secure Hash Algorithm-256)认证算法。

命令格式

esp authentication-algorithm { md5 | sha1 | sha2-256 }

undo esp authentication-algorithm

参数说明

参数 参数说明 取值
md5 指定ESP安全协议采用MD5算法。 -
sha1 指定ESP安全协议采用SHA-1(Secure Hash Algorithm-1)算法。 -
sha2-256 指定ESP安全协议采用的认证算法为SHA-256算法。 -

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

在使用IPsec协议对数据包进行保护时,IPsec协议可以采用AH(Authentication Header)或ESP协议对报文进行认证,以防止数据被篡改、窃取。用户选择ESP协议对数据进行保护时,需要设置ESP协议的认证算法和加密的算法。AH或ESP协议的选取可以参考命令transform。当选择ESP协议时,可以执行esp authentication-algorithm命令定义用于认证IP报文的算法。

ESP协议目前提供了以下几种散列算法可选择,分别是:MD5、SHA-1、SHA2-256。

  • MD5:MD5通过输入任意长度的消息,产生128bit的消息摘要。
  • SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。
  • SHA2-256:通过输入长度小于2的64次方比特的消息,产生256比特的消息摘要。

MD5算法的计算速度比SHA算法快,而SHA算法的安全强度比MD5算法高。

说明:

undo esp authentication-algorithm命令不同于undo ah authentication-algorithmundo esp authentication-algorithm命令用来设置ESP协议不对报文进行认证,undo ah authentication-algorithm命令用来恢复AH协议缺省情况采用的认证算法,即MD5算法。

前置条件

IPSec包括AH协议和ESP协议。只有选择了相应的协议之后,才可以配置认证算法。因此,只有先使用transform命令选择了ESP协议之后,才能配置ESP认证算法。

注意事项

ESP协议采用的加密算法和认证算法不能同时设置为空。

IPSec对等体之间必须采用相同的认证算法。

使用实例

# 设定IPSec安全提议prop1采用ESP协议并使用SHA-256认证算法。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop1
[HUAWEI-ipsec-proposal-prop1] transform esp 
[HUAWEI-ipsec-proposal-prop1] esp authentication-algorithm sha2-256 

esp encryption-algorithm

命令功能

esp encryption-algorithm命令用来设置封装安全载荷ESP(Encapsulating Security Payload)协议采用的加密算法。

undo esp encryption-algorithm命令用来设置ESP协议不对报文进行加密。

缺省情况下,ESP协议采用AES-256(Advanced Encryption Standard-256)加密算法。

命令格式

esp encryption-algorithm { des | 3des | aes [ 128 | 192 | 256 ] }

undo esp encryption-algorithm

参数说明

参数 参数说明 取值
des

指定ESP协议在加密时采用数据加密标准DES算法。

-

3des

指定ESP协议在加密时采用使用3DES(Triple Data Encryption Standard,三个DES)。

-

aes

指定ESP协议在加密时采用AES(Advanced Encryption Standard)。

缺省情况下,如果128,192和256都没有指定,则ESP使用AES-128进行加密。

-

128

指定ESP协议在加密时采用AES-128。

-

192

指定ESP协议在加密时采用AES-192。

-

256

指定ESP协议在加密时采用AES-256。

-

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

在数据包传送过程中,为了防止数据被篡改、窃取,可以采用ESP协议,ESP协议使用认证和加密算法可以保护IP报文安全传送。使用ESP协议以确保IP安全时,需要定义用于加密IP报文的算法。

  • DES:使用56bit的密钥对一个64bit的明文块进行加密。

  • 3DES:使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。

  • AES:使用128、192或256bit的密钥对明文进行加密。

不建议使用DES和3DES算法,否则无法满足您安全防御的要求。

前置条件

需要首先通过transform命令选择了esp后,才能配置该命令。

注意事项

undo esp encryption-algorithm命令不是恢复加密算法为缺省算法,而是设置加密算法为空,即不加密。当加密算法不为空时,undo esp encryption-algorithm命令才起作用。

ESP协议采用的加密算法和认证算法不能同时设置为空。

在IPSec隧道两端设置的安全联盟所引用的IPSec安全提议中,安全协议使用的加密算法必须相同。

使用实例

# 配置ESP协议的加密算法为AES-128。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop1
[HUAWEI-ipsec-proposal-prop1] transform esp
[HUAWEI-ipsec-proposal-prop1] esp encryption-algorithm aes 128

ipsec proposal

命令功能

ipsec proposal命令用来创建一个IPSec安全提议,并进入IPSec安全提议视图。

undo ipsec proposal命令用来删除所配置的IPSec安全提议。

缺省情况下,系统没有配置IPSec安全提议。

命令格式

ipsec proposal proposal-name

undo ipsec proposal proposal-name

参数说明

参数

参数说明

取值

proposal-name

指定IPSec安全提议的名称。

字符串格式,不支持“?”和空格,不区分大小写,长度范围是1~15。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

IPSec安全提议是安全联盟的一个组成部分,它用于保存IPSec使用的安全协议、认证/加密算法以及数据的封装模式,定义了IPSec的保护方法,为IPSec协商SA提供各种安全参数。

后续任务

配置安全联盟时,需要执行命令proposal引用该IPSec安全提议。

注意事项

隧道两端设备需要配置为相同的安全参数。

当安全提议被安全联盟SA(Security Association)应用时,安全提议不能被删除。但是同一个安全提议可以应用到不同的安全联盟。如果需要删除安全提议,必须先执行undo proposal命令删除安全提议的引用。

使用实例

# 创建一个名称为newprop1的IPSec安全提议。

<HUAWEI> system-view
[HUAWEI] ipsec proposal newprop1
[HUAWEI-ipsec-proposal-newprop1] 

ipsec sa

命令功能

ipsec sa命令用来创建安全联盟,并进入安全联盟视图。

undo ipsec sa命令用来删除安全联盟。

缺省情况下,系统不存在任何安全联盟。

命令格式

ipsec sa sa-name

undo ipsec sa sa-name

参数说明

参数 参数说明 取值
sa-name 指定安全联盟的名称。 字符串格式,不支持“?”和空格,不区分大小写,长度范围是1~15。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

2: 配置级

使用指南

应用场景

IPSec为数据包在网络中的安全传输提供了保证,而这些安全服务需要通过引用安全联盟来实现。因此在配置IPSec安全保护时,需要执行ipsec sa创建安全联盟,然后配置安全联盟的参数。

后续任务

执行proposal命令引用安全提议,执行sa spi配置安全参数索引,执行sa string-keysa authentication-hex命令配置认证密钥。

注意事项

安全联盟是单向的,因此对于入方向和出方向的数据流需要分别建立各自的安全联盟。

安全联盟与安全协议相关,即一个SA只能配置一种安全协议。

使用实例

# 创建SA。

<HUAWEI> system-view
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1]

proposal

命令功能

proposal命令用来将提议应用至安全联盟SA(Security Association)。

undo proposal命令用来删除已应用至安全联盟的提议。

缺省情况下,安全联盟不引用任何提议。

命令格式

proposal proposal-name

undo proposal

参数说明

参数 参数说明 取值
proposal-name 指定IPSec安全提议的名称。 必须是已存在的IPSec安全提议名称。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

安全联盟定义了对数据的保护策略,安全提议定义了对数据的具体保护方法,只有将安全提议应用至安全联盟才能实现对数据的安全保护。因此当建立好安全联盟和安全提议之后,需要将安全提议应用至安全联盟。

前置条件

使用proposal前,必须使用ipsec proposal命令创建提议。如果没有创建提议,将会显示一条错误消息。

注意事项

当执行proposal后,安全提议不能被删除。

使用实例

# 创建名称为prop1的IPSec安全提议,采用缺省参数,然后指定安全联盟sa1引用该IPSec安全提议。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop1
[HUAWEI-ipsec-proposal-prop1] transform ah
[HUAWEI-ipsec-proposal-prop1] encapsulation-mode transport
[HUAWEI-ipsec-proposal-prop1] quit
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1] proposal prop1
相关主题

reset ipsec statistics

命令功能

reset ipsec statistics命令用来清除IPSec处理的报文的统计信息。

命令格式

reset ipsec statistics [ sa-name sa-name slot slot-number ]

参数说明

参数 参数说明 取值
sa-name sa-name 指定IPSec SA(Security Association)名称。

必须是已存在的安全联盟名称。

slot slot-number 查看指定槽位上运行的指定IPSec SA的统计信息。

整数形式,具体取值以设备为准。

视图

用户视图

缺省级别

2: 配置级

使用指南

应用场景

当需要精确了解某段时间内IPSec处理报文的统计信息时,可以先使用reset ipsec statistics命令清除该统计数,再开始统计。

后续任务

执行display ipsec statistics命令查看IPSec处理的报文统计信息。

注意事项

执行该命令前确认是否要清除当前的统计信息。清除统计信息后,以前的统计信息将无法恢复。

使用实例

# 清除IPSec处理的报文统计信息。

<HUAWEI> reset ipsec statistics

sa authentication-hex

命令功能

sa authentication-hex命令用来设置安全联盟的十六进制或密文格式的认证密钥。

undo sa authentication-hex命令用来删除安全联盟的认证密钥。

缺省情况下,不存在密钥。

命令格式

sa authentication-hex { inbound | outbound } { ah | esp } [ cipher ] { hex-plain-key | hex-cipher-key }

undo sa authentication-hex { inbound | outbound } { ah | esp }

参数说明

参数 参数说明 取值
inbound

指定入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。

-

outbound

指定出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。

-

ah

指定采用AH(Authentication Header)协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用AH协议,则使用ah关键字来设置安全联盟的参数。

-

esp

指定采用ESP(Encapsulating Security Payload)协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用ESP协议,则使用esp关键字来设置安全联盟的参数。

-

cipher

指定密文类型口令。

-

hex-plain-key

指定键入的认证密码为明文形式。

十六进制形式。
  • 认证算法为MD5(Message Digest 5),则密钥长度为16字节。
  • 认证算法为SHA-1(Secure Hash Algorithm-1),则密钥长度为20字节。
  • 认证算法为SHA2-256,则密钥长度为32字节。
hex-cipher-key

指定键入的认证密码为密文形式。

字符串形式,不区分大小写,不支持空格。
  • 认证算法为MD5,则密钥长度是68。
  • 认证算法为SHA-1,则密钥长度是88。
  • 认证算法为SHA2-256,则密钥长度是108。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

AH协议和ESP协议所采用的认证算法可以是MD5,也可以是SHA-1或SHA-256,这些算法都需要一个字符串形式或者十六进制形式的密钥才能对数据进行认证。当需要生成一个十六进制形式的密钥时,可以执行sa authentication-hex命令配置安全联盟的密钥。不建议使用MD5和SHA-1算法,否则无法满足您安全防御的要求。

注意事项

在配置安全联盟时,必须分别设置inboundoutbound两个方向安全联盟的参数。

在IPSec对等体两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。

输入密钥有两种格式:16进制格式和字符串格式。如果以字符串格式输入密钥需要使用命令sa string-key。如果分别以两种格式输入了密钥,则最后设定的密钥有效。在IPSec对等体两端,应当以相同的格式输入密钥。如果一端以字符串格式输入密钥,另一端以16进制格式输入密钥,则不能通信。

使用实例

# 在安全联盟sa1中设置入方向SA的认证密钥为112233445566778899aabbccddeeff00;出方向SA的认证密钥为aabbccddeeff001100aabbccddeeff00。密钥以密文显示。

<HUAWEI> system-view
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1] sa authentication-hex inbound ah cipher 112233445566778899aabbccddeeff00
[HUAWEI-ipsec-sa-sa1] sa authentication-hex outbound ah cipher aabbccddeeff001100aabbccddeeff00

sa encryption-hex

命令功能

sa encryption-hex命令用来设置安全联盟的十六进制或密文格式的加密密钥。

undo sa encryption-hex命令用来删除安全联盟的加密密钥。

缺省情况下,不存在密钥。

命令格式

sa encryption-hex { inbound | outbound } esp [ cipher ] { hex-plain-key | hex-cipher-key }

undo sa encryption-hex { inbound | outbound } esp

参数说明

参数 参数说明 取值
inbound 指定入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。 -
outbound 指定出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。 -
esp 指定采用ESP(Encapsulating Security Payload)协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用ESP协议,则使用esp关键字来设置安全联盟的参数。 -
cipher 指定密文类型口令。 -
hex-plain-key

指定键入的认证密码为明文形式。

十六进制形式。
  • 认证算法为DES(Data Encryption Standard),则密钥长度为8字节。
  • 认证算法为3DES(Triple Data Encryption Standard,三个DES),则密钥长度为24字节。
  • 认证算法为AES-128(Advanced Encryption Standard 128),则密钥长度为16字节。
  • 认证算法为AES-192密钥长度为24字节。
  • 认证算法为AES-256钥长度为32字节。
hex-cipher-key

指定键入的认证密码为密文形式。

字符串形式,不区分大小写,不支持空格。
  • 认证算法为DES,则密钥长度为48。
  • 认证算法为3DES,则密钥长度为88。
  • 认证算法为AES-128,则密钥长度为68。
  • 认证算法为AES-192密钥长度为88。
  • 认证算法为AES-256钥长度为108。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

ESP安全协议支持使用DES、3DES或AES算法对IP报文进行加密或解密。通过sa encryption-hex配置DES、3DES和AES算法的加密密钥。
  • DES和3DES算法存在安全隐患,建议优先使用AES算法。
  • 如果配置了sa encryption-hex命令,则通过sa string-key命令配置的认证密钥会自动被删除。

使用实例

# 在安全联盟sa1中设置入方向SA的认证密钥为0x1234567890abcdef;出方向SA的认证密钥为0xabcdefabcdef1234。密钥以密文显示。

<HUAWEI> system-view
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1] sa encryption-hex inbound esp cipher 1234567890abcdef
[HUAWEI-ipsec-sa-sa1] sa encryption-hex outbound esp cipher abcdefabcdef1234

sa spi

命令功能

sa spi命令用来配置安全联盟的安全参数索引SPI(Security Parameter Index)。

undo sa spi命令用来删除安全联盟的安全参数索引。

缺省情况下,安全参数索引为空。

命令格式

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

参数说明

参数 参数说明 取值
inbound 指定入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。 -
outbound 指定出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。 -
ah 指定采用AH协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用AH协议,则使用ah关键字来设置安全联盟的参数。 -
esp 指定采用ESP协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用ESP协议,则使用esp关键字来设置安全联盟的参数。 -
spi-number 指定安全联盟的安全参数索引。 整数形式,取值范围是256~4294967295。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

SPI是用来唯一标识一个特定的安全联盟。当应用安全联盟时,SPI会被设置在每个外发的报文上,接收方在收到入报文时,将会根据SPI进行有效性检验。在使用ipsec sa sa-name创建安全联盟时,需要执行此命令,配置安全参数索引。

注意事项

在配置安全联盟时,必须分别设置inboundoutbound两个方向安全联盟的参数。

本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样;本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。

使用实例

# 在安全联盟sa1中设置入方向SA的SPI为10000,出方向SA的SPI为20000。

<HUAWEI> system-view
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1] sa spi inbound ah 10000
[HUAWEI-ipsec-sa-sa1] sa spi outbound ah 20000
相关主题

sa string-key

命令功能

sa string-key命令用来配置安全联盟的字符串格式认证密钥。

undo sa string-key命令用来删除安全联盟的认证密钥。

缺省情况下,不存在密钥。

命令格式

sa string-key { inbound | outbound } { ah | esp } [ cipher ] string-cipher-key

undo sa string-key { inbound | outbound } { ah | esp }

参数说明

参数 参数说明 取值
inbound 指定入方向安全联盟的参数,IPSec使用入方向安全联盟处理接收的报文。 -
outbound 指定出方向安全联盟的参数,IPSec使用出方向安全联盟处理发送的报文。 -
ah 指定采用AH(Authentication Header)协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用AH协议,则使用ah关键字来设置安全联盟的参数。 -
esp 指定采用ESP(Encapsulating Security Payload)协议的安全联盟的参数。如果安全联盟引用的安全提议规定了采用ESP协议,则使用esp关键字来设置安全联盟的参数。 -
cipher 指定密文类型口令。 -
string-cipher-key 指定密文类型密钥。 字符串形式,区分大小写,可以是字母或数字。可以输入明文或密文,以密文形式显示。可以输入1~127的明文字符串,也可以输入20~392的密文字符串。字符不包括问号和空格,但是当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

安全联盟视图

缺省级别

2:配置级

使用指南

应用场景

AH协议和ESP协议所采用的认证算法可以是MD5(Message Digest 5),也可以是SHA-1(Secure Hash Algorithm-1)或SHA-256,这些算法都需要一个字符串形式或者十六进制形式的密钥才能对数据进行认证。当需要生成一个字符串形式的密钥时,可以执行sa string-key命令配置安全联盟的密钥。不建议使用MD5和SHA-1算法,否则无法满足您安全防御的要求。

注意事项

在配置安全联盟时,必须分别设置inboundoutbound两个方向安全联盟的参数。

在IPSec对等体两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样;本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。

输入密钥有两种格式:16进制格式和字符串格式。如果以十六进制格式输入密钥需要使用命令sa authentication-hex。如果分别以两种格式输入了密钥,则最后设定的密钥有效。在IPSec对等体两端,应当以相同的格式输入密钥。如果一端以字符串格式输入密钥,另一端以16进制格式输入密钥,则不能通信。

使用实例

# 在安全联盟sa1中设置入方向SA的密钥为字符串abcdef;出方向SA的密钥为efcdab。密钥以密文显示。

<HUAWEI> system-view
[HUAWEI] ipsec sa sa1
[HUAWEI-ipsec-sa-sa1] sa string-key inbound ah cipher abcdef
[HUAWEI-ipsec-sa-sa1] sa string-key outbound ah cipher efcdab

transform

命令功能

transform命令用来配置提议采用的安全协议。

undo transform命令用来恢复缺省的安全协议。

缺省情况下,使用RFC 2406中规定的ESP(Encapsulating Security Payload)协议。

命令格式

transform { ah | esp }

undo transform

参数说明

参数 参数说明 取值
ah 指定采用AH(Authentication Header)协议。 -
esp 指定采用ESP协议。 -

视图

IPSec安全提议视图

缺省级别

2:配置级

使用指南

应用场景

  • 安全协议采用AH协议时,AH协议只能对报文进行认证。

    选择AH协议时,缺省情况下,AH协议采用SHA-256认证算法。

  • 安全协议采用ESP协议时,ESP协议允许对报文同时进行加密和认证,或只加密,或只认证。

    选择ESP协议时,缺省情况下,ESP协议采用SHA-256认证算法、AES-256加密算法。

AH能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP虽然提供的认证服务不如AH,但它还可以对有效载荷进行加密。

后续任务

选择AH安全协议时,需要配置AH协议的认证算法。

选择ESP安全协议时,需要配置ESP协议的认证算法和加密算法。

注意事项

如果已经配置安全提议,当再次执行该命令时,已配置的安全协议将被覆盖,并且安全协议采用的认证算法、加密算法都会被设置成默认值。

在IPSec隧道两端,IPSec安全提议所使用的安全协议必须一致。

使用实例

# 配置安全提议prop的安全协议为AH。

<HUAWEI> system-view
[HUAWEI] ipsec proposal prop
[HUAWEI-ipsec-proposal-prop] transform ah
相关主题
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10193

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页