H3C VSR1000&VSR2000 - H3C-CMW710-E0322P01-X64 版本说明书（软件特性变更说明） PDF

H3C
VSR1000&VRS2000_H3C-CMW710-E0322P01-
X64 版本说明书
软件特性变更说明
Copyright © 2016 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，
并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。
i
目录
H3C VSR1000&VSR2000_H3C-CMW710-E0322P01-X64 版本 ···················································1
1 新增特性—VSR 作为 RR 角色支持 EVPN ··············································································1
1.1 EVPN 概述 ···················································································································1
1.1.1 EVPN 分层结构 ····································································································1
1.1.2 MP-BGP 的 EVPN 扩展 ··························································································2
1.2 配置 EVPN 网络中的 RR ·································································································3
1.3 EVPN 显示和维护 ··········································································································4
1.4 EVPN 命令 ···················································································································4
1.4.1 address-family l2vpn evpn ······················································································4
1.4.2 display bgp l2vpn evpn ··························································································5
1.4.3 policy vpn-target ·································································································15
1.4.4 rr-filter ··············································································································16
2 新增特性—策略路由匹配 QoS 本地 ID 值·············································································17

2.1 配置策略路由匹配 QoS 本地 ID 值配置 ·············································································17
2.2 配置 IP 报文 QoS 本地 ID 值匹配规则命令。 ······································································18
3 新增特性—配置 IP 报文 DF 标志位 ·····················································································18

3.1 配置 IP 报文 DF 标志位配置 ···························································································18
3.2 配置 IP 报文 DF 标志位命令 ···························································································19
3.2.1 ip df-bit ·············································································································19
4 新增特性—DHCP 地址池随机分配新地址功能 ······································································19

4.1 DHCP 地址池随机分配新地址配置 ···················································································19
4.2 DHCP 地址池随机分配新地址 ·························································································20
5 新增特性—对业务模块处理后的报文执行出方向 QoS 功能 ······················································21

5.1 配置对业务模块处理后的报文执行出方向 QoS 功能配置 ·······················································21
5.2 配置对业务模块处理后的报文执行出方向 QoS 功能命令 ·······················································21
6 新增特性—设备支持处理非广播 PADI 报文 ··········································································22

6.1 设备支持处理非广播 PADI 报文配置 ················································································22
6.2 设备支持处理非广播 PADI 报文命令 ················································································22
7 变更特性—Radius 属性支持下发多个隧道服务器端地址 ·························································23

7.1 特性变更说明 ··············································································································23
7.2 命令行变更·················································································································23
ii
H3C VSR1000&VSR2000_H3C-CMW710-E0322-X64 版本 ························································1
1 变更特性—Domain ···········································································································1
1.1 特性变更说明 ················································································································1
1.2 命令变更说明 ················································································································1
2 变更特性－BGP ···············································································································1
2.1 特性变更说明 ················································································································1
2.2 BGP 命令·····················································································································2
H3C VSR1000&VSR2000_H3C-CMW710-E0321P01-X64 版本 ···················································1

1 新增特性—IKEv2 ··············································································································1
1.1 IKEv2 简介 ···················································································································1
1.1.1 IKEv2 的协商过程 ·································································································1
1.1.2 IKEv2 引入的新特性 ······························································································2
1.1.3 协议规范 ·············································································································3
1.2 IKEv2 配置任务简介 ·······································································································3
1.3 配置 IKEv2 profile ··········································································································4
1.4 配置 IKEv2 安全策略 ······································································································6
1.5 配置 IKEv2 安全提议 ······································································································7
1.6 配置 IKEv2 keychain ······································································································8
1.7 配置 IKEv2 全局参数 ······································································································9
1.7.1 配置 IKEv2 cookie-challenge 功能 ············································································9
1.7.2 配置全局 IKEv2 DPD 探测功能 ················································································9
1.7.3 配置 IKEv2 NAT Keepalive 功能 ·············································································10
1.7.4 配置为对端分配 IP 地址的 IKEv2 本地地址池·····························································10
1.8 IKEv2 显示和维护 ········································································································10
1.9 IKEv2 典型配置举例 ·····································································································11
1.9.1 IKEv2 预共享密钥认证典型配置举例 ·······································································11
1.9.2 IKEv2 RSA 数字签名认证典型配置举例 ···································································16
1.9.3 IKEv2 NAT 穿越典型配置举例················································································24
1.10 常见错误配置举例 ······································································································28
1.10.1 IKEv2 提议不匹配导致 IKEv2 SA 协商失败······························································28
1.10.2 IPsec 提议不匹配导致 IPsec SA 协商失败·······························································29
1.10.3 无法建立安全隧道 ·····························································································29
1.11 IKEv2 命令 ···············································································································29
1.11.1 aaa authorization ······························································································29
1.11.2 address ··········································································································30
1.11.3 authentication-method ························································································31
iii
1.11.4 certificate domain ······························································································33
1.11.5 config-exchange ·······························································································34
1.11.6 display ikev2 policy ····························································································35
1.11.7 display ikev2 profile ···························································································36
1.11.8 display ikev2 proposal ························································································38
1.11.9 display ikev2 sa ································································································39
1.11.10 dh ················································································································43
1.11.11 dpd ··············································································································44
1.11.12 encryption ······································································································45
1.11.13 hostname ······································································································46
1.11.14 identity ··········································································································47
1.11.15 identity local ···································································································48
1.11.16 ikev2 address-group ························································································49
1.11.17 ikev2 cookie-challenge ·····················································································50
1.11.18 ikev2 dpd ·······································································································51
1.11.19 ikev2 ipv6-address-group ··················································································52
1.11.20 ikev2 keychain ································································································52
1.11.21 ikev2 nat-keepalive ··························································································53
1.11.22 ikev2 policy ····································································································54
1.11.23 ikev2 profile····································································································55
1.11.24 ikev2 proposal ································································································56
1.11.25 inside-vrf ·······································································································57
1.11.26 integrity ·········································································································58
1.11.27 keychain ········································································································59
1.11.28 match local (IKEv2 profile view) ··········································································59
1.11.29 match local address (IKEv2 policy view) ·······························································61
1.11.30 match remote ·································································································61
1.11.31 match vrf (IKEv2 policy view) ·············································································63
1.11.32 match vrf (IKEv2 profile view) ·············································································64
1.11.33 nat-keepalive ··································································································65
1.11.34 peer ·············································································································66
1.11.35 pre-shared-key ·······························································································66
1.11.36 prf ················································································································68
1.11.37 priority(IKEv2 policy view) ·················································································69
1.11.38 priority (IKEv2 profile view) ················································································70
1.11.39 proposal (IKEv2 policy view) ··············································································70
iv
1.11.40 reset ikev2 sa ·································································································71
1.11.41 sa duration ·····································································································72
2 新增特性－ License 客户端·······························································································73

2.1 License 客户端配置 ·····································································································73
2.1.1 授权服务器端配置 ·······························································································73
2.1.2 客户端使能授权服务器配置 ···················································································74
2.1.3 客户端获取授权配置 ····························································································74
2.1.4 客户端显示和维护 ·······························································································75
2.2 License 客户端命令 ·····································································································75
2.2.1 display license client ····························································································75
2.2.2 license server ipv4 ······························································································76
2.2.3 license client username························································································77
2.2.4 license client enable ····························································································78
2.2.5 license client install standard ·················································································79
2.2.6 license client install feature ···················································································80
3 变更特性－ SSHv2·········································································································81
3.1 特性变更说明 ··············································································································81
3.2 命令变更说明 ··············································································································81
3.2.1 修改- gre key ·····································································································81
H3C VSR1000&VSR2000_H3C-CMW710-E0321-X64 版本 ······················································83

1 新增特性—IRF ···············································································································83
1.1 支持 IRF 配置 ·············································································································83
1.2 支持 IRF 命令 ·············································································································83
2 新增特性 — 冗余组 ·········································································································83

2.1 支持冗余组配置 ···········································································································84
2.2 支持冗余组命令 ···········································································································84
3 新增特性 — AFT ············································································································84

3.1 支持 AFT 配置·············································································································84
3.2 支持 AFT 命令·············································································································84
4 新增特性 — Monitor Link··································································································84

4.1 支持 Monitor Link 配置 ··································································································84
4.2 支持 Monitor Link 命令 ··································································································84
5 新增特性—服务链···········································································································84
5.1 支持服务链配置 ···········································································································85
5.2 支持服务链命令 ···········································································································85
v
6 新增特性—OpenFlow ······································································································85
6.1 支持 OpenFlow 配置 ·····································································································85
6.2 支持服务链命令 ···········································································································85
7 变更特性—负载均衡········································································································86
7.1 特性变更说明 ··············································································································86
7.1.1 新增七层服务器负载均衡功能 ················································································86
7.1.2 新增出方向链路负载均衡功能 ················································································86
7.1.3 新增双机热备功能 ·······························································································86
7.1.4 新增 VPN 功能 ···································································································86
7.2 命令变更说明 ··············································································································86
8 变更特性－OSPF···········································································································86
8.1 特性变更说明 ··············································································································86
8.1.1 新增 DCN 功能 ···································································································86
8.2 命令变更说明 ··············································································································87
9 变更特性－Portal ···········································································································87

9.1 特性变更说明 ··············································································································87
9.1.1 新增基于 MAC 地址的快速认证 ··············································································87
9.2 命令变更说明 ··············································································································87
H3C VSR1000_H3C-CMW710-E0314-X64 版本 ·····································································88

1 新增特性 — IPoE············································································································89
1.1 支持 IPoE 配置 ············································································································89
1.2 支持 IPoE 命令 ············································································································89
2 新增特性 — WAAS ·········································································································89

2.1 支持 WAAS 配置 ·········································································································89
2.2 支持 WAAS 命令 ·········································································································89
3 新增特性 — VXLAN ········································································································90

3.1 支持 VXLAN 配置 ········································································································90
3.2 支持 VXLAN 命令 ········································································································90
4 新增特性 — ADVPN········································································································90
4.1 支持 ADVPN 配置 ········································································································90
4.2 支持 ADVPN 命令 ········································································································90
5 新增特性 — LLDP ··········································································································90

5.1 支持 LLDP 配置 ···········································································································91
5.2 支持 LLDP 命令 ···········································································································91
vi
6 变更特性－ BGP············································································································91
6.1 特性变更说明 ··············································································································91
6.1.1 修改特性缺省值 ··································································································91
6.1.2 修改命令依赖 ·····································································································91
6.2 命令变更说明 ··············································································································91
7 变更特性－ SSHv2·········································································································92
7.1 特性变更说明 ··············································································································92
7.1.1 修改特性缺省值 ··································································································92
7.2 命令变更说明 ··············································································································92
8 变更特性－ EVI-MAC ·····································································································92

8.1 特性变更说明 ··············································································································92
8.2 命令变更说明 ··············································································································92
8.2.1 修改- gre key ·····································································································92
9 变更特性－ ACL ············································································································93

9.1 特性变更说明 ··············································································································93
9.1.1 新增可用性功能 ··································································································93
9.2 命令变更说明 ··············································································································93
10 变更特性－ AAA ··········································································································93

10.1 特性变更说明 ············································································································93
10.2 命令变更说明 ············································································································93
10.2.1 修改- authorization-attribute·················································································93
11 变更特性－ NTP ···········································································································94

11.1 特性变更说明 ············································································································94
11.2 命令变更说明 ············································································································94
11.2.1 修改- ntp-service inbound ···················································································94
11.2.2 修改- ntp-service ipv6 inbound ·············································································94
H3C VSR1000_H3C-CMW710-E0301-X64 版本 ·····································································96

1 新增特性 — 支持 VMware 平台 OVF 初始化部署 ···································································97
1.1 VMware 平台 OVF 初始化部署配置··················································································97
1.2 VMware 平台 OVF 初始化部署命令··················································································97
2 新增特性—Ethernet Virtual Interconnect（EVI） ··································································97

2.1 Ethernet Virtual Interconnect（EVI）配置 ·········································································98
2.2 Ethernet Virtual Interconnect（EVI）命令 ·········································································98
3 新增特性 — 控制平面性能增强 ··························································································98

3.1 控制平面性能增强配置 ··································································································98
vii
3.2 控制平面性能增强命令 ··································································································98
4 新增特性 — MTR（Multi-Topology Routing） ······································································98

4.1 MTR（Multi-Topology Routing）配置 ··············································································98
4.2 MTR（Multi-Topology Routing）命令 ··············································································98
5 新增特性—安全域（Security Zone） ··················································································98

5.1 安全域（Security Zone）配置 ························································································99
5.2 安全域（Security Zone）命令 ························································································99
6 变更特性－ MPLS TE 特性 ·······························································································99

6.1 特性变更说明 ··············································································································99
6.2 命令变更说明 ··············································································································99
6.2.1 修改- mpls te ·····································································································99
7 变更特性－ Firewall-AttackDefend 特性··············································································100

7.1 特性变更说明 ············································································································100
7.2 命令变更说明 ············································································································100
7.2.1 修改- blacklist ip ·······························································································100
7.2.2 修改- reset blacklist ip ························································································100
7.2.3 修改- XXX-flood detect ·······················································································100
8 变更特性－ FIB4/FIB6 特性······························································································101

8.1 特性变更说明 ············································································································101
8.2 命令变更说明 ············································································································101
8.2.1 修改- apply next-hop ·························································································101
9 变更特性－ BGP 特性 ·····································································································101

9.1 特性变更说明 ············································································································101
9.2 命令变更说明 ············································································································102
9.2.1 修改- peer ·······································································································102
10 变更特性－接口管理 ·····································································································102
10.1 特性变更说明 ··········································································································102
10.2 命令变更说明 ··········································································································102
10.2.1 修改- ip address······························································································102
11 变更特性－ APR、NAT 业务 ··························································································102

11.1 特性变更说明 ··········································································································102
11.2 命令变更说明 ··········································································································103
11.2.1 修改- display port-mapping ················································································103
11.2.2 修改- include application ···················································································103
11.2.3 修改- port-mapping ··························································································104
viii
11.2.4 修改- port-mapping acl ·····················································································104
11.2.5 修改- port-mapping host ···················································································104
11.2.6 修改- port-mapping subnet ················································································105
11.2.7 修改- nat server ······························································································105
11.2.8 修改- nat dns-map ···························································································106
H3C VSR1000_H3C-CMW710-R0202-X64 版本 ····································································107

1 新增特性 — 支持 VirtIO 虚拟硬盘 ······················································································107
1.1 支持 VirtIO 虚拟硬盘配置 ·····························································································107
1.2 支持 VirtIO 虚拟硬盘配置命令 ·······················································································107
H3C VSR1000_H3C-CMW710-E0201-X64 版本 ····································································108

1 新增特性 — 支持 Intel 82599 VF 网卡 ················································································108
1.1 支持 Intel 82599 VF 网卡配置 ·······················································································108
1.2 支持 Intel 82599 VF 网卡配置命令 ·················································································108
2 新增特性 — 支持 VMware ESXi 5.5 虚拟化平台 ···································································108

2.1 支持 VMware ESXi 5.5 虚拟化平台配置 ··········································································108
2.2 支持 VMware ESXi 5.5 虚拟化平台配置命令 ····································································108
H3C VSR1000_H3C-CMW710-E0102-X64 版本 ····································································109

H3C VSR1000_H3C-CMW710-E0101P01-X64 版本 ·······························································110
H3C VSR1000_H3C-CMW710-E0101-X64 版本 ····································································111
1 新增特性—VSR 多核支持 ································································································111
1.1 VSR 多核支持配置 ·····································································································111
1.2 VSR 多核支持配置命令 ·······························································································111
2 新增特性－支持 VMXNET3 虚拟网卡 ·················································································111

2.1 支持 VMXNET3 虚拟网卡配置 ······················································································111
2.2 支持 VMXNET3 虚拟网卡配置命令 ················································································111
3 新增特性－支持 VirtIO 虚拟网卡 ·······················································································111

3.1 支持 VirtIO 虚拟网卡配置 ·····························································································111
3.2 支持 VirtIO 虚拟网卡配置命令 ·······················································································112
4 新增特性－支持 H3C CAS 虚拟平台 ··················································································112

4.1 支持 H3C CAS 虚拟平台配置 ·······················································································112
4.2 支持 H3C CAS 虚拟平台配置命令 ·················································································112
H3C VSR1000_H3C-CMW710-E0002-X64 版本 ····································································113
ix
H3C
VSR1000&VSR2000_H3C-CMW710-E0322P01-
X64 版本
VSR1000&VSR2000 版本特性变更情况如下：
 新增特性—VSR 作为 RR 角色支持 EVPN
 新增特性—策略路由匹配 QoS 本地 ID 值
 新增特性—配置 IP 报文 DF 标志位
 新增特性—DHCP 地址池随机分配新地址功能
 新增特性—对业务模块处理后的报文执行出方向 QoS 功能
 新增特性—设备支持处理非广播 PADI 报文
 变更特性—Radius 属性支持下发多个隧道服务器端地址
1 新增特性—VSR 作为 RR 角色支持 EVPN

1.1 EVPN概述
EVPN（Ethernet Virtual Private Network，以太网虚拟专用网络）是一种二层 VPN 技术，控制平
面采用 MP-BGP 通告 EVPN 路由信息，数据平面采用 VXLAN 封装方式转发报文。租户的物理站点
分散在不同位置时，EVPN 可以基于已有的服务提供商或企业 IP 网络，为同一租户的相同子网提供
二层互联；通过 EVPN 网关为同一租户的不同子网提供三层互联，并为其提供与外部网络的三层互
联。
1.1.1 EVPN 分层结构

如图 1-1 所示，EVPN 通常采用 Spine（核心）—Leaf（分支）的分层结构。Leaf 层的设备作为 VTEP
对报文进行 EVPN 相关处理；Spine 层为核心设备，根据报文的目的 IP 地址转发报文。EVPN 网络
中的设备属于同一个 AS（Autonomous System，自治系统）时，为了避免在所有 VTEP 之间建立
IBGP 对等体，可以将核心设备配置为 RR（Route Reflector，路由反射器）
。RR 负责发布、接收
EVPN 路由，但不需要封装、解封装 VXLAN 报文。
目前，设备只能作为 EVPN 组网中的 RR 设备。
1
图1-1 EVPN 典型组网
RR RR
Spine
IP核心网络
Leaf
VTEP VTEP
Site 1 Site 2
Server Server
1.1.2 MP-BGP 的 EVPN 扩展

为了支持 EVPN，MP-BGP 在 L2VPN 地址族下定义了新的子地址族——EVPN 地址族，并新增了
如下 EVPN NLRI（Network Layer Reachability Information，网络层可达性信息）
，即 EVPN 路由：
 Ethernet Auto-discovery Route：以太网自动发现路由，用来在站点多归属组网中通告 ES 信
息。
 MAC/IP Advertisement Route：MAC/IP 发布路由，用来通告 MAC 地址和主机路由信息（即
ARP 信息）。
 Inclusive Multicast Ethernet Tag Route：包含性组播以太网标签路由，又称为 IMET 路由，用
来通告 VTEP 及其所属 VXLAN 信息，以实现自动发现 VTEP、自动建立 VXLAN 隧道和自动
关联 VXLAN 与 VXLAN 隧道。
 Ethernet Segment Route：以太网段路由，用来通告 ES 及其连接的 VTEP 信息。
 IP Prefix advertisement route：IP 前缀路由，用来以 IP 前缀的形式通告引入的外部路由。
EVPN 路由中包含 RD（Route Distinguisher，路由标识符）字段，用来区分不同 VXLAN 的 EVPN
路由，以免 EVPN 路由冲突。
VTEP 在发布 EVPN 路由时，会携带 VPN Target 扩展团体属性（也称为 Route Target）
。VPN target
属性定义了本地发送的 EVPN 路由可以为哪些 VTEP 所接收，VTEP 可以接收哪些远端 VTEP 发送
来的 EVPN 路由。MP-BGP 通过 VPN Target 属性来控制 EVPN 路由信息的发布与接收。
VPN target 属性分为以下两种，每一种都可以包括多个属性值：
 Export target 属性：本地 VTEP 在通过 BGP 的 Update 消息将 EVPN 路由发送给远端 VTEP
时，将 Update 消息中携带的 VPN target 属性设置为 Export target。
 Import target 属性：VTEP 收到其它 VTEP 发布的 Update 消息时，将消息中携带的 VPN
target 属性与本地配置的 Import target 属性进行比较，只有二者中存在相同的属性值时，才
会接收该消息中的 EVPN 路由。
2
1.2 配置EVPN网络中的RR
下表中 peer as-number、peer enable、peer reflect-client、reflect between-clients、reflector
cluster-id、refresh bgp 和 reset bgp 命令的详细介绍，请参见“三层技术-IP 路由命令参考”中
的“BGP” 。
表1-1 配置 EVPN 网络中的 RR
操作命令说明
进入系统视图 system-view -
配置全局Router ID router id router-id 缺省情况下，未配置全局Router ID
bgp as-number [ instance

启动BGP实例，并进入BGP实例
instance-name ] 缺省情况下，系统没有运行BGP
视图
[ multi-session-thread ]
peer { group-name | ipv4-address

将远端VTEP配置为对等体 [ mask-length ] } as-number 缺省情况下，不存在BGP对等体
as-number
创建BGP EVPN地址族，并进入缺省情况下，不存在BGP EVPN地

address-family l2vpn evpn
BGP EVPN地址族视图址族
使能本地路由器与指定对等体/ 缺省情况下，本地路由器不能与对
对等体组交换BGP EVPN路由的等体/对等体组交换BGP EVPN路
[ mask-length ] } enable
能力由
配置本机作为路由反射器，对等
peer { group-name | ipv4-address 缺省情况下，没有配置路由反射器
体/对等体组作为路由反射器的
[ mask-length ] } reflect-client 及其客户机
客户机
（可选）允许路由反射器在客户缺省情况下，允许路由反射器在客
reflect between-clients
机之间反射EVPN路由户机之间反射EVPN路由
（可选）配置路由反射器的集群 reflector cluster-id { cluster-id | 缺省情况下，每个路由反射器都使

ID ipv4-address } 用自己的Router ID作为集群ID
（可选）配置路由反射器对反射缺省情况下，路由反射器不会对反
rr-filter ext-comm-list-number
的EVPN路由进行过滤射的EVPN路由进行过滤
缺省情况下，BGP EVPN路由的
（可选）开启BGP EVPN路由的
policy vpn-target VPN-Target过滤功能处于开启状
VPN-Target过滤功能
态
（可选）返回用户视图 return -
refresh bgp [ instance

instance-name ] { ipv4-address
（可选）手工对EVPN地址族下
[ mask-length ] | all | external | group -
的BGP会话进行软复位 group-name | internal } { export |
import } l2vpn evpn
reset bgp [ instance instance-name ]

（可选）复位EVPN地址族下的 { as-number | ipv4-address
-
BGP会话 [ mask-length ] | all | external | group
group-name | internal } l2vpn evpn
3
1.3 EVPN显示和维护
在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 EVPN 的运行情况，通过查看
显示信息验证配置的效果。
display bgp group、display bgp peer、display bgp update-group 命令的详细介绍请参见“三
层技术-IP 路由命令参考”中的“BGP” 。
表1-2 EVPN 显示和维护
操作命令
display bgp [ instance instance-name ] group l2vpn evpn

显示BGP对等体组的信息
[ group-name group-name ]
display bgp [ instance instance-name ] l2vpn evpn [ peer

ipv4-address { advertised-routes | received-routes } [ statistics ] |
route-distinguisher route-distinguisher [ route-type
显示BGP EVPN路由信息
{ auto-discovery | es | imet | ip-prefix | mac-ip } ] [ evpn-route
route-length [ advertise-info ] ] | route-type { auto-discovery | es |
imet | ip-prefix | mac-ip } | statistics ]
display bgp [ instance instance-name ] peer l2vpn evpn

显示BGP对等体或对等体组的状态和统
[ ipv4-address mask-length | { ipv4-address | group-name
计信息 group-name } log-info | [ ipv4-address ] verbose ]
display bgp [ instance instance-name ] update-group l2vpn evpn

显示BGP打包组的相关信息
[ ipv4-address ]
1.4 EVPN命令
1.4.1 address-family l2vpn evpn
address-family l2vpn evpn 命令用来创建 BGP EVPN 地址族，并进入 BGP EVPN 地址族视图。
如果 BGP EVPN 地址族已经存在，直接进入 BGP EVPN 地址族视图。
undo address-family l2vpn evpn 命令用来删除 BGP EVPN 地址族，及相应地址族视图下的所有
配置。
【命令】
address-family l2vpn evpn
undo address-family l2vpn evpn
【缺省情况】
不存在 BGP EVPN 地址族。
【视图】
BGP 实例视图
【缺省用户角色】
network-admin
mdc-admin
4
【使用指导】
BGP EVPN 地址族视图下的配置，只对公网 BGP EVPN 地址族的路由和对等体生效。
【举例】
# 创建 BGP EVPN 地址族，并进入 BGP EVPN 地址族视图。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] address-family l2vpn evpn
[Sysname-bgp-default-evpn]
1.4.2 display bgp l2vpn evpn

display bgp l2vpn evpn 命令用来显示 BGP EVPN 路由信息。
【命令】
display bgp [ instance instance-name ] l2vpn evpn [ peer ipv4-address { advertised-routes |
received-routes } [ statistics ] | route-distinguisher route-distinguisher [ route-type
{ auto-discovery | es | imet | ip-prefix | mac-ip } ] [ evpn-route route-length [ advertise-info ] ] |
route-type { auto-discovery | es | imet | ip-prefix | mac-ip } | statistics ]
【视图】
任意视图
【参数】
instance instance-name：显示指定 BGP 实例的信息。instance-name 表示 BGP 实例的名称，为
1～31 个字符的字符串，区分大小写。如果未指定本参数，则显示 default 实例的信息。
peer ipv4-address ：显示向指定对等体发布或者从指定对等体收到的 BGP EVPN 路由。
ipv4-address 表示对等体的 IP 地址。
advertised-routes：显示向指定对等体发布的 BGP EVPN 路由信息。
received-routes：显示从指定对等体接收到的 BGP EVPN 路由信息。
statistics：显示 BGP EVPN 路由的统计信息。
route-distinguisher route-distinguisher ：显示指定路由标识符的 BGP EVPN 路由信息。
route-distinguisher 为路由标识符，为 3～21 个字符的字符串。路由标识符有三种格式：
 16 位自治系统号:32 位用户自定义数，例如：101:3。
 32 位 IP 地址:16 位用户自定义数，例如：192.168.122.15:1。
 32 位自治系统号:16 位用户自定义数字，
其中的自治系统号最小值为 65536。例如：65536:1。
route-type：显示指定类型的 BGP EVPN 路由。
auto-discovery：显示以太网自动发现路由（Ethernet auto-discovery route）。
。
es：显示以太网段路由（Ethernet segment route）
，
imet：显示包含性组播以太网标签路由（Inclusive multicast Ethernet tag route）
ip-prefix：显示 IP 前缀路由（IP prefix advertisement route）
。
mac-ip：显示 MAC/IP 发布路由（MAC/IP advertisement route）
。
5
evpn-route：显示指定 BGP EVPN 路由的详细信息。evpn-route 表示 EVPN 路由信息，为 1～512
个字符的字符串。
route-length：BGP EVPN 路由信息的长度，取值范围为 0～65535，单位为比特。
advertise-info：显示 BGP EVPN 路由的通告信息。
【使用指导】
如果未指定任何参数，则显示所有 BGP EVPN 路由的简要信息。
【举例】
# 显示所有 BGP EVPN 路由的简要信息。
<Sysname> display bgp l2vpn evpn
BGP local router ID is 1.1.1.9

Status codes: * - valid, > - best, d - dampened, h - history,
s - suppressed, S - stale, i - internal, e - external
Origin: i - IGP, e - EGP, ? - incomplete
Total number of routes from all PEs: 2
Route distinguisher: 100:1

Total number of routes: 6
Network NextHop MED LocPrf PrefVal Path/Ogn
* > [2][0][48][00aa.00bb.00cc][4][0.0.0.0]/136
10.1.1.2 0 32768 ?
* e 10.1.1.1 0 0 65410?
* > [3][300][16][::ffff:1.1.1.1]/176
127.0.0.1 0 32768 ?
Route distinguisher: 200:1

Network NextHop MED LocPrf PrefVal Path/Ogn
* >i [2][0][48][00aa.00cc.00dd][4][1.1.1.1]/136
3.3.3.9 0 100 0 ?
* >i [3][300][16][::ffff:2.2.2.2]/176
3.3.3.9 0 100 0 65420?
表1-3 display bgp l2vpn evpn 命令简要显示信息描述表

字段描述
BGP local router ID BGP本地路由器ID
6
字段描述
路由状态代码：
 * - valid：合法路由
 > - best：普通优选路由
 d - damped：震荡抑制路由
Status codes  h - history：历史路由
 i - internal：内部路由
 e - external：外部路由
 s - suppressed：聚合抑制路由
 S - Stale：过期路由
路由信息的来源，取值包括：
 i – IGP：表示路由产生于本 AS 内。通过 network 命令发布路由的路由
信息来源为 IGP
Origin  – EGP：表示路由是通过 EGP（Exterior Gateway Protocol，外部网
关协议）学到的
 ? - incomplete：表示路由的来源无法确定。从 IGP 协议引入路由的路由
信息来源为 incomplete
Total number of routes from all

来自所有PE设备的BGP EVPN路由总数
PEs
Route distinguisher 路由标识符
Total number of routes 路由标识符为指定值的BGP EVPN路由总数
7
字段描述
BGP EVPN路由/路由长度，BGP EVPN路由取值包括：

 [1][ESI][EthernetTagID]：
 1：表示以太网自动发现路由（Ethernet auto-discovery route）
 ESI：以太网段标识
 EthernetTagID：以太网标签
 [2][EthernetTagID][MACLength][MAC][IPAddressLength][IPAddress]
 2：表示 MAC/IP 发布路由（MAC/IP advertisement route）
 MACLength：MAC 地址长度
 MAC：MAC 地址
 IPAddressLength：IP 地址长度
 IPAddress：IP 地址
 [3][EthernetTagID][IPAddressLength][IPAddress]
Network  3：表示包含性组播以太网标签路由（Inclusive multicast Ethernet tag
route）
 IPAddress：始发路由器的 IP 地址
 [4][ESI][IPAddressLength][IPAddress]
 4：表示以太网段路由（Ethernet segment route）
 ESI：以太网段标识
 [5][EthernetTagID][IPAddressLength][IPAddress]
 5：表示 IP 前缀路由（IP prefix advertisement route）
NextHop 下一跳IP地址
MED MED（Multi-Exit Discriminator，多出口区分）属性值
LocPrf 本地优先级
PrefVal 路由首选值
Path/Ogn 路由的AS路径（AS_PATH）属性和路由信息的来源（ORIGIN）属性
# 显示路由标识符为 1.1.1.1:100 的 BGP EVPN 路由[1][00:01:02:03:04:05:06:07:08:09][5]/120 的

详细信息。
<Sysname> display bgp l2vpn evpn route-distinguisher 1.1.1.1:100
[1][00:01:02:03:04:05:06:07:08:09][5] 120
BGP local router ID: 172.16.250.133

Local AS number: 100
8
Route distinguisher: 1.1.1.1:100
Paths: 1 available, 1 best
BGP routing table information of [1][00:01:02:03:04:05:06:07:08:09][5]/120:

From : 10.1.1.2 (192.168.56.17)
Rely nexthop : 10.1.1.2
Original nexthop: 10.1.1.2
OutLabel : 0
Ext-Community : <RT: 1:2>, <Encapsulation Type: VXLAN >, <ESI Label: Flag 0,
Label 1>
AS-path : 200
Origin : igp
Attribute value : MED 0, pref-val 0
State : valid, external, best
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
EVPN route type : Ethernet auto-discovery route
ESI : 00:01:02:03:04:05:06:07:08:09
Ethernet tag ID : 5
MPLS label : 10
表1-4 display bgp l2vpn evpn 命令中 Ethernet auto-discovery route 详细显示信息描述表
字段描述
BGP local router ID 本地的路由器ID
Local AS number 本地的AS号
路由数信息
Paths  available：有效路由数目
 best：最佳路由数目
BGP routing table information of BGP EVPN路由[1][00:01:02:03:04:05:06:07:08:09][5]/120的详细

[1][00:01:02:03:04:05:06:07:08:09][5]/120 信息
From 发布该路由的BGP对等体的IP地址
路由迭代后的下一跳IP地址，如果没有迭代出下一跳地址，则显示
Rely Nexthop
为“not resolved”
路由的原始下一跳地址，如果是从BGP更新消息中获得的路由，
Original nexthop
则该地址为接收到的消息中的下一跳IP地址
OutLabel 路由的出标签值
9
字段描述
扩展团体属性值，包括：
 RT：Route Target 属性
Ext-Community
 Encapsulation Type：封装类型
 ESI Label：ESI 标签
路由的AS路径（AS_PATH）属性，记录了此路由经过的所有AS，
AS-path
可以避免路由环路的出现
路由信息的来源，取值包括：
 igp：表示路由产生于本 AS 内。通过 network 命令发布路由的
路由信息来源为 IGP
Origin  egp：表示路由是通过 EGP（Exterior Gateway Protocol，外
部网关协议）学到的。
 incomplete：表示路由的来源无法确定。从 IGP 协议引入路由
的路由信息来源为 incomplete
BGP路由属性信息，包括：
 MED：与目的网络关联的 MED 值
Attribute value  localpref：本地优先级
 pref-val：路由首选值
 pre：协议优先级
路由当前状态，取值包括：
 valid：有效路由
 internal：内部路由
State  external：外部路由
 local：本地产生路由
 synchronize：同步路由
 best：最佳路由
IP precedence 路由的IP优先级，取值范围为0～7，N/A表示无效值
QoS local ID 路由的Qos-Local-ID属性，取值范围为1～4095，N/A表示无效值
Traffic index 流量索引值，取值范围为1～64，N/A表示无效值
BGP EVPN路由类型，取值为Ethernet auto-discovery route，表

EVPN route type
示以太网自动发现路由
ESI 以太网段标识
Ethernet tag ID 以太网标签
MPLS label MPLS标签，目前此字段无意义
# 显示路由标识符为 1.1.1.1:100 的 BGP EVPN 路由[2][5][48][0001-0203-0405][32][4.5.5.5]/136 的

详细信息。
[2][5][48][0001-0203-0405][32][5.5.5.5] 136
10

BGP routing table information of [2][5][48][0001-0203-0405][32][5.5.5.5]/136:

From : 10.1.1.2 (192.168.56.17)
OutLabel : 0
Ext-Community : <RT: 1:2>, <RT: 1:3>, <RT: 1:4>, <RT: 1:5>, <RT: 1:6>, <RT: 1:7
>, <Encapsulation Type: VXLAN>, <Router's Mac: 0006-0708-0910
>, <MAC Mobility: Flag 0, SeqNum 2>, <Default GateWay>
AS-path : 200
Origin : igp
Attribute value : MED 0, pref-val 0
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
EVPN route type : MAC/IP advertisement route
ESI : 00:01:02:03:04:05:06:07:08:09
Ethernet tag ID : 5
MAC address : 0001-0203-0405
IP address : 5.5.5.5/32
MPLS label1 : 10
MPLS label2 : 0
表1-5 display bgp l2vpn evpn 命令中 MAC/IP advertisement route 详细显示信息描述表
字段描述
Ext-Community  Router's Mac：路由器 MAC

 MAC Mobility：MAC 迁移属性。Flags 表示是否为固定
MAC 地址，1 为固定不可移动 MAC，0 为可以移动
MAC；SeqNum 用来标识最新的一次迁移
 Default GateWay：默认网关路由
BGP EVPN路由类型，取值为MAC/IP advertisement route，

EVPN route type
表示MAC/IP发布路由
MAC address MAC地址
11
字段描述
IP address IP地址
MPLS label1 用于二层转发的VXLAN ID
MPLS label2 用于三层转发的VXLAN ID，即L3VNI
# 显示路由标识符为 1.1.1.1:100 的 BGP EVPN 路由[3][0][32][5.5.5.5]/80 的详细信息。

<Sysname> display bgp l2vpn evpn route-distinguisher 1.1.1.1:100 [3][0][32][4.5.5.5] 80


BGP routing table information of [3][0][32][4.5.5.5]/80:

From : 10.1.1.2 (192.168.56.17)
OutLabel : 0
Ext-Community : <RT: 1:2>, <Encapsulation Type: VXLAN>
AS-path : 200
Origin : igp
Attribute value : MED 0,pref-val 0
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
EVPN route type : Inclusive multicast Ethernet tag route
Ethernet tag ID : 0
Origin address : 5.5.5.5/32
表1-6 display bgp l2vpn evpn 命令中 Inclusive multicast Ethernet tag route 详细显示信息描述表
字段描述
Ext-Community  RT：Route Target 属性
BGP EVPN路由类型，取值为Inclusive multicast Ethernet tag

EVPN route type
route，表示包含性组播以太网标签路由
Origin address 始发路由器地址
12
# 显示路由标识符为 1.1.1.1:100 的 EVPN 路由[4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128
的详细信息。
[4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5] 128


BGP routing table information of [4][00:00:00:00:00:00:00:00:00:0a][32] [4.5.5

.5]/128:
From : 10.1.1.2 (192.168.56.17)
OutLabel : 0
Ext-Community : <RT: 1:2>, <Encapsulation Type: VXLAN>, <ES-Import RT: 1:1>
AS-path : 200
Origin : igp
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
EVPN route type : Ethernet segment route
ESI : 00:00:00:00:00:00:00:00:00:0a
Origin address : 4.5.5.5/32
表1-7 display bgp l2vpn evpn 命令中 Ethernet segment route 详细显示信息描述表
字段描述
Ext-Community
 ES-Import RT：ES-Import Route Target 属性
EVPN route type BGP EVPN路由类型，取值为Ethernet segment route，表示以太网段路由
Origin address 始发路由器地址
# 显示路由标识符为 1.1.1.1:100 的 BGP EVPN 路由[5][10][32][4.5.5.5]/80 的详细信息。

<Sysname> display bgp l2vpn evpn route-distinguisher 1.1.1.1:100 [5][10][32][4.5.5.5] 80
13

BGP routing table information of [5][10][32][4.5.5.5]/80:

From : 10.1.1.2 (192.168.56.17)
OutLabel : 0
Ext-Community : <RT: 1:2>, <Encapsulation Type: VXLAN>, <Router's Mac:
0006-0708-0910>
AS-path : 200
Origin : igp
IP precedence : N/A
QoS local ID : N/A
Traffic index : N/A
EVPN route type : IP prefix advertisement route
ESI : 00:00:00:00:00:00:00:00:00:0a
Ethernet tag ID : 10
IP address : 4.5.5.5/32
Gateway address : 0.0.0.0
MPLS Label : 1
表1-8 display bgp l2vpn evpn 命令中 IP prefix advertisement route 详细显示信息描述表
字段描述
Ext-Community
 Router's Mac：路由器 MAC
EVPN route type BGP EVPN路由类型，取值为IP prefix advertisement route，表示IP前缀路由
IP address IP网络前缀
Gateway address 网关地址
MPLS Label 用于三层转发的VXLAN ID，即L3VNI
# 显示路由标识符为 1.1.1.1:100 的 EVPN 路由[4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128

的通告信息。
14
[4][00:00:00:00:00:00:00:00:00:0a] [32][4.5.5.5] 128 advertise-info


Paths: 1 best
BGP routing table information of [4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128:

Advertised to peers (1 in total):
10.2.1.2
表1-9 display bgp l2vpn evpn advertise-info 命令显示信息描述表

字段描述
BGP local router ID 本地的路由器ID
Local AS number 本地的AS号
Paths 到达指定目的网络的优选路由数目
BGP routing table information of BGP EVPN 路由 [4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128

[4][00:00:00:00:00:00:00:00:00:0a]
的通告信息
[32] [4.5.5.5]/128
Advertised to peers (1 in total) 该路由已经向哪些BGP EVPN对等体发送，以及对等体的数目
1.4.3 policy vpn-target

policy vpn-target 命令用来开启 BGP EVPN 路由的 VPN-Target 过滤功能。
undo policy vpn-target 命令用来关闭 BGP EVPN 路由的 VPN-Target 过滤功能。
【命令】
policy vpn-target
undo policy vpn-target
【缺省情况】
BGP EVPN 路由的 VPN-Target 过滤功能处于开启状态。
【视图】
BGP EVPN 地址族视图
network-admin
mdc-admin
15
【使用指导】
开启 BGP EVPN 路由的 VPN-Target 过滤功能后，
设备只将 Export Route Target 属性与本地 Import
Route Target 属性匹配的 BGP EVPN 路由加入到 BGP EVPN 路由表。设备上如需保存所有 BGP
EVPN 路由，则需执行 undo policy vpn-target 命令，
不对 BGP EVPN 路由进行 VPN-Target 过滤。
【举例】
# 关闭 BGP EVPN 路由的 VPN-Target 过滤功能。
[Sysname] bgp 100
[Sysname-bgp-default-evpn] undo policy vpn-target
1.4.4 rr-filter
rr-filter 命令用来配置路由反射器对反射的 EVPN 路由进行过滤。
undo rr-filter 命令用来恢复缺省情况。
【命令】
rr-filter ext-comm-list-number
undo rr-filter
【缺省情况】
路由反射器不会对反射的 EVPN 路由进行过滤。
【视图】
BGP EVPN 地址族视图
network-admin
mdc-admin
【参数】
ext-comm-list-number：扩展团体属性列表号，取值范围为 1～199。
【使用指导】
执行本命令后，路由反射器将根据扩展团体属性列表对接收的 EVPN 路由进行过滤：只有接收的
BGP EVPN 路由通过扩展团体属性列表过滤时，路由反射器才会反射该 EVPN 路由。
当一个集群中存在多个路由反射器时，通过在不同的路由反射器上配置不同的反射策略，可以实现
路由反射器之间的负载分担。
扩展团体属性列表的详细介绍，请参见“三层技术-IP 路由配置指导”中的“路由策略”
。
【举例】
# 配置路由反射器只反射通过扩展团体属性列表 10 过滤的 BGP EVPN 路由。
[Sysname] bgp 100
[Sysname-bgp-default-evpn] rr-filter 10
16
【相关命令】
 ip extcommunity-list（三层技术-IP 路由命令参考/路由策略）
2 新增特性—策略路由匹配 QoS 本地 ID 值
2.1 配置策略路由匹配QoS本地ID值配置
策略用来定义报文的匹配规则，以及对报文执行的操作。策略由节点组成。
一个策略可以包含一个或者多个节点。节点的构成如下：
 每个节点由节点编号来标识。节点编号越小节点的优先级越高，优先级高的节点优先被执行。
 每个节点的具体内容由 if-match 子句和 apply 子句来指定。if-match 子句定义该节点的匹配
规则，apply 子句定义该节点的动作。
 每个节点对报文的处理方式由匹配模式决定。匹配模式分为 permit（允许）和 deny（拒绝）
两种。
应用策略后，系统将根据策略中定义的匹配规则和操作，对报文进行处理：系统按照优先级从高到
低的顺序依次匹配各节点，如果报文满足这个节点的匹配规则，就执行该节点的动作；如果报文不
满足这个节点的匹配规则，就继续匹配下一个节点；如果报文不能满足策略中任何一个节点的匹配
规则，则根据路由表来转发报文。
2. if-match 子句
策略路由新增 if-match 子句，作用如下：
 if-match qos-local-id：设置 IP 报文 QoS 本地 ID 值的匹配规则。关于 QoS 的详细描述，请
参考“ACL 和 QoS 配置指导”中的“QoS”。
如果一个节点中没有配置任何 if-match 子句，则认为所有报文都满足该节点的匹配规则，按照“报

文满足所有 if-match 子句”的情况进行后续处理。
表1-10 配置策略节点的匹配规则
操作命令说明
policy-based-route policy-name [ deny |

进入策略节点视图 -
permit ] node node-number
设置IP报文QoS本地缺省情况下，未设置IP报文QoS本地ID值
if-match qos-local-id local-id-value
ID值匹配规则匹配规则
17
 if-match 子句中使用 QoS 本地 ID 时，必须保证对于同一条流（相同源 IP 地址、目的 IP 地址、
源端口号、目的端口号和协议）只能对应一个 QoS 本地 ID。
2.2 配置IP报文QoS本地ID值匹配规则命令。
if-match qos-local-id 命令用来设置 IP 报文 QoS 本地 ID 值匹配规则。
undo if-match qos-local-id 命令用来恢复缺省情况。
【命令】
if-match qos-local-id local-id-value
undo if-match qos-local-id
【缺省情况】
未设置 IP 报文 QoS 本地 ID 匹配规则。
【视图】
策略节点视图
network-admin
【参数】
local-id-value：QoS 本地 ID 值，取值范围为 1～4095。
【使用指导】
必须保证对于同一条流（相同源 IP 地址、目的 IP 地址、源端口号、目的端口号和协议）只能对应
一个 QoS 本地 ID。
【举例】
# 设置 QoS 本地 ID 值为 200 的报文被匹配。
[Sysname] policy-based-route aa permit node 11
[Sysname-pbr-aa-11] if-match qos-local-id 200
3 新增特性—配置 IP 报文 DF 标志位
3.1 配置IP报文DF标志位配置
设备转发 IP 报文时，由于链路 MTU 值可能会对 IP 报文进行分片。如果设备收到携带 DF 标记的 IP
报文，设备不会转发该 IP 报文，但会向报文发送端发送 ICMP 差错报文，这样会导致通信中断。
当用户在设备上配置 IP 报文 DF 标志位后，设备会直接修改 IP 报文中的 DF 标志位，使得该 IP 报
文可以被分片转发。
开启本功能后，设备会修改所有转发 IP 报文的 DF 标志位，不会修改本设备生成的 IP 报文的 DF
标志位。
18
表1-11 配置 IP 报文 DF 标志位功能
操作命令说明
缺省情况下，保留当前IP报文DF标
配置IP报文DF标志位 ip df-bit { clear | set }
志位取值
3.2 配置IP报文DF标志位命令
3.2.1 ip df-bit
ip df-bit 命令用来配置 IP 报文头中的 DF 标志位。
undo ip df-bit 命令用来恢复缺省情况。
【命令】
ip df-bit { clear | set }
undo ip df-bit
【缺省情况】
保留当前 IP 报文头中 DF 位的取值。
【视图】
系统视图
network-admin
【参数】
clear：配置 IP 报文头中的 DF 位为 0，表示允许报文分片。
set：配置 IP 报文头中的 DF 位为 1，表示不允许报文分片。
【举例】
# 配置 IP 报文头中的 DF 标志位为 0，即允许 IP 报文分片。
[Sysname] ip df-bit clear
4 新增特性—DHCP 地址池随机分配新地址功能
4.1 DHCP地址池随机分配新地址配置
目前 DHCP 地址池正常的地址分配方式是尽量保证同一用户上线能够获得相同的 IP 地址。但是在
某些通过 IP 地址识别身份的应用中，用户需要实现每次上线能够获得不同的 IP 地址的需求。针对
这种需求，设备需提供 DHCP 地址池随机分配新地址的需求。本功能保证用户在断线重拨后可以获
得不同的 IP 地址。
19
表1-12 配置 DHCP 地址池随机分配新地址功能
操作命令说明
缺省情况下，设备上不存在DHCP
进入DHCP地址池 dhcp server ip-pool pool-name
地址池
配置DHCP地址池随机分配新地缺省情况下，DHCP地址池随机分
allocate-new-ip enable
址功能配新地址功能处于关闭状态
4.2 DHCP地址池随机分配新地址
allocate-new-ip enable 命令用来开启随机分配新 IP 地址功能。
undo allocate-new-ip enable 命令用来关闭随机分配新 IP 地址功能。
【命令】
allocate-new-ip enable
undo allocate-new-ip enable
【缺省情况】
随机分配新 IP 地址功能处于关闭状态。
【视图】
DHCP 地址池视图
network-admin
【使用指导】
如果未配置该命令则 DHCP 地址池分配地址时会尽量保证同一用户上线能够获得相同的 IP 地址，
如果配置该命令则地址池分配地址时会尽量保证同一用户上线时获取到不同的 IP 地址。
【举例】
#开启 DHCP 地址池 mypool 中的随机分配新 IP 地址功能。
[Sysname] dhcp server ip-pool mypool
[Sysname-dhcp-pool-mypool]allocate-new-ip enable
This command will enable the random address allocation mode. Enable it? [Y/N]:
【相关命令】
无。
20
5 新增特性—对业务模块处理后的报文执行出方向 QoS 功能
5.1 配置对业务模块处理后的报文执行出方向QoS功能配置
配置接口 QoS 功能后，接口优先执行 QoS 流分类，然后交由具体的业务模块进行处理，最后执行
QoS 动作，但对于像 NAT 业务模块处理后的报文，QoS 动作只能作用于 NAT 前 QoS 分类的报文。
如果希望对业务模块处理后的报文执行 QoS 流分类和 QoS 动作，则需要开启本功能。
表1-13 开启对业务模块处理后的报文执行出方向 QoS 功能
操作命令说明
interface interface-type
进入接口视图 -
interface-number
缺省情况下，设备仅对业务模块处理前的报文执
行QoS
开启对业务模块处理后的报 qos post-classify
文执行出方向QoS功能 outbound 目前本功能仅对NAT处理后的报文生效，如果对
NAT转换后的报文执行出方向QoS，则必须配置
本命令
5.2 配置对业务模块处理后的报文执行出方向QoS功能命令
qos post-classify outbound 命令用来开启对业务模块处理后的报文执行出方向 QoS 功能。
undo post-classify outbound 命令用来关闭对业务模块处理后的报文执行出方向 QoS 功能。
【命令】
qos post-classify outbound
undo qos post-classify outbound
【缺省情况】
设备仅对业务模块处理前的报文执行 QoS。
【视图】
接口视图
network-admin
【使用指导】
如果希望对业务模块处理后的报文执行 QoS 分类和 QoS 动作，则需要开启本功能。
目前，本功能仅对 NAT 处理后的报文生效。
【举例】
# 配置接口 GigabitEthernet1/0/1 出方向 QoS 对业务模块处理后的报文生效。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] qos post-classify outbound
21
6 新增特性—设备支持处理非广播 PADI 报文
6.1 设备支持处理非广播PADI报文配置
在正常的 PPPoE 链路建立过程中，PPPoE Client 通过广播发送 PADI 报文寻找可为其提供接入服
务的 PPPoE Server。缺省情况下，设备接收到非广播的 PADI 报文直接丢弃，从而提高设备处理广
播 PADI 报文的效率，避免 CPU 资源的浪费。
某些情况下，可能需要允许发送非广播 PADI 报文的 PPPoE Client 上线，此时可通过执行本命令配
置设备支持处理非广播的 PADI 报文。
表1-14 配置设备支持处理非广播 PADI 报文
操作命令说明
进入三层以太网接口视图/三层以太网子
接口视图/三层聚合接口视图/三层聚合 interface interface-type 该接口为启用PPPoE Server协
子接口视图 /VE-L3VPN 接口视图 interface-number 议的接口
/VE-L3VPN子接口视图
pppoe-server 缺省情况下，设备不支持处理非
配置设备支持处理非广播PADI报文
non-broadcast-padi enable 广播的PADI报文
6.2 设备支持处理非广播PADI报文命令
pppoe-server non-broadcast-padi enable 命令用来配置设备支持处理非广播的 PADI（PPPoE
Active Discovery Initiation，PPPoE 活动发现发起报文）报文。
undo pppoe-server non-broadcast-padi enable 命令用来恢复缺省情况。
【命令】
pppoe-server non-broadcast-padi enable
undo pppoe-server non-broadcast-padi enable
【缺省情况】
设备不支持处理非广播的 PADI 报文。
【视图】
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN
接口视图/VE-L3VPN 子接口视图
network-admin
22
【使用指导】
在正常的 PPPoE 链路建立过程中，PPPoE Client 通过广播发送 PADI 报文寻找可为其提供接入服
务的 PPPoE Server。缺省情况下，设备接收到非广播的 PADI 报文直接丢弃，从而提高设备处理广
播 PADI 报文的效率，避免 CPU 资源的浪费。
某些情况下，可能需要允许发送非广播 PADI 报文的 PPPoE Client 上线，此时可通过执行本命令配
置设备支持处理非广播的 PADI 报文。
【举例】
# 在接口 GigabitEthernet1/0/1 上配置设备支持处理非广播 PADI 报文。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server non-broadcast-padi enable
7 变更特性—Radius 属性支持下发多个隧道服务器端地址
7.1 特性变更说明
隧道服务器端的地址（PW_TUNNEL_SERVICE_ENDPOINT 67 属性）
，支持一个 tag 最多可以下
发 8 个地址，地址间用空格分开，多个地址间实现主备方式。
7.2 命令行变更
无。
23
H3C
VSR1000&VSR2000_H3C-CMW710-E0322-X64
版本
 变更特性—Domain
 变更特性－BGP
1 变更特性—Domain
Domain 个数由原来的 64 个扩充到 1024 个。
1.2 命令变更说明
无命令行变更。
2 变更特性－BGP
新增功能：不检测指定对等体 EBGP 路由的第一个 AS 号。
表1 配置不检测从指定对等体/对等体组收到的 EBGP 路由的第一个 AS 号（IPv4）
操作命令说明
进入 BGP 实例视 bgp as-number [ instance instance-name ]

进入BGP实图 [ multi-session-thread ]
例视图或
bgp as-number [ instance instance-name ] -
BGP-VPN 进入BGP-VPN实 [ multi-session-thread ]
实例视图
例视图
ip vpn-instance vpn-instance-name
配置不检测从指定对等体/对等缺省情况下，从EBGP邻居
体组收到的EBGP路由的第一个学到路由后，会检测路由的
[ mask-length ] } ignore-first-as
AS号第一个AS号
1
表2 配置不检测从指定对等体/对等体组收到的 EBGP 路由的第一个 AS 号（IPv6）
操作命令说明
进入 BGP 实例视 bgp as-number [ instance instance-name ]

进入BGP实图 [ multi-session-thread ]
例视图或
bgp as-number [ instance instance-name ] -
BGP-VPN 进入BGP-VPN实 [ multi-session-thread ]
实例视图
例视图
ip vpn-instance vpn-instance-name
配置不检测从指定对等体/对等缺省情况下，从EBGP邻居
体组收到的EBGP路由的第一个学到路由后，会检测路由的
[ prefix-length ] } ignore-first-as
AS号第一个AS号
2.2 BGP命令
peer ignore-first-as 命令用来配置不检测指定对等体/对等体组 EBGP 路由的第一个 AS 号。
undo peer ignore-first-as 命令用来恢复缺省情况。
【命令】
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } ignore-first-as
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] }
ignore-first-as
【缺省情况】
从对等体/对等体组接收到 EBGP 路由后，会检测路由的第一个 AS 号。如果此 AS 号不是 EBGP
对等体的 AS 号，且不是私有 AS 号，则断开与该对等体的 BGP 会话。
【视图】
BGP 视图/BGP-VPN 实例视图
network-admin
【参数】
group-name：对等体组的名称，为 1～47 个字符的字符串，区分大小写。指定的对等体组必须已
经创建。
ip-address：对等体的 IP 地址。指定的对等体必须已经创建。
mask-length：网络掩码，取值范围为 0～32。如果指定本参数，则表示指定网段内的动态对等体。
ipv6-address：对等体的 IPv6 地址。指定的对等体必须已经创建。
prefix-length：前缀长度，取值范围为 0～128。如果指定本参数，则表示指定网段内的动态对等体。
【使用指导】
配置 peer ignore-first-as 命令后，只对新收到的 EBGP 路由生效；undo peer ignore-first-as 配
置后会向 EBGP 对等体/对等体组发送 Route-refresh 消息请求重新发送路由信息。
2
【举例】
# 在 BGP 视图下，配置不检测指定对等体 EBGP 路由的第一个 AS 号。
[Sysname] bgp 100
[Sysname-bgp] peer 1.1.1.1 ignore-first-as
# 在 BGP-VPN 实例视图下，配置不检测指定对等体 EBGP 路由的第一个 AS 号。
[Sysname] bgp 100
[Sysname-bgp] ip vpn-instance vpn1
[Sysname-bgp-vpn1] peer 1.1.1.1 ignore-first-as
3
H3C
VSR1000&VSR2000_H3C-CMW710-E0321P01-
X64 版本
 新增特性—IKEv2
 新增特性－ License 客户端
 变更特性－ SSHv2
1 新增特性—IKEv2
1.1 IKEv2简介
IPsec 隧道两端通过共享密钥对 IP 报文提供机密性、完整性、以及数据来源认证服务。共享密钥可
以手工建立，也可以通过协商方式自动建立。IKE 协议定义了自动协商共享密钥的机制，并用于建
立和维护 IPsec 安全联盟。IKEv2（Internet Key Exchange Version 2，互联网密钥交换协议第 2 版）
是第 1 版本的 IKE 协议（本文简称 IKEv1）的增强版本，它在保留了 IKEv1 中的大部分特性的基础
上引入了一些新特性。
IKEv2 与 IKEv1 相同，具有一套自保护机制，可以在不安全的网络上安全地进行身份认证、密钥分
发、建立 IPsec SA。相对于 IKEv1，IKEv2 具有抗攻击能力和密钥交换能力更强以及报文交互数量
较少等特点。
1.1.1 IKEv2 的协商过程

要建立一对 IPsec SA，IKEv1 需要经历两个阶段，至少需要交换 6 条消息。在正常情况下，IKEv2
只需要进行两次交互，使用 4 条消息就可以完成一个 IKEv2 SA 和一对 IPsec SA 的协商建立，如果
要求建立的 IPsec SA 的数目大于一对，则每增加一对 IPsec SA 只需要额外增加一次交互，也就是
两条消息就可以完成，这相比于 IKEv1 简化了设备的处理过程，提高了协商效率。
IKEv2 定义了三种交互：初始交换、创建子 SA 交换以及通知交换。
下面简单介绍一下 IKEv2 协商过程中的初始交换过程。
1
图1 IKEv2 的初始交换过程
Peer 1 Peer 2
发送本地IKE策略
确认对方使用的
和密钥生成信息发起方策略和密钥信息算法并产生密钥
查找匹配的策略
SA交换和
接收方确认的策略和并生成密钥
密钥交换
密钥生成信息
接受对端确认策
略并生成密钥发起方的身份、验证数据验证对方身份并
和IPsec提议协商出IPsec SA
ID交换验身份验证、交换过程验证
证及生成响应方的身份、验证数据
并协商出IPsec SA
IPsec SA 和IPsec提议
身份验证、交换过程验
证并协商出IPsec SA
如图 1 所示，IKEv2 的初始交换过程中包含两个交换：IKE_SA_INIT 交换（两条消息）和 IKE_AUTH

交换（两条消息）。
 IKE_SA_INIT 交换：完成 IKEv2 SA 参数的协商以及密钥交换；
 IKE_AUTH 交换：完成通信对等体的身份认证以及 IPsec SA 的创建。
这两个交换过程顺序完成后，可以建立一个 IKEv2 SA 和一对 IPsec SA。
创建子 SA 交换：当一个 IKE SA 需要创建多个 IPsec SA 时，使用创建子 SA 交换来协商多于一个
的 SA，另外还可用于进行 IKE SA 的重协商功能。
通知交换：用于传递控制信息，例如错误信息或通告信息。
1.1.2 IKEv2 引入的新特性

1.IKEv2 支持 DH 猜想
在 IKE_SA_INIT 交换阶段，发起方采用“猜”的办法，猜一个响应方最可能使用的 DH 组携带在第
一条消息中发送。响应方根据发起方“猜”的 DH 组来响应发起方。如果发起方猜测成功，则这样
通过两条消息就可以完成 IKE_SA_INIT 交换。如果发起方猜测错误，则响应方会回应一个
INVALID_KE_PAYLOAD 消息，并在该消息中指明将要使用的 DH 组。之后，发起方采用响应方指
定的 DH 组重新发起协商。这种 DH 猜想机制，使得发起方的 DH 组配置更为灵活，可适应不同的
响应方。
2.IKEv2 支持 cookie-challenge 机制
在 IKE_SA_INIT 交换中消息是明文传输的，响应方接收到第一个消息后无法确认该消息是否来自一
个仿冒的地址。如果此时一个网络攻击者伪造大量地址向响应方发送 IKE_SA_INIT 请求，根据
IKEv1 协议，响应方需要维护这些半开的 IKE 会话信息，从而耗费大量响应方的系统资源，造成对
响应方的 DoS 攻击。
2
IKEv2 使用 cookie-challenge 机制来解决这类 DoS 攻击问题。当响应方发现存在的半开 IKE SA 超
过指定的数目时，就启用 cookie-challenge 机制。响应方收到 IKE_SA_INIT 请求后，构造一个 Cookie
通知载荷并响应发起方，若发起方能够正确携带收到的 Cookie 通知载荷向响应方重新发起
IKE_SA_INIT 请求，则可以继续后续的协商过程。
半开状态的 IKEv2 SA 是指那些正在协商过程中的 IKEv2 SA。若半开状态的 IKEv2 SA 数目减少到
阈值以下，则 cookie-challenge 功能将会停止工作
3.IKEv2 SA 重协商
为了保证安全，IKE SA 和 IPsec SA 都有一个生命周期，超过生命周期的 SA 需要重新协商，即 SA
的重协商。与 IKEv1 不同的是，IKEv2 SA 的生命周期不需要协商，由各自的配置决定，重协商总
是由生命周期较小的一方发起，可尽量避免两端同时发起重协商造成冗余 SA 的生成，导致两端 SA
状态不一致。
4.IKEv2 报文确认重传机制
与 IKEv1 不同，IKEv2 中所有消息都是以“请求–响应”对的形式出现，IKEv2 通过消息头中的一
个 Message ID 字段来标识一个“请求–响应”对。发起方发送的每一条消息都需要响应方给予确认，
例如建立一个 IKE SA 一般需要两个“请求-响应”对。如果发起方在规定时间内没有接收到确认报
文，则需要对该请求消息进行重传。IKEv2 消息的重传只能由发起方发起，且重传消息的 Message
ID 必须与原始消息的 Message ID 一致。
1.1.3 协议规范
与 IKEv2 相关的协议规范有：
 RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)
 RFC 4306：Internet Key Exchange (IKEv2) Protocol
 RFC 4718：IKEv2 Clarifications and Implementation Guidelines
 RFC 2412：The OAKLEY Key Determination Protocol
 RFC 5996：Internet Key Exchange Protocol Version 2 (IKEv2)
1.2 IKEv2配置任务简介
为了配置过程顺利进行，在 IKEv2 配置之前，用户需要确定以下几个因素：
 确定 IKEv2 初始交换过程中使用的算法的强度，即确定对初始交换进行安全保护的强度（包
括加密算法、完整性校验算法、PRF 算法和 DH 组算法）。不同的算法的强度不同，算法强度
越高，受保护数据越难被破解，但消耗的计算资源越多。一般来说，密钥越长的算法强度越高。
 确定本地认证方法以及对端的认证方法。若使用预共享密钥方式，则要确定通信双方预先约定
的预共享密钥；若使用 RSA 数字签名方式，则要确定本端所使用的 PKI 域。关于 PKI 的配置，
请参见“安全配置指导”中的“PKI” 。
表1 IKEv2 配置任务简介
配置任务说明详细配置
配置IKEv2 profile 必选 1.3
配置IKEv2安全策略必选 1.4
3
配置任务说明详细配置
可选
配置IKEv2安全提议若IKEv2安全策略中指定了 1.5
IKEv2提议，则必配
只要其中一端配置的认证方
式为预共享密钥方式，则必
选
配置IKEv2 keychain 1.6
如果两端配置的认证方式都
是RSA数字签名方式，则不
需要配置
配置 IKEv2 cookie-challenge 可选
1.7.1
功能该功能仅对于响应方有意义
配置IKEv2 DPD探测功能可选 1.7.2

配置IKEv2全局参数
配置IKEv2 NAT Keepalive功
可选 1.7.3
能
配置为对端分配 IP 地址的
可选 1.7.4
IKEv2本地地址池
1.3 配置IKEv2 profile

IKEv2 profile 中包括以下配置：
(1) IKEv2 协商时本端和对端采用的身份认证方式。只能指定一个本端身份认证方式，可以指定多
个对端身份认证方式。本端和对端可以采用不同的身份认证方式。
(2) 根据 IKEv2 profile 中配置的认证方法，配置 IKEv2 keychain 或 PKI 域。
 如果任意一方指定的身份认证方式为数字签名（dsa-signature、rsa-signature 或者
ecdsa-signature），则需要配置 PKI 域。
 如果任意一方指定的身份认证方式为预共享密钥（pre-share），则需要配置 IKEv2
keychain。
(3) 本端身份信息。
 如果本端的认证方式为数字签名，则可以配置任何类型的身份信息。若配置的本端身份为 IP
地址，但这个 IP 地址与本地证书中的 IP 地址不同，设备将使用 FQDN 类型的本端身份，该
身份的内容为设备的名称（可通过 sysname 命令配置）。
 如果本端的认证方式为预共享密钥，则只能配置除 DN 之外的其它类型的身份信息。
(4) 匹配对端身份的规则。IKEv2 对等体需要根据对端的身份信息查找一个本端的 IKEv2 profile，
然后使用此 IKEv2 profile 中的信息验证对端身份。对端身份信息若能满足本地某个 IKEv2
profile 中指定的匹配规则，则该 IKEv2 profile 为查找的结果。匹配 IKEv2 profile 的顺序取决
于 IKEv2 profile 的优先级，优先级高的先匹配。
(5) IKEv2 DPD 探测功能。该功能用于检测协商对端是否存活。如果 IKEv2 profile 视图下和系统
视图下都配置了 DPD 探测功能，则 IKEv2 profile 视图下的 DPD 配置生效，如果 IKEv2 profile
视图下没有配置 DPD 探测功能，则采用系统视图下的 DPD 配置。
4
(6) IKEv2 profile 的使用范围。限制 IKEv2 profile 只能在指定的地址或指定接口的地址下使用（这
里的地址指的是 IPsec 策略下配置的本端地址，若本端地址没有配置，则为引用 IPsec 策略的
接口下地址）。
(7) IKEv2 profile 所属的 VPN 实例，限制 IKEv2 profile 只能在属于该 VPN 实例的接口上协商。
(8) 内部 VPN 实例。当 IPsec 解封装后的报文需要继续转发到不同的 VPN 时，设备需要知道在
哪个 VPN 实例中查找相应的路由。缺省情况下，设备在与外网相同的 VPN 实例中查找路由，
如果不希望在与外网相同的 VPN 实例中查找路由，则可以指定一个内部 VPN 实例，通过查
找该内部 VPN 实例的路由来转发报文。
(9) IKEv2 profile 的优先级。优先级仅用于响应方在查找 IKEv2 profile 时调整 IKEv2 profile 的匹
配顺序。
(10) IKEv2 SA 的时间生命周期。本端和对端的 IKEv2 SA 生命周期可以不一致，也不需要进行协
商，由生命周期较短的一方在本端 IKEv2 SA 生命周期到达之后发起重协商。
(11) IKEv2 发送 NAT keepalive 报文的时间间隔。在 IKEv2 peer 之间存在 NAT 网关的情况下，设
备通过定期向对端发送 NAT keepalive 报文，防止已有的 NAT 会话表项因长时间无流量匹配
而被老化。
(12) 配置交换功能。企业分支使用虚拟隧道时，可以通过本功能向企业中心侧安全网关提交 IP 地
址分配请求，中心侧安全网关接收该请求，会将成功分配的 IP 地址携带在 IKEv2 协商的响应
报文中发送给分支侧设备，分支用此地址作为虚拟隧道地址与中心侧网关通信。企业中心侧网
关也可以通过本功能主动推送 IP 地址给企业分支。配置交换包括请求数据、回应数据、主动
推数据和回应推数据，请求和推送的数据可以为网关地址，内部地址，路由信息等。
(13) AAA 授权功能，通过 AAA 授权获取一个地址池的名字，地址池中配置了可分配给对端的 IP
地址。关于 AAA 授权 IKE 本地地址池的具体配置请参见“安全配置指导”中的“AAA”。。
表2 配置 IKEv2 profile
操作命令说明
创建一个 IKEv2 profile ，并进入
ikev2 profile profile-name 缺省情况下，不存在IKEv2 profile
IKEv2 Profile视图
authentication-method { local |
指定IKEv2本端和对端的身份认证 remote } { dsa-signature | 缺省情况下，未配置本端和对端
方式 ecdsa-signature | pre-share | 认证方式
rsa-signature }
配置采用预共享密钥认证时使用的二者至少选其一
keychain keychain-name
Keychain
根据 authentication-method命
配置采用数字签名认证时使用的 certificate domain domain-name 令使用的认证方法选择其中一个
PKI域 [ sign | verify ] 配置
identity local { address { ipv4-address 缺省情况下，未配置本端身份信

| ipv6 ipv6-address } | dn | email 息。此时使用IP地址标识本端的
配置本端身份信息
email-string | fqdn fqdn-name | key-id 身份，该IP地址为IPsec安全策略
key-id-string } 应用的接口的IP地址
match remote { certificate 协商双方都必须配置至少一个

policy-name | identity { address match remote规则，当对端的身
配置匹配对端身份的规则 { { ipv4-address [ mask | mask-length ] |
range low-ipv4-address 份与 IKEv2 profile 中配置的
high-ipv4-address } | ipv6 match remote规则匹配时，则使
5
操作命令说明
{ ipv6-address [ prefix-length ] | range 用此IKEv2 profile中的信息与对
low-ipv6-address high-ipv6-address } } | 端完成认证
fqdn fqdn-name | email email-string |
key-id key-id-string } }
match local address { interface-type

（可选）配置IKEv2 profile的使用缺省情况下，未限制IKEv2 profile
interface-number | { ipv4-address | ipv6
范围 ipv6-address } } 的使用范围
（可选）配置IKEv2 profile的优先缺省情况下，IKEv2 profile的优

priority priority
级先级为100
（可选）配置IKEv2 profile所属的缺省情况下，IKEv2 profile属于

match vrf { name vrf-name | any }
VPN实例公网
缺省情况下，IKEv2 SA的生命周
（可选）配置IKEv2 SA生命周期 sa duration seconds
期为86400秒
缺省情况下，IKEv2 profile视图
dpd interval interval [ retry seconds ] 下没有配置DPD探测功能，采用
（可选）配置IKEv2 DPD探测功能
{ on-demand | periodic } 系统视图下的DPD配置。若两者
没有配置，则不进行DPD探测
缺省情况下，IKEv2 profile未指
（可选）配置内部VPN实例 inside-vrf vrf-name 定内部VPN实例，即内网与外网
在同一个VPN中
（可选）配置发送NAT keepalive 缺省条件下，使用全局的IKEv2

nat-keepalive seconds
的时间间隔 NAT keepalive配置
config-exchange { request | set 缺省条件下，所有的配置交换功

（可选）开启指定的配置交换功能
{ accept | send } } 能均处于关闭状态
aaa authorization domain 缺省条件下，IKEv2的AAA授权

（可选）开启AAA授权功能
domain-name username user-name 功能处于关闭状态
1.4 配置IKEv2安全策略
在进行 IKE_SA_INIT 协商时，系统需要查找到一个与本端相匹配的 IKEv2 安全策略，并使用其中
引用的安全提议进行安全参数的协商，匹配的依据为本端安全网关的 IP 地址。
 若系统中配置了 IKEv2 安全策略，则根据本端安全网关的 IP 地址与所有已配置的 IKEv2 安全
策略进行逐一匹配，如果未找到匹配的 IKEv2 安全策略或找到的安全策略中引用的安全提议
配置不完整，则 IKE_SA_INIT 协商将会失败。
 若系统中未配置任何 IKEv2 安全策略，则直接采用缺省的 IKEv2 安全策略 default。
 系统中存在多个 IKEv2 安全策略的情况下，系统根据安全策略的优先级从高到低的顺序依次
匹配。如果通过 match local address 命令指定了匹配 IKEv2 安全策略的本端地址，则优先
匹配指定了本端地址匹配条件的策略，其次匹配未指定本端地址匹配条件的策略。
表3 配置 IKEv2 安全策略
操作命令说明
进入系统视图 system-view
6
操作命令说明
创建 IKEv2 安全策略，并进入缺省情况下，存在一个名称为
ikev2 policy policy-name
IKEv2安全策略视图 default的缺省IKEv2安全策略
match local address { interface-type 缺省情况下，未指定用于匹配

指定匹配IKEv2安全策略的本端地
interface-number | { { ipv4-address | IKEv2安全策略的本端地址，表示
址 ipv6 ipv6-address } } } 本策略可匹配所有本端地址
缺省情况下，未指定用于匹配
配置匹配IKEv2安全策略的VPN IKEv2安全策略的VPN实例，表示
实例本策略可匹配公网内的所有本端
地址
指定IKEv2安全策略引用的IKEv2 缺省情况下，IKEv2安全策略未引
proposal proposal-name
安全提议用IKEv2安全提议
缺省情况下，IKEv2安全策略的优
指定IKEv2安全策略的优先级 priority priority
先级为100
1.5 配置IKEv2安全提议
IKEv2 安全提议用于保存 IKE_SA_INIT 交换中使用的安全参数，包括加密算法、完整性验证算法、
PRF 算法和 DH 组，其中每类安全参数均可以配置多个，其优先级按照配置顺序依次降低。
一个完整的 IKEv2 安全提议中至少应该包含一组安全参数，即一个加密算法、
一个完整性验证算法、
一个 PRF 算法和一个 DH 组。
若同时指定了多个 IKEv2 安全提议，则它们的优先级按照配置顺序依次降低。
表4 配置 IKEv2 安全提议
操作命令说明
进入系统视图 system-view
缺省条件下，存在一个名称为
default的缺省IKEv2安全提议
非FIPS模式下，该提议中定义的
加密算法为aes-cbc-128和3des，
完整性校验算法为sha1和md5，
PRF算法为sha1和md5，DH组为
创建 IKEv2 安全提议，并进入
ikev2 proposal proposal-name group5和group2
IKEv2提议视图
FIPS模式下，该提议中定义的加
密算法为 aes-cbc-128 和
aes-ctr-128，完整性校验算法为
sha1和sha256，PRF算法为sha1
和 sha256 ， DH 组为 group14 和
group19
非FIPS模式下：
encryption { 3des-cbc | aes-cbc-128
指定IKEv2安全提议使用的加密算 | aes-cbc-192 | aes-cbc-256 | 缺省情况下，IKEv2安全提议未定
法 aes-ctr-128 | aes-ctr-192 | 义加密算法
aes-ctr-256 | camellia-cbc-128 |
camellia-cbc-192 | camellia-cbc-256
| des-cbc } *
7
操作命令说明
FIPS模式下：
encryption { aes-cbc-128 |
aes-cbc-192 | aes-cbc-256 |
aes-ctr-128 | aes-ctr-192 |
aes-ctr-256 } *
非FIPS模式下：
integrity { aes-xcbc-mac | md5 |
指定IKEv2安全提议使用的完整性 sha1 | sha256 | sha384 | sha512 } * 缺省情况下，IKEv2安全提议未定
校验算法 FIPS模式下：义完整性校验算法
integrity { sha1 | sha256 | sha384 |
sha512 } *
非FIPS模式下：
dh { group1 | group14 | group2 |
group24 | group5 | group19 | 缺省情况下，IKEv2安全提议未定
指定IKEv2安全提议使用的DH组 group20 } * 义DH组
FIPS模式下：
dh { group14 | group19 | group20 } *
非FIPS模式下：
prf { aes-xcbc-mac | md5 | sha1 |
sha256 | sha384 | sha512 } * 缺省情况下，IKEv2安全提议使用
指定IKEv2安全提议使用的PRF算
配置的完整性校验算法作为PRF
法 FIPS模式下：算法
prf { sha1 | sha256 | sha384 |
sha512 } *
1.6 配置IKEv2 keychain

IKEv2 keychain 用来指定与对端进行 IKEv2 协商时使用的共享密钥信息。一个 IKEv2 keychain 下
可以指定多个 IKEv2 peer，每个 IKEv2 peer 中包含了一个对称预共享密钥或一个非对称预共享密
钥对，以及用于查找该 IKEv2 peer 的匹配参数（对等体的主机名称、IP 地址或地址范围、身份信
息）。其中，IKEv2 协商的发起方使用对端的主机名称、IP 地址或地址范围查找 IKEv2 peer，响应
方使用对端的 IP 地址、地址范围或身份信息查找 IKEv2 peer。
表5 配置 IKEv2 keychain
操作命令说明
创建 IKEv2 keychain ，并进入缺省情况下，不存在 IKEv2

ikev2 keychain keychain-name
IKEv2 keychain视图 keychain
创建 IKEv2 peer ，并进入 IKEv2

peer name 缺省情况下，不存在IKEv2 peer
peer视图
缺省情况下，未配置IKEv2 peer
指定IKEv2 peer的主机名称 hostname name
的主机名称
address { ipv4-address [ mask | 缺省情况下，未指定IKEv2 peer

指定IKEv2 peer的主机地址 mask-length ] | ipv6 ipv6-address 的主机地址
[ prefix-length ] }
不同的IKEv2 peer中不能指定相
8
操作命令说明
同的主机地址
identity { address { ipv4-address |

ipv6 { ipv6-address } } | fqdn 缺省情况下，未指定IKEv2 peer
指定IKEv2 peer的身份信息
fqdn-name | email email-string | key-id 的身份信息
key-id-string }
pre-shared-key [ local | remote ] 缺省情况下，未配置IKEv2 peer

配置IKEv2 peer的预共享密钥
{ ciphertext | plaintext } string 的预共享密钥
1.7 配置IKEv2全局参数
1.7.1 配置 IKEv2 cookie-challenge 功能
IKEv2 cookie-challenge 功能用来防止攻击者通过源 IP 仿冒对响应方造成 DoS 攻击。
开启 IKEv2 cookie-challenge 功能的同时需要指定启用 cookie-challenge 功能的阈值，当响应方本
地存在的半开状态的 IKEv2 SA 数目达到指定的阈值时，则 cookie-challenge 功能开始生效。
表6 配置 IKEv2 cookie-challenge 功能
操作命令说明
缺省情况下， IKEv2
开启IKEv2 cookie-challenge功能 ikev2 cookie-challenge number cookie-challenge 功能处于关闭状
态
1.7.2 配置全局 IKEv2 DPD 探测功能

IKEv2 DPD 探测功能用来探测对端是否存活，包括以下两种模式：
 按需探测模式（on-demand）：根据流量来探测对端是否存活。在本端发送用户报文时，如果
发现自最后一次收到对端报文之后，在指定的触发 IKEv2 DPD 的时间间隔内一直未收到对端
报文，则发送 DPD 报文探测对端是否存活。
 定时探测模式（periodic）
：按照配置的触发 IKEv2 DPD 的时间间隔定时发送 DPD 报文，探
测对端是否存活。
当系统视图下和 IKEv2 profile 视图下都配置 DPD 探测功能时，IKEv2 profile 视图下的 DPD 配置覆
盖系统视图下的全局 DPD 配置。若 IKEv2 profile 视图下没有配置 DPD 探测功能，则应用全局 DPD
配置。
表7 配置全局 IKEv2 DPD 探测功能
操作命令说明
ikev2 dpd interval interval [ retry 缺省情况下，全局IKEv2 DPD探

配置IKEv2 DPD探测功能
seconds ] { on-demand | periodic } 测功能处于关闭状态
9
1.7.3 配置 IKEv2 NAT Keepalive 功能
IKEv2 NAT Keepalive 功能仅对位于 NAT 之后的设备（即该设备位于 NAT 设备连接的私网侧）有
意义。NAT 之后的 IKEv2 网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报
文，以确保 NAT 设备上相应于该流量的会话存活，从而让 NAT 之外的设备可以访问 NAT 之后的设
备。因此，配置的发送 NAT Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
本功能必须在探测到 NAT 之后才能生效。
表8 配置 IKEv2 NAT Keepalive 功能
操作命令说明
缺省情况下，探测到NAT后发送
配置向对端发送NAT Keepalive报
ikev2 nat-keepalive seconds NAT Keepalive报文的时间间隔
文的时间间隔
为10秒
1.7.4 配置为对端分配 IP 地址的 IKEv2 本地地址池

IKEv2 本地地址池与 AAA 授权配合使用，可以向对端网关（客户端）分配地址或应答地址请求，从
而使得对端网关（企业分支客户端）使用由企业中心网关统一分配的 IP 地址作为私网地址来进行通
信，达到由企业中心统一管理的目的。关于 AAA 授权 IKEv2 本地地址池的具体配置请参见“安全
配置指导”中的“AAA”。
表9 配置为对端分配 IP 地址的 IKEv2 本地地址池
操作命令说明
ikev2 address-group group-name

配置为对端分配IPv4地址的IKEv2 缺省情况下，未定义IKEv2本地
start-ipv4-address end-ipv4-address
本地地址池 [ mask | mask-length ] IPv4地址池
ikev2 ipv6-address-group
配置为对端分配IPv6地址的IKEv2 缺省情况下，未定义IKEv2本地
group-name prefix prefix/prefix-len
本地地址池 assign-len assign-len IPv6地址池
1.8 IKEv2显示和维护
在完成上述配置后，在任意视图下执行 display 命令可以显示配置后 IKEv2 的运行情况，通过查看
显示信息验证配置的效果。
在用户视图下执行 reset 命令可以删除 IKEv2 SA。
10
表10 IKEv2 显示和维护
操作命令
显示IKEv2安全提议的配置信息 display ikev2 proposal [ name | default ]
显示IKEv2安全策略的配置信息 display ikev2 policy [ policy-name | default ]
显示IKEv2 profile的配置信息 display ikev2 profile [ profile-name ]
display ikev2 sa [ { local | remote } { ipv4-address |

显示当前IKEv2 SA的信息 ipv6 ipv6-address } [ vpn-instance
vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ]
reset ikev2 sa [ [ { local | remote } { ipv4-address |

删除IKEv2 SA及其协商生成的Child SA ipv6 ipv6-address } [ vpn-instance
vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]
1.9 IKEv2典型配置举例
1.9.1 IKEv2 预共享密钥认证典型配置举例
1.组网需求
在 Device A 和 Device B 之间建立 IPsec 隧道，对 Host A 所在的子网（10.1.1.0/24）与 Host B 所
在的子网（10.1.2.0/24）之间的数据流进行安全保护。
 Device A 和 Device B 之间采用 IKEv2 协商方式建立 IPsec SA。
 使用缺省的 IKEv2 提议。
 使用缺省的 IKEv2 安全策略。
2.组网图
图2 IKEv2 预共享密钥认证典型组网图
Device A Device B
GE1/0/1 GE1/0/1
1.1.1.1/16 2.2.2.2/16
Internet
GE1/0/2 GE1/0/2
10.1.1.1/24 10.1.2.1/24
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
# 配置各接口的 IP 地址，具体略。
# 配置 ACL 3101，定义要保护由子网 10.1.1.0/24 去子网 10.1.2.0/24 的数据流。
<DeviceA> system-view
11
[DeviceA] acl advanced 3101
[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[DeviceA-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 tran1。
[DeviceA] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[DeviceA-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES，认证算法为 HMAC-SHA1。
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceA-ipsec-transform-set-tran1] quit
# 创建 IKEv2 keychain，名称为 keychain1。
[DeviceA] ikev2 keychain keychain1
# 创建 IKEv2 对端，名称为 peer1。
[DeviceA-ikev2-keychain-keychain1] peer peer1
# 指定对端 peer1 的主机地址为 2.2.2.2/24。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] address 2.2.2.2 24
# 指定对端 peer1 的身份信息。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] identity address 2.2.2.2
# 配置对端 peer1 使用的预共享密钥为明文 abcde。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext abcde
[DeviceA-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceA-ikev2-keychain-keychain1] quit
# 创建 IKEv2 profile，名称为 profile1。
[DeviceA] ikev2 profile profile1
# 指定本端的身份认证方式为预共享密钥。
[DeviceA-ikev2-profile-profile1] authentication-method local pre-share
# 指定对端的身份认证方式为预共享密钥。
[DeviceA-ikev2-profile-profile1] authentication-method remote pre-share
# 指定引用的 IKEv2 keychain 为 keychain1。
[DeviceA-ikev2-profile-profile1] keychain keychain1
# 配置匹配对端身份的规则为 IP 地址 2.2.2.2/24。
[DeviceA-ikev2-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ikev2-profile-profile1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略，名称为 map1，顺序号为 10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置 IPsec 隧道的对端 IP 地址为 2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用 ACL 3101。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
# 指定引用的安全提议为 tran1。
12
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 map1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置到 Host B 所在子网的静态路由。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(2) 配置 Device B
# 配置 ACL 3101，定义要保护由子网 10.1.2.0/24 去往子网 10.1.1.0/24 的数据流。
<DeviceB> system-view
[DeviceB] acl advanced 3101
[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[DeviceB-acl-ipv4-adv-3101] quit
[DeviceB] ipsec transform-set tran1
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
[DeviceB-ipsec-transform-set-tran1] protocol esp
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
[DeviceB] ikev2 keychain keychain1
# 创建 IKEV2 对端，名称为 peer1。
[DeviceB-ikev2-keychain-keychain1] peer peer1
# 指定 peer1 的主机地址为 1.1.1.1/24。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] address 1.1.1.1 24
# 指定 peer1 的身份信息。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] identity address 1.1.1.1
# 配置对端 peer1 使用的预共享密钥为明文 abcde。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext abcde
[DeviceB-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceB-ikev2-keychain-keychain1] quit
[DeviceB] ikev2 profile profile1
# 指定本端的身份认证方式为预共享密钥。
[DeviceB-ikev2-profile-profile1] authentication-method local pre-share
13
# 指定对端的身份认证方式为预共享密钥。
[DeviceB-ikev2-profile-profile1] authentication-method remote pre-share
[DeviceB-ikev2-profile-profile1] keychain keychain1
# 创建一条 IKEv2 协商方式的 IPsec 安全策略，名称为 use1，顺序号为 10。
[DeviceB] ipsec policy use1 10 isakmp
[DeviceB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1
[DeviceB-ipsec-policy-isakmp-use1-10] security acl 3101
[DeviceB-ipsec-policy-isakmp-use1-10] transform-set tran1
[DeviceB-ipsec-policy-isakmp-use1-10] ikev2-profile profile1
[DeviceB-ipsec-policy-isakmp-use1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 use1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1
[DeviceB-GigabitEthernet1/0/1] quit
# 配置到 Host A 所在子网的静态路由。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 1.1.1.1
4.验证配置
以上配置完成后，Device A 和 Device B 之间如果有子网 10.1.1.0/24 与子网 10.1.2.0/24 之间的报
文通过，将触发 IKEv2 协商。
# 可通过如下显示信息查看到 Device A 上的 IKEv2 提议和 IKEv2 安全策略。
[DeviceA] display ikev2 proposal
IKEv2 proposal : default
Encryption : 3DES-CBC AES-CBC-128
Integrity : MD596 SHA96
PRF : MD5 SHA1
DH Group : Group2 Group5
[DeviceA] display ikev2 policy
IKEv2 policy : default
Match VPN instance : any
Device B 上 IKEv2 提议和 IKEv2 安全策略的查看方式与 Device A 同，此处略。
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商成功后生成的 IKEv2 SA。
[DeviceA] display ikev2 sa
Tunnel ID Local Remote Status
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
14
IN-NEGO: Negotiating, EST: Establish, DEL:Deleting
# 可通过如下显示信息查看到 IKEv2 协商生成的 IPsec SA。
[DeviceA] display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1456
Tunnel:
local address: 1.1.1.1
remote address: 2.2.2.2
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: IP
[Inbound ESP SAs]

SPI: 3264152513 (0xc28f03c1)
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/3484
Max received sequence-number:
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: active
[Outbound ESP SAs]

SPI: 738451674 (0x2c03e0da)
Status: active
Device B 上也会产生相应的 IKEv2 SA 和 IPsec SA，查看方式与 Device A 同，此处略。
15
1.9.2 IKEv2 RSA 数字签名认证典型配置举例
1.组网需求
在 Device A 和 Device B 之间建立 IPsec 隧道，对 Host A 所在的子网（10.1.1.0/24）与 Host B 所
在的子网（10.1.2.0/24）之间的数据流进行安全保护。
 Device A 和 Device B 之间采用 IKEv2 协商方式建立 IPsec SA。
 Device A 和 DeviceB 均使用 RSA 数字签名的认证方法。
 Device A 侧子网的 IP 地址为动态分配，并作为发起方。
2.组网图
图3 IKEv2 RSA 数字签名认证典型组网图
CA server CA server
GE1/0/1 GE1/0/1
1.1.1.1/16 2.2.2.2/16
Device A Internet Device B
GE1/0/2 GE1/0/2
10.1.1.1/24 10.1.2.1/24
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[DeviceA] ipsec transform-set tran1
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
[DeviceA-ipsec-transform-set-tran1] protocol esp
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
16
[DeviceA-ipsec-transform-set-tran1] quit
# 创建 PKI 实体 entity1。
[DeviceA] pki entity entity1
# 配置 PKI 实体的通用名。
[DeviceA-pki-entity-entity1] common-name routera
[DeviceA-pki-entity-entity1] quit
# 创建 PKI 域 domain1。
[DeviceA]pki domain domain1
# 配置证书申请模式为自动模式，并设置吊销证书时使用的口令。
[DeviceA-pki-domain-domain1] certificate request mode auto password simple 123
# 配置验证 CA 根证书时所使用的指纹。
[DeviceA-pki-domain-domain1] root-certificate fingerprint md5
50c7a2d282ea710a449eede6c56b102e
# 配置 CA 服务器名称。
[DeviceA-pki-domain-domain1] ca identifier 8088
# 配置实体通过 SCEP 进行证书申请的注册受理机构服务器的 URL（此处的 URL 仅为示例，请以
组网环境中的实际情况为准）。
[DeviceA-pki-domain-domain1] certificate request url
http://192.168.222.1:446/eadbf9af4f2c4641e685f7a6021e7b298373feb7
# 配置证书申请的注册受理机构。
[DeviceA-pki-domain-domain1] certificate request from ca
# 配置指定用于申请证书的 PKI 实体名称。
[DeviceA-pki-domain-domain1] certificate request entity entity1
# 配置指定证书申请使用的 RSA 密钥对。
[DeviceA-pki-domain-domain1] public-key rsa general name rsa1
[DeviceA-pki-domain-domain1] quit
# 指定本端的身份认证方式为 RSA 数字签名。
[DeviceA-ikev2-profile-profile1] authentication-method local rsa-signature
# 指定对端的身份认证方式为 RSA 数字签名。
[DeviceA-ikev2-profile-profile1] authentication-method remote rsa-signature
# 指定引用的 PKI 域为 domain1。
[DeviceA-ikev2-profile-profile1] certificate domain domain1
# 配置 FQDN 名 www.routera.com 作为本端的身份标识。
[DeviceA-ikev2-profile-profile1] identity local fqdn www.routera.com
# 配置匹配对端身份的规则为 FQDN 名 www.routerb.com。
[DeviceA-ikev2-profile-profile1] match remote identity fqdn www.routerb.com
# 创建 IKEv2 提议 10。
[DeviceA] ikev2 proposal 10
# 指定 IKEv2 提议使用的完整性校验算法为 HMAC-MD5。
[DeviceA-ikev2-proposal-10] integrity md5
17
# 指定 IKEv2 提议使用的加密算法为 3DES。
[DeviceA-ikev2-proposal-10] encryption 3des-cbc
# 指定 IKEv2 提议使用的 DH group 为 group1。
[DeviceA-ikev2-proposal-10] dh group1
# 指定 IKEv2 提议使用的 PRF 算法为 HMAC-MD5。
[DeviceA-ikev2-proposal-10] prf md5
[DeviceA-ikev2-proposal-10] quit
# 创建 IKEv2 安全策略 1。
[DeviceA] ikev2 policy 1
# 指定引用的 IKEv2 proposal 10。
[DeviceA-ikev2-policy-1] proposal 10
[DeviceA-ikev2-policy-1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略，名称为 map1，顺序号为 10。
[DeviceA] ipsec policy map1 10 isakmp
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
[DeviceA-ipsec-policy-isakmp-map1-10] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 map1。
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1
(2) 配置 Device B
# 配置 ACL 3101，定义要保护由子网 10.1.2.0/24 去子网 10.1.1.0/24 的数据流。
[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[DeviceB] ipsec transform-set tran1
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
[DeviceB-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES，认证算法为 HMAC-SHA-1-96。
18
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
# 创建 PKI 实体 entity2。
[DeviceB] pki entity entity2
# 配置 PKI 实体的通用名。
[DeviceB-pki-entity-entity2] common-name routerb
[DeviceB-pki-entity-entity2] quit
# 创建 PKI 域 domain2。
[DeviceB] pki domain domain2
# 配置证书申请模式为自动模式，并设置吊销证书时使用的口令。
[DeviceB-pki-domain-domain2] certificate request mode auto password simple 123
# 配置验证 CA 根证书时所使用的指纹。
[DeviceB-pki-domain-domain2] root-certificate fingerprint md5
50c7a2d282ea710a449eede6c56b102e
# 配置 CA 服务器名称。
[DeviceB-pki-domain-domain2] ca identifier 8088
# 配置实体通过 SCEP 进行证书申请的注册受理机构服务器的 URL（此处的 URL 仅为示例，请以
组网环境中的实际情况为准）。
[DeviceB-pki-domain-domain2] certificate request url
http://192.168.222.1:446/eadbf9af4f2c4641e685f7a6021e7b298373feb7
# 配置证书申请的注册受理机构。
[DeviceB-pki-domain-domain2] certificate request from ca
# 配置指定用于申请证书的 PKI 实体名称。
[DeviceB-pki-domain-domain2] certificate request entity entity2
# 配置指定证书申请使用的 RSA 密钥对。
[DeviceB-pki-domain-domain2] public-key rsa general name rsa1
[DeviceB-pki-domain-domain2] quit
# 指定本端的身份认证方式为 RSA 数字签名。
[DeviceB-ikev2-profile-profile2] authentication-method local rsa-signature
# 指定对端的身份认证方式为 RSA 数字签名。
[DeviceB-ikev2-profile-profile2] authentication-method remote rsa-signature
# 配置 FQDN 名 www.routerb.com 作为本端的身份标识。
[DeviceB-ikev2-profile-profile2] identity local fqdn www.routerb.com
# 配置匹配对端身份的规则为 FQDN 名 www.routera.com。
[DeviceB-ikev2-profile-profile2] match remote identity fqdn www.routera.com
[DeviceB-ikev2-profile-profile2] quit
# 创建 IKEv2 提议 10。
[DeviceB] ikev2 proposal 10
# 指定 IKEv2 提议使用的完整性校验算法为 HMAC-MD5。
[DeviceB-ikev2-proposal-10] integrity md5
# 指定 IKEv2 提议使用的加密算法为 3DES。
19
[DeviceB-ikev2-proposal-10] encryption 3des-cbc
# 指定 IKEv2 提议使用的 DH group 为 group1。
[DeviceB-ikev2-proposal-10] dh group1
# 指定 IKEv2 提议使用的 PRF 算法为 HMAC-MD5。
[DeviceB-ikev2-proposal-10] prf md5
[DeviceB-ikev2-proposal-10] quit
# 创建 IKEv2 安全策略 1。
[DeviceB] ikev2 policy 1
# 指定引用的 IKEv2 proposal 10。
[DeviceB-ikev2-policy-1] proposal 10
[DeviceB-ikev2-policy-1] quit
# 创建一条 IPsec 安全策略模板，名称为 template1，顺序号为 1。
[DeviceB] ipsec policy-template template1 1
[DeviceB-ipsec-policy-template-template1-1] remote-address 1.1.1.1
[DeviceB-ipsec-policy-template-template1-1] security acl 3101
[DeviceB-ipsec-policy-template-template1-1] transform-set tran1
[DeviceB-ipsec-policy-template-template1-1] ikev2-profile profile2
[DeviceB-ipsec-policy-template-template1-1] quit
# 引用 IPsec 安全策略模板创建一条 IPsec 安全策略，名称为 use1，顺序号为 1。
[DeviceB] ipsec policy use1 1 isakmp template template1
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 use1。
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1
# 配置到 Host A 所在子网的静态路由。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 1.1.1.1
4.验证配置
以上配置完成后，Device A 和 Device B 之间如果有子网 10.1.1.0/24 与子网 10.1.2.0/24 之间的报
文通过，将触发 IKEv2 协商。
# 可通过如下显示信息查看到 Device A 和 Device B 上的 IKEv2 提议。
[DeviceA] display ikev2 proposal 10
IKEv2 proposal : 10
Encryption : 3DES-CBC
Integrity : MD596
PRF : MD5
DH Group : Group1
[DeviceB] display ikev2 proposal 10
IKEv2 proposal : 10
Encryption : 3DES-CBC
Integrity : MD596
20
PRF : MD5
DH Group : Group1
# 可通过如下显示信息查看到 Device A 和 Device B 上的 IKEv2 安全策略。
[DeviceA] display ikev2 policy 1
IKEv2 policy : 1
Match Local : any
Match VPN instance : public
Proposal : 1
[DeviceB] display ikev2 policy 1
IKEv2 policy : 1
Match Local : any
Match VPN instance : public
Proposal : 1
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
# 可通过如下显示信息查看到 Device A 上自动触发获取到的 CA 证书。
[DeviceA] display pki certificate domain domain1 ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
b9:14:fb:25:c9:08:2c:9d:f6:94:20:30:37:4e:00:00
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=rnd, OU=sec, CN=8088
Validity
Not Before: Sep 6 01:53:58 2012 GMT
Not After : Sep 8 01:50:58 2015 GMT
Subject: C=cn, O=rnd, OU=sec, CN=8088
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:de:81:f4:42:c6:9f:c2:37:7b:21:84:57:d6:42:
00:69:1c:4c:34:a4:5e:bb:30:97:45:2b:5e:52:43:
c0:49:1f:e1:d8:0f:5c:48:c2:39:69:d1:84:e4:14:
70:3d:98:41:28:1c:20:a1:9a:3f:91:67:78:77:27:
d9:08:5f:7a:c4:36:45:8b:f9:7b:e7:7d:6a:98:bb:
4e:a1:cb:2c:3d:92:66:bd:fb:80:35:16:c6:35:f0:
ff:0b:b9:3c:f3:09:94:b7:d3:6f:50:8d:83:f1:66:
2f:91:0b:77:a5:98:22:b4:77:ac:84:1d:03:8e:33:
1b:31:03:78:4f:77:a0:db:af
Exponent: 65537 (0x10001)
21
9a:6d:8c:46:d3:18:8a:00:ce:12:ee:2b:b0:aa:39:5d:3f:90:
08:49:b9:a9:8f:0d:6e:7b:e1:00:fb:41:f5:d4:0c:e4:56:d8:
7a:a7:61:1d:2b:b6:72:e3:09:0b:13:9d:fa:c8:fc:c4:65:a7:
f9:45:21:05:75:2c:bf:36:7b:48:b4:4a:b9:fe:87:b9:d8:cf:
55:16:87:ec:07:1d:55:5a:89:74:73:68:5e:f9:1d:30:55:d9:
8a:8f:c5:d4:20:7e:41:a9:37:57:ed:8e:83:a7:80:2f:b8:31:
57:3a:f2:1a:28:32:ea:ea:c5:9a:55:61:6a:bc:e5:6b:59:0d:
82:16
# 可通过如下显示信息查看到 Device A 上自动触发申请到的本地证书。
[DeviceA]display pki certificate domain domain1 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
a1:f4:d4:fd:cc:54:c3:07:c4:9e:15:2d:5f:64:57:77
Issuer: C=cn, O=rnd, OU=sec, CN=8088
Validity
Not Before: Sep 26 02:06:43 2012 GMT
Not After : Sep 26 02:06:43 2013 GMT
Subject: CN=devicea
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b0:a1:cd:24:6e:1a:1d:51:79:f0:2a:3e:9f:e9:
84:07:16:78:49:1b:7d:0b:22:f0:0a:ed:75:91:a4:
17:fd:c7:ef:d0:66:5c:aa:e3:2a:d9:71:12:e4:c6:
25:77:f0:1d:97:bb:92:a8:bd:66:f8:f8:e8:d5:0d:
d2:c8:01:dd:ea:e6:e0:80:ad:db:9d:c8:d9:5f:03:
2d:22:07:e3:ed:cc:88:1e:3f:0c:5e:b3:d8:0e:2d:
ea:d6:c6:47:23:6a:11:ef:3c:0f:6b:61:f0:ca:a1:
79:a0:b1:02:1a:ae:8c:c9:44:e0:cf:d1:30:de:4c:
f0:e5:62:e7:d0:81:5d:de:d3
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
Full Name:
URI:http://xx.rsa.com:447/8088.crl

73:ac:66:f9:b8:b5:39:e1:6a:17:e4:d0:72:3e:26:9e:12:61:
9e:c9:7a:86:6f:27:b0:b9:a3:5d:02:d9:5a:cb:79:0a:12:2e:
cb:e7:24:57:e6:d9:77:12:6b:7a:cf:ee:d6:17:c5:5f:d2:98:
30:e0:ef:00:39:4a:da:ff:1c:29:bb:2a:5b:60:e9:33:8f:78:
f9:15:dc:a5:a3:09:66:32:ce:36:cd:f0:fe:2f:67:e5:72:e5:
21:62:85:c4:07:92:c8:f1:d3:13:9c:2e:42:c1:5f:0e:8f:ff:
22
65:fb:de:7c:ed:53:ab:14:7a:cf:69:f2:42:a4:44:7c:6e:90:
7e:cd
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商生成的 IPsec SA。
-------------------------------
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Path MTU: 1456
Tunnel:
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]

SPI: 3264152513 (0xc28f03c1)
Status: active
[Outbound ESP SAs]

SPI: 738451674 (0x2c03e0da)
Status: active
Device B 上也会产生相应的 IKEv2 SA 和 IPsec SA，并自动获取 CA 证书，自动申请本地证书，查
看方式与 Device A 同，此处略。
23
1.9.3 IKEv2 NAT 穿越典型配置举例
1.组网需求
Device A 在 NAT 安全网关内网侧。要求在 Device A 和 Device B 之间建立一个 IPsec 隧道，对 Host
A 所在的子网（10.1.1.2/24）与 Host B 所在的子网（10.1.2.2/24）之间的数据流进行安全保护。具
体需要求如下：
 协商双方使用缺省的 IKEv2 安全提议和 IKEv2 安全策略。
 第一阶段协商的认证方法为预共享密钥认证。
2.组网图
图4 IKEv2 NAT 穿越典型组网图
Device A NAT Device B

GE1/0/1 GE1/0/1
1.1.1.1/16 1.1.1.2/16 3.3.3.1/16 2.2.2.2/16
Internet
GE1/0/2 GE1/0/2
10.1.1.1/24 10.1.2.1/24
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
[DeviceA-acl-ipv4-adv-3101] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
# 创建 IPsec 安全提议 transform1。
[DeviceA] ipsec transform-set transform1
[DeviceA-ipsec-transform-set-transform1] protocol esp
# 配置 ESP 协议采用的加密算法为 3DES，认证算法为 HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceA-ipsec-transform-set-transform1] quit
[DeviceA] ikev2 keychain keychain1
[DeviceA-ikev2-keychain-keychain1] peer peer1
24
[DeviceA-ikev2-keychain-keychain1-peer-peer1] address 2.2.2.2 24
[DeviceA-ikev2-keychain-keychain1-peer-peer1] identity address 2.2.2.2
# 配置对端 peer1 使用的预共享密钥为明文 123。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123
[DeviceA-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceA-ikev2-keychain-keychain1] quit
[DeviceA-ikev2-profile-profile1] keychain keychain1
# 配置本端身份为 FQDN 名称 www.devicea.com。
[DeviceA-ikev2-profile-profile1] identity local fqdn www.devicea.com
# 创建一条 IKEv2 协商方式的 IPsec 安全策略，名称为 policy1，顺序号为 1。
[DeviceA] ipsec policy policy1 1 isakmp
[DeviceA-ipsec-policy-isakmp-policy1-1] remote-address 2.2.2.2
# 指定引用的安全提议为 transform1。
[DeviceA-ipsec-policy-isakmp-policy1-1] transform-set transform1
[DeviceA-ipsec-policy-isakmp-policy1-1] security acl 3101
[DeviceA-ipsec-policy-isakmp-policy1-1] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-policy1-1] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 policy1。
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy policy1
(2) 配置 Device B
<DeviceB> system-view
[DeviceB-acl-ipv4-adv-3101] rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
# 创建 IPsec 安全提议 transform1。
[DeviceB] ipsec transform-set transform1
25
[DeviceB-ipsec-transform-set-transform1] protocol esp
# 配置 ESP 协议采用的加密算法为 3DES，认证算法为 HMAC-MD5。
[DeviceB-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceB-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceB-ipsec-transform-set-transform1] quit
[DeviceB]ikev2 keychain keychain1
[DeviceB-ikev2-keychain-keychain1] peer peer1
[DeviceB-ikev2-keychain-keychain1-peer-peer1] address 1.1.1.1 24
[DeviceB-ikev2-keychain-keychain1-peer-peer1] identity address 1.1.1.1
# 配置对端 peer1 使用的预共享密钥为明文 123。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123
[DeviceB-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceB-ikev2-keychain-keychain1] quit
[DeviceB-ikev2-profile-profile1] keychain keychain1
# 配置匹配对端身份的规则为 FQDN 名称 www.devicea.com。
[DeviceB-ikev2-profile-profile1] match remote identity fqdn www.devicea.com
[DeviceB-ikev2-profile-profile1] quit
# 创建一个 IKEv2 协商方式的 IPsec 安全策略模板，名称为 template1，顺序号为 1。
[DeviceB] ipsec policy-template template1 1
[DeviceB-ipsec-policy-template-template1-1] remote-address 1.1.1.1
[DeviceB-ipsec-policy-template-template1-1] security acl 3101
# 指定引用的安全提议为 transform1。
[DeviceB-ipsec-policy-template-template1-1] transform-set transform1
[DeviceB-ipsec-policy-template-template1-1] ikev2-profile profile1
[DeviceB-ipsec-policy-template-template1-1] quit
# 引用 IPsec 安全策略模板创建一条 IKEv2 协商方式的 IPsec 安全策略，
名称为 policy1，
顺序号 1。
[DeviceB] ipsec policy policy1 1 isakmp template template1
# 在接口 GigabitEthernet1/0/1 上应用安全策略 policy1。
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy policy1
# 配置到 Host A 所在子网的静态路由，下一跳为 NAT 设备出接口的 IP 地址。
26
4.验证配置
以上配置完成后，子网 10.1.1.0/24 若向子网 10.1.2.0/24 发送报文，将触发 IKEv2 协商。
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
[DeviceA] display ikev2 sa verbose
-----------------------------------------------
Connection ID: 13
Outside VPN:
Inside VPN:
Profile: profile1
Transmitting entity: Initiator
-----------------------------------------------
Local IP: 1.1.1.1
Local ID type: FQDN
Local ID: www.devicea.com
Remote IP: 2.2.2.2

Remote ID type: IPV4_ADDR
Remote ID: 2.2.2.2
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: MD5
Encryption-algorithm: 3DES-CBC
Life duration(sec): 86400

Remaining key duration(sec): 84565
Exchange-mode: Aggressive
Diffie-Hellman group: Group 1
NAT traversal: Detected
# 可通过如下显示信息查看到 IKEv2 协商生成的 IPsec SA。
-------------------------------
-------------------------------
-----------------------------
IPsec policy: policy1
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 0
27
Path MTU: 1435
Tunnel:
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.2.1.0/255.255.255.0 port: 0 protocol: IP
[Inbound ESP SAs]

SPI: 830667426 (0x3182faa2)
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
UDP encapsulation used for nat traversal: Y
Status: active
[Outbound ESP SAs]

SPI: 3516214669 (0xd1952d8d)
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
UDP encapsulation used for nat traversal: Y
Status: active
1.10 常见错误配置举例
1.10.1 IKEv2 提议不匹配导致 IKEv2 SA 协商失败
1.故障现象
通过如下命令查看当前的 IKEv2 SA 信息，发现 IKEv2 SA 的状态（Status 字段）为 IN-NEGO。
<Sysname> display ikev2 sa
---------------------------------------------------------------------------
5 123.234.234.124/500 123.234.234.123/500 IN-NEGO
Status:
2.故障分析
IKEv2 提议配置错误。
28
3.处理过程
(1) 排查 IKEv2 相关配置。具体包括：检查两端的 IKEv2 提议是否匹配，即 IKEv2 提议中的认证
方法、认证算法、加密算法、PRF 算法是否匹配。
(2) 修改 IKEv2 提议的配置，使本端 IKEv2 提议的配置和对端匹配。
1.10.2 IPsec 提议不匹配导致 IPsec SA 协商失败

1.故障现象
通过 display ikev2 sa 命令查看当前的 IKEv2 SA 信息，发现 IKEv2 SA 协商成功，其状态（Status
字段）为 EST。
但通过 display ipsec sa 命令查看当前的 IPsec SA 时，发现没有协商出相应的 IPsec
SA。
2.故障分析
IPsec 安全策略参数配置错误。
3.处理过程
(1) 排查 IPsec 相关配置。具体包括：检查双方接口上应用的 IPsec 安全策略的参数是否匹配，即
引用的 IPsec 安全提议的协议、加密算法和认证算法是否匹配。
(2) 修改 IPsec 策略配置，使本端 IPsec 安全策略的配置和对端匹配。
1.10.3 无法建立安全隧道
1.故障现象
双方的 ACL 配置正确，也有相匹配的 IKEv2 安全提议，但安全隧道无法建立或者存在安全隧道却
无法通信。
2.故障分析
这种情况一般是由于网络状态不稳定，安全隧道建立好以后，有一方的设备重启造成了两端的 IKEv2
SA 或者 IPsec SA 不对称。
3.处理过程
使用 display ikev2 sa 命令检查双方是否都已建立 IKEv2 SA。如果有一端存在的 IKEv2 SA 在另一
端上不存在，请先使用 reset ikev2 sa 命令清除双方不对称存在的 IKEv2 SA，并重新发起协商；
如果两端存在对称的 IKEv2 SA，则使用 display ipsec sa 命令查看接口上的安全策略是否已建立
了对称的 IPsec SA。如果一端存在的 IPsec SA 在另一端上不存在，请使用 reset ipsec sa 命令清
除双方不对称存在的 IPsec SA，并重新发起协商。
1.11 IKEv2命令
1.11.1 aaa authorization
aaa authorization 命令用来开启 IKEv2 的 AAA 授权功能。
undo aaa authorization 命令用来关闭 IKEv2 的 AAA 授权功能。
29
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKEv2 的 AAA 授权功能处于关闭状态。
【视图】
IKEv2 profile 视图
network-admin
mdc-admin
【参数】
domain domain-name：申请授权属性时使用的 ISP 域名，为 1～255 个字符的字符串，不区分大
小写，不能包括“/” 、“\” 、“|”、“””、“:”、“*”、“?” 、“<”、“>”以及“@”字符，且不能为字符
串“d” 、“de” 、“def”、“defa”、“defau”、“defaul”、
“default”
、“i”、
“if”、
“if-”、
“if-u”、
“if-un”
、
“if-unk”、“if-unkn”、
“if-unkno”、
“if-unknow”和“if-unknown” 。
username user-name：申请授权属性时使用的用户名，为 1～55 个字符的字符串，区分大小写。
用户名不能携带域名，不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能
为“a” 、“al”或“all” 。
【使用指导】
开启 AAA 授权功能后，IKEv2 可以向 AAA 模块申请授权属性，例如 IKEv2 本地地址池属性。IKEv2
模块使用指定的 ISP 域名和用户名向 AAA 模块发起授权请求，AAA 模块采用域中的授权配置向远
程 AAA 服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后，IKEv2 本端将会
得到相应的授权属性。该功能适合于由 AAA 模块集中管理和部署相关授权属性的组网环境。
【举例】
[Sysname] ikev2 profile profile1
# 在 IKEv2 profile prof1 中开启 AAA 授权功能，指定 ISP 域为 abc，用户名为 test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相关命令】
 display ikev2 profile
1.11.2 address
address 命令用来指定 IKEv2 peer 的主机地址。
undo address 命令用来恢复缺省情况。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
30
【缺省情况】
未指定 IKEv2 peer 的主机地址。
【视图】
IKEv2 peer 视图
network-admin
mdc-admin
【参数】
ipv4-address：IKEv2 peer 的 IPv4 主机地址。
Mask：IPv4 地址子网掩码。
mask-length：IPv4 地址的掩码长度，取值范围为 0～32。
ipv6 ipv6-address：IKEv2 peer 的 IPv6 主机地址。
prefix-length：IPv6 地址的前缀长度，取值范围为 0～128。
【使用指导】
使用主机地址查询 IKEv2 peer 对于 IKEv2 协商中的发起方和响应方均适用。
同一 keychain 视图下的不同 IKEv2 peer 不能配置相同的地址。
【举例】
# 创建一个 IKEv2 keychain，名称为 key1。
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer，名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定 IKEv2 peer 的 IP 地址为 3.3.3.3，掩码为 255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相关命令】
 ikev2 keychain
 peer
1.11.3 authentication-method
authentication-method 命令用来指定 IKEv2 本端和对端的身份认证方式。
undo authentication-method 命令用来删除 IKEv2 本端或对端身份认证方式。
【命令】
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share |
rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share |
rsa-signature }
31
【缺省情况】
未配置本端和对端的认证方式。
【视图】
network-admin
mdc-admin
【参数】
local：指定本端的身份认证方式。
remote：指定对端的身份认证方式。
dsa-signature：表示身份认证方式为 DSA 数字签名方式。
ecdsa-signature：表示身份认证方式为 ECDSA 数字签名方式。
pre-share：表示身份认证方式为预共享密钥方式。
rsa-signature：表示身份认证方式为 RSA 数字签名方式。
【使用指导】
一个 IKEv2 profile 中，必须配置 IKEv2 本端和对端的身份认证方式。本端和对端可以采用不同的身
份认证方式。
只能指定一个本端身份认证方式，可以指定多个对端身份认证方式。在有多个对端且对端身份认证
方式未知的情况下，可以通过多次执行本命令指定多个对端的身份认证方式。
如果本端或对端的身份认证方式为 RSA、DSA 或 ECDSA 数字签名方式（rsa-signature、
dsa-signature 或 ecdsa-signature）
，则还必须通过命令 certificate domain 指定 PKI 域来获取用
于签名和验证的数字证书。若没有指定 PKI 域，则使用系统视图下通过命令 pki domain 配置的 PKI
域。
如果本端或对端的认证方式为预共享密钥方式（pre-share），则还必须在本 IKEv2 profile 引用的
keychain 中指定对等体的预共享密钥。
【举例】
# 指定本端的认证方式为预共享密钥方式，对端的认证方式为 RSA 数字签名方式。
[Sysname-ikev2-profile-profile1] authentication local pre-share
[Sysname-ikev2-profile-profile1] authentication remote rsa-signature
# 指定对端用于签名和验证的 certificate 域为 genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定 IKEv2 profile 引用的 keychain 为 keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
 certificate domain (ikev2 profile view)
 keychain (ikev2 profile view)
32
1.11.4 certificate domain
certificate domain 命令用来指定 IKEv2 协商采用数字签名认证时使用的 PKI 域。
undo certificate domain 命令用来取消配置 IKEv2 协商时使用的 PKI 域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情况】
使用系统视图下配置的 PKI 域来验证证书。
【视图】
network-admin
mdc-admin
【参数】
domain-name：PKI 域的名称，为 1～31 个字符的字符串，不区分大小写。
sign：指定本端使用该 PKI 域中的本地证书生成数字签名。
verify：指定本端使用该 PKI 域中的 CA 证书来验证对端证书。
【使用指导】
如果没有指定 sign 和 verify，则表示指定的 PKI 域既用于签名也用于验证。一个 PKI 域用于签名
还是验证取决于最后一次的配置，例如，先配了 certificate domain abc sign，然后再配 certificate
domain abc verify，那么最终 PKI 域 abc 只用于验证功能。
可通过多次执行本命令分别指定用于数字签名的 PKI 域和用于验证的 PKI 域。
如果本端的认证方式配置为 RSA、DSA 或 ECDSA 数字签名方式，则必须通过本命令指定 PKI 域
来获取用于签名的本地证书；如果对端的认证方式配置为 RSA、DSA 或 ECDSA 数字签名方式，
则使用本命令指定 PKI 域来获取用于验证的 CA 证书，若未指定 PKI 域，则使用系统视图下的所有
PKI 域来验证。
【举例】
# 配置 IKEv2 profile 引用的 PKI 域 abc 用于签名，PKI 域 def 用于验证。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相关命令】
 authentication-method
 pki domain（安全命令参考/PKI）
33
1.11.5 config-exchange
config-exchange 命令用来开启配置交换功能。
undo config-exchange 命令用来关闭指定的配置交换功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情况】
所有的配置交换功能均处于关闭状态。
【视图】
network-admin
mdc-admin
【参数】
request：表示本端在 Auth 交换请求报文中携带配置交换请求载荷。
set：表示本端在 Info 报文中携带配置交换设置载荷。
accept：表示本端可接受配置交换设置载荷。
send：表示本端可发送配置交换设置载荷。
【使用指导】
配置交换包括请求数据、回应数据、主动推数据和回应推数据，请求和推送的数据可以为网关地址，
内部地址，路由信息等，目前仅支持中心侧内部地址分配。分支侧可以申请地址，但申请到的地址
暂无用。
本端可以同时配置 request 和 set 参数。
如果本端配置了 request 参数，则只要对端能通过 AAA 授权获取到对应的请求数据，就会对本端
的请求进行响应。
如果本端配置了 set send 参数，则对端必须配置 set accept 参数来配合使用。
如果本端配置了 set send 参数，且没有收到配置请求时，IKEv2 SA 协商成功后才会推送地址给对
端。
【举例】
# 配置本端在 Auth 交换请求报文中携带配置交换请求载荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相关命令】
 aaa authorization
 configuration policy
34
1.11.6 display ikev2 policy

display ikev2 policy 命令用来显示 IKEv2 安全策略的配置信息。
【命令】
display ikev2 policy [ policy-name | default ]
【视图】
任意视图
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
policy-name：IKEv2 安全策略的名称，为 1～63 个字符的字符串，不区分大小写。
default：缺省的 IKEv2 安全策略。
【使用指导】
如果未指定任何参数，则表示显示所有 IKEv2 安全策略的配置信息。
【举例】
# 显示所有 IKEv2 安全策略的配置信息。
<Sysname> display ikev2 policy
IKEv2 policy: 1
Priority: 100
Match local address: 1.1.1.1
Match local address ipv6: 1:1::1:1
Match VRF: vpn1
Proposal: 1
Proposal: 2
IKEv2 policy: default
Match local address: Any
Match VRF: Any
Proposal: default
display ikev2 policy 命令显示信息描述表
字段描述
IKEv2 policy IKEv2安全策略的名称
Priority IKEv2安全策略优先级
Match local address 匹配IKEv2安全策略的本端IPv4地址
Match local address

匹配IKEv2安全策略的本端IPv6地址
ipv6
35
字段描述
Match VRF 匹配IKEv2安全策略的VRF
Proposal IKEv2安全策略引用的IKEv2安全提议名称
【相关命令】
 ikev2 policy
1.11.7 display ikev2 profile

display ikev2 profile 命令用来显示 IKEv2 profile 的配置信息。
【命令】
display ikev2 profile [ profile-name ]
【视图】
任意视图
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
profile-name：IKEv2 profile 的名称，为 1～63 个字符的字符串，不区分大小写。如果不指定本参
数，则表示显示所有 IKEv2 profile 的配置信息。
【举例】
# 显示所有 IKEv2 profile 的配置信息。
<Sysname> display ikev2 profile
IKEv2 profile: 1
Priority: 100
Match criteria:
Local address 1.1.1.1
Local address Ethernet0/1
Local address 1:1::1:1
Remote identity address 3.3.3.3/32
VRF vrf1
Local identity: address 1.1.1.1
Local authentication method: pre-share
Remote authentication methods: pre-share
Keychain: Keychain1
Sign certificate domain:
Domain1
abc
Verify certificate domain:
36
Domain2
yy
SA duration: 500 seconds
DPD: Interval 32 secs, retry-interval 23 secs, periodic
Config exchange: request, set accept, set send
NAT keepalive: 10 seconds
Inside VRF: vrf1
AAA authorization: Domain domain1, username ikev2
表11 display ikev2 profile 命令显示信息描述表

字段描述
IKEv2 profile IKEv2 profile的名称
Priority IKEv2 profile的优先级
Match criteria 查找IKEv2 profile的匹配条件
Local identity 本端身份信息
Local authentication
本端认证方法
method
Remote
authentication 对端认证方法
methods
Keychain IKEv2 profile引用的keychain
Sign certificate
用于签名的PKI域
domain
Verify certificate
用于验证的PKI域
domain
SA duration IKEv2 SA生命周期
DPD功能参数：探测的间隔时间（单位为秒）、重传时间间隔（单位为秒）、探测模式
DPD （按需探测或周期探测）
若未开启DPD功能，则显示为Disabled
配置交换功能：
 request：表示本端将在 Auth 交换请求报文中携带配置交换请求载荷
Config exchange
 set accept：表示本端可接受配置交换设置载荷
 set send：表示本端可发送配置交换设置载荷
NAT keepalive 发送NAT保活报文的时间间隔（单位为秒）
Inside vrf 内网VRF名称
AAA authorization 请求AAA授权信息时使用的参数：ISP域名、用户名
【相关命令】
 ikev2 profile
37
1.11.8 display ikev2 proposal
display ikev2 proposal 命令用来显示 IKEv2 安全提议的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【视图】
任意视图
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name：IKEv2 安全提议的名称，为 1～63 个字符的字符串，不区分大小写。
default：缺省的 IKEv2 安全提议。
【使用指导】
IKEv2 安全提议按照优先级从高到低的顺序显示。若不指定任何参数，则显示所有 IKEv2 提议的配
置信息。
【举例】
# 显示所有 IKEv2 安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal: 1
Encryption: 3DES-CBC, AES-CBC-128, AES-CTR-192, CAMELLIA-CBC-128
Integrity: MD5, SHA256, AES-XCBC
PRF: MD5, SHA256, AES-XCBC
DH group: MODP1024/Group 2, MODP1536/Group 5
IKEv2 proposal: default

Encryption: AES-CBC-128, 3DES-CBC
Integrity: SHA1, MD5
PRF: SHA1, MD5
DH group: MODP1536/Group 5, MODP1024/Group 2
表12 display ikev2 proposal 命令显示信息描述表

字段描述
IKEv2 proposal IKEv2安全提议的名称
Encryption IKEv2安全提议采用的加密算法
Integrity IKEv2安全提议采用的完整性校验算法
PRF IKEv2安全提议采用的PRF算法
38
字段描述
DH group IKEv2安全提议采用的DH组
【相关命令】
 ikev2 proposal
1.11.9 display ikev2 sa

display ikev2 sa 命令用来显示 IKEv2 SA 的信息。
【命令】
display ikev2 sa [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance
vpn-instance-name ] ] [ verbose [ tunnel tunnel-id ] ]
【视图】
任意视图
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
local：显示指定本端地址的 IKEv2 SA 信息。
remote：显示指定对端地址的 IKEv2 SA 信息。
ipv4-address：本端或对端的 IPv4 地址。
ipv6 ipv6-address：本端或对端的 IPv6 地址。
vpn-instance vpn-instance-name：显示指定 VPN 实例内的 IKEv2 SA 信息，vpn-instance-name
表示 MPLS L3VPN 的 VPN 实例名称，为 1～31 个字符的字符串，区分大小写。如果不指定该参数，
则表示显示公网的 IKEv2 SA 信息。
verbose：显示 IKEv2 SA 的详细信息。如果不指定该参数，则表示显示 IKEv2 SA 的摘要信息。
tunnel tunnel-id：显示指定 IPsec 隧道的 IKEv2 SA 详细信息。tunnel-id 为 IPsec 隧道标识符，取
值范围为 1～2000000000。
【使用指导】
若不指定任何参数，则显示所有 IKEv2 SA 的摘要信息。
【举例】
# 显示所有 IKEv2 SA 的摘要信息。
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
39
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 显示对端地址为 1.1.1.2 的 IKEv2 SA 的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
表13 display ikev2 sa 命令显示信息描述表

字段描述
Tunnel ID IKEv2 SA的隧道标识符
Local IKEv2 SA的本端IP地址
Remote IKEv2 SA的对端IP地址
IKEv2 SA的状态：
 IN-NEGO（Negotiating）：表示此 IKE SA 正在协商
Status
 EST（Established）：表示此 IKE SA 已建立成功
 DEL（Deleting）：表示此 IKE SA 将被删除
# 显示所有 IKEv2 SA 的详细信息。

<Sysname> display ikev2 sa verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN

Local ID: router_a
Remote ID type: FQDN
Remote ID: router_b
Auth sign method: Pre-shared key

Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs

Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
40
DPD：Interval 20 secs, retry interval 2 secs
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Pushed IP address: 192.168.1.5

Assigned IP address: 192.168.2.24
# 显示对端地址为 1.1.1.2 的 IKEv2 SA 的详细信息。

<Sysname> display ikev2 sa remote 1.1.1.2 verbose
Tunnel ID: 1
Local IP/Port: 1.1.1.1/500
Remote IP/Port: 1.1.1.2/500
Outside VRF: -
Inside VRF: -
Local SPI: 8f8af3dbf5023a00
Remote SPI: 0131565b9b3155fa
Local ID type: FQDN

Local ID: router_a
Remote ID type: FQDN
Remote ID: router_b
Auth sign method: Pre-shared key

Auth verify method: Pre-shared key
Integrity algorithm: HMAC_MD5
PRF algorithm: HMAC_MD5
Encryption algorithm: AES-CBC-192
Life duration: 86400 secs

Remaining key duration: 85604 secs
Diffie-Hellman group: MODP1024/Group2
NAT traversal: Not detected
DPD: Interval 30 secs, retry 10 secs
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
41
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
表14 display ikev2 sa verbose 命令显示信息描述表

字段描述
Tunnel ID IKEv2 SA的隧道标识符
Local IP/Port 本端安全网关的IP地址/端口号
Remote IP/Port 对端安全网关的IP地址/端口号
Outside VRF 出方向被保护数据所属的VRF名称，-表示属于公网
Inside VRF 入方向被保护数据所属的VRF名称，-表示属于公网
Local SPI 本端安全参数索引
Remote SPI 对端安全参数索引
Local ID type 本端安全网关的身份信息类型
Local ID 本端安全网关的身份信息
Remote ID type 对端安全网关的身份信息类型
Remote ID 对端安全网关的身份信息
Auth sign method IKEv2安全提议中认证使用的签名方法
Auth verify method IKEv2安全提议中认证使用的验证方法
Integrity algorithm IKEv2安全提议中使用的完整性算法
PRF algorithm IKEv2安全提议中使用的PRF算法
Encryption algorithm IKEv2安全提议中使用的加密算法
Life duration IKEv2 SA的生命周期（单位为秒）
Remaining key duration IKEv2 SA的剩余生命周期（单位为秒）
Diffie-Hellman group IKEv2密钥协商时所使用的DH密钥交换参数
NAT traversal 是否检测到协商双方之间存在NAT网关设备
DPD探测的时间间隔和重传时间（单位为秒），若未开启DPD探测功能，
DPD
则显示为Disabled
Transmitting entity IKEv2协商中的实体角色：发起方、响应方
Local window 本端IKEv2协商的窗口大小
Remote window 对端IKEv2协商的窗口大小
Local request message ID 本端下一次要发送的请求消息的序号
Remote request message ID 对端下一次要发送的请求消息的序号
Local next message ID 本端期望下一个接收消息的序号
Remote next message ID 对端期望下一个接收消息的序号
Pushed IP address 对端推送给本端的IP地址
42
字段描述
Assigned IP address 本端分配给对端的IP地址
1.11.10 dh
dh 命令用来配置 IKEv2 密钥协商时所使用的 DH 密钥交换参数。
undo dh 命令用来恢复缺省情况。
【命令】
非 FIPS 模式下：
dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *
undo dh
FIPS 模式下：
dh { group14 | group19 | group20 } *
undo dh
【缺省情况】
IKEv2 安全提议未定义 DH 组。
【视图】
IKEv2 安全提议视图
network-admin
mdc-admin
【参数】
group1：指定密钥协商时采用 768-bit 的 Diffie-Hellman group。
group24：指定密钥协商时采用含 256-bit 的 sub-group 的 2048-bit Diffie-Hellman group。
group19：指定密钥协商时采用 ECP 模式含 256-bit 的 Diffie-Hellman group。
group20：指定密钥协商时采用 ECP 模式含 384-bit 的 Diffie-Hellman group。
【使用指导】
group1 提供了最低的安全性，但是处理速度最快。group24 提供了最高的安全性，但是处理速度最
慢。其他的 group 随着位数的增加，提供了更高的安全性，但是处理速度会相应减慢。请根据实际
组网环境中对安全性和性能的要求选择合适的 Diffie-Hellman group。
一个 IKEv2 安全提议中至少需要配置一个 DH 组，否则该安全提议不完整。
一个 IKEv2 安全提议中可以配置多个 DH 组，其使用优先级按照配置顺序依次降低。
43
【举例】
# 指定 IKEv2 提议 1 使用 768-bit 的 Diffie-Hellman group。
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相关命令】
 ikev2 proposal
1.11.11 dpd
dpd 用来配置 IKEv2 DPD 探测功能。
undo dpd 命令用来关闭 IKEv2 DPD 探测功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKEv2 profile 视图下的 DPD 探测功能处于关闭状态，使用全局的 DPD 配置。
【视图】
network-admin
mdc-admin
【参数】
interval interval：指定 IKEv2 DPD 探测的间隔时间，取值范围为 10～3600，单位为秒。对于按需
探测模式，指定经过多长时间没有从对端收到 IPsec 报文，则本端发送 IPsec 报文时触发 DPD 探
测；对于定时探测模式，指触发一次 DPD 探测的时间间隔。
retry seconds：指定 DPD 报文的重传时间间隔，取值范围为 2～60，单位为秒。缺省值为 5 秒。
on-demand：指定按需探测模式，即根据流量来探测对端是否存活，在本端发送用户报文时，如果
发现当前距离最后一次收到对端报文的时间超过指定的触发 IKEv2 DPD 探测的时间间隔，则触发
DPD 探测。
periodic：指定定时探测模式，即按照触发 IKEv2 DPD 探测的时间间隔定时探测对端是否存活。
【使用指导】
IKEv2 DPD 有两种模式：按需探测模式和定时探测模式。一般若无特别要求，建议使用按需探测模
式，在此模式下，仅在本端需要发送报文时，才会触发探测；如果需要尽快地检测出对端的状态，
则可以使用定时探测模式。在定时探测模式下工作，会消耗更多的带宽和计算资源，因此当设备与
大量的 IKEv2 对端通信时，应优先考虑使用按需探测模式。
配置的 interval 一定要大于 retry，保证在重传 DPD 报文的过程中不触发新的 DPD 探测。
44
【举例】
# 为 IKEv2 profile1 配置 IKEv2 DPD 功能，指定若 10 秒内没有从对端收到 IPsec 报文，则触发 IKEv2
DPD 探测，DPD 请求报文的重传时间间隔为 5 秒，探测模式为按需探测。
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相关命令】
 ikev2 dpd
1.11.12 encryption
encryption 命令用来指定 IKEv2 安全提议使用的加密算法。
undo encryption 命令用来恢复缺省情况。
【命令】
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 |
aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
FIPS 模式下：
encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 }
*
undo encryption
【缺省情况】
IKEv2 安全提议未定义加密算法。
【视图】
network-admin
mdc-admin
【参数】
3des-cbc：指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 3DES 算法，3DES 算法采用 168
比特的密钥进行加密。
aes-cbc-128：指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 AES 算法，AES 算法采用 128
45
aes-ctr-128：指定 IKEv2 安全提议采用的加密算法为 CTR 模式的 AES 算法，密钥长度为 128 比
特。
特。
特。
camellia-cbc-128：指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 camellia 算法，密钥长度
为 128 比特。
为 192 比特。
为 256 比特。
des-cbc：指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 DES 算法，DES 算法采用 56 比特
的密钥进行加密。
【使用指导】
IKEv2 安全提议中至少需要配置一个加密算法，否则该安全提议不完整，也不可用。一个 IKEv2 安
全提议中可以配置多个加密算法，其使用优先级按照配置顺序依次降低。
【举例】
# 指定 IKEv2 安全提议 1 的加密算法为 CBC 模式的 168-bit 3DES。
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption-algorithm 3des-cbc
【相关命令】
 ikev2 proposal
1.11.13 hostname
hostname 命令用来指定 IKEv2 peer 的主机名称。
undo hostname 命令用来恢复缺省情况。
【命令】
hostname name
undo hostname
【缺省情况】
未配置 IKEv2 peer 的主机名称。
【视图】
IKEv2 peer 视图
network-admin
mdc-admin
46
【参数】
name：IKEv2 peer 主机名称，为 1～253 个字符的字符串，不区分大小写。
【使用指导】
主机名仅适用于在基于 IPsec 安全策略的 IKEv2 协商中发起方查询 IKEv2 peer，
不适用于基于 IPsec
虚拟隧道接口的 IKEv2 协商。
【举例】
# 创建 IKEv2 keychain，名称为 key1。
# 指定 IKEv2 peer 的主机名为 test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相关命令】
 ikev2 keychain
 peer
1.11.14 identity
identity 命令用来指定 IKEv2 peer 的身份信息。
undo identity 命令用来恢复缺省情况。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string |
key-id key-id-string }
undo identity
【缺省情况】
未指定 IKEv2 peer 的身份信息。
【视图】
IKEv2 peer 视图
network-admin
mdc-admin
【参数】
ipv4-address：对端 IPv4 地址。
ipv6 ipv6-address：对端 IPv6 地址。
fqdn fqdn-name：对端 FQDN 名称，为 1～255 个字符的字符串，区分大小写，例如 www.test.com。
email email-string：指定标识对端身份的 E-mail 地址。email-string 为按照 RFC 822 定义的 1～255
个字符的字符串，区分大小写，例如 esec@test.com。
47
key-id key-id-string：指定标识对端身份的 Key-ID 名称。key-id-string 为 1～255 个字符的字符串，
区分大小写，通常为具体厂商的某种私有标识字符串。
【使用指导】
对等体身份信息仅用于 IKEv2 协商的响应方查询 IKEv2 peer，因为发起方在发起 IKEv2 协商时并
不知道对端的身份信息。
【举例】
# 指定 IKEv2 peer 的身份信息为地址 1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相关命令】
 ikev2 keychain
 peer
1.11.15 identity local

identity local 命令用来配置本端身份信息，用于在 IKEv2 认证协商阶段向对端标识自己的身份。
undo identity local 命令用来恢复缺省情况。
【命令】
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn
fqdn-name | key-id key-id-string }
undo identity local
【缺省情况】
未指定 IKEv2 本端身份信息，使用应用 IPsec 安全策略的接口的 IP 地址作为本端身份。
【视图】
network-admin
mdc-admin
【参数】
address { ipv4-address | ipv6 ipv6-address }：指定标识本端身份的 IP 地址，其中 ipv4-address
为标识本端身份的 IPv4 地址，ipv6-address 为标识本端身份的 IPv6 地址。
dn：使用从本端数字证书中获得的 DN 名作为本端身份。
email email-string：指定标识本端身份的 E-mail 地址。email-string 为按照 RFC 822 定义的 1～255
个字符的字符串，区分大小写，例如 sec@abc.com。
48
fqdn fqdn-name：指定标识本端身份的 FQDN 名称。fqdn-name 为 1～255 个字符的字符串，区分
大小写，例如 www.test.com。
key-id key-id-string：指定标识本端身份的 Key-ID 名称。key-id-string 为 1～255 个字符的字符串，
区分大小写，通常为具体厂商的某种私有标识字符串。
【使用指导】
交换的身份信息用于协商双方在协商时识别对端身份。
【举例】
#创建 IKEv2 profile，名称为 profile1。
# 指定使用 IP 地址 2.2.2.2 标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相关命令】
 peer
1.11.16 ikev2 address-group

ikev2 address-group 命令用来配置为对端分配 IPv4 地址的 IKEv2 本地 IPv4 地址池。
undo ikev2 address-group 命令用来删除指定的 IKEv2 本地地址池。
【命令】
ikev2 address-group group-name start-ipv4-address end-ipv4-address [ mask | mask-length ]
undo ikev2 address-group group-name
【缺省情况】
未定义 IKEv2 本地 IPv4 地址池。
【视图】
系统视图
network-admin
mdc-admin
【参数】
group-name：IPv4 地址池名称，为 1～63 个字符的字符串，不区分大小写。
start-ipv4-address end-ipv4-address：IPv4 地址池的地址范围。其中，start-ipv4-address 为 IPv4
地址池的起始地址，end-ipv4-address 为 IPv4 地址池的结束地址。
mask：IPv4 地址掩码。
mask-length：IPv4 地址掩码长度。
【使用指导】
每个地址池中包括的 IPv4 地址的最大数目为 8192。
49
【举例】
# 配置 IKEv2 本地 IPv4 地址池，名称为 ipv4group，地址池范围为 1.1.1.1～1.1.1.2，掩码为
255.255.255.0。
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置 IKEv2 本地 IPv4 地址池，名称为 ipv4group，地址池范围为 1.1.1.1～1.1.1.2，掩码长度为
32。
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
 address-group
1.11.17 ikev2 cookie-challenge

ikev2 cookie-challenge 命令用来开启 cookie-challenge 功能。
undo ikev2 cookie-challenge 命令用来关闭 cookie-challenge 功能。
【命令】
ikev2 cookie-challenge number
undo ikev2 cookie-challenge
【缺省情况】
IKEv2 cookie-challenge 功能处于关闭状态。
【视图】
系统视图
network-admin
mdc-admin
【参数】
number：指定触发响应方启用 cookie-challenge 功能的阈值，取值范围为 0～1000。
【使用指导】
若响应方配置了 cookie-challenge 功能，当响应方发现存在的半开 IKE SA 超过指定的数目时，就
启用 cookie-challenge 机制。响应方收到 IKE_SA_INIT 请求后，构造一个 Cookie 通知载荷并响应
发起方，若发起方能够正确携带收到的 Cookie 通知载荷向响应方重新发起 IKE_SA_INIT 请求，则
可以继续后续的协商过程，防止由于源 IP 仿冒而耗费大量响应方的系统资源，造成对响应方的 DoS
攻击。
【举例】
# 开启 cookie-challenge 功能，并配置启用 cookie-challenge 功能的阈值为 450。
[Sysname] ikev2 cookie-challenge 450
50
1.11.18 ikev2 dpd
ikev2 dpd 命令用来配置全局 IKEv2 DPD 功能。
undo ikev2 dpd 命令用来关闭全局 IKEv2 DPD 功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情况】
IKEv2 DPD 探测功能处于关闭状态。
【视图】
系统视图
network-admin
mdc-admin
【参数】
interval interval：指定触发 IKEv2 DPD 探测的时间间隔，取值范围为 10～3600，单位为秒。对于
按需探测模式，指定经过多长时间没有从对端收到 IPsec 报文，则发送报文前触发一次 DPD 探测；
对于定时探测模式，指触发一次 DPD 探测的时间间隔。
retry seconds：指定 DPD 报文的重传时间间隔，取值范围为 2～60，单位为秒，缺省值为 5 秒。
on-demand：指定按需探测模式，即根据流量来探测对端是否存活，在本端发送 IPsec 报文时，如
果发现当前距离最后一次收到对端报文的时间超过指定的触发 IKEv2 DPD 探测的时间间隔（即通
过 interval 指定的时间），则触发 DPD 探测。
periodic：指定定时探测模式，即按照触发 IKEv2 DPD 探测的时间间隔（即通过 interval 指定的时
间）定时探测对端是否存活。
【使用指导】
IKEv2 DPD 有两种模式：按需探测模式和定时探测模式。一般若无特别要求，建议使用按需探测模
式，在此模式下，仅在本端需要发送报文时，才会触发探测；如果需要尽快地检测出对端的状态，
则可以使用定时探测模式。在定时探测模式下工作，会消耗更多的带宽和计算资源，因此当设备与
大量的 IKEv2 对端通信时，应优先考虑使用按需探测模式。
如果 IKEv2 profile 视图下和系统视图下都配置了 DPD 探测功能，则 IKEv2 profile 视图下的 DPD
配置生效，如果 IKEv2 profile 视图下没有配置 DPD 探测功能，则采用系统视图下的 DPD 配置。
配置的 interval 一定要大于 retry，保证在重传 DPD 报文的过程中不触发新的 DPD 探测。
【举例】
# 配置根据流量来触发 IKEv2 DPD 探测的时间间隔为 15 秒。
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定时触发 IKEv2 DPD 探测的时间间隔为 15 秒。
[Sysname] ikev2 dpd interval 15 periodic
51
【相关命令】
 dpd（IKEv2 profile view）
1.11.19 ikev2 ipv6-address-group

ikev2 ipv6-address-group 命令用来配置为对端分配 IPv6 地址的 IKEv2 本地地址池。
undo ikev2 ipv6-address-group 命令用来删除指定的 IKEv2 本地地址池。
【命令】
ikev2 ipv6-address-group group-name prefix prefix/prefix-len assign-len assign-len
undo ikev2 ipv6-address-group group-name
【缺省情况】
未定义 IKEv2 本地 IPv6 地址池。
【视图】
系统视图
network-admin
mdc-admin
【参数】
group-name：IPv6 地址池名称，为 1～63 个字符的字符串，不区分大小写。
prefix prefix/prefix-len：指定 IPv6 地址池的地址前缀。prefix/prefix-len 为 IPv6 前缀/前缀长度，其
中，prefix-len 取值范围为 1～128。
assign-len assign-len：指定地址池分配给对端的前缀长度。assign-len 的取值范围为 1～128，必
须大于或等于 prefix-len，且与 prefix-len 之差小于或等于 16。
【使用指导】
与 IPv4 地址池不同，IPv6 地址池每次可分配的是一个 IPv6 地址段。对端收到该地址段后可继续为
其它设备分配地址。
所有 IKEv2 本地 IPv6 地址池包含的前缀范围之间不能重叠，即前缀范围不能相交也不能相互包含。
【举例】
# 配置 IKEv2 本地 IPv6 地址池，名称为 ipv6group，前缀为:1:1::，前缀长度为 64，分配给使用者
的前缀长度为 80。
[Sysname] ikev2 ipv6-address-group ipv6group prefix :1:1::/64 assign-len 80
【相关命令】
 ipv6-address-group
1.11.20 ikev2 keychain

ikev2 keychain 命令用来创建 IKEv2 keychain，并进入 IKEv2 keychain 视图。如果指定的 IKEv2
keychain 已经存在，则直接进入 IKEv2 keychain 视图。
52
undo ikev2 keychain 命令用来删除指定的 IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情况】
不存在 IKEv2 keychain。
【视图】
系统视图
network-admin
mdc-admin
【参数】
keychain-name：IKEv2 keychain 的名称，为 1～63 个字符的字符串，不区分大小写，且不能包括
字符“-” 。
【使用指导】
任何一端采用了预共享密钥认证方式时，IKEv2 profile 下必须引用 keychain，且只能引用一个。配
置的预共享密钥的值需要与对端 IKEv2 网关上配置的预共享密钥的值相同。
一个 IKEv2 keychain 下可以配置多个 IKEv2 peer。
【举例】
# 创建 IKEv2 keychain key1 并进入 IKEv2 keychain 视图。
[Sysname-ikev2-keychain-key1]
1.11.21 ikev2 nat-keepalive

ikev2 nat-keepalive 命令用来配置向对端发送 NAT Keepalive 报文的时间间隔。
undo ikev2 nat-keepalive 命令用来恢复缺省情况。
【命令】
ikev2 nat-keepalive seconds
undo ikev2 nat-keepalive
【缺省情况】
探测到 NAT 后发送 NAT Keepalive 报文的时间间隔为 10 秒。
【视图】
系统视图
network-admin
53
mdc-admin
【参数】
seconds：向对端发送 NAT Keepalive 报文的时间间隔，取值范围为 5～3600，单位为秒。
【使用指导】
该命令仅对位于 NAT 之后的设备（即该设备位于 NAT 设备连接的私网侧）有意义。
NAT 之后的 IKEv2
网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报文，以确保 NAT 设备上相
应于该流量的会话存活，从而让 NAT 之外的设备可以访问 NAT 之后的设备。因此，配置的发送 NAT
Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
【举例】
# 配置向 NAT 发送 NAT Keepalive 报文的时间间隔为 5 秒。
[Sysname] ikev2 nat-keepalive 5
1.11.22 ikev2 policy

ikev2 policy 命令用来创建 IKEv2 安全策略，并进入 IKEv2 安全策略视图。如果指定的 IKEv2 安全
策略已经存在，则直接进入 IKEv2 安全策略视图。
undo ikev2 policy 命令用来删除指定的 IKEv2 安全策略。
【命令】
ikev2 policy policy-name
undo ikev2 policy policy-name
【缺省情况】
系统中存在一个名称为 default 的缺省 IKEv2 安全策略，该缺省的策略中包含一个缺省的 IKEv2 安
全提议 default，且可与所有的本端地址相匹配。
【视图】
系统视图
network-admin
mdc-admin
【参数】
policy-name：IKEv2 安全策略的名称，为 1～63 个字符的字符串，不区分大小写。
【使用指导】
IKE_SA_INIT 协商时，发起方根据应用 IPsec 安全策略的接口地址和接口所属的 VRF 来选择要使
用的 IKEv2 安全策略；响应方根据收到 IKEv2 报文的接口地址以及接口所属的 VRF 来选择要使用
的 IKEv2 安全策略。选定 IKEv2 安全策略后，设备将根据安全策略中的安全提议进行加密算法、完
整性校验算法、PRF 算法和 DH 组的协商。
可以配置多个 IKEv2 安全策略。一个 IKEv2 安全策略中必须至少包含一个 IKEv2 安全提议，否则该
策略不完整。
54
若发起方使用共享源接口方式 IPsec 策略，则 IKE_SA_INIT 协商时，使用共享源接口地址来选择要
是使用的 IKEv2 安全策略。
相同匹配条件下，配置的优先级可用于调整匹配 IKEv2 安全策略的顺序。
如果没有配置 IKEv2 安全策略，则使用默认的 IKEv2 安全策略 default。用户不能进入并配置默认
的 IKEv2 安全策略 default。
【举例】
# 创建 IKEv2 安全策略 policy1，并进入 IKEv2 安全策略视图。
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相关命令】
 display ikev2 policy
1.11.23 ikev2 profile

ikev2 profile 命令用来创建 IKEv2 profile，并进入 IKEv2 profile 视图。如果指定的 IKEv2 profile 已
经存在，则直接进入 IKEv2 profile 视图。
undo ikev2 profile 命令用来删除指定的 IKEv2 profile。
【命令】
ikev2 profile profile-name
undo ikev2 profile profile-name
【缺省情况】
不存在 IKEv2 profile。
【视图】
系统视图
network-admin
mdc-admin
【参数】
profile-name：IKEv2 profile 的名称，为 1～63 个字符的字符串，不区分大小写。
【使用指导】
IKEv2 profile 用于保存非协商的 IKEv2 SA 的参数，如本端和对端的身份、本端和对端的认证方式、
用于查找 IKEv2 profile 的匹配条件等。
【举例】
# 创建 IKEv2 profile，名称为 profile1，并进入 IKEv2 profile 视图。
[Sysname-ikev2-profile-profile1]
55
【相关命令】
1.11.24 ikev2 proposal

ikev2 proposal 命令用来创建 IKEv2 安全提议，并进入 IKEv2 安全提议视图。如果指定的 IKEv2
安全提议已经存在，则直接进入 IKEv2 安全提议视图。
undo ikev2 proposal 命令用来删除指定的 IKEv2 安全提议。
【命令】
ikev2 proposal proposal-name
undo ikev2 proposal proposal-name
【缺省情况】
系统中存在一个名称为 default 的缺省 IKEv2 安全提议。
非 FIPS 模式下，缺省提议使用的算法：
 加密算法：AES-CBC-128 和 3DES
 完整性校验算法：HMAC-SHA1 和 HMAC-MD5
 PRF 算法：HMAC-SHA1 和 HMAC-MD5
 DH：group5 和 group2
FIPS 模式下，缺省提议使用的算法：
 加密算法：AES-CBC-128 和 AES-CTR-128
 完整性校验算法：HMAC-SHA1 和 HMAC-SHA256
 PRF 算法：HMAC-SHA1 和 HMAC-SHA256
 DH：group14 和 group19
【视图】
系统视图
network-admin
mdc-admin
【参数】
proposal-name：指定 IKEv2 安全提议的名称，为 1～63 个字符的字符串，不区分大小写，且不能
为 default。
【使用指导】
IKEv2 安全提议用于保存 IKE_SA_INIT 交换中所使用的安全参数，包括加密算法、完整性验证算法、
PRF（pseudo-random function）算法和 DH 组。
在一个 IKEv2 安全提议中，至少需要配置一组安全参数，即一个加密算法、一个完整性验证算法、
一个 PRF 算法和一个 DH 组。
在一个 IKEv2 安全提议中，可以配置多组安全参数，即多个加密算法、多个完整性验证算法、多个
PRF 算法和多个 DH 组，这些安全参数在实际协商过程中，将会形成多种安全参数的组合与对端进
56
行匹配。若实际协商过程中仅希望使用一组安全参数，请保证在 IKEv2 安全提议中仅配置了一套安
全参数。
【举例】
# 创建 IKEv2 安全提议 prop1，并配置加密算法为 aes-cbc-128，完整性校验算法为 sha1，PRF 算
法为 sha1，DH 组为 group2。
[Sysname-ikev2-proposal-prop1] encryption-algorithm aes-cbc-128
[Sysname-ikev2-proposal-prop1] authentication-algorithm sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相关命令】
 encryption-algorithm
 integrity
 prf
 dh
1.11.25 inside-vrf
inside-vrf 命令用来指定内部 VPN 实例。
undo inside-vrf 命令用来恢复缺省情况。
【命令】
inside-vrf vrf-name
undo inside-vrf
【缺省情况】
IKEv2 profile 未指定内部 VPN 实例，即内网与外网在同一个 VPN 实例中。
【视图】
network-admin
mdc-admin
【参数】
vrf-name：保护的数据所属的 VRF 名称，为 1～31 个字符的字符串，区分大小写。
【使用指导】
当 IPsec 解封装后的报文需要继续转发到不同的 VPN 时，设备需要知道在哪个 VPN 实例中查找相
应的路由。缺省情况下，设备在与外网相同的 VPN 实例中查找路由，如果不希望在与外网相同的
VPN 实例中查找路由，则可以指定一个内部 VPN 实例，通过查找该内部 VPN 实例的路由来转发报
文。
57
【举例】
# 在 IKEv2 profile profile1 中指定内部 VRF 为 vpn1。
[Sysname-ikev2-profile-profile1] inside-vrf vpn1
1.11.26 integrity
integrity 命令用来指定 IKEv2 安全提议使用的完整性校验算法。
undo integrity 命令用来恢复缺省情况。
【命令】
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
FIPS 模式下：
integrity { sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情况】
未指定 IKEv2 安全提议使用的完整性校验算法。
【视图】
network-admin
mdc-admin
【参数】
aes-xcbc-mac：指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-AES-XCBC-MAC。
md5：指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-MD5。
sha1：指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-SHA-1。
【使用指导】
一个 IKEv2 安全提议中至少需要配置一个完整性校验算法，否则该安全提议不完整。一个 IKEv2 安
全提议中可以配置多个完整性校验算法，其使用优先级按照配置顺序依次降低。
【举例】
# 创建 IKEv2 安全提议 prop1。
58
# 指定该安全提议使用的完整性校验算法为 MD5 和 SHA1，且优先选择 SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相关命令】
 ikev2 proposal
1.11.27 keychain
keychain 命令用来配置采用预共享密钥认证时使用的 Keychain。
undo keychain 命令用来恢复缺省情况。
【命令】
keychain keychain-name
undo keychain
【缺省情况】
IKEv2 profile 中未引用 Keychain。
【视图】
network-admin
mdc-admin
【参数】
keychain-name：IKEv2 keychain 名称，为 1～63 个字符的字符串，不区分大小写，且不能包括字
符-。
【使用指导】
任何一端采用了预共享密钥认证方式时，IKEv2 profile 下必须引用 keychain，且只能引用一个。
不同的 IKEv2 profile 可以共享同一个 IKEv2 keychain 。
【举例】
# 指定 IKEv2 profile 引用的 keychain，keychain 的名称为 keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
 ikev2 keychain
1.11.28 match local (IKEv2 profile view)

match local 命令用来限制 IKEv2 profile 的使用范围。
59
undo match local 命令用来取消对 IKEv2 profile 使用范围的限制。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address { interface-type interface-number | { ipv4-address | ipv6
ipv6-address } }
【缺省情况】
未限制 IKEv2 profile 的使用范围。
【视图】
network-admin
mdc-admin
【参数】
address：指定 IKEv2 profile 只能用于指定地址或指定接口的地址上的 IKEv2 协商。
interface-type interface-number：本端接口编号和接口名称，可以是任意三层接口。
ipv4-address：本端接口 IPv4 地址。
ipv6 ipv6-address：本端接口 IPv6 地址。
【使用指导】
此命令用于限制 IKEv2 profile 只能用于指定地址或指定接口上的地址协商，这里的地址指的是本端
收到 IKEv2 报文的接口 IP 地址，即只有 IKEv2 协商报文从该地址接收时，
才会采用该 IKEv2 profile。
IKEv2 profile 优先级可以手工配置，先配置的优先级高。若希望本端在匹配某些 IKEv2 profile 的时
候，不按照手工配置的顺序来查找，则可以通过本命令来指定这类 IKEv2 profile 的使用范围。例如，
IKEv2 profile A 中的 match remote 地址范围大（match remote identity address range 2.2.2.1
2.2.2.100），IKEv2 profile B 中的 match remote 地址范围小（match remote identity address
，IKEv2 profile A 先于 IKEv2 profile B 配置。假设对端 IP 地址为 2.2.2.6,
range 2.2.2.1 2.2.2.10）
那么依据配置顺序本端总是选择 profile A 与对端协商。若希望本端接口（假设接口地址为 3.3.3.3）
使用 profile B 与对端协商，可以配置 profile B 在指定地址 3.3.3.3 的接口上使用。
通过该命令可以指定多个本端匹配条件。
【举例】
# 限制 IKEv2 profile profile1 只能在 IP 地址为 2.2.2.2 的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相关命令】
 match remote
60
1.11.29 match local address (IKEv2 policy view)
match local address 命令用来指定匹配 IKEv2 安全策略的本端地址。
undo match local address 命令用来删除指定的用于匹配 IKEv2 安全策略的本端地址。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address { interface-type interface-number | { ipv4-address | ipv6
ipv6-address } }
【缺省情况】
未指定用于匹配 IKEv2 安全策略的本端地址，表示本策略可匹配所有本端地址。
【视图】
IKEv2 安全策略视图
network-admin
mdc-admin
【参数】
interface-type interface-number：本端接口编号和接口名称，可以是任意三层接口。
ipv4-address：本端接口 IPv4 地址。
ipv6 ipv6-address：本端接口 IPv6 地址。
【使用指导】
根据本端地址匹配 IKEv2 安全策略时，优先匹配指定了本端地址匹配条件的策略，其次匹配未指定
本端地址匹配条件的策略。
【举例】
# 指定用于匹配 IKEv2 安全策略 policy1 的本端地址为 3.3.3.3。
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相关命令】
 match vrf
1.11.30 match remote

match remote 命令用来配置匹配对端身份的规则。
undo match remote 命令用来删除一条用于匹配对端身份的规则。
【命令】
match remote { certificate policy-name | identity { address { { ipv4-address [ mask |
mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] |
61
range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id
key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask
|mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] |
range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id
key-id-string } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
network-admin
mdc-admin
【参数】
certificate policy-name：基于对端数字证书中的信息匹配 IKEv2 profile。其中，policy-name 是证
书访问控制策略的名称，为 1～31 个字符的字符串，不区分大小写。本参数用于基于对端数字证书
中的信息匹配 IKEv2 profile。
identity：基于指定的对端身份信息匹配 IKEv2 profile。本参数用于响应方根据发起方通过 identity
local 命令配置的身份信息来选择使用的 IKEv2 profile。
address ipv4-address [ mask | mask-length ]：对端 IPv4 地址或 IPv4 网段。其中，ipv4-address
为 IPv4 地址，mask 为子网掩码，mask-length 为子网掩码长度，取值范围为 0～32。
address range low-ipv4-address high-ipv4-address：对端 IPv4 地址范围。其中 low-ipv4-address
为起始 IPv4 地址，high-ipv4-address 为结束 IPv4 地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ]：对端 IPv6 地址或 IPv6 网段。其中，ipv6-address 为
IPv6 地址，prefix-length 为 IPv6 前缀长度，取值范围为 0～128。
address ipv6 range low-ipv6-address high-ipv6-address ：对端 IPv6 地址范围。其中
low-ipv6-address 为起始 IPv6 地址，high-ipv6-address 为结束 IPv6 地址。结束地址必须大于起始
地址。
fqdn fqdn-name：对端 FQDN 名称，为 1～255 个字符的字符串，区分大小写，例如 www.test.com。
email email-string：指定标识对等体身份的 E-mail 地址。email-string 为按照 RFC 822 定义的 1~255
个字符的字符串，区分大小写，例如 sec@abc.com。
key-id key-id-string：指定标识对等体身份的 Key-ID 名称。key-id-string 为 1～255 个字符的字符
串，区分大小写，通常为具体厂商的某种私有标识字符串。
【使用指导】
查找对端匹配的 IKEv2 profile 时，对端需要同时满足以下条件：
 将对端的身份信息与本命令配置的匹配规则进行比较，二者必须相同。
 查找 IKEv2 profile 和验证对端身份时，需要使用 match remote、match local address、
match vrf 一起匹配，若有其中一项不符合，则表示该 IKEv2 profile 不匹配。
查找到匹配的 IKEv2 profile 后，本端设备将用该 IKEv2 profile 中的信息与对端完成认证。
62
为了使得每个对端能够匹配到唯一的 IKEv2 profile，不建议在两个或两个以上 IKEv2 profile 中配置
相同的 match remote 规则，否则能够匹配到哪个 IKEv2 profile 是不可预知的。match remote 规
则可以配置多个，并同时都有效，其匹配优先级为配置顺序。
【举例】
# 指定匹配采用 FQDN 作为身份标识、且取值为 www.test.com 的对端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.com
# 指定匹配采用 IP 地址作为身份标识、且取值为 10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相关命令】
 identity local
 match local address
 match vrf
1.11.31 match vrf (IKEv2 policy view)

match vrf 命令用来配置匹配 IKEv2 安全策略的 VPN 实例。
undo match vrf 命令用来恢复缺省情况。
【命令】
undo match vrf
【缺省情况】
未指定用于匹配 IKEv2 安全策略的 VPN 实例，表示本策略可匹配公网内的所有本端地址。
【视图】
network-admin
mdc-admin
【参数】
name vrf-name：基于指定的 VPN 实例匹配 IKEv2 安全策略。vrf-name 表示 VPN 实例名称，为 1～
31 个字符的字符串，区分大小写。
any：表示公网及任何 VPN 实例都可以匹配 IKEv2 安全策略。
【使用指导】
IKE_SA_INIT 协商时，发起方根据应用 IPsec 安全策略的接口地址和接口所属的 VPN 实例来选择
要使用的 IKEv2 安全策略；响应方根据收到 IKEv2 报文的接口地址以及接口所属的 VPN 实例来选
择要使用的 IKEv2 安全策略。
63
根据本端地址匹配 IKEv2 安全策略时，优先匹配指定了 VPN 实例匹配条件的策略，其次匹配未指
定 VPN 实例匹配条件的策略。
【举例】
# 创建 IKEv2 安全策略，名称为 policy1。
# 指定 IKEv2 安全策略匹配的 VPN 为 vpn1。
[Sysname-ikev2-policy-policy1] match vrf name vpn1
【相关命令】
 match local address
1.11.32 match vrf (IKEv2 profile view)

match vrf 命令用来配置 IKEv2 profile 所属的 VPN 实例。
undo match vrf 命令用来恢复缺省情况。
【命令】
undo match vrf
【缺省情况】
IKEv2 profile 属于公网。
【视图】
network-admin
mdc-admin
【参数】
name vrf-name：基于指定的 VPN 实例匹配 IKEv2 profile。vrf-name 表示 VPN 实例名称，为 1～
31 个字符的字符串，区分大小写。
any：表示公网及任何 VPN 实例都可以匹配 IKEv2 profile。
【使用指导】
此命令用于限制 IKEv2 profile 只能在指定所属 VPN 实例的接口上协商，这里的 VPN 指的是收到
IKEv2 报文的接口所属 VPN 实例。如果配置了参数 any，则表示 IKEv2 profile 可以在所有 VPN 实
例接口上协商。
【举例】
64
# 指定 IKEv2 profile 所属的 VPN 为 vrf1。
[Sysname-ikev2-profile-profile1] match vrf name vrf1
【相关命令】
 match remote
1.11.33 nat-keepalive
nat-keepalive 命令用来配置发送 NAT keepalive 的时间间隔。
undo nat-keepalive 命令用来恢复缺省情况。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情况】
使用全局的 IKEv2 NAT keepalive 配置。
【视图】
network-admin
mdc-admin
【参数】
seconds：发送 NAT keepalive 报文的时间间隔，取值范围为 5～3600，单位为秒。
【使用指导】
该命令仅对位于 NAT 之后的设备
（即该设备位于 NAT 设备连接的私网侧）
有意义。
NAT 之后的 IKEv2
网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报文，以确保 NAT 设备上相
应于该流量的会话存活，从而让 NAT 之外的设备可以访问 NAT 之后的设备。因此，配置的发送 NAT
Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
【举例】
# 配置发送 NAT keepalive 报文的时间间隔为 1200 秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相关命令】
 ikev2 nat-keepalive
65
1.11.34 peer
peer 命令用来创建 IKEv2 peer，并进入 IKEv2 peer 视图。如果指定的 IKEv2 peer 已经存在，则直
接进入 IKEv2 peer 视图。
undo peer 命令用来删除指定的 IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情况】
不存在 IKEv2 peer。
【视图】
IKEv2 keychain 视图
network-admin
mdc-admin
【参数】
name：IKEv2 peer 名称，为 1~63 个字符的字符串，不区分大小写。
【使用指导】
一个 IKEv2 peer 中包含了一个预共享密钥以及用于查找该 peer 的匹配条件，包括对端的主机名称
（由命令 hostname 配置）、对端的 IP 地址（由命令 address 配置）和对端的身份（由命令 identity
配置）。其中，IKEv2 协商的发起方使用对端的主机名称或 IP 地址查找 peer，响应方使用对端的身
份或 IP 地址查找 peer。
【举例】
# 创建 IKEv2 keychain key1 并进入 IKEv2 keychain 视图。
【相关命令】
 ikev2 keychain
1.11.35 pre-shared-key
pre-shared-key 命令用来配置 IKEv2 peer 的预共享密钥。
undo pre-shared-key 命令用来删除 IKEv2 peer 的预共享密钥。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
66
【缺省情况】
未配置 IKEv2 peer 的预共享密钥。
【视图】
IKEv2 peer 视图
network-admin
mdc-admin
【参数】
local：表示签名密钥。
remote：表示验证密钥。
ciphertext：以密文方式设置密钥。
plaintext：以明文方式设置密钥，该密钥将以密文形式存储。
string：密钥字符串，区分大小写。非 FIPS 模式下，明文密钥为 1～128 个字符的字符串；密文密
钥为 1～201 个字符的字符串。FIPS 模式下，明文密钥为 15～128 个字符的字符串；密文密钥为
15～201 个字符的字符串。
【使用指导】
如果指定了参数 local 或 remote，则表示指定的是非对称密钥；
若参数 local 和 remote 均不指定，
则表示指定的是对称密钥。
执行 undo 命令时，指定要删除的密钥类型必须和已配置的密钥类型完全一致，该 undo 命令才会
执行成功。例如， IKEv2 peer 视图下仅有 pre-shared-key local 的配置，则执行 undo
pre-shared-key 和 undo pre-shared-key remote 命令均无效。
多次执行本命令，最后一次执行的命令生效。
【举例】
 发起方示例
# 配置 peer1 的对称预共享密钥为明文 111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 配置 peer2 的非对称预共享密钥，签名密钥为明文 111-key-a，验证密钥为明文 111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
 响应方示例
# 创建一个 IKEv2 keychain，名称为 telecom。
67
[Sysname] ikev2 keychain telecom
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置 peer1 的对称预共享密钥为明文 111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置 IKEv2 peer 的非对称预共享密钥，签名密钥为明文 111-key-b，验证密钥为明文 111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相关命令】
 ikev2 keychain
 peer
1.11.36 prf
prf 命令用来指定 IKEv2 安全提议使用的 PRF 算法。
undo prf 命令用来恢复缺省情况。
【命令】
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
FIPS 模式下：
prf { sha1 | sha256 | sha384 | sha512 } *
undo prf
【缺省情况】
IKEv2 安全提议使用配置的完整性校验算法作为 PRF 算法。
【视图】
network-admin
mdc-admin
【参数】
aes-xcbc-mac：指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-AES-XCBC-MAC。
md5：指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-MD5。
sha1：指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-1。
sha256：指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-256。
68
sha384:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-384。
sha512:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-512。
【使用指导】
一个 IKEv2 安全提议中可以配置多个 PRF 算法，其使用优先级按照配置顺序依次降低。
【举例】
# 创建 IKEv2 安全提议 prop1。
# 指定该安全提议使用的 PRF 算法为 MD5 和 SHA1，且优先选择 SHA1。
[Sysname-ikev2-proposal-prop1m] prf sha1 md5
【相关命令】
 ikev2 proposal
 integrity
1.11.37 priority(IKEv2 policy view)

priority 命令用来指定 IKEv2 安全策略的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2 安全策略的优先级为 100。
【视图】
network-admin
mdc-admin
【参数】
priority：IKEv2 安全策略优先级，取值范围为 1～65535。该数值越小，优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找 IKEv2 安全策略时调整 IKEv2 安全策略的匹配顺序。
【举例】
# 指定 IKEv2 安全策略 policy1 的优先级为 10。
[Sysname-ikev2-policy-policy1] priority 10
69
【相关命令】
1.11.38 priority (IKEv2 profile view)

priority 命令用来配置 IKEv2 profile 的优先级。
undo priority 命令用来恢复缺省情况。
【命令】
priority priority
undo priority
【缺省情况】
IKEv2 profile 的优先级为 100。
【视图】
network-admin
mdc-admin
【参数】
priority：IKEv2 profile 优先级，取值范围为 1～65535。该数值越小，优先级越高。
【使用指导】
本命令配置的优先级仅用于响应方在查找 IKEv2 Profile 时调整 IKEv2 Profile 的匹配顺序。
【举例】
# 指定 IKEv2 profile profile1 的优先级为 10。
[Sysname-ikev2-profile-profile1] priority 10
1.11.39 proposal (IKEv2 policy view)

proposal 命令用来指定 IKEv2 安全策略引用的 IKEv2 安全提议。
undo proposal 命令用来取消 IKEv2 安全策略引用的 IKEv2 安全提议。
【命令】
proposal proposal-name
undo proposal proposal-name
【缺省情况】
IKEv2 安全策略未引用 IKEv2 安全提议。
【视图】
70
network-admin
mdc-admin
【参数】
proposal-name：被引用的 IKEv2 安全提议的名称，为 1～63 个字符的字符串，不区分大小写。
【使用指导】
若同时指定了多个 IKEv2 安全提议，则它们的优先级按照配置顺序依次降低。
【举例】
# 配置 IKEv2 安全策略 policy1 引用 IKEv2 安全提议 proposal1。
[Sysname-ikev2-policy-policy1] proposal proposal1
【相关命令】
 ikev2 proposal
1.11.40 reset ikev2 sa

reset ikev2 sa 命令用来清除 IKEv2 SA。
【命令】
reset ikev2 sa [ [ { local | remote } { ipv4-address | ipv6 ipv6-address } [ vpn-instance
vpn-instance-name ] ] | tunnel tunnel-id ] [ fast ]
【视图】
用户视图
network-admin
mdc-admin
【参数】
local：清除指定本端地址的 IKEv2 SA 信息。
remote：清除指定对端地址的 IKEv2 SA 信息。
ipv4-address：本端或对端的 IPv4 地址。
ipv6 ipv6-address：本端或对端的 IPv6 地址。
vpn-instance vpn-instance-name ：清除指定 VPN 实例内的 IKEv2 SA 的详细信息，
vpn-instance-name 表示 MPLS L3VPN 的 VPN 实例名称，为 1～31 个字符的字符串，区分大小写。
如果不指定该参数，则表示清除公网的 IKEv2 SA 信息。
tunnel tunnel-id：清除指定 IPsec 隧道的 IKEv2 SA 信息，tunnel-id 为 IPsec 隧道标识符，取值范
围为 1～2000000000。
71
fast：不等待对端的回应，直接删除本端的 IKEv2 SA。若不指定本参数，则表示需要在收到对端的
删除通知响应之后，再删除本端的 IKEv2 SA。
【使用指导】
清除 IKEv2 SA 时，会向对端发送删除通知消息，同时删除子 SA。
如果不指定任何参数，则删除所有 IKEv2 SA 及其协商生成的子 SA。
【举例】
# 删除对端地址为 1.1.1.2 的 IKEv2 SA。
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating EST: Established, DEL: Deleting
【相关命令】
 display ikev2 sa
1.11.41 sa duration
sa duration 命令用来配置 IKEv2 SA 的生命周期。
undo sa duration 命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKEv2 SA 的生命周期为 86400 秒。
【视图】
network-admin
mdc-admin
【参数】
seconds：IKEv2 SA 的生命周期，取值范围为 120～86400，单位为秒。
72
【使用指导】
在一个 IKEv2 SA 的生命周期到达之前，可以用该 IKEv2 SA 进行其它 IKEv2 协商。因此一个生命
周期较长的 IKEv2 SA 可以节省很多用于重新协商的时间。但是，IKEv2 SA 的生命周期越长，攻击
者越容易收集到更多的报文信息来对它实施攻击。
本端和对端的 IKEv2 SA 生命周期可以不一致，也不需要进行协商，由生命周期较短的一方在本端
IKEv2 SA 生命周期到达之后发起重协商。
【举例】
# 配置 IKEv2 SA 的生命周期为 1200 秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相关命令】
display ikev2 profile
2 新增特性－ License 客户端

2.1 License 客户端配置
H3C License Server（授权服务器）是 H3C 推出的一款授权管理软件，具有集中管理授权、集中分
发授权等功能。客户端与 License server 建立连接并通过认证后，可以从服务器端获取相应的授权
并安装。
2.1.1 授权服务器端配置
1.登录 License server
(1) 在使用 License server 前请确保已成功安装 License server 软件，具体安装步骤请参见《H3C
License server 安装指导》。
(2) 成功安装 License server 之后，请通过以下方式登录：
在浏览器中输入 License server 的 GUI 登录地址（格式为：
http://lics_ip_address:8090/licsmanager/，
如 http://172.16.0.227:8090/licsmanager/）
 lics_ip_address 为 License server 软件安装所在服务器或虚拟机的 IP 地址；
 8080 为缺省端口号。
(3) 在登录界面输入用户名和密码（缺省均为 admin）登录系统。
2.配置 License server 并安装激活文件
(1) 登录系统后，在[用户端管理/用户配置]页面添加客户端连接 License server 时使用的用户名
和密码。
(2) 通过以下方式在 License server 上安装授权，：
a. 购买授权书，获得授权码。
73
b. 在 License server 的[授权管理/激活文件管理]页面，单击<导出 DID>按钮，将 DID 文件下
载到本地。
c. 登录 H3C 网站（http://www.h3c.com.cn/Service/Authorize_License），根据产品类型、
授权码、DID 申请激活文件。
 如果设备第一次安装 License，请在导航栏中选择<License 首次激活申请>；
 如果设备上已经安装过 License，但需要对设备进行规模扩容、功能扩展、时限延长等，
请在导航栏中选择<License 扩容激活申请>。扩容激活和首次激活配置步骤相同，也需要
购买授权书。
(3) 将激活文件下载到本地，并在 License server 的[授权管理/激活文件管理]页面单击<安装激活
文件>按钮，为 License server 安装激活文件。
2.1.2 客户端使能授权服务器配置
为保证安全性，客户端设备需要先配置连接 License server 使用的 IP 地址和端口，并指定访问时需
要验证的用户名和密码。客户端与 License server 成功建立连接之后才可向 License server 申请授
权。
表15 使能授权服务器
操作命令说明
license server ipv4 ipv4-address port

配置授权服务器的地址和端口 -
port-number
license client username user-name password

配置用户名和密码 -
{ simple | cipher } password
配置使能License客户端功能 license client enable
2.1.3 客户端获取授权配置
客户端使能 License 授权服务后，客户端直接从 License server 上获取 License 并安装相应授权。
表16 客户端获取授权
操作命令说明
license client { install | uninstall } standard { 1cpu | 2cpu |

向 License server 申请
4cpu | 1vcpu-1year | 1vcpu-3year | 1vcpu-permanent | 缺省情况下，未安
授权并安装基础 4vcpu-1year | 4vcpu-3year | 4vcpu-permanent | 装基础License
License 8vcpu-1year | 8vcpu-3year | 8vcpu-permanent }
向 License server 申请
license client { install | uninstall } feature { bras-1cpu | 缺省情况下，未安
授权并安装特性
bras-2cpu | bras-4cpu | bras-4vcpu | bras-8vcpu } 装特性License
License（可选）（VSR）
74
2.1.4 客户端显示和维护
完成上述配置后，在任意视图下通过执行 display 命令可以显示客户端 License 的相关信息，查看
显示信息验证配置的结果。
表17 License 客户端管理显示和维护
操作命令
显示License server的配置信息和获取到的授
display license client
权信息（独立运行模式）
显示License server器的配置信息和获取到的
display license client slot slot-number
授权信息（IRF模式）
2.2 License 客户端命令

2.2.1 display license client
display license client 命令用来显示设备作为 License 客户端时的配置信息和获取到的授权信息。
【命令】
独立运行模式：
display license client
IRF 模式：
display license client slot slot-number
【视图】
任意视图
network-admin
network-operator
【举例】
# 显示 License client 和服务器建立连接后获取到的授权信息。
<Sysname> display license client
Username: user
Ciphertext password: ******
License server's IPv4 address: 192.168.3.124, port: 5001
License client: Enabled
Connection status: Connected
License name: OPT

License data: Usercount=3, Content=ON
License description: OPT License
Get licensed time: 2015-03-05 17:52:44
License name: OSPF

License data: Count=3, Content=”a=1 b=2 c=”
75
License description: OSPF License
Get licensed time: 2015-03-05 17:53:57
表18 display license client 命令显示信息描述表
字段描述
Username 认证用户名，如未指定则显示为Not configured
Ciphertext
认证用户密文密码，如未指定则显示为Not configured
password
License server's
授权服务器IPv4地址信息，如未指定则显示为Not configured
IPv4 address
Port 授权服务器端口信息，如未指定则显示为Not configured
License client的状态信息，取值为：
License client Enabled：License client处于使能状态
Disabled：License client处于未使能状态
连接状态信息，取值为：
Connection  Connected：与服务器建立连接
status  Disconnected：与服务器断开连接
 Connecting：连接已经建立，等待验证用户名密码
License name 授权的名称
授权的内容：
 Count：表示客户端从 License Server 请求到对应授权的数量。此授权为不可回收的授权
License data  Usercount：表示客户端从 License Server 请求到对应授权的数量。此授权为可回收的授

权，在客户端不需要的时候，断开和 License 服务器的链接，即可释放授权供其它客户端
使用
 Content：授权中携带的参数，供特性模块使用
License
授权的描述信息
description
Get licensed
授权的获取时间
time
【相关命令】
 display license feature
2.2.2 license server ipv4

license server ipv4 命令用来配置 License 授权服务器的 IPv4 地址和端口。
undo license server ipv4 命令用来取消配置 License 授权服务器的 IPv4 地址和端口。
【命令】
license server ipv4 ip-address port port-number
undo license server ipv4 ipv4-address
76
【缺省情况】
未配置 License 授权服务器的 IPv4 地址和端口。
【视图】
系统视图
network-admin
【参数】
ip-address：License 授权服务器的 IPv4 地址。
port-number：License 授权服务器的端口号，取值范围为 1～65535。
【使用指导】
设备只能配置一个 License 授权服务器。
在使能 License 客户端功能前，多次配置该命令，最新的配置生效。
在使能 License 客户端功能后，需要先关闭 License 客户端功能，才能修改 License 授权服务器的
地址和端口。
【举例】
# 配置 License 授权服务器的地址和端口号分别为 192.168.100.1 和 5001。
[Sysname] license server ipv4 192.168.100.1 port 5001
【相关命令】
 license client username
 license client enable
2.2.3 license client username

license client username 命令用来配置客户端连接 License 授权服务器所使用的用户名和密码。
undo license client username 命令用来取消配置客户端连接 License 授权服务器所使用的用户名
和密码。
【命令】
license client username username password { cipher | simple } password
undo license client username
【缺省情况】
客户端没有配置连接 License 授权服务器时使用的用户名和密码。
【视图】
系统视图
network-admin
77
【参数】
username：认证用户名，为 1～31 个字符的字符串，区分大小写。
cipher：以密文方式设置密码。
simple：以明文方式设置密码。
password：设置的明文或密文认证密码，区分大小写。明文认证密码为 1～31 个字符的字符串；密
文认证密码为 33～73 个字符的字符串。
【使用指导】
 客户端设备只能配置一个用于连接 License 授权服务器的用户名和密码。
 在开启 License 客户端功能前，多次配置该命令，新配置生效。
 在开启 License 客户端功能后，需要先关闭 License 客户端功能，才能修改用户名和密码。
【举例】
# 配置客户端访问 License 授权服务器时使用的用户名为 test，密码为 123456。
[Sysname] license client username test password simple 123456
【相关命令】
 license server ipv4
2.2.4 license client enable

license client enable 命令用来使能 License 客户端功能。
undo license client enable 命令用来取消使能 License 客户端功能。
【命令】
license client enable
undo license client enable
【缺省情况】
未使能 License 客户端功能，客户端不能从 License 授权服务器获取授权。
【视图】
系统视图
network-admin
【使用指导】
 请先配置 License 授权服务器的 IP 地址和用户名密码，再使能 License 客户端功能。否则配
置失败。
 配置该命令后，设备会自动向 License 授权服务器发起连接，License 授权服务器会对设备进
行身份认证。如果用户名和密码正确，则认证成功，License 授权服务器将为设备授权。设备
获得授权后，可以使用授权对应的特性。
78
【举例】
# 开启 License 客户端功能。
[Sysname] license client enable
【相关命令】
2.2.5 license client install standard

license client install standard 命令用来向 License server 申请授权并安装基础 License。
license client uninstall standard 命令用来卸载基础 License 并释放授权信息。
【命令】
license client { install | uninstall } standard { 1cpu | 2cpu | 4cpu | 1vcpu-1year | 1vcpu-3year |
1vcpu-permanent | 4vcpu-1year | 4vcpu-3year | 4vcpu-permanent | 8vcpu-1year |
8vcpu-3year | 8vcpu-permanent }
【缺省情况】
设备未安装基础 License。
【视图】
系统视图
network-admin
【参数】
install：申请授权并安装 License。
uninstall：卸载 License 并释放授权信息。
1vcpu-1year：授权设备可使用的虚拟 CPU 个数为 1 个，有效期为 1 年。该参数仅支持 VSR1000
设备。
1vcpu-3year：授权设备可使用的虚拟 CPU 个数为 1 个，有效期为 3 年。
1vcpu-permanent：授权设备可使用的虚拟 CPU 个数为 1 个，且永久生效。
1cpu：授权设备可使用的物理 CPU 个数为 1 个。该参数仅支持 VSR2000 设备。
79
1vcpu：授权设备可使用的虚拟 CPU 个数为 1 个。
【使用指导】
未获得该 License 授权的设备拥有较差的数据处理性能。通过基础 License 可以扩展设备的处理性
能及控制相应功能的使用期限。
需要注意的是：
 重复申请相同类型的授权，以最后一次申请成功的授权为准。
 获得该类型授权的设备，还可以申请其他类型的授权。
 当 License 申请失败时，设备会周期性向 License server 发起授权申请。
 当设备卸载 License 并释放授权后，License server 将回收授权信息。回收的授权信息可以继
续向其他设备授权。
【举例】
# 客户端向 License server 申请并安装“1vCPU 1 年期”类型的基础 License。
[Sysname] license client install standard 1vcpu-1year
【相关命令】
2.2.6 license client install feature

license client install feature 命令用来向 License server 申请授权并安装特性 License。
license client uninstall feature 命令用来卸载特性 License 并释放授权信息。
【命令】
license client { install | uninstall } feature { bras-1cpu | bras-2cpu | bras-4cpu | bras-4vcpu |
bras-8vcpu }
【缺省情况】
设备未安装特性 License。
【视图】
系统视图
network-admin
【参数】
install：请求并安装 License。
uninstall：卸载 License 并释放授权信息。
bras-4vcpu：授权设备的 BRAS 特性，同时要求设备的 BRAS 特性可用的虚拟 CPU 个数为 4 个。
80
bras-8vcpu：授权设备的 BRAS 特性，同时要求设备的 BRAS 特性可用的虚拟 CPU 个数为 8 个。
bras-1cpu：授权设备的 BRAS 特性，同时要求设备的 BRAS 特性可用的物理 CPU 个数为 1 个。
【使用指导】
通过该特性 License 可以控制设备 BRAS 特性的接入性能和使用的期限。设备的 BRAS 特性可用的
虚拟或物理 CPU 个数由基础 License 控制。当基础 License 授权设备可用的虚拟或物理 CPU 个数
与特性 License 要求的 CPU 个数不同时，特性 License 将安装失败。
需要注意的是：
 只有在已安装基础 License 的情况下，安装该特性 License 才能生效。
 重复申请相同类型的授权，以最后一次申请成功的授权为准。
 当 License 申请失败时，设备会周期性向 License server 发起授权申请。
 当设备卸载 License 并释放授权后，License server 将回收授权信息。回收的授权信息可以继
续向其他设备授权。
【举例】
# 设备向 License server 申请并安装 4vCPU 类型的 BRAS 特性 License。
[Sysname] license client install feature bras-4vcpu
【相关命令】
 license client install standard
3 变更特性－ SSHv2
命令行参数新增约束。
3.2.1 修改- gre key
【命令】
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type
{ password | { any | password-publickey | publickey } assign { pki-domain domain-name |
publickey keyname } }
81
【视图】
系统视图
【修改说明】
新增特性约束: ssh user 配置用户名不能包括符号“\”
、“|”、
“/”、
“:”
、“*”、
“?”、
“<”、
“>”和“@”
，
且不能为“a”、“al” 、“all”。
【配置恢复影响】
原有包含上述配置的用户名文本无法恢复，这些用户名的配置实际上是没有用的，local-user 无法
配置，原来即使存在也是无效配置。
82
H3C
VSR1000&VSR2000_H3C-CMW710-E0321-X64
版本
VSR2000 版本首次发布。
VSR1000 版本特性变更情况如下：
 新增特性—IRF
 新增特性 — 冗余组
 新增特性 — AFT
 新增特性 — Monitor Link
 新增特性—服务链
 新增特性—OpenFlow
 变更特性—负载均衡
 变更特性－OSPF
 变更特性－Portal
1 新增特性—IRF
IRF（Intelligent Resilient Framework，智能弹性架构）是 H3C 自主研发的软件虚拟化技术。它的
核心思想是将两台设备连接在一起，进行必要的配置后，虚拟化成一台设备。主设备负责业务处理
以及 IRF 的运行、管理和维护，从设备作为业务备份，增强系统可靠性。
1.1 支持IRF配置
请参考 VSR 请参照用户手册进行配置和使用。
1.2 支持IRF命令
2 新增特性 — 冗余组
以太网冗余接口（Redundant Ethernet，Reth）是一种三层虚拟接口。一个以太网冗余接口中包含
两个成员接口，这两个成员接口的类型可以为：三层以太网接口、三层 GigabitEthernet 接口、三层
Ten-GigabitEthernet 接口、三层聚合接口及上述接口的子接口。使用以太网冗余接口不但可以实现
两个接口之间的备份，还可以实现两个聚合接口之间的备份。
83
一个冗余组包含两个冗余组节点以及若干冗余组成员，冗余组成员可以是以太网冗余接口和（或）
备份组。一个冗余组节点和一台成员设备绑定，冗余组成员则部署在冗余组节点绑定的成员设备上，
冗余组成员的主备状态必须和冗余组节点的主备状态保持一致。
2.1 支持冗余组配置
2.2 支持冗余组命令
3 新增特性 — AFT
AFT（Address Family Translation，地址族转换）提供了 IPv4 和 IPv6 地址之间的相互转换功能。
在 IPv4 网络完全过渡到 IPv6 网络之前，两个网络之间直接的通信可以通过 AFT 来实现。例如，使
用 AFT 可以使 IPv4 网络中的主机直接访问 IPv6 网络中的 FTP 服务器。
3.1 支持AFT配置
3.2 支持AFT命令
4 新增特性 — Monitor Link

Monitor Link 是一种接口联动方案，通过监控设备的上行接口，根据其 up/down 状态的变化来触发
下行接口 up/down 状态的变化，从而触发下游设备上的拓扑协议进行链路的切换。
4.1 支持Monitor Link配置

4.2 支持Monitor Link命令

5 新增特性—服务链
服务链（Service Chain）是一种引导网络业务报文按次序通过服务节点（Service Node）的转发技
术。服务链基于 Overlay 技术，结合 SDN（Software Defined Network，软件定义网络）集中控制
理论，可以通过 VCFC（VCF Controller）进行配置。
84
服务链具有如下功能：
 实现租户逻辑组网与物理组网的解耦，控制平面和网络转发平面的分离。
 实现业务资源池化，即将不同物理位置的资源进行整合，根据租户网络需求进行分配和部署，
突破物理拓扑的限制，为每个租户提供个性化的业务。
 实现 NFV（Network Function Virtualisation，网络功能虚拟化）资源池的动态创建和自动化
部署。
 实现租户业务的灵活编排和修改，而不会影响物理拓扑和其他租户。
 根据服务链应用的位置和对象的不同，可以将服务链分为设备内服务链和设备间服务链。
5.1 支持服务链配置
5.2 支持服务链命令
6 新增特性—OpenFlow
OpenFlow 是 SDN（Software Defined Network，软件定义网络）架构中定义的一个控制器与转发
层之间的通信接口标准。OpenFlow 允许控制器直接访问和操作网络设备的转发平面，这些网络设
备可能是物理上的，也可能是虚拟的。
OpenFlow 的思想是分离控制平面和数据平面，二者之间使用标准的协议通信；数据平面采用基于
流的方式进行转发。
OpenFlow 网络由 OpenFlow 设备（Switch）和控制器（Controller）通过安全通道（OpenFlow channel）
组成。VSR 与 Controller 通过 TLS 或者 TCP 建立安全通道，进行 OpenFlow 消息交互，实现表项
下发、查询以及状态上报等功能。
6.1 支持OpenFlow配置
6.2 支持服务链命令
85
7 变更特性—负载均衡
7.1.1 新增七层服务器负载均衡功能
除了可识别网络层和传输层信息之外，还可识别应用层信息，是基于内容的负载均衡，通过对报文
承载的内容进行深度解析，根据其中的内容进行逐包分发，按既定策略将连接导向指定的服务器，
从而实现了业务范围更广泛的服务器负载均衡。
7.1.2 新增出方向链路负载均衡功能
出方向链路负载均衡功能可在多条链路上分担内网用户访问外部互联网的流量。
7.1.3 新增双机热备功能
支持 LB 会话扩展信息的双机热备的功能，目前在除 HTTP 类型的虚服务器外，LB 都可以进行会话
扩展信息的备份，包括实备与批备。
支持持续性表项的双机热备功能，目前所有类型的虚服务器均可进行持续性表项的备份，包括批备
与实备。
7.1.4 新增 VPN 功能
支持在指定 VPN 下进行负载均衡的功能，暂时不支持跨 VPN 的功能。
8 变更特性－OSPF
8.1.1 新增 DCN 功能
DCN（Data Communication Network，数据通信网）是指 NMS（Network Management System，
网络管理系统）和网元间传送 OAM（Operation, Administration and Maintenance，操作、管理和
维护）信息的网络，是运营商为了管理设备而建设的。配置了 DCN 功能后，NMS 可以通过网关网
元管理 DCN 网络中的所有网元。
在 DCN 网络中，所有的网元需要运行在 OSPF 进程（进程 ID 为 65535）和该进程下的区域 0 中。
原有版本：不支持该功能。
修改后的版本：支持该功能。
升级影响：不影响升级。
86
9 变更特性－Portal
9.1.1 新增基于 MAC 地址的快速认证
在 Portal 认证环境中，对于需要频繁接入网络的合法用户，可以通过基于 MAC 地址的快速认证功
能，使用户无需手工输入认证信息便可以自动完成 Portal 认证。
基于 MAC 地址的快速认证又称为 MAC Trigger 认证或无感知认证，该方式需要在网络中部署 MAC
绑定服务器。MAC 绑定服务器用于记录用户的 Portal 认证信息（用户名、密码）和用户终端的 MAC
地址，并将二者进行绑定，以便代替用户完成 Portal 认证。
87
H3C VSR1000_H3C-CMW710-E0314-X64 版本
 新增特性 — IPoE
 新增特性 — WAAS
 新增特性 — VXLAN
 新增特性 — ADVPN
 新增特性 — LLDP
 变更特性－ BGP
 变更特性－ SSHv2
 变更特性－ EVI-MAC
 变更特性－ ACL
 变更特性－ AAA
 变更特性－ NTP
 删除特性 — 无
88
1 新增特性 — IPoE
BRAS（Broadband Remote Access Server，宽带远程接入服务器）系统具有灵活的接入方式、有
效的地址管理功能、强大的用户管理功能，并能提供丰富灵活的业务及控制功能，用于实现宽带城
域网解决方案。BRAS 接入设备可以作为各类接入用户的认证、计费网关，以及用户的业务控制网
关。目前的 BRAS 接入设备主要提供 PPPoX 和 IPoX 两种接入服务。其中，PPPoX 接入是指用户
通过 PPP 拨号接入， IPoX 接入是指通过 DHCP 报文触发或者 IP 报文触发等方式接入。IPoE（IP over
Ethernet）为 IPoX 中的一种常见的接入方式。
在 IPoE 接入方式中，用户从以太网链路接入，用户的 IP 报文经过以太网封装后到达 BRAS 接入设

备，由 BRAS 接入设备对用户进行基于接入位置信息或报文特征的身份认证，用户身份认证通过后
由 AAA 服务器授权相应的访问权限。对于 IPv4/IPv6 接入用户，若用户采用 DHCP 方式动态获取
IP 地址，则从 DHCP 服务器得到分配的 IP 地址；对于 IPv6 接入用户，若用户采用无状态自动配置
方式获取 IP 地址，则根据从接入设备获取的 IPv6 地址前缀生成 IPv6 地址。用户无需安装客户端软
件，无需拨号，认证成功后可以直接访问外网。
1.1 支持IPoE配置
1.2 支持IPoE命令
2 新增特性 — WAAS
WAAS（Wide Area Application Services，广域网应用服务）是能够对 WAN 链路流量提供优化的
一种广域网技术。WAAS 设备可以通过配置优化动作，改善 WAN 链路高延迟、低带宽的缺点。相
互通信的 WAAS 设备在 TCP 三次握手过程中，通过 TCP 选项协商两端优化动作。WAAS 优化动
作包括：
 TFO（Transport Flow Optimization，透明流优化）
 DRE（Data Redundancy Elimination，数据冗余消除）
 LZ（Lempel-Ziv compression，LZ 压缩）
2.1 支持WAAS配置
2.2 支持WAAS命令
89
3 新增特性 — VXLAN
VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网络）是基于 IP 网络、采用“MAC in UDP”封
装形式的二层 VPN 技术。VXLAN 可以基于已有的服务提供商或企业 IP 网络，为分散的物理站点
提供二层互联，并能够为不同的租户提供业务隔离。VXLAN 主要应用于数据中心网络。
VXLAN 具有如下特点：
 支持大量的租户：使用 24 位的标识符，最多可支持 2 的 24 次方（16777216）个 VXLAN，
支持的租户数目大规模增加，解决了传统二层网络 VLAN 资源不足的问题。
 易于维护：基于 IP 网络组建大二层网络，使得网络部署和维护更加容易，并且可以充分地利
用现有的 IP 网络技术，例如利用等价路由进行负载分担等；只有 IP 核心网络的边缘设备需要
进行 VXLAN 处理，网络中间设备只需根据 IP 头转发报文，降低了网络部署的难度和费用。
目前，设备只支持基于 IPv4 网络的 VXLAN 技术，不支持基于 IPv6 网络的 VXLAN 技术。
3.1 支持VXLAN配置
3.2 支持VXLAN命令
4 新增特性 — ADVPN
ADVPN（Auto Discovery Virtual Private Network，自动发现虚拟专用网络）是一种基于 VAM（VPN
Address Management，VPN 地址管理）协议的动态 VPN 技术。VAM 协议负责收集、维护和分发
动态变化的公网地址等信息，采用 Client/Server 模型。ADVPN 网络中的节点（称为 ADVPN 节点）
作为 VAM Client。当公网地址变化时，VAM Client 将当前公网地址注册到 VAM Server。ADVPN
节点通过 VAM 协议从 VAM Server 获取另一端 ADVPN 节点的当前公网地址，从而实现在两个节点
之间动态建立跨越 IP 核心网络的 ADVPN 隧道。
在企业网各分支机构使用动态地址接入公网的情况下，可以利用 ADVPN 在各分支机构间建立 VPN。
4.1 支持ADVPN配置
4.2 支持ADVPN命令
5 新增特性 — LLDP
目前，网络设备的种类日益繁多且各自的配置错综复杂，为了使不同厂商的设备能够在网络中相互
发现并交互各自的系统及配置信息，需要有一个标准的信息交流平台。
90
LLDP（Link Layer Discovery Protocol，链路层发现协议）就是在这样的背景下产生的，它提供了
一种标准的链路层发现方式，可以将本端设备的信息（包括主要能力、管理地址、设备标识、接口
标识等）组织成不同的 TLV（Type/Length/Value，类型/长度/值），并封装在 LLDPDU（Link Layer
Discovery Protocol Data Unit，链路层发现协议数据单元）中发布给与自己直连的邻居，邻居收到
这些信息后将其以标准 MIB（Management Information Base，管理信息库）的形式保存起来，以
供网络管理系统查询及判断链路的通信状况。有关 MIB 的详细介绍，请参见“网络管理和监控配置
指导”中的“SNMP”
。
5.1 支持LLDP配置
5.2 支持LLDP命令
6 变更特性－ BGP
6.1.1 修改特性缺省值
原有版本：各协议产生的聚合路由不能被其他协议引入。
修改后的版本：各协议产生的聚合路由可以被其他协议引入。
升级影响：需要确认之前是否配置了聚合，以及该聚合路由是否应该被其他协议引入。
6.1.2 修改命令依赖
原有版本：BGP 用 LOOPBACK 口建 EBGP 邻居时，只需要配置 connect-interface，不需要配置
ebgp-max-hop。
修改后的版本：BGP 用 LOOPBACK 口建 EBGP 邻居，除了需要配置 connect-interface，还需要
配置 ebgp-max-hop。
升级影响：原有 BGP 使用 LOOPBACK 口建立的 EBGP 邻居，
升级后需要补充配置 ebgp-max-hop。
无命令变更。
91
7 变更特性－ SSHv2
7.1.1 修改特性缺省值
原有版本：缺省情况下，SSH 服务器兼容 SSH1 版本的客户端。
修改后的版本：出于安全性考虑，新版本缺省情况下，SSH 服务器不兼容 SSH1 版本的客户端。
升级影响：默认不支持 SSHv1 客户端，需要通过正向配置后可以兼容。
无命令变更。
8 变更特性－ EVI-MAC
命令行变更。
8.2.1 修改- gre key
【原命令】
gre key [ key-number | network-id ]
【修改后的命令】
gre key [ key-number | vlan-id ]
【视图】
隧道视图
【修改说明】
与 105 设备互通，gre key 字段保存 vlan-id。
network-id 恢复为 vlan-id。
92
9 变更特性－ ACL
9.1.1 新增可用性功能
原有版本：接口包过滤默认使能规则匹配统计功能，不需要专门配置 counting 参数。
修改后的版本：接口包过滤默认不使能规则匹配统计功能，需要配置 counting 参数才能使能统计功
能。
升级影响：不影响升级。
无命令变更。
10 变更特性－ AAA
命令行变更。
10.2.1 修改- authorization-attribute
【原命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute |
ip ipv4-address | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix
prefix-length | { primary-dns | secondary-dns } { ip ip-address | ipv6 ipv6-address } | url url-string
| user-profile profile-name | user-role role-name | vlan vlan-id | vpn-instance
vpn-instance-name | work-directory directory-name } *
命令格式不变
【视图】
本地用户视图/用户组视图
【修改说明】
profile-name 字符串最大长度改为 31, 名称只能包含英文字母[a-z,A-Z]、数字、下划线，且必须以
英文字母开始，区分大小写。将参数 work-directory 的长度最大值从 512 变小成 255。
93
如果原来 profile-name 配置的是长度为 32 的字符串，升级版本后使用文本配置恢复后该配置会丢
失。使用二进制配置恢复会截取前 31 个字符作为 profile-name 恢复配置。
11 变更特性－ NTP
命令行变更。
11.2.1 修改- ntp-service inbound
【原命令】
ntp-service inbound disable
undo ntp-service inbound disable
ntp-service inbound enable
undo ntp-service inbound enable
【视图】
接口视图
【修改说明】
ntp-service inbound enable 命令用来配置处理收到的 NTP 报文。
undo ntp-service inbound enable 命令用来配置不处理收到的 NTP 报文。
不影响配置恢复，可以兼容的配置恢复。
11.2.2 修改- ntp-service ipv6 inbound

【原命令】
ntp-service ipv6 inbound disable
undo ntp-service ipv6 inbound disable
ntp-service ipv6 inbound enable
undo ntp-service ipv6 inbound enable
【视图】
接口视图
94
【修改说明】
ntp-service ipv6 inbound enable 命令用来配置接口处理收到的 IPv6 NTP 报文。
undo ntp-service ipv6 inbound enable 命令用来配置接口不处理收到的 IPv6 NTP 报文。
不影响配置恢复，可以兼容的配置恢复。
95
本版本特性变更情况如下：
 新增特性 — 支持 VMware 平台 OVF 初始化部署
 新增特性—Ethernet Virtual Interconnect（EVI）
 新增特性 — 控制平面性能增强
 新增特性 — MTR（Multi-Topology Routing）
 新增特性—安全域（Security Zone）
 变更特性－ MPLS TE 特性
 变更特性－ Firewall-AttackDefend 特性
 变更特性－ FIB4/FIB6 特性
 变更特性－ BGP 特性
 变更特性－接口管理
 变更特性－ APR、NAT 业务
96
1 新增特性 — 支持 VMware 平台 OVF 初始化部署
VSR 产品在 VMware 平台下 OVF 初始化部署是对 VSR 产品部署的一个增强和完善，可以帮助用
户更方便地安装、配置 VSR。在 VMware vCenter 环境中，使用 VSR OVA 模板来安装 VSR 时，
会给用户提供一个 GUI 界面，帮助用户对 VSR 进行基础的配置，以便在部署完成后，能够通过远
程管理平台来直接管理 VSR。通过执行 VSR 自动化部署工具 vd_deploy.sh，可以实现：
 远程部署：将 VSR OVA 模板部署到指定的 VMware vCenter 管理下的虚拟机中，并能在安装
的同时对 VSR 进行基础配置、对 VSR 运行的虚拟机资源进行修改；
 模板定制：在 VSR OVA 模板基础上，对 VSR 的基础配置、运行的虚拟机资源进行修改，来
定制符合用户需求的 VSR OVA 模板，以进行分发和安装；
 二次开发：调用 VSR 自动部署工具 vd_deploy.sh，进行二次开发，可以实现对 VSR 的自动
化批量部署。
1.1 VMware平台OVF初始化部署配置
请参考 VSR 自动化部署工具本身自带的配置和使用说明。
1.2 VMware平台OVF初始化部署命令
无新增命令。
2 新增特性—Ethernet Virtual Interconnect（EVI）

EVI（Ethernet Virtual Interconnect，以太网虚拟化互联）是一种先进的“MAC in IP”技术，是一
种基于 IP 核心网的二层 VPN 技术。它可以基于现有的服务提供商网络和企业网络，为分散的物理
站点提供二层互联功能。EVI 只是在站点的边缘设备上维护路由和转发信息，无需改变站点内部和
IP 核心网络的路由和转发信息。
EVI 技术具有如下优点：
 站点间相互独立：站点间二层互联后，某个站点的故障（如广播风暴）不会传递到其它站点，
不同站点的拓扑互不影响和依赖；
 技术要求低：只要求服务提供商网络支持 IP 即可，无其它特殊技术要求。
 高可靠性：使用多归属来提供站点的冗余接入，并具有在站点间避免流量环路的机制。
 高链路使用效率：站点之间的组播和广播流量得到充分的优化从而节省带宽，在有冗余链路时
可以实现负载分担。
 灵活性：站点间二层互联不依赖于站点的拓扑结构，对站点拓扑结构没有特殊要求。
 运营维护简单、成本低廉：只需要在站点边缘部署一个或多个支持 EVI 功能的设备，企业网
络和服务提供商网络无需做任何变动。并且站点边缘设备上的配置简单，部署过程对流量转发
不产生影响。
备注：如果要使能 EVI 特性，需要单独购买 DCI License 许可。
97
2.1 Ethernet Virtual Interconnect（EVI）配置
2.2 Ethernet Virtual Interconnect（EVI）命令

3 新增特性 — 控制平面性能增强
可以通过分配更多 CPU 资源，以增强 VSR 控制平面的性能。
备注：如果要增强控制平面性能，需要单独购买 ECP License 许可。
3.1 控制平面性能增强配置
3.2 控制平面性能增强命令
4 新增特性 — MTR（Multi-Topology Routing）

MTR（Multi-Topology Routing，多拓扑路由）是指将一个物理拓扑划分成多个逻辑的拓扑，这些逻
辑的拓扑可能是交叉或者重叠的。不同拓扑运行各自的路由计算，实现网络的互通。
例如，IS-IS MTR 就是指在一个 IS-IS 自治域内运行多个独立的 IP 拓扑，例如 IPv4 拓扑和 IPv6 拓
扑，而不是将它们视为一个集成的单一拓扑。这有利于 IS-IS 在路由计算中根据实际组网情况来单
独考虑 IPv4 和 IPv6 网络。
4.1 MTR（Multi-Topology Routing）配置

4.2 MTR（Multi-Topology Routing）命令

5 新增特性—安全域（Security Zone）
安全域（Security Zone）
，是一个逻辑概念，用于管理防火墙设备上安全需求相同的多个接口。管
理员将安全需求相同的接口进行分类，并划分到不同的安全域，能够实现安全策略的统一管理。
传统防火墙的安全策略配置通常是基于报文入接口、出接口的，进入和离开接口的流量基于接口上
指定方向的策略规则进行过滤。这种基于接口的策略配置方式需要为每一个接口配置安全策略，给
98
网络管理员带来配置和维护上的负担。随着防火墙技术的发展，防火墙已经逐渐摆脱了只连接外网
和内网的角色，出现了内网/外网/DMZ（Demilitarized Zone，非军事区）的模式，并且向着提供高
端口密度服务的方向发展。基于安全域来配置安全策略的方式可以解决上述问题。
一个安全域中，可以包含多个三层物理接口和逻辑接口，也可以包括多个二层物理接口及对应的
VLAN，或者包含多个 VLAN。例如，可以将公司防火墙设备上连接到研发部门不同网段的四个接
口加入安全域 Zone_RND，连接服务器区的两个接口加入安全域 Zone_DMZ，这样管理员只需要
部署这两个域之间的安全策略即可，此处的安全策略包括包过滤策略、ASPF 策略、对象策略等。
如果后续网络环境发生了变化，则只需要调整相关域内的接口，而域间安全策略不需要修改。包过
滤策略的相关配置请参考“ACL 和 QoS 配置指导”中的“ACL”
。ASPF 策略的相关配置请参考“安
全配置指导”中的“ASPF”。对象策略的相关配置请参考“安全配置指导”中的“对象策略” 。
5.1 安全域（Security Zone）配置

5.2 安全域（Security Zone）命令

6 变更特性－ MPLS TE 特性
命令行变更。
6.2.1 修改- mpls te
【原命令】
mpls te igp advertise [ hold-time value ]
undo mpls te igp advertise
mpls te igp advertise
undo mpls te igp advertise
【视图】
Tunnel-Bundle 接口视图
【修改说明】
捆绑口不实现 holdtime，捆绑口下的 holdtime 命令行裁减掉。
99
7 变更特性－ Firewall-AttackDefend 特性
命令行变更。
7.2.1 修改- blacklist ip
【原命令】
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer
ds-lite-peer-address ] [ timeout minutes ]
【视图】
系统视图
【修改说明】
配置黑名单时，允许指定 Ds-lite 隧道对端的 B4 地址以区分不同 B4。
7.2.2 修改- reset blacklist ip

【原命令】
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] | all }
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer
ds-lite-peer-address ] | all }
【视图】
系统视图
【修改说明】
清除动态添加的单个黑名单时，允许指定 Ds-lite 隧道对端的 B4 地址以区分不同 B4。
7.2.3 修改- XXX-flood detect

【原命令】
XXX-flood detect { ip ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
[ threshold rate-number ] [ action { client-verify | drop | logging } * ]
100
XXX-flood detect { ip ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
[ threshold rate-number ] [ action { { client-verify | drop | logging } * } | none ]
【视图】
攻击防范策略视图
【修改说明】
允许 Flood 保护 IP 配置 none 动作以表示该保护 IP 在检测出 Flood 攻击后不执行任何操作。
XXX-flood 表示各类 Flood(syn, synack 等）
。
8 变更特性－ FIB4/FIB6 特性
命令行变更。
8.2.1 修改- apply next-hop
【原命令】
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track
track-entry-number ] }&<1-n>
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track
track-entry-number ] [ weight weight-value ] }&<1-n>
【视图】
策略节点视图
【修改说明】
配置指定下一跳负载分担的权重。
9 变更特性－ BGP 特性
命令行变更。
101
9.2.1 修改- peer
【原命令】
peer { ip-address | ipv6-address } as-number as-number
peer { ip-address [ mask-length ] | ipv6-address [ prefix-length ] } as-number as-number
【视图】
BGP 视图
【修改说明】
设备的邻居位于同一个网段内，则可以通过 BGP 动态对等体功能简化配置。
10 变更特性－接口管理
命令行变更。
10.2.1 修改- ip address
【原命令】
ip address ip-address { mask-length | mask } [ sub ]
ip address ip-address { mask-length | mask } [ sub ]
【视图】
接口视图
【修改说明】
命令无变化，一个接口下可配置的总 IP 地址个数由 16 变成 256 个。
11 变更特性－ APR、NAT 业务
将 APR、NAT 业务所使用的协议名称进行了统一，具体变更如表 1。
102
表1 协议名称变更对应表
协议原命名其他命名统一后的命名
Domain Name Server dns domain dns
IBM Lotus Notes notes lotusnote notes
Routing Information Protocol rip router rip
Microsoft RPC msrpc epmap msrpc
H.323 Call Setup h225 h323hostcall h225
MSN Messenger msn-messenger msnp msn-messenger
H.323 Gatekeeper Registration

ras h323gatestat ras
Admission Status
Remote Shell Commands rsh shell rsh
Skinny Client Control Protocol sccp cisco-sccp sccp
X Window System x11 xwindows x11
Tencent QQ irdmi qq irdmi
SQL*NET for Oracle sqlnet ncube-lm sqlnet
上述特性变更所影响到的命令如下：
11.2.1 修改- display port-mapping

【原命令】
display port-mapping pre-defined
【视图】
User view
【修改说明】
部分应用协议名称变更，详细变更请参见 11.1 表 1。
11.2.2 修改- include application

【原命令】
include application application-name
【视图】
Application group view
【修改说明】
103
11.2.3 修改- port-mapping
【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
【视图】
System view
【修改说明】
11.2.4 修改- port-mapping acl

【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ] acl
[ ipv6 ] acl-number
acl [ ipv6 ] acl-number
【视图】
System view
【修改说明】
11.2.5 修改- port-mapping host

【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ] host
{ ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
【视图】
System view
【修改说明】
104
11.2.6 修改- port-mapping subnet
【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance
vpn-instance-name ]
subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance
vpn-instance-name ]
【视图】
System view
【修改说明】
11.2.7 修改- nat server

【原命令】
(1) 普通内部服务器
外网地址单一，未使用外网端口或外网端口单一
nat server protocol pro-type global { global-address | current-interface | interface
interface-type interface-number } [ global-port ] [ vpn-instance global-name ] inside local-address
[ local-port ] [ vpn-instance local-name ] [ acl acl-number ]
undo nat server protocol pro-type global { global-address | current-interface | interface
interface-type interface-number } [ global-port ] [ vpn-instance global-name ]
外网地址单一，外网端口连续
nat server protocol pro-type global { global-address | current-interface | interface interface-type
interface-number } global-port1 global-port2 [ vpn-instance global-name ] inside { { local-address
| local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance
local-name ] [ acl acl-number ]
undo nat server protocol pro-type global { global-address | current-interface | interface
interface-type interface-number } global-port1 global-port2 [ vpn-instance global-name ]
外网地址连续，未使用外网端口或外网端口单一
nat server protocol pro-type global global-address1 global-address2 [ global-port ]
[ vpn-instance global-name ] inside { local-address | local-address1 local-address2 } [ local-port ]
[ vpn-instance local-name ] [ acl acl-number ]
undo nat server protocol pro-type global global-address1 global-address2 [ global-port ]
[ vpn-instance global-name ]
外网地址连续，外网端口单一
105
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance
global-name ] inside local-address local-port1 local-port2 [ vpn-instance local-name ] [ acl
acl-number ]
undo nat server protocol pro-type global global-address1 global-address2 global-port
[ vpn-instance global-name ]
(2) 负载均衡内部服务器
nat server protocol pro-type global { { global-address | current-interface | interface
interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1
global-address2 global-port } [ vpn-instance global-name ] inside server-group group-number
undo nat server protocol pro-type global { { global-address | current-interface | interface
interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1
global-address2 global-port } [ vpn-instance global-name ] inside server-group group-number
【视图】
Interface view
【修改说明】
11.2.8 修改- nat dns-map

【原命令】
nat dns-map domain domain-name protocol pro-type { interface interface-type
interface-number | ip global-ip } port global-port
【视图】
System view
【修改说明】
106
H3C VSR1000_H3C-CMW710-R0202-X64 版本
 新增特性 — 支持 VirtIO 虚拟硬盘
 变更特性 — 无
1 新增特性 — 支持 VirtIO 虚拟硬盘

1.1 支持VirtIO虚拟硬盘配置
无新增命令。
1.2 支持VirtIO虚拟硬盘配置命令
无新增命令。
107
 新增特性 — 支持 Intel 82599 VF 网卡
 新增特性 — 支持 VMware ESXi 5.5 虚拟化平台
1 新增特性 — 支持 Intel 82599 VF 网卡

Intel 82599 网卡支持 SR-IOV（Single Root I/O Virtualization）技术规范，该网卡可以通过硬件虚
拟化让虚拟机（Virtual Machine）透过 Hypervisor 直接访问物理网卡的硬件 I/O，从而显著减少延
时和 CPU 占用率，并大幅度提升接口的吞吐量。
1.1 支持Intel 82599 VF网卡配置

如果需要使用 Intel 82599 VF 网卡，请参照用户手册进行配置和使用。
1.2 支持Intel 82599 VF网卡配置命令

无新增命令。
2 新增特性 — 支持 VMware ESXi 5.5 虚拟化平台

2.1 支持VMware ESXi 5.5虚拟化平台配置
无新增命令。
2.2 支持VMware ESXi 5.5虚拟化平台配置命令

无新增命令。
108
 新增特性 — 无
109
H3C VSR1000_H3C-CMW710-E0101P01-X64 版
本
 新增特性 — 无
110
 新增特性—VSR 多核支持
 新增特性－支持 VMXNET3 虚拟网卡
 新增特性－支持 VirtIO 虚拟网卡
 新增特性－支持 H3C CAS 虚拟平台
1 新增特性—VSR 多核支持
1.1 VSR多核支持配置
VSR 系统最大支持 8 个虚拟 CPU，当 VSR 的虚拟 CPU 数量为 2 个或 2 个以上时，控制平面使用
1 个虚拟 CPU，其他虚拟 CPU 将用于数据平面。VSR 所使用的虚拟 CPU 数量，在虚拟机管理平
台中，进行配置即可。
1.2 VSR多核支持配置命令
无新增命令。
2 新增特性－支持 VMXNET3 虚拟网卡

2.1 支持VMXNET3虚拟网卡配置
如果需要使用 VMXNET3 虚拟网卡，请在 VMware 虚拟机管理平台下，选择 VMXNET3 虚拟网卡。
2.2 支持VMXNET3虚拟网卡配置命令
无新增命令。
3 新增特性－支持 VirtIO 虚拟网卡

3.1 支持VirtIO虚拟网卡配置
如果需要使用 VirtIO 虚拟网卡，请在 KVM 虚拟机管理平台下，选择 VirtIO 虚拟网卡。
111
3.2 支持VirtIO虚拟网卡配置命令
无新增命令。
4 新增特性－支持 H3C CAS 虚拟平台

4.1 支持H3C CAS虚拟平台配置
该发布版本支持在 H3C CAS 虚拟平台上运行，具体配置请参考 CAS 虚拟平台的相关配置指导。
4.2 支持H3C CAS虚拟平台配置命令

无新增命令。
112
 无新增特性（新版本发布）
113

H3C VSR1000&VSR2000 - H3C-CMW710-E0322P01-X64 版本说明书（软件特性变更说明） PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

H3C VSR1000&VSR2000 - H3C-CMW710-E0322P01-X64 版本说明书（软件特性变更说明） PDF

Încărcat de

Drepturi de autor:

Formate disponibile

H3C

Copyright © 2016 杭州华三通信技术有限公司 版权所有，保留一切权利。

2 新增特性—策略路由匹配 QoS 本地 ID 值·············································································17

3 新增特性—配置 IP 报文 DF 标志位 ·····················································································18

4 新增特性—DHCP 地址池随机分配新地址功能 ······································································19

5 新增特性—对业务模块处理后的报文执行出方向 QoS 功能 ······················································21

6 新增特性—设备支持处理非广播 PADI 报文 ··········································································22

7 变更特性—Radius 属性支持下发多个隧道服务器端地址 ·························································23

H3C VSR1000&VSR2000_H3C-CMW710-E0321P01-X64 版本 ···················································1

2 新增特性－ License 客户端·······························································································73

H3C VSR1000&VSR2000_H3C-CMW710-E0321-X64 版本 ······················································83

2 新增特性 — 冗余组 ·········································································································83

3 新增特性 — AFT ············································································································84

4 新增特性 — Monitor Link··································································································84

9 变更特性 －Portal ···········································································································87

H3C VSR1000_H3C-CMW710-E0314-X64 版本 ·····································································88

2 新增特性 — WAAS ·········································································································89

3 新增特性 — VXLAN ········································································································90

5 新增特性 — LLDP ··········································································································90

8 变更特性 － EVI-MAC ·····································································································92

9 变更特性 － ACL ············································································································93

10 变更特性 － AAA ··········································································································93

11 变更特性－ NTP ···········································································································94

H3C VSR1000_H3C-CMW710-E0301-X64 版本 ·····································································96

2 新增特性—Ethernet Virtual Interconnect（EVI） ··································································97

3 新增特性 — 控制平面性能增强 ··························································································98

4 新增特性 — MTR（Multi-Topology Routing） ······································································98

5 新增特性—安全域（Security Zone） ··················································································98

6 变更特性－ MPLS TE 特性 ·······························································································99

7 变更特性－ Firewall-AttackDefend 特性··············································································100

8 变更特性－ FIB4/FIB6 特性······························································································101

9 变更特性－ BGP 特性 ·····································································································101

11 变更特性－ APR、NAT 业务 ··························································································102

H3C VSR1000_H3C-CMW710-R0202-X64 版本 ····································································107

H3C VSR1000_H3C-CMW710-E0201-X64 版本 ····································································108

2 新增特性 — 支持 VMware ESXi 5.5 虚拟化平台 ···································································108

H3C VSR1000_H3C-CMW710-E0102-X64 版本 ····································································109

2 新增特性－支持 VMXNET3 虚拟网卡 ·················································································111

3 新增特性－支持 VirtIO 虚拟网卡 ·······················································································111

4 新增特性－支持 H3C CAS 虚拟平台 ··················································································112

H3C VSR1000_H3C-CMW710-E0002-X64 版本 ····································································113

1 新增特性—VSR 作为 RR 角色支持 EVPN

1.1.1 EVPN 分层结构

1.1.2 MP-BGP 的 EVPN 扩展

配置全局Router ID router id router-id 缺省情况下，未配置全局Router ID

bgp as-number [ instance

peer { group-name | ipv4-address

创建BGP EVPN地址族，并进入 缺省情况下，不存在BGP EVPN地

（可选）配置路由反射器的集群 reflector cluster-id { cluster-id | 缺省情况下，每个路由反射器都使

refresh bgp [ instance

reset bgp [ instance instance-name ]

display bgp [ instance instance-name ] group l2vpn evpn

display bgp [ instance instance-name ] l2vpn evpn [ peer

display bgp [ instance instance-name ] peer l2vpn evpn

display bgp [ instance instance-name ] update-group l2vpn evpn

1.4.2 display bgp l2vpn evpn

BGP local router ID is 1.1.1.9

Total number of routes from all PEs: 2

Route distinguisher: 100:1

Network NextHop MED LocPrf PrefVal Path/Ogn

Route distinguisher: 200:1

Network NextHop MED LocPrf PrefVal Path/Ogn

表1-3 display bgp l2vpn evpn 命令简要显示信息描述表

Copyright © 2016 杭州华三通信技术有限公司版权所有，保留一切权利。

9 变更特性－Portal ···········································································································87

8 变更特性－ EVI-MAC ·····································································································92

9 变更特性－ ACL ············································································································93

10 变更特性－ AAA ··········································································································93

创建BGP EVPN地址族，并进入缺省情况下，不存在BGP EVPN地

BGP routing table information of BGP EVPN 路由 [4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128

进入 BGP 实例视 bgp as-number [ instance instance-name ]

进入 BGP 实例视 bgp as-number [ instance instance-name ]

配置IKEv2 DPD探测功能可选 1.7.2