Documente Academic
Documente Profesional
Documente Cultură
VSR1000&VRS2000_H3C-CMW710-E0322P01-
X64 版本说明书
软件特性变更说明
i
目 录
H3C VSR1000&VSR2000_H3C-CMW710-E0322P01-X64 版本 ···················································1
1 新增特性—VSR 作为 RR 角色支持 EVPN ··············································································1
1.1 EVPN 概述 ···················································································································1
1.1.1 EVPN 分层结构 ····································································································1
1.1.2 MP-BGP 的 EVPN 扩展 ··························································································2
1.2 配置 EVPN 网络中的 RR ·································································································3
1.3 EVPN 显示和维护 ··········································································································4
1.4 EVPN 命令 ···················································································································4
1.4.1 address-family l2vpn evpn ······················································································4
1.4.2 display bgp l2vpn evpn ··························································································5
1.4.3 policy vpn-target ·································································································15
1.4.4 rr-filter ··············································································································16
ii
H3C VSR1000&VSR2000_H3C-CMW710-E0322-X64 版本 ························································1
1 变更特性—Domain ···········································································································1
1.1 特性变更说明 ················································································································1
1.2 命令变更说明 ················································································································1
2 变更特性-BGP ···············································································································1
2.1 特性变更说明 ················································································································1
2.2 BGP 命令·····················································································································2
iv
1.11.40 reset ikev2 sa ·································································································71
1.11.41 sa duration ·····································································································72
3 变更特性 - SSHv2·········································································································81
3.1 特性变更说明 ··············································································································81
3.2 命令变更说明 ··············································································································81
3.2.1 修改- gre key ·····································································································81
5 新增特性—服务链···········································································································84
5.1 支持服务链配置 ···········································································································85
5.2 支持服务链命令 ···········································································································85
v
6 新增特性—OpenFlow ······································································································85
6.1 支持 OpenFlow 配置 ·····································································································85
6.2 支持服务链命令 ···········································································································85
7 变更特性—负载均衡········································································································86
7.1 特性变更说明 ··············································································································86
7.1.1 新增七层服务器负载均衡功能 ················································································86
7.1.2 新增出方向链路负载均衡功能 ················································································86
7.1.3 新增双机热备功能 ·······························································································86
7.1.4 新增 VPN 功能 ···································································································86
7.2 命令变更说明 ··············································································································86
8 变更特性 -OSPF···········································································································86
8.1 特性变更说明 ··············································································································86
8.1.1 新增 DCN 功能 ···································································································86
8.2 命令变更说明 ··············································································································87
4 新增特性 — ADVPN········································································································90
4.1 支持 ADVPN 配置 ········································································································90
4.2 支持 ADVPN 命令 ········································································································90
vi
6 变更特性 - BGP············································································································91
6.1 特性变更说明 ··············································································································91
6.1.1 修改特性缺省值 ··································································································91
6.1.2 修改命令依赖 ·····································································································91
6.2 命令变更说明 ··············································································································91
7 变更特性 - SSHv2·········································································································92
7.1 特性变更说明 ··············································································································92
7.1.1 修改特性缺省值 ··································································································92
7.2 命令变更说明 ··············································································································92
vii
3.2 控制平面性能增强命令 ··································································································98
10 变更特性-接口管理 ·····································································································102
10.1 特性变更说明 ··········································································································102
10.2 命令变更说明 ··········································································································102
10.2.1 修改- ip address······························································································102
viii
11.2.4 修改- port-mapping acl ·····················································································104
11.2.5 修改- port-mapping host ···················································································104
11.2.6 修改- port-mapping subnet ················································································105
11.2.7 修改- nat server ······························································································105
11.2.8 修改- nat dns-map ···························································································106
ix
H3C
VSR1000&VSR2000_H3C-CMW710-E0322P01-
X64 版本
VSR1000&VSR2000 版本特性变更情况如下:
新增特性—VSR 作为 RR 角色支持 EVPN
新增特性—策略路由匹配 QoS 本地 ID 值
新增特性—配置 IP 报文 DF 标志位
新增特性—DHCP 地址池随机分配新地址功能
新增特性—对业务模块处理后的报文执行出方向 QoS 功能
新增特性—设备支持处理非广播 PADI 报文
变更特性—Radius 属性支持下发多个隧道服务器端地址
1
图1-1 EVPN 典型组网
RR RR
Spine
IP核心网络
Leaf
VTEP VTEP
Site 1 Site 2
Server Server
2
1.2 配置EVPN网络中的RR
下表中 peer as-number、peer enable、peer reflect-client、reflect between-clients、reflector
cluster-id、refresh bgp 和 reset bgp 命令的详细介绍,请参见“三层技术-IP 路由命令参考”中
的“BGP” 。
表1-1 配置 EVPN 网络中的 RR
操作 命令 说明
进入系统视图 system-view -
使能本地路由器与指定对等体/ 缺省情况下,本地路由器不能与对
peer { group-name | ipv4-address
对等体组交换BGP EVPN路由的 等体/对等体组交换BGP EVPN路
[ mask-length ] } enable
能力 由
配置本机作为路由反射器,对等
peer { group-name | ipv4-address 缺省情况下,没有配置路由反射器
体/对等体组作为路由反射器的
[ mask-length ] } reflect-client 及其客户机
客户机
(可选)允许路由反射器在客户 缺省情况下,允许路由反射器在客
reflect between-clients
机之间反射EVPN路由 户机之间反射EVPN路由
(可选)配置路由反射器对反射 缺省情况下,路由反射器不会对反
rr-filter ext-comm-list-number
的EVPN路由进行过滤 射的EVPN路由进行过滤
缺省情况下,BGP EVPN路由的
(可选)开启BGP EVPN路由的
policy vpn-target VPN-Target过滤功能处于开启状
VPN-Target过滤功能
态
(可选)返回用户视图 return -
3
1.3 EVPN显示和维护
在完成上述配置后,在任意视图下执行 display 命令可以显示配置后 EVPN 的运行情况,通过查看
显示信息验证配置的效果。
display bgp group、display bgp peer、display bgp update-group 命令的详细介绍请参见“三
层技术-IP 路由命令参考”中的“BGP” 。
表1-2 EVPN 显示和维护
操作 命令
1.4 EVPN命令
1.4.1 address-family l2vpn evpn
address-family l2vpn evpn 命令用来创建 BGP EVPN 地址族,并进入 BGP EVPN 地址族视图。
如果 BGP EVPN 地址族已经存在,直接进入 BGP EVPN 地址族视图。
undo address-family l2vpn evpn 命令用来删除 BGP EVPN 地址族,及相应地址族视图下的所有
配置。
【命令】
address-family l2vpn evpn
undo address-family l2vpn evpn
【缺省情况】
不存在 BGP EVPN 地址族。
【视图】
BGP 实例视图
【缺省用户角色】
network-admin
mdc-admin
4
【使用指导】
BGP EVPN 地址族视图下的配置,只对公网 BGP EVPN 地址族的路由和对等体生效。
【举例】
# 创建 BGP EVPN 地址族,并进入 BGP EVPN 地址族视图。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] address-family l2vpn evpn
[Sysname-bgp-default-evpn]
5
evpn-route:显示指定 BGP EVPN 路由的详细信息。evpn-route 表示 EVPN 路由信息,为 1~512
个字符的字符串。
route-length:BGP EVPN 路由信息的长度,取值范围为 0~65535,单位为比特。
advertise-info:显示 BGP EVPN 路由的通告信息。
【使用指导】
如果未指定任何参数,则显示所有 BGP EVPN 路由的简要信息。
【举例】
# 显示所有 BGP EVPN 路由的简要信息。
<Sysname> display bgp l2vpn evpn
* > [2][0][48][00aa.00bb.00cc][4][0.0.0.0]/136
10.1.1.2 0 32768 ?
* e 10.1.1.1 0 0 65410?
* > [3][300][16][::ffff:1.1.1.1]/176
127.0.0.1 0 32768 ?
* >i [2][0][48][00aa.00cc.00dd][4][1.1.1.1]/136
3.3.3.9 0 100 0 ?
* >i [3][300][16][::ffff:2.2.2.2]/176
3.3.3.9 0 100 0 65420?
6
字段 描述
路由状态代码:
* - valid:合法路由
> - best:普通优选路由
d - damped:震荡抑制路由
Status codes h - history:历史路由
i - internal:内部路由
e - external:外部路由
s - suppressed:聚合抑制路由
S - Stale:过期路由
路由信息的来源,取值包括:
i – IGP:表示路由产生于本 AS 内。通过 network 命令发布路由的路由
信息来源为 IGP
Origin – EGP:表示路由是通过 EGP(Exterior Gateway Protocol,外部网
关协议)学到的
? - incomplete:表示路由的来源无法确定。从 IGP 协议引入路由的路由
信息来源为 incomplete
7
字段 描述
NextHop 下一跳IP地址
LocPrf 本地优先级
PrefVal 路由首选值
Path/Ogn 路由的AS路径(AS_PATH)属性和路由信息的来源(ORIGIN)属性
8
Route distinguisher: 1.1.1.1:100
Total number of routes: 1
Paths: 1 available, 1 best
表1-4 display bgp l2vpn evpn 命令中 Ethernet auto-discovery route 详细显示信息描述表
字段 描述
路由数信息
Paths available:有效路由数目
best:最佳路由数目
From 发布该路由的BGP对等体的IP地址
路由迭代后的下一跳IP地址,如果没有迭代出下一跳地址,则显示
Rely Nexthop
为“not resolved”
路由的原始下一跳地址,如果是从BGP更新消息中获得的路由,
Original nexthop
则该地址为接收到的消息中的下一跳IP地址
OutLabel 路由的出标签值
9
字段 描述
扩展团体属性值,包括:
RT:Route Target 属性
Ext-Community
Encapsulation Type:封装类型
ESI Label:ESI 标签
路由的AS路径(AS_PATH)属性,记录了此路由经过的所有AS,
AS-path
可以避免路由环路的出现
路由信息的来源,取值包括:
igp:表示路由产生于本 AS 内。通过 network 命令发布路由的
路由信息来源为 IGP
Origin egp:表示路由是通过 EGP(Exterior Gateway Protocol,外
部网关协议)学到的。
incomplete:表示路由的来源无法确定。从 IGP 协议引入路由
的路由信息来源为 incomplete
BGP路由属性信息,包括:
MED:与目的网络关联的 MED 值
Attribute value localpref:本地优先级
pref-val:路由首选值
pre:协议优先级
路由当前状态,取值包括:
valid:有效路由
internal:内部路由
State external:外部路由
local:本地产生路由
synchronize:同步路由
best:最佳路由
IP precedence 路由的IP优先级,取值范围为0~7,N/A表示无效值
ESI 以太网段标识
10
BGP local router ID: 172.16.250.133
Local AS number: 100
表1-5 display bgp l2vpn evpn 命令中 MAC/IP advertisement route 详细显示信息描述表
字段 描述
扩展团体属性值,包括:
RT:Route Target 属性
Encapsulation Type:封装类型
ESI 以太网段标识
11
字段 描述
IP address IP地址
表1-6 display bgp l2vpn evpn 命令中 Inclusive multicast Ethernet tag route 详细显示信息描述表
字段 描述
扩展团体属性值,包括:
Ext-Community RT:Route Target 属性
Encapsulation Type:封装类型
12
# 显示路由标识符为 1.1.1.1:100 的 EVPN 路由[4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5]/128
的详细信息。
<Sysname> display bgp l2vpn evpn route-distinguisher 1.1.1.1:100
[4][00:00:00:00:00:00:00:00:00:0a][32][4.5.5.5] 128
表1-7 display bgp l2vpn evpn 命令中 Ethernet segment route 详细显示信息描述表
字段 描述
扩展团体属性值,包括:
RT:Route Target 属性
Ext-Community
Encapsulation Type:封装类型
ES-Import RT:ES-Import Route Target 属性
ESI 以太网段标识
13
Local AS number: 100
表1-8 display bgp l2vpn evpn 命令中 IP prefix advertisement route 详细显示信息描述表
字段 描述
扩展团体属性值,包括:
RT:Route Target 属性
Ext-Community
Encapsulation Type:封装类型
Router's Mac:路由器 MAC
ESI 以太网段标识
IP address IP网络前缀
14
<Sysname> display bgp l2vpn evpn route-distinguisher 1.1.1.1:100
[4][00:00:00:00:00:00:00:00:00:0a] [32][4.5.5.5] 128 advertise-info
Paths 到达指定目的网络的优选路由数目
15
【使用指导】
开启 BGP EVPN 路由的 VPN-Target 过滤功能后,
设备只将 Export Route Target 属性与本地 Import
Route Target 属性匹配的 BGP EVPN 路由加入到 BGP EVPN 路由表。设备上如需保存所有 BGP
EVPN 路由, 则需执行 undo policy vpn-target 命令,
不对 BGP EVPN 路由进行 VPN-Target 过滤。
【举例】
# 关闭 BGP EVPN 路由的 VPN-Target 过滤功能。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] address-family l2vpn evpn
[Sysname-bgp-default-evpn] undo policy vpn-target
1.4.4 rr-filter
rr-filter 命令用来配置路由反射器对反射的 EVPN 路由进行过滤。
undo rr-filter 命令用来恢复缺省情况。
【命令】
rr-filter ext-comm-list-number
undo rr-filter
【缺省情况】
路由反射器不会对反射的 EVPN 路由进行过滤。
【视图】
BGP EVPN 地址族视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ext-comm-list-number:扩展团体属性列表号,取值范围为 1~199。
【使用指导】
执行本命令后,路由反射器将根据扩展团体属性列表对接收的 EVPN 路由进行过滤:只有接收的
BGP EVPN 路由通过扩展团体属性列表过滤时,路由反射器才会反射该 EVPN 路由。
当一个集群中存在多个路由反射器时,通过在不同的路由反射器上配置不同的反射策略,可以实现
路由反射器之间的负载分担。
扩展团体属性列表的详细介绍,请参见“三层技术-IP 路由配置指导”中的“路由策略”
。
【举例】
# 配置路由反射器只反射通过扩展团体属性列表 10 过滤的 BGP EVPN 路由。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] address-family l2vpn evpn
[Sysname-bgp-default-evpn] rr-filter 10
16
【相关命令】
ip extcommunity-list(三层技术-IP 路由命令参考/路由策略)
2 新增特性—策略路由匹配 QoS 本地 ID 值
2.1 配置策略路由匹配QoS本地ID值配置
策略用来定义报文的匹配规则,以及对报文执行的操作。策略由节点组成。
一个策略可以包含一个或者多个节点。节点的构成如下:
每个节点由节点编号来标识。节点编号越小节点的优先级越高,优先级高的节点优先被执行。
每个节点的具体内容由 if-match 子句和 apply 子句来指定。if-match 子句定义该节点的匹配
规则,apply 子句定义该节点的动作。
每个节点对报文的处理方式由匹配模式决定。匹配模式分为 permit(允许)和 deny(拒绝)
两种。
应用策略后,系统将根据策略中定义的匹配规则和操作,对报文进行处理:系统按照优先级从高到
低的顺序依次匹配各节点,如果报文满足这个节点的匹配规则,就执行该节点的动作;如果报文不
满足这个节点的匹配规则,就继续匹配下一个节点;如果报文不能满足策略中任何一个节点的匹配
规则,则根据路由表来转发报文。
2. if-match 子句
策略路由新增 if-match 子句,作用如下:
if-match qos-local-id:设置 IP 报文 QoS 本地 ID 值的匹配规则。关于 QoS 的详细描述,请
参考“ACL 和 QoS 配置指导”中的“QoS”。
表1-10 配置策略节点的匹配规则
操作 命令 说明
进入系统视图 system-view -
设置IP报文QoS本地 缺省情况下,未设置IP报文QoS本地ID值
if-match qos-local-id local-id-value
ID值匹配规则 匹配规则
17
if-match 子句中使用 QoS 本地 ID 时,必须保证对于同一条流(相同源 IP 地址、目的 IP 地址、
源端口号、目的端口号和协议)只能对应一个 QoS 本地 ID。
2.2 配置IP报文QoS本地ID值匹配规则命令。
if-match qos-local-id 命令用来设置 IP 报文 QoS 本地 ID 值匹配规则。
undo if-match qos-local-id 命令用来恢复缺省情况。
【命令】
if-match qos-local-id local-id-value
undo if-match qos-local-id
【缺省情况】
未设置 IP 报文 QoS 本地 ID 匹配规则。
【视图】
策略节点视图
【缺省用户角色】
network-admin
【参数】
local-id-value:QoS 本地 ID 值,取值范围为 1~4095。
【使用指导】
必须保证对于同一条流(相同源 IP 地址、目的 IP 地址、源端口号、目的端口号和协议)只能对应
一个 QoS 本地 ID。
【举例】
# 设置 QoS 本地 ID 值为 200 的报文被匹配。
<Sysname> system-view
[Sysname] policy-based-route aa permit node 11
[Sysname-pbr-aa-11] if-match qos-local-id 200
3 新增特性—配置 IP 报文 DF 标志位
3.1 配置IP报文DF标志位配置
设备转发 IP 报文时,由于链路 MTU 值可能会对 IP 报文进行分片。如果设备收到携带 DF 标记的 IP
报文,设备不会转发该 IP 报文,但会向报文发送端发送 ICMP 差错报文,这样会导致通信中断。
当用户在设备上配置 IP 报文 DF 标志位后,设备会直接修改 IP 报文中的 DF 标志位,使得该 IP 报
文可以被分片转发。
开启本功能后,设备会修改所有转发 IP 报文的 DF 标志位,不会修改本设备生成的 IP 报文的 DF
标志位。
18
表1-11 配置 IP 报文 DF 标志位功能
操作 命令 说明
进入系统视图 system-view -
缺省情况下,保留当前IP报文DF标
配置IP报文DF标志位 ip df-bit { clear | set }
志位取值
3.2 配置IP报文DF标志位命令
3.2.1 ip df-bit
ip df-bit 命令用来配置 IP 报文头中的 DF 标志位。
undo ip df-bit 命令用来恢复缺省情况。
【命令】
ip df-bit { clear | set }
undo ip df-bit
【缺省情况】
保留当前 IP 报文头中 DF 位的取值。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
clear:配置 IP 报文头中的 DF 位为 0,表示允许报文分片。
set:配置 IP 报文头中的 DF 位为 1,表示不允许报文分片。
【举例】
# 配置 IP 报文头中的 DF 标志位为 0,即允许 IP 报文分片。
<Sysname> system-view
[Sysname] ip df-bit clear
4 新增特性—DHCP 地址池随机分配新地址功能
4.1 DHCP地址池随机分配新地址配置
目前 DHCP 地址池正常的地址分配方式是尽量保证同一用户上线能够获得相同的 IP 地址。但是在
某些通过 IP 地址识别身份的应用中,用户需要实现每次上线能够获得不同的 IP 地址的需求。针对
这种需求,设备需提供 DHCP 地址池随机分配新地址的需求。本功能保证用户在断线重拨后可以获
得不同的 IP 地址。
19
表1-12 配置 DHCP 地址池随机分配新地址功能
操作 命令 说明
进入系统视图 system-view -
缺省情况下,设备上不存在DHCP
进入DHCP地址池 dhcp server ip-pool pool-name
地址池
配置DHCP地址池随机分配新地 缺省情况下,DHCP地址池随机分
allocate-new-ip enable
址功能 配新地址功能处于关闭状态
4.2 DHCP地址池随机分配新地址
allocate-new-ip enable 命令用来开启随机分配新 IP 地址功能。
undo allocate-new-ip enable 命令用来关闭随机分配新 IP 地址功能。
【命令】
allocate-new-ip enable
undo allocate-new-ip enable
【缺省情况】
随机分配新 IP 地址功能处于关闭状态。
【视图】
DHCP 地址池视图
【缺省用户角色】
network-admin
【使用指导】
如果未配置该命令则 DHCP 地址池分配地址时会尽量保证同一用户上线能够获得相同的 IP 地址,
如果配置该命令则地址池分配地址时会尽量保证同一用户上线时获取到不同的 IP 地址。
【举例】
#开启 DHCP 地址池 mypool 中的随机分配新 IP 地址功能。
<Sysname> system-view
[Sysname] dhcp server ip-pool mypool
[Sysname-dhcp-pool-mypool]allocate-new-ip enable
This command will enable the random address allocation mode. Enable it? [Y/N]:
【相关命令】
无。
20
5 新增特性—对业务模块处理后的报文执行出方向 QoS 功能
5.1 配置对业务模块处理后的报文执行出方向QoS功能配置
配置接口 QoS 功能后,接口优先执行 QoS 流分类,然后交由具体的业务模块进行处理,最后执行
QoS 动作,但对于像 NAT 业务模块处理后的报文,QoS 动作只能作用于 NAT 前 QoS 分类的报文。
如果希望对业务模块处理后的报文执行 QoS 流分类和 QoS 动作,则需要开启本功能。
表1-13 开启对业务模块处理后的报文执行出方向 QoS 功能
操作 命令 说明
进入系统视图 system-view -
interface interface-type
进入接口视图 -
interface-number
缺省情况下,设备仅对业务模块处理前的报文执
行QoS
开启对业务模块处理后的报 qos post-classify
文执行出方向QoS功能 outbound 目前本功能仅对NAT处理后的报文生效,如果对
NAT转换后的报文执行出方向QoS,则必须配置
本命令
5.2 配置对业务模块处理后的报文执行出方向QoS功能命令
qos post-classify outbound 命令用来开启对业务模块处理后的报文执行出方向 QoS 功能。
undo post-classify outbound 命令用来关闭对业务模块处理后的报文执行出方向 QoS 功能。
【命令】
qos post-classify outbound
undo qos post-classify outbound
【缺省情况】
设备仅对业务模块处理前的报文执行 QoS。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
如果希望对业务模块处理后的报文执行 QoS 分类和 QoS 动作,则需要开启本功能。
目前,本功能仅对 NAT 处理后的报文生效。
【举例】
# 配置接口 GigabitEthernet1/0/1 出方向 QoS 对业务模块处理后的报文生效。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] qos post-classify outbound
21
6 新增特性—设备支持处理非广播 PADI 报文
6.1 设备支持处理非广播PADI报文配置
在正常的 PPPoE 链路建立过程中,PPPoE Client 通过广播发送 PADI 报文寻找可为其提供接入服
务的 PPPoE Server。缺省情况下,设备接收到非广播的 PADI 报文直接丢弃,从而提高设备处理广
播 PADI 报文的效率,避免 CPU 资源的浪费。
某些情况下,可能需要允许发送非广播 PADI 报文的 PPPoE Client 上线,此时可通过执行本命令配
置设备支持处理非广播的 PADI 报文。
表1-14 配置设备支持处理非广播 PADI 报文
操作 命令 说明
进入系统视图 system-view -
进入三层以太网接口视图/三层以太网子
接口视图/三层聚合接口视图/三层聚合 interface interface-type 该接口为启用PPPoE Server协
子 接 口 视 图 /VE-L3VPN 接 口 视 图 interface-number 议的接口
/VE-L3VPN子接口视图
pppoe-server 缺省情况下,设备不支持处理非
配置设备支持处理非广播PADI报文
non-broadcast-padi enable 广播的PADI报文
6.2 设备支持处理非广播PADI报文命令
pppoe-server non-broadcast-padi enable 命令用来配置设备支持处理非广播的 PADI(PPPoE
Active Discovery Initiation,PPPoE 活动发现发起报文)报文。
undo pppoe-server non-broadcast-padi enable 命令用来恢复缺省情况。
【命令】
pppoe-server non-broadcast-padi enable
undo pppoe-server non-broadcast-padi enable
【缺省情况】
设备不支持处理非广播的 PADI 报文。
【视图】
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图/VE-L3VPN
接口视图/VE-L3VPN 子接口视图
【缺省用户角色】
network-admin
22
【使用指导】
在正常的 PPPoE 链路建立过程中,PPPoE Client 通过广播发送 PADI 报文寻找可为其提供接入服
务的 PPPoE Server。缺省情况下,设备接收到非广播的 PADI 报文直接丢弃,从而提高设备处理广
播 PADI 报文的效率,避免 CPU 资源的浪费。
某些情况下,可能需要允许发送非广播 PADI 报文的 PPPoE Client 上线,此时可通过执行本命令配
置设备支持处理非广播的 PADI 报文。
【举例】
# 在接口 GigabitEthernet1/0/1 上配置设备支持处理非广播 PADI 报文。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server non-broadcast-padi enable
7 变更特性—Radius 属性支持下发多个隧道服务器端地址
7.1 特性变更说明
隧道服务器端的地址(PW_TUNNEL_SERVICE_ENDPOINT 67 属性)
,支持一个 tag 最多可以下
发 8 个地址,地址间用空格分开,多个地址间实现主备方式。
7.2 命令行变更
无。
23
H3C
VSR1000&VSR2000_H3C-CMW710-E0322-X64
版本
VSR1000&VSR2000 版本特性变更情况如下:
变更特性—Domain
变更特性-BGP
1 变更特性—Domain
1.1 特性变更说明
Domain 个数由原来的 64 个扩充到 1024 个。
1.2 命令变更说明
无命令行变更。
2 变更特性-BGP
2.1 特性变更说明
新增功能:不检测指定对等体 EBGP 路由的第一个 AS 号。
表1 配置不检测从指定对等体/对等体组收到的 EBGP 路由的第一个 AS 号(IPv4)
操作 命令 说明
进入系统视图 system-view -
配置不检测从指定对等体/对等 缺省情况下,从EBGP邻居
peer { group-name | ipv4-address
体组收到的EBGP路由的第一个 学到路由后,会检测路由的
[ mask-length ] } ignore-first-as
AS号 第一个AS号
1
表2 配置不检测从指定对等体/对等体组收到的 EBGP 路由的第一个 AS 号(IPv6)
操作 命令 说明
进入系统视图 system-view -
配置不检测从指定对等体/对等 缺省情况下,从EBGP邻居
peer { group-name | ipv6-address
体组收到的EBGP路由的第一个 学到路由后,会检测路由的
[ prefix-length ] } ignore-first-as
AS号 第一个AS号
2.2 BGP命令
peer ignore-first-as 命令用来配置不检测指定对等体/对等体组 EBGP 路由的第一个 AS 号。
undo peer ignore-first-as 命令用来恢复缺省情况。
【命令】
peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] } ignore-first-as
undo peer { group-name | ipv4-address [ mask-length ] | ipv6-address [ prefix-length ] }
ignore-first-as
【缺省情况】
从对等体/对等体组接收到 EBGP 路由后,会检测路由的第一个 AS 号。如果此 AS 号不是 EBGP
对等体的 AS 号,且不是私有 AS 号,则断开与该对等体的 BGP 会话。
【视图】
BGP 视图/BGP-VPN 实例视图
【缺省用户角色】
network-admin
【参数】
group-name:对等体组的名称,为 1~47 个字符的字符串,区分大小写。指定的对等体组必须已
经创建。
ip-address:对等体的 IP 地址。指定的对等体必须已经创建。
mask-length:网络掩码,取值范围为 0~32。如果指定本参数,则表示指定网段内的动态对等体。
ipv6-address:对等体的 IPv6 地址。指定的对等体必须已经创建。
prefix-length:前缀长度,取值范围为 0~128。如果指定本参数,则表示指定网段内的动态对等体。
【使用指导】
配置 peer ignore-first-as 命令后,只对新收到的 EBGP 路由生效;undo peer ignore-first-as 配
置后会向 EBGP 对等体/对等体组发送 Route-refresh 消息请求重新发送路由信息。
2
【举例】
# 在 BGP 视图下,配置不检测指定对等体 EBGP 路由的第一个 AS 号。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] peer 1.1.1.1 ignore-first-as
# 在 BGP-VPN 实例视图下,配置不检测指定对等体 EBGP 路由的第一个 AS 号。
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp] ip vpn-instance vpn1
[Sysname-bgp-vpn1] peer 1.1.1.1 ignore-first-as
3
H3C
VSR1000&VSR2000_H3C-CMW710-E0321P01-
X64 版本
VSR1000&VSR2000 版本特性变更情况如下:
新增特性—IKEv2
新增特性- License 客户端
变更特性 - SSHv2
1 新增特性—IKEv2
1.1 IKEv2简介
IPsec 隧道两端通过共享密钥对 IP 报文提供机密性、完整性、以及数据来源认证服务。共享密钥可
以手工建立,也可以通过协商方式自动建立。IKE 协议定义了自动协商共享密钥的机制,并用于建
立和维护 IPsec 安全联盟。IKEv2(Internet Key Exchange Version 2,互联网密钥交换协议第 2 版)
是第 1 版本的 IKE 协议(本文简称 IKEv1)的增强版本,它在保留了 IKEv1 中的大部分特性的基础
上引入了一些新特性。
IKEv2 与 IKEv1 相同,具有一套自保护机制,可以在不安全的网络上安全地进行身份认证、密钥分
发、建立 IPsec SA。相对于 IKEv1,IKEv2 具有抗攻击能力和密钥交换能力更强以及报文交互数量
较少等特点。
1
图1 IKEv2 的初始交换过程
Peer 1 Peer 2
发送本地IKE策略
确认对方使用的
和密钥生成信息 发起方策略和密钥信息 算法并产生密钥
查找匹配的策略
SA交换和
接收方确认的策略和 并生成密钥
密钥交换
密钥生成信息
接受对端确认策
略并生成密钥 发起方的身份、验证数据 验证对方身份并
和IPsec提议 协商出IPsec SA
ID交换验 身份验证、交换过程验证
证及生成 响应方的身份、验证数据
并协商出IPsec SA
IPsec SA 和IPsec提议
身份验证、交换过程验
证并协商出IPsec SA
2
IKEv2 使用 cookie-challenge 机制来解决这类 DoS 攻击问题。当响应方发现存在的半开 IKE SA 超
过指定的数目时, 就启用 cookie-challenge 机制。响应方收到 IKE_SA_INIT 请求后,构造一个 Cookie
通知载荷并响应发起方,若发起方能够正确携带收到的 Cookie 通知载荷向响应方重新发起
IKE_SA_INIT 请求,则可以继续后续的协商过程。
半开状态的 IKEv2 SA 是指那些正在协商过程中的 IKEv2 SA。若半开状态的 IKEv2 SA 数目减少到
阈值以下,则 cookie-challenge 功能将会停止工作
3.IKEv2 SA 重协商
为了保证安全,IKE SA 和 IPsec SA 都有一个生命周期,超过生命周期的 SA 需要重新协商,即 SA
的重协商。与 IKEv1 不同的是,IKEv2 SA 的生命周期不需要协商,由各自的配置决定,重协商总
是由生命周期较小的一方发起,可尽量避免两端同时发起重协商造成冗余 SA 的生成,导致两端 SA
状态不一致。
4.IKEv2 报文确认重传机制
与 IKEv1 不同,IKEv2 中所有消息都是以“请求–响应”对的形式出现,IKEv2 通过消息头中的一
个 Message ID 字段来标识一个“请求–响应”对。发起方发送的每一条消息都需要响应方给予确认,
例如建立一个 IKE SA 一般需要两个“请求-响应”对。如果发起方在规定时间内没有接收到确认报
文,则需要对该请求消息进行重传。IKEv2 消息的重传只能由发起方发起,且重传消息的 Message
ID 必须与原始消息的 Message ID 一致。
1.1.3 协议规范
与 IKEv2 相关的协议规范有:
RFC 2408:Internet Security Association and Key Management Protocol (ISAKMP)
RFC 4306:Internet Key Exchange (IKEv2) Protocol
RFC 4718:IKEv2 Clarifications and Implementation Guidelines
RFC 2412:The OAKLEY Key Determination Protocol
RFC 5996:Internet Key Exchange Protocol Version 2 (IKEv2)
1.2 IKEv2配置任务简介
为了配置过程顺利进行,在 IKEv2 配置之前,用户需要确定以下几个因素:
确定 IKEv2 初始交换过程中使用的算法的强度,即确定对初始交换进行安全保护的强度(包
括加密算法、完整性校验算法、PRF 算法和 DH 组算法)。不同的算法的强度不同,算法强度
越高, 受保护数据越难被破解, 但消耗的计算资源越多。一般来说,密钥越长的算法强度越高。
确定本地认证方法以及对端的认证方法。若使用预共享密钥方式,则要确定通信双方预先约定
的预共享密钥;若使用 RSA 数字签名方式,则要确定本端所使用的 PKI 域。关于 PKI 的配置,
请参见“安全配置指导”中的“PKI” 。
表1 IKEv2 配置任务简介
配置任务 说明 详细配置
配置IKEv2安全策略 必选 1.4
3
配置任务 说明 详细配置
可选
配置IKEv2安全提议 若IKEv2安全策略中指定了 1.5
IKEv2提议,则必配
只要其中一端配置的认证方
式为预共享密钥方式,则必
选
配置IKEv2 keychain 1.6
如果两端配置的认证方式都
是RSA数字签名方式,则不
需要配置
配 置 IKEv2 cookie-challenge 可选
1.7.1
功能 该功能仅对于响应方有意义
配 置 为 对 端 分 配 IP 地 址 的
可选 1.7.4
IKEv2本地地址池
4
(6) IKEv2 profile 的使用范围。限制 IKEv2 profile 只能在指定的地址或指定接口的地址下使用(这
里的地址指的是 IPsec 策略下配置的本端地址,若本端地址没有配置,则为引用 IPsec 策略的
接口下地址)。
(7) IKEv2 profile 所属的 VPN 实例,限制 IKEv2 profile 只能在属于该 VPN 实例的接口上协商。
(8) 内部 VPN 实例。当 IPsec 解封装后的报文需要继续转发到不同的 VPN 时,设备需要知道在
哪个 VPN 实例中查找相应的路由。缺省情况下,设备在与外网相同的 VPN 实例中查找路由,
如果不希望在与外网相同的 VPN 实例中查找路由,则可以指定一个内部 VPN 实例,通过查
找该内部 VPN 实例的路由来转发报文。
(9) IKEv2 profile 的优先级。优先级仅用于响应方在查找 IKEv2 profile 时调整 IKEv2 profile 的匹
配顺序。
(10) IKEv2 SA 的时间生命周期。本端和对端的 IKEv2 SA 生命周期可以不一致,也不需要进行协
商,由生命周期较短的一方在本端 IKEv2 SA 生命周期到达之后发起重协商。
(11) IKEv2 发送 NAT keepalive 报文的时间间隔。在 IKEv2 peer 之间存在 NAT 网关的情况下,设
备通过定期向对端发送 NAT keepalive 报文,防止已有的 NAT 会话表项因长时间无流量匹配
而被老化。
(12) 配置交换功能。企业分支使用虚拟隧道时,可以通过本功能向企业中心侧安全网关提交 IP 地
址分配请求,中心侧安全网关接收该请求,会将成功分配的 IP 地址携带在 IKEv2 协商的响应
报文中发送给分支侧设备,分支用此地址作为虚拟隧道地址与中心侧网关通信。企业中心侧网
关也可以通过本功能主动推送 IP 地址给企业分支。配置交换包括请求数据、回应数据、主动
推数据和回应推数据,请求和推送的数据可以为网关地址,内部地址,路由信息等。
(13) AAA 授权功能,通过 AAA 授权获取一个地址池的名字,地址池中配置了可分配给对端的 IP
地址。关于 AAA 授权 IKE 本地地址池的具体配置请参见“安全配置指导”中的“AAA”。。
表2 配置 IKEv2 profile
操作 命令 说明
进入系统视图 system-view -
创 建 一 个 IKEv2 profile , 并 进 入
ikev2 profile profile-name 缺省情况下,不存在IKEv2 profile
IKEv2 Profile视图
authentication-method { local |
指定IKEv2本端和对端的身份认证 remote } { dsa-signature | 缺省情况下,未配置本端和对端
方式 ecdsa-signature | pre-share | 认证方式
rsa-signature }
配置采用预共享密钥认证时使用的 二者至少选其一
keychain keychain-name
Keychain
根 据 authentication-method命
配置采用数字签名认证时使用的 certificate domain domain-name 令使用的认证方法选择其中一个
PKI域 [ sign | verify ] 配置
5
操作 命令 说明
{ ipv6-address [ prefix-length ] | range 用此IKEv2 profile中的信息与对
low-ipv6-address high-ipv6-address } } | 端完成认证
fqdn fqdn-name | email email-string |
key-id key-id-string } }
缺省情况下,IKEv2 SA的生命周
(可选)配置IKEv2 SA生命周期 sa duration seconds
期为86400秒
缺省情况下,IKEv2 profile视图
dpd interval interval [ retry seconds ] 下没有配置DPD探测功能,采用
(可选)配置IKEv2 DPD探测功能
{ on-demand | periodic } 系统视图下的DPD配置。若两者
没有配置,则不进行DPD探测
缺省情况下,IKEv2 profile未指
(可选)配置内部VPN实例 inside-vrf vrf-name 定内部VPN实例,即内网与外网
在同一个VPN中
1.4 配置IKEv2安全策略
在进行 IKE_SA_INIT 协商时,系统需要查找到一个与本端相匹配的 IKEv2 安全策略,并使用其中
引用的安全提议进行安全参数的协商,匹配的依据为本端安全网关的 IP 地址。
若系统中配置了 IKEv2 安全策略,则根据本端安全网关的 IP 地址与所有已配置的 IKEv2 安全
策略进行逐一匹配,如果未找到匹配的 IKEv2 安全策略或找到的安全策略中引用的安全提议
配置不完整,则 IKE_SA_INIT 协商将会失败。
若系统中未配置任何 IKEv2 安全策略,则直接采用缺省的 IKEv2 安全策略 default。
系统中存在多个 IKEv2 安全策略的情况下,系统根据安全策略的优先级从高到低的顺序依次
匹配。如果通过 match local address 命令指定了匹配 IKEv2 安全策略的本端地址,则优先
匹配指定了本端地址匹配条件的策略,其次匹配未指定本端地址匹配条件的策略。
表3 配置 IKEv2 安全策略
操作 命令 说明
进入系统视图 system-view
6
操作 命令 说明
创 建 IKEv2 安 全 策 略 , 并 进 入 缺省情况下,存在一个名称为
ikev2 policy policy-name
IKEv2安全策略视图 default的缺省IKEv2安全策略
缺省情况下,未指定用于匹配
配置匹配IKEv2安 全策略 的VPN IKEv2安全策略的VPN实例,表示
match vrf { name vrf-name | any }
实例 本策略可匹配公网内的所有本端
地址
指定IKEv2安全策略引用的IKEv2 缺省情况下,IKEv2安全策略未引
proposal proposal-name
安全提议 用IKEv2安全提议
缺省情况下,IKEv2安全策略的优
指定IKEv2安全策略的优先级 priority priority
先级为100
1.5 配置IKEv2安全提议
IKEv2 安全提议用于保存 IKE_SA_INIT 交换中使用的安全参数,包括加密算法、完整性验证算法、
PRF 算法和 DH 组,其中每类安全参数均可以配置多个,其优先级按照配置顺序依次降低。
一个完整的 IKEv2 安全提议中至少应该包含一组安全参数,即一个加密算法、
一个完整性验证算法、
一个 PRF 算法和一个 DH 组。
若同时指定了多个 IKEv2 安全提议,则它们的优先级按照配置顺序依次降低。
表4 配置 IKEv2 安全提议
操作 命令 说明
进入系统视图 system-view
缺省条件下,存在一个名称为
default的缺省IKEv2安全提议
非FIPS模式下,该提议中定义的
加密算法为aes-cbc-128和3des,
完整性校验算法为sha1和md5,
PRF算法为sha1和md5,DH组为
创 建 IKEv2 安 全 提 议 , 并 进 入
ikev2 proposal proposal-name group5和group2
IKEv2提议视图
FIPS模式下,该提议中定义的加
密 算 法 为 aes-cbc-128 和
aes-ctr-128,完整性校验算法为
sha1和sha256,PRF算法为sha1
和 sha256 , DH 组 为 group14 和
group19
非FIPS模式下:
encryption { 3des-cbc | aes-cbc-128
指定IKEv2安全提议使用的加密算 | aes-cbc-192 | aes-cbc-256 | 缺省情况下,IKEv2安全提议未定
法 aes-ctr-128 | aes-ctr-192 | 义加密算法
aes-ctr-256 | camellia-cbc-128 |
camellia-cbc-192 | camellia-cbc-256
| des-cbc } *
7
操作 命令 说明
FIPS模式下:
encryption { aes-cbc-128 |
aes-cbc-192 | aes-cbc-256 |
aes-ctr-128 | aes-ctr-192 |
aes-ctr-256 } *
非FIPS模式下:
integrity { aes-xcbc-mac | md5 |
指定IKEv2安全提议使用的完整性 sha1 | sha256 | sha384 | sha512 } * 缺省情况下,IKEv2安全提议未定
校验算法 FIPS模式下: 义完整性校验算法
integrity { sha1 | sha256 | sha384 |
sha512 } *
非FIPS模式下:
dh { group1 | group14 | group2 |
group24 | group5 | group19 | 缺省情况下,IKEv2安全提议未定
指定IKEv2安全提议使用的DH组 group20 } * 义DH组
FIPS模式下:
dh { group14 | group19 | group20 } *
非FIPS模式下:
prf { aes-xcbc-mac | md5 | sha1 |
sha256 | sha384 | sha512 } * 缺省情况下,IKEv2安全提议使用
指定IKEv2安全提议使用的PRF算
配置的完整性校验算法作为PRF
法 FIPS模式下: 算法
prf { sha1 | sha256 | sha384 |
sha512 } *
进入系统视图 system-view -
缺省情况下,未配置IKEv2 peer
指定IKEv2 peer的主机名称 hostname name
的主机名称
8
操作 命令 说明
同的主机地址
1.7 配置IKEv2全局参数
1.7.1 配置 IKEv2 cookie-challenge 功能
IKEv2 cookie-challenge 功能用来防止攻击者通过源 IP 仿冒对响应方造成 DoS 攻击。
开启 IKEv2 cookie-challenge 功能的同时需要指定启用 cookie-challenge 功能的阈值,当响应方本
地存在的半开状态的 IKEv2 SA 数目达到指定的阈值时,则 cookie-challenge 功能开始生效。
表6 配置 IKEv2 cookie-challenge 功能
操作 命令 说明
进入系统视图 system-view -
缺 省 情 况 下 , IKEv2
开启IKEv2 cookie-challenge功能 ikev2 cookie-challenge number cookie-challenge 功 能 处 于 关 闭 状
态
进入系统视图 system-view -
9
1.7.3 配置 IKEv2 NAT Keepalive 功能
IKEv2 NAT Keepalive 功能仅对位于 NAT 之后的设备(即该设备位于 NAT 设备连接的私网侧)有
意义。NAT 之后的 IKEv2 网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报
文,以确保 NAT 设备上相应于该流量的会话存活,从而让 NAT 之外的设备可以访问 NAT 之后的设
备。因此,配置的发送 NAT Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
本功能必须在探测到 NAT 之后才能生效。
表8 配置 IKEv2 NAT Keepalive 功能
操作 命令 说明
进入系统视图 system-view -
缺省情况下,探测到NAT后发送
配置向对端发送NAT Keepalive报
ikev2 nat-keepalive seconds NAT Keepalive报文的时间间隔
文的时间间隔
为10秒
操作 命令 说明
进入系统视图 system-view -
ikev2 ipv6-address-group
配置为对端分配IPv6地址的IKEv2 缺省情况下,未定义IKEv2本地
group-name prefix prefix/prefix-len
本地地址池 assign-len assign-len IPv6地址池
1.8 IKEv2显示和维护
在完成上述配置后,在任意视图下执行 display 命令可以显示配置后 IKEv2 的运行情况,通过查看
显示信息验证配置的效果。
在用户视图下执行 reset 命令可以删除 IKEv2 SA。
10
表10 IKEv2 显示和维护
操作 命令
1.9 IKEv2典型配置举例
1.9.1 IKEv2 预共享密钥认证典型配置举例
1.组网需求
在 Device A 和 Device B 之间建立 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B 所
在的子网(10.1.2.0/24)之间的数据流进行安全保护。
Device A 和 Device B 之间采用 IKEv2 协商方式建立 IPsec SA。
使用缺省的 IKEv2 提议。
使用缺省的 IKEv2 安全策略。
2.组网图
图2 IKEv2 预共享密钥认证典型组网图
Device A Device B
GE1/0/1 GE1/0/1
1.1.1.1/16 2.2.2.2/16
Internet
GE1/0/2 GE1/0/2
10.1.1.1/24 10.1.2.1/24
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.1.0/24 去子网 10.1.2.0/24 的数据流。
<DeviceA> system-view
11
[DeviceA] acl advanced 3101
[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[DeviceA-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 tran1。
[DeviceA] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[DeviceA-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES,认证算法为 HMAC-SHA1。
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceA-ipsec-transform-set-tran1] quit
# 创建 IKEv2 keychain,名称为 keychain1。
[DeviceA] ikev2 keychain keychain1
# 创建 IKEv2 对端,名称为 peer1。
[DeviceA-ikev2-keychain-keychain1] peer peer1
# 指定对端 peer1 的主机地址为 2.2.2.2/24。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] address 2.2.2.2 24
# 指定对端 peer1 的身份信息。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] identity address 2.2.2.2
# 配置对端 peer1 使用的预共享密钥为明文 abcde。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext abcde
[DeviceA-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceA-ikev2-keychain-keychain1] quit
# 创建 IKEv2 profile,名称为 profile1。
[DeviceA] ikev2 profile profile1
# 指定本端的身份认证方式为预共享密钥。
[DeviceA-ikev2-profile-profile1] authentication-method local pre-share
# 指定对端的身份认证方式为预共享密钥。
[DeviceA-ikev2-profile-profile1] authentication-method remote pre-share
# 指定引用的 IKEv2 keychain 为 keychain1。
[DeviceA-ikev2-profile-profile1] keychain keychain1
# 配置匹配对端身份的规则为 IP 地址 2.2.2.2/24。
[DeviceA-ikev2-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ikev2-profile-profile1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略,名称为 map1,顺序号为 10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置 IPsec 隧道的对端 IP 地址为 2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用 ACL 3101。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
# 指定引用的安全提议为 tran1。
12
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 map1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置到 Host B 所在子网的静态路由。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(2) 配置 Device B
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.2.0/24 去往子网 10.1.1.0/24 的数据流。
<DeviceB> system-view
[DeviceB] acl advanced 3101
[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[DeviceB-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 tran1。
[DeviceB] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[DeviceB-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES,认证算法为 HMAC-SHA1。
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
# 创建 IKEv2 keychain,名称为 keychain1。
[DeviceB] ikev2 keychain keychain1
# 创建 IKEV2 对端,名称为 peer1。
[DeviceB-ikev2-keychain-keychain1] peer peer1
# 指定 peer1 的主机地址为 1.1.1.1/24。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] address 1.1.1.1 24
# 指定 peer1 的身份信息。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] identity address 1.1.1.1
# 配置对端 peer1 使用的预共享密钥为明文 abcde。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext abcde
[DeviceB-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceB-ikev2-keychain-keychain1] quit
# 创建 IKEv2 profile,名称为 profile1。
[DeviceB] ikev2 profile profile1
# 指定本端的身份认证方式为预共享密钥。
[DeviceB-ikev2-profile-profile1] authentication-method local pre-share
13
# 指定对端的身份认证方式为预共享密钥。
[DeviceB-ikev2-profile-profile1] authentication-method remote pre-share
# 指定引用的 IKEv2 keychain 为 keychain1。
[DeviceB-ikev2-profile-profile1] keychain keychain1
# 配置匹配对端身份的规则为 IP 地址 1.1.1.1/24。
[DeviceA-ikev2-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0
[DeviceA-ikev2-profile-profile1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略,名称为 use1,顺序号为 10。
[DeviceB] ipsec policy use1 10 isakmp
# 配置 IPsec 隧道的对端 IP 地址为 1.1.1.1。
[DeviceB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1
# 指定引用 ACL 3101。
[DeviceB-ipsec-policy-isakmp-use1-10] security acl 3101
# 指定引用的安全提议为 tran1。
[DeviceB-ipsec-policy-isakmp-use1-10] transform-set tran1
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceB-ipsec-policy-isakmp-use1-10] ikev2-profile profile1
[DeviceB-ipsec-policy-isakmp-use1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 use1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1
[DeviceB-GigabitEthernet1/0/1] quit
# 配置到 Host A 所在子网的静态路由。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 1.1.1.1
4.验证配置
以上配置完成后,Device A 和 Device B 之间如果有子网 10.1.1.0/24 与子网 10.1.2.0/24 之间的报
文通过,将触发 IKEv2 协商。
# 可通过如下显示信息查看到 Device A 上的 IKEv2 提议和 IKEv2 安全策略。
[DeviceA] display ikev2 proposal
IKEv2 proposal : default
Encryption : 3DES-CBC AES-CBC-128
Integrity : MD596 SHA96
PRF : MD5 SHA1
DH Group : Group2 Group5
[DeviceA] display ikev2 policy
IKEv2 policy : default
Match VPN instance : any
Device B 上 IKEv2 提议和 IKEv2 安全策略的查看方式与 Device A 同,此处略。
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商成功后生成的 IKEv2 SA。
[DeviceA] display ikev2 sa
Tunnel ID Local Remote Status
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
14
IN-NEGO: Negotiating, EST: Establish, DEL:Deleting
# 可通过如下显示信息查看到 IKEv2 协商生成的 IPsec SA。
[DeviceA] display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1456
Tunnel:
local address: 1.1.1.1
remote address: 2.2.2.2
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: IP
15
1.9.2 IKEv2 RSA 数字签名认证典型配置举例
1.组网需求
在 Device A 和 Device B 之间建立 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B 所
在的子网(10.1.2.0/24)之间的数据流进行安全保护。
Device A 和 Device B 之间采用 IKEv2 协商方式建立 IPsec SA。
Device A 和 DeviceB 均使用 RSA 数字签名的认证方法。
Device A 侧子网的 IP 地址为动态分配,并作为发起方。
2.组网图
图3 IKEv2 RSA 数字签名认证典型组网图
CA server CA server
GE1/0/1 GE1/0/1
1.1.1.1/16 2.2.2.2/16
Device A Internet Device B
GE1/0/2 GE1/0/2
10.1.1.1/24 10.1.2.1/24
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.1.0/24 去往子网 10.1.2.0/24 的数据流。
<DeviceA> system-view
[DeviceA] acl advanced 3101
[DeviceA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[DeviceA-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 tran1。
[DeviceA] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[DeviceA-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES,认证算法为 HMAC-SHA1。
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
16
[DeviceA-ipsec-transform-set-tran1] quit
# 创建 PKI 实体 entity1。
[DeviceA] pki entity entity1
# 配置 PKI 实体的通用名。
[DeviceA-pki-entity-entity1] common-name routera
[DeviceA-pki-entity-entity1] quit
# 创建 PKI 域 domain1。
[DeviceA]pki domain domain1
# 配置证书申请模式为自动模式,并设置吊销证书时使用的口令。
[DeviceA-pki-domain-domain1] certificate request mode auto password simple 123
# 配置验证 CA 根证书时所使用的指纹。
[DeviceA-pki-domain-domain1] root-certificate fingerprint md5
50c7a2d282ea710a449eede6c56b102e
# 配置 CA 服务器名称。
[DeviceA-pki-domain-domain1] ca identifier 8088
# 配置实体通过 SCEP 进行证书申请的注册受理机构服务器的 URL(此处的 URL 仅为示例,请以
组网环境中的实际情况为准)。
[DeviceA-pki-domain-domain1] certificate request url
http://192.168.222.1:446/eadbf9af4f2c4641e685f7a6021e7b298373feb7
# 配置证书申请的注册受理机构。
[DeviceA-pki-domain-domain1] certificate request from ca
# 配置指定用于申请证书的 PKI 实体名称。
[DeviceA-pki-domain-domain1] certificate request entity entity1
# 配置指定证书申请使用的 RSA 密钥对。
[DeviceA-pki-domain-domain1] public-key rsa general name rsa1
[DeviceA-pki-domain-domain1] quit
# 创建 IKEv2 profile,名称为 profile1。
[DeviceA] ikev2 profile profile1
# 指定本端的身份认证方式为 RSA 数字签名。
[DeviceA-ikev2-profile-profile1] authentication-method local rsa-signature
# 指定对端的身份认证方式为 RSA 数字签名。
[DeviceA-ikev2-profile-profile1] authentication-method remote rsa-signature
# 指定引用的 PKI 域为 domain1。
[DeviceA-ikev2-profile-profile1] certificate domain domain1
# 配置 FQDN 名 www.routera.com 作为本端的身份标识。
[DeviceA-ikev2-profile-profile1] identity local fqdn www.routera.com
# 配置匹配对端身份的规则为 FQDN 名 www.routerb.com。
[DeviceA-ikev2-profile-profile1] match remote identity fqdn www.routerb.com
[DeviceA-ikev2-profile-profile1] quit
# 创建 IKEv2 提议 10。
[DeviceA] ikev2 proposal 10
# 指定 IKEv2 提议使用的完整性校验算法为 HMAC-MD5。
[DeviceA-ikev2-proposal-10] integrity md5
17
# 指定 IKEv2 提议使用的加密算法为 3DES。
[DeviceA-ikev2-proposal-10] encryption 3des-cbc
# 指定 IKEv2 提议使用的 DH group 为 group1。
[DeviceA-ikev2-proposal-10] dh group1
# 指定 IKEv2 提议使用的 PRF 算法为 HMAC-MD5。
[DeviceA-ikev2-proposal-10] prf md5
[DeviceA-ikev2-proposal-10] quit
# 创建 IKEv2 安全策略 1。
[DeviceA] ikev2 policy 1
# 指定引用的 IKEv2 proposal 10。
[DeviceA-ikev2-policy-1] proposal 10
[DeviceA-ikev2-policy-1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略,名称为 map1,顺序号为 10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置 IPsec 隧道的对端 IP 地址为 2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用的安全提议为 tran1。
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用 ACL 3101。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 map1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy map1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置到 Host B 所在子网的静态路由。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(2) 配置 Device B
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.2.0/24 去子网 10.1.1.0/24 的数据流。
[DeviceB] acl advanced 3101
[DeviceB-acl-ipv4-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[DeviceB-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 tran1。
[DeviceB] ipsec transform-set tran1
# 配置安全协议对 IP 报文的封装形式为隧道模式。
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为 ESP。
[DeviceB-ipsec-transform-set-tran1] protocol esp
# 配置 ESP 协议采用的加密算法为 DES,认证算法为 HMAC-SHA-1-96。
18
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
# 创建 PKI 实体 entity2。
[DeviceB] pki entity entity2
# 配置 PKI 实体的通用名。
[DeviceB-pki-entity-entity2] common-name routerb
[DeviceB-pki-entity-entity2] quit
# 创建 PKI 域 domain2。
[DeviceB] pki domain domain2
# 配置证书申请模式为自动模式,并设置吊销证书时使用的口令。
[DeviceB-pki-domain-domain2] certificate request mode auto password simple 123
# 配置验证 CA 根证书时所使用的指纹。
[DeviceB-pki-domain-domain2] root-certificate fingerprint md5
50c7a2d282ea710a449eede6c56b102e
# 配置 CA 服务器名称。
[DeviceB-pki-domain-domain2] ca identifier 8088
# 配置实体通过 SCEP 进行证书申请的注册受理机构服务器的 URL(此处的 URL 仅为示例,请以
组网环境中的实际情况为准)。
[DeviceB-pki-domain-domain2] certificate request url
http://192.168.222.1:446/eadbf9af4f2c4641e685f7a6021e7b298373feb7
# 配置证书申请的注册受理机构。
[DeviceB-pki-domain-domain2] certificate request from ca
# 配置指定用于申请证书的 PKI 实体名称。
[DeviceB-pki-domain-domain2] certificate request entity entity2
# 配置指定证书申请使用的 RSA 密钥对。
[DeviceB-pki-domain-domain2] public-key rsa general name rsa1
[DeviceB-pki-domain-domain2] quit
# 创建 IKEv2 profile,名称为 profile2。
[DeviceB] ikev2 profile profile2
# 指定本端的身份认证方式为 RSA 数字签名。
[DeviceB-ikev2-profile-profile2] authentication-method local rsa-signature
# 指定对端的身份认证方式为 RSA 数字签名。
[DeviceB-ikev2-profile-profile2] authentication-method remote rsa-signature
# 配置 FQDN 名 www.routerb.com 作为本端的身份标识。
[DeviceB-ikev2-profile-profile2] identity local fqdn www.routerb.com
# 配置匹配对端身份的规则为 FQDN 名 www.routera.com。
[DeviceB-ikev2-profile-profile2] match remote identity fqdn www.routera.com
[DeviceB-ikev2-profile-profile2] quit
# 创建 IKEv2 提议 10。
[DeviceB] ikev2 proposal 10
# 指定 IKEv2 提议使用的完整性校验算法为 HMAC-MD5。
[DeviceB-ikev2-proposal-10] integrity md5
# 指定 IKEv2 提议使用的加密算法为 3DES。
19
[DeviceB-ikev2-proposal-10] encryption 3des-cbc
# 指定 IKEv2 提议使用的 DH group 为 group1。
[DeviceB-ikev2-proposal-10] dh group1
# 指定 IKEv2 提议使用的 PRF 算法为 HMAC-MD5。
[DeviceB-ikev2-proposal-10] prf md5
[DeviceB-ikev2-proposal-10] quit
# 创建 IKEv2 安全策略 1。
[DeviceB] ikev2 policy 1
# 指定引用的 IKEv2 proposal 10。
[DeviceB-ikev2-policy-1] proposal 10
[DeviceB-ikev2-policy-1] quit
# 创建一条 IPsec 安全策略模板,名称为 template1,顺序号为 1。
[DeviceB] ipsec policy-template template1 1
# 配置 IPsec 隧道的对端 IP 地址为 1.1.1.1。
[DeviceB-ipsec-policy-template-template1-1] remote-address 1.1.1.1
# 指定引用 ACL 3101。
[DeviceB-ipsec-policy-template-template1-1] security acl 3101
# 指定引用的安全提议为 tran1。
[DeviceB-ipsec-policy-template-template1-1] transform-set tran1
# 指定引用的 IKEv2 profile 为 profile2。
[DeviceB-ipsec-policy-template-template1-1] ikev2-profile profile2
[DeviceB-ipsec-policy-template-template1-1] quit
# 引用 IPsec 安全策略模板创建一条 IPsec 安全策略,名称为 use1,顺序号为 1。
[DeviceB] ipsec policy use1 1 isakmp template template1
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 use1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy use1
[DeviceB-GigabitEthernet1/0/1] quit
# 配置到 Host A 所在子网的静态路由。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 1.1.1.1
4.验证配置
以上配置完成后,Device A 和 Device B 之间如果有子网 10.1.1.0/24 与子网 10.1.2.0/24 之间的报
文通过,将触发 IKEv2 协商。
# 可通过如下显示信息查看到 Device A 和 Device B 上的 IKEv2 提议。
[DeviceA] display ikev2 proposal 10
IKEv2 proposal : 10
Encryption : 3DES-CBC
Integrity : MD596
PRF : MD5
DH Group : Group1
[DeviceB] display ikev2 proposal 10
IKEv2 proposal : 10
Encryption : 3DES-CBC
Integrity : MD596
20
PRF : MD5
DH Group : Group1
# 可通过如下显示信息查看到 Device A 和 Device B 上的 IKEv2 安全策略。
[DeviceA] display ikev2 policy 1
IKEv2 policy : 1
Match Local : any
Match VPN instance : public
Proposal : 1
[DeviceB] display ikev2 policy 1
IKEv2 policy : 1
Match Local : any
Match VPN instance : public
Proposal : 1
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商成功后生成的 IKEv2 SA。
[DeviceA] display ikev2 sa
Tunnel ID Local Remote Status
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Establish, DEL:Deleting
# 可通过如下显示信息查看到 Device A 上自动触发获取到的 CA 证书。
[DeviceA] display pki certificate domain domain1 ca
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
b9:14:fb:25:c9:08:2c:9d:f6:94:20:30:37:4e:00:00
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=rnd, OU=sec, CN=8088
Validity
Not Before: Sep 6 01:53:58 2012 GMT
Not After : Sep 8 01:50:58 2015 GMT
Subject: C=cn, O=rnd, OU=sec, CN=8088
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:de:81:f4:42:c6:9f:c2:37:7b:21:84:57:d6:42:
00:69:1c:4c:34:a4:5e:bb:30:97:45:2b:5e:52:43:
c0:49:1f:e1:d8:0f:5c:48:c2:39:69:d1:84:e4:14:
70:3d:98:41:28:1c:20:a1:9a:3f:91:67:78:77:27:
d9:08:5f:7a:c4:36:45:8b:f9:7b:e7:7d:6a:98:bb:
4e:a1:cb:2c:3d:92:66:bd:fb:80:35:16:c6:35:f0:
ff:0b:b9:3c:f3:09:94:b7:d3:6f:50:8d:83:f1:66:
2f:91:0b:77:a5:98:22:b4:77:ac:84:1d:03:8e:33:
1b:31:03:78:4f:77:a0:db:af
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
21
9a:6d:8c:46:d3:18:8a:00:ce:12:ee:2b:b0:aa:39:5d:3f:90:
08:49:b9:a9:8f:0d:6e:7b:e1:00:fb:41:f5:d4:0c:e4:56:d8:
7a:a7:61:1d:2b:b6:72:e3:09:0b:13:9d:fa:c8:fc:c4:65:a7:
f9:45:21:05:75:2c:bf:36:7b:48:b4:4a:b9:fe:87:b9:d8:cf:
55:16:87:ec:07:1d:55:5a:89:74:73:68:5e:f9:1d:30:55:d9:
8a:8f:c5:d4:20:7e:41:a9:37:57:ed:8e:83:a7:80:2f:b8:31:
57:3a:f2:1a:28:32:ea:ea:c5:9a:55:61:6a:bc:e5:6b:59:0d:
82:16
# 可通过如下显示信息查看到 Device A 上自动触发申请到的本地证书。
[DeviceA]display pki certificate domain domain1 local
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
a1:f4:d4:fd:cc:54:c3:07:c4:9e:15:2d:5f:64:57:77
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=cn, O=rnd, OU=sec, CN=8088
Validity
Not Before: Sep 26 02:06:43 2012 GMT
Not After : Sep 26 02:06:43 2013 GMT
Subject: CN=devicea
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:b0:a1:cd:24:6e:1a:1d:51:79:f0:2a:3e:9f:e9:
84:07:16:78:49:1b:7d:0b:22:f0:0a:ed:75:91:a4:
17:fd:c7:ef:d0:66:5c:aa:e3:2a:d9:71:12:e4:c6:
25:77:f0:1d:97:bb:92:a8:bd:66:f8:f8:e8:d5:0d:
d2:c8:01:dd:ea:e6:e0:80:ad:db:9d:c8:d9:5f:03:
2d:22:07:e3:ed:cc:88:1e:3f:0c:5e:b3:d8:0e:2d:
ea:d6:c6:47:23:6a:11:ef:3c:0f:6b:61:f0:ca:a1:
79:a0:b1:02:1a:ae:8c:c9:44:e0:cf:d1:30:de:4c:
f0:e5:62:e7:d0:81:5d:de:d3
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 CRL Distribution Points:
Full Name:
URI:http://xx.rsa.com:447/8088.crl
22
65:fb:de:7c:ed:53:ab:14:7a:cf:69:f2:42:a4:44:7c:6e:90:
7e:cd
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商生成的 IPsec SA。
[DeviceA] display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/1
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1456
Tunnel:
local address: 1.1.1.1
remote address: 2.2.2.2
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
23
1.9.3 IKEv2 NAT 穿越典型配置举例
1.组网需求
Device A 在 NAT 安全网关内网侧。要求在 Device A 和 Device B 之间建立一个 IPsec 隧道,对 Host
A 所在的子网(10.1.1.2/24)与 Host B 所在的子网(10.1.2.2/24)之间的数据流进行安全保护。具
体需要求如下:
协商双方使用缺省的 IKEv2 安全提议和 IKEv2 安全策略。
第一阶段协商的认证方法为预共享密钥认证。
2.组网图
图4 IKEv2 NAT 穿越典型组网图
Host A Host B
10.1.1.2/24 10.1.2.2/24
3.配置步骤
(1) 配置 Device A
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.1.0/24 去往子网 10.1.2.0/24 的数据流。
<DeviceA> system-view
[DeviceA] acl advanced 3101
[DeviceA-acl-ipv4-adv-3101] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0
0.0.0.255
[DeviceA-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 transform1。
[DeviceA] ipsec transform-set transform1
# 配置采用的安全协议为 ESP。
[DeviceA-ipsec-transform-set-transform1] protocol esp
# 配置 ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceA-ipsec-transform-set-transform1] quit
# 创建 IKEv2 keychain,名称为 keychain1。
[DeviceA] ikev2 keychain keychain1
# 创建 IKEV2 对端,名称为 peer1。
[DeviceA-ikev2-keychain-keychain1] peer peer1
24
# 指定对端 peer1 的主机地址为 2.2.2.2/24。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] address 2.2.2.2 24
# 指定对端 peer1 的身份信息。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] identity address 2.2.2.2
# 配置对端 peer1 使用的预共享密钥为明文 123。
[DeviceA-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123
[DeviceA-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceA-ikev2-keychain-keychain1] quit
# 创建 IKEv2 profile,名称为 profile1。
[DeviceA] ikev2 profile profile1
# 指定引用的 IKEv2 keychain 为 keychain1。
[DeviceA-ikev2-profile-profile1] keychain keychain1
# 配置本端身份为 FQDN 名称 www.devicea.com。
[DeviceA-ikev2-profile-profile1] identity local fqdn www.devicea.com
# 配置匹配对端身份的规则为 IP 地址 2.2.2.2/24。
[DeviceA-ikev2-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ikev2-profile-profile1] quit
# 创建一条 IKEv2 协商方式的 IPsec 安全策略,名称为 policy1,顺序号为 1。
[DeviceA] ipsec policy policy1 1 isakmp
# 配置 IPsec 隧道的对端 IP 地址为 2.2.2.2。
[DeviceA-ipsec-policy-isakmp-policy1-1] remote-address 2.2.2.2
# 指定引用的安全提议为 transform1。
[DeviceA-ipsec-policy-isakmp-policy1-1] transform-set transform1
# 指定引用 ACL 3101。
[DeviceA-ipsec-policy-isakmp-policy1-1] security acl 3101
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceA-ipsec-policy-isakmp-policy1-1] ikev2-profile profile1
[DeviceA-ipsec-policy-isakmp-policy1-1] quit
# 在接口 GigabitEthernet1/0/1 上应用 IPsec 安全策略 policy1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipsec apply policy policy1
[DeviceA-GigabitEthernet1/0/1] quit
# 配置到 Host B 所在子网的静态路由。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(2) 配置 Device B
# 配置各接口的 IP 地址,具体略。
# 配置 ACL 3101,定义要保护由子网 10.1.2.0/24 去往子网 10.1.1.0/24 的数据流。
<DeviceB> system-view
[DeviceB] acl advanced 3101
[DeviceB-acl-ipv4-adv-3101] rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
[DeviceB-acl-ipv4-adv-3101] quit
# 创建 IPsec 安全提议 transform1。
[DeviceB] ipsec transform-set transform1
25
# 配置采用的安全协议为 ESP。
[DeviceB-ipsec-transform-set-transform1] protocol esp
# 配置 ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5。
[DeviceB-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceB-ipsec-transform-set-transform1] esp authentication-algorithm md5
[DeviceB-ipsec-transform-set-transform1] quit
# 创建 IKEv2 keychain,名称为 keychain1。
[DeviceB]ikev2 keychain keychain1
# 创建 IKEV2 对端,名称为 peer1。
[DeviceB-ikev2-keychain-keychain1] peer peer1
# 指定对端 peer1 的主机地址为 1.1.1.1/24。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] address 1.1.1.1 24
# 指定对端 peer1 的身份信息。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] identity address 1.1.1.1
# 配置对端 peer1 使用的预共享密钥为明文 123。
[DeviceB-ikev2-keychain-keychain1-peer-peer1] pre-shared-key plaintext 123
[DeviceB-ikev2-keychain-keychain1-peer-peer1] quit
[DeviceB-ikev2-keychain-keychain1] quit
# 创建 IKEv2 profile,名称为 profile1。
[DeviceB] ikev2 profile profile1
# 指定引用的 IKEv2 keychain 为 keychain1。
[DeviceB-ikev2-profile-profile1] keychain keychain1
# 配置匹配对端身份的规则为 FQDN 名称 www.devicea.com。
[DeviceB-ikev2-profile-profile1] match remote identity fqdn www.devicea.com
[DeviceB-ikev2-profile-profile1] quit
# 创建一个 IKEv2 协商方式的 IPsec 安全策略模板,名称为 template1,顺序号为 1。
[DeviceB] ipsec policy-template template1 1
# 配置 IPsec 隧道的对端 IP 地址为 1.1.1.1。
[DeviceB-ipsec-policy-template-template1-1] remote-address 1.1.1.1
# 指定引用 ACL 3101。
[DeviceB-ipsec-policy-template-template1-1] security acl 3101
# 指定引用的安全提议为 transform1。
[DeviceB-ipsec-policy-template-template1-1] transform-set transform1
# 指定引用的 IKEv2 profile 为 profile1。
[DeviceB-ipsec-policy-template-template1-1] ikev2-profile profile1
[DeviceB-ipsec-policy-template-template1-1] quit
# 引用 IPsec 安全策略模板创建一条 IKEv2 协商方式的 IPsec 安全策略,
名称为 policy1,
顺序号 1。
[DeviceB] ipsec policy policy1 1 isakmp template template1
# 在接口 GigabitEthernet1/0/1 上应用安全策略 policy1。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipsec apply policy policy1
[DeviceB-GigabitEthernet1/0/1] quit
# 配置到 Host A 所在子网的静态路由,下一跳为 NAT 设备出接口的 IP 地址。
26
4.验证配置
以上配置完成后,子网 10.1.1.0/24 若向子网 10.1.2.0/24 发送报文,将触发 IKEv2 协商。
# 可通过如下显示信息查看到 Device A 上 IKEv2 协商成功后生成的 IKEv2 SA。
[DeviceA] display ikev2 sa
Tunnel ID Local Remote Status
---------------------------------------------------------------------------
1 1.1.1.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Establish, DEL:Deleting
[DeviceA] display ikev2 sa verbose
-----------------------------------------------
Connection ID: 13
Outside VPN:
Inside VPN:
Profile: profile1
Transmitting entity: Initiator
-----------------------------------------------
Local IP: 1.1.1.1
Local ID type: FQDN
Local ID: www.devicea.com
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: MD5
Encryption-algorithm: 3DES-CBC
-----------------------------
IPsec policy: policy1
Sequence number: 1
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
27
Perfect forward secrecy:
Path MTU: 1435
Tunnel:
local address: 1.1.1.1
remote address: 2.2.2.2
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.2.1.0/255.255.255.0 port: 0 protocol: IP
1.10 常见错误配置举例
1.10.1 IKEv2 提议不匹配导致 IKEv2 SA 协商失败
1.故障现象
通过如下命令查看当前的 IKEv2 SA 信息,发现 IKEv2 SA 的状态(Status 字段)为 IN-NEGO。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
---------------------------------------------------------------------------
5 123.234.234.124/500 123.234.234.123/500 IN-NEGO
Status:
IN-NEGO: Negotiating, EST: Establish, DEL:Deleting
2.故障分析
IKEv2 提议配置错误。
28
3.处理过程
(1) 排查 IKEv2 相关配置。具体包括:检查两端的 IKEv2 提议是否匹配,即 IKEv2 提议中的认证
方法、认证算法、加密算法、PRF 算法是否匹配。
(2) 修改 IKEv2 提议的配置,使本端 IKEv2 提议的配置和对端匹配。
1.10.3 无法建立安全隧道
1.故障现象
双方的 ACL 配置正确,也有相匹配的 IKEv2 安全提议,但安全隧道无法建立或者存在安全隧道却
无法通信。
2.故障分析
这种情况一般是由于网络状态不稳定,安全隧道建立好以后,有一方的设备重启造成了两端的 IKEv2
SA 或者 IPsec SA 不对称。
3.处理过程
使用 display ikev2 sa 命令检查双方是否都已建立 IKEv2 SA。如果有一端存在的 IKEv2 SA 在另一
端上不存在,请先使用 reset ikev2 sa 命令清除双方不对称存在的 IKEv2 SA,并重新发起协商;
如果两端存在对称的 IKEv2 SA,则使用 display ipsec sa 命令查看接口上的安全策略是否已建立
了对称的 IPsec SA。如果一端存在的 IPsec SA 在另一端上不存在,请使用 reset ipsec sa 命令清
除双方不对称存在的 IPsec SA,并重新发起协商。
1.11 IKEv2命令
1.11.1 aaa authorization
aaa authorization 命令用来开启 IKEv2 的 AAA 授权功能。
undo aaa authorization 命令用来关闭 IKEv2 的 AAA 授权功能。
29
【命令】
aaa authorization domain domain-name username user-name
undo aaa authorization
【缺省情况】
IKEv2 的 AAA 授权功能处于关闭状态。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain domain-name:申请授权属性时使用的 ISP 域名,为 1~255 个字符的字符串,不区分大
小写,不能包括“/” 、“\” 、“|”、“””、“:”、“*”、“?” 、“<”、“>”以及“@”字符,且不能为字符
串“d” 、“de” 、“def”、“defa”、“defau”、“defaul”、
“default”
、“i”、
“if”、
“if-”、
“if-u”、
“if-un”
、
“if-unk”、“if-unkn”、
“if-unkno”、
“if-unknow”和“if-unknown” 。
username user-name:申请授权属性时使用的用户名,为 1~55 个字符的字符串,区分大小写。
用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能
为“a” 、“al”或“all” 。
【使用指导】
开启 AAA 授权功能后,IKEv2 可以向 AAA 模块申请授权属性,例如 IKEv2 本地地址池属性。IKEv2
模块使用指定的 ISP 域名和用户名向 AAA 模块发起授权请求,AAA 模块采用域中的授权配置向远
程 AAA 服务器或者本地用户数据库请求该用户的授权信息。用户名验证成功之后,IKEv2 本端将会
得到相应的授权属性。该功能适合于由 AAA 模块集中管理和部署相关授权属性的组网环境。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在 IKEv2 profile prof1 中开启 AAA 授权功能,指定 ISP 域为 abc,用户名为 test。
[Sysname-ikev2-profile-profile1] aaa authorization domain abc username test
【相关命令】
display ikev2 profile
1.11.2 address
address 命令用来指定 IKEv2 peer 的主机地址。
undo address 命令用来恢复缺省情况。
【命令】
address { ipv4-address [ mask | mask-length ] | ipv6 ipv6-address [ prefix-length ] }
undo address
30
【缺省情况】
未指定 IKEv2 peer 的主机地址。
【视图】
IKEv2 peer 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:IKEv2 peer 的 IPv4 主机地址。
Mask:IPv4 地址子网掩码。
mask-length:IPv4 地址的掩码长度,取值范围为 0~32。
ipv6 ipv6-address:IKEv2 peer 的 IPv6 主机地址。
prefix-length:IPv6 地址的前缀长度,取值范围为 0~128。
【使用指导】
使用主机地址查询 IKEv2 peer 对于 IKEv2 协商中的发起方和响应方均适用。
同一 keychain 视图下的不同 IKEv2 peer 不能配置相同的地址。
【举例】
# 创建一个 IKEv2 keychain,名称为 key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定 IKEv2 peer 的 IP 地址为 3.3.3.3,掩码为 255.255.255.0。
[Sysname-ikev2-keychain-key1-peer-peer1] address 3.3.3.3 255.255.255.0
【相关命令】
ikev2 keychain
peer
1.11.3 authentication-method
authentication-method 命令用来指定 IKEv2 本端和对端的身份认证方式。
undo authentication-method 命令用来删除 IKEv2 本端或对端身份认证方式。
【命令】
authentication-method { local | remote } { dsa-signature | ecdsa-signature | pre-share |
rsa-signature }
undo authentication-method local
undo authentication-method remote { dsa-signature | ecdsa-signature | pre-share |
rsa-signature }
31
【缺省情况】
未配置本端和对端的认证方式。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local:指定本端的身份认证方式。
remote:指定对端的身份认证方式。
dsa-signature:表示身份认证方式为 DSA 数字签名方式。
ecdsa-signature:表示身份认证方式为 ECDSA 数字签名方式。
pre-share:表示身份认证方式为预共享密钥方式。
rsa-signature:表示身份认证方式为 RSA 数字签名方式。
【使用指导】
一个 IKEv2 profile 中,必须配置 IKEv2 本端和对端的身份认证方式。本端和对端可以采用不同的身
份认证方式。
只能指定一个本端身份认证方式,可以指定多个对端身份认证方式。在有多个对端且对端身份认证
方式未知的情况下,可以通过多次执行本命令指定多个对端的身份认证方式。
如果本端或对端的身份认证方式为 RSA、DSA 或 ECDSA 数字签名方式(rsa-signature、
dsa-signature 或 ecdsa-signature)
,则还必须通过命令 certificate domain 指定 PKI 域来获取用
于签名和验证的数字证书。若没有指定 PKI 域,则使用系统视图下通过命令 pki domain 配置的 PKI
域。
如果本端或对端的认证方式为预共享密钥方式(pre-share),则还必须在本 IKEv2 profile 引用的
keychain 中指定对等体的预共享密钥。
【举例】
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定本端的认证方式为预共享密钥方式,对端的认证方式为 RSA 数字签名方式。
[Sysname-ikev2-profile-profile1] authentication local pre-share
[Sysname-ikev2-profile-profile1] authentication remote rsa-signature
# 指定对端用于签名和验证的 certificate 域为 genl。
[Sysname-ikev2-profile-profile1] certificate domain genl
# 指定 IKEv2 profile 引用的 keychain 为 keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
display ikev2 profile
certificate domain (ikev2 profile view)
keychain (ikev2 profile view)
32
1.11.4 certificate domain
certificate domain 命令用来指定 IKEv2 协商采用数字签名认证时使用的 PKI 域。
undo certificate domain 命令用来取消配置 IKEv2 协商时使用的 PKI 域。
【命令】
certificate domain domain-name [ sign | verify ]
undo certificate domain domain-name
【缺省情况】
使用系统视图下配置的 PKI 域来验证证书。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
domain-name:PKI 域的名称,为 1~31 个字符的字符串,不区分大小写。
sign:指定本端使用该 PKI 域中的本地证书生成数字签名。
verify:指定本端使用该 PKI 域中的 CA 证书来验证对端证书。
【使用指导】
如果没有指定 sign 和 verify,则表示指定的 PKI 域既用于签名也用于验证。一个 PKI 域用于签名
还是验证取决于最后一次的配置,例如,先配了 certificate domain abc sign,然后再配 certificate
domain abc verify,那么最终 PKI 域 abc 只用于验证功能。
可通过多次执行本命令分别指定用于数字签名的 PKI 域和用于验证的 PKI 域。
如果本端的认证方式配置为 RSA、DSA 或 ECDSA 数字签名方式,则必须通过本命令指定 PKI 域
来获取用于签名的本地证书;如果对端的认证方式配置为 RSA、DSA 或 ECDSA 数字签名方式,
则使用本命令指定 PKI 域来获取用于验证的 CA 证书,若未指定 PKI 域,则使用系统视图下的所有
PKI 域来验证。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置 IKEv2 profile 引用的 PKI 域 abc 用于签名,PKI 域 def 用于验证。
[Sysname-ikev2-profile-profile1] certificate domain abc sign
[Sysname-ikev2-profile-profile1] certificate domain def verify
【相关命令】
authentication-method
pki domain(安全命令参考/PKI)
33
1.11.5 config-exchange
config-exchange 命令用来开启配置交换功能。
undo config-exchange 命令用来关闭指定的配置交换功能。
【命令】
config-exchange { request | set { accept | send } }
undo config-exchange { request | set { accept | send } }
【缺省情况】
所有的配置交换功能均处于关闭状态。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
request:表示本端在 Auth 交换请求报文中携带配置交换请求载荷。
set:表示本端在 Info 报文中携带配置交换设置载荷。
accept:表示本端可接受配置交换设置载荷。
send:表示本端可发送配置交换设置载荷。
【使用指导】
配置交换包括请求数据、回应数据、主动推数据和回应推数据,请求和推送的数据可以为网关地址,
内部地址,路由信息等,目前仅支持中心侧内部地址分配。分支侧可以申请地址,但申请到的地址
暂无用。
本端可以同时配置 request 和 set 参数。
如果本端配置了 request 参数,则只要对端能通过 AAA 授权获取到对应的请求数据,就会对本端
的请求进行响应。
如果本端配置了 set send 参数,则对端必须配置 set accept 参数来配合使用。
如果本端配置了 set send 参数,且没有收到配置请求时,IKEv2 SA 协商成功后才会推送地址给对
端。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置本端在 Auth 交换请求报文中携带配置交换请求载荷。
[Sysname-ikev2-profile-profile1] config-exchange request
【相关命令】
aaa authorization
configuration policy
34
display ikev2 profile
字段 描述
Priority IKEv2安全策略优先级
35
字段 描述
Proposal IKEv2安全策略引用的IKEv2安全提议名称
【相关命令】
ikev2 policy
36
Domain2
yy
SA duration: 500 seconds
DPD: Interval 32 secs, retry-interval 23 secs, periodic
Config exchange: request, set accept, set send
NAT keepalive: 10 seconds
Inside VRF: vrf1
AAA authorization: Domain domain1, username ikev2
Local authentication
本端认证方法
method
Remote
authentication 对端认证方法
methods
Sign certificate
用于签名的PKI域
domain
Verify certificate
用于验证的PKI域
domain
DPD功能参数:探测的间隔时间(单位为秒)、重传时间间隔(单位为秒)、探测模式
DPD (按需探测或周期探测)
若未开启DPD功能,则显示为Disabled
配置交换功能:
request:表示本端将在 Auth 交换请求报文中携带配置交换请求载荷
Config exchange
set accept:表示本端可接受配置交换设置载荷
set send:表示本端可发送配置交换设置载荷
【相关命令】
ikev2 profile
37
1.11.8 display ikev2 proposal
display ikev2 proposal 命令用来显示 IKEv2 安全提议的配置信息。
【命令】
display ikev2 proposal [ name | default ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name:IKEv2 安全提议的名称,为 1~63 个字符的字符串,不区分大小写。
default:缺省的 IKEv2 安全提议。
【使用指导】
IKEv2 安全提议按照优先级从高到低的顺序显示。若不指定任何参数,则显示所有 IKEv2 提议的配
置信息。
【举例】
# 显示所有 IKEv2 安全提议的配置信息。
<Sysname> display ikev2 proposal
IKEv2 proposal: 1
Encryption: 3DES-CBC, AES-CBC-128, AES-CTR-192, CAMELLIA-CBC-128
Integrity: MD5, SHA256, AES-XCBC
PRF: MD5, SHA256, AES-XCBC
DH group: MODP1024/Group 2, MODP1536/Group 5
Encryption IKEv2安全提议采用的加密算法
Integrity IKEv2安全提议采用的完整性校验算法
PRF IKEv2安全提议采用的PRF算法
38
字段 描述
DH group IKEv2安全提议采用的DH组
【相关命令】
ikev2 proposal
39
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
# 显示对端地址为 1.1.1.2 的 IKEv2 SA 的摘要信息。
<Sysname> display ikev2 sa remote 1.1.1.2
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
Status:
IN-NEGO: Negotiating, EST: Established, DEL: Deleting
IKEv2 SA的状态:
IN-NEGO(Negotiating):表示此 IKE SA 正在协商
Status
EST(Established):表示此 IKE SA 已建立成功
DEL(Deleting):表示此 IKE SA 将被删除
40
DPD:Interval 20 secs, retry interval 2 secs
Transmitting entity: Initiator
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID:2
Local next message ID: 0
Remote next message ID: 0
Local window: 1
Remote window: 1
Local request message ID: 2
Remote request message ID: 2
Local next message ID: 0
Remote next message ID: 0
41
Pushed IP address: 192.168.1.5
Assigned IP address: 192.168.2.24
Local ID 本端安全网关的身份信息
Remote ID 对端安全网关的身份信息
DPD探测的时间间隔和重传时间(单位为秒),若未开启DPD探测功能,
DPD
则显示为Disabled
42
字段 描述
1.11.10 dh
dh 命令用来配置 IKEv2 密钥协商时所使用的 DH 密钥交换参数。
undo dh 命令用来恢复缺省情况。
【命令】
非 FIPS 模式下:
dh { group1 | group14 | group2 | group24 | group5 | group19 | group20 } *
undo dh
FIPS 模式下:
dh { group14 | group19 | group20 } *
undo dh
【缺省情况】
IKEv2 安全提议未定义 DH 组。
【视图】
IKEv2 安全提议视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
group1:指定密钥协商时采用 768-bit 的 Diffie-Hellman group。
group2:指定密钥协商时采用 1024-bit 的 Diffie-Hellman group。
group5:指定密钥协商时采用 1536-bit 的 Diffie-Hellman group。
group14:指定密钥协商时采用 2048-bit 的 Diffie-Hellman group。
group24:指定密钥协商时采用含 256-bit 的 sub-group 的 2048-bit Diffie-Hellman group。
group19:指定密钥协商时采用 ECP 模式含 256-bit 的 Diffie-Hellman group。
group20:指定密钥协商时采用 ECP 模式含 384-bit 的 Diffie-Hellman group。
【使用指导】
group1 提供了最低的安全性,但是处理速度最快。group24 提供了最高的安全性,但是处理速度最
慢。其他的 group 随着位数的增加,提供了更高的安全性,但是处理速度会相应减慢。请根据实际
组网环境中对安全性和性能的要求选择合适的 Diffie-Hellman group。
一个 IKEv2 安全提议中至少需要配置一个 DH 组,否则该安全提议不完整。
一个 IKEv2 安全提议中可以配置多个 DH 组,其使用优先级按照配置顺序依次降低。
43
【举例】
# 指定 IKEv2 提议 1 使用 768-bit 的 Diffie-Hellman group。
<Sysname> system-view
[Sysname] ikev2 proposal 1
[Sysname-ikev2-proposal-1] dh group1
【相关命令】
ikev2 proposal
1.11.11 dpd
dpd 用来配置 IKEv2 DPD 探测功能。
undo dpd 命令用来关闭 IKEv2 DPD 探测功能。
【命令】
dpd interval interval [ retry seconds ] { on-demand | periodic }
undo dpd interval
【缺省情况】
IKEv2 profile 视图下的 DPD 探测功能处于关闭状态,使用全局的 DPD 配置。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval:指定 IKEv2 DPD 探测的间隔时间,取值范围为 10~3600,单位为秒。对于按需
探测模式,指定经过多长时间没有从对端收到 IPsec 报文,则本端发送 IPsec 报文时触发 DPD 探
测;对于定时探测模式,指触发一次 DPD 探测的时间间隔。
retry seconds:指定 DPD 报文的重传时间间隔,取值范围为 2~60,单位为秒。缺省值为 5 秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送用户报文时,如果
发现当前距离最后一次收到对端报文的时间超过指定的触发 IKEv2 DPD 探测的时间间隔,则触发
DPD 探测。
periodic:指定定时探测模式,即按照触发 IKEv2 DPD 探测的时间间隔定时探测对端是否存活。
【使用指导】
IKEv2 DPD 有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模
式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,
则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与
大量的 IKEv2 对端通信时,应优先考虑使用按需探测模式。
配置的 interval 一定要大于 retry,保证在重传 DPD 报文的过程中不触发新的 DPD 探测。
44
【举例】
# 为 IKEv2 profile1 配置 IKEv2 DPD 功能,指定若 10 秒内没有从对端收到 IPsec 报文,则触发 IKEv2
DPD 探测,DPD 请求报文的重传时间间隔为 5 秒,探测模式为按需探测。
<Sysname> system-view
[Sysname] ikev2 profile profile1
[Sysname-ikev2-profile-profile1] dpd interval 10 retry 5 on-demand
【相关命令】
ikev2 dpd
1.11.12 encryption
encryption 命令用来指定 IKEv2 安全提议使用的加密算法。
undo encryption 命令用来恢复缺省情况。
【命令】
非 FIPS 模式下:
encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 |
aes-ctr-256 | camellia-cbc-128 | camellia-cbc-192 | camellia-cbc-256 | des-cbc } *
undo encryption
FIPS 模式下:
encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 }
*
undo encryption
【缺省情况】
IKEv2 安全提议未定义加密算法。
【视图】
IKEv2 安全提议视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
3des-cbc:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 3DES 算法,3DES 算法采用 168
比特的密钥进行加密。
aes-cbc-128:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 AES 算法,AES 算法采用 128
比特的密钥进行加密。
aes-cbc-192:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 AES 算法,AES 算法采用 192
比特的密钥进行加密。
aes-cbc-256:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 AES 算法,AES 算法采用 256
比特的密钥进行加密。
45
aes-ctr-128:指定 IKEv2 安全提议采用的加密算法为 CTR 模式的 AES 算法,密钥长度为 128 比
特。
aes-ctr-192:指定 IKEv2 安全提议采用的加密算法为 CTR 模式的 AES 算法,密钥长度为 192 比
特。
aes-ctr-256:指定 IKEv2 安全提议采用的加密算法为 CTR 模式的 AES 算法,密钥长度为 256 比
特。
camellia-cbc-128:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 camellia 算法,密钥长度
为 128 比特。
camellia-cbc-192:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 camellia 算法,密钥长度
为 192 比特。
camellia-cbc-256:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 camellia 算法,密钥长度
为 256 比特。
des-cbc:指定 IKEv2 安全提议采用的加密算法为 CBC 模式的 DES 算法,DES 算法采用 56 比特
的密钥进行加密。
【使用指导】
IKEv2 安全提议中至少需要配置一个加密算法,否则该安全提议不完整,也不可用。一个 IKEv2 安
全提议中可以配置多个加密算法,其使用优先级按照配置顺序依次降低。
【举例】
# 指定 IKEv2 安全提议 1 的加密算法为 CBC 模式的 168-bit 3DES。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption-algorithm 3des-cbc
【相关命令】
ikev2 proposal
1.11.13 hostname
hostname 命令用来指定 IKEv2 peer 的主机名称。
undo hostname 命令用来恢复缺省情况。
【命令】
hostname name
undo hostname
【缺省情况】
未配置 IKEv2 peer 的主机名称。
【视图】
IKEv2 peer 视图
【缺省用户角色】
network-admin
mdc-admin
46
【参数】
name:IKEv2 peer 主机名称,为 1~253 个字符的字符串,不区分大小写。
【使用指导】
主机名仅适用于在基于 IPsec 安全策略的 IKEv2 协商中发起方查询 IKEv2 peer,
不适用于基于 IPsec
虚拟隧道接口的 IKEv2 协商。
【举例】
# 创建 IKEv2 keychain,名称为 key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定 IKEv2 peer 的主机名为 test。
[Sysname-ikev2-keychain-key1-peer-peer1] hostname test
【相关命令】
ikev2 keychain
peer
1.11.14 identity
identity 命令用来指定 IKEv2 peer 的身份信息。
undo identity 命令用来恢复缺省情况。
【命令】
identity { address { ipv4-address | ipv6 { ipv6-address } } | fqdn fqdn-name | email email-string |
key-id key-id-string }
undo identity
【缺省情况】
未指定 IKEv2 peer 的身份信息。
【视图】
IKEv2 peer 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:对端 IPv4 地址。
ipv6 ipv6-address:对端 IPv6 地址。
fqdn fqdn-name:对端 FQDN 名称,为 1~255 个字符的字符串,区分大小写,例如 www.test.com。
email email-string:指定标识对端身份的 E-mail 地址。email-string 为按照 RFC 822 定义的 1~255
个字符的字符串,区分大小写,例如 esec@test.com。
47
key-id key-id-string:指定标识对端身份的 Key-ID 名称。key-id-string 为 1~255 个字符的字符串,
区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
对等体身份信息仅用于 IKEv2 协商的响应方查询 IKEv2 peer,因为发起方在发起 IKEv2 协商时并
不知道对端的身份信息。
【举例】
# 创建一个 IKEv2 keychain,名称为 key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 指定 IKEv2 peer 的身份信息为地址 1.1.1.2。
[Sysname-ikev2-keychain-key1-peer-peer1] identity address 1.1.1.2
【相关命令】
ikev2 keychain
peer
48
fqdn fqdn-name:指定标识本端身份的 FQDN 名称。fqdn-name 为 1~255 个字符的字符串,区分
大小写,例如 www.test.com。
key-id key-id-string:指定标识本端身份的 Key-ID 名称。key-id-string 为 1~255 个字符的字符串,
区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
交换的身份信息用于协商双方在协商时识别对端身份。
【举例】
#创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定使用 IP 地址 2.2.2.2 标识本端身份。
[Sysname-ikev2-profile-profile1] identity local address 2.2.2.2
【相关命令】
peer
49
【举例】
# 配置 IKEv2 本地 IPv4 地址池,名称为 ipv4group,地址池范围为 1.1.1.1~1.1.1.2,掩码为
255.255.255.0。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 255.255.255.0
# 配置 IKEv2 本地 IPv4 地址池,名称为 ipv4group,地址池范围为 1.1.1.1~1.1.1.2,掩码长度为
32。
<Sysname> system-view
[Sysname] ikev2 address-group ipv4group 1.1.1.1 1.1.1.2 32
【相关命令】
address-group
50
1.11.18 ikev2 dpd
ikev2 dpd 命令用来配置全局 IKEv2 DPD 功能。
undo ikev2 dpd 命令用来关闭全局 IKEv2 DPD 功能。
【命令】
ikev2 dpd interval interval [ retry seconds ] { on-demand | periodic }
undo ikev2 dpd interval
【缺省情况】
IKEv2 DPD 探测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval interval:指定触发 IKEv2 DPD 探测的时间间隔,取值范围为 10~3600,单位为秒。对于
按需探测模式,指定经过多长时间没有从对端收到 IPsec 报文,则发送报文前触发一次 DPD 探测;
对于定时探测模式,指触发一次 DPD 探测的时间间隔。
retry seconds:指定 DPD 报文的重传时间间隔,取值范围为 2~60,单位为秒,缺省值为 5 秒。
on-demand:指定按需探测模式,即根据流量来探测对端是否存活,在本端发送 IPsec 报文时,如
果发现当前距离最后一次收到对端报文的时间超过指定的触发 IKEv2 DPD 探测的时间间隔(即通
过 interval 指定的时间),则触发 DPD 探测。
periodic:指定定时探测模式,即按照触发 IKEv2 DPD 探测的时间间隔(即通过 interval 指定的时
间)定时探测对端是否存活。
【使用指导】
IKEv2 DPD 有两种模式:按需探测模式和定时探测模式。一般若无特别要求,建议使用按需探测模
式,在此模式下,仅在本端需要发送报文时,才会触发探测;如果需要尽快地检测出对端的状态,
则可以使用定时探测模式。在定时探测模式下工作,会消耗更多的带宽和计算资源,因此当设备与
大量的 IKEv2 对端通信时,应优先考虑使用按需探测模式。
如果 IKEv2 profile 视图下和系统视图下都配置了 DPD 探测功能,则 IKEv2 profile 视图下的 DPD
配置生效,如果 IKEv2 profile 视图下没有配置 DPD 探测功能,则采用系统视图下的 DPD 配置。
配置的 interval 一定要大于 retry,保证在重传 DPD 报文的过程中不触发新的 DPD 探测。
【举例】
# 配置根据流量来触发 IKEv2 DPD 探测的时间间隔为 15 秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 on-demand
# 配置定时触发 IKEv2 DPD 探测的时间间隔为 15 秒。
<Sysname> system-view
[Sysname] ikev2 dpd interval 15 periodic
51
【相关命令】
dpd(IKEv2 profile view)
【相关命令】
ipv6-address-group
52
undo ikev2 keychain 命令用来删除指定的 IKEv2 keychain。
【命令】
ikev2 keychain keychain-name
undo ikev2 keychain keychain-name
【缺省情况】
不存在 IKEv2 keychain。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keychain-name:IKEv2 keychain 的名称,为 1~63 个字符的字符串,不区分大小写,且不能包括
字符“-” 。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile 下必须引用 keychain,且只能引用一个。配
置的预共享密钥的值需要与对端 IKEv2 网关上配置的预共享密钥的值相同。
一个 IKEv2 keychain 下可以配置多个 IKEv2 peer。
【举例】
# 创建 IKEv2 keychain key1 并进入 IKEv2 keychain 视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
[Sysname-ikev2-keychain-key1]
53
mdc-admin
【参数】
seconds:向对端发送 NAT Keepalive 报文的时间间隔,取值范围为 5~3600,单位为秒。
【使用指导】
该命令仅对位于 NAT 之后的设备 (即该设备位于 NAT 设备连接的私网侧) 有意义。
NAT 之后的 IKEv2
网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报文,以确保 NAT 设备上相
应于该流量的会话存活,从而让 NAT 之外的设备可以访问 NAT 之后的设备。因此,配置的发送 NAT
Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
【举例】
# 配置向 NAT 发送 NAT Keepalive 报文的时间间隔为 5 秒。
<Sysname> system-view
[Sysname] ikev2 nat-keepalive 5
54
若发起方使用共享源接口方式 IPsec 策略,则 IKE_SA_INIT 协商时,使用共享源接口地址来选择要
是使用的 IKEv2 安全策略。
相同匹配条件下,配置的优先级可用于调整匹配 IKEv2 安全策略的顺序。
如果没有配置 IKEv2 安全策略,则使用默认的 IKEv2 安全策略 default。用户不能进入并配置默认
的 IKEv2 安全策略 default。
【举例】
# 创建 IKEv2 安全策略 policy1,并进入 IKEv2 安全策略视图。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1]
【相关命令】
display ikev2 policy
55
【相关命令】
display ikev2 profile
56
行匹配。若实际协商过程中仅希望使用一组安全参数,请保证在 IKEv2 安全提议中仅配置了一套安
全参数。
【举例】
# 创建 IKEv2 安全提议 prop1,并配置加密算法为 aes-cbc-128,完整性校验算法为 sha1,PRF 算
法为 sha1,DH 组为 group2。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
[Sysname-ikev2-proposal-prop1] encryption-algorithm aes-cbc-128
[Sysname-ikev2-proposal-prop1] authentication-algorithm sha1
[Sysname-ikev2-proposal-prop1] prf sha1
[Sysname-ikev2-proposal-prop1] dh group2
【相关命令】
encryption-algorithm
integrity
prf
dh
1.11.25 inside-vrf
inside-vrf 命令用来指定内部 VPN 实例。
undo inside-vrf 命令用来恢复缺省情况。
【命令】
inside-vrf vrf-name
undo inside-vrf
【缺省情况】
IKEv2 profile 未指定内部 VPN 实例,即内网与外网在同一个 VPN 实例中。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
vrf-name:保护的数据所属的 VRF 名称,为 1~31 个字符的字符串,区分大小写。
【使用指导】
当 IPsec 解封装后的报文需要继续转发到不同的 VPN 时,设备需要知道在哪个 VPN 实例中查找相
应的路由。缺省情况下,设备在与外网相同的 VPN 实例中查找路由,如果不希望在与外网相同的
VPN 实例中查找路由,则可以指定一个内部 VPN 实例,通过查找该内部 VPN 实例的路由来转发报
文。
57
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 在 IKEv2 profile profile1 中指定内部 VRF 为 vpn1。
[Sysname-ikev2-profile-profile1] inside-vrf vpn1
1.11.26 integrity
integrity 命令用来指定 IKEv2 安全提议使用的完整性校验算法。
undo integrity 命令用来恢复缺省情况。
【命令】
非 FIPS 模式下:
integrity { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo integrity
FIPS 模式下:
integrity { sha1 | sha256 | sha384 | sha512 } *
undo integrity
【缺省情况】
未指定 IKEv2 安全提议使用的完整性校验算法。
【视图】
IKEv2 安全提议视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
aes-xcbc-mac:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-AES-XCBC-MAC。
md5:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-MD5。
sha1:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-SHA-1。
sha256:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-SHA-256。
sha384:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-SHA-384。
sha512:指定 IKEv2 安全提议采用的完整性校验算法为 HMAC-SHA-512。
【使用指导】
一个 IKEv2 安全提议中至少需要配置一个完整性校验算法,否则该安全提议不完整。一个 IKEv2 安
全提议中可以配置多个完整性校验算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建 IKEv2 安全提议 prop1。
<Sysname> system-view
58
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的完整性校验算法为 MD5 和 SHA1,且优先选择 SHA1。
[Sysname-ikev2-proposal-prop1] integrity sha1 md5
【相关命令】
ikev2 proposal
1.11.27 keychain
keychain 命令用来配置采用预共享密钥认证时使用的 Keychain。
undo keychain 命令用来恢复缺省情况。
【命令】
keychain keychain-name
undo keychain
【缺省情况】
IKEv2 profile 中未引用 Keychain。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keychain-name:IKEv2 keychain 名称,为 1~63 个字符的字符串,不区分大小写,且不能包括字
符-。
【使用指导】
任何一端采用了预共享密钥认证方式时,IKEv2 profile 下必须引用 keychain,且只能引用一个。
不同的 IKEv2 profile 可以共享同一个 IKEv2 keychain 。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定 IKEv2 profile 引用的 keychain,keychain 的名称为 keychain1。
[Sysname-ikev2-profile-profile1] keychain keychain1
【相关命令】
display ikev2 profile
ikev2 keychain
59
undo match local 命令用来取消对 IKEv2 profile 使用范围的限制。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address { interface-type interface-number | { ipv4-address | ipv6
ipv6-address } }
【缺省情况】
未限制 IKEv2 profile 的使用范围。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
address:指定 IKEv2 profile 只能用于指定地址或指定接口的地址上的 IKEv2 协商。
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口 IPv4 地址。
ipv6 ipv6-address:本端接口 IPv6 地址。
【使用指导】
此命令用于限制 IKEv2 profile 只能用于指定地址或指定接口上的地址协商,这里的地址指的是本端
收到 IKEv2 报文的接口 IP 地址, 即只有 IKEv2 协商报文从该地址接收时,
才会采用该 IKEv2 profile。
IKEv2 profile 优先级可以手工配置,先配置的优先级高。若希望本端在匹配某些 IKEv2 profile 的时
候,不按照手工配置的顺序来查找,则可以通过本命令来指定这类 IKEv2 profile 的使用范围。例如,
IKEv2 profile A 中的 match remote 地址范围大(match remote identity address range 2.2.2.1
2.2.2.100),IKEv2 profile B 中的 match remote 地址范围小(match remote identity address
,IKEv2 profile A 先于 IKEv2 profile B 配置。假设对端 IP 地址为 2.2.2.6,
range 2.2.2.1 2.2.2.10)
那么依据配置顺序本端总是选择 profile A 与对端协商。若希望本端接口(假设接口地址为 3.3.3.3)
使用 profile B 与对端协商,可以配置 profile B 在指定地址 3.3.3.3 的接口上使用。
通过该命令可以指定多个本端匹配条件。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 限制 IKEv2 profile profile1 只能在 IP 地址为 2.2.2.2 的接口上使用。
[Sysname-ikev2-profile-profile1] match local address 2.2.2.2
【相关命令】
match remote
60
1.11.29 match local address (IKEv2 policy view)
match local address 命令用来指定匹配 IKEv2 安全策略的本端地址。
undo match local address 命令用来删除指定的用于匹配 IKEv2 安全策略的本端地址。
【命令】
match local address { interface-type interface-number | { ipv4-address | ipv6 ipv6-address } }
undo match local address { interface-type interface-number | { ipv4-address | ipv6
ipv6-address } }
【缺省情况】
未指定用于匹配 IKEv2 安全策略的本端地址,表示本策略可匹配所有本端地址。
【视图】
IKEv2 安全策略视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interface-type interface-number:本端接口编号和接口名称,可以是任意三层接口。
ipv4-address:本端接口 IPv4 地址。
ipv6 ipv6-address:本端接口 IPv6 地址。
【使用指导】
根据本端地址匹配 IKEv2 安全策略时,优先匹配指定了本端地址匹配条件的策略,其次匹配未指定
本端地址匹配条件的策略。
【举例】
# 指定用于匹配 IKEv2 安全策略 policy1 的本端地址为 3.3.3.3。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] match local address 3.3.3.3
【相关命令】
display ikev2 policy
match vrf
61
range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id
key-id-string } }
undo match remote { certificate policy-name | identity { address { { ipv4-address [ mask
|mask-length ] | range low-ipv4-address high-ipv4-address } | ipv6 { ipv6-address [ prefix-length ] |
range low-ipv6-address high-ipv6-address } } | fqdn fqdn-name | email email-string | key-id
key-id-string } }
【缺省情况】
未配置用于匹配对端身份的规则。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
certificate policy-name:基于对端数字证书中的信息匹配 IKEv2 profile。其中,policy-name 是证
书访问控制策略的名称,为 1~31 个字符的字符串,不区分大小写。本参数用于基于对端数字证书
中的信息匹配 IKEv2 profile。
identity:基于指定的对端身份信息匹配 IKEv2 profile。本参数用于响应方根据发起方通过 identity
local 命令配置的身份信息来选择使用的 IKEv2 profile。
address ipv4-address [ mask | mask-length ]:对端 IPv4 地址或 IPv4 网段。其中,ipv4-address
为 IPv4 地址,mask 为子网掩码,mask-length 为子网掩码长度,取值范围为 0~32。
address range low-ipv4-address high-ipv4-address:对端 IPv4 地址范围。其中 low-ipv4-address
为起始 IPv4 地址,high-ipv4-address 为结束 IPv4 地址。结束地址必须大于起始地址。
address ipv6 ipv6-address [ prefix-length ]:对端 IPv6 地址或 IPv6 网段。其中,ipv6-address 为
IPv6 地址,prefix-length 为 IPv6 前缀长度,取值范围为 0~128。
address ipv6 range low-ipv6-address high-ipv6-address : 对 端 IPv6 地 址 范 围 。 其 中
low-ipv6-address 为起始 IPv6 地址,high-ipv6-address 为结束 IPv6 地址。结束地址必须大于起始
地址。
fqdn fqdn-name:对端 FQDN 名称,为 1~255 个字符的字符串,区分大小写,例如 www.test.com。
email email-string:指定标识对等体身份的 E-mail 地址。email-string 为按照 RFC 822 定义的 1~255
个字符的字符串,区分大小写,例如 sec@abc.com。
key-id key-id-string:指定标识对等体身份的 Key-ID 名称。key-id-string 为 1~255 个字符的字符
串,区分大小写,通常为具体厂商的某种私有标识字符串。
【使用指导】
查找对端匹配的 IKEv2 profile 时,对端需要同时满足以下条件:
将对端的身份信息与本命令配置的匹配规则进行比较,二者必须相同。
查找 IKEv2 profile 和验证对端身份时,需要使用 match remote、match local address、
match vrf 一起匹配,若有其中一项不符合,则表示该 IKEv2 profile 不匹配。
查找到匹配的 IKEv2 profile 后,本端设备将用该 IKEv2 profile 中的信息与对端完成认证。
62
为了使得每个对端能够匹配到唯一的 IKEv2 profile,不建议在两个或两个以上 IKEv2 profile 中配置
相同的 match remote 规则,否则能够匹配到哪个 IKEv2 profile 是不可预知的。match remote 规
则可以配置多个,并同时都有效,其匹配优先级为配置顺序。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 指定匹配采用 FQDN 作为身份标识、且取值为 www.test.com 的对端。
[Sysname-ikev2-profile-profile1] match remote identity fqdn www.test.com
# 指定匹配采用 IP 地址作为身份标识、且取值为 10.1.1.1。
[Sysname-ikev2-profile-profile1]match remote identity address 10.1.1.1
【相关命令】
identity local
match local address
match vrf
63
根据本端地址匹配 IKEv2 安全策略时,优先匹配指定了 VPN 实例匹配条件的策略,其次匹配未指
定 VPN 实例匹配条件的策略。
【举例】
# 创建 IKEv2 安全策略,名称为 policy1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
# 指定 IKEv2 安全策略匹配的 VPN 为 vpn1。
[Sysname-ikev2-policy-policy1] match vrf name vpn1
【相关命令】
display ikev2 policy
match local address
64
# 指定 IKEv2 profile 所属的 VPN 为 vrf1。
[Sysname-ikev2-profile-profile1] match vrf name vrf1
【相关命令】
match remote
1.11.33 nat-keepalive
nat-keepalive 命令用来配置发送 NAT keepalive 的时间间隔。
undo nat-keepalive 命令用来恢复缺省情况。
【命令】
nat-keepalive seconds
undo nat-keepalive
【缺省情况】
使用全局的 IKEv2 NAT keepalive 配置。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:发送 NAT keepalive 报文的时间间隔,取值范围为 5~3600,单位为秒。
【使用指导】
该命令仅对位于 NAT 之后的设备
(即该设备位于 NAT 设备连接的私网侧)
有意义。
NAT 之后的 IKEv2
网关设备需要定时向 NAT 之外的 IKEv2 网关设备发送 NAT Keepalive 报文,以确保 NAT 设备上相
应于该流量的会话存活,从而让 NAT 之外的设备可以访问 NAT 之后的设备。因此,配置的发送 NAT
Keepalive 报文的时间间隔需要小于 NAT 设备上会话表项的存活时间。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置发送 NAT keepalive 报文的时间间隔为 1200 秒。
[Sysname-ikev2-profile-profile1]nat-keepalive 1200
【相关命令】
display ikev2 profile
ikev2 nat-keepalive
65
1.11.34 peer
peer 命令用来创建 IKEv2 peer,并进入 IKEv2 peer 视图。如果指定的 IKEv2 peer 已经存在,则直
接进入 IKEv2 peer 视图。
undo peer 命令用来删除指定的 IKEv2 peer。
【命令】
peer name
undo peer name
【缺省情况】
不存在 IKEv2 peer。
【视图】
IKEv2 keychain 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name:IKEv2 peer 名称,为 1~63 个字符的字符串,不区分大小写。
【使用指导】
一个 IKEv2 peer 中包含了一个预共享密钥以及用于查找该 peer 的匹配条件,包括对端的主机名称
(由命令 hostname 配置) 、对端的 IP 地址(由命令 address 配置)和对端的身份(由命令 identity
配置) 。其中,IKEv2 协商的发起方使用对端的主机名称或 IP 地址查找 peer,响应方使用对端的身
份或 IP 地址查找 peer。
【举例】
# 创建 IKEv2 keychain key1 并进入 IKEv2 keychain 视图。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
【相关命令】
ikev2 keychain
1.11.35 pre-shared-key
pre-shared-key 命令用来配置 IKEv2 peer 的预共享密钥。
undo pre-shared-key 命令用来删除 IKEv2 peer 的预共享密钥。
【命令】
pre-shared-key [ local | remote ] { ciphertext | plaintext } string
undo pre-shared-key [ local | remote ]
66
【缺省情况】
未配置 IKEv2 peer 的预共享密钥。
【视图】
IKEv2 peer 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local:表示签名密钥。
remote:表示验证密钥。
ciphertext:以密文方式设置密钥。
plaintext:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。非 FIPS 模式下,明文密钥为 1~128 个字符的字符串;密文密
钥为 1~201 个字符的字符串。FIPS 模式下,明文密钥为 15~128 个字符的字符串;密文密钥为
15~201 个字符的字符串。
【使用指导】
如果指定了参数 local 或 remote,则表示指定的是非对称密钥;
若参数 local 和 remote 均不指定,
则表示指定的是对称密钥。
执行 undo 命令时,指定要删除的密钥类型必须和已配置的密钥类型完全一致,该 undo 命令才会
执 行 成 功 。 例 如 , IKEv2 peer 视 图 下 仅 有 pre-shared-key local 的 配 置 , 则 执 行 undo
pre-shared-key 和 undo pre-shared-key remote 命令均无效。
多次执行本命令,最后一次执行的命令生效。
【举例】
发起方示例
# 创建一个 IKEv2 keychain,名称为 key1。
<Sysname> system-view
[Sysname] ikev2 keychain key1
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-key1] peer peer1
# 配置 peer1 的对称预共享密钥为明文 111-key。
[Sysname-ikev2-keychain-key1-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-key1-peer-peer1] quit
# 创建一个 IKEv2 peer,名称为 peer2。
[Sysname-ikev2-keychain-key1] peer peer2
# 配置 peer2 的非对称预共享密钥,签名密钥为明文 111-key-a,验证密钥为明文 111-key-b。
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key local plaintext 111-key-a
[Sysname-ikev2-keychain-key1-peer-peer2] pre-shared-key remote plaintext 111-key-b
响应方示例
# 创建一个 IKEv2 keychain,名称为 telecom。
67
<Sysname> system-view
[Sysname] ikev2 keychain telecom
# 创建一个 IKEv2 peer,名称为 peer1。
[Sysname-ikev2-keychain-telecom] peer peer1
# 配置 peer1 的对称预共享密钥为明文 111-key。
[Sysname-ikev2-keychain-telecom-peer-peer1] pre-shared-key plaintext 111-key
[Sysname-ikev2-keychain-telecom-peer-peer1] quit
# 创建一个 IKEv2 peer,名称为 peer2。
[Sysname-ikev2-keychain-telecom] peer peer2
# 配置 IKEv2 peer 的非对称预共享密钥,签名密钥为明文 111-key-b,验证密钥为明文 111-key-a。
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key local plaintext 111-key-b
[Sysname-ikev2-keychain-telecom-peer-peer2] pre-shared-key remote plaintext 111-key-a
【相关命令】
ikev2 keychain
peer
1.11.36 prf
prf 命令用来指定 IKEv2 安全提议使用的 PRF 算法。
undo prf 命令用来恢复缺省情况。
【命令】
非 FIPS 模式下:
prf { aes-xcbc-mac | md5 | sha1 | sha256 | sha384 | sha512 } *
undo prf
FIPS 模式下:
prf { sha1 | sha256 | sha384 | sha512 } *
undo prf
【缺省情况】
IKEv2 安全提议使用配置的完整性校验算法作为 PRF 算法。
【视图】
IKEv2 安全提议视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
aes-xcbc-mac:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-AES-XCBC-MAC。
md5:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-MD5。
sha1:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-1。
sha256:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-256。
68
sha384:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-384。
sha512:指定 IKEv2 安全提议采用的 PRF 算法为 HMAC-SHA-512。
【使用指导】
一个 IKEv2 安全提议中可以配置多个 PRF 算法,其使用优先级按照配置顺序依次降低。
【举例】
# 创建 IKEv2 安全提议 prop1。
<Sysname> system-view
[Sysname] ikev2 proposal prop1
# 指定该安全提议使用的 PRF 算法为 MD5 和 SHA1,且优先选择 SHA1。
[Sysname-ikev2-proposal-prop1m] prf sha1 md5
【相关命令】
ikev2 proposal
integrity
69
【相关命令】
display ikev2 policy
70
【缺省用户角色】
network-admin
mdc-admin
【参数】
proposal-name:被引用的 IKEv2 安全提议的名称,为 1~63 个字符的字符串,不区分大小写。
【使用指导】
若同时指定了多个 IKEv2 安全提议,则它们的优先级按照配置顺序依次降低。
【举例】
# 配置 IKEv2 安全策略 policy1 引用 IKEv2 安全提议 proposal1。
<Sysname> system-view
[Sysname] ikev2 policy policy1
[Sysname-ikev2-policy-policy1] proposal proposal1
【相关命令】
display ikev2 policy
ikev2 proposal
71
fast:不等待对端的回应,直接删除本端的 IKEv2 SA。若不指定本参数,则表示需要在收到对端的
删除通知响应之后,再删除本端的 IKEv2 SA。
【使用指导】
清除 IKEv2 SA 时,会向对端发送删除通知消息,同时删除子 SA。
如果不指定任何参数,则删除所有 IKEv2 SA 及其协商生成的子 SA。
【举例】
# 删除对端地址为 1.1.1.2 的 IKEv2 SA。
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
1 1.1.1.1/500 1.1.1.2/500 EST
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating EST: Established, DEL: Deleting
<Sysname> reset ikev2 sa remote 1.1.1.2
<Sysname> display ikev2 sa
Tunnel ID Local Remote Status
--------------------------------------------------------------------
2 2.2.2.1/500 2.2.2.2/500 EST
Status:
IN-NEGO: Negotiating EST: Established, DEL: Deleting
【相关命令】
display ikev2 sa
1.11.41 sa duration
sa duration 命令用来配置 IKEv2 SA 的生命周期。
undo sa duration 命令用来恢复缺省情况。
【命令】
sa duration seconds
undo sa duration
【缺省情况】
IKEv2 SA 的生命周期为 86400 秒。
【视图】
IKEv2 profile 视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:IKEv2 SA 的生命周期,取值范围为 120~86400,单位为秒。
72
【使用指导】
在一个 IKEv2 SA 的生命周期到达之前,可以用该 IKEv2 SA 进行其它 IKEv2 协商。因此一个生命
周期较长的 IKEv2 SA 可以节省很多用于重新协商的时间。但是,IKEv2 SA 的生命周期越长,攻击
者越容易收集到更多的报文信息来对它实施攻击。
本端和对端的 IKEv2 SA 生命周期可以不一致,也不需要进行协商,由生命周期较短的一方在本端
IKEv2 SA 生命周期到达之后发起重协商。
【举例】
# 创建 IKEv2 profile,名称为 profile1。
<Sysname> system-view
[Sysname] ikev2 profile profile1
# 配置 IKEv2 SA 的生命周期为 1200 秒。
[Sysname-ikev2-profile-profile1] sa duration 1200
【相关命令】
display ikev2 profile
2.1.1 授权服务器端配置
1.登录 License server
(1) 在使用 License server 前请确保已成功安装 License server 软件,具体安装步骤请参见《H3C
License server 安装指导》。
(2) 成功安装 License server 之后,请通过以下方式登录:
在浏览器中输入 License server 的 GUI 登录地址 (格式为:
http://lics_ip_address:8090/licsmanager/,
如 http://172.16.0.227:8090/licsmanager/)
lics_ip_address 为 License server 软件安装所在服务器或虚拟机的 IP 地址;
8080 为缺省端口号。
(3) 在登录界面输入用户名和密码(缺省均为 admin)登录系统。
2.配置 License server 并安装激活文件
(1) 登录系统后,在[用户端管理/用户配置]页面添加客户端连接 License server 时使用的用户名
和密码。
(2) 通过以下方式在 License server 上安装授权,:
a. 购买授权书,获得授权码。
73
b. 在 License server 的[授权管理/激活文件管理]页面,单击<导出 DID>按钮,将 DID 文件下
载到本地。
c. 登录 H3C 网站(http://www.h3c.com.cn/Service/Authorize_License),根据产品类型、
授权码、DID 申请激活文件。
如果设备第一次安装 License,请在导航栏中选择<License 首次激活申请>;
如果设备上已经安装过 License,但需要对设备进行规模扩容、功能扩展、时限延长等,
请在导航栏中选择<License 扩容激活申请>。扩容激活和首次激活配置步骤相同,也需要
购买授权书。
(3) 将激活文件下载到本地,并在 License server 的[授权管理/激活文件管理]页面单击<安装激活
文件>按钮,为 License server 安装激活文件。
2.1.2 客户端使能授权服务器配置
为保证安全性,客户端设备需要先配置连接 License server 使用的 IP 地址和端口,并指定访问时需
要验证的用户名和密码。客户端与 License server 成功建立连接之后才可向 License server 申请授
权。
表15 使能授权服务器
操作 命令 说明
进入系统视图 system-view -
2.1.3 客户端获取授权配置
客户端使能 License 授权服务后,客户端直接从 License server 上获取 License 并安装相应授权。
表16 客户端获取授权
操作 命令 说明
进入系统视图 system-view -
向 License server 申 请
license client { install | uninstall } feature { bras-1cpu | 缺省情况下,未安
授 权 并 安 装 特 性
bras-2cpu | bras-4cpu | bras-4vcpu | bras-8vcpu } 装特性License
License(可选)(VSR)
74
2.1.4 客户端显示和维护
完成上述配置后,在任意视图下通过执行 display 命令可以显示客户端 License 的相关信息,查看
显示信息验证配置的结果。
表17 License 客户端管理显示和维护
操作 命令
显示License server的配置信息和获取到的授
display license client
权信息(独立运行模式)
显示License server器的配置信息和获取到的
display license client slot slot-number
授权信息(IRF模式)
75
License description: OSPF License
Get licensed time: 2015-03-05 17:53:57
字段 描述
Ciphertext
认证用户密文密码,如未指定则显示为Not configured
password
License server's
授权服务器IPv4地址信息,如未指定则显示为Not configured
IPv4 address
License client的状态信息,取值为:
License client Enabled:License client处于使能状态
Disabled:License client处于未使能状态
连接状态信息,取值为:
Connection Connected:与服务器建立连接
status Disconnected:与服务器断开连接
Connecting:连接已经建立,等待验证用户名密码
授权的内容:
Count:表示客户端从 License Server 请求到对应授权的数量。此授权为不可回收的授权
Get licensed
授权的获取时间
time
【相关命令】
display license feature
76
【缺省情况】
未配置 License 授权服务器的 IPv4 地址和端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:License 授权服务器的 IPv4 地址。
port-number:License 授权服务器的端口号,取值范围为 1~65535。
【使用指导】
设备只能配置一个 License 授权服务器。
在使能 License 客户端功能前,多次配置该命令,最新的配置生效。
在使能 License 客户端功能后,需要先关闭 License 客户端功能,才能修改 License 授权服务器的
地址和端口。
【举例】
# 配置 License 授权服务器的地址和端口号分别为 192.168.100.1 和 5001。
<Sysname> system-view
[Sysname] license server ipv4 192.168.100.1 port 5001
【相关命令】
license client username
license client enable
77
【参数】
username:认证用户名,为 1~31 个字符的字符串,区分大小写。
cipher:以密文方式设置密码。
simple:以明文方式设置密码。
password:设置的明文或密文认证密码,区分大小写。明文认证密码为 1~31 个字符的字符串;密
文认证密码为 33~73 个字符的字符串。
【使用指导】
客户端设备只能配置一个用于连接 License 授权服务器的用户名和密码。
在开启 License 客户端功能前,多次配置该命令,新配置生效。
在开启 License 客户端功能后,需要先关闭 License 客户端功能,才能修改用户名和密码。
【举例】
# 配置客户端访问 License 授权服务器时使用的用户名为 test,密码为 123456。
<Sysname> system-view
[Sysname] license client username test password simple 123456
【相关命令】
license server ipv4
license client enable
78
【举例】
# 开启 License 客户端功能。
<Sysname> system-view
[Sysname] license client enable
【相关命令】
license server ipv4
license client username
79
1vcpu:授权设备可使用的虚拟 CPU 个数为 1 个。
4vcpu:授权设备可使用的虚拟 CPU 个数为 4 个。
8vcpu:授权设备可使用的虚拟 CPU 个数为 8 个。
【使用指导】
未获得该 License 授权的设备拥有较差的数据处理性能。通过基础 License 可以扩展设备的处理性
能及控制相应功能的使用期限。
需要注意的是:
重复申请相同类型的授权,以最后一次申请成功的授权为准。
获得该类型授权的设备,还可以申请其他类型的授权。
当 License 申请失败时,设备会周期性向 License server 发起授权申请。
当设备卸载 License 并释放授权后,License server 将回收授权信息。回收的授权信息可以继
续向其他设备授权。
【举例】
# 客户端向 License server 申请并安装“1vCPU 1 年期”类型的基础 License。
<Sysname> system-view
[Sysname] license client install standard 1vcpu-1year
【相关命令】
license server ipv4
license client username
license client enable
80
bras-8vcpu:授权设备的 BRAS 特性,同时要求设备的 BRAS 特性可用的虚拟 CPU 个数为 8 个。
bras-1cpu:授权设备的 BRAS 特性,同时要求设备的 BRAS 特性可用的物理 CPU 个数为 1 个。
bras-2cpu:授权设备的 BRAS 特性,同时要求设备的 BRAS 特性可用的物理 CPU 个数为 2 个。
bras-4cpu:授权设备的 BRAS 特性,同时要求设备的 BRAS 特性可用的物理 CPU 个数为 4 个。
【使用指导】
通过该特性 License 可以控制设备 BRAS 特性的接入性能和使用的期限。设备的 BRAS 特性可用的
虚拟或物理 CPU 个数由基础 License 控制。当基础 License 授权设备可用的虚拟或物理 CPU 个数
与特性 License 要求的 CPU 个数不同时,特性 License 将安装失败。
需要注意的是:
只有在已安装基础 License 的情况下,安装该特性 License 才能生效。
重复申请相同类型的授权,以最后一次申请成功的授权为准。
当 License 申请失败时,设备会周期性向 License server 发起授权申请。
当设备卸载 License 并释放授权后,License server 将回收授权信息。回收的授权信息可以继
续向其他设备授权。
【举例】
# 设备向 License server 申请并安装 4vCPU 类型的 BRAS 特性 License。
<Sysname> system-view
[Sysname] license client install feature bras-4vcpu
【相关命令】
license server ipv4
license client username
license client enable
license client install standard
3 变更特性 - SSHv2
3.1 特性变更说明
命令行参数新增约束。
3.2 命令变更说明
3.2.1 修改- gre key
【命令】
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type
{ password | { any | password-publickey | publickey } assign { pki-domain domain-name |
publickey keyname } }
81
【视图】
系统视图
【修改说明】
新增特性约束: ssh user 配置用户名不能包括符号“\”
、“|”、
“/”、
“:”
、“*”、
“?”、
“<”、
“>”和“@”
,
且不能为“a”、“al” 、“all”。
【配置恢复影响】
原有包含上述配置的用户名文本无法恢复,这些用户名的配置实际上是没有用的,local-user 无法
配置,原来即使存在也是无效配置。
82
H3C
VSR1000&VSR2000_H3C-CMW710-E0321-X64
版本
VSR2000 版本首次发布。
VSR1000 版本特性变更情况如下:
新增特性—IRF
新增特性 — 冗余组
新增特性 — AFT
新增特性 — Monitor Link
新增特性—服务链
新增特性—OpenFlow
变更特性—负载均衡
变更特性 -OSPF
变更特性 -Portal
1 新增特性—IRF
IRF(Intelligent Resilient Framework,智能弹性架构)是 H3C 自主研发的软件虚拟化技术。它的
核心思想是将两台设备连接在一起,进行必要的配置后,虚拟化成一台设备。主设备负责业务处理
以及 IRF 的运行、管理和维护,从设备作为业务备份,增强系统可靠性。
1.1 支持IRF配置
请参考 VSR 请参照用户手册进行配置和使用。
1.2 支持IRF命令
请参考 VSR 请参照用户手册进行配置和使用。
2 新增特性 — 冗余组
以太网冗余接口(Redundant Ethernet,Reth)是一种三层虚拟接口。一个以太网冗余接口中包含
两个成员接口,这两个成员接口的类型可以为:三层以太网接口、三层 GigabitEthernet 接口、三层
Ten-GigabitEthernet 接口、三层聚合接口及上述接口的子接口。使用以太网冗余接口不但可以实现
两个接口之间的备份,还可以实现两个聚合接口之间的备份。
83
一个冗余组包含两个冗余组节点以及若干冗余组成员,冗余组成员可以是以太网冗余接口和(或)
备份组。一个冗余组节点和一台成员设备绑定,冗余组成员则部署在冗余组节点绑定的成员设备上,
冗余组成员的主备状态必须和冗余组节点的主备状态保持一致。
2.1 支持冗余组配置
请参考 VSR 请参照用户手册进行配置和使用。
2.2 支持冗余组命令
请参考 VSR 请参照用户手册进行配置和使用。
3 新增特性 — AFT
AFT(Address Family Translation,地址族转换)提供了 IPv4 和 IPv6 地址之间的相互转换功能。
在 IPv4 网络完全过渡到 IPv6 网络之前,两个网络之间直接的通信可以通过 AFT 来实现。例如,使
用 AFT 可以使 IPv4 网络中的主机直接访问 IPv6 网络中的 FTP 服务器。
3.1 支持AFT配置
请参考 VSR 请参照用户手册进行配置和使用。
3.2 支持AFT命令
请参考 VSR 请参照用户手册进行配置和使用。
5 新增特性—服务链
服务链(Service Chain)是一种引导网络业务报文按次序通过服务节点(Service Node)的转发技
术。服务链基于 Overlay 技术,结合 SDN(Software Defined Network,软件定义网络)集中控制
理论,可以通过 VCFC(VCF Controller)进行配置。
84
服务链具有如下功能:
实现租户逻辑组网与物理组网的解耦,控制平面和网络转发平面的分离。
实现业务资源池化,即将不同物理位置的资源进行整合,根据租户网络需求进行分配和部署,
突破物理拓扑的限制,为每个租户提供个性化的业务。
实现 NFV(Network Function Virtualisation,网络功能虚拟化)资源池的动态创建和自动化
部署。
实现租户业务的灵活编排和修改,而不会影响物理拓扑和其他租户。
根据服务链应用的位置和对象的不同,可以将服务链分为设备内服务链和设备间服务链。
5.1 支持服务链配置
请参考 VSR 请参照用户手册进行配置和使用。
5.2 支持服务链命令
请参考 VSR 请参照用户手册进行配置和使用。
6 新增特性—OpenFlow
OpenFlow 是 SDN(Software Defined Network,软件定义网络)架构中定义的一个控制器与转发
层之间的通信接口标准。OpenFlow 允许控制器直接访问和操作网络设备的转发平面,这些网络设
备可能是物理上的,也可能是虚拟的。
OpenFlow 的思想是分离控制平面和数据平面,二者之间使用标准的协议通信;数据平面采用基于
流的方式进行转发。
OpenFlow 网络由 OpenFlow 设备(Switch)和控制器(Controller)通过安全通道(OpenFlow channel)
组成。VSR 与 Controller 通过 TLS 或者 TCP 建立安全通道,进行 OpenFlow 消息交互,实现表项
下发、查询以及状态上报等功能。
6.1 支持OpenFlow配置
请参考 VSR 请参照用户手册进行配置和使用。
6.2 支持服务链命令
请参考 VSR 请参照用户手册进行配置和使用。
85
7 变更特性—负载均衡
7.1 特性变更说明
7.1.1 新增七层服务器负载均衡功能
除了可识别网络层和传输层信息之外,还可识别应用层信息,是基于内容的负载均衡,通过对报文
承载的内容进行深度解析,根据其中的内容进行逐包分发,按既定策略将连接导向指定的服务器,
从而实现了业务范围更广泛的服务器负载均衡。
7.1.2 新增出方向链路负载均衡功能
出方向链路负载均衡功能可在多条链路上分担内网用户访问外部互联网的流量。
7.1.3 新增双机热备功能
支持 LB 会话扩展信息的双机热备的功能,目前在除 HTTP 类型的虚服务器外,LB 都可以进行会话
扩展信息的备份,包括实备与批备。
支持持续性表项的双机热备功能 ,目前所有类型的虚服务器均可进行持续性表项的备份,包括批备
与实备。
7.1.4 新增 VPN 功能
支持在指定 VPN 下进行负载均衡的功能,暂时不支持跨 VPN 的功能。
7.2 命令变更说明
请参考 VSR 请参照用户手册进行配置和使用。
8 变更特性 -OSPF
8.1 特性变更说明
8.1.1 新增 DCN 功能
DCN(Data Communication Network,数据通信网)是指 NMS(Network Management System,
网络管理系统)和网元间传送 OAM(Operation, Administration and Maintenance,操作、管理和
维护)信息的网络,是运营商为了管理设备而建设的。配置了 DCN 功能后,NMS 可以通过网关网
元管理 DCN 网络中的所有网元。
在 DCN 网络中,所有的网元需要运行在 OSPF 进程(进程 ID 为 65535)和该进程下的区域 0 中。
原有版本:不支持该功能。
修改后的版本:支持该功能。
升级影响:不影响升级。
86
8.2 命令变更说明
请参考 VSR 请参照用户手册进行配置和使用。
9 变更特性 -Portal
9.1 特性变更说明
9.1.1 新增基于 MAC 地址的快速认证
在 Portal 认证环境中,对于需要频繁接入网络的合法用户,可以通过基于 MAC 地址的快速认证功
能,使用户无需手工输入认证信息便可以自动完成 Portal 认证。
基于 MAC 地址的快速认证又称为 MAC Trigger 认证或无感知认证,该方式需要在网络中部署 MAC
绑定服务器。MAC 绑定服务器用于记录用户的 Portal 认证信息(用户名、密码)和用户终端的 MAC
地址,并将二者进行绑定,以便代替用户完成 Portal 认证。
9.2 命令变更说明
请参考 VSR 请参照用户手册进行配置和使用。
87
H3C VSR1000_H3C-CMW710-E0314-X64 版本
新增特性 — IPoE
新增特性 — WAAS
新增特性 — VXLAN
新增特性 — ADVPN
新增特性 — LLDP
变更特性 - BGP
变更特性 - SSHv2
变更特性 - EVI-MAC
变更特性 - ACL
变更特性 - AAA
变更特性- NTP
删除特性 — 无
88
1 新增特性 — IPoE
BRAS(Broadband Remote Access Server,宽带远程接入服务器)系统具有灵活的接入方式、有
效的地址管理功能、强大的用户管理功能,并能提供丰富灵活的业务及控制功能,用于实现宽带城
域网解决方案。BRAS 接入设备可以作为各类接入用户的认证、计费网关,以及用户的业务控制网
关。目前的 BRAS 接入设备主要提供 PPPoX 和 IPoX 两种接入服务。其中,PPPoX 接入是指用户
通过 PPP 拨号接入, IPoX 接入是指通过 DHCP 报文触发或者 IP 报文触发等方式接入。IPoE(IP over
Ethernet)为 IPoX 中的一种常见的接入方式。
1.1 支持IPoE配置
请参考 VSR 请参照用户手册进行配置和使用。
1.2 支持IPoE命令
请参考 VSR 请参照用户手册进行配置和使用。
2 新增特性 — WAAS
WAAS(Wide Area Application Services,广域网应用服务)是能够对 WAN 链路流量提供优化的
一种广域网技术。WAAS 设备可以通过配置优化动作,改善 WAN 链路高延迟、低带宽的缺点。相
互通信的 WAAS 设备在 TCP 三次握手过程中,通过 TCP 选项协商两端优化动作。WAAS 优化动
作包括:
TFO(Transport Flow Optimization,透明流优化)
DRE(Data Redundancy Elimination,数据冗余消除)
LZ(Lempel-Ziv compression,LZ 压缩)
2.1 支持WAAS配置
请参考 VSR 请参照用户手册进行配置和使用。
2.2 支持WAAS命令
请参考 VSR 请参照用户手册进行配置和使用。
89
3 新增特性 — VXLAN
VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于 IP 网络、采用“MAC in UDP”封
装形式的二层 VPN 技术。VXLAN 可以基于已有的服务提供商或企业 IP 网络,为分散的物理站点
提供二层互联,并能够为不同的租户提供业务隔离。VXLAN 主要应用于数据中心网络。
VXLAN 具有如下特点:
支持大量的租户:使用 24 位的标识符,最多可支持 2 的 24 次方(16777216)个 VXLAN,
支持的租户数目大规模增加,解决了传统二层网络 VLAN 资源不足的问题。
易于维护:基于 IP 网络组建大二层网络,使得网络部署和维护更加容易,并且可以充分地利
用现有的 IP 网络技术,例如利用等价路由进行负载分担等;只有 IP 核心网络的边缘设备需要
进行 VXLAN 处理,网络中间设备只需根据 IP 头转发报文,降低了网络部署的难度和费用。
目前,设备只支持基于 IPv4 网络的 VXLAN 技术,不支持基于 IPv6 网络的 VXLAN 技术。
3.1 支持VXLAN配置
请参考 VSR 请参照用户手册进行配置和使用。
3.2 支持VXLAN命令
请参考 VSR 请参照用户手册进行配置和使用。
4 新增特性 — ADVPN
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于 VAM(VPN
Address Management,VPN 地址管理)协议的动态 VPN 技术。VAM 协议负责收集、维护和分发
动态变化的公网地址等信息,采用 Client/Server 模型。ADVPN 网络中的节点(称为 ADVPN 节点)
作为 VAM Client。当公网地址变化时,VAM Client 将当前公网地址注册到 VAM Server。ADVPN
节点通过 VAM 协议从 VAM Server 获取另一端 ADVPN 节点的当前公网地址,从而实现在两个节点
之间动态建立跨越 IP 核心网络的 ADVPN 隧道。
在企业网各分支机构使用动态地址接入公网的情况下,可以利用 ADVPN 在各分支机构间建立 VPN。
4.1 支持ADVPN配置
请参考 VSR 请参照用户手册进行配置和使用。
4.2 支持ADVPN命令
请参考 VSR 请参照用户手册进行配置和使用。
5 新增特性 — LLDP
目前,网络设备的种类日益繁多且各自的配置错综复杂,为了使不同厂商的设备能够在网络中相互
发现并交互各自的系统及配置信息,需要有一个标准的信息交流平台。
90
LLDP(Link Layer Discovery Protocol,链路层发现协议)就是在这样的背景下产生的,它提供了
一种标准的链路层发现方式,可以将本端设备的信息(包括主要能力、管理地址、设备标识、接口
标识等)组织成不同的 TLV(Type/Length/Value,类型/长度/值),并封装在 LLDPDU(Link Layer
Discovery Protocol Data Unit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到
这些信息后将其以标准 MIB(Management Information Base,管理信息库)的形式保存起来,以
供网络管理系统查询及判断链路的通信状况。有关 MIB 的详细介绍,请参见“网络管理和监控配置
指导”中的“SNMP”
。
5.1 支持LLDP配置
请参考 VSR 请参照用户手册进行配置和使用。
5.2 支持LLDP命令
请参考 VSR 请参照用户手册进行配置和使用。
6 变更特性 - BGP
6.1 特性变更说明
6.1.1 修改特性缺省值
原有版本:各协议产生的聚合路由不能被其他协议引入。
修改后的版本:各协议产生的聚合路由可以被其他协议引入。
升级影响:需要确认之前是否配置了聚合,以及该聚合路由是否应该被其他协议引入。
6.1.2 修改命令依赖
原有版本:BGP 用 LOOPBACK 口建 EBGP 邻居时,只需要配置 connect-interface,不需要配置
ebgp-max-hop。
修改后的版本:BGP 用 LOOPBACK 口建 EBGP 邻居,除了需要配置 connect-interface,还需要
配置 ebgp-max-hop。
升级影响:原有 BGP 使用 LOOPBACK 口建立的 EBGP 邻居,
升级后需要补充配置 ebgp-max-hop。
6.2 命令变更说明
无命令变更。
91
7 变更特性 - SSHv2
7.1 特性变更说明
7.1.1 修改特性缺省值
原有版本:缺省情况下,SSH 服务器兼容 SSH1 版本的客户端。
修改后的版本:出于安全性考虑,新版本缺省情况下,SSH 服务器不兼容 SSH1 版本的客户端。
升级影响:默认不支持 SSHv1 客户端,需要通过正向配置后可以兼容。
7.2 命令变更说明
无命令变更。
8 变更特性 - EVI-MAC
8.1 特性变更说明
命令行变更。
8.2 命令变更说明
8.2.1 修改- gre key
【原命令】
gre key [ key-number | network-id ]
【修改后的命令】
gre key [ key-number | vlan-id ]
【视图】
隧道视图
【修改说明】
与 105 设备互通,gre key 字段保存 vlan-id。
【配置恢复影响】
network-id 恢复为 vlan-id。
92
9 变更特性 - ACL
9.1 特性变更说明
9.1.1 新增可用性功能
原有版本:接口包过滤默认使能规则匹配统计功能,不需要专门配置 counting 参数。
修改后的版本:接口包过滤默认不使能规则匹配统计功能,需要配置 counting 参数才能使能统计功
能。
升级影响:不影响升级。
9.2 命令变更说明
无命令变更。
10 变更特性 - AAA
10.1 特性变更说明
命令行变更。
10.2 命令变更说明
10.2.1 修改- authorization-attribute
【原命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute |
ip ipv4-address | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix
prefix-length | { primary-dns | secondary-dns } { ip ip-address | ipv6 ipv6-address } | url url-string
| user-profile profile-name | user-role role-name | vlan vlan-id | vpn-instance
vpn-instance-name | work-directory directory-name } *
【修改后的命令】
命令格式不变
【视图】
本地用户视图/用户组视图
【修改说明】
profile-name 字符串最大长度改为 31, 名称只能包含英文字母[a-z,A-Z]、数字、下划线,且必须以
英文字母开始,区分大小写。将参数 work-directory 的长度最大值从 512 变小成 255。
93
【配置恢复影响】
如果原来 profile-name 配置的是长度为 32 的字符串,升级版本后使用文本配置恢复后该配置会丢
失。使用二进制配置恢复会截取前 31 个字符作为 profile-name 恢复配置。
11 变更特性- NTP
11.1 特性变更说明
命令行变更。
11.2 命令变更说明
11.2.1 修改- ntp-service inbound
【原命令】
ntp-service inbound disable
undo ntp-service inbound disable
【修改后的命令】
ntp-service inbound enable
undo ntp-service inbound enable
【视图】
接口视图
【修改说明】
ntp-service inbound enable 命令用来配置处理收到的 NTP 报文。
undo ntp-service inbound enable 命令用来配置不处理收到的 NTP 报文。
【配置恢复影响】
不影响配置恢复,可以兼容的配置恢复。
94
【修改说明】
ntp-service ipv6 inbound enable 命令用来配置接口处理收到的 IPv6 NTP 报文。
undo ntp-service ipv6 inbound enable 命令用来配置接口不处理收到的 IPv6 NTP 报文。
【配置恢复影响】
不影响配置恢复,可以兼容的配置恢复。
95
H3C VSR1000_H3C-CMW710-E0301-X64 版本
本版本特性变更情况如下:
新增特性 — 支持 VMware 平台 OVF 初始化部署
新增特性—Ethernet Virtual Interconnect(EVI)
新增特性 — 控制平面性能增强
新增特性 — MTR(Multi-Topology Routing)
新增特性—安全域(Security Zone)
变更特性- MPLS TE 特性
变更特性- Firewall-AttackDefend 特性
变更特性- FIB4/FIB6 特性
变更特性- BGP 特性
变更特性-接口管理
变更特性- APR、NAT 业务
删除特性 — 无
96
1 新增特性 — 支持 VMware 平台 OVF 初始化部署
VSR 产品在 VMware 平台下 OVF 初始化部署是对 VSR 产品部署的一个增强和完善,可以帮助用
户更方便地安装、配置 VSR。在 VMware vCenter 环境中,使用 VSR OVA 模板来安装 VSR 时,
会给用户提供一个 GUI 界面,帮助用户对 VSR 进行基础的配置,以便在部署完成后,能够通过远
程管理平台来直接管理 VSR。通过执行 VSR 自动化部署工具 vd_deploy.sh,可以实现:
远程部署:将 VSR OVA 模板部署到指定的 VMware vCenter 管理下的虚拟机中,并能在安装
的同时对 VSR 进行基础配置、对 VSR 运行的虚拟机资源进行修改;
模板定制:在 VSR OVA 模板基础上,对 VSR 的基础配置、运行的虚拟机资源进行修改,来
定制符合用户需求的 VSR OVA 模板,以进行分发和安装;
二次开发:调用 VSR 自动部署工具 vd_deploy.sh,进行二次开发,可以实现对 VSR 的自动
化批量部署。
1.1 VMware平台OVF初始化部署配置
请参考 VSR 自动化部署工具本身自带的配置和使用说明。
1.2 VMware平台OVF初始化部署命令
无新增命令。
97
2.1 Ethernet Virtual Interconnect(EVI)配置
请参考 VSR 请参照用户手册进行配置和使用。
3 新增特性 — 控制平面性能增强
可以通过分配更多 CPU 资源,以增强 VSR 控制平面的性能。
备注:如果要增强控制平面性能,需要单独购买 ECP License 许可。
3.1 控制平面性能增强配置
请参考 VSR 请参照用户手册进行配置和使用。
3.2 控制平面性能增强命令
请参考 VSR 请参照用户手册进行配置和使用。
5 新增特性—安全域(Security Zone)
安全域(Security Zone)
,是一个逻辑概念,用于管理防火墙设备上安全需求相同的多个接口。管
理员将安全需求相同的接口进行分类,并划分到不同的安全域,能够实现安全策略的统一管理。
传统防火墙的安全策略配置通常是基于报文入接口、出接口的,进入和离开接口的流量基于接口上
指定方向的策略规则进行过滤。这种基于接口的策略配置方式需要为每一个接口配置安全策略,给
98
网络管理员带来配置和维护上的负担。随着防火墙技术的发展,防火墙已经逐渐摆脱了只连接外网
和内网的角色,出现了内网/外网/DMZ(Demilitarized Zone,非军事区)的模式,并且向着提供高
端口密度服务的方向发展。基于安全域来配置安全策略的方式可以解决上述问题。
一个安全域中,可以包含多个三层物理接口和逻辑接口,也可以包括多个二层物理接口及对应的
VLAN,或者包含多个 VLAN。例如,可以将公司防火墙设备上连接到研发部门不同网段的四个接
口加入安全域 Zone_RND,连接服务器区的两个接口加入安全域 Zone_DMZ,这样管理员只需要
部署这两个域之间的安全策略即可,此处的安全策略包括包过滤策略、ASPF 策略、对象策略等。
如果后续网络环境发生了变化,则只需要调整相关域内的接口,而域间安全策略不需要修改。包过
滤策略的相关配置请参考“ACL 和 QoS 配置指导”中的“ACL”
。ASPF 策略的相关配置请参考“安
全配置指导”中的“ASPF”。对象策略的相关配置请参考“安全配置指导”中的“对象策略” 。
6 变更特性- MPLS TE 特性
6.1 特性变更说明
命令行变更。
6.2 命令变更说明
6.2.1 修改- mpls te
【原命令】
mpls te igp advertise [ hold-time value ]
undo mpls te igp advertise
【修改后的命令】
mpls te igp advertise
undo mpls te igp advertise
【视图】
Tunnel-Bundle 接口视图
【修改说明】
捆绑口不实现 holdtime,捆绑口下的 holdtime 命令行裁减掉。
99
7 变更特性- Firewall-AttackDefend 特性
7.1 特性变更说明
命令行变更。
7.2 命令变更说明
7.2.1 修改- blacklist ip
【原命令】
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
【修改后的命令】
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer
ds-lite-peer-address ] [ timeout minutes ]
【视图】
系统视图
【修改说明】
配置黑名单时,允许指定 Ds-lite 隧道对端的 B4 地址以区分不同 B4。
100
【修改后的命令】
XXX-flood detect { ip ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
[ threshold rate-number ] [ action { { client-verify | drop | logging } * } | none ]
【视图】
攻击防范策略视图
【修改说明】
允许 Flood 保护 IP 配置 none 动作以表示该保护 IP 在检测出 Flood 攻击后不执行任何操作。
XXX-flood 表示各类 Flood(syn, synack 等)
。
8 变更特性- FIB4/FIB6 特性
8.1 特性变更说明
命令行变更。
8.2 命令变更说明
8.2.1 修改- apply next-hop
【原命令】
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track
track-entry-number ] }&<1-n>
【修改后的命令】
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track
track-entry-number ] [ weight weight-value ] }&<1-n>
【视图】
策略节点视图
【修改说明】
配置指定下一跳负载分担的权重。
9 变更特性- BGP 特性
9.1 特性变更说明
命令行变更。
101
9.2 命令变更说明
9.2.1 修改- peer
【原命令】
peer { ip-address | ipv6-address } as-number as-number
【修改后的命令】
peer { ip-address [ mask-length ] | ipv6-address [ prefix-length ] } as-number as-number
【视图】
BGP 视图
【修改说明】
设备的邻居位于同一个网段内,则可以通过 BGP 动态对等体功能简化配置。
10 变更特性-接口管理
10.1 特性变更说明
命令行变更。
10.2 命令变更说明
10.2.1 修改- ip address
【原命令】
ip address ip-address { mask-length | mask } [ sub ]
【修改后的命令】
ip address ip-address { mask-length | mask } [ sub ]
【视图】
接口视图
【修改说明】
命令无变化,一个接口下可配置的总 IP 地址个数由 16 变成 256 个。
11 变更特性- APR、NAT 业务
11.1 特性变更说明
将 APR、NAT 业务所使用的协议名称进行了统一,具体变更如表 1。
102
表1 协议名称变更对应表
协议 原命名 其他命名 统一后的命名
11.2 命令变更说明
上述特性变更所影响到的命令如下:
103
11.2.3 修改- port-mapping
【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
【视图】
System view
【修改说明】
部分应用协议名称变更,详细变更请参见 11.1 表 1。
104
11.2.6 修改- port-mapping subnet
【原命令】
port-mapping application application-name port port-number [ protocol protocol-name ]
subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance
vpn-instance-name ]
undo port-mapping application application-name port port-number [ protocol protocol-name ]
subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance
vpn-instance-name ]
【视图】
System view
【修改说明】
部分应用协议名称变更,详细变更请参见 11.1 表 1。
105
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance
global-name ] inside local-address local-port1 local-port2 [ vpn-instance local-name ] [ acl
acl-number ]
undo nat server protocol pro-type global global-address1 global-address2 global-port
[ vpn-instance global-name ]
(2) 负载均衡内部服务器
nat server protocol pro-type global { { global-address | current-interface | interface
interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1
global-address2 global-port } [ vpn-instance global-name ] inside server-group group-number
[ vpn-instance local-name ] [ acl acl-number ]
undo nat server protocol pro-type global { { global-address | current-interface | interface
interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1
global-address2 global-port } [ vpn-instance global-name ] inside server-group group-number
[ vpn-instance local-name ] [ acl acl-number ]
【视图】
Interface view
【修改说明】
部分应用协议名称变更,详细变更请参见 11.1 表 1。
106
H3C VSR1000_H3C-CMW710-R0202-X64 版本
本版本特性变更情况如下:
新增特性 — 支持 VirtIO 虚拟硬盘
变更特性 — 无
删除特性 — 无
1.2 支持VirtIO虚拟硬盘配置命令
无新增命令。
107
H3C VSR1000_H3C-CMW710-E0201-X64 版本
本版本特性变更情况如下:
新增特性 — 支持 Intel 82599 VF 网卡
新增特性 — 支持 VMware ESXi 5.5 虚拟化平台
变更特性 — 无
删除特性 — 无
108
H3C VSR1000_H3C-CMW710-E0102-X64 版本
本版本特性变更情况如下:
新增特性 — 无
变更特性 — 无
删除特性 — 无
109
H3C VSR1000_H3C-CMW710-E0101P01-X64 版
本
本版本特性变更情况如下:
新增特性 — 无
变更特性 — 无
删除特性 — 无
110
H3C VSR1000_H3C-CMW710-E0101-X64 版本
本版本特性变更情况如下:
新增特性—VSR 多核支持
新增特性-支持 VMXNET3 虚拟网卡
新增特性-支持 VirtIO 虚拟网卡
新增特性-支持 H3C CAS 虚拟平台
变更特性 — 无
删除特性 — 无
1 新增特性—VSR 多核支持
1.1 VSR多核支持配置
VSR 系统最大支持 8 个虚拟 CPU,当 VSR 的虚拟 CPU 数量为 2 个或 2 个以上时,控制平面使用
1 个虚拟 CPU,其他虚拟 CPU 将用于数据平面。VSR 所使用的虚拟 CPU 数量,在虚拟机管理平
台中,进行配置即可。
1.2 VSR多核支持配置命令
无新增命令。
2.2 支持VMXNET3虚拟网卡配置命令
无新增命令。
111
3.2 支持VirtIO虚拟网卡配置命令
无新增命令。
112
H3C VSR1000_H3C-CMW710-E0002-X64 版本
本版本特性变更情况如下:
无新增特性(新版本发布)
113