当前位置：首页 > web >正文

IPSec VPN参数配置显示详解

web 2025/8/7 13:08:29

本文由deepseek生成，特此声明

1. `display IPSec proposal`：显示IPSec提议配置

IPSec提议定义了数据加密和认证的算法组合，用于建立IPSec安全关联（SA）。

输出参数解析

参数	描述	可选项/示例值
Proposal Name	IPSec提议的名称	自定义名称（如`proposal1`）
Encapsulation	封装模式	`transport`（传输模式，仅加密数据）或 `tunnel`（隧道模式，加密整个IP包）
Transform	安全协议类型	`esp`（封装安全载荷）、`ah`（认证头，已淘汰）或 `esp-ah`（ESP+AH联合）
ESP Protocol	ESP协议使用的加密和认证算法	加密算法：`aes-128`、`aes-256`、`3des`、`des`（不推荐）等
		认证算法：`sha2-256`、`sha1`、`md5`（不推荐）
SA Lifetime	SA的生存时间（触发重新协商）	时间（秒，默认3600）或流量（KB，默认1843200）
PFS	完美前向保密（Diffie-Hellman组）	`group1`（768位）、`group2`（1024位）、`group5`（1536位）、`group14`（2048位）等

示例输出

IPSec proposal name: proposal1Encapsulation mode: tunnelTransform         : espESP protocol      : encryption aes-128, authentication sha1SA lifetime       : time based 3600 seconds, volume based 1843200 KBPFS               : group14

2. `display ike peer verbose`：显示IKE对等体详细信息

IKE对等体定义了IKE阶段1（主模式/积极模式）的协商参数，用于建立安全通道。

输出参数解析

参数	描述	可选项/示例值
Peer Name	IKE对等体名称	自定义名称（如`peer1`）
Remote Address	对端IP地址或地址范围	单IP（如`10.0.0.2`）或IP段（如`10.0.0.0/24`）
Authentication	认证方法	`pre-share`（预共享密钥）、`rsa-signature`（证书认证）
Pre-Shared-Key	预共享密钥（若认证方式为`pre-share`）	明文或密文字符串（如`Huawei@123`）
IKE Version	IKE协议版本	`v1`（IKEv1）或 `v2`（IKEv2）
Exchange Mode	IKEv1的协商模式（仅IKEv1有效）	`main`（主模式）、`aggressive`（积极模式）
Proposal	IKE提议引用的安全算法	自定义IKE提议名称（如`ike_proposal1`）
Local ID Type	本地身份标识类型	`ip`（IP地址）、`fqdn`（域名）、`user-fqdn`（用户域名）
Remote ID Type	对端身份标识类型	同上
NAT Traversal	NAT穿越功能	`enable`（启用）或 `disable`（禁用）
DPD	死亡对等体检测（Dead Peer Detection）	`interval 10 retry 5`（检测间隔10秒，重试5次）
SA Lifetime	IKE SA生存时间	时间（秒，默认86400）

示例输出

IKE peer: peer1Remote address      : 10.0.0.2Authentication      : pre-sharePre-shared-key      : %^%#vIdml8U... (encrypted)IKE version         : v2Proposal            : ike_proposal1Local ID type       : ipRemote ID type      : ipNAT traversal       : enableDPD                 : interval 10 retry 5SA lifetime         : 86400 seconds

3. `display ipsec policy`：显示IPSec策略配置

IPSec策略将IPSec提议、IKE对等体、流量选择器等关联起来，定义如何保护特定流量。

输出参数解析

参数	描述	可选项/示例值
Policy Name	IPSec策略名称	自定义名称（如`ipsec_policy1`）
Interface	应用策略的接口	物理接口（如`GigabitEthernet0/0/1`）或虚拟接口（如`Tunnel0`）
ACL	流量选择器（ACL规则）	ACL编号或名称（如`3000`）
IKE Peer	引用的IKE对等体	对等体名称（如`peer1`）
IPSec Proposal	引用的IPSec提议	提议名称（如`proposal1`）
PFS	完美前向保密（可选）	`group1`、`group2`、`group5`、`group14`等
SA Trigger Mode	SA触发方式	`auto`（自动触发）、`traffic-based`（流量触发）
Anti-Replay	抗重放攻击功能	`enable`（默认启用）或 `disable`
Tunnel Local	隧道本端地址（隧道模式时）	IP地址（如`192.168.1.1`）
Tunnel Remote	隧道对端地址（隧道模式时）	IP地址（如`192.168.1.2`）

示例输出

IPSec policy name: ipsec_policy1Interface          : GigabitEthernet0/0/1ACL                : 3000IKE peer           : peer1IPSec proposal     : proposal1PFS                : group14SA trigger mode    : autoAnti-Replay        : enableTunnel local       : 192.168.1.1Tunnel remote      : 192.168.1.2

关键参数关系图

复制

下载

+----------------+           +----------------+           +----------------+
|  IPSec Policy  | 引用      |  IKE Peer      | 引用       |  IPSec Proposal|
|----------------| --------->|----------------| --------->|----------------|
| - ACL          |           | - Pre-shared   |           | - Encapsulation|
| - IKE Peer     |           | - Remote IP    |           | - ESP算法      |
| - IPSec Proposal|          | - NAT Traversal|           +----------------+
+----------------+           +----------------+