防火墙+ipsec

 支持的

1.1.64  remote-address

remote-address命令用来指定IPsec隧道的对端IP地址。

【参数】

ipv6：指定IPv6 IPsec隧道的对端地址或主机名称。如果不指定该参数，则表示指定IPv4 IPsec隧道的对端地址或主机名称。

hostname：IPsec隧道的对端主机名，为1～253个字符的字符串，不区分大小写。该主机名可被DNS服务器解析为IP地址。

ipv4-address：IPsec隧道的对端IPv4地址。

ipv6-address：IPsec隧道的对端IPv6地址。

primary：将指定的对端地址配置为首选地址。未指定该参数时，先配置的地址优先级更高。

track track-id：指定地址关联的track项。非缺省vSystem不支持本参数。

【使用指导】

IKE协商发起方必须配置IPsec隧道的对端IP地址，对于使用IPsec安全策略模板的响应方可选配。

手工方式的IPsec安全策略不支持域名解析，因此只能指定IP地址类型的对端IP地址。

对于主机名方式的对端地址，地址更新的查询过程有所不同。

·     若此处指定对端主机名由DNS服务器来解析，则本端按照DNS服务器通知的域名解析有效期，在该有效期超时之后向DNS服务器查询主机名对应的最新的IP地址。

·     若此处指定对端主机名由本地配置的静态域名解析（通过ip host命令配置）来解析，则更改此主机名对应的IP地址之后，需要在IPsec安全策略或IPsec安全策略模板中重新配置remote-address，本端解析到的对端IP地址将为更改后的IP地址。

例如，本端已经存在一条静态域名解析配置，它指定了主机名test对应的IP地址为1.1.1.1。若先后执行以下配置：

# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test

# 更改主机名test对应的IP地址为2.2.2.2。

[Sysname] ip host test 2.2.2.2

# 在IPsec安全策略policy1中指定IPsec隧道的对端主机名为test。

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] remote-address test

则，本端可以根据更新后的本地域名解析配置得到最新的对端IP地址2.2.2.2。

多次执行本命令可指定多个对端IP地址，形成对端IP地址列表。建立IPsec隧道时，本端依次按配置顺序向列表中的IP地址发起IPsec协商：协商成功，则与该地址建立IPsec隧道；否则尝试向列表中的下一个IP地址建立IPsec隧道，直至列表中最后一个IP地址。

如果执行本命令时配置了primary参数，则此地址拥有最高优先级，每次触发协商时都会优先向该地址发起协商，每个地址列表中最多可配置一条首选地址。

不能通过重复执行remote-address命令来修改首选地址。如需修改首选地址，请先通过undo remote-address命令删除当前首选地址，再执行remote-address命令。

如果需要关注对端地址是否可用，需要在remote-address后关联track项。配置相应track项之后，能够实现对对端地址状态的探测。当探测到首选地址不可用时，设备会立即选择备份地址建立IPsec隧道。如果同时打开了对端地址回切功能，在首选地址恢复到可用状态时，设备将重新与首选地址建立IPsec隧道。

仅在安全策略视图下，支持remote-address命令配置多个对端地址、指定primary远端地址及指定地址关联的track项。