ipsec

dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。

undo dh命令用来恢复缺省情况。

【命令】

dh { group1 | group14 | group2 | group24 | group5 }

undo dh

【缺省情况】

IKE提议使用的DH密钥交换参数为group1，即768-bit的Diffie-Hellman group。

【视图】

IKE提议视图

【缺省用户角色】

network-admin

context-admin

【参数】

group1：指定阶段1密钥协商时采用768-bit的Diffie-Hellman group。

group14：指定阶段1密钥协商时采用2048-bit的Diffie-Hellman group。

group2：指定阶段1密钥协商时采用1024-bit的Diffie-Hellman group。

group24：指定阶段1密钥协商时采用含256-bit的sub-group的2048-bit Diffie-Hellman group。

group5：指定阶段1密钥协商时采用1536-bit的Diffie-Hellman group。

【使用指导】

group1提供了最低的安全性，但是处理速度最快。group24提供了最高的安全性，但是处理速度最慢。其它的Diffie-Hellman group随着其位数的增加提供更高的安全性，但是处理速度会相应减慢。请根据实际组网环境中对安全性和性能的要求选择合适的Diffie-Hellman group。

【举例】

# 指定IKE提议1使用2048-bit的Diffie-Hellman group。

<Sysname> system-view

[Sysname] ike proposal 1

[Sysname-ike-proposal-1] dh group14

【相关命令】

·            display ike proposal