国家 / 地区

10-安全命令参考

27-Group Domain VPN命令

本章节下载  (157.09 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R3103(V1.18)/10/201307/791043_30005_0.htm

27-Group Domain VPN命令


1 Group Domain VPN

1.1  Group Domain VPN配置命令

1.1.1  client registration interface

【命令】

client registration interface interface-type interface-number

undo client registration interface

【视图】

GDOI组视图

【缺省级别】

2:系统级

【参数】

interface-type interface-number:注册接口的接口类型和接口编号。

【描述】

client registration interface命令用于GM指定GDOI组的注册接口,GM通过注册接口向KS发起注册。undo client registration interface命令用于删除为GM指定的注册接口。

缺省情况下,GM使用GDOI方式的IPsec安全策略所应用的接口向KS注册。

当用户希望注册报文和IPsec报文通过不同的接口处理时,可以采用本命令来指定注册接口。

相关配置可参考命令gdoi group

【举例】

# 在GDOI组abc中指定GM的注册接口为GigabitEthernet 1/0/1。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-group-abc] client registration interface gigabitethernet 1/0/1

1.1.2  display gdoi

【命令】

display gdoi [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的相关信息。group-name表示GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示显示所有GDOI组的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi命令用来显示GDOI组的信息,包括GDOI的配置参数、协商参数及注册成功后获取到的安全策略信息。

【举例】

# 显示所有GDOI组的信息。

<Sysname> display gdoi

Group Name: GDOI-GROUP1

 

  Group Identity             : 12345

  Rekeys Received            : 1

  IPsec SA Direction         : Both

 

  Group Server List          : 90.1.1.1

                               90.1.1.10

 

  Group Member               : 80.1.1.1

    VPN instance             : vpn1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 346 sec

    Succeeded registrations  : 1125

    Attempted registrations  : 1133

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

    Allowable rekey cipher   : Any

    Allowable rekey hash     : Any

    Allowable transform      : Any

 

  Rekeys Cumulative

    Total received           : 5

    After latest registration: 3

    Rekey received (hh:mm:ss): 00:02:11

 

  ACL Downloaded From KS 90.1.1.1:

    rule 0 deny udp source-port eq 848 destination-port eq 848

    rule 1 deny ospf

    rule 2 permit icmp

 

  KEK Policy:

    Rekey transport type     : Multicast

    Lifetime (sec)           : 159

    Encrypt algorithm        : AES

    Key size                 : 128

    Sig hash algorithm       : SHA1

    Sig key length (bit)     : 1024

 

  TEK Policy:

    Interface GigabitEthernet1/0/1:

      IPsec SA:

        SPI: 0x9AE5951E(2598737182)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 190

        Anti-replay detection: Disabled

 

      IPsec SA:

        SPI: 0x12C55CFF(314924287)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 402

        Anti-replay detection: Disabled

 

表1-1 display gdoi命令显示信息描述表

字段

描述

Group Name

GDOI组名称

Group Identity

GDOI组标识(可以是编号,也可以是IPv4地址)

Rekeys Received

收到Rekey消息的次数

 IPsec SA Direction

IPsec SA的方向,取值为Both或者Inbound(Inbound暂不支持)

Group Server List

GDOI组中KS的IP地址列表,最多8个

Group Member

GM的IP地址

VPN instance

GM所属的MPLS L3VPN的VPN实例名称

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

GM注册的KS的IP地址

Re-register in

距离下一次重新注册的时间间隔

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个KS收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI组类型为单播时显示

Allowable rekey cipher

GM允许接受的Rekey的加密算法,取值为Any表示都接受

Allowable rekey hash

GM允许接受的Rekey的哈希算法,取值为Any表示都接受

Allowable transform

GM允许接受的Transform 方式,取值为Any表示都接受

Rekeys Cumulative

Rekey的统计信息

Total received

GM收到Rekey消息的总次数

After latest registeration

GM最近一次成功注册之后进行的Rekey的次数

Rekey received ( hh:mm:ss)

收到Rekey消息时,显示此信息,表示Rekey之后的密钥的存活时间

Rekey received

没有收到任何Rekey消息时,显示此信息,且取值为None

Total rekey ACKs sent

发送Rekey ACK消息的总次数,仅在单播方式下显示

ACL Downloaded From KS 90.1.1.1

从密钥服务器90.1.1.1下载的ACL信息

rule 0 deny udp source-port eq 848 destination-port eq 848

源端口为848和目的端口为848的任意地址的UDP报文不需要IPsec保护

rule 1 deny ospf

OSPF协议报文不需要IPsec保护

rule 2 permit icmp

任意地址的ICMP报文需要IPsec保护

KEK Policy

KEK策略信息

Rekey transport type

Rekey报文的传输类型,取值为Multicast和Unicast

Lifetime (sec)

KEK的生命周期,单位为秒

Encrypt algorithm

KEK加密算法

Key size

KEK密钥长度

Sig hash algorithm

KEK签名哈希算法

Sig key length (bit)

KEK签名密钥长度,单位为位

TEK Policy

TEK策略信息

Interface

TEK绑定的接口名称

IPsec SA

IPsec SA的信息

SPI

IPsec SA的SPI

Transform

Transform列表

SA timing

SA时间

remaining key lifetime (sec)

IPsec SA剩余的生命周期

Anti-replay detection

抗重放检测功能,取值为Enabled和Disabled

anti-replay window size(time based)

抗重放窗口大小(基于时间),以秒为单位

如果未使能抗重放检测功能,则不显示

anti-replay window size(counter based)

抗重放窗口大小(基于流量),取值为32、64、128、256、512、1024

如果未使能抗重放检测功能,则不显示

 

1.1.3  display gdoi gm

【命令】

display gdoi [ group group-name ] gm [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的GM的简要信息,group-name为GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的简要信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm命令用来显示GM的简要信息。

【举例】

# 显示所有GM的简要信息。

<Sysname> display gdoi gm

Group Member Information For Group GDOI-GROUP1:

  IPsec SA Direction         : Both

 

  Group Member               : 80.1.1.1

    VPN instance             : vpn1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 308 sec

    Succeeded registrations  : 1131

    Attempted registrations  : 1139

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

    Allowable rekey cipher   : Any

    Allowable rekey hash     : Any

    Allowable transform      : Any

表1-2 display gdoi gm命令显示信息描述表

字段

描述

Group Member Information For Group GDOI-GROUP1

组GDOI-GROUP1的GM的简要信息

IPsec SA Direction

IPsec SA的方向,取值为Both或者Inbound(Inbound暂不支持)

Group Member

GM的IP地址

VPN instance

GM的所属的MPLS L3VPN的VPN实例名称

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

注册的KS地址

Re-register in

距离发起重新注册的时间

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个密钥服务器收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI组类型为单播时显示

Rekey received ( hh:mm:ss)

收到Rekey时,显示此信息,且表示 Rekey之后的密钥的存活时间

Rekey received

没有收到任何Rekey时,显示此信息,且取值为None

Allowable rekey cipher

GM允许接受的Rekey的加密算法,取值为Any表示都接受

Allowable rekey hash

GM允许接受的Rekey的哈希算法,取值为Any表示都接受

Allowable transform

GM允许接受的Transform方式,取值为Any表示都接受

 

1.1.4  display gdoi gm acl

【命令】

display gdoi [ group group-name ] gm acl [ download | local ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的GM的ACL信息,group-name为GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的ACL信息。

download:显示GM从KS下载的ACL信息。

local:显示GM本地配置的ACL信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm acl命令用来显示GM的ACL信息。

若不指定任何参数,则表示显示GM的所有ACL信息,包括从KS下载的ACL和本地配置的ACL。本地配置的ACL是指IPsec GDOI安全策略中引用的ACL。

【举例】

# 显示所有GM的ACL信息。

<Sysname> display gdoi gm acl

Group Name: abc

  ACL Downloaded From KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

 

  ACL Configured Locally:

    IPsec Policy Name: gdoi-group1

      ACL Identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

Group Name: 123

  ACL Downloaded From KS 12.1.1.100:

    rule 1 permit ip source 13.1.1.0 0.0.0.255 destination 13.1.2.0 0.0.0.255

# 显示GM从KS下载的ACL信息。

<Sysname> display gdoi gm acl download

Group Name: abc

  ACL Downloaded From KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

# 显示GM本地配置的ACL信息。

<Sysname> display gdoi gm acl local

Group Name: abc

  ACL Configured Locally:

    IPsec Policy Name: gdoi-group1

      ACL Identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

表1-3 display gdoi gm acl命令显示信息描述表

字段

描述

Group Name

GDOI组名称

ACL Downloaded From KS 12.1.1.100

从KS下载的ACL

rule 0 permit ip

IPsec保护任意地址的IP报文

rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

IPsec保护源地址范围为12.1.1.0/24,目的地址范围为12.1.1.0/24 的IP报文

ACL Configured Locally

本地配置的ACL

IPsec Policy Name

IPsec GDOI安全策略的名称

ACL Identifier

ACL标识

rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

IPsec不保护源地址范围为10.1.1.0/24,目的地址范围为10.1.1.0/24 的IP报文

 

1.1.5  display gdoi gm pubkey

【命令】

display gdoi  [ group group-name ] gm pubkey [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的GM接收到的公钥信息,group-name为GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM接收到的公钥信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm pubkey命令用来显示GM接收到的公钥信息。

【举例】

# 显示GM接收到的公钥信息。

<Sysname> display gdoi gm pubkey

Group Name: GDOI-GROUP1

  KS IPv4 Address: 90.1.1.1

  Conn-ID: 2044    My Cookie: 7C9CB398    His Cookie: 4E54C7EA

  Key Data:

    30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00BB0F5B

    6B5788E7 6220C0C1 C4BCAAD7 D81322FF 7DB9436E 46E308DA D589243B 64946D2D

    FC502F64 7F38DDF5 E999F8F7 4A247508 9AF7765B F0B080AC 11CC08E4 B48A976F

    D3721818 B66201F0 BD1987BE DD28D533 C38E7D42 939D2B71 3FAAA17A 128DF862

    E45C531D A0C8593E D7D602E9 7A7E675A 94AF6B25 2972CF85 94E601BD 19020301

    0001

表1-4 display gdoi命令显示信息描述表

字段

描述

Group Name

GDOI组名称

KS IPv4 Address

KS的IPv4地址

Conn-ID

标识Rekey SA的ID

My Cookie

Rekey SA的本端cookie

His Cookie

Rekey SA的对端cookie

Key Data

公钥数据

 

1.1.6  display gdoi gm rekey

【命令】

display gdoi [ group group-name ] gm rekey [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的GM的Rekey信息,group-name为GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的Rekey信息。

verbose:显示GM Rekey的详细信息。若不指定该参数,则显示GM Rekey的简要信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm rekey命令用来显示GM的Rekey信息。

【举例】

# 显示所有GM的Rekey的简要信息。

<Sysname> display gdoi gm rekey

Group Name: abc (Unicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Number of rekey ACKs sent                    : 105

 

Group Name: 123 (Multicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Multicast destination address                : 239.192.1.190

 

# 显示所有GM的Rekey的详细信息。

<Sysname> display gdoi gm rekey verbose

Group Name: GDOI-GROUP1 (Multicast)

  Number of rekeys received (cumulative)       : 1904

  Number of rekeys received after registration : 889

  Multicast destination address                : 239.192.1.190

 

Rekey (KEK) SA Information:

            Destination     Source            Conn-ID  My Cookie  His Cookie

New       : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Current   : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Previous  : ---             ---               ---      ---        ---

 

表1-5 display gdoi命令显示信息描述表

字段

描述

Group Name

GDOI组名称

Unicast

密钥采用单播方式更新

Multicast

密钥采用组播方式更新

Number of rekeys received (cumulative)

GM累计接收到的Rekey消息的次数

Number of rekeys received after registration

GM注册成功后Rekey的次数

Number of rekey ACKs sent

发送Rekey ACK消息的次数

Multicast destination address

发送Rekey消息的组播目的地址

Rekey (KEK) SA information

Rekey (KEK) SA信息,即保护密钥更新消息的SA

Destination

Rekey SA的目的IP地址

Source

Rekey SA的源IP地址

Conn-ID

标识Rekey SA的ID

My Cookie

Rekey SA的本端cookie

His Cookie

Rekey SA的对端cookie

New

新的Rekey SA信息

Current

当前正在使用的Rekey SA信息

Previous

上一次使用的Rekey SA信息

 

1.1.7  display gdoi ipsec sa

【命令】

display gdoi [ group group-name ] ipsec sa [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI组的GM获取的IPsec SA信息,group-name为GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM获取的IPsec SA信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi ipsec sa命令用来显示GM获取的IPsec SA信息。

【举例】

# 显示所有GM获取的IPsec SA信息。

<Sysname> display gdoi ipsec sa

SA created for group abc:

    Interface GigabitEthernet1/0/1;

    Interface GigabitEthernet1/0/2:

      IPsec SA:

        SPI: 0x9AE5951E(2598737182)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 12

        Anti-replay detection: Disabled

 

SA created for group hh:

    Interface GigabitEthernet1/0/1;

    Interface GigabitEthernet1/0/2:

      IPsec SA:

        SPI: 0xDCC66F7B(3703992187)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 190

        Anti-replay detection: Disabled

表1-6 display gdoi ipsec sa命令显示信息描述表

字段

描述

SA created for group abc

GDOI组abc创建的SA

Interface

IPsec SA绑定的接口名称

IPsec SA

IPsec SA的信息

SPI

IPsec SA的SPI

Transform

Transform列表

SA timing

SA的生命周期

remaining key lifetime (sec)

IPsec SA剩余的生命周期,单位为秒

Anti-replay detection

抗重放检测,取值为Enabled或Disabled

anti-replay window size(time based)

抗重放窗口大小(基于时间),单位为秒,仅在使能了抗重放检查功能时显示

anti-replay window size(counter based)

抗重放窗口大小(基于流量),取值为32、64、128、256、512、1024,仅在使能了抗重放检查功能时显示

 

1.1.8  gdoi group

【命令】

gdoi group group-name

undo gdoi group group-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-name:GDOI组名称,为1~63个字符的字符串,区分大小写。

【描述】

gdoi group命令用来创建一个GDOI组,并进入GDOI组视图。undo gdoi group命令用来删除指定的GDOI组。

缺省情况下,不存在GDOI组。

一个GDOI组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS的地址和注册接口等。

设备上最多可以同时存在64个GDOI组。

相关配置可参考命令display gdoi

【举例】

# 创建一个名称为abc的GDOI组,并进入GDOI组视图。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-group-abc]

1.1.9  group

【命令】

group group-name

undo group

【视图】

IPsec GDOI安全策略视图

【缺省级别】

2:系统级

【参数】

group-name:指定GDOI组的名称,为1~63个字符的字符串,区分大小写。该组必须已经存在。

【描述】

group命令用来指定IPsec GDOI安全策略引用的GDOI组。undo group命令用来删除IPsec GDOI安全策略引用的GDOI组。

缺省情况下,IPsec GDOI安全策略没有引用任何GDOI组。

一个IPsec GDOI安全策略只能引用一个GDOI组,最后一次配置生效。

一个GDOI组可以被不同的IPsec GDOI安全策略组中的IPsec策略引用,但不能被同一个IPsec GDOI安全组中的不同策略引用。

相关配置可参考命令gdoi group

【举例】

# 配置名字为map的IPsec策略,顺序号为1,采用GDOI方式建立安全联盟。

<Sysname> system-view

[Sysname] ipsec policy map 1 gdoi

# 指定IPsec GDOI安全策略引用GDOI组abc。

[Sysname-ipsec-policy-gdoi-map-1] group abc

1.1.10  identity

【命令】

identity { address ip-address | number number }

undo identity

【视图】

GDOI组视图

【缺省级别】

2:系统级

【参数】

ip-address:用于标识GDOI组的IP地址,可以为任意合法的IPv4地址。

number:GDOI组的编号,取值范围为0~2147483647。

【描述】

identity命令用来配置GDOI组的组ID。undo identity命令用来删除GDOI组的组ID。

缺省情况下,未定义GDOI组的组ID。

需要注意的是,一个GDOI组只能配置一种类型的标识(IP地址或者组号),重复执行,新的配置会覆盖原有配置。

相关配置可参考命令display gdoi

【举例】

# 配置GDOI组abc的组ID为编号123456。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-group-abc] identity number 123456

# 配置GDOI组def的组ID为IP地址202.202.202.10。

<Sysname> system-view

[Sysname] gdoi group def

[Sysname-gdoi-group-def] identity address 202.202.202.10

1.1.11  reset gdoi

【命令】

reset gdoi [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group:清除指定GDOI组的GDOI信息。group-name表示GDOI组名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示清除所有GM的GDOI信息。

【描述】

reset gdoi命令用来清除GM的GDOI信息,并发起注册。本命令将会清除GM从KS下载的信息,包括IKE SA 、Rekey SA、IPsec SA和ACL,并且还会触发GM重新向KS进行注册。

相关配置可参考命令display gdoi

【举例】

# 删除所有GM的GDOI信息,并发起注册。

<Sysname> reset gdoi

# 删除名称为abc的GDOI组的GDOI信息,并发起注册。

<Sysname> reset gdoi group abc

1.1.12  server address

【命令】

server address ip-address

undo server address ip-address

【视图】

GDOI组视图

【缺省级别】

2:系统级

【参数】

ip-address:密钥服务器的IP地址。

【描述】

server address命令用来指定GM将要注册的KS(Key Server,密钥服务器)的IP地址。undo server address命令用来删除指定的KS的IP地址。

缺省情况下,未指定KS的IP地址。

对于组成员,必须在GDOI组中指定KS的IP地址,否则,组成员的GDOI组配置不完整。

一个GDOI组中最多允许同时指定8个密钥服务器,其使用的优先级按照配置先后顺序依次降低。GM将从第一个配置的KS地址开始向其发起注册,如果无法成功向当前的KS地址注册,则在GDOI注册定时器超时后,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。

相关配置可参考命令display gdoi

【举例】

# 为GDOI组abc指定两个KS的IP地址,分别为3.3.3.3和3.3.3.4。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-group-abc] server address 3.3.3.3

[Sysname-gdoi-group-abc] server address 3.3.3.4

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!