国家 / 地区

10-安全配置指导

28-Group Domain VPN配置

本章节下载  (342.16 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_CG-R3103(V1.18)/10/201307/791220_30005_0.htm

28-Group Domain VPN配置


1 Group Domain VPN

1.1  Group Domain VPN简介

Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接,而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。

Group Domain VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略及密钥。Group Domain VPN由KS(Key Server,密钥服务器)和GM(Group Member,组成员)组成。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。

相比较传统的IPsec VPN,Group Domain VPN具有如下优点:

·              网络扩展性强。传统的IPsec VPN中,每对通信对等体之间都需要建立IKE SA和IPsec SA,管理复杂度为N2,而Group Domain VPN中所有组成员之间共用一对IPsec SA,管理复杂度低,可扩展性更好。

·              无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接,由于封装了新的IP头,需要重新部署路由。Group Domain VPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。

·              更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。Group Domain VPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。

·              组播效率更高。由于传统的IPsec VPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。Group Domain VPN是无隧道的连接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。

·              可提供any-to-any的连通性。所有组成员共用一对IPsec SA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。

1.1.1  Group Domain VPN的组网结构

Group Domain VPN的典型组网结构如图1-1所示,其中包括两大组成元素,KS和GM。

图1-1 Group Domain VPN组网结构示意图

 

1. KS(Key Server,密钥服务器)

KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任:响应GM的注册请求,以及发送Rekey报文。当一个GM向KS进行注册时,KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过Rekey消息通知所有GM更新密钥。

KS下发的密钥包括两种类型:

·              TEK(tranfic encrytion key,加密流量的密钥):由组内的所有GM共享,用于加密GM之间的流量。

·              KEK(key encrytion key,加密密钥的密钥):由组内的所有GM共享,用于加密KS向GM发送的Rekey报文。

2. GM(Group Member,组成员)

GM是一组共享相同安全策略且有安全通信需求的网络设备。它在KS上注册,并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID,KS根据这个组ID将对应组的安全策略和密钥下发给该GM。

1.1.2  Group Domain VPN的工作机制

Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。

1. GM向KS注册

在GM的某接口上应用了Group Domain VPN的相关IPsec策略后,GM会向KS发起注册,这个注册过程包括两个阶段的协商:IKE协商和GDOI(Group Domain of Interpretation,组解释域)协商,具体内容如下:

(1)      第一阶段的IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护二阶段GDOI协商的IKE SA。

(2)      第二阶段的GDOI协商:这是一个GM从KS上“拉”安全策略的过程,其具体的协议过程由GDOI协议定义。

具体的注册过程包括图1-2所示的五个步骤:

图1-2 注册过程流程图

 

(1)      GM与KS进行一阶段IKE协商;

(2)      GM向KS发送所在组的ID;

(3)      KS根据GM提供的组ID向GM发送相应组的安全策略(保护的数据流信息、加密算法、认证算法、封装模式等);

(4)      GM对收到的安全策略进行验证,如果这些策略是可接受的(例如安全协议和加密算法是可支持的),则向KS发送确认消息;

(5)      KS收到GM的确认消息后,向GM发送密钥信息(KEK、TEK)。

通过这个过程,GM把KS上的安全策略和密钥“拉”到了本地。此后,就可以利用获取的安全策略和密钥在GM之间加密、解密传输的数据了。

说明

在GM向KS发起注册时,GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功,则表示当前的注册过程失败,GM会重新发起注册。该定时器的时间不可配,且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。

 

2. 数据保护

GM完成注册之后,将使用获取到的IPsec SA对符合安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。

与传统的IPsec类似,Group Domain VPN也支持隧道和传输两种封装模式,该模式由KS决定并下发给GM

·              隧道模式:首先在原有的IP报文外部封装安全协议头(AH头或ESP头,目前Group Domain VPN不支持AH协议),然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。

图1-3 隧道模式Group Domain VPN数据封装示意图

 

·              传输模式:在原有的IP报文头与报文数据之间封装安全协议头,不对原始的IP报文头做任何修改。

与传统IPsec VPN相同,Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。

3. 密钥更新(Rekey)

GM向KS注册后,如果KS上配置了Rekey的相关参数(具体配置请参见KS的相关配置指导),则KS会向GM发送密钥更新SA(Rekey SA)。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前,KS将通过密钥更新消息(也称为Rekey消息)定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA,该Rekey消息使用当前的Rekey SA进行加密,GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息,将会重新向KS发起一次注册,把安全策略和密钥“拉”过来。

说明

·       由KS来决定采用单播或组播的方式向GM发送Rekey消息。

·       KS在GM注册的过程中,会将本端的公钥信息下发给GM。

 

1.1.3  协议规范

与Group Domain VPN相关的协议规范有:

·              RFC 2408:Internet Security Association and Key Management Protocol (ISAKMP)

·              RFC 3547:The Group Domain of Interpretation(GDOI)

·              RFC 3740:The Multicast Group Security Architecture

·              RFC 5374:Multicast Extensions to the Security Architecture for the Internet Protocol

1.2  Group Domain VPN配置任务简介

Group Domain VPN的配置思路如下:

(1)      配置KS,具体请参见相关KS的配置指导。目前,设备仅支持作为GM,不支持作为KS。

(2)      配置GM,包括以下两个部分:

·              配置IKE:包括用来与KS进行一阶段IKE协商的IKE提议和IKE对等体。具体配置步骤请参见“安全配置指导”中的“IKE”。

·              配置GDOI:具体配置步骤请见表1-1

表1-1 GDOI配置任务简介

配置任务

说明

详细配置

配置GDOI组

必选

1.3 

配置IPsec GDOI安全策略

必选

1.4 

接口上应用IPsec GDOI安全策略

必选

1.5 

 

说明

·       KS与GM上的IKE配置必须匹配,否则会导致一阶段IKE协商失败。

·       IKE对等体的对端安全网关地址为KS的IP地址。

 

1.3  配置GDOI组

在GM上可以同时存在多个GDOI组。一个GDOI组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下:

·              组名:GDOI组在设备上的一个配置标识,仅用于本地配置管理和引用。

·              组ID:GDOI组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要加入的GDOI组。一个GDOI组只能使用组号或者IP地址作为组ID,且只能配置一个组ID。

·              KS地址:GM要注册的KS的IP地址。一个GDOI组中最多允许同时配置8个KS地址,其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册,如果无法成功注册,则在GDOI注册定时器超时后,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。

·              注册接口:GM通过注册接口向KS发起注册。缺省情况下,GDOI组以IPsec GDOI安全策略应用的接口作为注册接口向KS注册。配置的注册接口可以跟GDOI组所在的IPsec安全策略应用接口相同,也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时,可指定设备上的其它接口(物理接口或逻辑接口)作为注册接口。

表1-2 配置GDOI组

配置任务

命令

说明

进入系统视图

system-view

-

创建一个GDOI组,并进入GDOI组视图

gdoi group group-name

必选

缺省情况下,不存在GDOI组

配置GDOI组的组ID

identity { address ip-address | number number }

必选

缺省情况下,未定义GDOI组的组ID

一个GDOI组只能有一种类型的标识,IP地址或者组号

配置GDOI组的KS地址

server address ip-address

必选

缺省情况下,未指定KS的IP地址

配置GDOI组的注册接口

client registration interface interface-type interface-number

可选

缺省情况下, GDOI组以IPsec GDOI安全策略应用的接口为注册接口向KS注册

 

说明

·       一个GDOI组只能配置一个组ID,后配置的组ID会覆盖前面配置的组ID。

·       不同GDOI组中指定的KS地址和组ID这两项信息不允许都相同。

 

1.4  配置IPsec GDOI安全策略

一条IPsec GDOI安全策略由“名字”和“顺序号”共同唯一确定,顺序号小的优先级高。IPsec GDOI安全策略视图下指定了引用的GDOI组,以及本地访问控制列表。IPsec GDOI安全策略试图下,目前包括且仅包括以下两个配置:

·              IPsec GDOI安全策略通过引用的GDOI组查找到注册的KS地址,以及注册的组ID;

·              IPsec GDOI安全策略可以通过引用一个本地配置的访问控制列表(称为本地访问控制列表)决定哪些报文需要丢弃,哪些报文需要明文转发。当匹配本地访问控制列表的结果为permit时,报文会被丢弃;当匹配本地访问控制列表的结果为deny时,报文会被明文转发。

GM向KS注册后,会从KS上获取安全策略,其中包含了KS上配置的访问控制列表(称为下载的访问控制列表)。KS上配置的访问控制列表用来控制GM的行为,即决定GM上的哪些报文需要加密,哪些报文需要明文转发。对于GM收到的报文,匹配下载的访问控制列表的结果为permit时,会被加密;匹配下载的访问控制列表的结果为deny时,会以明文形式转发。如果报文没有匹配任何下载的访问控制列表,默认的处理方式是明文转发。

如果IPsec GDOI安全策略中配置了本地访问控制列表,则GM向KS注册后,两种类型的访问控制列表将在GM上共存,且报文优先匹配本地访问控制列表。若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表,两者都匹配不上时,则默认进行明文转发。

表1-3 配置IPsec GDOI安全策略

配置任务

命令

说明

进入系统视图

system-view

-

创建一条IPsec GDOI安全策略,并进入IPsec 安全策略视图

ipsec policy policy-name seq-number gdoi

必选

缺省情况下,没有IPsec GDOI安全策略存在

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

指定IPsec GDOI安全策略引用的GDOI组

group group-name

必选

缺省情况下,IPsec GDOI安全策略没有引用任何GDOI组

一条IPsec GDOI安全策略下只能够引用一个GDOI组

引用本地访问控制列表

security acl acl-number

可选

缺省情况下,没有配置本地访问控制列表

一般情况下,无需配置本地访问控制列表。如果需要本地对数据流进行管理时,则配置

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

 

说明

·       对于IPsec GDOI安全策略,只有引用了已存在的GDOI组,且引用的GDOI组配置完整时(配置了组ID和KS地址),该策略才能生效。

·       一条IPsec安全策略只能引用一条本地访问控制列表,当报文匹配上本地访问控制列表的permit规则时,会被丢弃,因此请慎重配置本地访问控制列表的permit规则。

·       GDOI协议报文与非首片报文不进行IPsec GDOI安全策略的匹配。

·       目的地址为本机的待解封装的IPsec报文不与IPsec GDOI安全策略中的本地访问控制列表进行匹配,仅与下载的访问控制列表进行匹配

 

1.5  在接口上应用IPsec GDOI安全策略组

IPsec安全策略组是所有具有相同名字、不同顺序号的IPsec安全策略的集合。在同一个IPsec安全策略组中,顺序号越小的IPsec安全策略,优先级越高。IPsec安全策略的详细介绍,请参见“安全配置指导”中的“IPsec”。

当IPsec安全策略组应用到接口上时,如果该策略组中存在一条IPsec GDOI安全策略,且该策略引用的GDOI组配置了组ID和KS地址,则设备会向KS发起注册。当数据报文经过该接口时,如果报文匹配了该接口的本地访问控制列表,则丢弃;如果报文匹配了下载的访问控制列表,则该按照IPsec GDOI策略处理。

表1-4 在接口上应用IPsec GDOI安全策略组

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

应用IPsec 安全策略组

ipsec policy policy-name

必选

缺省情况下,接口下未应用任何IPsec安全策略组

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

 

说明

一个接口只能应用一个IPsec安全策略组。通过GDOI方式创建的IPsec安全策略可以应用到多个接口上。

 

1.6  Group Domain VPN显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后Group Domain VPN的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GM的GDOI信息,并发起注册。

表1-5 Group Domain VPN显示和维护

操作

命令

显示GDOI组信息

display gdoi [ group group-name ] [ | { begin | exclude | include } regular-expression ]

显示GM获取的IPsec SA信息

display gdoi [ group group-name ] ipsec sa [ | { begin | exclude | include } regular-expression ]

显示GM的简要信息

display gdoi [ group group-name ] gm [ | { begin | exclude | include } regular-expression ]

显示GM的ACL信息

display gdoi [ group group-name ] gm acl [ download | local ] [ | { begin | exclude | include } regular-expression ]

显示GM的Rekey信息

display gdoi [ group group-name ] gm rekey [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示GM接收到的公钥信息

display gdoi  [ group group-name ] gm pubkey [ | { begin | exclude | include } regular-expression ]

显示IKE SA相关信息

display ike sa [ active | standby | verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address ] ] [ | { begin | exclude | include } regular-expression ]

显示IPsec SA相关信息

display ipsec sa [ active | brief | duration | policy policy-name [ seq-number ] | remote [ ipv6 ] ip-address | standby ] [ | { begin | exclude | include } regular-expression ]

显示IPsec GDOI安全策略相关信息

display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]

清除GM的GDOI信息,并发起注册

reset gdoi [ group group-name ]

 

说明

display ike sadisplay ipsec sa以及display ipsec policy命令的详细介绍,请见“安全配置指导”中的“IPsec”。

 

1.7  Group Domain VPN典型配置举例

1.7.1  Group Domain VPN典型配置举例

1. 组网需求

在如图1-4所示的组网环境中,需要组建一个Group Domain VPN,对组播源与各子网之间,以及各子网之间的数据流进行安全保护,具体要求如下:

·              GM 1、GM 2和GM 3加入相同的组(组ID为12345),并向维护、管理该组的KS进行注册。

·              对各GM之间的数据进行IPsec保护时,采用的安全协议为ESP,加密算法为AES-CBC 128,认证算法为SHA1。

·              GM与KS之间进行IKE协商时,使用预共享密钥的认证方法。

2. 组网图

图1-4 Group Domain VPN典型配置组网图

 

 

3. 配置步骤

说明

·       请确保GM 1、GM 2、GM 3分别与KS之间路由可达。

·       请确保GM 1、GM 2、GM 3之间的组播报文可正常转发。

 

(1)      配置KS

·              配置访问控制列表,定义要保护的数据流的范围为组播源到各子网的数据流,以及各子网之间的数据流。

·              配置IPsec安全策略,使用的IPsec封装协议为ESP,加密算法为AES-CBC 128,认证算法为SHA1。

以上配置的具体步骤请参考KS的相关配置指导。

(2)      配置GM 1

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM1> system-view

[GM1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM1-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证为SHA1。

[GM1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用的DH组为group 2。

[GM1-ike-proposal-1] dh group2

[GM1-ike-proposal-1] quit

# 创建IKE对等体1。

[GM1] ike peer 1

# 指定IKE对等体1引用IKE提议1。

[GM1-ike-peer-1] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[GM1-ike-peer-1] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为100.1.1.100。

[GM1-ike-peer-1] remote-address 100.1.1.100

[GM1-ike-peer-1] quit

# 创建GDOI组1。

[GM1] gdoi group 1

# 配置GDOI组的ID为编号123456。

[GM1-gdoi-group-1] identity number 12345

# 指定GDOI组的KS地址为100.1.1.100

[GM1-gdoi-group-1] server address 100.1.1.100

[GM1-gdoi-group-1] quit

# 创建GDOI类型的IPsec安全策略。

[GM1] ipsec policy map 1 gdoi

# 引用GDOI1

[GM1-ipsec-policy-gdoi-map-1] group 1

[GM1-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet1/0/1上应用安全策略组。

[GM1] interface gigabitethernet 1/0/1

[GM1-GigabitEthernet1/0/1] ipsec policy map

[GM1-GigabitEthernet1/0/1] quit

(3)      配置GM 2

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM2> system-view

[GM2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM2-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证为SHA1。

[GM2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用的DH组为group 2。

[GM2-ike-proposal-1] dh group2

[GM2-ike-proposal-1] quit

# 创建IKE对等体1。

[GM2] ike peer 1

# 指定IKE对等体1引用IKE提议1。

[GM2-ike-peer-1] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[GM2-ike-peer-1] pre-shared-key simple tempkey1

# 配置对端安全网关的IP地址为100.1.1.100。

[GM2-ike-peer-1] remote-address 100.1.1.100

[GM2-ike-peer-1] quit

# 创建GDOI组1。

[GM2] gdoi group 1

# 配置GDOI组的ID为编号123456。

[GM2-gdoi-group-1] identity number 12345

# 指定GDOI组的KS地址为100.1.1.100

[GM2-gdoi-group-1] server address 100.1.1.100

[GM2-gdoi-group-1] quit

# 创建GDOI类型IPsec安全策略。

[GM2] ipsec policy map 1 gdoi

# 引用GDOI1

[GM2-ipsec-policy-gdoi-map-1] group 1

[GM2-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet10//1上应用IPsec安全策略组。

[GM2] interface gigabitethernet 1/0/1

[GM2-GigabitEthernet1/0/1] ipsec policy map

[GM2-GigabitEthernet1/0/1] quit

(4)      配置GM 3

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM3> system-view

[GM3] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM3-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证为SHA1。

[GM3-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用的DH组为group 2。

[GM3-ike-proposal-1] dh group2

[GM3-ike-proposal-1] quit

# 创建IKE对等体1。

[GM3] ike peer 1

# 指定IKE对等体1引用IKE提议1。

[GM3-ike-peer-1] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[GM3-ike-peer-1] pre-shared-key simple tempkey1

# 配置对端安全网关的IP地址为100.1.1.100。

[GM3-ike-peer-1] remote-address 100.1.1.100

[GM3-ike-peer-1] quit

# 创建GDOI组1。

[GM3] gdoi group 1

# 配置GDOI组的ID为编号123456。

[GM3-gdoi-group-1] identity number 12345

# 指定GDOI组的KS地址为100.1.1.100

[GM3-gdoi-group-1] server address 100.1.1.100

[GM3-gdoi-group-1] quit

# 创建GDOI类型IPsec安全策略。

[GM3] ipsec policy map 1 gdoi

# 引用GDOI1

[GM3-ipsec-policy-gdoi-map-1] group 1

[GM3-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet1/0/1上应用IPsec安全策略组。

[GM3] interface gigabitethernet 1/0/1

[GM3-GigabitEthernet1/0/1] ipsec policy map

[GM3-GigabitEthernet1/0/1] quit

4. 验证配置结果

以上配置完成后,GM 1、GM 2和GM 3分别向KS注册,可通过如下显示信息查看到GM 1在IKE协商成功后生成的IKE SA和Rekey SA。其中,connection-id为658的SA为IKE SA;connection-id为659的SA为Rekey SA。

[GM1] display ike sa

    total phase-1 SAs:  2

    connection-id  peer                    flag        phase   doi      status

  ----------------------------------------------------------------------------

     658           100.1.1.100             RD|ST       1       GROUP    --

     659           100.1.1.100             RD|RK       1       GROUP    --

 

  flag meaning

  RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT RK--REKEY

IKE协商成功后生成的IPsec SA,可通过如下显示信息查看到有两组IPsec SA分别用于与不同的组成员之间进行安全通信。

[GM1] display ipsec sa

===============================

Interface: GigabitEthernet1/0/1

    path MTU: 1500

===============================

 

  -----------------------------

  IPsec policy name: "map"

  sequence number: 1

  mode: gdoi

  -----------------------------

    PFS: N, DH group: none

    tunnel:

        local  address: 1.1.1.1

        remote address: 0.0.0.0

    flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: IP

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: IP

 

    current outbound spi: 0xDB865076(3683012726)

 

    [inbound ESP SAs]

      spi: 0xDB865076(3683012726)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 317

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/63

      anti-replay detection: Disabled

 

      spi: 0x640321A(104870426)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 325

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/853

      anti-replay detection: Disabled

 

    [outbound ESP SAs]

      spi: 0xDB865076(3683012726)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 318

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/63

      anti-replay detection: Disabled

 

      spi: 0x640321A(104870426)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 326

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/853

      anti-replay detection: Disabled

 

 

  -----------------------------

  IPsec policy name: "map"

  sequence number: 1

  mode: gdoi

  -----------------------------

    PFS: N, DH group: none

    tunnel:

        local  address: 1.1.1.1

        remote address: 0.0.0.0

    flow:

        sour addr: 10.1.2.0/255.255.255.0  port: 0  protocol: IP

        dest addr: 10.1.1.0/255.255.255.0  port: 0  protocol: IP

 

    current outbound spi: 0xDB865076(3683012726)

 

    [inbound ESP SAs]

      spi: 0xDB865076(3683012726)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 321

      sa duration (kilobytes/sec): 0/340

      sa remaining duration (kilobytes/sec): 0/61

      anti-replay detection: Disabled

 

      spi: 0x640321A(104870426)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 329

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/851

      anti-replay detection: Disabled

 

    [outbound ESP SAs]

      spi: 0xDB865076(3683012726)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 322

      sa duration (kilobytes/sec): 0/340

      sa remaining duration (kilobytes/sec): 0/61

      anti-replay detection: Disabled

 

      spi: 0x640321A(104870426)

      transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

      in use setting: Transport

      connection id: 330

      sa duration (kilobytes/sec): 0/900

      sa remaining duration (kilobytes/sec): 0/851

      anti-replay detection: Disabled

GM 1KS注册成功后,可通过如下显示信息查看到GM 1的注册信息。

[GM1] display gdoi

Group Name: 1

 

  Group Identity             : 12345

  Rekeys Received            : 129

  IPsec SA Direction         : Both

 

  Group Server List          : 100.1.1.100

 

  Group Member               : 1.1.1.1

    Registration status      : Registered

    Registered with          : 100.1.1.100

    Re-register in           : 81 sec

    Succeeded registrations  : 1

    Attempted registrations  : 1

    Last rekey from          : 100.1.1.100

    Last rekey seq num       : 1

    Multicast rekeys received: 0

    Allowable rekey cipher   : Any

    Allowable rekey hash     : Any

    Allowable transform      : Any

 

  Rekeys Cumulative

    Total received           : 129

    After latest registration: 129

    Rekey received (hh:mm:ss): 00:00:57

 

  ACL Downloaded From KS 100.1.1.100:

    rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

    rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

  KEK Policy:

    Rekey transport type     : Multicast

    Lifetime (sec)           : 243

    Encrypt algorithm        : AES

    Key size                 : 128

    Sig hash algorithm       : SHA1

    Sig key length (bit)     : 2048

 

  TEK Policy:

    Interface GigabitEthernet1/0/1:

      IPsec SA:

        SPI: 0x640321A(104870426)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 123

        Anti-replay detection: Disabled

 

以上配置完成后,如果子网10.1.1.0/24与子网10.1.2.0/24之间有报文传输,将分别由GM 1GM 2进行加密/解密处理。

1.8  常见错误配置举例

1.8.1  IKE SA协商失败

1. 故障现象

一阶段IKE协商失败。

2. 故障分析

GM和KS的IKE配置不匹配,或者GM与KS之间路由不可达。

可以通过以下显示信息看到,没有IKE SA生成:

<Router> display ike sa

    total phase-1 SAs:  0

    connection-id  peer                    flag        phase   doi      status

  ----------------------------------------------------------------------------

3. 处理过程

检查GM上配置的IKE提议和IKE对等体是否与KS上配置的相匹配,并检查GM到KS是否路由可达。

1.8.2  GM无法注册成功

1. 故障现象

GM无法向KS注册成功。

2. 故障分析

可以通过以下显示信息看到,只有一阶段IKE协商成功,生成了一个IKE SA,没有生成Rekey SA和IPsec SA:

<Router> display ike sa

    total phase-1 SAs:  1

    connection-id  peer                    flag        phase   doi      status

  ----------------------------------------------------------------------------

     18            90.1.1.1                RD|ST       1       GROUP    --

3. 处理过程

检查GM和KS配置的组ID是否一致。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!