国家 / 地区

10-安全命令参考

27-Group Domain VPN命令

本章节下载  (257.42 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973922_30005_0.htm

27-Group Domain VPN命令


1 Group Domain VPN配置命令

1.1  Key Server配置命令

1.1.1  display gdoi ks

【命令】

display gdoi ks [ group group-name ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:KS组的名称,为1~63个字符的字符串,区分大小写。

【描述】

display gdoi ks 命令用来显示KS的信息。

未指定group参数的情况下,显示所有KS组的KS信息。

【举例】

# 显示名称为abc的KS组的KS信息。

<Sysname> display gdoi ks group abc

Group Name: abc

  Group identity             : 8

  Group members              : 0

  Redundancy                 : Enabled

Local address            : 105.112.100.2

    Local version            : 1.0

    Local priority           : 10

Local role               : Primary

    Hello interval           : 20 sec

    Hello number             : 3

    Retransmit interval      : 10 sec

Retransmit attempts      : 2

  Rekey transport type       : Multicast

  Rekey lifetime             : 300 sec

  Rekey retransmit period    : 10 sec

  Rekey retransmit attempts  : 2

                                                                                

  IPsec sequence number      : 1

  IPsec rekey lifetime       : 300 sec

  Profile name               : profile-wwl

  ACL configured             : xf

                             

# 显示所有KS组的KS信息。

<Sysname> display gdoi ks

Group Name: abc

  Group identity           : 8

  Group members            : 0

  Redundancy               : Enabled

Local address          : 105.112.100.2

    Local version       : 1.0

    Local priority         : 10

Local role          : Primary

    Hello interval         : 20 sec

    Hello number           : 3

    Retransmit interval    : 10 sec

Retransmit attempts    : 2

  Rekey transport type     : Multicast

  Rekey lifetime           : 300 sec

  Rekey retransmit period  : 10 sec

  Rekey retransmit attempts: 2

                                                                               

  IPsec sequence number    : 1

  IPsec rekey lifetime     : 300 sec

  Profile name             : profile-wwl

  ACL configured           : xf

                                                                               

Group Name: xyz

  Group identity           : 18

  Group members            : 0

  Redundancy               : Enabled

Local address          : 105.112.100.2

    Local version          : 1.0

    Local priority         : 10

Local role             : Primary

Hello interval         : 20 sec

    Hello number           : 3

    Retransmit interval    : 10 sec

Retransmit attempts    : 2

  Rekey transport type     : Multicast

  Rekey lifetime           : 300 sec

  Rekey retransmit period  : 10 sec

  Rekey retransmit attempts: 2

                                                                               

  IPsec sequence number    : 1

  IPsec rekey lifetime     : 300 sec

  Profile name             : profile-xyz

  ACL configured           : xyz

 

  IPsec sequence number    : 2

  IPsec rekey lifetime     : 300 sec

  Profile name             : profile-xyz2

  ACL configured           : 3001

 

表1-1 display gdoi ks命令显示信息描述

字段

描述

Group Name

KS组的名字

Group identity

KS组标识(数字或者 IPv4地址),没有配置时无显示

Group members

KS组中上线的组成员个数

Redundancy

KS组冗余备份信息

Local address

本端KS地址

Local version

本端KS版本

Local priority

本端优先级

Local role

本端在冗余备份中的角色,取值包括:

·     Primary:主KS

·     Secondary:备KS

·     Initial:初始化状态

·     Electing:正在选举

Hello interval

冗余备份Hello报文发送的时间间隔,单位为秒

Hello number

备KS连续多少次没有接收到冗余备份Hello报文,则认为和主KS连接中断

Retransmit interval

冗余备份报文的重传周期,单位为秒

Retransmit attempts

冗余备份报文的重传次数

Rekey transport type

rekey报文的传输类型,取值包括:

·     Multicast:组播

·     Unicast:单播

Rekey lifetime

rekey的时间间隔,单位为秒

Rekey retransmit period

rekey 报文的重传周期,单位为秒

Rekey retransmit attempts

rekey报文的重传次数

IPsec sequence number

IPsec安全策略的序号

IPsec rekey lifetime

IPsec SA的生命期,该生命周期即将到达之前,需要通过rekey过程来更新TEK

Profile name

引用的IPsec安全框架的名字

ACL configured

引用的ACL的编号或名字

 

1.1.2  display gdoi ks acl

【命令】

display gdoi ks acl [ group group-name  ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。

【描述】

display gdoi ks acl命令用来显示GDOI KS组引用的ACL。

未指定group参数的情况下,显示所有GDOI KS组引用的ACL。

【举例】

# 显示名称为abc的GDOI KS组引用的ACL。

<Sysname> display gdoi ks acl group abc

Group Name: abc

  ACL abc

    rule 0 permit ip source 1.1.1.2 0 destination 2.2.2.3 0

    rule 1 permit tcp source 1.1.0.0 0.0.255.255 destination 2.2.0.0 0.0.255.255

    rule 2 permit ip

# 显示所有KS组引用的ACL。

<Sysname> display gdoi ks acl

Group Name: abc

  ACL abc

    rule 0 permit ip source 1.1.1.2 0 destination 2.2.2.3 0

    rule 1 permit tcp source 1.1.0.0 0.0.255.255 destination 2.2.0.0 0.0.255.255

    rule 2 permit ip

 

Group Name: xyz

  ACL 3000

          rule 0 permit ip source 1.1.2.2 0 destination 2.2.3.3 0

          rule 2 deny ip

  ACL xyz

          rule 0 permit ip source 1.1.3.0 0.0.0.255 destination 2.2.4.0 0.0.0.255

 

表1-2 display gdoi ks acl命令显示信息描述

字段

描述

Group Name

GDOI KS组的名字

rule

ACL中的一个子规则

 

1.1.3  display gdoi ks members

【命令】

display gdoi ks members [ group group-name ] [ ip ip-address ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则显示所有GDOI KS组的上线的组成员信息。

ip ip-address:组成员的IP地址。若不指定本参数,则显示本GDOI KS组内所有组成员的信息。

【描述】

display gdoi ks members命令用来显示GDOI KS组的上线的组成员信息。

若不指定任何参数,则显示所有GDOI KS组的所有上线的组成员信息。

【举例】

# 显示所有GDOI KS组的上线的组成员信息。

<Sysname> display gdoi ks members

Group Name: farg

  Group member ID      : 80.1.1.98

  Group member version : 1.0

  Group ID             : 7777

  Key server ID        : 90.1.1.1

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

 

Group Name: abcd

  Group member ID      : 80.1.1.100

  Group member version : 1.0

  Group ID             : 8888

Key server ID        : 90.1.1.1

 

  Group member ID      : 80.1.1.101

  Group member version : Unknown

  Group ID             : 8888

  Key server ID        : 90.1.1.1

 

表1-3 display gdoi ks members 命令显示信息描述

字段

描述

Group Name

GDOI KS组的名字

Group member ID

GDOI KS组成员ID

Group member version

GDOI KS组成员版本号,如果未得到组成员的版本号,则显示为Unknown

Group ID

GDOI KS组ID

Key server ID

该GM向其注册上线的key server的ID

Rekeys sent

成功发送rekey报文的次数

Rekeys retries

重传rekey报文的次数

Rekey ACKs received

收到rekey ACK的次数

Rekey ACLs missed

未收到rekey ACK的次数

 

1.1.4  display gdoi ks policy

【命令】

display gdoi ks policy [ group  group-name ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则显示所有GDOI KS组的策略信息。

【描述】

display gdoi ks policy命令用来显示GDOI KS的策略信息。

【举例】

# 显示所有GDOI KS组的策略信息。

<Sysname> display gdoi ks policy

Group Name: GDOI-GROUP8

  Server IP: 90.1.1.1

 

Group Name: farg

  Server IP: 90.1.1.1

    KEK policy:

      Rekey transport type       : Unicast

      SPI                        : 0xB2DAFC4C36ABC9D416BB15614DCE9F60

      Encryption algorithm       : AES-CBC-128

      Lifetime                   : 30000 sec

      Remaining lifetime         : 5995 sec

      Signature algorithm        : RSA

      Signature key name         : REKEYRSA

                                                                               

    TEK policy:

      Encapsulation              : Tunnel

      SPI                        : 0x3EE98709

      ACL                        : frag

      Transform                  : ESP-ENCRYPT-DES ESP-AUTH-MD5

      Lifetime                   : 50000 sec

      Remaining lifetime         : 25996 sec

        

表1-4 display gdoi ks policy 命令显示信息描述

字段

描述

Group Name

GDOI KS组的名字

Server IP

GDOI KS的IP地址,对于本端,这里显示的是source address配置的地址

KEK policy

KEK策略信息

Rekey transport type

rekey报文的传输类型,取值包括:

·     Multicast:组播传输

·     Unicast:单播传输

SPI

Rekey SA的SPI值或者IPsec SA的SPI值

Encryption algorithm

加密算法

Lifetime

KEK或TEK的生命期

Remaining lifetime

KEK或TEK的生命期剩余时间

Signature algorithm

签名算法

Signature key name

用于签名的密钥对名称

Encapsulation

IPsec对IP报文的封装模式,取值包括:

·     Tunnel:隧道模式

·     Transport:传输模式

ACL

引用的ACL的编号或名字

Transform

引用的安全提议名称

 

1.1.5  display gdoi ks redundancy

【命令】

display gdoi ks redundancy [ group group-name ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。

【描述】

display gdoi ks redundancy命令用来显示GDOI KS 冗余备份相关的信息,包括本地优先级、身份、对端会话信息。

未指定group参数的情况下,显示所有GDOI KS组的冗余备份信息。

【举例】

# 显示所有GDOI KS组的冗余备份信息。

<Sysname> display gdoi ks redundancy

Group Name :handl

  Local address   : 105.112.200.1

  Local version   : 1.0

  Local priority  : 10

  Local role      : Initial

  Primary address :

 

Group Name :lsxn

  Local address   : 105.112.100.2

  Local version   : 1.0

  Local priority  : 10

  Local role      : Primary

  Primary address : 105.112.100.2

 

  Peers:

    Peer address  : 174.1.1.1

    Peer version  : Unknown

    Peer priority : Unknown

    Peer role     : Unknown

    Peer status   : Down

 

    Peer address  : 172.1.1.1

    Peer version  : 1.0

    Peer priority : 100

    Peer role     : Secondary

    Peer status   : Ready

 

表1-5 display gdoi ks redundancy 命令显示信息描述

字段

描述

Group Name

GDOI KS组的名字

Local address

本端地址

Local version

本端KS版本

Local priority

本端优先级

Local role

本端在冗余备份中的角色,取值包括:

·     Primary:主KS

·     Secondary:备KS

·     Initial:初始化状态

·     Electing:正在选举

Primary address

本端选择的主KS的IP地址

Peers

对端KS信息

Peer address

对端地址

Peer version

对端版本号

Peer priority

对端优先级

Peer KS role

对端角色,取值包括:

·     Secondary:备KS

·     Primary:主KS

·     Unknown:未知

Peer KS status

对端状态,取值包括:

·     Down:Down

·     Connected:已连接

·     Exchange:交换数据

·     Ready:就绪

 

1.1.6  display gdoi ks rekey

【命令】

display gdoi ks rekey [ group group-name ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则显示所有GDOI KS组的rekey信息。

【描述】

display gdoi ks rekey命令用来显示GDOI KS组的rekey信息。

【举例】

# 显示所有GDOI KS组的rekey信息。

<Sysname> display gdoi ks rekey

Group Name: handl

  Rekey transport type                  :Multicast

    Number of rekeys sent               : 0

    Number of rekeys retransmitted      : 0

    Retransmit period                   : 10 sec

    Number of retransmissions           : 10

    Multicast destination address       : 230.1.1.1

    KEK rekey lifetime                  : 10000 sec

      Remaining lifetime                : 6092 sec

    IPsec 1 lifetime                    : 86400 sec

      Remaining lifetime                : 1234 sec

 

Group Name:abcd

  Rekey transport type                  :Unicast

    Number of rekeys sent               : 0

Number of rekeys retransmitted      : 0

    Retransmit period                   : 10 sec

    Number of retransmissions           : 2

    KEK rekey lifetime                  : 0 sec

    IPsec 1 lifetime                    : 1000 sec

 

Group Name:test

Rekey transport type                   :Multicast

    Number of rekeys sent               : 0

Number of rekeys retransmitted      : 0

    Retransmit period                   : 10 sec

    Number of retransmissions           : 1

    Multicast destination address       : 239.192.1.190

 

KEK rekey lifetime                  : 0 sec

    IPsec 1 lifetime                    : 300 sec

    IPsec 2 lifetime                    : 30000 sec

    IPsec 3 lifetime                    : 300 sec

    IPsec 4 lifetime                    : 300 sec

    IPsec 5 lifetime                    : 300 sec

    IPsec 6 lifetime                    : 300 sec

    IPsec 7 lifetime                    : 300 sec

    IPsec 8 lifetime                    : 300 sec

 

表1-6 display gdoi ks rekey 命令显示信息描述

字段

描述

Group Name

GDOI KS组的名字

Rekey transport type

rekey报文的传输类型,取值包括:

·     Multicast:组播

·     Unicast:单播

Number of rekeys sent

成功发送rekey报文的次数

Number of rekeys retransmitted

重传rekey报文的次数

Retransmit period

rekey报文的重传间隔,单位为秒

Multicast destination address

组播传输的目的地址

KEK rekey lifetime

KEK的rekey周期,单位为秒

Number of retransmissions

rekey报文的重传次数

IPsec 1 lifetime

IPsec策略1的SA生命期,单位为秒

Remaining lifetime

KEK或IPsec策略的SA的剩余生命期,单位为秒

 

1.1.7  gdoi ks group

【命令】

gdoi ks group group-name

undo gdoi ks group group-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-name: GDOI KS组的名称,为1~63个字符的字符串,区分大小写。

【描述】

gdoi ks group命令用来创建一个GDOI KS组,并进入GDOI KS组视图。undo gdoi ks group命令用来删除指定的GDOI KS组。

缺省情况下,不存在GDOI  KS组。

相关配置可参考命令display gdoi ks

【举例】

# 创建一个名称为abc的GDOI KS组,并进入其视图。

<Sysname> system-view

[Sysname] gdoi ks-group abc

[Sysname-gdoi-ks-group-abc]

1.1.8  gdoi ks redundancy port

【命令】

gdoi ks redundancy port port-number

undo gdoi ks redundancy port

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

port-number:KS监听冗余备份报文的UDP端口号,取值范围1~65535。

【描述】

gdoi ks redundancy port命令用来配置KS监听冗余备份报文的UDP端口号。undo gdoi ks redundancy port命令用来恢复缺省情况。

缺省情况下,KS监听冗余备份报文的UDP端口号为19000。

该UDP端口号用于KS之间发送和接收冗余备份报文,所有KS必须配置相同的端口号,否则会导致KS之间无法交互冗余备份报文,影响冗余备份功能。

相关配置可参考命令 gdoi ks group

【举例】

# 配置GDOI KS监听冗余备份报文的端口号为20000。

<Sysname> system-view

[Sysname] gdoi ks redundancy port 20000

1.1.9  gdoi ks rekey

【命令】

gdoi ks rekey [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group group-name: GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示强制所有KS执行rekey。

【描述】

gdoi ks rekey命令用来强制GDOI KS执行rekey,即强制KS更新密钥(TEK/KEK),并把更新后的密钥下发给GM。

GDOI KS需要能够把更新的密钥发送给GM,这个动作称为rekey。通常,KS会定期自动进行rekey,KEK的rekey时间间隔由rekey lifetime命令的配置决定,TEK的rekey时间间隔由IPsec SA的生命期配置决定。如果用户需要立即触发rekey,则可以通过本命令达到目的。

可以通过display gdoi ks rekey命令和display gdoi ks policy命令查看rekey的统计信息和生成的密钥的信息。

【举例】

# 强制GDOI KS组abc执行rekey。

<Sysname> gdoi ks rekey group abc

1.1.10  identity address

【命令】

identity address address

undo identity

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

address:用于标识GDOI KS组的IP地址,可以为任意合法的IPv4地址。

【描述】

identity address命令用来定义GDOI KS组IP地址,该地址用于标识一个GDOI KS组。undo identity命令用来删除GDOI KS组IP地址。

缺省情况下,未定义GDOI KS组的IP地址。

需要注意的是,如果已经通过identity address配置GDOI KS组的IP地址,当再通过命令identity number配置GDOI KS组的组号时,identity number的配置会覆盖identity address配置。

相关配置可参考命令identity numbergdoi ks group

【举例】

# 配置GDOI KS组的组IP地址为202.202.202.10。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] identity address 202.202.202.10

1.1.11  identity number

【命令】

identity number number

undo identity

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

number:GDOI KS组的编号,取值范围为0~2147483647。

【描述】

identity number命令用来配置GDOI KS组组号,该组号用于标识一个GDOI KS组。undo identity命令用来删除GDOI KS组的组号。

缺省情况下,未定义GDOI KS组的组号。

需要注意的是,一个GDOI KS组只能有一种类型的标识,组号或者IP地址。如果已经通过identity number 配置了GDOI KS组的组号,再通过identity address命令配置GDOI KS组的IP地址时,identity address的配置会覆盖identity number的配置。

相关配置可参考命令identity addressgdoi ks group

【举例】

# 配置GDOI KS组abc的组号为123456。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] identity number 123456

1.1.12  ipsec

【命令】

ipsec sequence-number

undo ipsec sequence-number

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

sequence-number:表示GDOI KS组IPsec策略的序号,取值范围1~65535。

【描述】

ipsec命令用来创建一个GDOI KS组的IPsec策略,并进入GDOI KS IPsec策略视图。undo ipsec命令用来删除指定的GDOI KS IPsec策略。

缺省情况下,未配置GDOI KS组的IPsec策略。

一个GDOI KS组内可以创建多个IPsec策略。这些IPsec策略通过序号决定优先级,序号取值越小优先级越高。KS可以同时向GM下发多个IPsec策略,GM按照序号由小到大的顺序决定这些IPsec策略的使用优先级。

删除GDOI KS组中配置的IPsec策略时,会删除此策略对应的TEK。

相关配置可参考命令gdoi ks group

【举例】

# 配置GDOI KS组的IPsec策略、序号为10,并进入其视图。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] ipsec 10

[Sysname-gdoi-ks-group-abc-ipsec-10]

1.1.13  local priority

【命令】

local priority priority

undo local

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

priority:GDOI KS的本端优先级,取值范围为1~65535。数值越大,优先级越高。

【描述】

local priority命令用来配置GDOI KS本端优先级。undo local priority命令用来恢复缺省情况。

缺省情况下,GDOI KS的本端优先级为1。

未通过redundancy enable命令开启GDOI KS冗余备份功能的情况下,此配置不生效。

本端优先级供属于同一个GDOI组的KS决定谁是主KS,本端优先级越高,越有可能被选为主KS。若同一个GDOI组中存在相同优先级的KS,则通过KS的IP地址来判断谁是主KS。IP地址数值越大,优先级越高。若当前GDOI组内已经选举出主KS,则新加入的KS,即使其优先级高于当前主KS的优先级,也不会触发重新选举,只能作为备KS。

相关配置可参考命令gdoi ks groupredundancy enable

【举例】

# 配置GDOI KS组冗余备份。配置GDOI KS本端优先级为10。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] redundancy enable

[Sysname-gdoi-ks-group-abc] local priority 10

[Sysname-gdoi-ks-group-abc]

1.1.14  peer address

【命令】

peer address ip-address

undo peer address ip-address

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

ip-address:对端KS的IP地址。

【描述】

peer address命令用来指定对端KS的IP地址。undo peer address命令用来删除配置的对端KS IP地址。

缺省情况下,未指定对端 KS的IP地址。

可以通过多次执行本命令指定多个对端KS的IP地址。

未通过redundancy enable命令开启KS冗余备份功能的情况下,此配置不生效。

在GDOI KS冗余备份组网环境中,本端KS上指定的对端KS的IP地址必须和该对端KS发送冗余备份协议报文使用的源地址一致。

相关配置可参考命令gdoi ks groupredundancy enablesource address

【举例】

# 配置GDOI KS组冗余备份。配置对端KS的IP地址为13.1.1.1。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] redundancy enable

[Sysname-gdoi-ks-group-abc] peer address 13.1.1.1

[Sysname-gdoi-ks-group-abc]

1.1.15  profile(GDOI KS group IPsec view)

【命令】

profile ipsec-profile-name

undo profile

【视图】

GDOI KS组IPsec策略视图

【缺省级别】

2:系统级

【参数】

ipsec-profile-name:IPsec安全框架的名称,为1~15个字符的字符串,不区分大小写。

【描述】

profile命令用来配置GDOI KS组IPsec策略引用的IPsec安全框架。undo profile命令用来取消GDOI KS组 IPsec策略引用的IPsec安全框架。

缺省情况下,GDOI KS组 IPsec策略没有引用任何IPsec安全框架。

相关配置可参考命令gdoi ks groupipsec

【举例】

# 配置GDOI KS组IPsec安全策略10,并进入其视图。在该策略视图下引用IPsec安全框架profile1。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] ipsec 10

[Sysname-gdoi-ks-group-abc-ipsec-10] profile profile1

[Sysname-gdoi-ks-group-abc-ipsec-10]

1.1.16  redundancy enable

【命令】

redundancy enable

undo redundancy enable

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

【描述】

redundancy enable命令用来开启GDOI KS冗余备份功能。undo redundancy enable命令用来关闭GDOI KS冗余备份功能。

缺省情况下,没用配置GDOI KS冗余备份。

开启GDOI KS冗余备份功能后,可以使多个KS协同工作,其中一个为主KS,其余为备KS。备KS为主KS做数据备份,并可分担部分接受GM注册的工作。

相关配置可参考命令gdoi ks group

【举例】

# 在GDOI KS组中开启KS冗余备份功能。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] redundancy enable

[Sysname-gdoi-ks-group-abc]

1.1.17  redundancy hello

【命令】

redundancy hello { interval interval | number number } *

undo redundancy hello [ interval | number ]

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

interval interval:表示设备作为主KS时发送冗余备份Hello报文的时间间隔,取值范围为20~60,单位为秒。

number number:表示告知备KS连续多少次没有接收到主KS发送的冗余备份Hello报文后才能认为和主KS的连接已经中断,取值范围为3~10。

【描述】

redundancy hello命令用来配置发送冗余备份Hello报文的时间间隔和接收冗余备份Hello报文的最大次数。undo redundancy hello命令用来恢复缺省情况。

缺省情况下,本端作为主KS发送冗余备份Hello报文的时间间隔为20秒,本端作为备KS连续3次没有接收接收到主KS的冗余备份Hello报文则重新选举主KS。

Hello报文用于让备KS及时得知主KS的存活状态,由主KS周期性向所有备KS发送,且不需要回应。在KS选举完成后,主KS将本端的保活时长通告给备KS。如果备KS在连续number次没有接收到主KS的冗余备份Hello报文,则认为和主KS连接已经中断,会触发重新选举主KS。

另外,如果主KS检测到和备KS的连接已经中断,则会在发送给备KS的Hello报文中携带附加信息告知备KS连接已经中断。若备KS接收到该Hello报文,则会尝试重新和主KS建立关联,若关联失败,则重新选举主KS。

发送Hello报文的时间间隔配置过长,会导致备KS无法及时感知主KS是否存活,或者链路故障。若链路质量不高,则可适当调大number值,使得备KS能够准确地判断主KS是否存活,避免盲目触发重新选举。

相关配置可参考命令 display gdoi ks

【举例】

# 在GDOI KS组中配置发送冗余备份Hello报文的时间间隔为30秒,且连续3次没有接收到主KS的冗余备份Hello报文则重新选举主KS。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] redundancy hello interval 30 number 3

1.1.18  redundancy retransmit

【命令】

redundancy retransmit { interval interval | number number } *

undo redundancy retransmit [ interval | number ]

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

interval interval:表示重传冗余备份报文的时间间隔,取值范围为10~60,单位为秒。

number number:表示冗余备份报文重传的次数,取值范围为2~5。

【描述】

redundancy retransmit命令用来配置重传冗余备份报文的时间间隔和最大次数。undo redundancy retransmit命令用来恢复缺省情况。

缺省情况下,重传冗余备份报文的时间间隔为10秒、最大次数为2次。

在KS进行选举和数据交换时,如果本端发送冗余备份报文(不包括Hello报文)后,在重传的时间间隔内没有接收到对端回应的响应报文,则会重传上一次的报文。如果超过最大重传次数,则会切换对端状态为Down。需要重传的报文类型有优先级请求报文、主通告报文、数据合并报文、数据更新报文和数据同步报文。

在网络状态不好的情况下,可以适当调大冗余备份报文的重传间隔或者重传次数,避免KS之间发生分裂,即部分KS因与主KS失去联系而分裂出当前的KS组,并选择自己为主KS,从而造成一个KS组中存在多个主KS的状况。

相关配置可参考命令display gdoi ks

【举例】

# 配置GDOI KS组的冗余备份报文重传间隔为30秒,重传次数为3次。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] redundancy retransmit interval 30 number 3

1.1.19  rekey acl

【命令】

rekey acl { access-list-number | name access-list-name }

undo rekey acl

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

access-list-number:表示ACL号,取值范围为3000~3999。

name access-list-name:表示ACL名称,为1~63个字符的字符串,不区分大小写。

【描述】

rekey acl命令用来指定用于限定组播发送rekey报文范围的ACL。该ACL用于指定组播发送rekey报文时使用的源地址或目的地址,其中源地址通常是KS发送消息的地址,目的地址是组成员接收rekey消息的组播地址。undo rekey acl命令用来取消指定的ACL。

缺省情况下,未指定rekey时发送的组播报文的源和目的地址。

需要注意的是:

·     如果指定KS以组播方式发送rekey报文,则必须指定该ACL,否则不能生成KEK,也无法发送rekey报文。

·     如果已经配置了source address命令,则rekey时发送的组播报文的源地址为source address命令指定的地址。否则,使用rekey acl命令指定的ACL的第一个rule中的源地址作为组播报文的源地址,这种情况下,需要在ACL的第一个rule中明确指定源地址。

·     对于本命令指定的ACL,其规则的permitdeny关键字无实际意义。

相关配置可参考命令gdoi ks group, source address

【举例】

# 配置GDOI KS组rekey时发送的组播报文的源和目的地址由ACL3000定义。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey acl 3000

1.1.20  rekey authentication

【命令】

rekey authentication public-key rsa key-name

undo rekey authentication

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

public-key:表示本设备的密钥对。

rsa:表示公钥算法为RSA。

key-name:密钥对的名称,为1~64个字符的字符串,不区分大小写。

【描述】

rekey authentication命令用来配置rekey过程中KS使用的密钥对。undo rekey authentication命令用来取消配置rekey过程中KS使用的密钥对。

缺省情况下,不存在rekey过程中KS使用的密钥对。

该密钥对中的公钥会携带在rekey报文中下发给GM,用于GM认证KS的rekey报文。

相关配置可参考命令 gdoi ks group

【举例】

# 配置GDOI KS组的rekey密钥对为mykey。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey authenticaion public-key rsa mykey

1.1.21  rekey encryption

【命令】

rekey encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }

undo rekey encryption

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

【描述】

rekey encryption命令用来指定rekey加密算法。undo rekey encryption命令用来恢复缺省情况。

缺省情况下,加密算法为3des-cbc

如果多次执行该命令,则最后一次成功执行的配置生效。

相关配置可参考命令 gdoi ks group

【举例】

# 配置GDOI KS组的rekey算法为AES-CBC-192。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey encryption aes-cbc-192

1.1.22  rekey lifetime

【命令】

rekey lifetime seconds number-of-seconds

undo rekey lifetime seconds

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

seconds number-of-seconds:KEK的基于时间的生命周期,取值范围为300~86400,单位为秒。

【描述】

rekey lifetime命令用来配置KEK的生命周期。undo rekey lifetime命令用来恢复缺省情况。

缺省情况下,KEK的生命周期为86400秒。

TEK的生命周期是IPsec SA的生命周期,由IPsec profile中的IPsec SA的生命周期配置决定。

相关配置可参考命令gdoi ks group

【举例】

# 配置GDOI KS组的KEK生命周期为3600秒。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey lifetime seconds 3600

1.1.23  rekey retransmit

【命令】

rekey retransmit { interval interval | number number } *

undo rekey retransmit [ interval | number ]

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

interval interval:表示rekey报文重传的间隔,取值范围为10~60,单位为秒,缺省值为10秒。

number number:表示rekey报文重传的次数,取值范围为1~10,缺省值为2次。

【描述】

rekey retransmit命令用来配置rekey报文重传的间隔和重传的次数。undo rekey retransmit命令用来恢复缺省情况。

缺省情况下,rekey报文的重传间隔为10秒、重传2次。

相关配置可参考命令gdoi ks group

【举例】

# 配置GDOI KS组的rekey报文重传间隔为30秒,重传次数为3次。

<Sysname> system-view

[Sysname] gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey retransmit 30 number 3

1.1.24  rekey transport unicast

【命令】

rekey transport unicast

undo rekey transport unicast

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

【描述】

rekey transport unicast命令用来配置KS以单播方式发送rekey报文。undo rekey transport unicast命令用来恢复缺省情况。

缺省情况下,KS以组播方式发送rekey报文。

相关配置可参考命令gdoi ks group

【举例】

# 配置GDOI KS组以单播方式发送rekey报文。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] rekey transport unicast

1.1.25  reset gdoi ks

【命令】

reset gdoi ks [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示清除本端所有GDOI KS组的KS的相关信息。

【描述】

reset gdoi ks命令用来清除GDOI KS的相关信息,包括密钥、GM上线信息、冗余备份角色信息,如果使能了KS冗余备份功能,执行此命令会触发重新选举主KS。

【举例】

# 删除组名称为abc的GDOI KS组相关的信息。

<Sysname> reset gdoi ks group abc

1.1.26  reset gdoi ks members

【命令】

reset gdoi ks members [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示清除所有GDOI KS组的组成员信息。

【描述】

reset gdoi ks members命令用来清除GDOI KS组成员信息。

此命令只能在主KS上生效。

执行本命令会导致KS本地保存的GM信息被清除,包括GM上线信息以及GM的TEK/KEK。

【举例】

# 清除GDOI KS组abc的组成员信息。

<Sysname> reset gdoi ks members group abc

1.1.27  reset gdoi ks redundancy role

【命令】

reset gdoi ks redundancy role [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group group-name:GDOI KS组的名称,为1~63个字符的字符串,区分大小写。若指定本参数,则表示复位指定GDOI KS组中KS的冗余备份角色;若不指定本参数,则表示复位所有GDOI KS组中的KS的冗余备份角色。

【描述】

reset gdoi ks redundancy role命令用来复位所有KS的冗余备份角色,并触发重新选举。

【举例】

# KS上复位KS组abc的冗余备份的角色。

<Sysname> reset gdoi ks redundancy role group abc

1.1.28  security acl (GDOI KS group IPsec policy view)

【命令】

security acl { access-list-number | name access-list-name}

undo security acl

【视图】

GDOI KS组IPsec策略视图

【缺省级别】

2:系统级

【参数】

access-list-number:表示ACL号,取值范围为3000~3999。

name access-list-name:表示ACL名称,为1~63个字符的字符串,不区分大小写。

【描述】

security acl命令用来配置GDOI KS IPsec策略引用的ACL。undo security acl命令用来取消GDOI KS IPsec策略引用的ACL。

GDOI KS会把该配置下发给组成员,组成员使用该配置过滤业务流量,用于决定业务流量是否需要受TEK保护。

缺省情况下,GDOI KS IPsec策略下没用引用任何ACL。

相关配置可参考命令gdoi ks groupipsec

【举例】

# 配置GDOI KS组IPsec策略10,并进入其视图。在该策略视图下引用ACL 3000。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc] ipsec 10

[Sysname-gdoi-ks-group-abc-ipsec-10] security acl 3000

[Sysname-gdoi-ks-group-abc-ipsec-10]

1.1.29  source address

【命令】

source address ip-address

undo source address

【视图】

GDOI KS组视图

【缺省级别】

2:系统级

【参数】

ip-address:IPv4地址,可为任意合法IP地址。

【描述】

source address命令用来配置KS发送的报文的源地址。undo source address命令用来删除密钥服务器的源地址。

缺省情况下,未配置KS发送报文的源地址,使用rekey acl命令指定的ACL的第一个规则中的源地址作为源地址。

该配置用于指定KS发送GROUPKEY-PUSH协议报文和冗余备份协议报文使用的的源地址。

相关配置可参考命令gdoi ks grouprekey aclrekey transport unicas和,redundancy

【举例】

# 配置GDOI KS组的源IP地址为11.1.1.1。

<Sysname> system-view

[Sysname]gdoi ks group abc

[Sysname-gdoi-ks-group-abc]source address 11.1.1.1

1.2  Group Member配置命令

1.2.1  client registration interface

【命令】

client registration interface interface-type interface-number

undo client registration interface

【视图】

GDOI GM组视图

【缺省级别】

2:系统级

【参数】

interface-type interface-number:注册接口的接口类型和接口编号。

【描述】

client registration interface命令用于GM指定GDOI GM组的注册接口,GM通过注册接口向KS发起注册。undo client registration interface命令用于删除为GM指定的注册接口。

缺省情况下,GDOI GM组以KS地址为目的地址的路由的出接口为注册接口向KS注册。

当用户希望注册报文和IPsec报文通过不同的接口处理时,可以采用本命令来指定注册接口。

相关配置可参考命令gdoi group gm

【举例】

# 在GDOI GM组abc中指定GM的注册接口为GigabitEthernet 1/0/1。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-gm-group-abc] client registration interface gigabitethernet 1/0/1

1.2.2  display gdoi gm

【命令】

display gdoi gm [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI GM组的相关信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示显示所有GDOI GM组的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm命令用来显示GDOI GM组的信息,包括GDOI 的配置参数、协商参数及注册成功后获取到的安全策略信息。

【举例】

# 显示所有GDOI GM组的信息。

<Sysname> display gdoi gm

Group Name: GDOI-GROUP1

 

  Group Identity             : 12345

  Rekeys Received            : 1

  IPsec SA Direction         : Both

 

  Group Server List          : 90.1.1.1

                               90.1.1.10

 

  Group Member               : 80.1.1.1

    VPN instance             : vpn1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 346 sec

    Succeeded registrations  : 1125

    Attempted registrations  : 1133

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

    Allowable rekey cipher   : Any

    Allowable rekey hash     : Any

    Allowable transform      : Any

 

  Rekeys Cumulative

    Total received           : 5

    After latest registration: 3

    Rekey received (hh:mm:ss): 00:02:11

 

  ACL Downloaded From KS 90.1.1.1:

    rule 0 deny udp source-port eq 848 destination-port eq 848

    rule 1 deny ospf

    rule 2 permit icmp

 

  KEK Policy:

    Rekey transport type     : Multicast

    Lifetime (sec)           : 159

    Encrypt algorithm        : AES

    Key size                 : 128

    Sig hash algorithm       : SHA1

    Sig key length (bit)     : 1024

 

  TEK Policy:

    Interface GigabitEthernet1/0/1:

      IPsec SA:

        SPI: 0x9AE5951E(2598737182)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 190

        Anti-replay detection: Disabled

 

      IPsec SA:

        SPI: 0x12C55CFF(314924287)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 402

        Anti-replay detection: Disabled

 

表1-7 display gdoi gm命令显示信息描述表

字段

描述

Group Name

GDOI GM组名称

Group Identity

GDOI GM组标识(可以是编号,也可以是IPv4地址)

Rekeys Received

收到Rekey消息的次数

 IPsec SA Direction

IPsec SA的方向,取值为Both或者Inbound(Inbound暂不支持)

Group Server List

GDOI GM组中KS的IP地址列表,最多8个

Group Member

GM的IP地址

VPN instance

GM所属的MPLS L3VPN的VPN实例名称

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

GM注册的KS的IP地址

Re-register in

距离下一次重新注册的时间间隔

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个KS收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示

Allowable rekey cipher

GM允许接受的Rekey的加密算法,取值为Any表示都接受

Allowable rekey hash

GM允许接受的Rekey的哈希算法,取值为Any表示都接受

Allowable transform

GM允许接受的Transform 方式,取值为Any表示都接受

Rekeys Cumulative

Rekey的统计信息

Total received

GM收到Rekey消息的总次数

After latest registeration

GM最近一次成功注册之后进行的Rekey的次数

Rekey received ( hh:mm:ss)

收到Rekey消息时,显示此信息,表示Rekey之后的密钥的存活时间

Rekey received

没有收到任何Rekey消息时,显示此信息,且取值为None

Total rekey ACKs sent

发送Rekey ACK消息的总次数,仅在单播方式下显示

ACL Downloaded From KS 90.1.1.1

从密钥服务器90.1.1.1下载的ACL信息

rule 0 deny udp source-port eq 848 destination-port eq 848

源端口为848和目的端口为848的任意地址的UDP报文不需要IPsec保护

rule 1 deny ospf

OSPF协议报文不需要IPsec保护

rule 2 permit icmp

任意地址的ICMP报文需要IPsec保护

KEK Policy

KEK策略信息

Rekey transport type

Rekey报文的传输类型,取值为Multicast和Unicast

Lifetime (sec)

KEK的生命周期,单位为秒

Encrypt algorithm

KEK加密算法

Key size

KEK密钥长度

Sig hash algorithm

KEK签名哈希算法

Sig key length (bit)

KEK签名密钥长度,单位为位

TEK Policy

TEK策略信息

Interface

TEK绑定的接口名称

IPsec SA

IPsec SA的信息

SPI

IPsec SA的SPI

Transform

Transform列表

SA timing

SA时间

remaining key lifetime (sec)

IPsec SA剩余的生命周期

Anti-replay detection

抗重放检测功能,取值为Enabled和Disabled

anti-replay window size(time based)

抗重放窗口大小(基于时间),以秒为单位

如果未使能抗重放检测功能,则不显示

anti-replay window size(counter based)

抗重放窗口大小(基于流量),取值为32、64、128、256、512、1024

如果未使能抗重放检测功能,则不显示

 

1.2.3  display gdoi gm members

【命令】

display gdoi gm members [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI GM组的GM的简要信息,group-name为GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的简要信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm members命令用来显示GM的简要信息。

【举例】

# 显示所有GM的简要信息。

<Sysname> display gdoi gm members

Group Member Information For Group GDOI-GROUP1:

  IPsec SA Direction         : Both

 

  Group Member               : 80.1.1.1

    VPN instance             : vpn1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 308 sec

    Succeeded registrations  : 1131

    Attempted registrations  : 1139

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

    Allowable rekey cipher   : Any

    Allowable rekey hash     : Any

    Allowable transform      : Any

表1-8 display gdoi gm members命令显示信息描述表

字段

描述

Group Member Information For Group GDOI-GROUP1

组GDOI-GROUP1的GM的简要信息

IPsec SA Direction

IPsec SA的方向,取值为Both或者Inbound(Inbound暂不支持)

Group Member

GM的IP地址

VPN instance

GM的所属的MPLS L3VPN的VPN实例名称

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

注册的KS地址

Re-register in

距离发起重新注册的时间

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个密钥服务器收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示

Rekey received ( hh:mm:ss)

收到Rekey时,显示此信息,且表示 Rekey之后的密钥的存活时间

Rekey received

没有收到任何Rekey时,显示此信息,且取值为None

Allowable rekey cipher

GM允许接受的Rekey的加密算法,取值为Any表示都接受

Allowable rekey hash

GM允许接受的Rekey的哈希算法,取值为Any表示都接受

Allowable transform

GM允许接受的Transform方式,取值为Any表示都接受

 

1.2.4  display gdoi gm acl

【命令】

display gdoi gm acl [ download | local ] [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

download:显示GM从KS下载的ACL信息。

local:显示GM本地配置的ACL信息。

group group-name:显示指定GDOI GM组的GM的ACL信息,group-name为GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的ACL信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm acl命令用来显示GM的ACL信息。

若不指定任何参数,则表示显示GM的所有ACL信息,包括从KS下载的ACL和本地配置的ACL。本地配置的ACL是指IPsec GDOI安全策略中引用的ACL。

【举例】

# 显示所有GM的ACL信息。

<Sysname> display gdoi gm acl

Group Name: abc

  ACL Downloaded From KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

 

  ACL Configured Locally:

    IPsec Policy Name: gdoi-group1

      ACL Identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

Group Name: 123

  ACL Downloaded From KS 12.1.1.100:

    rule 1 permit ip source 13.1.1.0 0.0.0.255 destination 13.1.2.0 0.0.0.255

# 显示GM从KS下载的ACL信息。

<Sysname> display gdoi gm acl download

Group Name: abc

  ACL Downloaded From KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

# 显示GM本地配置的ACL信息。

<Sysname> display gdoi gm acl local

Group Name: abc

  ACL Configured Locally:

    IPsec Policy Name: gdoi-group1

      ACL Identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

表1-9 display gdoi gm acl命令显示信息描述表

字段

描述

Group Name

GDOI GM组名称

ACL Downloaded From KS 12.1.1.100

从KS下载的ACL

rule 0 permit ip

IPsec保护任意地址的IP报文

rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

IPsec保护源地址范围为12.1.1.0/24,目的地址范围为12.1.1.0/24 的IP报文

ACL Configured Locally

本地配置的ACL

IPsec Policy Name

IPsec GDOI安全策略的名称

ACL Identifier

ACL标识

rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

IPsec不保护源地址范围为10.1.1.0/24,目的地址范围为10.1.1.0/24 的IP报文

 

1.2.5  display gdoi gm pubkey

【命令】

display gdoi  gm pubkey [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI GM组的GM接收到的公钥信息,group-name为GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM接收到的公钥信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm pubkey命令用来显示GM接收到的公钥信息。

【举例】

# 显示GM接收到的公钥信息。

<Sysname> display gdoi gm pubkey

Group Name: GDOI-GROUP1

  KS IPv4 Address: 90.1.1.1

  Conn-ID: 2044    My Cookie: 7C9CB398    His Cookie: 4E54C7EA

  Key Data:

    30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00BB0F5B

    6B5788E7 6220C0C1 C4BCAAD7 D81322FF 7DB9436E 46E308DA D589243B 64946D2D

    FC502F64 7F38DDF5 E999F8F7 4A247508 9AF7765B F0B080AC 11CC08E4 B48A976F

    D3721818 B66201F0 BD1987BE DD28D533 C38E7D42 939D2B71 3FAAA17A 128DF862

    E45C531D A0C8593E D7D602E9 7A7E675A 94AF6B25 2972CF85 94E601BD 19020301

    0001

表1-10 display gdoi命令显示信息描述表

字段

描述

Group Name

GDOI GM组名称

KS IPv4 Address

KS的IPv4地址

Conn-ID

标识Rekey SA的ID

My Cookie

Rekey SA的本端cookie

His Cookie

Rekey SA的对端cookie

Key Data

公钥数据

 

1.2.6  display gdoi gm rekey

【命令】

display gdoi gm rekey [ verbose ] [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

verbose:显示GM Rekey的详细信息。若不指定该参数,则显示GM Rekey的简要信息。

group group-name:显示指定GDOI GM组的GM的Rekey信息,group-name为GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM的Rekey信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm rekey命令用来显示GM的Rekey信息。

【举例】

# 显示所有GM的Rekey的简要信息。

<Sysname> display gdoi gm rekey

Group Name: abc (Unicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Number of rekey ACKs sent                    : 105

 

Group Name: 123 (Multicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Multicast destination address                : 239.192.1.190

 

# 显示所有GM的Rekey的详细信息。

<Sysname> display gdoi gm rekey verbose

Group Name: GDOI-GROUP1 (Multicast)

  Number of rekeys received (cumulative)       : 1904

  Number of rekeys received after registration : 889

  Multicast destination address                : 239.192.1.190

 

Rekey (KEK) SA Information:

            Destination     Source            Conn-ID  My Cookie  His Cookie

New       : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Current   : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Previous  : ---             ---               ---      ---        ---

 

表1-11 display gdoi命令显示信息描述表

字段

描述

Group Name

GDOI GM组名称

Unicast

密钥采用单播方式更新

Multicast

密钥采用组播方式更新

Number of rekeys received (cumulative)

GM累计接收到的Rekey消息的次数

Number of rekeys received after registration

GM注册成功后Rekey的次数

Number of rekey ACKs sent

发送Rekey ACK消息的次数

Multicast destination address

发送Rekey消息的组播目的地址

Rekey (KEK) SA information

Rekey (KEK) SA信息,即保护密钥更新消息的SA

Destination

Rekey SA的目的IP地址

Source

Rekey SA的源IP地址

Conn-ID

标识Rekey SA的ID

My Cookie

Rekey SA的本端cookie

His Cookie

Rekey SA的对端cookie

New

新的Rekey SA信息

Current

当前正在使用的Rekey SA信息

Previous

上一次使用的Rekey SA信息

 

1.2.7  display gdoi gm ipsec sa

【命令】

display gdoi gm ipsec sa [ group group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group group-name:显示指定GDOI GM组的GM获取的IPsec SA信息,group-name为GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定该参数,则表示显示所有GM获取的IPsec SA信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display gdoi gm ipsec sa命令用来显示GM获取的IPsec SA信息。

【举例】

# 显示所有GM获取的IPsec SA信息。

<Sysname> display gdoi gm ipsec sa

SA created for group abc:

    Interface GigabitEthernet1/0/1;

    Interface GigabitEthernet1/0/2:

      IPsec SA:

        SPI: 0x9AE5951E(2598737182)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 12

        Anti-replay detection: Disabled

 

SA created for group hh:

    Interface GigabitEthernet1/0/1;

    Interface GigabitEthernet1/0/2:

      IPsec SA:

        SPI: 0xDCC66F7B(3703992187)

        Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

        SA timing:

          remaining key lifetime (sec): 190

        Anti-replay detection: Disabled

表1-12 display gdoi gm ipsec sa命令显示信息描述表

字段

描述

SA created for group abc

GDOI GM组abc创建的SA

Interface

IPsec SA绑定的接口名称

IPsec SA

IPsec SA的信息

SPI

IPsec SA的SPI

Transform

Transform列表

SA timing

SA的生命周期

remaining key lifetime (sec)

IPsec SA剩余的生命周期,单位为秒

Anti-replay detection

抗重放检测,取值为Enabled或Disabled

anti-replay window size(time based)

抗重放窗口大小(基于时间),单位为秒,仅在使能了抗重放检查功能时显示

anti-replay window size(counter based)

抗重放窗口大小(基于流量),取值为32、64、128、256、512、1024,仅在使能了抗重放检查功能时显示

 

1.2.8  gdoi gm group

【命令】

gdoi gm group group-name

undo gdoi gm group group-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-name:GDOI GM组名称,为1~63个字符的字符串,区分大小写。

【描述】

gdoi gm group命令用来创建一个GDOI GM组,并进入GDOI GM组视图。undo gdoi gm group命令用来删除指定的GDOI GM组。

缺省情况下,不存在GDOI GM组。

一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS的地址和注册接口等。

设备上最多可以同时存在64个GDOI GM组。

相关配置可参考命令display gdoi gm

【举例】

# 创建一个名称为abc的GDOI GM组,并进入GDOI GM组视图。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc]

1.2.9  group

【命令】

group group-name

undo group

【视图】

IPsec GDOI安全策略视图

【缺省级别】

2:系统级

【参数】

group-name:指定GDOI GM组的名称,为1~63个字符的字符串,区分大小写。该组必须已经存在。

【描述】

group命令用来指定IPsec GDOI安全策略引用的GDOI GM组。undo group命令用来删除IPsec GDOI安全策略引用的GDOI GM组。

缺省情况下,IPsec GDOI安全策略没有引用任何GDOI GM组。

一个IPsec GDOI安全策略只能引用一个GDOI GM组,最后一次配置生效。

一个GDOI GM组可以被不同的IPsec GDOI安全策略组中的IPsec策略引用,但不能被同一个IPsec GDOI安全组中的不同策略引用。

相关配置可参考命令gdoi gm group

【举例】

# 配置名字为map的IPsec策略,顺序号为1,采用GDOI方式建立安全联盟。

<Sysname> system-view

[Sysname] ipsec policy map 1 gdoi

# 指定IPsec GDOI安全策略引用GDOI组abc。

[Sysname-ipsec-policy-gdoi-map-1] group abc

1.2.10  identity

【命令】

identity { address ip-address | number number }

undo identity

【视图】

GDOI组视图

【缺省级别】

2:系统级

【参数】

ip-address:用于标识GDOI GM组的IP地址,可以为任意合法的IPv4地址。

number:GDOI GM组的编号,取值范围为0~2147483647。

【描述】

identity命令用来配置GDOI GM组的组ID。undo identity命令用来删除GDOI GM组的组ID。

缺省情况下,未定义GDOI GM组的组ID。

需要注意的是,一个GDOI GM组只能配置一种类型的标识(IP地址或者组号),重复执行,新的配置会覆盖原有配置。

相关配置可参考命令display gdoi gm

【举例】

# 配置GDOI GM组abc的组ID为编号123456。

<Sysname> system-view

[Sysname] gdoi group abc

[Sysname-gdoi-gm-group-abc] identity number 123456

# 配置GDOI GM组def的组ID为IP地址202.202.202.10。

<Sysname> system-view

[Sysname] gdoi group def

[Sysname-gdoi-gm-group-def] identity address 202.202.202.10

1.2.11  reset gdoi gm

【命令】

reset gdoi gm [ group group-name ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

group:清除指定GDOI GM组的GDOI信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,区分大小写。若不指定本参数,则表示清除所有GM的GDOI信息。

【描述】

reset gdoi gm命令用来清除GM的GDOI信息,并发起注册。本命令将会清除GM从KS下载的信息,包括IKE SA 、Rekey SA、IPsec SA和ACL,并且还会触发GM重新向KS进行注册。

相关配置可参考命令display gdoi gm

【举例】

# 删除所有GM的GDOI信息,并发起注册。

<Sysname> reset gdoi gm

# 删除名称为abc的GDOI GM组的GDOI信息,并发起注册。

<Sysname> reset gdoi gm group abc

1.2.12  server address

【命令】

server address ip-address

undo server address ip-address

【视图】

GDOI GM组视图

【缺省级别】

2:系统级

【参数】

ip-address:密钥服务器的IP地址。

【描述】

server address命令用来指定GM将要注册的KS(Key Server,密钥服务器)的IP地址。undo server address命令用来删除指定的KS的IP地址。

缺省情况下,未指定KS的IP地址。

对于组成员,必须在GDOI GM组中指定KS的IP地址,否则,组成员的GDOI GM组配置不完整。

一个GDOI GM组中最多允许同时指定8个密钥服务器,其使用的优先级按照配置先后顺序依次降低。GM将从第一个配置的KS地址开始向其发起注册,如果无法成功向当前的KS地址注册,则在GDOI注册定时器超时后,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。

相关配置可参考命令display gdoi gm

【举例】

# 为GDOI GM组abc指定两个KS的IP地址,分别为3.3.3.3和3.3.3.4。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] server address 3.3.3.3

[Sysname-gdoi-gm-group-abc] server address 3.3.3.4

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!