08-安全配置指导

11-Group Domain VPN配置

1 Group Domain VPN

1.1 Group Domain VPN简介

1.1.1 Group Domain VPN的组网结构

1.1.2 Group Domain VPN的工作机制

1.1.3 协议规范

1.2 Group Domain VPN配置限制和指导

1.3 配置GDOI GM

1.3.1 GDOI GM配置任务简介

1.3.2 配置GDOI GM组

1.3.3 配置IPsec GDOI安全策略

1.3.4 在接口上应用IPsec GDOI安全策略

1.3.5 GDOI GM显示和维护

1.4 Group Domain VPN典型配置举例

1.4.1 Group Domain VPN典型配置举例

1 Group Domain VPN

1.1 Group Domain VPN简介

Group Domain VPN（Group Domain Virtual Private Network，组域虚拟专用网络）是一种实现密钥和IPsec安全策略集中管理的点到多点无隧道连接VPN解决方案，主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。

Group Domain VPN提供了一种基于组的IPsec安全模型，属于同一个组的所有成员共享相同的安全策略及密钥。

相比较传统的IPsec VPN，Group Domain VPN具有如下优点：

· 网络扩展性强。传统的IPsec VPN中，每对通信对等体之间都需要建立IKE SA和IPsec SA，管理复杂度高，而Group Domain VPN中所有组成员之间共用一对IPsec SA，管理复杂度低，可扩展性更好。

· 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接，如果封装了新的IP头，需要重新部署路由。Group Domain VPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全相同，因此，不需要改变原有部署的路由。

· 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头，报文在网络中传输时，需要重新配置QoS策略。Group Domain VPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。

· 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接，当需要对组播报文进行IPsec保护时，本端需要向组播组里的每个对端均发送一份加密报文，因此组播效率低。Group Domain VPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播效率高。

· 可提供点到多点的连通性。所有组成员共用一对IPsec SA，同一个组中的任意两个组成员之间都可以实现报文的加密和解密，真正实现了所有节点之间的互联。

1.1.1 Group Domain VPN的组网结构

Group Domain VPN由KS（Key Server，密钥服务器）和GM（Group Member，组成员）组成，它的典型组网结构如图1-1所示。其中，KS通过划分不同的组来管理不同的安全策略和密钥；GM通过加入相应的组，从KS获取安全策略及密钥，并负责对数据流量加密和解密。

图1-1 Group Domain VPN组网结构示意图

1. KS（Key Server，密钥服务器）

KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任：响应GM的注册请求，以及发送Rekey消息。当一个GM向KS进行注册时，KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新，在密钥生存周期超时前，KS会通过Rekey消息通知所有GM更新密钥。

KS下发的密钥包括两种类型：

· TEK（traffic encryption key，加密流量的密钥）：由组内的所有GM共享，用于加密GM之间的流量。

· KEK（key encryption key，加密密钥的密钥）：由组内的所有GM共享，用于加密KS向GM发送的Rekey消息。

可以通过配置，使多个KS之间进行冗余备份，以提供高可靠性和提供注册服务的负载分担。

2. GM（Group Member，组成员）

GM是一组共享相同安全策略且有安全通信需求的网络设备。它们在KS上注册，并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID，KS根据这个组ID将对应组的安全策略和密钥下发给该GM。

1.1.2 Group Domain VPN的工作机制

Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。

1. GM向KS注册

在GM的某接口上应用了Group Domain VPN的相关IPsec安全策略后，GM会向KS发起注册，这个注册过程包括两个阶段的协商：IKE协商和GDOI（Group Domain of Interpretation，组解释域）协商，具体内容如下：

(1) 第一阶段的IKE协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，生成用于保护第二阶段GDOI协商的IKE SA。

(2) 第二阶段的GDOI协商：这是一个GM从KS上“拉” IPsec安全策略的过程，其具体的协议过程由GDOI协议定义，可参见RFC3547中关于GROUPKEY-PULL交换的描述。

具体的注册过程包括图1-2所示的五个步骤：

图1-2 注册过程流程图

(1) GM与KS进行一阶段IKE协商；

(2) GM向KS发送所在组的ID；

(3) KS根据GM提供的组ID向GM发送相应组的IPsec安全策略（保护的数据流信息、加密算法、认证算法、封装模式等）；

(4) GM对收到的IPsec安全策略进行验证，如果该策略是可接受的（例如安全协议和加密算法是可支持的），则向KS发送确认消息；

(5) KS收到GM的确认消息后，向GM发送密钥信息（KEK、TEK）。

通过这个过程，GM把KS上的IPsec安全策略和密钥获取到了本地。此后，就可以利用获取的IPsec安全策略和密钥在GM之间加密、解密传输的数据了。

在GM向KS发起注册时，GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功，则表示当前的注册过程失败，GM会重新发起注册。该定时器的时间不可配，且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。

2. 数据保护

GM完成注册之后，将使用获取到的IPsec SA对符合IPsec安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。

与传统的IPsec VPN类似，Group Domain VPN也支持隧道和传输两种封装模式，该模式由KS决定并下发给GM。

· 隧道模式：首先在原有的IP报文外部封装安全协议头（AH头或ESP头，目前Group Domain VPN不支持AH协议），然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。

图1-3 隧道模式Group Domain VPN数据封装示意图

· 传输模式：在原有的IP报文头与报文数据之间封装安全协议头，不对原始的IP报文头做任何修改。

3. 密钥更新（Rekey）

GM向KS注册后，如果KS上配置了Rekey的相关参数（具体配置请参见KS的相关配置指导），则KS会向GM发送密钥更新SA（Rekey SA）。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前，KS将通过密钥更新消息（也称为Rekey消息）定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA，该Rekey消息使用当前的Rekey SA进行加密，GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述，请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息，将会重新向KS发起一次注册，把IPsec安全策略和密钥“拉”过来。

· 由KS来决定采用单播或组播的方式向GM发送Rekey消息，缺省情况下KS采用组播发送方式。

· KS在GM注册的过程中，会将本端的公钥信息下发给GM。

1.1.3 协议规范

与Group Domain VPN相关的协议规范有：

· RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)

· RFC 3547：The Group Domain of Interpretation(GDOI)

· RFC 3740：The Multicast Group Security Architecture

· RFC 5374：Multicast Extensions to the Security Architecture for the Internet Protocol

· RFC 6407：The Group Domain of Interpretation(GDOI)

1.2 Group Domain VPN配置限制和指导

当前设备仅支持作为GM，不支持作为KS。

KS与GM上的IKE配置必须匹配，否则会导致一阶段IKE协商失败。

1.3 配置GDOI GM

1.3.1 GDOI GM配置任务简介

GDOI GM需要IKE的相关配置进行配合，IKE的配置主要包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE profile。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。

表1-1 GDOI GM配置任务简介

配置任务	说明	详细配置
配置GDOI GM组	必选	1.3.2
配置IPsec GDOI安全策略	必选	1.3.3
接口上应用IPsec GDOI安全策略	必选	1.3.4

1.3.2 配置GDOI GM组

在GM上可以同时存在多个GDOI GM组。一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息，包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下：

· 组名：GDOI GM组在设备上的一个配置标识，仅用于本地配置管理和引用。

· 组ID：GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册，GM提交的组ID必须与它要加入的KS的组ID一致。一个GDOI GM组只能使用组号或者IP地址作为组ID，且只能配置一个组ID。

· KS地址：GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置16个KS地址，其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册，如果无法成功注册，则会依次向后续配置的KS地址发起注册，直到注册成功为止；如果GM向所有的KS地址发起的注册都失败，则会继续从第一个KS地址开始重复以上过程。

· 注册接口：GM通过注册接口向KS发起注册。缺省情况下，GDOI GM组以KS地址为目的地址的路由的出接口作为注册接口向KS注册。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同，也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时，可指定设备上的其它接口（物理接口或逻辑接口）作为注册接口。

· 支持的KEK加密算法：GM注册过程中，当KS下发的KEK算法不符合GM支持的KEK算法时，GM终止与KS的协商且注册失败；Rekey过程中，当KS下发的KEK算法不符合GM支持的KEK算法时，GM丢弃收到的rekey报文。

· 支持的IPsec安全提议：GM注册过程中，当KS下发的IPsec安全提议不在本地支持的范围之内，则GM终止与KS的协商且注册失败；Rekey过程中，当KS下发的IPsec安全提议不在本地支持的范围之内，则GM丢弃收到的rekey报文。

配置限制和指导：

· 一个GDOI GM组只能配置一个组ID，后配置的组ID会覆盖前面配置的组ID。

· 不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。

表1-2 配置GDOI GM组

配置任务	命令	说明
进入系统视图	system-view	-
创建一个GDOI GM组，并进入GDOI GM组视图	gdoi gm group group-name	缺省情况下，不存在GDOI GM组
配置GDOI GM组的组ID	identity { address ip-address \| number number }	缺省情况下，未定义GDOI GM组的组ID 一个GDOI GM组只能有一种类型的标识，IP地址或者组号
指定KS地址	server address host [ vrf vrf-name ]	缺省情况下，未指定KS的地址
（可选）指定GM的注册接口	client registration interface interface-type interface-number	缺省情况下，GM使用到达KS地址的路由的出接口作为注册接口向KS注册
（可选）指定GM支持的KEK加密算法	client rekey encryption { des-cbc \| 3des-cbc \| aes-cbc-128 \| aes-cbc-192 \| aes-cbc-256 } *	缺省情况下，GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法
（可选）指定GM支持的IPsec安全提议	client transform-sets transform-set-name&<1-6>	缺省情况下，GM支持如下的安全提议： · 安全协议：ESP · 封装模式：隧道模式和传输模式 · 加密算法：DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256 · 验证算法：MD5、SHA1
（可选）配置GDOI GM组的抗重放时间窗口	client anti-replay window { sec seconds \| msec milliseconds }	缺省情况下，未配置GDOI GM组的抗重放时间窗口

1.3.3 配置IPsec GDOI安全策略

一个IPsec GDOI安全策略是若干具有相同名字、不同顺序号的IPsec GDOI安全策略表项的集合。在同一个IPsec GDOI安全策略中，顺序号越小的IPsec GDOI安全策略表项优先级越高。IPsec GDOI安全策略视图下，目前包括且仅包括以下两个配置：

· 指定引用的GDOI GM组。IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址，以及注册的组ID。只有引用了已存在且相同IP协议类型的GDOI GM组，且引用的GDOI GM组配置完整（配置了组ID和KS地址）的IPsec GDOI安全策略才能生效。

· 引用本地访问控制列表。IPsec GDOI安全策略可以通过引用一个本地配置的访问控制列表（称为本地访问控制列表）决定哪些报文需要丢弃，哪些报文需要明文转发。当报文匹配上本地访问控制列表的deny规则时，会被明文转发；当报文匹配上本地访问控制列表的permit规则时，会被丢弃。因此请慎重配置本地访问控制列表的permit规则。

GM向KS注册后，会从KS上获取安全策略，其中包含了KS上配置的访问控制列表（称为下载的访问控制列表）。KS上配置的访问控制列表用来控制GM的行为，即决定GM上的哪些报文需要加密/解密，哪些报文需要转发。

· 对于GM要发送的报文，若匹配上下载的访问控制列表的permit规则，则会被加密后转发；若匹配上下载的访问控制列表的deny规则，则会被以明文形式转发。

· 对于GM接收到的密文，若匹配上下载的访问控制列表的permit规则，则会被解密；若匹配上下载的访问控制列表的deny规则，则会被以密文形式转发。

· 对于GM接收到的明文，若匹配上下载的访问控制列表的permit规则，则会被丢弃；若匹配上下载的访问控制列表的deny规则，则会被以明文形式转发。

· 如果报文没有匹配任何下载的访问控制列表，默认的处理方式是转发。

如果IPsec GDOI安全策略中引用了本地访问控制列表，则GM向KS注册后，两种类型的访问控制列表将在GM上共存，具体处理机制如下：

· 在加密处理时，报文优先匹配本地访问控制列表，若报文没有匹配到本地访问控制列表的任何规则，则会接着匹配下载的访问控制列表，两者都匹配不上时，则默认进行明文转发。

· 在解密处理时，密文优先匹配下载的访问控制列表，若报文没有匹配到下载访问控制列表的任何规则，则会接着匹配本地访问控制列表；明文优先匹配本地访问控制列表，若报文没有匹配到本地访问控制列表的任何规则，则会接着匹配下载的访问控制列表；两者都匹配不上时，则默认进行明文转发。

表1-3 配置IPsec GDOI安全策略

配置任务	命令	说明
进入系统视图	system-view	-
创建一条IPsec GDOI安全策略，并进入IPsec GDOI安全策略视图	ipsec policy policy-name seq-number gdoi	缺省情况下，没有IPsec GDOI安全策略存在本命令的详细介绍请参见“安全命令参考”中的“IPsec”
指定IPsec GDOI安全策略引用的GDOI GM组	group group-name	缺省情况下，IPsec GDOI安全策略没有引用任何GDOI GM组一条IPsec GDOI安全策略下只能够引用一个GDOI GM组
（可选）引用本地访问控制列表	security acl acl-number	缺省情况下，没有配置本地访问控制列表一般情况下，无需配置本地访问控制列表。如果需要本地对数据流进行管理时，则配置本地访问控制列表本命令的详细介绍请参见“安全命令参考”中的“IPsec”

1.3.4 在接口上应用IPsec GDOI安全策略

当IPsec GDOI安全策略应用到接口上，且该策略引用的GDOI GM组配置了组ID和KS地址，则设备会向KS发起注册。当数据报文经过该接口时，如果报文匹配了该接口的本地访问控制列表，则丢弃；如果报文匹配了下载的访问控制列表，则该按照IPsec GDOI策略处理。

表1-4 在接口上应用IPsec GDOI安全策略

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
应用IPsec 安全策略	ipsec apply policy policy-name	缺省情况下，接口下未应用任何IPsec安全策略本命令的详细介绍请参见“安全命令参考”中的“IPsec”

1.3.5 GDOI GM显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后GDOI GM的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GM的GDOI信息，并发起注册。

表1-5 Group Domain VPN显示和维护

操作	命令
显示GDOI GM组信息	display gdoi gm [ group group-name ]
显示GDOI GM组的抗重放时间戳类型和时间窗口大小	display gdoi gm anti-replay [ group group-name ]
显示GM获取的IPsec SA信息	display gdoi gm ipsec sa [ group group-name ]
显示GM的简要信息	display gdoi gm members [ group group-name ]
显示GM的ACL信息	display gdoi gm acl [ download \| local ] [ group group-name ]
显示GM的Rekey信息	display gdoi gm rekey [ verbose ] [ group group-name ]
显示GM接收到的公钥信息	display gdoi gm pubkey [ group group-name ]
显示IPsec GDOI安全策略相关信息	display ipsec policy [ policy-name [ seq-number ] ]
清除GM的GDOI信息，并发起注册	reset gdoi gm [ group group-name ]

1.4 Group Domain VPN典型配置举例

1.4.1 Group Domain VPN典型配置举例

1. 组网需求

在如图1-4所示的组网环境中，需要组建一个Group Domain VPN，对指定子网之间的数据流进行安全保护，具体要求如下：

· 子网10.1.1.0/24与子网10.1.2.0/24之间的业务流量，以及子网10.1.1.0/24与子网10.1.3.0/24之间的业务流量受IPsec保护。

· GM 1、GM 2和GM 3加入相同的GDOI组（组ID为12345），并向维护、管理该组的KS进行注册。

· 对各GM之间的数据进行IPsec保护时，采用的安全协议为ESP，加密算法为AES-CBC 128，认证算法为SHA1。

· GM与KS之间进行IKE协商时，使用预共享密钥的认证方法。

· KS采用组播方式向GM发送Rekey消息。

· KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时，使用预共享密钥的认证方法。

2. 组网图

图1-4 Group Domain VPN典型配置组网图

3. 配置步骤

· 请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。

· 请确保KS 1与KS 2之间路由可达。

· 请确保GM 1、GM 2、GM 3之间的组播报文可正常转发，以及KS和GM之间的组播报文可正常转发。

· 本例中，若KS需要采用单播方式发送Rekey消息，需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。

· 本例中的KS 1和KS 2为Comware V5版本的设备。

(1) 配置KS 1

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

<KS1> system-view

[KS1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS1-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS1-ike-proposal-1] dh group2

[KS1-ike-proposal-1] quit

# 创建IKE对等体toks2，用于与KS 2之间的IKE协商。

[KS1] ike peer toks2

# 指定IKE对等体toks2引用IKE提议1。

[KS1-ike-peer-toks2] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-toks2] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为200.2.2.200。

[KS1-ike-peer-toks2] remote-address 200.2.2.200

[KS1-ike-peer-toks2] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS1] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS1-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-togm] pre-shared-key simple tempkey1

[KS1-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS1] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS1-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS1-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS1] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek

[KS1-ipsec-profile-fortek] transform-set fortek

[KS1-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS1] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。因为这里业务流量为单播，所以规则要配置为对称的。

[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS1] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS1-acl-adv-3001-forrekey] quit

# 创建本地RSA密钥对，名称为rsa1。

[KS1] public-key local create rsa name rsa1

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 导出名称为rsa1的本地密钥对，导出时使用的加密算法为3DES CBC，加密口令为12345678。该导出的密钥对信息被复制后，将用于导入到KS 2上。

[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

# 创建GDOI KS组ks1。

[KS1] gdoi ks group ks1

# 配置GDOI KS组的ID为编号12345。

[KS1-gdoi-ks-group-ks1] identity number 12345

# 引用密钥对rsa1。

[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS1-gdoi-ks-group-ks1] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略，序号为10。

[KS1-gdoi-ks-group-ks1] ipsec 10

# 引用IPsec安全框架fortek。

[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek

[KS1-gdoi-ks-group-ks1-ipsec-10] quit

# 配置对端KS的IP地址为200.2.2.200。

[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200

# 配置KS发送报文的源地址为100.1.1.100。

[KS1-gdoi-ks-group-ks1] source address 100.1.1.100

# 配置本端优先级为10000。

[KS1-gdoi-ks-group-ks1] local priority 10000

# 开启冗余备份功能。

[KS1-gdoi-ks-group-ks1] redundancy enable

[KS1-gdoi-ks-group-ks1] quit

以上配置的具体步骤请参考KS的相关配置指导。

(2) 配置KS 2

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

<KS2> system-view

[KS2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS2-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS2-ike-proposal-1] dh group2

[KS2-ike-proposal-1] quit

# 创建IKE对等体toks1，用于与KS1之间的IKE协商。

[KS2] ike peer toks1

# 指定IKE对等体toks1引用IKE提议1。

[KS2-ike-peer-toks1] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-toks1] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为100.1.1.100。

[KS2-ike-peer-toks1] remote-address 100.1.1.100

[KS2-ike-peer-toks1] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS2] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS2-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-togm] pre-shared-key simple tempkey1

[KS2-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS2] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS2-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS2-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS2] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek。

[KS2-ipsec-profile-fortek] transform-set fortek

[KS2-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS2] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。

[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS2] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS2-acl-adv-3001-forrekey] quit

# 将从KS1导出的RSA密钥以PEM格式导入到KS2，并命名为rsa1。此导入过程中，需要将从KS 1上复制的密钥信息粘贴到本端界面上。

[KS2] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.