选择区域语言: EN CN HK

11-安全配置指导

09-Group Domain VPN配置

本章节下载  (315.08 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600-X/Configure/Operation_Manual/H3C_SR6600_SR6600-X_CG-R7607-6W101/11/201705/992982_30005_0.htm

09-Group Domain VPN配置


1 Group Domain VPN

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  Group Domain VPN简介

Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和IPsec安全策略集中管理的点到多点无隧道连接VPN解决方案,主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。

Group Domain VPN提供了一种基于组的IPsec安全模型,属于同一个组的所有成员共享相同的安全策略及密钥。

相比较传统的IPsec VPN,Group Domain VPN具有如下优点:

·     网络扩展性强。传统的IPsec VPN中,每对通信对等体之间都需要建立IKE SA和IPsec SA,管理复杂度高,而Group Domain VPN中所有组成员之间共用一对IPsec SA,管理复杂度低,可扩展性更好。

·     无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接,如果封装了新的IP头,需要重新部署路由。Group Domain VPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。

·     更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。Group Domain VPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。

·     组播效率更高。由于传统的IPsec VPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。Group Domain VPN是无隧道的连接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。

·     可提供点到多点的连通性。所有组成员共用一对IPsec SA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。

1.1.1  Group Domain VPN的组网结构

Group Domain VPN由KS(Key Server,密钥服务器)和GM(Group Member,组成员)组成,它的典型组网结构如图1-1所示。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。

图1-1 Group Domain VPN组网结构示意图

 

1. KS(Key Server,密钥服务器)

KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任:响应GM的注册请求,以及发送Rekey消息。当一个GM向KS进行注册时,KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过Rekey消息通知所有GM更新密钥。

KS下发的密钥包括两种类型:

·     TEK(traffic encryption key,加密流量的密钥):由组内的所有GM共享,用于加密GM之间的流量。

·     KEK(key encrytion key,加密密钥的密钥):由组内的所有GM共享,用于加密KS向GM发送的Rekey消息。

可以通过配置,使多个KS之间进行冗余备份,以提供高可靠性和提供注册服务的负载分担。

2. GM(Group Member,组成员)

GM是一组共享相同安全策略且有安全通信需求的网络设备。它们在KS上注册,并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID,KS根据这个组ID将对应组的安全策略和密钥下发给该GM。

1.1.2  Group Domain VPN的工作机制

Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。

1. GM向KS注册

在GM的某接口上应用了Group Domain VPN的相关IPsec安全策略后,GM会向KS发起注册,这个注册过程包括两个阶段的协商:IKE协商和GDOI(Group Domain of Interpretation,组解释域)协商,具体内容如下:

(1)     第一阶段的IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护第二阶段GDOI协商的IKE SA。

(2)     第二阶段的GDOI协商:这是一个GM从KS上“拉” IPsec安全策略的过程,其具体的协议过程由GDOI协议定义,可参见RFC3547中关于GROUPKEY-PULL交换的描述。

具体的注册过程包括图1-2所示的五个步骤:

图1-2 注册过程流程图

 

(1)     GM与KS进行一阶段IKE协商;

(2)     GM向KS发送所在组的ID;

(3)     KS根据GM提供的组ID向GM发送相应组的IPsec安全策略(保护的数据流信息、加密算法、认证算法、封装模式等);

(4)     GM对收到的IPsec安全策略进行验证,如果该策略是可接受的(例如安全协议和加密算法是可支持的),则向KS发送确认消息;

(5)     KS收到GM的确认消息后,向GM发送密钥信息(KEK、TEK)。

通过这个过程,GM把KS上的IPsec安全策略和密钥获取到了本地。此后,就可以利用获取的IPsec安全策略和密钥在GM之间加密、解密传输的数据了。

说明

在GM向KS发起注册时,GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功,则表示当前的注册过程失败,GM会重新发起注册。该定时器的时间不可配,且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。

 

2. 数据保护

GM完成注册之后,将使用获取到的IPsec SA对符合IPsec安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。

与传统的IPsec VPN类似,Group Domain VPN也支持隧道和传输两种封装模式,该模式由KS决定并下发给GM。

·     隧道模式:首先在原有的IP报文外部封装安全协议头(AH头或ESP头,目前Group Domain VPN不支持AH协议),然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。

图1-3 隧道模式Group Domain VPN数据封装示意图

 

·     传输模式:在原有的IP报文头与报文数据之间封装安全协议头,不对原始的IP报文头做任何修改。

与传统IPsec VPN相同,Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。

3. 密钥更新(Rekey)

GM向KS注册后,如果KS上配置了Rekey的相关参数(具体配置请参见KS的相关配置指导),则KS会向GM发送密钥更新SA(Rekey SA)。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前,KS将通过密钥更新消息(也称为Rekey消息)定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA,该Rekey消息使用当前的Rekey SA进行加密,GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述,请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息,将会重新向KS发起一次注册,把IPsec安全策略和密钥“拉”过来。

说明

·     由KS来决定采用单播或组播的方式向GM发送Rekey消息,缺省情况下KS采用组播发送方式。

·     KS在GM注册的过程中,会将本端的公钥信息下发给GM。

 

1.1.3  协议规范

与Group Domain VPN相关的协议规范有:

·     RFC 2408:Internet Security Association and Key Management Protocol (ISAKMP)

·     RFC 3547:The Group Domain of Interpretation(GDOI)

·     RFC 3740:The Multicast Group Security Architecture

·     RFC 5374:Multicast Extensions to the Security Architecture for the Internet Protocol

·     RFC 6407:The Group Domain of Interpretation(GDOI)

1.2  Group Domain VPN配置限制和指导

说明

当前设备仅支持作为GM,不支持作为KS。

 

KS与GM上的IKE配置必须匹配,否则会导致一阶段IKE协商失败。

1.3  配置GDOI GM

1.3.1  GDOI GM配置任务简介

GDOI GM需要IKE的相关配置进行配合,IKE的配置主要包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE profile。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。

表1-1 GDOI GM配置任务简介

配置任务

说明

详细配置

配置GDOI GM组

必选

1.3.2 

配置IPsec GDOI安全策略

必选

1.3.3 

接口上应用IPsec GDOI安全策略

必选

1.3.4 

 

1.3.2  配置GDOI GM组

在GM上可以同时存在多个GDOI GM组。一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下:

·     组名:GDOI GM组在设备上的一个配置标识,仅用于本地配置管理和引用。

·     组ID:GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册,GM提交的组ID必须与它要加入的KS的组ID一致。一个GDOI GM组只能使用组号或者IP地址作为组ID,且只能配置一个组ID。

·     KS地址:GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置16个KS地址,其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册,如果无法成功注册,则会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。

·     注册接口:GM通过注册接口向KS发起注册。缺省情况下,GDOI GM组以KS地址为目的地址的路由的出接口作为注册接口向KS注册。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同,也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时,可指定设备上的其它接口(物理接口或逻辑接口)作为注册接口。

·     支持的KEK加密算法:GM注册过程中,当KS下发的KEK算法不符合GM支持的KEK算法时,GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的KEK算法不符合GM支持的KEK算法时,GM丢弃收到的rekey报文。

·     支持的IPsec安全提议:GM注册过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM丢弃收到的rekey报文。

配置限制和指导:

·     一个GDOI GM组只能配置一个组ID,后配置的组ID会覆盖前面配置的组ID。

·     不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。

表1-2 配置GDOI GM组

配置任务

命令

说明

进入系统视图

system-view

-

创建一个GDOI GM组,并进入GDOI GM组视图

gdoi gm group [ ipv6 ] group-name

缺省情况下,不存在GDOI GM组

配置GDOI GM组的组ID

identity { address ip-address | number number }

缺省情况下,未定义GDOI GM组的组ID

一个GDOI GM组只能有一种类型的标识,IP地址或者组号

指定KS地址

server address host [ vrf vrf-name ]

缺省情况下,未指定KS的地址

(可选)指定GM的注册接口

client registration interface interface-type interface-number

缺省情况下,GM使用到达KS地址的路由的出接口作为注册接口向KS注册

(可选)指定GM支持的KEK加密算法

非FIPS模式下:

client rekey encryption { des-cbc | 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

FIPS模式下:

client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

非FIPS模式下:

缺省情况下,GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法

FIPS模式下:

缺省情况下,GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法

(可选)指定GM支持的IPsec安全提议

client transform-sets transform-set-name&<1-6>

缺省情况下,GM支持如下的安全提议:

·     安全协议:ESP

·     封装模式:隧道模式和传输模式

·     加密算法:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256

·     验证算法:MD5、SHA1

(可选)配置GDOI GM组的抗重放时间窗口

client anti-replay window { sec seconds | msec milliseconds }

缺省情况下,未配置GDOI GM组的抗重放时间窗口

 

1.3.3  配置IPsec GDOI安全策略

一个IPsec GDOI安全策略是若干具有相同名字、不同顺序号的IPsec GDOI安全策略表项的集合。在同一个IPsec GDOI安全策略中,顺序号越小的IPsec GDOI安全策略表项优先级越高。IPsec GDOI安全策略视图下,目前包括且仅包括以下两个配置:

·     指定引用的GDOI GM组。IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址,以及注册的组ID。只有引用了已存在且相同IP协议类型的GDOI GM组,且引用的GDOI GM组配置完整(配置了组ID和KS地址)的IPsec GDOI安全策略才能生效。

·     引用本地访问控制列表。IPsec GDOI安全策略可以通过引用一个本地配置的访问控制列表(称为本地访问控制列表)决定哪些报文需要丢弃,哪些报文需要明文转发。当报文匹配上本地访问控制列表的deny规则时,会被明文转发;当报文匹配上本地访问控制列表的permit规则时,会被丢弃。因此请慎重配置本地访问控制列表的permit规则。

GM向KS注册后,会从KS上获取安全策略,其中包含了KS上配置的访问控制列表(称为下载的访问控制列表)。KS上配置的访问控制列表用来控制GM的行为,即决定GM上的哪些报文需要加密/解密,哪些报文需要转发。

·     对于GM要发送的报文,若匹配上下载的访问控制列表的permit规则,则会被加密后转发;若匹配上下载的访问控制列表的deny规则,则会被以明文形式转发。

·     对于GM接收到的密文,若匹配上下载的访问控制列表的permit规则,则会被解密;若匹配上下载的访问控制列表的deny规则,则会被以密文形式转发。

·     对于GM接收到的明文,若匹配上下载的访问控制列表的permit规则,则会被丢弃;若匹配上下载的访问控制列表的deny规则,则会被以明文形式转发。

·     如果报文没有匹配任何下载的访问控制列表,默认的处理方式是转发。

如果IPsec GDOI安全策略中引用了本地访问控制列表,则GM向KS注册后,两种类型的访问控制列表将在GM上共存,具体处理机制如下:

·     在加密处理时,报文优先匹配本地访问控制列表,若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表,两者都匹配不上时,则默认进行明文转发。

·     在解密处理时,密文优先匹配下载的访问控制列表,若报文没有匹配到下载访问控制列表的任何规则,则会接着匹配本地访问控制列表;明文优先匹配本地访问控制列表,若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表;两者都匹配不上时,则默认进行明文转发。

表1-3 配置IPsec GDOI安全策略

配置任务

命令

说明

进入系统视图

system-view

-

创建一条IPsec GDOI安全策略,并进入IPsec GDOI安全策略视图

ipsec { ipv6-policy | policy } policy-name seq-number gdoi

缺省情况下,没有IPsec GDOI安全策略存在

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

指定IPsec GDOI安全策略引用的GDOI GM组

group group-name

缺省情况下,IPsec GDOI安全策略没有引用任何GDOI GM组

一条IPsec GDOI安全策略下只能够引用一个GDOI GM组

(可选)引用本地访问控制列表

security acl [ ipv6 ] acl-number

缺省情况下,没有配置本地访问控制列表

一般情况下,无需配置本地访问控制列表。如果需要本地对数据流进行管理时,则配置本地访问控制列表

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

 

1.3.4  在接口上应用IPsec GDOI安全策略

当IPsec GDOI安全策略应用到接口上,且该策略引用的GDOI GM组配置了组ID和KS地址,则设备会向KS发起注册。当数据报文经过该接口时,如果报文匹配了该接口的本地访问控制列表,则丢弃;如果报文匹配了下载的访问控制列表,则该按照IPsec GDOI策略处理。

表1-4 在接口上应用IPsec GDOI安全策略

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

应用IPsec 安全策略

ipsec apply { ipv6-policy | policy } policy-name

缺省情况下,接口下未应用任何IPsec安全策略

本命令的详细介绍请参见“安全命令参考”中的“IPsec”

 

1.3.5  GDOI GM显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后GDOI GM的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GM的GDOI信息,并发起注册。

表1-5 Group Domain VPN显示和维护

操作

命令

显示GDOI GM组信息

display gdoi gm [ group group-name ]

显示GDOI GM组的抗重放时间戳类型和时间窗口大小

display gdoi gm anti-replay [ group group-name ]

显示GM获取的IPsec SA信息

display gdoi gm ipsec sa [ group group-name ]

显示GM的简要信息

display gdoi gm members [ group group-name ]

显示GM的ACL信息

display gdoi gm acl [ download | local ] [ group group-name ]

显示GM的Rekey信息

display gdoi gm rekey [ verbose ] [ group group-name ]

显示GM接收到的公钥信息

display gdoi gm pubkey [ group group-name ]

显示IPsec GDOI安全策略相关信息

display ipsec policy [ policy-name [ seq-number ] ]

清除GM的GDOI信息,并发起注册

reset gdoi gm [ group group-name ]

 

说明

display ipsec policy命令的详细介绍,请见“安全命令”中的“IPsec”。

 

1.4  Group Domain VPN典型配置举例

1.4.1  Group Domain VPN典型配置举例

1. 组网需求

在如图1-4所示的组网环境中,需要组建一个Group Domain VPN,对指定子网之间的数据流进行安全保护,具体要求如下:

·     子网10.1.1.0/24与子网10.1.2.0/24之间的业务流量,以及子网10.1.1.0/24与子网10.1.3.0/24之间的业务流量受IPsec保护。

·     GM 1、GM 2和GM 3加入相同的GDOI组(组ID为12345),并向维护、管理该组的KS进行注册。

·     对各GM之间的数据进行IPsec保护时,采用的安全协议为ESP,加密算法为AES-CBC 128,认证算法为SHA1。

·     GM与KS之间进行IKE协商时,使用预共享密钥的认证方法。

·     KS采用组播方式向GM发送Rekey消息。

·     KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时,使用预共享密钥的认证方法。

2. 组网图

图1-4 Group Domain VPN典型配置组网图

 

3. 配置步骤

说明

·     请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。

·     请确保KS 1与KS 2之间路由可达。

·     请确保GM 1、GM 2、GM 3之间的组播报文可正常转发,以及KS和GM之间的组播报文可正常转发。

·     本例中,若KS需要采用单播方式发送Rekey消息,需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。

·     本例中的KS 1和KS 2为Comware V5版本的设备。

 

(1)     配置KS 1

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<KS1> system-view

[KS1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS1-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS1-ike-proposal-1] dh group2

[KS1-ike-proposal-1] quit

# 创建IKE对等体toks2,用于与KS 2之间的IKE协商。

[KS1] ike peer toks2

# 指定IKE对等体toks2引用IKE提议1。

[KS1-ike-peer-toks2] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-toks2] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为200.2.2.200。

[KS1-ike-peer-toks2] remote-address 200.2.2.200

[KS1-ike-peer-toks2] quit

# 创建IKE对等体togm,用于与GM之间的IKE协商。

[KS1] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS1-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-togm] pre-shared-key simple tempkey1

[KS1-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS1] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS1-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS1-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS1] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek

[KS1-ipsec-profile-fortek] transform-set fortek

[KS1-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS1] acl number 3000 name fortek

# 配置ACL规则,定义TEK保护的流量范围。因为这里业务流量为单播,所以规则要配置为对称的。

[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS1] acl number 3001 name forrekey

# 配置Rekey的目的地址(组播地址)。

[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS1-acl-adv-3001-forrekey] quit

# 创建本地RSA密钥对,名称为rsa1。

[KS1] public-key local create rsa name rsa1

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 导出名称为rsa1的本地密钥对,导出时使用的加密算法为3DES CBC,加密口令为12345678。该导出的密钥对信息被复制后,将用于导入到KS 2上。

[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

# 创建GDOI KS组ks1。

[KS1] gdoi ks group ks1

# 配置GDOI KS组的ID为编号12345。

[KS1-gdoi-ks-group-ks1] identity number 12345

# 引用密钥对rsa1。

[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS1-gdoi-ks-group-ks1] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略,序号为10。

[KS1-gdoi-ks-group-ks1] ipsec 10

# 引用IPsec安全框架fortek。

[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek

[KS1-gdoi-ks-group-ks1-ipsec-10] quit

# 配置对端KS的IP地址为200.2.2.200。

[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200

# 配置KS发送报文的源地址为100.1.1.100。

[KS1-gdoi-ks-group-ks1] source address 100.1.1.100

# 配置本端优先级为10000。

[KS1-gdoi-ks-group-ks1] local priority 10000

# 开启冗余备份功能。

[KS1-gdoi-ks-group-ks1] redundancy enable

[KS1-gdoi-ks-group-ks1] quit

以上配置的具体步骤请参考KS的相关配置指导。

(2)     配置KS 2

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<KS2> system-view

[KS2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS2-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS2-ike-proposal-1] dh group2

[KS2-ike-proposal-1] quit

# 创建IKE对等体toks1,用于与KS1之间的IKE协商。

[KS2] ike peer toks1

# 指定IKE对等体toks1引用IKE提议1。

[KS2-ike-peer-toks1] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-toks1] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为100.1.1.100。

[KS2-ike-peer-toks1] remote-address 100.1.1.100

[KS2-ike-peer-toks1] quit

# 创建IKE对等体togm,用于与GM之间的IKE协商。

[KS2] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS2-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-togm] pre-shared-key simple tempkey1

[KS2-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS2] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS2-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS2-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS2] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek。

[KS2-ipsec-profile-fortek] transform-set fortek

[KS2-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS2] acl number 3000 name fortek

# 配置ACL规则,定义TEK保护的流量范围。

[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS2] acl number 3001 name forrekey

# 配置Rekey的目的地址(组播地址)。

[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS2-acl-adv-3001-forrekey] quit

# 将从KS1导出的RSA密钥以PEM格式导入到KS2,并命名为rsa1。此导入过程中,需要将从KS 1上复制的密钥信息粘贴到本端界面上。

[KS2] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

 

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

^C

Please input the password:

# 创建GDOI KS组ks2。

[KS2] gdoi ks group ks2

# 配置GDOI KS组的ID为编号12345。

[KS2-gdoi-ks-group-ks2] identity number 12345

# 引用密钥对rsa1。

[KS2-gdoi-ks-group-ks2] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS2-gdoi-ks-group-ks2] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略,序号为10。

[KS2-gdoi-ks-group-ks2] ipsec 10

# 引用IPsec安全框架fortek。

[KS2-gdoi-ks-group-ks2-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS2-gdoi-ks-group-ks2-ipsec-10] security acl name fortek

[KS2-gdoi-ks-group-ks2-ipsec-10] quit

# 配置对端KS的IP地址为100.1.1.100。

[KS2-gdoi-ks-group-ks2] peer address 100.1.1.100

# 配置KS发送报文的源地址为200.2.2.200。

[KS2-gdoi-ks-group-ks2]source address 200.2.2.200

# 配置本端优先级为100。

[KS2-gdoi-ks-group-ks2] local priority 100

# 开启冗余备份功能。

[KS2-gdoi-ks-group-ks2] redundancy enable

(3)     配置GM 1

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM1> system-view

[GM1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM1-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证算法为SHA1。

[GM1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM1-ike-proposal-1] dh group2

[GM1-ike-proposal-1] quit

# 创建IKE keychain,名称为keychain1。

[GM1] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM1-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM1-ike-keychain-keychain1] quit

# 创建IKE keychain,名称为keychain2。

[GM1] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM1-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM1-ike-keychain-keychain2] quit

# 创建并配置IKE profile,名称为profile1。

[GM1] ike profile profile1

[GM1-ike-profile-profile1] proposal 1

[GM1-ike-profile-profile1] keychain keychain1

[GM1-ike-profile-profile1] keychain keychain2

[GM1-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM1-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM1-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM1] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM1-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM1-gdoi-gm-group-1] server address 100.1.1.100

[GM1-gdoi-gm-group-1] server address 200.2.2.200

[GM1-gdoi-gm-group-1] quit

# 创建GDOI类型的IPsec安全策略1。

[GM1] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM1-ipsec-policy-gdoi-map-1] group 1

[GM1-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/1/1上应用IPsec安全策略map。

[GM1] interface gigabitethernet 2/1/1

[GM1-GigabitEthernet2/1/1] ipsec apply policy map

[GM1-GigabitEthernet2/1/1] quit

(4)     配置GM 2

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM2> system-view

[GM2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM2-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证为SHA1。

[GM2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM2-ike-proposal-1] dh group2

[GM2-ike-proposal-1] quit

# 创建IKE keychain,名称为keychain1。

[GM2] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM2-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM2-ike-keychain-keychain1] quit

# 创建IKE keychain,名称为keychain2。

[GM2] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM2-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM2-ike-keychain-keychain2] quit

# 创建并配置IKE profile,名称为profile1。

[GM2] ike profile profile1

[GM2-ike-profile-profile1] proposal 1

[GM2-ike-profile-profile1] keychain keychain1

[GM2-ike-profile-profile1] keychain keychain2

[GM2-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM2-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM2-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM2] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM2-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM2-gdoi-gm-group-1] server address 100.1.1.100

[GM2-gdoi-gm-group-1] server address 200.2.2.200

[GM2-gdoi-group-1] quit

# 创建GDOI类型IPsec安全策略1。

[GM2] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM2-ipsec-policy-gdoi-map-1] group 1

[GM2-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/1/1上应用IPsec安全策略map。

[GM2] interface gigabitethernet 2/1/1

[GM2-GigabitEthernet2/1/1] ipsec apply policy map

[GM2-GigabitEthernet2/1/1] quit

(5)     配置GM 3

# 配置各接口的IP地址,此处略。

# 创建IKE提议1。

<GM3> system-view

[GM3] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM3-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[GM3-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM3-ike-proposal-1] dh group2

[GM3-ike-proposal-1] quit

# 创建IKE keychain,名称为keychain1。

[GM3] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM3-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM3-ike-keychain-keychain1] quit

# 创建IKE keychain,名称为keychain2。

[GM3] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM3-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM3-ike-keychain-keychain2] quit

# 创建并配置IKE profile,名称为profile1。

[GM3] ike profile profile1

[GM3-ike-profile-profile1] proposal 1

[GM3-ike-profile-profile1] keychain keychain1

[GM3-ike-profile-profile1] keychain keychain2

[GM3-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM3-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM3-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM3] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM3-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM3-gdoi-gm-group-1] server address 100.1.1.100

[GM3-gdoi-gm-group-1] server address 200.2.2.200

[GM3-gdoi-gm-group-1] quit

# 创建GDOI类型IPsec安全策略1。

[GM3] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM3-ipsec-policy-gdoi-map-1] group 1

[GM3-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/1/1上应用IPsec安全策略map。

[GM3] interface gigabitethernet 2/1/1

[GM3-GigabitEthernet2/1/1] ipsec apply policy map

[GM3-GigabitEthernet2/1/1] quit

4. 验证配置结果

以上配置完成后,GM 1、GM 2和GM 3分别向KS 1注册。可通过如下显示信息查看到GM 1在IKE协商成功后生成的IKE SA和Rekey SA,其中connection-id为1的SA为IKE SA;connection-id为2的SA为Rekey SA。

[GM1] display ike sa

    Connection-ID  Remote           Flag        DOI

  ----------------------------------------------------------

      1            100.1.1.100      RD          Group

      2            100.1.1.100      RD|RK       Group

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

IKE协商成功后,GM 1获取到IPsec SA。可通过如下显示信息查看到有四组IPsec SA分别用于与不同的组成员之间进行安全通信。

[GM1] display ipsec sa

-------------------------------

Interface: GigabitEthernet2/1/1

-------------------------------

 

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

 

    Current outbound SPI: 801701189 (0x2fc8fd45)

 

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 5

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 20

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 6

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 21

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.3.0/255.255.255.0  port: 0  protocol: ip

 

    Current outbound SPI: 801701189 (0x2fc8fd45)

 

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 7

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 22

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 8

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 23

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

 

    Current outbound SPI: 801701189 (0x2fc8fd45)

 

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 45

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 46

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 43

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 44

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.3.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

 

    Current outbound SPI: 801701189 (0x2fc8fd45)

 

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 24

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 25

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 12

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

 

      SPI: 1611821838 (0x6012730e)

      Connection ID: 13

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

 

GM 1向KS注册成功后,可通过如下显示信息查看到GM 1的注册信息。

[GM1] display gdoi gm

Group name: 1

 

  Group identity             : 12345

  Address family             : IPv4

  Rekeys received            : 1

 

  Group server               : 100.1.1.100

  Group server               : 200.2.2.200 

 

  Group member               : 1.1.1.1

    Registration status      : Registered

    Registered with          : 100.1.1.100

    Re-register in           : 3226 sec

    Succeeded registrations  : 1

    Attempted registrations  : 1

    Last rekey from          : 100.1.1.100

    Last rekey seq num       : 1

    Multicast rekeys received: 1

 

  Allowable rekey cipher     : Any

  Allowable rekey hash       : Any

  Allowable transform        : Any

 

  Rekeys cumulative:

    Total received                  : 1

    Rekeys after latest registration: 1

    Last rekey received for         : 00hr 04min 41sec

 

  ACL downloaded from KS 100.1.1.100:

    rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

    rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

    rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255

    rule 3 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

  KEK:

    Rekey transport type        : Multicast

    Remaining key lifetime      : 86119 sec

    Encryption algorithm        : 3DES-CBC

    Signature algorithm         : RSA

    Signature hash algorithm    : SHA1

    Signature key length        : 1024 bits

 

  TEK:

    SPI                         : 0x2FC8FD45(801701189)

    Transform                   : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

    Remaining key lifetime      : 900 sec

 

    SPI                         : 0x6012730E(1611821838)

    Transform                   : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

    Remaining key lifetime      : 3319 sec

 

以上配置完成后,如果子网10.1.1.0/24与子网10.1.2.0/24之间有报文传输,将分别由GM 1和GM 2进行加密/解密处理。

在KS 1上可以看到GM的注册信息。

<KS1> display gdoi ks members

Group Name: ks1

  Group member ID      : 1.1.1.1

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

 

  Group member ID      : 2.2.2.2

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

 

  Group member ID      : 3.3.3.3

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

类似地,在KS 2上也可以看到所有GM的注册信息。

在KS 1上可以看到与KS 2之间的冗余备份相关信息。

<KS1> display gdoi ks redundancy

Group Name :ks1

  Local address   : 100.1.1.100

  Local version   : 1.0

  Local priority  : 10000

  Local role      : Primary

  Primary address : 100.1.1.100

 

  Sessions:

      Peer address  : 200.2.2.200

      Peer version  : 1.0

      Peer priority : 100

      Peer role     : Secondary

      Peer status   : Ready

在KS 2上可以看到与KS 1之间的冗余备份相关信息。

<KS2> display gdoi ks redundancy

Group Name :ks2

  Local address   : 200.2.2.200

  Local version   : 1.0

  Local priority  : 100

  Local role      : Secondary

  Primary address : 100.1.1.100

 

  Sessions:

      Peer address  : 100.1.1.100

      Peer version  : 1.0

      Peer priority : 10000

      Peer role     : Primary

      Peer status   : Ready

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!