国家 / 地区

12-安全命令参考

12-Group Domain VPN命令

本章节下载  (249.94 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR_Winet/H3C_MSR_810_WiNet/Command/Command_Manual/H3C_MSR_WiNet_CR(V7)-R0605-6W200/12/201911/1244966_30005_0.htm

12-Group Domain VPN命令


1 Group Domain VPN

说明

设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

型号

特性

描述

MSR810-W-WiNet/810-LM-WiNet

Group Domain VPN

不支持

MSR2600-10-X1 -WiNet

支持

MSR2630-WiNet

支持

MSR3600-28-WiNet

支持

MSR830-5BEI-WiNet/830-6EI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/830-10BEI-WiNet

不支持

MSR3610-WiNet/3620-10-WiNet/3620-DP-WiNet/3620-WiNet/3660-WiNet

支持

MSR3610-X1-WiNet

支持

 

1.1  Group Domain VPN配置命令

1.1.1  client anti-replay window

client anti-replay window命令用来配置GDOI GM组的抗重放时间窗口。

undo client anti-replay window命令用来恢复缺省情况。

【命令】

client anti-replay window { sec seconds | msec milliseconds }

undo client anti-replay window

【缺省情况】

未配置GDOI GM组的抗重放时间窗口。

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

sec seconds:抗重放时间窗口大小,取值范围为1~100,单位为秒。

msec milliseconds:抗重放时间窗口大小,取值范围为100~10000,单位为毫秒。

【使用指导】

若配置了GDOI GM组的抗重放时间窗口大小,则以命令行配置为准;若未配置GDOI GM组的抗重放时间窗口大小,则以KS下发的配置为准。

本命令需要与思科的IP-D3P特性配合使用。

【举例】

# 配置GDOI GM组group1的抗重放时间窗口大小为50秒。

<Sysname> system-view

[Sysname] gdoi gm group group1

[Sysname-gdoi-gm-group-group1] client anti-replay window sec 50

【相关命令】

·     display gdoi gm anti-replay

1.1.2  client registration

client registration命令用来指定GM的注册接口,GM通过注册接口向KS发起注册。

undo client registration命令用来恢复缺省情况。

【命令】      

client registration interface interface-type interface-number

undo client registration interface

【缺省情况】

GM使用到达KS地址的路由的出接口作为注册接口向KS注册。

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:注册源接口的接口类型和接口编号。

【使用指导】

缺省情况下,GM使用到达KS地址的路由的出接口的地址作为源地址向KS注册,由于是通过路由选择出接口,所以该接口可能与用于转发数据流量的接口一致,当接口上的数据流量较大时会影响GM和KS之间协议报文的交互,因此可以通过该命令为GM指定一个非转发数据流量的接口作为注册源地址接口。

当 GM向KS发起注册时,则使用接口上的主IPv4地址做为源地址。

指定的注册接口所在的VRF如果不与GM组内任何一个KS所在的VRF相同,则GM注册将会失败。

【举例】

# 在GDOI GM组abc中指定GM的注册接口为GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] client registration interface gigabitethernet 1/0/1

【相关命令】

·     gdoi gm group

1.1.3  client rekey encryption

client rekey encryption命令用来指定GM支持的KEK加密算法。

undo client rekey encryption命令用来恢复缺省情况。

【命令】      

非FIPS模式下:

client rekey encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc } *

undo client rekey encryption

FIPS模式下:

client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

undo client rekey encryption

【缺省情况】

非FIPS模式下:

GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

FIPS模式下:

GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

des-cbc:CBC模式的DES算法,密钥长度为64比特。

3des-cbc:CBC模式的3DES算法,密钥长度为168比特。

aes-cbc-128:CBC模式的AES算法,密钥长度为128比特。

aes-cbc-192:CBC模式的AES算法,密钥长度为192比特。

aes-cbc-256:CBC模式的AES算法,密钥长度为256比特。

【使用指导】

当GM对KEK加密算法强度有一定的要求时,可以通过该命令配置GDOI组允许的KEK加密算法。 GM注册过程中,当KS下发的KEK算法不满足GM的要求时,GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的KEK算法不满足要求时,GM丢弃收到的rekey报文。

【举例】

# 在GDOI GM组abc中指定GM支持的KEK加密算法为aes-cbc-128。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] client rekey encryption aes-cbc-128

【相关命令】

·     gdoi gm group

1.1.4  client transform-sets

client transform-sets命令用来指定GM支持的IPsec安全提议。

undo client transform-sets命令用来恢复缺省情况。

【命令】      

client transform-sets transform-set-name&<1-6>

undo client transform-sets

【缺省情况】

GM支持的IPsec安全提议如下:

·     安全协议:ESP

·     封装模式:隧道模式和传输模式

·     加密算法:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256

·     验证算法:MD5、SHA1

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

transform-set-name&<1-6>:IPsec安全提议名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。

【使用指导】

当GM对IPsec安全提议有一定要求时,可通过该命令配置GDOI组支持的IPsec安全提议。GM注册过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM丢弃收到的Rekey消息。

目前GM仅支持ESP协议,因此不要指定采用了AH协议的IPsec安全提议。如果GM指定的IPsec安全提议中采用了AH协议,则可能会导致GM注册失败。

【举例】

# 在GDOI GM组abc中指定GM支持的IPsec安全提议为gdoi-esp-aes。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] client transform-sets gdoi-esp-aes

【相关命令】

·     gdoi gm group

1.1.5  display gdoi gm

display gdoi gm命令用来显示GDOI GM组的信息,包括GDOI的配置参数、协商参数及注册成功后获取到的安全策略信息。

【命令】

display gdoi gm [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group group-name:显示指定GDOI GM组的相关信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则表示显示所有GDOI GM组的信息。

【举例】

# 显示所有GDOI GM组的信息。

<Sysname> display gdoi gm

Group name: GDOI-GROUP1

 

  Group identity             : 12345

  Address family             : IPv4

  Rekeys received            : 1

 

  Group server               : 90.1.1.1

    VRF name                 : vrf1

  Group server               : 90.1.1.2

 

  Group member               : 80.1.1.1

    VRF name                 : vrf1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 346 sec

    Succeeded registrations  : 1125

    Attempted registrations  : 1133

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

 

  Allowable rekey cipher     : Any

  Allowable rekey hash       : Any

  Allowable transform        : Any

 

  Rekeys cumulative:

    Total received                  : 5

    Rekeys after latest registration: 3

    Last rekey received for         : 00hr 02min 11sec

 

  ACL downloaded from KS 90.1.1.1:

    rule 0 deny udp source-port eq 848 destination-port eq 848

    rule 1 deny ospf

    rule 2 permit icmp

 

  KEK:

    Rekey transport type       : Multicast

    Remaining key lifetime     : 159 sec

    Encryption algorithm       : AES-CBC

    Key size                   : 128

    Signature algorithm        : RSA

    Signature hash algorithm   : SHA1

    Signature key length       : 1024 bits

 

  TEK:

    SPI                        : 0x9AE5951E(2598737182)

    Transform                  : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

    Remaining key lifetime     : 190 sec

 

    SPI                        : 0x12C55CFF(314924287)

    Transform                  : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

    Remaining key lifetime     : 402 sec

 

# 显示指定GDOI GM组的信息。

<Sysname> display gdoi gm group GDOI-GROUP2

Group name: GDOI-GROUP2

 

  Group identity             : 12345

  Address family             : IPv4

  Rekeys received            : 52

 

  Group server               : 90.1.1.1

    VRF name                 : vrf1

  Group server               : keyserver

 

  Group member               : 80.1.1.1

    VRF name                 : vrf1

    Registration status      : Registered

    Registered with          : keyserver(90.1.1.2)

    Re-register in           : 143 sec

    Succeeded registrations  : 10

    Attempted registrations  : 15

    Last rekey from          : 90.1.1.2

    Last rekey seq num       : 13

    Unicast rekeys received  : 10

    Rekey ACKs sent          : 10

 

  Allowable rekey cipher     : Any

  Allowable rekey hash       : Any

  Allowable transform        : Any

 

  Rekeys cumulative:

    Total received                  : 52

    Rekeys after latest registration: 3

    Total rekey ACKs sent           : 23

 

  ACL downloaded from KS 90.1.1.2:

    rule 0 deny udp source-port eq 848 destination-port eq 848

    rule 1 deny ospf

    rule 2 permit icmp

 

  KEK:

    Rekey transport type       : Unicast

    Remaining key lifetime     : 159 sec

    Encryption algorithm       : AES-CBC

    Key size                   : 128

    Signature algorithm        : RSA

    Signature hash algorithm   : SHA1

    Signature key length       : 1024 bits

 

  TEK:

    SPI                        : 0x9AE5951E(2598737182)

    Transform                  : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

    Remaining key lifetime     : 190 sec

 

    SPI                        : 0x12C55CFF(314924287)

    Transform                  : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

    Remaining key lifetime     : 402 sec

 

表1-1 display gdoi gm命令显示信息描述表

字段

描述

Group name

GDOI GM组名称

Group identity

GDOI GM组标识(可以是编号,也可以是IPv4地址),N/A表示没有配置

Address family

该GDOI GM组保护的数据流的地址组(IPv4和IPv6)

Rekeys received

收到Rekey消息的总次数

Group server

GDOI GM组中KS的IP地址或主机名列表,最多16个

VRF name

KS所属的VRF名称,如果KS在公网则不显示该字段

Group member

GM的IP地址

VRF name

GM所属的VRF名称,如果GM在公网则不显示该字段

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

GM注册的KS的IP地址或者主机名,主机名后会显示对应的IP地址

Re-register in

距离下一次重新注册的时间间隔,N/A表示不向KS重新注册

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个KS收到Rekey消息,N/A表示未收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号,N/A表示未收到Rekey消息

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示

Allowable rekey cipher

GM允许接受的Rekey的加密算法,取值为Any表示都接受

Allowable rekey hash

GM允许接受的Rekey的哈希算法,取值为Any表示都接受

Allowable transform

GM允许接受的Transform 方式,取值为Any表示都接受

Rekeys cumulative

Rekey的统计信息

Total received

GM收到Rekey消息的总次数

Rekeys after latest registration

GM最近一次成功注册之后进行的Rekey的次数

Last rekey received for

最近一次Rekey之后密钥的存在时间,N/A表示未收到Rekey消息,仅在组播方式下显示

Total rekey ACKs sent

发送Rekey ACK消息的总次数,仅在单播方式下显示

ACL downloaded from KS 90.1.1.1

从KS90.1.1.1下载的ACL信息

rule 0 deny udp source-port eq 848 destination-port eq 848

源端口为848和目的端口为848的任意地址的UDP报文不需要IPsec保护

rule 1 deny ospf

OSPF协议报文不需要IPsec保护

rule 2 permit icmp

任意地址的ICMP报文需要IPsec保护

KEK

KEK策略信息

Rekey transport type

Rekey报文的传输类型,取值为Multicast和Unicast

Remaining key lifetime

KEK剩余的生命周期,单位为秒

Encrypt algorithm

KEK加密算法

Key size

KEK密钥长度

Signature algorithm

KEK的签名算法

Signature hash algorithm

KEK签名哈希算法

Signature key length

KEK签名密钥长度,单位为位

TEK

TEK策略信息

SPI

IPsec SA的SPI

Transform

Transform列表

Remaining key lifetime

IPsec SA剩余的生命周期,单位为秒

 

1.1.6  display gdoi gm acl

display gdoi gm acl命令用来显示GM的ACL信息。

【命令】

display gdoi gm acl [ download | local ] [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

download:显示GM从KS下载的ACL信息。

local:显示GM本地配置的ACL信息。

group group-name:显示指定GDOI GM组的GM的ACL信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的ACL信息。

【使用指导】

若不指定任何参数,则表示显示GM的所有ACL信息,包括从KS下载的ACL和本地配置的ACL。本地配置的ACL是指IPsec GDOI安全策略中引用的ACL。

【举例】

# 显示所有GM的ACL信息。

<Sysname> display gdoi gm acl

Group name: abc

  ACL downloaded from KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

 

  ACL configured locally:

    IPsec policy name: gdoi-group1

      ACL identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

 

Group Name: 123

  ACL downloaded from KS 12.1.1.100:

rule 1 permit ip source 13.1.1.0 0.0.0.255 destination 13.1.2.0 0.0.0.255

 

Group name: ipv6

  ACL configured locally:

    IPsec policy name: gdoi-group1

      IPv6 ACL identifier: 3001

        rule 0 permit ipv6 source 1::/64 destination 2::/64

 

# 显示GM从KS下载的ACL信息。

<Sysname> display gdoi gm acl download

Group name: abc

  ACL downloaded from KS 12.1.1.100:

    rule 0 permit ip

    rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

# 显示GM本地配置的ACL信息。

<Sysname> display gdoi gm acl local

Group name: abc

  ACL configured locally:

    IPsec policy name: gdoi-group1

      ACL identifier: 3001

        rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

表1-2 display gdoi gm acl命令显示信息描述表

字段

描述

Group name

GDOI GM组名称

ACL downloaded from KS 12.1.1.100

从KS下载的ACL

rule 0 permit ip

IPsec保护任意地址的IP报文

rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255

IPsec保护源地址范围为12.1.1.0/24,目的地址范围为12.1.1.0/24 的IP报文

ACL configured locally

本地配置的ACL

IPsec policy name

IPsec GDOI安全策略的名称

ACL identifier

ACL标识

rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

IPsec不保护源地址范围为10.1.1.0/24,目的地址范围为10.1.1.0/24 的IP报文

 

1.1.7  display gdoi gm anti-replay

display gdoi gm anti-replay命令用来显示GDOI GM组的抗重放时间戳类型和时间窗口大小。

【命令】

display gdoi gm anti-replay [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group group-name:指定GDOI GM组的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,则表示显示所有GDOI GM组的时间戳类型和时间窗口大小。

【举例】

# 显示所有GDOI GM组的时间戳类型和时间窗口大小。

<Sysname> display gdoi gm anti-replay

Group name: abc

  Anti-replay timestamp type         : POSIX-TIME

  Anti-replay window                 : 200.16 ms

表1-3 display gdoi gm anti-replay命令显示信息描述表

字段

描述

Group name

GDOI GM组名

Anti-replay timestamp type

时间戳类型

Anti-replay window

时间窗口大小

 

【相关命令】

·     client d3p window

1.1.8  display gdoi gm ipsec sa

display gdoi gm ipsec sa命令用来显示GM获取的IPsec SA信息。

【命令】

display gdoi gm ipsec sa [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group group-name:显示指定GDOI GM组的GM获取的IPsec SA信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组获取的IPsec SA信息。

【举例】

# 显示所有GM获取的IPsec SA信息。

<Sysname> display gdoi gm ipsec sa

SA created for group abc:

  SPI                    : 0x9AE5951E(2598737182)

  Transform              : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

  Remaining key lifetime : 190 sec

 

  SPI                    : 0x9AE5951F(2598737183)

  Transform              : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

  Remaining key lifetime : 3600 sec

 

SA created for group hh:

  SPI                    : 0xDCC66F7B(3703992187)

  Transform              : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1

  Remaining key lifetime : 280 sec

表1-4 display gdoi gm ipsec sa命令显示信息描述表

字段

描述

SA created for group abc

GDOI GM组abc创建的SA

SPI

IPsec SA的SPI

Transform

Transform列表

Remaining key lifetime

IPsec SA剩余的生命周期,单位为秒

 

1.1.9  display gdoi gm members

display gdoi gm members命令用来显示GM的简要信息。

【命令】

display gdoi gm members [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group group-name:显示指定GDOI GM组的GM的简要信息。group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的简要信息。

【举例】

# 显示所有GM的简要信息。

<Sysname> display gdoi gm members

Group member information for group GDOI-GROUP1:

 

  Group member               : 80.1.1.1

    VRF name                 : vrf1

    Registration status      : Registered

    Registered with          : 90.1.1.1

    Re-register in           : 308 sec

    Succeeded registrations  : 1131

    Attempted registrations  : 1139

    Last rekey from          : 90.1.1.1

    Last rekey seq num       : 3

    Multicast rekeys received: 1

表1-5 display gdoi gm members命令显示信息描述表

字段

描述

Group member information for group GDOI-GROUP1

组GDOI-GROUP1的GM的简要信息

Group member

GM的IP地址

VRF name

GM所属的VRF名称,如果GM在公网则不显示该字段

Registration status

注册状态,取值包括Registered、Registering和Not registered

Registered with

GM注册的KS地址或者主机名,主机名后会显示对应的IP地址

Re-register in

距离下一次重新注册的时间间隔

Succeeded registrations

成功注册的次数

Attempted registrations

尝试注册的次数

Last rekey from

上次从哪个KS收到Rekey消息,N/A表示未收到Rekey消息

Last rekey seq num

上次接收到的Rekey消息的序号,N/A表示未收到Rekey消息

Multicast rekeys received

接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示

Unicast rekeys received

接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示

Rekey ACKs sent

发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示

 

1.1.10  display gdoi gm pubkey

display gdoi gm pubkey命令用来显示GM接收到的公钥信息。

【命令】

display gdoi gm pubkey [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group group-name:显示指定GDOI GM组的GM接收到的公钥信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组接收到的公钥信息。

【举例】

# 显示GM接收到的公钥信息。

<Sysname> display gdoi gm pubkey

Group name: GDOI-GROUP1

  KS address: 90.1.1.1

  Conn-ID: 2044    My cookie: 7C9CB398    His cookie: 4E54C7EA

  Key data:

    30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00BB0F5B

    6B5788E7 6220C0C1 C4BCAAD7 D81322FF 7DB9436E 46E308DA D589243B 64946D2D

    FC502F64 7F38DDF5 E999F8F7 4A247508 9AF7765B F0B080AC 11CC08E4 B48A976F

    D3721818 B66201F0 BD1987BE DD28D533 C38E7D42 939D2B71 3FAAA17A 128DF862

    E45C531D A0C8593E D7D602E9 7A7E675A 94AF6B25 2972CF85 94E601BD 19020301

    0001

表1-6 display gdoi gm pubkey命令显示信息描述表

字段

描述

Group name

GDOI GM组名称

KS address

KS的地址,取值为IPv4类型或者IPv6类型

Conn-ID

标识Rekey SA的ID

My cookie

Rekey SA的本端cookie

His cookie

Rekey SA的对端cookie

Key data

公钥数据

 

1.1.11  display gdoi gm rekey

display gdoi gm rekey命令用来显示GM的Rekey信息。

【命令】

display gdoi gm rekey [ verbose ] [ group group-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示GM Rekey的详细信息。若不指定该参数,则显示GM Rekey的简要信息。

group group-name:显示指定GDOI GM组的GM的Rekey信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的Rekey信息。

【举例】

# 显示所有GM的Rekey的简要信息。

<Sysname> display gdoi gm rekey

Group name: abc (Unicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Number of rekey ACKs sent                    : 105

 

Group name: 123 (Multicast)

  Number of rekeys received (cumulative)       : 9

  Number of rekeys received after registration : 9

  Multicast destination address                : 239.192.1.190

 

# 显示所有GM的Rekey的详细信息。

<Sysname> display gdoi gm rekey verbose

Group name: GDOI-GROUP1 (Multicast)

  Number of rekeys received (cumulative)       : 1904

  Number of rekeys received after registration : 889

  Multicast destination address                : 239.192.1.190

 

Rekey (KEK) SA information:

            Destination     Source            Conn-ID  My cookie  His cookie

New       : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Current   : 239.192.1.190   90.1.1.1          9646     14406D26   8C58E504

Previous  : ---             ---               ---      ---        ---

 

表1-7 display gdoi gm rekey命令显示信息描述表

字段

描述

Group name

GDOI GM组名称

Unicast

密钥采用单播方式更新

Multicast

密钥采用组播方式更新

Number of rekeys received (cumulative)

GM累计接收到的Rekey消息的次数

Number of rekeys received after registration

GM注册成功后Rekey的次数

Number of rekey ACKs sent

发送Rekey ACK消息的次数

Multicast destination address

发送Rekey消息的组播目的地址

Rekey (KEK) SA information

Rekey (KEK) SA信息,即保护密钥更新消息的SA

Destination

Rekey SA的目的IP地址

Source

Rekey SA的源IP地址

Conn-ID

标识Rekey SA的ID

My cookie

Rekey SA的本端cookie

His cookie

Rekey SA的对端cookie

New

新的Rekey SA信息

Current

当前正在使用的Rekey SA信息

Previous

上一次使用的Rekey SA信息

 

1.1.12  gdoi gm group

gdoi gm group命令用来创建一个GDOI GM组,并进入GDOI GM组视图。如果指定的GDOI GM组已经存在,则直接进入GDOI GM组视图。

undo gdoi gm group命令用来删除指定的GDOI GM组。

【命令】

gdoi gm group [ ipv6 ] group-name

undo gdoi gm group [ ipv6 ] group-name

【缺省情况】

不存在GDOI GM组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-name:GDOI GM组名称,为1~63个字符的字符串,不区分大小写。

ipv6:IPv6类型的GDOI GM组。不指定该参数,则表示IPv4类型的GDOI GM组。

【使用指导】

IPv4的GDOI GM组与IPv6的GDOI GM组采用同一个名称空间,即IPv4的GDOI GM组和IPv6的GDOI GM组不能使用相同的名称。

【举例】

# 创建一个名称为abc的GDOI GM组,并进入GDOI GM组视图。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc]

1.1.13  group

group命令用来指定IPsec GDOI安全策略引用的GDOI GM组。

undo group命令用来恢复缺省情况。

【命令】

group group-name

undo group

【缺省情况】

IPsec GDOI安全策略未引用任何GDOI GM组。

【视图】

IPsec GDOI安全策略视图

【缺省用户角色】

network-admin

【参数】

group-name:指定GDOI GM组的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

一个IPsec GDOI安全策略只能引用一个GDOI GM组,最后一次配置生效。

同一个GDOI GM组可以被不同名称的IPsec GDOI安全策略引用,但不能被同一个名称、不同顺序号的IPsec GDOI安全策略引用。

IPv6的IPsec GDOI安全策略只能引用IPv6的GDOI GM组。IPv4的IPsec GDOI安全策略只能引用IPv4的GDOI GM组。

【举例】

# 配置名字为map的IPsec安全策略,顺序号为1,采用GDOI方式建立安全联盟。

<Sysname> system-view

[Sysname] ipsec policy map 1 gdoi

# 指定IPsec GDOI安全策略引用GDOI组abc。

[Sysname-ipsec-policy-gdoi-map-1] group abc

【相关命令】

·     gdoi gm group

·     ipsec { ipv6-policy | policy }

1.1.14  identity

identity命令用来配置GDOI GM组的组ID。

undo identity命令用来恢复缺省情况。

【命令】

identity { address ip-address | number number }

undo identity

【缺省情况】

未定义GDOI GM组的组ID。

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

ip-address:用于标识GDOI GM组的IP地址,可以为任意合法的IPv4地址。

number:GDOI GM组的编号,取值范围为0~2147483647。

【使用指导】

多次执行本命令,最后一次执行的命令生效。

需要互通的各个GM设备,其GDOI GM组ID必须完全一致。

【举例】

# 配置GDOI GM组abc的组ID为编号123456。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] identity number 123456

# 配置GDOI GM组def的组ID为IP地址202.202.202.10。

<Sysname> system-view

[Sysname] gdoi group def

[Sysname-gdoi-gm-group-def] identity address 202.202.202.10

1.1.15  reset gdoi gm

reset gdoi gm命令用来清除GM的GDOI信息,并发起注册。

【命令】

reset gdoi gm [ group group-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

group group-name:清除指定GDOI GM组的GDOI信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则表示清除所有GM的GDOI信息。

【使用指导】

本命令将会清除GM从KS下载的信息,包括IKE SA 、Rekey SA、IPsec SA和ACL,并且还会触发GM重新向KS进行注册。

【举例】

# 删除所有GM的GDOI信息,并发起注册。

<Sysname> reset gdoi gm

# 删除名称为abc的GDOI GM组的GDOI信息,并发起注册。

<Sysname> reset gdoi gm group abc

1.1.16  server address

server address命令用来指定KS(Key Server,密钥服务器)地址。

undo server address命令用来删除指定的KS地址。

【命令】

server address host [ vrf vrf-name ]

undo server address host [ vrf vrf-name ]

【缺省情况】

未指定KS地址。

【视图】

GDOI GM组视图

【缺省用户角色】

network-admin

【参数】

host:KS的IP地址或主机名称,为1~253个字符的字符串,区分大小写。

vrf vrf-name:指定地址所属的VRF。vpn-name表示VRF名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该地址属于公网。

【使用指导】

必须在GDOI GM组中指定要注册的KS地址,否则,组成员的GDOI GM组配置不完整。

一个GDOI GM组中最多允许同时指定16个KS,其使用的优先级按照配置先后顺序依次降低。GM将从第一个配置的KS地址开始向其发起注册,如果无法成功向当前的KS地址注册,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。

【举例】

# 为GDOI GM组abc指定两个KS的IP地址,分别为3.3.3.3和3.3.3.4。

<Sysname> system-view

[Sysname] gdoi gm group abc

[Sysname-gdoi-gm-group-abc] server address 3.3.3.3

[Sysname-gdoi-gm-group-abc] server address 3.3.3.4

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!