- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-H3C MSR系列路由器 国盾量子加密配置案例
本章节下载 (777.08 KB)
中低端路由器
国盾量子加密典型配置
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍配置国盾量子加密特性。
设备开启国盾量子加密功能后,会将内部计算的对称密钥更换为从国盾量子服务器获取到的对称密钥,对需要IPsec保护的数据进行加密保护,进一步提升IPsec业务的安全性。
开启国盾量子加密功能的同时,将进入IKE GDQUANTUM视图,该视图用于配置国盾量子服务器的IP地址和监听的TCP端口号、国盾量子服务器为设备分配的唯一入网标识和身份认证密钥,以及国盾量子密钥的解密密钥。
设备开启国盾量子加密功能进行IPsec加密保护的过程如下:
(1) 连接国盾量子服务器:在设备上配置国盾量子加密功能后,设备将与指定的国盾量子服务器建立TCP连接。
(2) 登录国盾量子服务器:建立TCP连接后,设备将向国盾量子服务器发送登录请求,并携带唯一入网标识和身份认证密钥,只有上述参数验证无误后,才能成功登录国盾量子服务器。
(3) IKE一阶段协商:成功登录国盾量子服务器后,设备与对端进行IKE一阶段协商,并向国盾量子服务器发出密钥申请。
(4) 获取国盾量子密钥:国盾量子服务器将经过加密的量子密钥分配给设备。设备通过配置的解密密钥进行解密,并得到供IPsec使用的量子密钥。
(5) IPsec协商:IKE一阶段协商完成,建立一个IKE SA。设备使用IKE SA为IPsec协商IPsec SA,使用获取到的量子密钥对IP报文进行加密保护。
本文档适用于使用Comware V7软件版本的MSR3610-X1、MSR3620-X1和MSR3640-X1-HI路由器,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
· 国盾量子加密特性仅支持H3C设备之间的互通,不支持与其他厂商设备对接使用。
· 国盾量子加密功能只支持IKEv1主模式。
· 不支持在非缺省vSystem下启用国盾量子加密功能。
在Device A和Device B之间建立一个IPsec隧道,分别使用国盾量子服务器KM1、KM2提供的国盾量子密钥,对Host A所在的子网(10.1.1.0/24)与Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。
· Device A和Device B之间采用IKE协商方式建立IPsec SA。
· Device A和Device B登录国盾量子服务器,获取供IPsec使用的量子密钥。
· 使用缺省的IKE提议。
图1 国盾量子加密配置组网图
为实现如上组网需求,可采用如下配置思路实现:
(1) 为了在Device A和Device B之间建立IPsec连接,需要完成IKE和IPsec相关配置。
(2) 在运维终端上安装虚拟机,在虚拟机上部署两台国盾量子服务器KM1和KM2,配置KM1和KM2的IP地址、端口号、为设备分配的唯一入网标识和身份认证密钥,以及国盾量子密钥的解密密钥。
(3) 在Device A和Device B上开启国盾量子加密功能,分别连接国盾量子服务器KM1和KM2,使得Device A和Device B获取供IPsec使用的量子密钥。
本举例是在Comware V700R001B64D081版本上进行配置和验证的。
建议获取国盾量子密钥的设备与国盾量子服务器均部署在同一个局域网内。
本例中,两台国盾量子服务器KM1、KM2安装在一个虚拟机上,配置国盾量子服务器之前,请联系国盾量子厂商获取安装虚拟机所需的镜像文件,以及登录国盾量子服务器的用户名和口令。本配置中使用的镜像文件名称为CentOS 64位。
(1) 在与设备所在同一局域网内的运维终端上安装VMware workstation软件。本次配置是以VMware workstation 12 Pro为例,该软件为开源工具,需要自行下载。
(2) 运行VMware workstation软件,如图2所示,点击<打开虚拟机>。
(3) 打开虚拟机之后,出现如图3所示的窗口,选择已经提前保存在本地的国盾虚拟机镜像文件“CentOS 64位”,单击<打开>按钮。
(4) 打开镜像文件之后,VMware workstation软件界面将出现新窗口“CentOS 64位”,在[库/我的计算机]会出现一台新的虚拟机“CentOS 64位”,表示虚拟机已加载成功。如图4所示,单击<开启此虚拟机>。
(5) 开启虚拟机之后,出现如图5所示的命令行交互界面,请在该界面中按照提示输入国盾量子服务器的用户名和口令进行登录,本次配置以用户名root为例。
(6) 点击[编辑]菜单,选择[虚拟网络编辑器]选项,随后弹出[虚拟网络编辑器]界面,如图6所示。在虚拟网络编辑器界面进行如下配置:
a. 选择类型为“桥接模式”的虚拟网卡“VMnet0”。
b. 在VMnet信息区段,勾选“桥接模式(将虚拟机直接连接到外部网络)”,并选择桥接到与Device A、Device B网络互通的物理网卡名称。本例中为“Inter(R) Ethernet I210-T1 GbE NIC”。
(7) 如图7所示,鼠标右键[库/我的计算机]里的“CentOS 64位”,选择[设置]选项,进入[虚拟机设置]页面。
(8) 进入[虚拟机设置]页面后,如图8所示,在虚拟机设置页面进行如下配置:
a. 点击“桥接模式(自动)”的网络适配器,在网络连接区段里勾选“自定义(U):特定虚拟网络”,选择虚拟网卡“VMnet0(桥接模式)”。
b. 点击<高级(V)…>按钮,弹出[网络适配器高级设置]界面,通过查看[MAC地址(M)]信息能得知当前VMnet0的MAC地址。
c. 将VMnet0的MAC地址记录在本地,本例中VMnet0的MAC地址为00:0C:29:8D:0A:E5,具体以实际情况为准。
(9) 返回到CentOS 64位的虚拟机命令行交互界面,通过命令ip addr查看虚拟机的IP地址,能看到接口eth8的MAC地址为00:0C:29:8D:0A:E5。
[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:8d:0a:e5 brd ff:ff:ff:ff:ff:ff
inet 192.168.101.155/24 brd 192.168.101.255 scope global eth8
inet6 2001::4:20c:29ff:fe8d:ae5/64 scope global dynamic
valid_lft 2591773sec preferred_lft 604573sec
inet6 fe80::20c:29ff:fe8d:ae5/64 scope link
valid_lft forever preferred_lft forever
3: eth7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:ef brd ff:ff:ff:ff:ff:ff
4: eth9: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:f9 brd ff:ff:ff:ff:ff:ff
(10) 修改接口eth8的网络配置文件。
# 查看网络配置文件。
[root@localhost ~]# cd /etc/sysconfig/network-scripts
[root@localhost network-scripts]# ls
ifcfg-eth0 ifdown-ipv6 ifup ifup-plip ifup-wireless
ifcfg-eth8 ifdown-isdn ifup-aliases ifup-plusb init.ipv6-global
ifcfg-lo ifdown-post ifup-bnep ifup-post net.hotplug
ifdown ifdown-ppp ifup-eth ifup-ppp network-functions
ifdown-bnep ifdown-routes ifup-ippp ifup-routes network-functions-ipv6
ifdown-eth ifdown-sit ifup-ipv6 ifup-sit
ifdown-ippp ifdown-tunnel ifup-isdn ifup-tunnel
[root@localhost network-scripts]#
# 通过命令vim编辑ifcfg-eth8文件。
[root@localhost network-scripts]# vim ifcfg-eth8
# 对打开的ifcfg-eth8文件进行如下配置操作。
a. 按键盘“i”键切换到插入状态,通过上下左右移动光标对打印出来的配置信息字段进行编辑。
b. 将BROADCAST字段设置为192.168.2.255,IPADDR字段设置为192.168.2.233。
c. 按键盘“ESC”键退出插入状态。
d. 输入英文冒号“:”和“wq!”进行保存并退出编辑状态。
DEVICE=eth8
TYPE=Ethernet
BROADCAST=192.168.2.255
ONBOOT=yes
NAME=VMnet0
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.2.233
NETMASK=255.255.255.0
~
~
(11) 通过命令service network restrat命令重启网络服务。
[root@localhost network-scripts]# service network restart
(12) 通过命令ip addr查看虚拟机的IP地址,能看到接口eht8的地址已更改为192.168.2.233/24。
[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:8d:0a:e5 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.233/24 brd 192.168.2.255 scope global eth8
inet6 2001::4:20c:29ff:fe8d:ae5/64 scope global dynamic
valid_lft 2591773sec preferred_lft 604573sec
inet6 fe80::20c:29ff:fe8d:ae5/64 scope link
valid_lft forever preferred_lft forever
3: eth7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:ef brd ff:ff:ff:ff:ff:ff
4: eth9: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:f9 brd ff:ff:ff:ff:ff:ff
(1) 修改国盾量子服务器KM1的配置文件。
# 切换路径到usr/local/KeyExportClient/exec。
[root@localhost ~]# cd /usr/local/KeyExportClient/exec
# 通过命令vim编辑配置文件KOSConfig.xml。
[root@localhost exec]# vim KOSConfig.xml
# 对打开的KOSConfig.xml文件进行如下配置操作。
a. 按键盘“i”键切换到插入状态,通过上下左右移动光标对打印出来的配置信息字段进行编辑。
b. 通过查看<LocalDev port=”8013”>能看到国盾量子服务器KM1监听的TCP端口号为8013。
c. 将<KeyTerminal>的ip地址设置为Device A的GE1/0/1接口的IP地址192.168.2.89。
d. 通过查看<KeyTerminal>字段能看到国盾量子服务器KM1分配给Device A的唯一入网标识为341300002,身份认证密钥为66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0,国盾量子密钥的解密密钥为66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
e. 将国盾量子服务器KM1分配给Device A的唯一入网标识和身份认证密钥、国盾量子密钥解密密钥记录在本地。
f. 按键盘“ESC”键退出插入状态
g. 输入英文冒号“:”和“wq!”进行保存并退出编辑状态。
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<KM version="6.0">
<KOS>
<LocalDevID>340300001</LocalDevID>
<PeerDevID>340400001</PeerDevID>
<!-- 监听的TCP端口号 (基本不需更改-重启生效)-->
<LocalDev port="8013"/>
<!--KeyCompare节点(基本不需更改-及时生效):密钥输出比对参数
max:最大比较次数。(消息比对过程中,如果消息比较次数超过设定值,就不再进行比对)
interval:发送比对信息的间隔(单位:秒)
-->
<KeyCompare max="5" interval="4"/>
<!--等待kss密钥的超时时间,单位毫秒(基本不需更改-及时生效)-->
<KeyStoreTimeOut val="5000"/>
<!-- KeyTerminal节点(及时生效):用于配置当前量子网关下面挂的密钥应用终端的信息。
id:消息发送端唯一标识,存在多个密钥应用终端时,ID不能重复;
ip:密钥应用终端ip地址;
TotalKeySize:可输出密钥总量 有效值范围0~2147483647(单位:字节;无限制时填0)
SessionTime:会话有效时间 有效值范围0~65535(单位:分钟;无限制时填0)
OutSpeed:密钥输出速率 有效值范围0~9223372036854775807(单位:字节/秒;无限制时填0)
-->
<KeyTerminal>
<terminal id="341300002" ip="192.168.2.89" TotalKeySize="0" SessionTime = "0" OutSpeed="0"/>
</KeyTerminal>
<!-- BlackList黑名单,输出权限控制的功能,如果对端的ID在此黑名单中,则禁止获取密钥,否则正常获取密钥,BlackList不存在或为空时,不具备输出权限控制的功能(修改后立即生效)
ID:对端密钥管理机的id
-->
<!--
<BlackList>
<PeerDevID ID="340300002"/>
</BlackList>
-->
<!-- AuthCode节点:密钥应用设备进行身份认证时使用的密钥,在模拟器中,所有的设备使用同一个AuthCode。(修改后立即生效)-->
<AuthCode val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- PreKey节点:密钥加密输出时候使用的预置密钥,可以设置为64字节长度或者32个字节长度。(修改后立即生效)-->
<PreKey val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- 若存在双机热备环境,KOSBackDevInfo节点用于配置另外一台密钥管理机密码板的信息
ip:配置为另外一台用于备份的密钥管理机机,密码板直连线网卡的ip地址;
enabled:表示是否启用此配置<只能配置为1或0。0:表示禁用;1:表示启用。当配置为禁止时,KOSBackDevInfo整个节点信息均无效,ip地址也可以随意配置
当存在双机热备环境,且准备启用密钥输出热备功能时,需要配置为1;其他情况均配置为0
-->
<KOSBackDevInfo ip="127.0.0.1" enabled="0"/>
</KOS>
</KM>
~
~
(2) 修改国盾量子服务器KM2的配置文件。
# 切换路径到usr/local/KeyExportServer/exec。
[root@localhost ~]# cd /usr/local/KeyExportServer/exec
# 通过命令vim编辑配置文件KOSConfig.xml。
[root@localhost exec]# vim KOSConfig.xml
# 对打开的KOSConfig.xml文件进行如下配置操作。
a. 按键盘“i”键切换到插入状态,通过上下左右移动光标对打印出来的配置信息字段进行编辑。
b. 通过查看<LocalDev port=”8015”>能看到国盾量子服务器KM2监听的TCP端口号为8015。
c. 将<KeyTerminal>的ip地址设置为Device B的GE1/0/1接口的IP地址192.168.2.90。
d. 通过查看<KeyTerminal>字段能看到国盾量子服务器KM2分配给Device B的唯一入网标识为341300001,身份认证密钥为66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0,国盾量子密钥的解密密钥为66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
e. 将国盾量子服务器KM2分配给Device B的唯一入网标识和身份认证密钥、国盾量子密钥解密密钥记录在本地。
f. 按键盘“ESC”键退出插入状态。
g. 输入英文冒号“:”和“wq!”进行保存并退出编辑状态。
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<KM version="6.0">
<KOS>
<LocalDevID>340400001</LocalDevID>
<PeerDevID>340300001</PeerDevID>
<!-- 监听的TCP端口号 (基本不需更改-重启生效)-->
<LocalDev port="8015"/>
<!--KeyCompare节点(基本不需更改-及时生效):密钥输出比对参数
max:最大比较次数。(消息比对过程中,如果消息比较次数超过设定值,就不再进行比对)
interval:发送比对信息的间隔(单位:秒)
-->
<KeyCompare max="5" interval="4"/>
<!--等待kss密钥的超时时间,单位毫秒(基本不需更改-及时生效)-->
<KeyStoreTimeOut val="5000"/>
<!-- KeyTerminal节点(及时生效):用于配置当前量子网关下面挂的密钥应用终端的信息。
id:消息发送端唯一标识,存在多个密钥应用终端时,ID不能重复;
ip:密钥应用终端ip地址;
TotalKeySize:可输出密钥总量 有效值范围0~2147483647(单位:字节;无限制时填0)
SessionTime:会话有效时间 有效值范围0~65535(单位:分钟;无限制时填0)
OutSpeed:密钥输出速率 有效值范围0~9223372036854775807(单位:字节/秒;无限制时填0)
-->
<KeyTerminal>
<terminal id="341300001" ip="192.168.2.90" TotalKeySize="0" SessionTime = "0" OutSpeed="0"/>
</KeyTerminal>
<!-- BlackList黑名单,输出权限控制的功能,如果对端的ID在此黑名单中,则禁止获取密钥,否则正常获取密钥,BlackList不存在或为空时,不具备输出权限控制的功能(修改后立即生效)
ID:对端密钥管理机的id
-->
<!--
<BlackList>
<PeerDevID ID="340300002"/>
</BlackList>
-->
<!-- AuthCode节点:密钥应用设备进行身份认证时使用的密钥,在模拟器中,所有的设备使用同一个AuthCode。(修改后立即生效)-->
<AuthCode val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- PreKey节点:密钥加密输出时候使用的预置密钥,可以设置为64字节长度或者32个字节长度。(修改后立即生效)-->
<PreKey val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- 若存在双机热备环境,KOSBackDevInfo节点用于配置另外一台密钥管理机密码板的信息
ip:配置为另外一台用于备份的密钥管理机机,密码板直连线网卡的ip地址;
enabled:表示是否启用此配置<只能配置为1或0。0:表示禁用;1:表示启用。当配置为禁止时,KOSBackDevInfo整个节点信息均无效,ip地址也可以随意配置
当存在双机热备环境,且准备启用密钥输出热备功能时,需要配置为1;其他情况均配置为0
-->
<KOSBackDevInfo ip="127.0.0.1" enabled="0"/>
</KOS>
</KM>
~
~
(1) 请根据组网图中标示的接口IP地址,配置各接口的IP地址,具体配置步骤略。
(2) 配置IPv4高级ACL 3001,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。
<DeviceA> system-view
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3001] quit
(3) 配置IPsec安全策略
# 创建IPsec安全提议tran1。
[DeviceA] ipsec transform-set tran1
# 配置安全协议对IP报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[DeviceA-ipsec-transform-set-tran1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceA-ipsec-transform-set-tran1] quit
# 创建IKE keychain,名称为keychain1。
[DeviceA] ike keychain keychain1
# 配置与IP地址为2.2.2.2的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456TESTplat&!
[DeviceA-ike-keychain-keychain1] quit
# 创建IKE profile,名称为profile1。
[DeviceA] ike profile profile1
# 指定引用的IKE keychain为keychain1。
[DeviceA-ike-profile-profile1] keychain keychain1
# 配置本端的身份信息为IP地址2.2.2.1。
[DeviceA-ike-profile-profile1] local-identity address 2.2.2.1
# 配置匹配对端身份的规则为IP地址2.2.2.2/24。
[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ike-profile-profile1] quit
# 创建一条IKE协商方式的IPsec安全策略,名称为map1,顺序号为10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置IPsec隧道的对端IP地址为2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用ACL 3001。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3001
# 指定引用的安全提议为tran1。
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用的IKE profile为profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口GigabitEthernet1/0/3上应用IPsec安全策略map1。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ipsec apply policy map1
[DeviceA-GigabitEthernet1/0/3] quit
(4) 配置到Host B所在子网的静态路由。2.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(5) 配置国盾量子加密功能
# 开启国盾量子加密功能,并进入IKE GDQUANTUM视图。
[DeviceA] ike gd-quantum
# 配置设备唯一入网标识341300002。
[DeviceA-ike-gdquantum] app-dev-info 341300002
# 指定国盾量子服务器的IP地址192.168.2.233和端口号8013。
[DeviceA-ike-gdquantum] server-address 192.168.2.233 port 8013
# 配置登录国盾量子服务器的身份认证密钥。
[DeviceA-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
# 配置国盾量子密钥的解密密钥。
[DeviceA-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
[DeviceA-ike-gdquantum] quit
[DeviceA]display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.89 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.2.0 24 2.2.2.2
#
acl advanced 3001
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.1
remote-address 2.2.2.2
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.1
match remote identity address 2.2.2.2 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.2 255.255.255.0 key cipher $c$3$edgzoC7/3sdhovx1
2qIB86DoCEdEwzCst2D1dmcw8tlhdOo=
#
ike gd-quantum
app-dev-info 341300002
auth-key cipher $c$3$Hw4EB96I+pXCZe1I1P9pTaDfTHHd6K8UdH2MKv/UmZLf1LgWmKGKiGR+Dt
lY7wCqjOe5kPLQ9V+QFQHxBm2IMZkRyuQQFdzskGk09YxpEqI/qm8=
decrypt-quantum-key cipher $c$3$jPoe6G6dM73DNdXQxyAUeySCZjNamtBwppdZpycWUQSagAN
MBM1au5cR+aLfsbQD8hS3tcYqev4Wh6BkFpJe4VlTsgBK4N1JeJdqhIw+EGAYKJA=
server-address 192.168.2.233
#
return
(1) 配置各接口的IP地址,具体略。
(2) 配置IPv4高级ACL 3001,定义要保护由子网10.1.2.0/24去往子网10.1.1.0/24的数据流。
<DeviceB> system-view
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[DeviceB-acl-ipv4-adv-3001] quit
(3) 配置IPsec安全策略
# 创建IPsec安全提议tran1。
[DeviceB] ipsec transform-set tran1
# 配置安全协议对IP报文的封装形式为隧道模式。
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[DeviceB-ipsec-transform-set-tran1] protocol esp
# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
# 创建IKE keychain,名称为keychain1。
[DeviceB]ike keychain keychain1
# 配置与IP地址为2.2.2.1的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceB-ike-keychain-keychain1] pre-shared-key address 2.2.2.1 255.255.255.0 key simple 123456TESTplat&!
[DeviceB-ike-keychain-keychain1] quit
# 创建IKE profile,名称为profile1。
[DeviceB] ike profile profile1
# 指定引用的IKE keychain为keychain1。
[DeviceB-ike-profile-profile1] keychain keychain1
# 配置本端的身份信息为IP地址2.2.2.2。
[DeviceB-ike-profile-profile1] local-identity address 2.2.2.2
# 配置匹配对端身份的规则为IP地址2.2.2.1/24。
[DeviceB-ike-profile-profile1] match remote identity address 2.2.2.1 255.255.255.0
[DeviceB-ike-profile-profile1] quit
# 创建一条IKE协商方式的IPsec安全策略,名称为use1,顺序号为10。
[DeviceB] ipsec policy use1 10 isakmp
# 配置IPsec隧道的对端IP地址为2.2.2.1。
[DeviceB-ipsec-policy-isakmp-use1-10] remote-address 2.2.2.1
# 指定引用ACL 3001。
[DeviceB-ipsec-policy-isakmp-use1-10] security acl 3001
# 指定引用的安全提议为tran1。
[DeviceB-ipsec-policy-isakmp-use1-10] transform-set tran1
# 指定引用的IKE profile为profile1。
[DeviceB-ipsec-policy-isakmp-use1-10] ike-profile profile1
[DeviceB-ipsec-policy-isakmp-use1-10] quit
# 在接口GigabitEthernet1/0/3上应用IPsec安全策略use1。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ipsec apply policy use1
(4) 配置到Host A所在子网的静态路由。2.2.2.1为本例中的直连下一跳地址,实际使用中请以具体组网情况为准。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1
(5) 配置国盾量子加密功能
# 开启国盾量子加密功能,并进入IKE GDQUANTUM视图。
<DeviceB> system-view
[DeviceB] ike gd-quantum
# 配置设备唯一入网标识341300001。
[DeviceB-ike-gdquantum] app-dev-info 341300001
# 指定国盾量子服务器的IP地址192.168.2.233和端口号8015。
[DeviceB-ike-gdquantum] server-address 192.168.2.233 port 8015
# 配置登录国盾量子服务器的身份认证密钥。
[DeviceB-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
# 配置国盾量子密钥的解密密钥。
[DeviceB-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
[DeviceB-ike-gdquantum] quit
[DeviceB]display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.90 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.2 255.255.255.0
ipsec apply policy use1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.1.0 24 2.2.2.1
#
acl advanced 3001
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy use1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.2
remote-address 2.2.2.1
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.2
match remote identity address 2.2.2.1 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c$3$X4+kpV4rxwmf3BG7
M6RGJRHuii2WD3qJ2EdyOy5JZMTzn+o=
#
ike gd-quantum
app-dev-info 341300001
auth-key cipher $c$3$mQu4HBwPOSlwaLl5M7oFS9vaJfeDPY/buDHQSnWuxvENjocZrnisTRljzY
TlsDdm6wrvdhl7wUlIJxhDnR/oM+Wt1nrhS7hw+IZk9RWFGZidysQ=
decrypt-quantum-key cipher $c$3$Fzk7c5uFE8nPJPJYqJnlzvCM1k2KzCRl4Hcu+j+YAzHQFws
+6V7y2Ll10VdMYy9572GnIkMDcMiPH4LNroi1qshCUWk7ml59V1zstBJoDWsnBiI=
server-address 192.168.2.233 port 8015
#
return
以上配置完成后,Device A和Device B会分别向国盾量子服务器KM1和KM2发送登录请求,并携带唯一入网标识和身份认证密钥,只有参数验证无误后才能成功登录。
# 在CentOS 64位的虚拟机命令行交互界面,切换路径到usr/local/KeyExportClient/exec。
[root@localhost ~]# cd /usr/local/KeyExportClient/exec
# 通过./KeyExportClient命令执行KeyExportClient。能看到CentOS 64位的虚拟机命令行交互界面打印出了Device A的心跳报文信息,说明Device A已成功登录国盾量子服务器KM1。
INFO 03/26 00:05:21:576 T: 139765114009344 ../src/MsgDistribute.cpp:150 - [NET] 密钥应用终端341300002连接成功, socketManageID = 1, fd = 13, ip = 192.168.2.2
INFO 03/26 00:05:21:579 T: 139765114009344 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 03/26 00:05:21:589 T: 139765114009344 ../src/IMsgProcess.cpp:39 - [OUT] 接收到设备认证入网命令, 协议版本 = 0x21, 消息发送端设备唯一标示 = 341300002, 设备ID = 0, 算法套件 = 1
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/NMPDataManager.cpp:129 - [DEV] 密钥应用终端设备信息更新, socketMgeID = 1, nAppDevInID = 341300002
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/AppManage.cpp:814 - 设备[341300002]身份认证成功!
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/SysConfig.cpp:1289 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/KeyTerminalManager.cpp:306 - [OUT] 发送App设备认证入网响应帧, 用户级别 = 1, 响应值 = 0
INFO 03/26 00:05:51:755 T: 139765134989056 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:05:51:755 T: 139765134989056 ../src/KeyTerminalManager.cpp:490 - [OUT] 发送心跳检测命令帧到设备:341300002
INFO 03/26 00:05:51:768 T: 139765114009344 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 03/26 00:05:51:769 T: 139765114009344 ../src/IMsgProcess.cpp:202 - [OUT]接收到设备[341300002]的心跳检测响应!
# 在CentOS 64位的虚拟机命令行交互界面,切换路径到usr/local/KeyExportServer/exec。
[root@localhost ~]# cd /usr/local/KeyExportServer/exec
# 通过./KeyExportServer命令执行KeyExportServer。能看到CentOS 64位的虚拟机命令行交互界面打印出了Device B的心跳报文信息,说明Device B已成功登录国盾量子服务器KM2。
INFO 03/26 00:07:30:124 T: 139892220741376 ../src/MsgDistribute.cpp:150 - [NET] 密钥应用
终端341300001连接成功, socketManageID = 1, fd = 13, ip = 192.168.2.3
INFO 03/26 00:07:30:129 T: 139892220741376 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/IMsgProcess.cpp:39 - [OUT] 接收到设备认证入网命令, 协议版本 = 0x21, 消息发送端设备唯一标示 = 341300001, 设备ID = 0, 算法套件 = 1
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/NMPDataManager.cpp:129 - [DEV] 密钥应用终端设备信息更新, socketMgeID = 1, nAppDevInID = 341300001
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/AppManage.cpp:814 - 设备[341300001]身份认证成功!
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/SysConfig.cpp:1289 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:07:30:169 T: 139892220741376 ../src/KeyTerminalManager.cpp:306 - [OUT] 发送App设备认证入网响应帧, 用户级别 = 1, 响应值 = 0
INFO 03/26 00:08:00:346 T: 139892241721088 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 03/26 00:08:00:346 T: 139892241721088 ../src/KeyTerminalManager.cpp:490 - [OUT] 发送心跳检测命令帧到设备:341300001
INFO 03/26 00:08:00:362 T: 139892220741376 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 03/26 00:08:00:362 T: 139892220741376 ../src/IMsgProcess.cpp:202 - [OUT]接收到设备[341300001]的心跳检测响应!
Device A和Device B之间如果有子网10.1.1.0/24与子网10.1.2.0/24之间的报文通过,将触发IKE协商。当IKE一阶段协商完成后,Device A和Device B会分别向国盾量子服务器KM1和KM2获取经过加密的量子密钥,然后再通过配置的解密密钥进行解密。最终得到供IPsec使用的量子密钥。
# 在Device A上用私网地址可以ping通Device B连接的私网地址。
<Device A>ping -a 10.1.1.1 10.1.2.1
Ping 10.1.2.1 (10.1.2.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break
Request time out
56 bytes from 10.1.2.1: icmp_seq=1 ttl=255 time=0.652 ms
56 bytes from 10.1.2.1: icmp_seq=2 ttl=255 time=0.294 ms
56 bytes from 10.1.2.1: icmp_seq=3 ttl=255 time=0.244 ms
56 bytes from 10.1.2.1: icmp_seq=4 ttl=255 time=0.237 ms
--- Ping statistics for 10.1.2.1 ---
5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss
round-trip min/avg/max/std-dev = 0.237/0.357/0.652/0.172 ms
# 在CentOS 64位的虚拟机命令行交互界面,通过./KeyExportClient命令执行KeyExportClient打印国盾量子服务器KM1的信息,能看到Device A向国盾量子服务器KM1发出密钥申请,国盾量子服务器KM1将量子密钥分配给Device A。
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/IMsgProcess.cpp:84 - [OUT] 接收到UKS申请命令, 消息发送端设备唯一标示 = 341300002, 业务标示 = 0, 会话标示 = 1465872346714734594, 应用类型 = 2, 密码需求 = 0, 对端APP设备入网编号 = 341300001
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/AppManage.cpp:302 - CAppManage::AddSessionInfoWithUKSApply::会话标示 = 1465872346714734594, 密钥应用标示 = 1(加密), APP设备入网编号 = 341300002
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:152 - [OUT] 发送UKS申请命令到对端KeyExport,会话标示 = 1465872346714734594, 本端APP设备ID = 341300002, 远端APP设备ID = 341300001
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/AppManage.cpp:451 - CAppManage::GetRecvAppDevInIDFromSessionID:: 会话标示 = 1465872346714734594, 获取的设备ID = 341300002
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/SysConfig.cpp:699 - [OUT]根据消息发送端唯一标识:341300002, 找到对应的设备信息!
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:226 - [OUT] 接收到UKS许可申请响应, 会话标示 = 1465872346714734594, 业务标示 = 0, 响应值 = 1, 本次会话可输出密钥总量 = 0(字节), 速率 = 0(字节/秒), 会话有效时间 = 0(分钟)
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/KeyTerminalManager.cpp:334 - [OUT] 发送UKS申请响应帧, sessionID = 1465872346714734594, 响应值 = 1
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/AppManage.cpp:396 - [OUT] 会话信息更新成功, 会话标示 = 1465872346714734594
INFO 04/08 18:54:56:846 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:846 T: 140359617668864 ../src/DeliverModeProcess.cpp:61 - [OUT] 接收到密钥读取指令,会话标示 = 1465872346714734594, 密钥读取标示 = 1, 申请的密钥长度为 = 8192
INFO 04/08 18:54:56:846 T: 140359617668864 ../src/MsgQueue.cpp:201 - [OUT] 命令帧已放入消息队列,并成功开辟新的缓存,包序号 = 1-340300001-340400001-1465872346714734594
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/KeyStoreProxy.cpp:257 - [OUT]输出加密密钥!
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:393 - [OUT] 收到加密密钥响应帧的第一帧,密钥起始地址=[1024], 密钥类型=[1]
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:849 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]发送序列号 = 1-340300001-340400001-1465872346714734594的密钥!
INFO 04/08 18:54:56:851 T: 140359531230976 ../src/MsgQueue.cpp:689 - [OUT] 发送密钥读取帧比对消息, packageSerialNumber = 1-340300001-340400001-1465872346714734594, keyStartPos = 1024, checkSum = 19202, 比对次数 = 1
INFO 04/08 18:54:56:895 T: 140359617668864 ../src/MsgQueue.cpp:877 - [OUT] 加密端: 接收到密钥比对消息响应帧,dataPackageSerialNumber = 1-340300001-340400001-1465872346714734594, 响应值 = 成功
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 1
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 2
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 3
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 4
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 5
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 6
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 7
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 发送密钥读取响应帧到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 8
INFO 04/08 18:54:56:914 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/IMsgProcess.cpp:120 - [OUT] 接收到密钥一致性校验消息, 消息发送端设备唯一标示 = 341300002, 会话标示 = 1465872346714734594
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/AppManage.cpp:590 - 会话标示 = 1465872346714734594, 其密钥应用属性 = 1
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/AppManage.cpp:519 - CAppManage::GetRecvAppDevInIDFromSessionID:: 会话标示 = 1465872346714734594, 获取的设备ID = 341300001
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:521 - [OUT] 发送透传信息到对端KeyExport,对端KM ID = 340400001, 对端APP设备ID = 341300001
INFO 04/08 18:54:56:957 T: 140359617668864 ../src/KeyTerminalManager.cpp:132 - [OUT] 透传消息到密钥应用终端[341300002], socketManagerID = 1
INFO 04/08 18:55:14:405 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/AppManage.cpp:590 - 会话标示 = 1465872346714734594, 其密钥应用属性 = 1
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/IMsgProcess.cpp:173 - [OUT] 接收到UKS销毁命令帧, 消息发送端设备唯一标示 = 341300002, 会话标示 = 1465872346714734594
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/KeyTerminalManager.cpp:386 - [OUT] 发送UKS销毁响应帧到APP设备, sessionID = 1465872346714734594, 响应值 = 0
INFO 04/08 18:55:22:103 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
# 在CentOS 64位的虚拟机命令行交互界面,通过./KeyExportClient命令执行KeyExportClient打印国盾量子服务器KM2的信息,能看到Device B向国盾量子服务器KM2发出密钥申请,国盾量子服务器KM2将量子密钥分配给Device B。
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:267 - [OUT] 接收到UKS创建(许可申请)通知, 业务标示 = 0, 会话标示 = 1465872346714734594, 发送端App设备入网编号 = 341300002, 接收端App设备入网编号 = 341300001
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/AppManage.cpp:337 - CAppManage::AddSessionInfoWithApplyNotify::会话标示 = 1465872346714734594, 密钥应用标示 = 2(解密), APP设备入网编号 = 341300001
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyTerminalManager.cpp:361 - [OUT] 发送UKS申请通知命令帧到APP设备, BusinessID = 0, sessionID = 1465872346714734594, 发送端APP设备入网编号 = 341300002
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:267 - [OUT] 接收到UKS创建(许可申请)通知, 业务标示 = 0, 会话标示 = 1465872346714734594, 发送端App设备入网编号 = 341300002, 接收端App设备入网编号 = 341300001
WARN 04/08 18:54:56:833 T: 140200957396736 ../src/AppManage.cpp:329 - [OUT] 重复的session信息,sessionID = 1465872346714734594
INFO 04/08 18:54:56:841 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:841 T: 140200957396736 ../src/IMsgProcess.cpp:108 - [OUT] 接收到UKS申请通知响应帧, 消息发送端设备唯一标示 = 341300001, 业务标示 = 0, 会话标示 = 1465872346714734594, 响应值 = 0x0
INFO 04/08 18:54:56:841 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:439 - [OUT] 发送UKS申请响应帧到对端KeyExport,会话标示 = 1465872346714734594, 响应值 = 0
INFO 04/08 18:54:56:849 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:849 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[1]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff长度(933)不足一帧或帧错误,保存等待下一包。
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff长度(751)不足一帧或帧错误,保存等待下一包。
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff长度(569)不足一帧或帧错误,保存等待下一包。
INFO 04/08 18:54:56:887 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff长度(387)不足一帧或帧错误,保存等待下一包。
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:810 - [OUT] 解密端:接收到密钥读取帧比对消息, packageSerialNumber = 1-340300001-340400001-1465872346714734594, keyStartPos = 1024, 会话模式 = 推送
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:201 - [OUT] 命令帧已放入消息队列,并成功开辟新的缓存,包序号 = 1-340300001-340400001-1465872346714734594
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:906 - [OUT] 密钥读取信息容量 = 1
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:866 - [OUT] 解密端:更新密钥读取信息,开始地址 = 1024, 密钥类型 = 1
INFO 04/08 18:54:56:887 T: 140200946906880 ../src/KeyStoreProxy.cpp:303 - [OUT]输出解密密钥!
INFO 04/08 18:54:56:887 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[1]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[2]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[4]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[6]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[8]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[3]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[7]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端发送的量子密钥
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列号 = 1-340300001-340400001-1465872346714734594 的第[5]帧密钥!, 申请的密钥量为:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:888 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [1], 本次密钥长度 = [1024], 当前缓存大小 = [0]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:462 - [OUT] 收到解密密钥响应帧的第一帧,密钥起始地址=[1024], 密钥类型=[1]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[2]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [2], 本次密钥长度 = [1024], 当前缓存大小 = [1024]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[3]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [3], 本次密钥长度 = [1024], 当前缓存大小 = [2048]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[4]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [4], 本次密钥长度 = [1024], 当前缓存大小 = [3072]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[5]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [5], 本次密钥长度 = [1024], 当前缓存大小 = [4096]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[6]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [6], 本次密钥长度 = [1024], 当前缓存大小 = [5120]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[7]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [7], 本次密钥长度 = [1024], 当前缓存大小 = [6144]
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]输出序列号 = 1-340300001-340400001-1465872346714734594 ,第[8]帧密钥!, 申请的密钥量为:8(KB)
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密钥输出成功!
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密钥获取响应帧,帧序号 = [8], 本次密钥长度 = [1024], 当前缓存大小 = [7168]
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/AppManage.cpp:519 - CAppManage::GetRecvAppDevInIDFromSessionID:: 会话标示 = 1465872346714734594, 获取的设备ID = 341300001
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 1
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 2
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 3
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 4
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 5
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 6
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 7
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 发送密钥推送命令到密钥应用终端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 帧序号 = 8
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:243 - [OUT]帧序号 = 8, 密钥总量 = 8
INFO 04/08 18:54:56:895 T: 140200946906880 ../src/MsgQueue.cpp:745 - [OUT] 发送密钥比对消息响应帧, packageSerialNumber = 1-340300001-340400001-1465872346714734594, checkSum = 19202, 比对结果 = 成功
INFO 04/08 18:54:56:899 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:900 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:905 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:905 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:910 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:910 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:914 T: 140200957396736 ../src/KeyTerminalManager.cpp:132 - [OUT] 透传消息到密钥应用终端[341300001], socketManagerID = 1
INFO 04/08 18:54:56:915 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:915 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:955 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:955 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 获取一个正常的帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 获取一个正常的帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 获取一个正常的帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 获取一个正常的帧!
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到终端的密钥推送响应帧!
INFO 04/08 18:54:56:957 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/IMsgProcess.cpp:120 - [OUT] 接收到密钥一致性校验消息, 消息发送端设备唯一标示 = 341300001, 会话标示 = 1465872346714734594
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/AppManage.cpp:590 - 会话标示 = 1465872346714734594, 其密钥应用属性 = 2
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/AppManage.cpp:451 - CAppManage::GetRecvAppDevInIDFromSessionID:: 会话标示 = 1465872346714734594, 获取的设备ID = 341300002
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:521 - [OUT] 发送透传信息到对端KeyExport,对端KM ID = 340300001, 对端APP设备ID = 341300002
INFO 04/08 18:55:08:459 T: 140200978376448 ../src/SysConfig.cpp:1305 - [OUT]设备sock[1],对应的密钥输出协议版本号:0x21
INFO 04/08 18:55:08:460 T: 140200978376448 ../src/KeyTerminalManager.cpp:490 - [OUT] 发送心跳检测命令帧到设备:341300001
INFO 04/08 18:55:08:465 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理帧头之前的无效数据,无效数据长度为:0
# 通过display ike proposal命令可查看Device A和Device B上的IKE提议。因为没有配置任何IKE提议,则只显示缺省的IKE提议。
[DeviceA] display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
[DeviceB] display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
# 通过display ike sa命令可查看Device A上IKE第一阶段协商成功后生成的IKE SA。
[DeviceA] display ike sa
Connection-ID Local Remote Flag DOI
---------------------------------------------------------------------------------
1 2.2.2.1 2.2.2.2/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 通过display ipsec sa命令可查看IKE第二阶段协商生成的IPsec SA。
[DeviceA] display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/3
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Alias: map1-10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1428
Tunnel:
local address/port: 2.2.2.1/500
remote address/port: 2.2.2.2/500
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 117833058 (0x0705fd62)
Connection ID: 150323855360
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3247
Max received sequence-number: 10
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 3302519622 (0xc4d87346)
Connection ID: 47244640257
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3247
Max sent sequence-number: 10
UDP encapsulation used for NAT traversal: N
Status: Active
Device B上也会产生相应的IKE SA和IPsec SA,查看方式与Device A同,此处略。
· Device A:
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.89 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.2.0 24 2.2.2.2
#
acl advanced 3001
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.1
remote-address 2.2.2.2
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.1
match remote identity address 2.2.2.2 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.2 255.255.255.0 key cipher $c$3$edgzoC7/3sdhovx1
2qIB86DoCEdEwzCst2D1dmcw8tlhdOo=
#
ike gd-quantum
app-dev-info 341300002
auth-key cipher $c$3$Hw4EB96I+pXCZe1I1P9pTaDfTHHd6K8UdH2MKv/UmZLf1LgWmKGKiGR+Dt
lY7wCqjOe5kPLQ9V+QFQHxBm2IMZkRyuQQFdzskGk09YxpEqI/qm8=
decrypt-quantum-key cipher $c$3$jPoe6G6dM73DNdXQxyAUeySCZjNamtBwppdZpycWUQSagAN
MBM1au5cR+aLfsbQD8hS3tcYqev4Wh6BkFpJe4VlTsgBK4N1JeJdqhIw+EGAYKJA=
server-address 192.168.2.233
#
· Device B :
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.90 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.2 255.255.255.0
ipsec apply policy use1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.1.0 24 2.2.2.1
#
acl advanced 3001
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy use1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.2
remote-address 2.2.2.1
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.2
match remote identity address 2.2.2.1 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c$3$X4+kpV4rxwmf3BG7
M6RGJRHuii2WD3qJ2EdyOy5JZMTzn+o=
#
ike gd-quantum
app-dev-info 341300001
auth-key cipher $c$3$mQu4HBwPOSlwaLl5M7oFS9vaJfeDPY/buDHQSnWuxvENjocZrnisTRljzY
TlsDdm6wrvdhl7wUlIJxhDnR/oM+Wt1nrhS7hw+IZk9RWFGZidysQ=
decrypt-quantum-key cipher $c$3$Fzk7c5uFE8nPJPJYqJnlzvCM1k2KzCRl4Hcu+j+YAzHQFws
+6V7y2Ll10VdMYy9572GnIkMDcMiPH4LNroi1qshCUWk7ml59V1zstBJoDWsnBiI=
server-address 192.168.2.233 port 8015
#
· “安全配置指导”中的“IPsec”
· “安全命令参考”中的“IPsec”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
