- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-Group Domain VPN命令
本章节下载: 12-Group Domain VPN命令 (263.55 KB)
目 录
1.1.1 client anti-replay window
1.1.7 display gdoi gm anti-replay
1.1.8 display gdoi gm ipsec sa
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
client anti-replay window命令用来配置GDOI GM组的抗重放时间窗口。
undo client anti-replay window命令用来恢复缺省情况。
【命令】
client anti-replay window { sec seconds | msec milliseconds }
undo client anti-replay window
【缺省情况】
未配置GDOI GM组的抗重放时间窗口。
【视图】
GDOI GM组视图
【缺省用户角色】
【参数】
sec seconds:抗重放时间窗口大小,取值范围为1~100,单位为秒。
msec milliseconds:抗重放时间窗口大小,取值范围为100~10000,单位为毫秒。
【使用指导】
若配置了GDOI GM组的抗重放时间窗口大小,则以命令行配置为准;若未配置GDOI GM组的抗重放时间窗口大小,则以KS下发的配置为准。
本命令需要与思科的IP-D3P特性配合使用。
【举例】
# 配置GDOI GM组group1的抗重放时间窗口大小为50秒。
<Sysname> system-view
[Sysname] gdoi gm group group1
[Sysname-gdoi-gm-group-group1] client anti-replay window sec 50
【相关命令】
· display gdoi gm anti-replay
client registration命令用来指定GM的注册接口,GM通过注册接口向KS发起注册。
undo client registration命令用来恢复缺省情况。
【命令】
client registration interface interface-type interface-number
undo client registration interface
【缺省情况】
GM使用到达KS地址的路由的出接口作为注册接口向KS注册。
【视图】
GDOI GM组视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:注册源接口的接口类型和接口编号。
【使用指导】
缺省情况下,GM使用到达KS地址的路由的出接口的地址作为源地址向KS注册,由于是通过路由选择出接口,所以该接口可能与用于转发数据流量的接口一致,当接口上的数据流量较大时会影响GM和KS之间协议报文的交互,因此可以通过该命令为GM指定一个非转发数据流量的接口作为注册源地址接口。
当 GM向KS发起注册时,则使用接口上的主IPv4地址做为源地址。
指定的注册接口所在的VRF如果不与GM组内任何一个KS所在的VRF相同,则GM注册将会失败。
【举例】
# 在GDOI GM组abc中指定GM的注册接口为GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] client registration interface gigabitethernet 1/0/1
【相关命令】
· gdoi gm group
client rekey encryption命令用来指定GM支持的KEK加密算法。
undo client rekey encryption命令用来恢复缺省情况。
【命令】
非FIPS模式下:
client rekey encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc } *
undo client rekey encryption
FIPS模式下:
client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *
undo client rekey encryption
【缺省情况】
非FIPS模式下:
GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。
FIPS模式下:
GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。
【视图】
GDOI GM组视图
【缺省用户角色】
network-admin
【参数】
des-cbc:CBC模式的DES算法,密钥长度为64比特。
3des-cbc:CBC模式的3DES算法,密钥长度为168比特。
aes-cbc-128:CBC模式的AES算法,密钥长度为128比特。
aes-cbc-192:CBC模式的AES算法,密钥长度为192比特。
aes-cbc-256:CBC模式的AES算法,密钥长度为256比特。
【使用指导】
当GM对KEK加密算法强度有一定的要求时,可以通过该命令配置GDOI组允许的KEK加密算法。 GM注册过程中,当KS下发的KEK算法不满足GM的要求时,GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的KEK算法不满足要求时,GM丢弃收到的rekey报文。
【举例】
# 在GDOI GM组abc中指定GM支持的KEK加密算法为aes-cbc-128。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] client rekey encryption aes-cbc-128
【相关命令】
· gdoi gm group
client transform-sets命令用来指定GM支持的IPsec安全提议。
undo client transform-sets命令用来恢复缺省情况。
【命令】
client transform-sets transform-set-name&<1-6>
undo client transform-sets
【缺省情况】
GM支持的IPsec安全提议如下:
· 安全协议:ESP
· 封装模式:隧道模式和传输模式
· 加密算法:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256
· 验证算法:MD5、SHA1
【视图】
GDOI GM组视图
【缺省用户角色】
network-admin
【参数】
transform-set-name&<1-6>:IPsec安全提议名称,为1~63个字符的字符串,不区分大小写。&<1-6>表示前面的参数最多可以输入6次。
【使用指导】
当GM对IPsec安全提议有一定要求时,可通过该命令配置GDOI组支持的IPsec安全提议。GM注册过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM丢弃收到的Rekey消息。
目前GM仅支持ESP协议,因此不要指定采用了AH协议的IPsec安全提议。如果GM指定的IPsec安全提议中采用了AH协议,则可能会导致GM注册失败。
【举例】
# 在GDOI GM组abc中指定GM支持的IPsec安全提议为gdoi-esp-aes。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] client transform-sets gdoi-esp-aes
【相关命令】
· gdoi gm group
display gdoi gm命令用来显示GDOI GM组的信息,包括GDOI的配置参数、协商参数及注册成功后获取到的安全策略信息。
【命令】
display gdoi gm [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group group-name:显示指定GDOI GM组的相关信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则表示显示所有GDOI GM组的信息。
【举例】
# 显示所有GDOI GM组的信息。
<Sysname> display gdoi gm
Group name: GDOI-GROUP1
Group identity : 12345
Address family : IPv4
Rekeys received : 1
Group server : 90.1.1.1
VRF name : vrf1
Group server : 90.1.1.2
Group member : 80.1.1.1
VRF name : vrf1
Registration status : Registered
Registered with : 90.1.1.1
Re-register in : 346 sec
Succeeded registrations : 1125
Attempted registrations : 1133
Last rekey from : 90.1.1.1
Last rekey seq num : 3
Multicast rekeys received: 1
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
Rekeys cumulative:
Total received : 5
Rekeys after latest registration: 3
Last rekey received for : 00hr 02min 11sec
ACL downloaded from KS 90.1.1.1:
rule 0 deny udp source-port eq 848 destination-port eq 848
rule 1 deny ospf
rule 2 permit icmp
KEK:
Rekey transport type : Multicast
Remaining key lifetime : 159 sec
Encryption algorithm : AES-CBC
Key size : 128
Signature algorithm : RSA
Signature hash algorithm : SHA1
Signature key length : 1024 bits
TEK:
SPI : 0x9AE5951E(2598737182)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 190 sec
SPI : 0x12C55CFF(314924287)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 402 sec
# 显示指定GDOI GM组的信息。
<Sysname> display gdoi gm group GDOI-GROUP2
Group name: GDOI-GROUP2
Group identity : 12345
Address family : IPv4
Rekeys received : 52
Group server : 90.1.1.1
VRF name : vrf1
Group server : keyserver
Group member : 80.1.1.1
VRF name : vrf1
Registration status : Registered
Registered with : keyserver(90.1.1.2)
Re-register in : 143 sec
Succeeded registrations : 10
Attempted registrations : 15
Last rekey from : 90.1.1.2
Last rekey seq num : 13
Unicast rekeys received : 10
Rekey ACKs sent : 10
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
Rekeys cumulative:
Total received : 52
Rekeys after latest registration: 3
Total rekey ACKs sent : 23
ACL downloaded from KS 90.1.1.2:
rule 0 deny udp source-port eq 848 destination-port eq 848
rule 1 deny ospf
rule 2 permit icmp
KEK:
Rekey transport type : Unicast
Remaining key lifetime : 159 sec
Encryption algorithm : AES-CBC
Key size : 128
Signature algorithm : RSA
Signature hash algorithm : SHA1
Signature key length : 1024 bits
TEK:
SPI : 0x9AE5951E(2598737182)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 190 sec
SPI : 0x12C55CFF(314924287)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 402 sec
表1-1 display gdoi gm命令显示信息描述表
|
字段 |
描述 |
|
Group name |
GDOI GM组名称 |
|
Group identity |
GDOI GM组标识(可以是编号,也可以是IPv4地址),N/A表示没有配置 |
|
Address family |
该GDOI GM组保护的数据流的地址组(IPv4和IPv6) |
|
Rekeys received |
收到Rekey消息的总次数 |
|
Group server |
GDOI GM组中KS的IP地址或主机名列表,最多16个 |
|
VRF name |
KS所属的VRF名称,如果KS在公网则不显示该字段 |
|
Group member |
GM的IP地址 |
|
VRF name |
GM所属的VRF名称,如果GM在公网则不显示该字段 |
|
Registration status |
注册状态,取值包括Registered、Registering和Not registered |
|
Registered with |
GM注册的KS的IP地址或者主机名,主机名后会显示对应的IP地址 |
|
Re-register in |
距离下一次重新注册的时间间隔,N/A表示不向KS重新注册 |
|
Succeeded registrations |
成功注册的次数 |
|
Attempted registrations |
尝试注册的次数 |
|
Last rekey from |
上次从哪个KS收到Rekey消息,N/A表示未收到Rekey消息 |
|
Last rekey seq num |
上次接收到的Rekey消息的序号,N/A表示未收到Rekey消息 |
|
Multicast rekeys received |
接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示 |
|
Unicast rekeys received |
接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示 |
|
Rekey ACKs sent |
发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示 |
|
Allowable rekey cipher |
GM允许接受的Rekey的加密算法,取值为Any表示都接受 |
|
Allowable rekey hash |
GM允许接受的Rekey的哈希算法,取值为Any表示都接受 |
|
Allowable transform |
GM允许接受的Transform 方式,取值为Any表示都接受 |
|
Rekeys cumulative |
Rekey的统计信息 |
|
Total received |
GM收到Rekey消息的总次数 |
|
Rekeys after latest registration |
GM最近一次成功注册之后进行的Rekey的次数 |
|
Last rekey received for |
最近一次Rekey之后密钥的存在时间,N/A表示未收到Rekey消息,仅在组播方式下显示 |
|
Total rekey ACKs sent |
发送Rekey ACK消息的总次数,仅在单播方式下显示 |
|
ACL downloaded from KS 90.1.1.1 |
从KS90.1.1.1下载的ACL信息 |
|
rule 0 deny udp source-port eq 848 destination-port eq 848 |
源端口为848和目的端口为848的任意地址的UDP报文不需要IPsec保护 |
|
rule 1 deny ospf |
OSPF协议报文不需要IPsec保护 |
|
rule 2 permit icmp |
任意地址的ICMP报文需要IPsec保护 |
|
KEK |
KEK策略信息 |
|
Rekey transport type |
Rekey报文的传输类型,取值为Multicast和Unicast |
|
Remaining key lifetime |
KEK剩余的生命周期,单位为秒 |
|
Encrypt algorithm |
KEK加密算法 |
|
Key size |
KEK密钥长度 |
|
Signature algorithm |
KEK的签名算法 |
|
Signature hash algorithm |
KEK签名哈希算法 |
|
Signature key length |
KEK签名密钥长度,单位为位 |
|
TEK |
TEK策略信息 |
|
SPI |
IPsec SA的SPI |
|
Transform |
Transform列表 |
|
Remaining key lifetime |
IPsec SA剩余的生命周期,单位为秒 |
display gdoi gm acl命令用来显示GM的ACL信息。
【命令】
display gdoi gm acl [ download | local ] [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
download:显示GM从KS下载的ACL信息。
local:显示GM本地配置的ACL信息。
group group-name:显示指定GDOI GM组的GM的ACL信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的ACL信息。
【使用指导】
若不指定任何参数,则表示显示GM的所有ACL信息,包括从KS下载的ACL和本地配置的ACL。本地配置的ACL是指IPsec GDOI安全策略中引用的ACL。
【举例】
# 显示所有GM的ACL信息。
<Sysname> display gdoi gm acl
Group name: abc
ACL downloaded from KS 12.1.1.100:
rule 0 permit ip
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255
ACL configured locally:
IPsec policy name: gdoi-group1
ACL identifier: 3001
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
Group Name: 123
ACL downloaded from KS 12.1.1.100:
rule 1 permit ip source 13.1.1.0 0.0.0.255 destination 13.1.2.0 0.0.0.255
Group name: ipv6
ACL configured locally:
IPsec policy name: gdoi-group1
IPv6 ACL identifier: 3001
rule 0 permit ipv6 source 1::/64 destination 2::/64
# 显示GM从KS下载的ACL信息。
<Sysname> display gdoi gm acl download
Group name: abc
ACL downloaded from KS 12.1.1.100:
rule 0 permit ip
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255
# 显示GM本地配置的ACL信息。
<Sysname> display gdoi gm acl local
Group name: abc
ACL configured locally:
IPsec policy name: gdoi-group1
ACL identifier: 3001
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
表1-2 display gdoi gm acl命令显示信息描述表
|
字段 |
描述 |
|
Group name |
GDOI GM组名称 |
|
ACL downloaded from KS 12.1.1.100 |
从KS下载的ACL |
|
rule 0 permit ip |
IPsec保护任意地址的IP报文 |
|
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 |
IPsec保护源地址范围为12.1.1.0/24,目的地址范围为12.1.1.0/24 的IP报文 |
|
ACL configured locally |
本地配置的ACL |
|
IPsec policy name |
IPsec GDOI安全策略的名称 |
|
ACL identifier |
ACL标识 |
|
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 |
IPsec不保护源地址范围为10.1.1.0/24,目的地址范围为10.1.1.0/24 的IP报文 |
display gdoi gm anti-replay命令用来显示GDOI GM组的抗重放时间戳类型和时间窗口大小。
【命令】
display gdoi gm anti-replay [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group group-name:指定GDOI GM组的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,则表示显示所有GDOI GM组的时间戳类型和时间窗口大小。
【举例】
# 显示所有GDOI GM组的时间戳类型和时间窗口大小。
<Sysname> display gdoi gm anti-replay
Group name: abc
Anti-replay timestamp type : POSIX-TIME
Anti-replay window : 200.16 ms
表1-3 display gdoi gm anti-replay命令显示信息描述表
|
字段 |
描述 |
|
Group name |
GDOI GM组名 |
|
Anti-replay timestamp type |
时间戳类型 |
|
Anti-replay window |
时间窗口大小 |
【相关命令】
· client d3p window
display gdoi gm ipsec sa命令用来显示GM获取的IPsec SA信息。
【命令】
display gdoi gm ipsec sa [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group group-name:显示指定GDOI GM组的GM获取的IPsec SA信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组获取的IPsec SA信息。
【举例】
# 显示所有GM获取的IPsec SA信息。
<Sysname> display gdoi gm ipsec sa
SA created for group abc:
SPI : 0x9AE5951E(2598737182)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 190 sec
SPI : 0x9AE5951F(2598737183)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 3600 sec
SA created for group hh:
SPI : 0xDCC66F7B(3703992187)
Transform : ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
Remaining key lifetime : 280 sec
表1-4 display gdoi gm ipsec sa命令显示信息描述表
|
字段 |
描述 |
|
SA created for group abc |
GDOI GM组abc创建的SA |
|
SPI |
IPsec SA的SPI |
|
Transform |
Transform列表 |
|
Remaining key lifetime |
IPsec SA剩余的生命周期,单位为秒 |
display gdoi gm members命令用来显示GM的简要信息。
【命令】
display gdoi gm members [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group group-name:显示指定GDOI GM组的GM的简要信息。group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的简要信息。
【举例】
# 显示所有GM的简要信息。
<Sysname> display gdoi gm members
Group member information for group GDOI-GROUP1:
Group member : 80.1.1.1
VRF name : vrf1
Registration status : Registered
Registered with : 90.1.1.1
Re-register in : 308 sec
Succeeded registrations : 1131
Attempted registrations : 1139
Last rekey from : 90.1.1.1
Last rekey seq num : 3
Multicast rekeys received: 1
表1-5 display gdoi gm members命令显示信息描述表
|
字段 |
描述 |
|
Group member information for group GDOI-GROUP1 |
组GDOI-GROUP1的GM的简要信息 |
|
Group member |
GM的IP地址 |
|
VRF name |
GM所属的VRF名称,如果GM在公网则不显示该字段 |
|
Registration status |
注册状态,取值包括Registered、Registering和Not registered |
|
Registered with |
GM注册的KS地址或者主机名,主机名后会显示对应的IP地址 |
|
Re-register in |
距离下一次重新注册的时间间隔 |
|
Succeeded registrations |
成功注册的次数 |
|
Attempted registrations |
尝试注册的次数 |
|
Last rekey from |
上次从哪个KS收到Rekey消息,N/A表示未收到Rekey消息 |
|
Last rekey seq num |
上次接收到的Rekey消息的序号,N/A表示未收到Rekey消息 |
|
Multicast rekeys received |
接收组播类型Rekey消息的次数,仅在GDOI GM组类型为组播时显示 |
|
Unicast rekeys received |
接收单播类型Rekey消息的次数,仅在GDOI GM组类型为单播时显示 |
|
Rekey ACKs sent |
发送Rekey ACK消息的次数,仅在GDOI GM组类型为单播时显示 |
display gdoi gm pubkey命令用来显示GM接收到的公钥信息。
【命令】
display gdoi gm pubkey [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group group-name:显示指定GDOI GM组的GM接收到的公钥信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组接收到的公钥信息。
【举例】
# 显示GM接收到的公钥信息。
<Sysname> display gdoi gm pubkey
Group name: GDOI-GROUP1
KS address: 90.1.1.1
Conn-ID: 2044 My cookie: 7C9CB398 His cookie: 4E54C7EA
Key data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00BB0F5B
6B5788E7 6220C0C1 C4BCAAD7 D81322FF 7DB9436E 46E308DA D589243B 64946D2D
FC502F64 7F38DDF5 E999F8F7 4A247508 9AF7765B F0B080AC 11CC08E4 B48A976F
D3721818 B66201F0 BD1987BE DD28D533 C38E7D42 939D2B71 3FAAA17A 128DF862
E45C531D A0C8593E D7D602E9 7A7E675A 94AF6B25 2972CF85 94E601BD 19020301
0001
表1-6 display gdoi gm pubkey命令显示信息描述表
|
字段 |
描述 |
|
Group name |
GDOI GM组名称 |
|
KS address |
KS的地址,取值为IPv4类型或者IPv6类型 |
|
Conn-ID |
标识Rekey SA的ID |
|
My cookie |
Rekey SA的本端cookie |
|
His cookie |
Rekey SA的对端cookie |
|
Key data |
公钥数据 |
display gdoi gm rekey命令用来显示GM的Rekey信息。
【命令】
display gdoi gm rekey [ verbose ] [ group group-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示GM Rekey的详细信息。若不指定该参数,则显示GM Rekey的简要信息。
group group-name:显示指定GDOI GM组的GM的Rekey信息,group-name为GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有GM组的Rekey信息。
【举例】
# 显示所有GM的Rekey的简要信息。
<Sysname> display gdoi gm rekey
Group name: abc (Unicast)
Number of rekeys received (cumulative) : 9
Number of rekeys received after registration : 9
Number of rekey ACKs sent : 105
Group name: 123 (Multicast)
Number of rekeys received (cumulative) : 9
Number of rekeys received after registration : 9
Multicast destination address : 239.192.1.190
# 显示所有GM的Rekey的详细信息。
<Sysname> display gdoi gm rekey verbose
Group name: GDOI-GROUP1 (Multicast)
Number of rekeys received (cumulative) : 1904
Number of rekeys received after registration : 889
Multicast destination address : 239.192.1.190
Rekey (KEK) SA information:
Destination Source Conn-ID My cookie His cookie
New : 239.192.1.190 90.1.1.1 9646 14406D26 8C58E504
Current : 239.192.1.190 90.1.1.1 9646 14406D26 8C58E504
Previous : --- --- --- --- ---
表1-7 display gdoi gm rekey命令显示信息描述表
|
字段 |
描述 |
|
Group name |
GDOI GM组名称 |
|
Unicast |
密钥采用单播方式更新 |
|
Multicast |
密钥采用组播方式更新 |
|
Number of rekeys received (cumulative) |
GM累计接收到的Rekey消息的次数 |
|
Number of rekeys received after registration |
GM注册成功后Rekey的次数 |
|
Number of rekey ACKs sent |
发送Rekey ACK消息的次数 |
|
Multicast destination address |
发送Rekey消息的组播目的地址 |
|
Rekey (KEK) SA information |
Rekey (KEK) SA信息,即保护密钥更新消息的SA |
|
Destination |
Rekey SA的目的IP地址 |
|
Source |
Rekey SA的源IP地址 |
|
Conn-ID |
标识Rekey SA的ID |
|
My cookie |
Rekey SA的本端cookie |
|
His cookie |
Rekey SA的对端cookie |
|
New |
新的Rekey SA信息 |
|
Current |
当前正在使用的Rekey SA信息 |
|
Previous |
上一次使用的Rekey SA信息 |
gdoi gm group命令用来创建一个GDOI GM组,并进入GDOI GM组视图。如果指定的GDOI GM组已经存在,则直接进入GDOI GM组视图。
undo gdoi gm group命令用来删除指定的GDOI GM组。
【命令】
gdoi gm group [ ipv6 ] group-name
undo gdoi gm group [ ipv6 ] group-name
【缺省情况】
不存在GDOI GM组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:GDOI GM组名称,为1~63个字符的字符串,不区分大小写。
ipv6:IPv6类型的GDOI GM组。不指定该参数,则表示IPv4类型的GDOI GM组。
【使用指导】
IPv4的GDOI GM组与IPv6的GDOI GM组采用同一个名称空间,即IPv4的GDOI GM组和IPv6的GDOI GM组不能使用相同的名称。
【举例】
# 创建一个名称为abc的GDOI GM组,并进入GDOI GM组视图。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc]
group命令用来指定IPsec GDOI安全策略引用的GDOI GM组。
undo group命令用来恢复缺省情况。
【命令】
group group-name
undo group
【缺省情况】
IPsec GDOI安全策略未引用任何GDOI GM组。
【视图】
IPsec GDOI安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name:指定GDOI GM组的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
一个IPsec GDOI安全策略只能引用一个GDOI GM组,最后一次配置生效。
同一个GDOI GM组可以被不同名称的IPsec GDOI安全策略引用,但不能被同一个名称、不同顺序号的IPsec GDOI安全策略引用。
IPv6的IPsec GDOI安全策略只能引用IPv6的GDOI GM组。IPv4的IPsec GDOI安全策略只能引用IPv4的GDOI GM组。
【举例】
# 配置名字为map的IPsec安全策略,顺序号为1,采用GDOI方式建立安全联盟。
<Sysname> system-view
[Sysname] ipsec policy map 1 gdoi
# 指定IPsec GDOI安全策略引用GDOI组abc。
[Sysname-ipsec-policy-gdoi-map-1] group abc
【相关命令】
· gdoi gm group
· ipsec { ipv6-policy | policy }
identity命令用来配置GDOI GM组的组ID。
undo identity命令用来恢复缺省情况。
【命令】
identity { address ip-address | number number }
undo identity
【缺省情况】
未定义GDOI GM组的组ID。
【视图】
GDOI GM组视图
【缺省用户角色】
network-admin
【参数】
ip-address:用于标识GDOI GM组的IP地址,可以为任意合法的IPv4地址。
number:GDOI GM组的编号,取值范围为0~2147483647。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
需要互通的各个GM设备,其GDOI GM组ID必须完全一致。
【举例】
# 配置GDOI GM组abc的组ID为编号123456。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] identity number 123456
# 配置GDOI GM组def的组ID为IP地址202.202.202.10。
<Sysname> system-view
[Sysname] gdoi group def
[Sysname-gdoi-gm-group-def] identity address 202.202.202.10
reset gdoi gm命令用来清除GM的GDOI信息,并发起注册。
【命令】
reset gdoi gm [ group group-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
group group-name:清除指定GDOI GM组的GDOI信息。group-name表示GDOI GM组名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则表示清除所有GM的GDOI信息。
【使用指导】
本命令将会清除GM从KS下载的信息,包括IKE SA 、Rekey SA、IPsec SA和ACL,并且还会触发GM重新向KS进行注册。
【举例】
# 删除所有GM的GDOI信息,并发起注册。
<Sysname> reset gdoi gm
# 删除名称为abc的GDOI GM组的GDOI信息,并发起注册。
<Sysname> reset gdoi gm group abc
server address命令用来指定KS(Key Server,密钥服务器)地址。
undo server address命令用来删除指定的KS地址。
【命令】
server address host [ vrf vrf-name ]
undo server address host [ vrf vrf-name ]
【缺省情况】
未指定KS地址。
【视图】
GDOI GM组视图
【缺省用户角色】
network-admin
【参数】
host:KS的IP地址或主机名称,为1~253个字符的字符串,区分大小写。
vrf vrf-name:指定地址所属的VRF。vpn-name表示VRF名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示该地址属于公网。
【使用指导】
必须在GDOI GM组中指定要注册的KS地址,否则,组成员的GDOI GM组配置不完整。
一个GDOI GM组中最多允许同时指定16个KS,其使用的优先级按照配置先后顺序依次降低。GM将从第一个配置的KS地址开始向其发起注册,如果无法成功向当前的KS地址注册,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。
【举例】
# 为GDOI GM组abc指定两个KS的IP地址,分别为3.3.3.3和3.3.3.4。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] server address 3.3.3.3
[Sysname-gdoi-gm-group-abc] server address 3.3.3.4
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
