25-Group Domain VPN配置
本章节下载 (406.24 KB)
Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接,而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。
Group Domain VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略及密钥。Group Domain VPN由KS(Key Server,密钥服务器)和GM(Group Member,组成员)组成。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。
相比较传统的IPsec VPN,Group Domain VPN具有如下优点:
· 网络扩展性强。传统的IPsec VPN中,每对通信对等体之间都需要建立IKE SA和IPsec SA,管理复杂度为N2,而Group Domain VPN中所有组成员之间共用一对IPsec SA,管理复杂度低,可扩展性更好。
· 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接,由于封装了新的IP头,需要重新部署路由。Group Domain VPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。
· 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。Group Domain VPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。
· 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。Group Domain VPN是无隧道的连接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。
· 可提供any-to-any的连通性。所有组成员共用一对IPsec SA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。
Group Domain VPN的典型组网结构如图1-1所示,其中包括两大组成元素,KS和GM。
图1-1 Group Domain VPN组网结构示意图
KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任:响应GM的注册请求,以及发送Rekey消息。当一个GM向KS进行注册时,KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过Rekey消息通知所有GM更新密钥。
KS下发的密钥包括两种类型:
· TEK(traffic encrytion key,加密流量的密钥):由组内的所有GM共享,用于加密GM之间的流量。
· KEK(key encrytion key,加密密钥的密钥):由组内的所有GM共享,用于加密KS向GM发送的Rekey消息。
可以通过配置,使多个KS之间进行冗余备份,以提供高可靠性和提供注册服务的负载分担。
GM是一组共享相同安全策略且有安全通信需求的网络设备。它在KS上注册,并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID,KS根据这个组ID将对应组的安全策略和密钥下发给该GM。
Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。
在GM的某接口上应用了Group Domain VPN的相关IPsec策略后,GM会向KS发起注册,这个注册过程包括两个阶段的协商:IKE协商和GDOI(Group Domain of Interpretation,组解释域)协商,具体内容如下:
(1) 第一阶段的IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护二阶段GDOI协商的IKE SA。
(2) 第二阶段的GDOI协商:这是一个GM从KS上“拉”安全策略的过程,其具体的协议过程由GDOI协议定义,可参见RFC3547中关于GROUPKEY-PULL交换的描述。
具体的注册过程包括图1-2所示的五个步骤:
(1) GM与KS进行一阶段IKE协商;
(2) GM向KS发送所在组的ID;
(3) KS根据GM提供的组ID向GM发送相应组的安全策略(保护的数据流信息、加密算法、认证算法、封装模式等);
(4) GM对收到的安全策略进行验证,如果这些策略是可接受的(例如安全协议和加密算法是可支持的),则向KS发送确认消息;
(5) KS收到GM的确认消息后,向GM发送密钥信息(KEK、TEK)。
通过这个过程,GM把KS上的安全策略和密钥“拉”到了本地。此后,就可以利用获取的安全策略和密钥在GM之间加密、解密传输的数据了。
在GM向KS发起注册时,GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功,则表示当前的注册过程失败,GM会重新发起注册。该定时器的时间不可配,且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。
GM完成注册之后,将使用获取到的IPsec SA对符合安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。
与传统的IPsec类似,Group Domain VPN也支持隧道和传输两种封装模式,该模式由KS决定并下发给GM。
· 隧道模式:首先在原有的IP报文外部封装安全协议头(AH头或ESP头,目前Group Domain VPN不支持AH协议),然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。
图1-3 隧道模式Group Domain VPN数据封装示意图
· 传输模式:在原有的IP报文头与报文数据之间封装安全协议头,不对原始的IP报文头做任何修改。
与传统IPsec VPN相同,Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。
GM向KS注册后,如果KS上配置了Rekey的相关参数(具体配置请参见KS的相关配置指导),则KS会向GM发送密钥更新SA(Rekey SA)。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前,KS将通过密钥更新消息(也称为Rekey消息)定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA,该Rekey消息使用当前的Rekey SA进行加密,GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述,请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息,将会重新向KS发起一次注册,把安全策略和密钥“拉”过来。
· 由KS来决定采用单播或组播的方式向GM发送Rekey消息,缺省情况下KS采用组播发送方式。
· KS在GM注册的过程中,会将本端的公钥信息下发给GM。
在一个Group Domain VPN组网中可以部署多个KS,这些KS以冗余备份的方式工作,可实现高可靠性和部分负载分担。如图1-4所示。
图1-4 KS冗余备份组网示意图
互为冗余备份的一组KS中,包括一个主KS和多个备KS。主KS负责创建和维护密钥,并将生成的密钥、收集的GM注册信息发送给该组中的所有备KS,以及对所有已注册的GM进行Rekey。备KS自身不会生成密钥,它使用从主KS获得的密钥。主KS和所有备KS都可以接受GM注册,因此备KS可以与主KS一起分担对GM的注册服务。当备KS上有新的GM完成注册后,备KS将把该GM的注册信息发送给主KS。
以冗余备份的方式工作的多个KS,通过H3C私有的冗余备份协议,协同进行选举、数据交换和保活三项工作。
多个协同工作的KS通过选举,决定其中一个为主KS,其余为备KS。选举的原则是优先级最高的KS为主,优先级由KS上的配置决定,具体配置及优先级决定方式请参见“1.3.4 配置GDOI KS冗余备份”。
当主KS发生故障(例如,主KS掉电),其余工作状态正常的备KS会重新发起选举,并产生一个新的主KS。
数据交换用于在主KS与备KS之间交换数据信息,以保持各KS之间数据一致,实现数据的备份。这个过程中,主KS向各备KS同步密钥和GM注册信息,备KS向主KS同步自己获得的新的GM的注册信息。
主KS会定期向所有备KS发送Hello报文。备KS会监测是否能定期收到主KS的Hello报文。如果备KS能定期收到Hello报文,则认为主KS工作状态正常;否则认为主KS发生故障,则与其它备KS重新选举,产生一个新的主KS。在备KS重新选举期间,备KS不接收任何GM的注册请求。
与Group Domain VPN相关的协议规范有:
· RFC 2408:Internet Security Association and Key Management Protocol (ISAKMP)
· RFC 3547:The Group Domain of Interpretation(GDOI)
· RFC 3740:The Multicast Group Security Architecture
· RFC 5374:Multicast Extensions to the Security Architecture for the Internet Protocol
· KS与GM上的IKE配置必须匹配,否则会导致一阶段IKE协商失败。
· 有冗余备份关系的主KS和备KS上的IKE配置必须匹配,否则会导致一阶段IKE协商失败。
· 配置IKE:包括与GM进行一阶段协商的IKE提议和IKE对等体,该IKE对等体的对端安全网关地址为GM的注册接口地址。在KS冗余备份组网环境中,还必须配置用来与其它KS进行一阶段IKE协商的IKE提议和IKE对等体,该IKE对等体的对端安全网关地址为对端KS的IP地址。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。
· 配置IPsec:包括用来生成TEK的IPsec安全框架。IPsec的具体配置步骤请参见“安全配置指导”中的“IPsec”。
· 配置ACL:ACL的配置用来确定TEK保护的流量的范围,以及指定以组播方式发送Rekey消息的目的地址和源地址。
表1-1 GDOI KS配置任务简介
配置任务 |
说明 |
详细配置 |
||
GDOI KS基本配置 |
配置GDOI KS组 |
必选 |
||
配置组ID |
||||
引用密钥对 |
||||
配置Rekey ACL |
||||
配置IPsec策略 |
配置IPsec策略的序号 |
|||
引用IPsec框架 |
||||
引用ACL |
||||
GDOI KS冗余备份配置 |
配置对端KS的IP地址 |
可选 |
||
配置本端优先级 |
||||
开启冗余备份功能 |
||||
配置KS发送报文的源地址 |
必选 |
|||
配置Rekey参数 |
配置Rekey加密算法 |
可选 |
||
配置KEK的生命周期 |
||||
配置以单播方式发送Rekey消息 |
||||
配置Rekey消息重传的间隔和重传的次数 |
一台设备上可以同时存在多个GDOI KS组。一个GDOI KS组中包含了一个GDOI KS所需的所有配置。GDOI KS的基本配置完成后,即可使用KS的基本功能。GDOI KS的基本配置介绍如下:
· 组名:GDOI KS组在设备上的一个配置标识,仅用于本地配置管理。
· 组ID:GDOI KS组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要加入的GDOI组。一个GDOI组只能使用组号或者IP地址作为组ID,且只能配置一个组ID。
· 密钥对:用于生成携带在Rekey消息中的数字签名的本地非对称密钥对。每个GDOI KS组中只能引用一个密钥对。密钥对的公钥部分,会作为KEK的一部分,下发给GM,GM使用该公钥验证KS的签名。
· Rekey ACL:用于指定以组播方式发送Rekey消息的目的地址和源地址的ACL。每个GDOI KS组中只能配置一个Rekey ACL。
· IPsec策略:一个配置集合,用于描述TEK的安全策略和要保护的数据流量的范围,具体包括引用的IPsec安全框架和ACL。
配置限制和指导:
· 配置GM时,GM组的组ID必须跟它要注册的KS所在组的组ID相同。
· 一个GDOI KS组只能配置一个组ID,后配置的组ID会覆盖前面配置的组ID。
· 不同GDOI组中指定的组ID不允许相同。
· 互为备份的GDOI KS必须引用相同的密钥对,因此必须保证所有互为备份的GDOI KS本地均拥有相同的密钥对。可以通过将某GDOI KS的本地密钥对导出,然后其它GDOI KS导入该密钥对的方法来实现这一目的。关于密钥对的导出和导入配置,请参考“安全配置指导”中的“公钥管理”。
· 当要保护的业务流量为单播时,IPsec策略引用的ACL中配置的所有规则必须是成对出现,且每一对规则的源和目的地址对称。
· 互为备份的GDOI KS必须指定相同的用于限定组播发送Rekey消息范围的ACL。若主KS和备KS上的此配置不一致,将会导致从备KS注册上线的GM不能正常接收主KS组播发送的Rekey消息。
· 当要保护的业务流量为组播时,限定组播发送Rekey消息范围的ACL中配置的目的地址不能与业务流量的目的地址相同。
· GDOI KS组的IPsec策略所引用的ACL中可定义多条规则,但KS实际可成功下发给GM的ACL规则数目受限于GDOI报文的大小以及当前已有TEK的数目。在GDOI KS组中只配置一个IPsec策略的情况下,建议引用的ACL中定义的规则数目不超过200条。如果KS组中配置了多个IPsec策略,则配置的ACL规则数目需要参考以上建议值相应减少。
· 互为备份的GDOI KS所在的KS组内必须配置相同的IPsec策略,并保证策略中配置的参数一致(包括引用ACL、使用的安全提议和SA的生命周期)。
· 在KS端连续执行强制Rekey操作时,会产生大量的TEK,此时有可能会导致KS不能全部下发TEK和ACL规则。
表1-2 配置GDOI KS基本配置
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个GDOI KS组,并进入GDOI KS组视图 |
gdoi ks group group-name |
必选 缺省情况下,不存在GDOI KS组 |
配置GDOI KS组的组ID |
identity { address ip-address | number number } |
必选 缺省情况下,未定义GDOI KS组的组ID 一个GDOI KS组只能有一种类型的标识,IP地址或者组号 |
配置Rekey过程中KS使用的密钥对 |
rekey authentication public-key rsa key-name |
必选 缺省情况下,未引用密钥对 |
指定用于限定组播发送Rekey消息范围的ACL |
rekey acl { acl-number | name acl-name } |
必选 缺省情况下,未配置Rekey ACL |
创建一个GDOI KS组的IPsec策略,并进入GDOI KS IPsec策略视图 |
ipsec sequence-number |
必选 缺省情况下,不存在IPsec策略。 一个GDOI KS组中可以配置多个IPsec策略。 |
配置GDOI KS IPsec策略引用的IPsec安全框架 |
profile ipsec-profile-name |
必选 缺省情况下,未引用IPsec安全框架 IPsec安全框架的具体配置步骤请参见“安全配置指导”中的“IPsec” |
配置GDOI KS IPsec策略引用的ACL |
security acl { acl-number | name acl-name} |
必选 缺省情况下,未引用ACL |
配置GDOI KS冗余备份可实现高可靠性和部分负载分担。在对KS的可靠性要求较高的场景下,可以配置GDOI KS冗余备份。GDOI KS冗余备份的配置介绍如下:
· KS监听冗余备份报文的UDP端口号:该UDP端口用于KS之间发送和接收冗余备份报文,且所有KS必须配置相同的UDP监听端口号。
· 对端KS的IP地址:其它与本KS有冗余备份关系的KS的IP地址。
· 本端优先级:用于与其它KS选举时决定哪个KS是主。优先级的值越大,优先级越高,越有可能被选为主。选举过程中,如果各KS配置的优先级相同,则比较各KS的IP地址,IP地址值大的KS优先级较高。
· 冗余备份功能:冗余备份功能的开关,必须打开该开关,冗余备份功能才可以生效。
· 发送和接收冗余备份Hello报文的参数:用于配置本端作为主KS时,发送冗余备份Hello报文的时间间隔,以及本端作为备KS时,连续多少次未收到主KS发送的冗余备份Hello报文才能认为和主KS的连接已经中断。合理配置发送Hello报文的时间间隔和最大次数可让备KS及时感知主KS的存活状态。
· 冗余备份报文的重传参数:用于调整除Hello报文之外的冗余备份报文的重传间隔或者重传次数。
配置限制和指导:
· 以冗余备份方式协同工作的各KS上的KS组配置必须保持一致(除对端IP地址、本端优先级、发送KS报文的源地址之外)。
· 一个GDOI KS组可以配置多个对端KS的IP地址,且必须指定互为冗余备份的所有对端KS的IP地址。
· 本端KS上指定的对端KS的IP地址必须和该对端KS发送冗余备份协议报文使用的源地址一致。
表1-3 配置GDOI KS冗余备份
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置KS监听冗余备份报文的UDP端口号 |
gdoi ks redundancy port |
缺省情况下,KS监听冗余备份报文的UDP端口号为19000 |
进入GDOI KS组视图 |
gdoi ks group group-name |
- |
指定对端KS的IP地址 |
peer address ip-address |
必选 缺省情况下,未配置对端KS的IP地址 |
配置本端优先级 |
local priority priority |
可选 缺省情况下,本端优先级为1,即最低优先级 |
开启冗余备份功能 |
redundancy enable |
必选 缺省情况下,开冗余备份功能处于关闭状态 |
配置发送冗余备份Hello报文的时间间隔和接收冗余备份Hello报文的最大次数 |
redundancy hello { interval interval | number number } * |
可选 缺省情况下,本端作为主KS发送冗余备份Hello报文的时间间隔为20秒,本端作为备KS连续3次没有接收到主KS的冗余备份Hello报文则重新选举主 KS |
配置重传冗余备份报文的时间间隔和最大次数 |
redundancy retransmit { interval interval | number number } * |
可选 缺省情况下,重传冗余备份报文的时间间隔为10秒、最大次数为2次 |
该配置用于指定KS发送GROUPKEY-PUSH协议报文和冗余备份协议报文时使用的源地址。
表1-4 配置KS发送的报文的源地址
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入GDOI KS组视图 |
gdoi ks group group-name |
- |
配置KS发送的报文的源地址 |
source address ip-address |
必选 缺省情况下,未配置KS发送的报文的源地址,KS以Rekey ACL中第一个规则中的源地址作为KS发送报文的源地址 Rekey ACL的相关配置请参见“1.3.3 GDOI KS基本配置” |
Rekey参数的配置介绍如下:
· 配置Rekey加密算法:该配置用于指定Rekey的加密算法,即KEK所采用的加密算法。
· 配置KEK的生命周期:指定KEK的生命周期。
· 配置以单播方式发送Rekey消息:缺省情况下,设备以组播方式发送Rekey消息,仅当设备所处的环境中无法使用组播的情况下,才需要指定以单播方式发送Rekey消息。但需要注意的是,以单播方式发送Rekey消息,会增加设备的处理开销,影响性能,因此建议在条件允许的情况下,尽量以组播方式发送Rekey消息。
· 配置Rekey消息重传的间隔和重传的次数:用于指定Rekey消息重传的间隔和重传的次数。
表1-5 配置Rekey参数
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入GDOI KS组视图 |
gdoi ks group group-name |
- |
配置Rekey加密算法 |
rekey encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc } |
可选 缺省情况下,加密算法为3DES-CBC |
配置KEK的生命周期 |
rekey lifetime seconds number-of-seconds |
可选 缺省情况下,KEK的生命周期为86400秒 |
配置以单播方式发送Rekey消息 |
rekey transport unicast |
可选 缺省情况下,以组播方式发送Rekey消息 |
配置Rekey消息重传的间隔和重传的次数 |
rekey retransmit { interval interval | number number } * |
可选 缺省情况下,重传间隔为10秒,重传2次 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后GDOI KS的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除GDOI KS的信息。
表1-6 GDOI KS显示和维护
操作 |
命令 |
显示GDOI KS信息 |
display gdoi ks [ group group-name ] |
显示KS组引用的ACL |
display gdoi ks acl [ group group-name ] |
显示KS 冗余备份相关的信息 |
display gdoi ks redundancy [ group group-name ] |
显示KS组的上线的组成员信息 |
display gdoi ks members [ group group-name ] [ ip ip-address ] |
显示KS组的Rekey信息 |
display gdoi ks rekey [ group group-name ] |
显示KS的策略信息 |
display gdoi ks policy [ group group-name ] |
清除GDOI KS的相关信息 |
reset gdoi ks [ group group-name ] |
复位所有KS的冗余备份角色 |
reset gdoi ks redundancy role [ group group-name ] |
清除GDOI KS组成员信息 |
reset gdoi ks members [ group group-name ] |
清除GM的GDOI信息,并发起注册 |
reset gdoi [ group group-name ] |
强制Rekey |
gdoi ks rekey [ group group-name ] |
GDOI GM需要IKE的相关配置进行配合,IKE的配置包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE对等体。该IKE对等体的对端安全网关地址为KS的IP地址。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。
表1-7 GDOI GM配置任务简介
配置任务 |
说明 |
详细配置 |
配置GDOI GM组 |
必选 |
|
配置IPsec GDOI安全策略 |
必选 |
|
接口上应用IPsec GDOI安全策略 |
必选 |
在GM上可以同时存在多个GDOI GM组。一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下:
· 组名:GDOI GM组在设备上的一个配置标识,仅用于本地配置管理和引用。
· 组ID:GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册,GM提交的组ID必须与它要加入的KS的组ID一致。一个GDOI GM组只能使用组号或者IP地址作为组ID,且只能配置一个组ID。
· KS地址:GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置8个KS地址,其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册,如果无法成功注册,则在GDOI注册定时器超时后,会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。
· 注册接口:GM通过注册接口向KS发起注册。缺省情况下,GDOI GM组以KS地址为目的地址的路由的出接口作为注册接口向KS注册。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同,也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时,可指定设备上的其它接口(物理接口或逻辑接口)作为注册接口。
配置限制和指导:
· 一个GDOI GM组只能配置一个组ID,后配置的组ID会覆盖前面配置的组ID。
· 不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。
表1-8 配置GDOI GM组
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个GDOI GM组,并进入GDOI GM组视图 |
gdoi gm group group-name |
必选 缺省情况下,不存在GDOI GM组 |
配置GDOI GM组的组ID |
identity { address ip-address | number number } |
必选 缺省情况下,未定义GDOI GM组的组ID 一个GDOI GM组只能有一种类型的标识,IP地址或者组号 |
配置GDOI GM组的KS地址 |
server address ip-address |
必选 缺省情况下,未指定KS的IP地址 |
配置GDOI GM组的注册接口 |
client registration interface interface-type interface-number |
可选 缺省情况下,GDOI GM组通过到达KS的路由来确定注册接口 |
一条IPsec GDOI安全策略由“名字”和“顺序号”共同唯一确定,顺序号小的优先级高。IPsec GDOI安全策略视图下指定了引用的GDOI GM组,以及本地访问控制列表。IPsec GDOI安全策略视图下,目前包括且仅包括以下两个配置:
· IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址,以及注册的组ID;
· IPsec GDOI安全策略可以通过引用一个本地配置的访问控制列表(称为本地访问控制列表)决定哪些报文需要丢弃,哪些报文需要明文转发。当匹配本地访问控制列表的结果为permit时,报文会被丢弃;当匹配本地访问控制列表的结果为deny时,报文会被明文转发。
GM向KS注册后,会从KS上获取安全策略,其中包含了KS上配置的访问控制列表(称为下载的访问控制列表)。KS上配置的访问控制列表用来控制GM的行为,即决定GM上的哪些报文需要加密,哪些报文需要明文转发。对于GM收到的报文,匹配下载的访问控制列表的结果为permit时,会被加密;匹配下载的访问控制列表的结果为deny时,会以明文形式转发。如果报文没有匹配任何下载的访问控制列表,默认的处理方式是明文转发。
如果IPsec GDOI安全策略中配置了本地访问控制列表,则GM向KS注册后,两种类型的访问控制列表将在GM上共存,且报文优先匹配本地访问控制列表。若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表,两者都匹配不上时,则默认进行明文转发。
表1-9 配置IPsec GDOI安全策略
配置任务 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一条IPsec GDOI安全策略,并进入IPsec 安全策略视图 |
ipsec policy policy-name seq-number gdoi |
必选 缺省情况下,没有IPsec GDOI安全策略存在 本命令的详细介绍请参见“安全命令参考”中的“IPsec” |
指定IPsec GDOI安全策略引用的GDOI GM组 |
group group-name |
必选 缺省情况下,IPsec GDOI安全策略没有引用任何GDOI GM组 一条IPsec GDOI安全策略下只能够引用一个GDOI GM组 |
引用本地访问控制列表 |
security acl acl-number |
可选 缺省情况下,没有配置本地访问控制列表 一般情况下,无需配置本地访问控制列表。如果需要本地对数据流进行管理时,则配置 本命令的详细介绍请参见“安全命令参考”中的“IPsec” |
· 对于IPsec GDOI安全策略,只有引用了已存在的GDOI GM组,且引用的GDOI GM组配置完整时(配置了组ID和KS地址),该策略才能生效。
· 一条IPsec安全策略只能引用一条本地访问控制列表,当报文匹配上本地访问控制列表的permit规则时,会被丢弃,因此请慎重配置本地访问控制列表的permit规则。
IPsec安全策略组是所有具有相同名字、不同顺序号的IPsec安全策略的集合。在同一个IPsec安全策略组中,顺序号越小的IPsec安全策略,优先级越高。IPsec安全策略的详细介绍,请参见“安全配置指导”中的“IPsec”。
当IPsec安全策略组应用到接口上时,如果该策略组中存在一条IPsec GDOI安全策略,且该策略引用的GDOI GM组配置了组ID和KS地址,则设备会向KS发起注册。当数据报文经过该接口时,如果报文匹配了该接口的本地访问控制列表,则丢弃;如果报文匹配了下载的访问控制列表,则该按照IPsec GDOI策略处理。
表1-10 在接口上应用IPsec GDOI安全策略组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
应用IPsec 安全策略组 |
ipsec policy policy-name |
必选 缺省情况下,接口下未应用任何IPsec安全策略组 本命令的详细介绍请参见“安全命令参考”中的“IPsec” |
在完成上述配置后,在任意视图下执行display命令可以显示配置后GDOI GM的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除GDOI GM的GDOI信息,并发起注册。
操作 |
命令 |
显示GDOI GM组信息 |
display gdoi gm [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示GM获取的IPsec SA信息 |
display gdoi gm ipsec sa [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示GM的简要信息 |
display gdoi gm members [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示GM的ACL信息 |
display gdoi gm acl [ download | local ] [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示GM的Rekey信息 |
display gdoi gm rekey [ verbose ] [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示GM接收到的公钥信息 |
display gdoi gm pubkey [ group group-name ] [ | { begin | exclude | include } regular-expression ] |
显示IKE SA相关信息 |
display ike sa [ active | standby | verbose [ connection-id connection-id | remote-address [ ipv6 ] remote-address ] ] [ | { begin | exclude | include } regular-expression ] |
显示IPsec SA相关信息 |
display ipsec sa [ active | brief | duration | policy policy-name [ seq-number ] | remote [ ipv6 ] ip-address | standby ] [ | { begin | exclude | include } regular-expression ] |
显示IPsec GDOI安全策略相关信息 |
display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ] |
清除GM的GDOI信息,并发起注册 |
reset gdoi gm [ group group-name ] |
display ike sa、display ipsec sa以及display ipsec policy命令的详细介绍,请见“安全命令参考”中的“IPsec”。
在如图1-5所示的组网环境中,需要组建一个Group Domain VPN,对以及各子网之间的数据流进行安全保护,具体要求如下:
· GM 1、GM 2和GM 3加入相同的GDOI组(组ID为12345),并向维护、管理该组的KS进行注册。
· 对各GM之间的数据进行IPsec保护时,采用的安全协议为ESP,加密算法为AES-CBC 128,认证算法为SHA1。
· 子网10.1.1.0到子网10.1.2.0的业务流量及子网10.1.1.0到子网10.1.3.0的业务流量受IPsec保护。
· GM与KS之间进行IKE协商时,使用预共享密钥的认证方法。
· KS采用组播方式向GM发送Rekey消息。
· KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时,使用预共享密钥的认证方法。
图1-5 Group Domain VPN典型配置组网图
· 请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。
· 请确保KS 1与KS 2之间路由可达。
· 请确保GM 1、GM 2、GM 3之间的组播报文可正常转发,以及KS和GM之间的组播Rekey报文可正常转发。
· 缺省情况下,KS采用组播方式向GM发送Rekey消息。本例中,若KS需要采用单播方式发送Rekey消息,仅需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。
(1) 配置KS 1
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<KS1> system-view
[KS1] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[KS1-ike-proposal-1] encryption-algorithm aes-cbc 128
# 指定IKE提议使用的认证算法为SHA1。
[KS1-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[KS1-ike-proposal-1] dh group2
[KS1-ike-proposal-1] quit
# 创建IKE对等体toks2,用于与KS 2之间的IKE协商。
[KS1] ike peer toks2
# 指定IKE对等体toks2引用IKE提议1。
[KS1-ike-peer-toks2] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS1-ike-peer-toks2] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为200.2.2.200。
[KS1-ike-peer-toks2] remote-address 200.2.2.200
[KS1-ike-peer-toks2] quit
# 创建IKE对等体togm,用于与GM之间的IKE协商。
[KS1] ike peer togm
# 指定IKE对等体togm引用IKE提议1。
[KS1-ike-peer-togm] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS1-ike-peer-togm] pre-shared-key simple tempkey1
[KS1-ike-peer-togm] quit
# 创建IPsec安全提议fortek。
[KS1] ipsec transform-set fortek
# 配置IPsec安全提议fortek使用ESP协议。
[KS1-ipsec-transform-set-fortek] transform esp
# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。
[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128
# 配置IPsec安全提议fortek使用SHA1认证算法。
[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1
[KS1-ipsec-transform-set-fortek] quit
# 创建IPsec安全框架fortek。
[KS1] ipsec profile fortek
# 配置IPsec安全框架fortek引用IPsec安全提议fortek
[KS1-ipsec-profile-fortek] transform-set fortek
[KS1-ipsec-profile-fortek] quit
# 创建名称为fortek的ACL。
[KS1] acl number 3000 name fortek
# 配置ACL规则,定义TEK保护的流量范围。因为这里业务流量为单播,所以规则要配置为对称的。
[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS1-acl-adv-3000-fortek] quit
# 创建访问控制列表forrekey。
[KS1] acl number 3001 name forrekey
# 配置Rekey的目的地址(组播地址)。
[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0
[KS1-acl-adv-3001-forrekey] quit
# 创建本地RSA密钥对,名称为rsa1。
[KS1] public-key local create rsa name rsa1
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
++++++++++++++++
+++++++
+++++++++
+++
# 导出名称为rsa1的本地密钥对,导出时使用的加密算法为3DES CBC,加密口令为12345678。该导出的密钥对信息被复制后,将用于导入到KS 2上。
[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He
sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V
gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE
Kj7FG/3/wzGsXu8WJQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C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-----END RSA PRIVATE KEY-----
# 创建GDOI KS组ks1。
[KS1] gdoi ks group ks1
# 配置GDOI KS组的ID为编号12345。
[KS1-gdoi-ks-group-ks1] identity number 12345
# 引用密钥对rsa1。
[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1
# 引用名称为forrekey的Rekey ACL。
[KS1-gdoi-ks-group-ks1] rekey acl name forrekey
# 创建一个GDOI KS组的IPsec策略,序号为10。
[KS1-gdoi-ks-group-ks1] ipsec 10
# 引用IPsec安全框架fortek。
[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek
# 引用名称为fortek的ACL。
[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek
[KS1-gdoi-ks-group-ks1-ipsec-10] quit
# 配置对端KS的IP地址为200.2.2.200。
[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200
# 配置KS发送报文的源地址为100.1.1.100。
[KS1-gdoi-ks-group-ks1] source address 100.1.1.100
# 配置本端优先级为10000。
[KS1-gdoi-ks-group-ks1] local priority 10000
# 开启冗余备份功能。
[KS1-gdoi-ks-group-ks1] redundancy enable
[KS1-gdoi-ks-group-ks1] quit
以上配置的具体步骤请参考KS的相关配置指导。
(2) 配置KS 2
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<KS2> system-view
[KS2] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[KS2-ike-proposal-1] encryption-algorithm aes-cbc 128
# 指定IKE提议使用的认证算法为SHA1。
[KS2-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[KS2-ike-proposal-1] dh group2
[KS2-ike-proposal-1] quit
# 创建IKE对等体toks1,用于与KS1之间的IKE协商。
[KS2] ike peer toks1
# 指定IKE对等体toks1引用IKE提议1。
[KS2-ike-peer-toks1] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS2-ike-peer-toks1] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为100.1.1.100。
[KS2-ike-peer-toks1] remote-address 100.1.1.100
[KS2-ike-peer-toks1] quit
# 创建IKE对等体togm,用于与GM之间的IKE协商。
[KS2] ike peer togm
# 指定IKE对等体togm引用IKE提议1。
[KS2-ike-peer-togm] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS2-ike-peer-togm] pre-shared-key simple tempkey1
[KS2-ike-peer-togm] quit
# 创建IPsec安全提议fortek。
[KS2] ipsec transform-set fortek
# 配置IPsec安全提议fortek使用ESP协议。
[KS2-ipsec-transform-set-fortek] transform esp
# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。
[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128
# 配置IPsec安全提议fortek使用SHA1认证算法。
[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1
[KS2-ipsec-transform-set-fortek] quit
# 创建IPsec安全框架fortek。
[KS2] ipsec profile fortek
# 配置IPsec安全框架fortek引用IPsec安全提议fortek。
[KS2-ipsec-profile-fortek] transform-set fortek
[KS2-ipsec-profile-fortek] quit
# 创建名称为fortek的ACL。
[KS2] acl number 3000 name fortek
# 配置ACL规则,定义TEK保护的流量范围。
[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS2-acl-adv-3000-fortek] quit
# 创建访问控制列表forrekey。
[KS2] acl number 3001 name forrekey
# 配置Rekey的目的地址(组播地址)。
[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0
[KS2-acl-adv-3001-forrekey] quit
# 将从KS1导出的RSA密钥以PEM格式导入到KS2,并命名为rsa1。此导入过程中,需要将从KS 1上复制的密钥信息粘贴到本端界面上。
[KS2] public-key local import rsa name rsa1 pem
Enter PEM-formatted certificate.
End with a Ctrl+C on a line by itself.
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C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-----END RSA PRIVATE KEY-----
^C
Please input the password:
# 创建GDOI KS组ks2。
[KS2] gdoi ks group
# 配置GDOI KS组的ID为编号12345。
[KS2-gdoi-ks-group-ks2] identity number 12345
# 引用密钥对rsa1。
[KS2-gdoi-ks-group-ks2] rekey authentication public-key rsa rsa1
# 引用名称为forrekey的Rekey ACL。
[KS2-gdoi-ks-group-ks2] rekey acl name forrekey
# 创建一个GDOI KS组的IPsec策略,序号为10。
[KS2-gdoi-ks-group-ks2] ipsec 10
# 引用IPsec安全框架fortek。
[KS2-gdoi-ks-group-ks2-ipsec-10] profile fortek
# 引用名称为fortek的ACL。
[KS2-gdoi-ks-group-ks2-ipsec-10] security acl name fortek
[KS2-gdoi-ks-group-ks2-ipsec-10] quit
# 配置对端KS的IP地址为100.1.1.100。
[KS2-gdoi-ks-group-ks2] peer address 100.1.1.100
# 配置KS发送报文的源地址为200.2.2.200。
[KS2-gdoi-ks-group-ks2]source address 200.2.2.200
# 配置本端优先级为100。
[KS2-gdoi-ks-group-ks2] local priority 100
# 开启冗余备份功能。
[KS2-gdoi-ks-group-ks2] redundancy enable
(3) 配置GM 1
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM1> system-view
[GM1] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM1-ike-proposal-1] encryption-algorithm aes-cbc 128
# 指定IKE提议使用的认证算法为SHA1。
[GM1-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM1-ike-proposal-1] dh group2
[GM1-ike-proposal-1] quit
# 创建IKE对等体toks1。
[GM1] ike peer toks1
# 指定IKE对等体toks1引用IKE提议1。
[GM1-ike-peer-toks1] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM1-ike-peer-toks1] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为100.1.1.100。
[GM1-ike-peer-toks1] remote-address 100.1.1.100
[GM1-ike-peer-toks1] quit
# 创建IKE对等体toks2。
[GM1] ike peer toks2
# 指定IKE对等体toks2引用IKE提议1。
[GM1-ike-peer-toks2] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM1-ike-peer-toks2] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为200.2.2.200。
[GM1-ike-peer-toks2] remote-address 200.2.2.200
[GM1-ike-peer-toks2] quit
# 创建GDOI GM组1。
[GM1] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM1-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM1-gdoi-gm-group-1] server address 100.1.1.100
[GM1-gdoi-gm-group-1] server address 200.2.2.200
[GM1-gdoi-gm-group-1] quit
# 创建GDOI类型的IPsec安全策略1。
[GM1] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM1-ipsec-policy-gdoi-map-1] group 1
[GM1-ipsec-policy-gdoi-map-1] quit
# 在接口Ethernet1/1上应用安全策略组。
[GM1] interface ethernet 1/1
[GM1-Ethernet1/1] ipsec policy map
[GM1-Ethernet1/1] quit
(4) 配置GM 2
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM2> system-view
[GM2] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM2-ike-proposal-1] encryption-algorithm aes-cbc 128
# 指定IKE提议使用的认证为SHA1。
[GM2-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM2-ike-proposal-1] dh group2
[GM2-ike-proposal-1] quit
# 创建IKE对等体toks1。
[GM2] ike peer toks1
# 指定IKE对等体1引用IKE提议1。
[GM2-ike-peer-toks1] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM2-ike-peer-toks1] pre-shared-key simple tempkey1
# 配置对端安全网关的IP地址为100.1.1.100。
[GM2-ike-peer-toks1] remote-address 100.1.1.100
[GM2-ike-peer-toks1] quit
# 创建IKE对等体toks2。
[GM2] ike peer toks2
# 指定IKE对等体2引用IKE提议1。
[GM2-ike-peer-toks2] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM2-ike-peer-toks2] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为200.2.2.200。
[GM2-ike-peer-toks2] remote-address 200.2.2.200
[GM2-ike-peer-toks2] quit
# 创建GDOI GM组1。
[GM2] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM2-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM2-gdoi-gm-group-1] server address 100.1.1.100
[GM2-gdoi-gm-group-1] server address 200.2.2.200
[GM2-gdoi-group-1] quit
# 创建GDOI类型IPsec安全策略1。
[GM2] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM2-ipsec-policy-gdoi-map-1] group 1
[GM2-ipsec-policy-gdoi-map-1] quit
# 在接口Ethernet1/1上应用IPsec安全策略组。
[GM2] interface ethernet 1/1
[GM2-Ethernet1/1] ipsec policy map
[GM2-Ethernet1/1] quit
(5) 配置GM 3
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM3> system-view
[GM3] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM3-ike-proposal-1] encryption-algorithm aes-cbc 128
# 指定IKE提议使用的认证算法为SHA1。
[GM3-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM3-ike-proposal-1] dh group2
[GM3-ike-proposal-1] quit
# 创建IKE对等体toks1。
[GM3] ike peer toks1
# 指定IKE对等体toks1引用IKE提议1。
[GM3-ike-peer-toks1] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM3-ike-peer-toks1] pre-shared-key simple tempkey1
# 配置对端安全网关的IP地址为100.1.1.100。
[GM3-ike-peer-toks1] remote-address 100.1.1.100
[GM3-ike-peer-toks1] quit
# 创建IKE对等体toks2。
[GM3] ike peer toks2
# 指定IKE对等体toks2引用IKE提议1。
[GM3-ike-peer-toks2] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[GM3-ike-peer-toks2] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为200.2.2.200。
[GM3-ike-peer-toks2] remote-address 200.2.2.200
[GM3-ike-peer-toks2] quit
# 创建GDOI GM组1。
[GM3] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM3-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM3-gdoi-gm-group-1] server address 100.1.1.100
[GM3-gdoi-gm-group-1] server address 200.2.2.200
[GM3-gdoi-gm-group-1] quit
# 创建GDOI类型IPsec安全策略1。
[GM3] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM3-ipsec-policy-gdoi-map-1] group 1
[GM3-ipsec-policy-gdoi-map-1] quit
# 在接口Ethernet1/1上应用IPsec安全策略组。
[GM3] interface ethernet 1/1
[GM3-Ethernet1/1] ipsec policy map
[GM3-Ethernet1/1] quit
以上配置完成后,GM 1、GM 2和GM 3分别向KS 1注册,可通过如下显示信息查看到GM 1在IKE协商成功后生成的IKE SA和Rekey SA。其中,connection-id为658的SA为IKE SA;connection-id为659的SA为Rekey SA。
[GM1] display ike sa
total phase-1 SAs: 2
connection-id peer flag phase doi status
----------------------------------------------------------------------------
658 100.1.1.100 RD|ST 1 GROUP --
659 100.1.1.100 RD|RK 1 GROUP --
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT RK--REKEY
IKE协商成功后生成的IPsec SA,可通过如下显示信息查看到有两组IPsec SA分别用于与不同的组成员之间进行安全通信。
[GM1] display ipsec sa
===============================
Interface: Ethernet1/1
path MTU: 1500
===============================
-----------------------------
IPsec policy name: "map"
sequence number: 1
mode: gdoi
-----------------------------
PFS: N, DH group: none
tunnel:
local address: 1.1.1.1
remote address: 0.0.0.0
flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: IP
current outbound spi: 0xDB865076(3683012726)
[inbound ESP SAs]
spi: 0xDB865076(3683012726)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 317
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/63
anti-replay detection: Disabled
spi: 0x640321A(104870426)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 325
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/853
anti-replay detection: Disabled
[outbound ESP SAs]
spi: 0xDB865076(3683012726)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 318
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/63
anti-replay detection: Disabled
spi: 0x640321A(104870426)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 326
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/853
anti-replay detection: Disabled
-----------------------------
IPsec policy name: "map"
sequence number: 1
mode: gdoi
-----------------------------
PFS: N, DH group: none
tunnel:
local address: 1.1.1.1
remote address: 0.0.0.0
flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: IP
dest addr: 10.1.3.0/255.255.255.0 port: 0 protocol: IP
current outbound spi: 0xDB865076(3683012726)
[inbound ESP SAs]
spi: 0xDB865076(3683012726)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 321
sa duration (kilobytes/sec): 0/340
sa remaining duration (kilobytes/sec): 0/61
anti-replay detection: Disabled
spi: 0x640321A(104870426)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 329
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/851
anti-replay detection: Disabled
[outbound ESP SAs]
spi: 0xDB865076(3683012726)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 322
sa duration (kilobytes/sec): 0/340
sa remaining duration (kilobytes/sec): 0/61
anti-replay detection: Disabled
spi: 0x640321A(104870426)
transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
in use setting: Transport
connection id: 330
sa duration (kilobytes/sec): 0/900
sa remaining duration (kilobytes/sec): 0/851
anti-replay detection: Disabled
GM 1向KS注册成功后,可通过如下显示信息查看到GM 1的注册信息。
[GM1] display gdoi gm
Group Name: 1
Group Identity : 12345
Rekeys Received : 129
IPsec SA Direction : Both
Group Server List : 100.1.1.100
Group Member : 1.1.1.1
Registration status : Registered
Registered with : 100.1.1.100
Re-register in : 81 sec
Succeeded registrations : 1
Attempted registrations : 1
Last rekey from : 100.1.1.100
Last rekey seq num : 1
Multicast rekeys received: 0
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
Rekeys Cumulative
Total received : 129
After latest registration: 129
Rekey received (hh:mm:ss): 00:00:57
ACL Downloaded From KS 100.1.1.100:
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
rule 3 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
KEK Policy:
Rekey transport type : Multicast
Lifetime (sec) : 243
Encrypt algorithm : AES
Key size : 128
Sig hash algorithm : SHA1
Sig key length (bit) : 2048
TEK Policy:
Interface Ethernet1/1:
IPsec SA:
SPI: 0x640321A(104870426)
Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
SA timing:
remaining key lifetime (sec): 123
Anti-replay detection: Disabled
以上配置完成后,如果子网10.1.1.0/24与子网10.1.2.0/24之间有报文传输,将分别由GM 1和GM 2进行加密/解密处理。
在KS 1上可以看到GM的注册信息。
<KS1> display gdoi ks members
Group Name: ks1
Group member ID : 1.1.1.1
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
Group member ID : 2.2.2.2
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
Group member ID : 3.3.3.3
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
类似地,在KS2上也可以看到所有GM的注册信息。
在KS1上可以看到与KS2之间的冗余备份相关信息。
<KS1> display gdoi ks redundancy
Group Name :ks1
Local address : 100.1.1.100
Local version : 1.0
Local priority : 10000
Local role : Primary
Primary address : 100.1.1.100
Sessions:
Peer address : 200.2.2.200
Peer version : 1.0
Peer priority : 100
Peer role : Secondary
Peer status : Ready
在KS2上可以看到与KS1之间的冗余备份相关信息。
<KS2> display gdoi ks redundancy
Group Name :ks2
Local address : 200.2.2.200
Local version : 1.0
Local priority : 100
Local role : Secondary
Primary address : 100.1.1.100
Sessions:
Peer address : 100.1.1.100
Peer version : 1.0
Peer priority : 10000
Peer role : Primary
Peer status : Ready
一阶段IKE协商失败。
如果是GM与KS之间的IKE协商失败,则有可能的原因是GM和KS的IKE配置不匹配,或者GM与KS之间路由不可达。
如果是KS之间的IKE协商失败,则有可能的原因是各KS的IKE配置不匹配,或者KS之间路由不可达。
可以通过以下显示信息看到,没有IKE SA生成:
<Router> display ike sa
total phase-1 SAs: 0
connection-id peer flag phase doi status
----------------------------------------------------------------------------
如果是GM与KS之间的IKE协商失败,则检查GM上配置的IKE提议和IKE对等体是否与KS上配置的相匹配,并检查GM到KS是否路由可达。
如果是KS之间的IKE协商失败,则检查KS上配置的IKE提议和IKE对等体是否匹配,并检查KS之间是否路由可达。
GM无法向KS注册成功。
可以通过以下显示信息看到,只有一阶段IKE协商成功,生成了一个IKE SA,没有生成Rekey SA和IPsec SA:
<Router> display ike sa
total phase-1 SAs: 1
connection-id peer flag phase doi status
----------------------------------------------------------------------------
18 90.1.1.1 RD|ST 1 GROUP --
检查GM和KS配置的组ID是否一致。
多个KS配置了冗余备份,但无法建立冗余备份关系,仍然各自独立工作。
可以通过以下显示信息看到,KS之间的冗余备份关系没有建立,各KS都认为自己是主KS。
<KS1> display gdoi ks redundancy
Group Name :ks1
Local address : 100.1.1.100
Local version : 1.0
Local priority : 10000
Local role : Primary
Primary address : 100.1.1.100
Sessions:
Session 1:
Peer address : 200.2.2.200
Peer version : Unknown
Peer priority : Unknown
Peer role : Unknown
Peer status : Down
检查各KS配置的组ID是否一致。
检查各KS之间的路由是否可达。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!