28-Group Domain VPN配置

1 Group Domain VPN

1.1 Group Domain VPN简介

Group Domain VPN（Group Domain Virtual Private Network，组域虚拟专用网络）是一种实现密钥和安全策略集中管理的VPN解决方案。传统的IPsec VPN是一种点到点的隧道连接，而Group Domain VPN是一种点到多点的无隧道连接。Group Domain VPN主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。

Group Domain VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合，属于同一个组的所有成员共享相同的安全策略及密钥。Group Domain VPN由KS（Key Server，密钥服务器）和GM（Group Member，组成员）组成。其中，KS通过划分不同的组来管理不同的安全策略和密钥；GM通过加入相应的组，从KS获取安全策略及密钥，并负责对数据流量加密和解密。

相比较传统的IPsec VPN，Group Domain VPN具有如下优点：

· 网络扩展性强。传统的IPsec VPN中，每对通信对等体之间都需要建立IKE SA和IPsec SA，管理复杂度为N²，而Group Domain VPN中所有组成员之间共用一对IPsec SA，管理复杂度低，可扩展性更好。

· 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接，由于封装了新的IP头，需要重新部署路由。Group Domain VPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全相同，因此，不需要改变原有部署的路由。

· 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头，报文在网络中传输时，需要重新配置QoS策略。Group Domain VPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。

· 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接，当需要对组播报文进行IPsec保护时，本端需要向组播组里的每个对端均发送一份加密报文，因此组播效率低。Group Domain VPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播效率高。

· 可提供any-to-any的连通性。所有组成员共用一对IPsec SA，同一个组中的任意两个组成员之间都可以实现报文的加密和解密，真正实现了所有节点之间的互联。

1.1.1 Group Domain VPN的组网结构

Group Domain VPN的典型组网结构如图1-1所示，其中包括两大组成元素，KS和GM。

图1-1 Group Domain VPN组网结构示意图

1. KS（Key Server，密钥服务器）

KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任：响应GM的注册请求，以及发送Rekey消息。当一个GM向KS进行注册时，KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新，在密钥生存周期超时前，KS会通过Rekey消息通知所有GM更新密钥。

KS下发的密钥包括两种类型：

· TEK（tranfic encrytion key，加密流量的密钥）：由组内的所有GM共享，用于加密GM之间的流量。

· KEK（key encrytion key，加密密钥的密钥）：由组内的所有GM共享，用于加密KS向GM发送的Rekey消息。

可以通过配置，使多个KS之间进行冗余备份，以提供高可靠性和提供注册服务的负载分担。

2. GM（Group Member，组成员）

GM是一组共享相同安全策略且有安全通信需求的网络设备。它在KS上注册，并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID，KS根据这个组ID将对应组的安全策略和密钥下发给该GM。

1.1.2 Group Domain VPN的工作机制

Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。

1. GM向KS注册

在GM的某接口上应用了Group Domain VPN的相关IPsec策略后，GM会向KS发起注册，这个注册过程包括两个阶段的协商：IKE协商和GDOI（Group Domain of Interpretation，组解释域）协商，具体内容如下：

(1) 第一阶段的IKE协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，生成用于保护二阶段GDOI协商的IKE SA。

(2) 第二阶段的GDOI协商：这是一个GM从KS上“拉”安全策略的过程，其具体的协议过程由GDOI协议定义，可参见RFC3547中关于GROUPKEY-PULL交换的描述。

具体的注册过程包括图1-2所示的五个步骤：

图1-2 注册过程流程图

(1) GM与KS进行一阶段IKE协商；

(2) GM向KS发送所在组的ID；

(3) KS根据GM提供的组ID向GM发送相应组的安全策略（保护的数据流信息、加密算法、认证算法、封装模式等）；

(4) GM对收到的安全策略进行验证，如果这些策略是可接受的（例如安全协议和加密算法是可支持的），则向KS发送确认消息；

(5) KS收到GM的确认消息后，向GM发送密钥信息（KEK、TEK）。

通过这个过程，GM把KS上的安全策略和密钥“拉”到了本地。此后，就可以利用获取的安全策略和密钥在GM之间加密、解密传输的数据了。

在GM向KS发起注册时，GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功，则表示当前的注册过程失败，GM会重新发起注册。该定时器的时间不可配，且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。

2. 数据保护

GM完成注册之后，将使用获取到的IPsec SA对符合安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。

与传统的IPsec类似，Group Domain VPN也支持隧道和传输两种封装模式，该模式由KS决定并下发给GM。

· 隧道模式：首先在原有的IP报文外部封装安全协议头（AH头或ESP头，目前Group Domain VPN不支持AH协议），然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。

图1-3 隧道模式Group Domain VPN数据封装示意图

· 传输模式：在原有的IP报文头与报文数据之间封装安全协议头，不对原始的IP报文头做任何修改。

与传统IPsec VPN相同，Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍，请参见“MPLS配置指导”中的“MPLS L3VPN”。

3. 密钥更新（Rekey）

GM向KS注册后，如果KS上配置了Rekey的相关参数（具体配置请参见KS的相关配置指导），则KS会向GM发送密钥更新SA（Rekey SA）。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前，KS将通过密钥更新消息（也称为Rekey消息）定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA，该Rekey消息使用当前的Rekey SA进行加密，GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述，请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息，将会重新向KS发起一次注册，把安全策略和密钥“拉”过来。

· 由KS来决定采用单播或组播的方式向GM发送Rekey消息，缺省情况下KS采用组播发送方式。

· KS在GM注册的过程中，会将本端的公钥信息下发给GM。

1.1.3 KS冗余备份

在一个Group Domain VPN组网中可以部署多个KS，这些KS以冗余备份的方式工作，可实现高可靠性和部分负载分担。如图1-4所示。

图1-4 KS冗余备份组网示意图

互为冗余备份的一组KS中，包括一个主KS和多个备KS。主KS负责创建和维护密钥，并将生成的密钥、收集的GM注册信息发送给该组中的所有备KS，以及对所有已注册的GM进行Rekey。备KS自身不会生成密钥，它使用从主KS获得的密钥。主KS和所有备KS都可以接受GM注册，因此备KS可以与主KS一起分担对GM的注册服务。当备KS上有新的GM完成注册后，备KS将把该GM的注册信息发送给主KS。

以冗余备份的方式工作的多个KS，通过H3C私有的冗余备份协议，协同进行选举、数据交换和保活三项工作。

1. 选举

多个协同工作的KS通过选举，决定其中一个为主KS，其余为备KS。选举的原则是优先级最高的KS为主，优先级由KS上的配置决定，具体配置及优先级决定方式请参见“1.3.4 配置GDOI KS冗余备份”。

当主KS发生故障（例如，主KS掉电），其余工作状态正常的备KS会重新发起选举，并产生一个新的主KS。

2. 数据交换

数据交换用于在主KS与备KS之间交换数据信息，以保持各KS之间数据一致，实现数据的备份。这个过程中，主KS向各备KS同步密钥和GM注册信息，备KS向主KS同步自己获得的新的GM的注册信息。

3. 保活

主KS会定期向所有备KS发送Hello报文。备KS会监测是否能定期收到主KS的Hello报文。如果备KS能定期收到Hello报文，则认为主KS工作状态正常；否则认为主KS发生故障，则与其它备KS重新选举，产生一个新的主KS。在备KS重新选举期间，备KS不接收任何GM的注册请求。

1.1.4 协议规范

与Group Domain VPN相关的协议规范有：

· RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)

· RFC 3547：The Group Domain of Interpretation(GDOI)

· RFC 3740：The Multicast Group Security Architecture

· RFC 5374：Multicast Extensions to the Security Architecture for the Internet Protocol

1.2 Group Domain VPN配置限制和指导

· KS与GM上的IKE配置必须匹配，否则会导致一阶段IKE协商失败。

· 有冗余备份关系的主KS和备KS上的IKE配置必须匹配，否则会导致一阶段IKE协商失败。

1.3 配置GDOI KS

1.3.1 配置准备

· 配置IKE：包括与GM进行一阶段协商的IKE提议和IKE对等体，该IKE对等体的对端安全网关地址为GM的注册接口地址。在KS冗余备份组网环境中，还必须配置用来与其它KS进行一阶段IKE协商的IKE提议和IKE对等体，该IKE对等体的对端安全网关地址为对端KS的IP地址。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。

· 配置IPsec：包括用来生成TEK的IPsec安全框架。IPsec的具体配置步骤请参见“安全配置指导”中的“IPsec”。

· 配置ACL：ACL的配置用来确定TEK保护的流量的范围，以及指定以组播方式发送Rekey消息的目的地址和源地址。

1.3.2 GDOI KS配置任务简介

表1-1 GDOI KS配置任务简介

配置任务			说明	详细配置
GDOI KS基本配置	配置GDOI KS组		必选	1.3.3
	配置组ID
	引用密钥对
	配置Rekey ACL
	配置IPsec策略	配置IPsec策略的序号
		引用IPsec框架
		引用ACL
GDOI KS冗余备份配置	配置对端KS的IP地址		可选	1.3.4
	配置本端优先级
	开启冗余备份功能
配置KS发送报文的源地址			必选	1.3.5
配置Rekey参数	配置Rekey加密算法		可选	1.3.6
	配置KEK的生命周期
	配置以单播方式发送Rekey消息
	配置Rekey消息重传的间隔和重传的次数

1.3.3 GDOI KS基本配置

一台设备上可以同时存在多个GDOI KS组。一个GDOI KS组中包含了一个GDOI KS所需的所有配置。GDOI KS的基本配置完成后，即可使用KS的基本功能。GDOI KS的基本配置介绍如下：

· 组名：GDOI KS组在设备上的一个配置标识，仅用于本地配置管理。

· 组ID：GDOI KS组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要加入的GDOI组。一个GDOI组只能使用组号或者IP地址作为组ID，且只能配置一个组ID。

· 密钥对：用于生成携带在Rekey消息中的数字签名的本地非对称密钥对。每个GDOI KS组中只能引用一个密钥对。密钥对的公钥部分，会作为KEK的一部分，下发给GM，GM使用该公钥验证KS的签名。

· Rekey ACL：用于指定以组播方式发送Rekey消息的目的地址和源地址的ACL。每个GDOI KS组中只能配置一个Rekey ACL。

· IPsec策略：一个配置集合，用于描述TEK的安全策略和要保护的数据流量的范围，具体包括引用的IPsec安全框架和ACL。

配置限制和指导：

· 配置GM时，GM组的组ID必须跟它要注册的KS所在组的组ID相同。

· 一个GDOI KS组只能配置一个组ID，后配置的组ID会覆盖前面配置的组ID。

· 不同GDOI组中指定的组ID不允许相同。

· 当要保护的业务流量为单播时，IPsec策略引用的ACL中配置的所有规则必须是成对出现，且每一对规则的源和目的地址对称。

· 当要保护的业务流量为组播时，限定组播发送Rekey消息范围的ACL中配置的目的地址不能与业务流量的目的地址相同。

· GDOI KS组的IPsec策略所引用的ACL中可定义多条规则，但KS实际可成功下发给GM的ACL规则数目受限于GDOI报文的大小以及当前已有TEK的数目。在GDOI KS组中只配置一个IPsec策略的情况下，建议引用的ACL中定义的规则数目不超过200条。如果KS组中配置了多个IPsec策略，则配置的ACL规则数目需要参考以上建议值相应减少。

· 在KS端连续执行强制Rekey操作时，会产生大量的TEK，此时有可能会导致KS不能全部下发TEK和ACL规则。

表1-2 配置GDOI KS基本配置

配置任务	命令	说明
进入系统视图	system-view	-
创建一个GDOI KS组，并进入GDOI KS组视图	gdoi ks group group-name	必选缺省情况下，不存在GDOI KS组
配置GDOI KS组的组ID	identity { address ip-address \| number number }	必选缺省情况下，未定义GDOI KS组的组ID 一个GDOI KS组只能有一种类型的标识，IP地址或者组号
配置Rekey过程中KS使用的密钥对	rekey authentication public-key rsa key-name	必选缺省情况下，未引用密钥对
指定用于限定组播发送Rekey消息范围的ACL	rekey acl { acl-number \| name acl-name }	必选缺省情况下，未配置Rekey ACL
创建一个GDOI KS组的IPsec策略，并进入GDOI KS IPsec策略视图	ipsec sequence-number	必选缺省情况下，不存在IPsec策略。一个GDOI KS组中可以配置多个IPsec策略。
配置GDOI KS IPsec策略引用的IPsec安全框架	profile ipsec-profile-name	必选缺省情况下，未引用IPsec安全框架
配置GDOI KS IPsec策略引用的ACL	security acl { acl-number \| name acl-name}	必选缺省情况下，未引用ACL

1.3.4 配置GDOI KS冗余备份

配置GDOI KS冗余备份可实现高可靠性和部分负载分担。在对KS的可靠性要求较高的场景下，可以配置GDOI KS冗余备份。GDOI KS冗余备份的配置介绍如下：

· 配置对端KS的IP地址：其它与本KS有冗余备份关系的KS的IP地址。

· 配置本端优先级：用于与其它KS选举时决定哪个KS是主。优先级的值越大，优先级越高，越有可能被选为主。选举过程中，如果各KS配置的优先级相同，则比较各KS的IP地址，IP地址值大的KS优先级较高。

· 开启冗余备份功能：冗余备份功能的开关，必须打开该开关，冗余备份功能才可以生效。

· 发送和接收冗余备份Hello报文的参数：用于配置本端作为主KS时，发送冗余备份Hello报文的时间间隔，以及本端作为备KS时，连续多少次未收到主KS发送的冗余备份Hello报文才能认为和主KS的连接已经中断。合理配置发送Hello报文的时间间隔和最大次数可让备KS及时感知主KS的存活状态。

· 冗余备份报文的重传参数：用于调整除Hello报文之外的冗余备份报文的重传间隔或者重传次数。

配置限制和指导：

· 以冗余备份方式协同工作的各KS上的KS组配置必须保持一致（除对端IP地址、本端优先级、发送KS报文的源地址之外）。

· 一个GDOI KS组可以配置多个对端KS的IP地址，且必须指定互为冗余备份的所有对端KS的IP地址。

· 本端KS上指定的对端KS的IP地址必须和该对端KS发送冗余备份协议报文使用的源地址一致。

表1-3 配置GDOI KS冗余备份

配置任务	命令	说明
进入系统视图	system-view	-
配置KS监听冗余备份报文的UDP端口号	gdoi ks redundancy port	缺省情况下，KS监听冗余备份报文的UDP端口号为19000
进入GDOI KS组视图	gdoi ks group group-name	-
指定对端KS的IP地址	peer address ip-address	必选缺省情况下，未配置对端KS的IP地址
配置本端优先级	local priority priority	可选缺省情况下，本端优先级为1，即最低优先级
开启冗余备份功能	redundancy enable	必选缺省情况下，开冗余备份功能处于关闭状态
配置发送冗余备份Hello报文的时间间隔和接收冗余备份Hello报文的最大次数	redundancy hello { interval interval \| number number } *	可选缺省情况下，本端作为主KS发送冗余备份Hello报文的时间间隔为20秒，本端作为备KS连续3次没有接收到主KS的冗余备份Hello报文则重新选举主 KS
配置重传冗余备份报文的时间间隔和最大次数	redundancy retransmit { interval interval \| number number } *	可选缺省情况下，重传冗余备份报文的时间间隔为10秒、最大次数为2次

1.3.5 配置KS发送的报文的源地址

该配置用于指定KS发送GROUPKEY-PUSH协议报文和冗余备份协议报文时使用的的源地址。

表1-4 配置KS发送的报文的源地址

配置任务	命令	说明
进入系统视图	system-view	-
进入GDOI KS组视图	gdoi ks group group-name	-
配置KS发送使用的报文的源地址	source address ip-address	必选缺省情况下，未配置KS发送的报文的源地址，KS以Rekey ACL中第一个规则中的源地址作为KS发送报文的源地址 Rekey ACL的相关配置请参见“1.3.3 GDOI KS基本配置”

1.3.6 配置Rekey参数

Rekey参数的配置介绍如下：

· 配置Rekey加密算法：该配置用于指定Rekey的加密算法，即KEK所采用的加密算法。

· 配置KEK的生命周期：指定KEK的生命周期。

· 配置以单播方式发送Rekey消息：缺省情况下，设备以组播方式发送Rekey消息，仅当设备所处的环境中无法使用组播的情况下，才需要指定以单播方式发送Rekey消息。但需要注意的是，以单播方式发送Rekey消息，会增加设备的处理开销，影响性能，因此建议在条件允许的情况下，尽量以组播方式发送Rekey消息。

· 配置Rekey消息重传的间隔和重传的次数：用于指定Rekey消息重传的间隔和重传的次数。

表1-5 配置Rekey参数

配置任务	命令	说明
进入系统视图	system-view	-
进入GDOI KS组视图	gdoi ks group group-name	-
配置Rekey加密算法	rekey encryption { 3des-cbc \| aes-cbc-128 \| aes-cbc-192 \| aes-cbc-256 \| des-cbc }	可选缺省情况下，加密算法为3DES-CBC
配置KEK的生命周期	rekey lifetime seconds number-of-seconds	可选缺省情况下，KEK的生命周期为86400秒
配置以单播方式发送Rekey消息	rekey transport unicast	可选缺省情况下，以组播方式发送Rekey消息
配置Rekey消息重传的间隔和重传的次数	rekey retransmit { interval number-of-seconds \| number number-of-retransmissions } *	可选缺省情况下，重传间隔为10秒，重传2次

1.3.7 GDOI KS显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后GDOI KS的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GDOI KS的信息。

表1-6 GDOI KS显示和维护

操作	命令
显示GDOI KS信息	display gdoi ks [ group group-name ]
显示KS组引用的ACL	display gdoi ks acl [ group group-name ]
显示KS 冗余备份相关的信息	display gdoi ks redundancy [ group group-name ]
显示KS组的上线的组成员信息	display gdoi ks members [ group group-name ] [ ip ip-address ]
显示KS组的Rekey信息	display gdoi ks rekey [ group group-name ]
显示KS的策略信息	display gdoi ks policy [ group group-name ]
清除GDOI KS的相关信息	reset gdoi ks [ group group-name ]
复位所有KS的冗余备份角色	reset gdoi ks redundancy role [ group group-name ]
清除GDOI KS组成员信息	reset gdoi ks members [ group group-name ]
清除GM的GDOI信息，并发起注册	reset gdoi [ group group-name ]
强制Rekey	gdoi ks rekey [ group group-name ]

1.4 配置GDOI GM

1.4.1 GDOI GM配置任务简介

GDOI GM需要IKE的相关配置进行配合，IKE的配置包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE对等体。该IKE对等体的对端安全网关地址为KS的IP地址。IKE的具体配置步骤请参见“安全配置指导”中的“IKE”。

表1-7 GDOI GM配置任务简介

配置任务	说明	详细配置
配置GDOI GM组	必选	1.4.2
配置IPsec GDOI安全策略	必选	1.4.3
接口上应用IPsec GDOI安全策略	必选	1.4.4

1.4.2 配置GDOI GM组

在GM上可以同时存在多个GDOI GM组。一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息，包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下：

· 组名：GDOI GM组在设备上的一个配置标识，仅用于本地配置管理和引用。

· 组ID：GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册，GM提交的组ID必须与它要加入的KS的组ID一致。一个GDOI GM组只能使用组号或者IP地址作为组ID，且只能配置一个组ID。

· KS地址：GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置8个KS地址，其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册，如果无法成功注册，则在GDOI注册定时器超时后，会依次向后续配置的KS地址发起注册，直到注册成功为止；如果GM向所有的KS地址发起的注册都失败，则会继续从第一个KS地址开始重复以上过程。

· 注册接口：GM通过注册接口向KS发起注册。缺省情况下，GDOI GM组通过到达KS的路由来确定注册接口。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同，也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时，可指定设备上的其它接口（物理接口或逻辑接口）作为注册接口。

配置限制和指导：

· 一个GDOI GM组只能配置一个组ID，后配置的组ID会覆盖前面配置的组ID。

· 不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。

表1-8 配置GDOI GM组

配置任务	命令	说明
进入系统视图	system-view	-
创建一个GDOI GM组，并进入GDOI GM组视图	gdoi gm group group-name	必选缺省情况下，不存在GDOI GM组
配置GDOI GM组的组ID	identity { address ip-address \| number number }	必选缺省情况下，未定义GDOI GM组的组ID 一个GDOI GM组只能有一种类型的标识，IP地址或者组号
配置GDOI GM组的KS地址	server address ip-address	必选缺省情况下，未指定KS的IP地址
配置GDOI GM组的注册接口	client registration interface interface-type interface-number	可选缺省情况下， GDOI GM组通过到达KS的路由来确定注册接口

1.4.3 配置IPsec GDOI安全策略

一条IPsec GDOI安全策略由“名字”和“顺序号”共同唯一确定，顺序号小的优先级高。IPsec GDOI安全策略视图下指定了引用的GDOI GM组，以及本地访问控制列表。IPsec GDOI安全策略视图下，目前包括且仅包括以下两个配置：

· IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址，以及注册的组ID；

· IPsec GDOI安全策略可以通过引用一个本地配置的访问控制列表（称为本地访问控制列表）决定哪些报文需要丢弃，哪些报文需要明文转发。当匹配本地访问控制列表的结果为permit时，报文会被丢弃；当匹配本地访问控制列表的结果为deny时，报文会被明文转发。

GM向KS注册后，会从KS上获取安全策略，其中包含了KS上配置的访问控制列表（称为下载的访问控制列表）。KS上配置的访问控制列表用来控制GM的行为，即决定GM上的哪些报文需要加密，哪些报文需要明文转发。对于GM收到的报文，匹配下载的访问控制列表的结果为permit时，会被加密；匹配下载的访问控制列表的结果为deny时，会以明文形式转发。如果报文没有匹配任何下载的访问控制列表，默认的处理方式是明文转发。

如果IPsec GDOI安全策略中配置了本地访问控制列表，则GM向KS注册后，两种类型的访问控制列表将在GM上共存，且报文优先匹配本地访问控制列表。若报文没有匹配到本地访问控制列表的任何规则，则会接着匹配下载的访问控制列表，两者都匹配不上时，则默认进行明文转发。

表1-9 配置IPsec GDOI安全策略

配置任务	命令	说明
进入系统视图	system-view	-
创建一条IPsec GDOI安全策略，并进入IPsec 安全策略视图	ipsec policy policy-name seq-number gdoi	必选缺省情况下，没有IPsec GDOI安全策略存在本命令的详细介绍请参见“安全命令参考”中的“IPsec”
指定IPsec GDOI安全策略引用的GDOI GM组	group group-name	必选缺省情况下，IPsec GDOI安全策略没有引用任何GDOI GM组一条IPsec GDOI安全策略下只能够引用一个GDOI GM组
引用本地访问控制列表	security acl acl-number	可选缺省情况下，没有配置本地访问控制列表一般情况下，无需配置本地访问控制列表。如果需要本地对数据流进行管理时，则配置本命令的详细介绍请参见“安全命令参考”中的“IPsec”

· 对于IPsec GDOI安全策略，只有引用了已存在的GDOI GM组，且引用的GDOI GM组配置完整时（配置了组ID和KS地址），该策略才能生效。

· 一条IPsec安全策略只能引用一条本地访问控制列表，当报文匹配上本地访问控制列表的permit规则时，会被丢弃，因此请慎重配置本地访问控制列表的permit规则。

· GDOI协议报文与非首片报文不进行IPsec GDOI安全策略的匹配。

· 目的地址为本机的待解封装的IPsec报文不与IPsec GDOI安全策略中的本地访问控制列表进行匹配，仅与下载的访问控制列表进行匹配。

1.4.4 在接口上应用IPsec GDOI安全策略组

IPsec安全策略组是所有具有相同名字、不同顺序号的IPsec安全策略的集合。在同一个IPsec安全策略组中，顺序号越小的IPsec安全策略，优先级越高。IPsec安全策略的详细介绍，请参见“安全配置指导”中的“IPsec”。

当IPsec安全策略组应用到接口上时，如果该策略组中存在一条IPsec GDOI安全策略，且该策略引用的GDOI GM组配置了组ID和KS地址，则设备会向KS发起注册。当数据报文经过该接口时，如果报文匹配了该接口的本地访问控制列表，则丢弃；如果报文匹配了下载的访问控制列表，则该按照IPsec GDOI策略处理。

表1-10 在接口上应用IPsec GDOI安全策略组

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
应用IPsec 安全策略组	ipsec policy policy-name	必选缺省情况下，接口下未应用任何IPsec安全策略组本命令的详细介绍请参见“安全命令参考”中的“IPsec”

一个接口只能应用一个IPsec安全策略组。通过GDOI方式创建的IPsec安全策略可以应用到多个接口上。

1.4.5 GDOI GM显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后GDOI GM的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GDOI GM的GDOI信息，并发起注册。

表1-11 Group Domain VPN显示和维护

操作	命令
显示GDOI GM组信息	display gdoi gm [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示GM获取的IPsec SA信息	display gdoi gm ipsec sa [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示GM的简要信息	display gdoi gm members [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示GM的ACL信息	display gdoi gm acl [ download \| local ] [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示GM的Rekey信息	display gdoi gm rekey [ verbose ] [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示GM接收到的公钥信息	display gdoi gm pubkey [ group group-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示IKE SA相关信息	display ike sa [ active \| standby \| verbose [ connection-id connection-id \| remote-address [ ipv6 ] remote-address ] ] [ \| { begin \| exclude \| include } regular-expression ]
显示IPsec SA相关信息	display ipsec sa [ active \| brief \| duration \| policy policy-name [ seq-number ] \| remote [ ipv6 ] ip-address \| standby ] [ \| { begin \| exclude \| include } regular-expression ]
显示IPsec GDOI安全策略相关信息	display ipsec policy [ brief \| name policy-name [ seq-number ] ] [ \| { begin \| exclude \| include } regular-expression ]
清除GM的GDOI信息，并发起注册	reset gdoi gm [ group group-name ]

display ike sa、display ipsec sa以及display ipsec policy命令的详细介绍，请见“安全配置指导”中的“IPsec”。

1.5 Group Domain VPN典型配置举例

1.5.1 Group Domain VPN典型配置举例

1. 组网需求

在如图1-5所示的组网环境中，需要组建一个Group Domain VPN，对以及各子网之间的数据流进行安全保护，具体要求如下：

· GM 1、GM 2和GM 3加入相同的GDOI组（组ID为12345），并向维护、管理该组的KS进行注册。

· 对各GM之间的数据进行IPsec保护时，采用的安全协议为ESP，加密算法为AES-CBC 128，认证算法为SHA1。

· 子网10.1.1.0到子网10.1.2.0的业务流量及子网10.1.1.0到子网10.1.3.0的业务流量受IPsec保护。

· GM与KS之间进行IKE协商时，使用预共享密钥的认证方法。

· KS采用组播方式向GM发送Rekey消息。

· KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时，使用预共享密钥的认证方法。

2. 组网图

图1-5 Group Domain VPN典型配置组网图

3. 配置步骤

· 请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。

· 请确保KS 1与KS 2之间路由可达。

· 请确保GM 1、GM 2、GM 3之间的组播报文可正常转发，以及KS和GM之间的组播Rekey报文可正常转发。

· 缺省情况下，KS采用组播方式向GM发送Rekey消息。本例中，若KS需要采用单播方式发送Rekey消息，仅需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。

(1) 配置KS 1

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

<KS1> system-view

[KS1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS1-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS1-ike-proposal-1] dh group2

[KS1-ike-proposal-1] quit

# 创建IKE对等体toks2，用于与KS 2之间的IKE协商。

[KS1] ike peer toks2

# 指定IKE对等体toks2引用IKE提议1。

[KS1-ike-peer-toks2] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-toks2] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为200.2.2.200。

[KS1-ike-peer-toks2] remote-address 200.2.2.200

[KS1-ike-peer-toks2] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS1] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS1-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-togm] pre-shared-key simple tempkey1

[KS1-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS1] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS1-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS1-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS1] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek

[KS1-ipsec-profile-fortek] transform-set fortek

[KS1-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS1] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。因为这里业务流量为单播，所以规则要配置为对称的。

[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS1] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS1-acl-adv-3001-forrekey] quit

# 创建本地RSA密钥对，名称为rsa1。

[KS1] public-key local create rsa name rsa1

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 导出名称为rsa1的本地密钥对，导出时使用的加密算法为3DES CBC，加密口令为12345678，该导出的密钥对信息被复制后，将用于导入到KS 2上。

[KS1] public-key local export rsa name rsa1 pem 3des-cbc 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

# 创建GDOI KS组ks1。

[KS1] gdoi ks group ks1

# 配置GDOI KS组的ID为编号12345。

[KS1-gdoi-ks-group-ks1] identity number 12345

# 引用密钥对rsa1。

[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS1-gdoi-ks-group-ks1] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略，序号为10。

[KS1-gdoi-ks-group-ks1] ipsec 10

# 引用IPsec安全框架fortek。

[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek

[KS1-gdoi-ks-group-ks1-ipsec-10] quit

# 配置对端KS的IP地址为200.2.2.200。

[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200

# 配置KS发送报文的源地址为100.1.1.100。

[KS1-gdoi-ks-group-ks1] source address 100.1.1.100

# 配置本端优先级为10000。

[KS1-gdoi-ks-group-ks1] local priority 10000

# 开启冗余备份功能。

[KS1-gdoi-ks-group-ks1] redundancy enable

[KS1-gdoi-ks-group-ks1] quit

以上配置的具体步骤请参考KS的相关配置指导。

(2) 配置KS 2

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

<KS2> system-view

[KS2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS2-ike-proposal-1] encryption-algorithm aes-cbc 128

# 指定IKE提议使用的认证算法为SHA1。

[KS2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS2-ike-proposal-1] dh group2

[KS2-ike-proposal-1] quit

# 创建IKE对等体toks1，用于与KS1之间的IKE协商。

[KS2] ike peer toks1

# 指定IKE对等体toks1引用IKE提议1。

[KS2-ike-peer-toks1] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-toks1] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为100.1.1.100。

[KS2-ike-peer-toks1] remote-address 100.1.1.100

[KS2-ike-peer-toks1] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS2] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS2-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-togm] pre-shared-key simple tempkey1

[KS2-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS2] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS2-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS2-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS2] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek。

[KS2-ipsec-profile-fortek] transform-set fortek

[KS2-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS2] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。

[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS2] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS2-acl-adv-3001-forrekey] quit

# 将从KS1导出的RSA密钥以PEM格式导入到KS2，并命名为rsa1。此导入过程中，需要将从KS 1上复制的密钥信息粘贴到本端界面上。

[KS2] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.