10-Group Domain VPN配置
本章节下载: 10-Group Domain VPN配置 (452.99 KB)
Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和IPsec安全策略集中管理的点到多点无隧道连接VPN解决方案,主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。Group Domain VPN提供了一种基于组的IPsec安全模型,属于同一个组的所有成员共享相同的安全策略及密钥。
相比较传统的IPsec VPN,Group Domain VPN具有如下优点:
· 网络扩展性强。传统的IPsec VPN中,每对通信对等体之间都需要建立IKE SA和IPsec SA,管理复杂度高,而Group Domain VPN中所有组成员之间共用一对IPsec SA,管理复杂度低,可扩展性更好。
· 无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接,如果封装了新的IP头,需要重新部署路由。Group Domain VPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。
· 更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。Group Domain VPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。
· 组播效率更高。由于传统的IPsec VPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。Group Domain VPN是无隧道的连接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。
· 可提供点到多点的连通性。所有组成员共用一对IPsec SA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。
Group Domain VPN由KS(Key Server,密钥服务器)和GM(Group Member,组成员)组成,它的典型组网结构如图1-1所示。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。
图1-1 Group Domain VPN组网结构示意图
KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任:响应GM的注册请求,以及发送Rekey消息。当一个GM向KS进行注册时,KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过Rekey消息通知所有GM更新密钥。
KS下发的密钥包括两种类型:
· TEK(tranfic encrytion key,加密流量的密钥):由组内的所有GM共享,用于加密GM之间的流量。
· KEK(key encrytion key,加密密钥的密钥):由组内的所有GM共享,用于加密KS向GM发送的Rekey消息。
可以通过配置,使多个KS之间进行冗余备份,以提供高可靠性和提供注册服务的负载分担。
GM是一组共享相同安全策略且有安全通信需求的网络设备。它们在KS上注册,并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID,KS根据这个组ID将对应组的安全策略和密钥下发给该GM。
Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。
在GM的某接口上应用了Group Domain VPN的相关IPsec安全策略后,GM会向KS发起注册,这个注册过程包括两个阶段的协商:IKE协商和GDOI(Group Domain of Interpretation,组解释域)协商,具体内容如下:
· 第一阶段的IKE协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护第二阶段GDOI协商的IKE SA。
· 第二阶段的GDOI协商:这是一个GM从KS上获取IPsec安全策略的过程,其具体的协议过程由GDOI协议定义,可参见RFC3547中关于GROUPKEY-PULL交换的描述。
具体的注册过程包括图1-2所示的五个步骤:
(1) GM与KS进行一阶段IKE协商;
(2) GM向KS发送所在组的ID;
(3) KS根据GM提供的组ID向GM发送相应组的IPsec安全策略(保护的数据流信息、加密算法、认证算法、封装模式等);
(4) GM对收到的IPsec安全策略进行验证,如果该策略是可接受的(例如安全协议和加密算法是可支持的),则向KS发送确认消息;
(5) KS收到GM的确认消息后,向GM发送密钥信息(KEK、TEK)。
通过这个过程,GM把KS上的IPsec安全策略和密钥获取到了本地。此后,就可以利用获取的IPsec安全策略和密钥在GM之间加密、解密传输的数据了。
在GM向KS发起注册时,GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功,则表示当前的注册过程失败,GM会重新发起注册。该定时器的时间不可配,且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。
GM完成注册之后,将使用获取到的IPsec SA对符合IPsec安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。
与传统的IPsec VPN类似,Group Domain VPN也支持隧道和传输两种封装模式,该模式由KS决定并下发给GM。
· 隧道模式:首先在原有的IP报文外部封装安全协议头(AH头或ESP头,目前Group Domain VPN不支持AH协议),然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。
图1-3 隧道模式Group Domain VPN数据封装示意图
· 传输模式:在原有的IP报文头与报文数据之间封装安全协议头,不对原始的IP报文头做任何修改。
与传统IPsec VPN相同,Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍,请参见“MPLS配置指导”中的“MPLS L3VPN”。
GM向KS注册后,如果KS上配置了Rekey的相关参数,则KS会向GM发送密钥更新SA(Rekey SA)。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前,KS将通过密钥更新消息(也称为Rekey消息)定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA,该Rekey消息使用当前的Rekey SA进行加密,GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述,请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息,将会重新向KS发起一次注册,把IPsec安全策略和密钥“拉”过来。
· 由KS来决定采用单播或组播的方式向GM发送Rekey消息,缺省情况下KS采用组播发送方式。
· KS在GM注册的过程中,会将本端的公钥信息下发给GM。
一个IPsec GDOI安全策略是若干具有相同名字、不同顺序号的IPsec GDOI安全策略表项的集合。IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址,以及注册的组ID。
GM向KS注册后,会从KS上获取安全策略,其中包含了KS上配置的访问控制列表(称为下载的访问控制列表)。
· 对于GM要发送的报文,若匹配上下载的访问控制列表的permit规则,则会被加密后转发;若匹配上下载的访问控制列表的deny规则,则会被以明文形式转发。
· 对于GM接收到的密文,若匹配上下载的访问控制列表的permit规则,则会被解密;若匹配上下载的访问控制列表的deny规则,则会被以密文形式转发。
· 对于GM接收到的明文,若匹配上下载的访问控制列表的permit规则,则会被丢弃;若匹配上下载的访问控制列表的deny规则,则会被以明文形式转发。
· 如果报文没有匹配任何下载的访问控制列表,默认的处理方式是转发。
当报文匹配上本地访问控制列表的deny规则时,会被明文转发;当报文匹配上本地访问控制列表的permit规则时,会被丢弃。因此请慎重配置本地访问控制列表的permit规则。
如果IPsec GDOI安全策略中引用了本地访问控制列表,则GM向KS注册后,两种类型的访问控制列表将在GM上共存,具体处理机制如下:
· 在加密处理时,报文优先匹配本地访问控制列表,若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表,两者都匹配不上时,则默认进行明文转发。
· 在解密处理时,密文优先匹配下载的访问控制列表,若报文没有匹配到下载访问控制列表的任何规则,则会接着匹配本地访问控制列表;明文优先匹配本地访问控制列表,若报文没有匹配到本地访问控制列表的任何规则,则会接着匹配下载的访问控制列表;两者都匹配不上时,则默认进行明文转发。
与Group Domain VPN相关的协议规范有:
· RFC 2408:Internet Security Association and Key Management Protocol (ISAKMP)
· RFC 3547:The Group Domain of Interpretation(GDOI)
· RFC 3740:The Multicast Group Security Architecture
· RFC 5374:Multicast Extensions to the Security Architecture for the Internet Protocol
· RFC 6407:The Group Domain of Interpretation(GDOI)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
当前设备仅支持作为GM,不支持作为KS。
KS与GM上的IKE配置必须匹配,否则会导致一阶段IKE协商失败。IKE的配置主要包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE profile,具体配置步骤请参见“安全配置指导”中的“IKE”。
GDOI GM配置任务如下:
(1) 配置GDOI GM组
(2) 配置IPsec GDOI安全策略
一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息,包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下:
· 组名:GDOI GM组在设备上的一个配置标识,仅用于本地配置管理和引用。
· 组ID:GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册,GM提交的组ID必须与它要加入的KS的组ID一致。
· KS地址:GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置16个KS地址,其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册,如果无法成功注册,则会依次向后续配置的KS地址发起注册,直到注册成功为止;如果GM向所有的KS地址发起的注册都失败,则会继续从第一个KS地址开始重复以上过程。
· 注册接口:GM通过注册接口向KS发起注册。缺省情况下,GDOI GM组以KS地址为目的地址的路由的出接口作为注册接口向KS注册。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同,也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时,可指定设备上的其它接口(物理接口或逻辑接口)作为注册接口。
· 支持的KEK加密算法:GM注册过程中,当KS下发的KEK算法不符合GM支持的KEK算法时,GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的KEK算法不符合GM支持的KEK算法时,GM丢弃收到的rekey报文。
· 支持的IPsec安全提议:GM注册过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM终止与KS的协商且注册失败;Rekey过程中,当KS下发的IPsec安全提议不在本地支持的范围之内,则GM丢弃收到的rekey报文。
在GM上可以同时存在多个GDOI GM组。
不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。
(1) 进入系统视图。
system-view
(2) 创建一个GDOI GM组,并进入GDOI GM组视图。
gdoi gm group group-name
(3) 配置GDOI GM组的组ID。
identity { address ip-address | number number }
缺省情况下,未定义GDOI GM组的组ID。
一个GDOI GM组只能有一种类型的标识,IP地址或者组号,且只能配置一个组ID,后配置的组ID会覆盖前面配置的组ID。
(4) 指定KS地址。
server address host [ vrf vrf-name ]
缺省情况下,未指定KS的地址。
(5) (可选)指定GM的注册接口。
client registration interface interface-type interface-number
缺省情况下,GM使用到达KS地址的路由的出接口作为注册接口向KS注册。
(6) 指定GM支持的KEK加密算法。
(非FIPS模式)
client rekey encryption { des-cbc | 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *
缺省情况下,GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。
(FIPS模式)
client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *
缺省情况下,GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。
(7) 指定GM支持的IPsec安全提议。
client transform-sets transform-set-name&<1-6>
缺省情况下,GM支持如下的安全提议:
¡ 安全协议:ESP。
¡ 封装模式:隧道模式和传输模式。
¡ 加密算法:DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256。
¡ 验证算法:MD5、SHA1。
(8) (可选)配置GDOI GM组的抗重放时间窗口
client anti-replay window { sec seconds | msec milliseconds }
缺省情况下,未配置GDOI GM组的抗重放时间窗口。
(1) 进入系统视图。
system-view
(2) 创建一条IPsec GDOI安全策略,并进入IPsec GDOI安全策略视图。
ipsec policy policy-name seq-number gdoi
顺序号越小的IPsec GDOI安全策略表项优先级越高。
本命令的详细介绍请参见“安全命令参考”中的“IPsec”。
(3) 指定IPsec GDOI安全策略引用的GDOI GM组。
group group-name
缺省情况下,IPsec GDOI安全策略没有引用任何GDOI GM组。
一条IPsec GDOI安全策略下只能够引用一个GDOI GM组。该GDOI GM组必须已存在、配置完整(配置了组ID和KS地址),且与IPsec GDOI安全策略的IP协议类型相同。
(4) 引用本地访问控制列表。
security acl acl-number
缺省情况下,没有配置本地访问控制列表。
一般情况下,无需配置本地访问控制列表。如果需要本地对数据流进行管理时,则配置本地访问控制列表。本命令的详细介绍请参见“安全命令参考”中的“IPsec”。
当IPsec GDOI安全策略应用到接口上,且该策略引用的GDOI GM组配置了组ID和KS地址,则设备会向KS发起注册。当数据报文经过该接口时,如果报文匹配了该接口的本地访问控制列表的Permit规则,则丢弃;如果报文匹配了下载的访问控制列表,则该按照IPsec GDOI策略处理。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 应用IPsec 安全策略。
ipsec apply policy policy-name
缺省情况下,接口下未应用任何IPsec安全策略。
本命令的详细介绍请参见“安全命令参考”中的“IPsec”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后GDOI GM的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除GM的GDOI信息,并发起注册。
操作 |
命令 |
显示GDOI GM组信息 |
display gdoi gm [ group group-name ] |
显示GDOI GM组的抗重放时间戳类型和时间窗口大小 |
display gdoi gm anti-replay [ group group-name ] |
显示GM获取的IPsec SA信息 |
display gdoi gm ipsec sa [ group group-name ] |
显示GM的简要信息 |
display gdoi gm members [ group group-name ] |
显示GM的ACL信息 |
display gdoi gm acl [ download | local ] [ group group-name ] |
显示GM的Rekey信息 |
display gdoi gm rekey [ verbose ] [ group group-name ] |
显示GM接收到的公钥信息 |
display gdoi gm pubkey [ group group-name ] |
显示IPsec GDOI安全策略相关信息 |
display ipsec policy [ policy-name [ seq-number ] ] |
清除GM的GDOI信息,并发起注册 |
reset gdoi gm [ group group-name ] |
display ipsec policy命令的详细介绍,请见“安全命令”中的“IPsec”。
在如图1-4所示的组网环境中,需要组建一个Group Domain VPN,对指定子网之间的数据流进行安全保护,具体要求如下:
· 子网10.1.1.0/24与子网10.1.2.0/24之间的业务流量,以及子网10.1.1.0/24与子网10.1.3.0/24之间的业务流量受IPsec保护。
· GM 1、GM 2和GM 3加入相同的GDOI组(组ID为12345),并向维护、管理该组的KS进行注册。
· 对各GM之间的数据进行IPsec保护时,采用的安全协议为ESP,加密算法为AES-CBC 128,认证算法为SHA1。
· GM与KS之间进行IKE协商时,使用预共享密钥的认证方法。
· KS采用组播方式向GM发送Rekey消息。
· KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时,使用预共享密钥的认证方法。
图1-4 Group Domain VPN典型配置组网图
· 请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。
· 请确保KS 1与KS 2之间路由可达。
· 请确保GM 1、GM 2、GM 3之间的组播报文可正常转发,以及KS和GM之间的组播报文可正常转发。
· 本例中,若KS需要采用单播方式发送Rekey消息,需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。
· 本例中的KS 1和KS 2为Comware V5版本的设备。
(1) 配置KS 1
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<KS1> system-view
[KS1] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[KS1-ike-proposal-1] encryption-algorithm aes-cbc-128
# 指定IKE提议使用的认证算法为SHA1。
[KS1-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[KS1-ike-proposal-1] dh group2
[KS1-ike-proposal-1] quit
# 创建IKE对等体toks2,用于与KS 2之间的IKE协商。
[KS1] ike peer toks2
# 指定IKE对等体toks2引用IKE提议1。
[KS1-ike-peer-toks2] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS1-ike-peer-toks2] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为200.2.2.200。
[KS1-ike-peer-toks2] remote-address 200.2.2.200
[KS1-ike-peer-toks2] quit
# 创建IKE对等体togm,用于与GM之间的IKE协商。
[KS1] ike peer togm
# 指定IKE对等体togm引用IKE提议1。
[KS1-ike-peer-togm] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS1-ike-peer-togm] pre-shared-key simple tempkey1
[KS1-ike-peer-togm] quit
# 创建IPsec安全提议fortek。
[KS1] ipsec transform-set fortek
# 配置IPsec安全提议fortek使用ESP协议。
[KS1-ipsec-transform-set-fortek] transform esp
# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。
[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128
# 配置IPsec安全提议fortek使用SHA1认证算法。
[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1
[KS1-ipsec-transform-set-fortek] quit
# 创建IPsec安全框架fortek。
[KS1] ipsec profile fortek
# 配置IPsec安全框架fortek引用IPsec安全提议fortek
[KS1-ipsec-profile-fortek] transform-set fortek
[KS1-ipsec-profile-fortek] quit
# 创建名称为fortek的ACL。
[KS1] acl number 3000 name fortek
# 配置ACL规则,定义TEK保护的流量范围。因为这里业务流量为单播,所以规则要配置为对称的。
[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS1-acl-adv-3000-fortek] quit
# 创建访问控制列表forrekey。
[KS1] acl number 3001 name forrekey
# 配置Rekey的目的地址(组播地址)。
[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0
[KS1-acl-adv-3001-forrekey] quit
# 创建本地RSA密钥对,名称为rsa1。
[KS1] public-key local create rsa name rsa1
The range of public key modulus is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
++++++++++++++++
+++++++
+++++++++
+++
# 导出名称为rsa1的本地密钥对,导出时使用的加密算法为3DES CBC,加密口令为12345678。该导出的密钥对信息被复制后,将用于导入到KS 2上。
[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He
sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V
gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE
Kj7FG/3/wzGsXu8WJQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C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-----END RSA PRIVATE KEY-----
# 创建GDOI KS组ks1。
[KS1] gdoi ks group ks1
# 配置GDOI KS组的ID为编号12345。
[KS1-gdoi-ks-group-ks1] identity number 12345
# 引用密钥对rsa1。
[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1
# 引用名称为forrekey的Rekey ACL。
[KS1-gdoi-ks-group-ks1] rekey acl name forrekey
# 创建一个GDOI KS组的IPsec策略,序号为10。
[KS1-gdoi-ks-group-ks1] ipsec 10
# 引用IPsec安全框架fortek。
[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek
# 引用名称为fortek的ACL。
[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek
[KS1-gdoi-ks-group-ks1-ipsec-10] quit
# 配置对端KS的IP地址为200.2.2.200。
[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200
# 配置KS发送报文的源地址为100.1.1.100。
[KS1-gdoi-ks-group-ks1] source address 100.1.1.100
# 配置本端优先级为10000。
[KS1-gdoi-ks-group-ks1] local priority 10000
# 开启冗余备份功能。
[KS1-gdoi-ks-group-ks1] redundancy enable
[KS1-gdoi-ks-group-ks1] quit
以上配置的具体步骤请参考KS的相关配置指导。
(2) 配置KS 2
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<KS2> system-view
[KS2] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[KS2-ike-proposal-1] encryption-algorithm aes-cbc-128
# 指定IKE提议使用的认证算法为SHA1。
[KS2-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[KS2-ike-proposal-1] dh group2
[KS2-ike-proposal-1] quit
# 创建IKE对等体toks1,用于与KS1之间的IKE协商。
[KS2] ike peer toks1
# 指定IKE对等体toks1引用IKE提议1。
[KS2-ike-peer-toks1] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS2-ike-peer-toks1] pre-shared-key simple tempkey1
# 指定对端安全网关的IP地址为100.1.1.100。
[KS2-ike-peer-toks1] remote-address 100.1.1.100
[KS2-ike-peer-toks1] quit
# 创建IKE对等体togm,用于与GM之间的IKE协商。
[KS2] ike peer togm
# 指定IKE对等体togm引用IKE提议1。
[KS2-ike-peer-togm] proposal 1
# 配置采用预共享密钥认证时,使用的预共享密钥为明文tempkey1。
[KS2-ike-peer-togm] pre-shared-key simple tempkey1
[KS2-ike-peer-togm] quit
# 创建IPsec安全提议fortek。
[KS2] ipsec transform-set fortek
# 配置IPsec安全提议fortek使用ESP协议。
[KS2-ipsec-transform-set-fortek] transform esp
# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。
[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128
# 配置IPsec安全提议fortek使用SHA1认证算法。
[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1
[KS2-ipsec-transform-set-fortek] quit
# 创建IPsec安全框架fortek。
[KS2] ipsec profile fortek
# 配置IPsec安全框架fortek引用IPsec安全提议fortek。
[KS2-ipsec-profile-fortek] transform-set fortek
[KS2-ipsec-profile-fortek] quit
# 创建名称为fortek的ACL。
[KS2] acl number 3000 name fortek
# 配置ACL规则,定义TEK保护的流量范围。
[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.2.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination
10.1.3.0 0.0.0.255
[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination
10.1.1.0 0.0.0.255
[KS2-acl-adv-3000-fortek] quit
# 创建访问控制列表forrekey。
[KS2] acl number 3001 name forrekey
# 配置Rekey的目的地址(组播地址)。
[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0
[KS2-acl-adv-3001-forrekey] quit
# 将从KS1导出的RSA密钥以PEM格式导入到KS2,并命名为rsa1。此导入过程中,需要将从KS 1上复制的密钥信息粘贴到本端界面上。
[KS2] public-key local import rsa name rsa1 pem
Enter PEM-formatted certificate.
End with a Ctrl+C on a line by itself.
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C
MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU
1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg
o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7
ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1
lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy
c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J
yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm
hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu
gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL
8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ
HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/
q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV
0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==
-----END RSA PRIVATE KEY-----
^C
Please input the password:
# 创建GDOI KS组ks2。
[KS2] gdoi ks group ks2
# 配置GDOI KS组的ID为编号12345。
[KS2-gdoi-ks-group-ks2] identity number 12345
# 引用密钥对rsa1。
[KS2-gdoi-ks-group-ks2] rekey authentication public-key rsa rsa1
# 引用名称为forrekey的Rekey ACL。
[KS2-gdoi-ks-group-ks2] rekey acl name forrekey
# 创建一个GDOI KS组的IPsec策略,序号为10。
[KS2-gdoi-ks-group-ks2] ipsec 10
# 引用IPsec安全框架fortek。
[KS2-gdoi-ks-group-ks2-ipsec-10] profile fortek
# 引用名称为fortek的ACL。
[KS2-gdoi-ks-group-ks2-ipsec-10] security acl name fortek
[KS2-gdoi-ks-group-ks2-ipsec-10] quit
# 配置对端KS的IP地址为100.1.1.100。
[KS2-gdoi-ks-group-ks2] peer address 100.1.1.100
# 配置KS发送报文的源地址为200.2.2.200。
[KS2-gdoi-ks-group-ks2]source address 200.2.2.200
# 配置本端优先级为100。
[KS2-gdoi-ks-group-ks2] local priority 100
# 开启冗余备份功能。
[KS2-gdoi-ks-group-ks2] redundancy enable
(3) 配置GM 1
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM1> system-view
[GM1] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM1-ike-proposal-1] encryption-algorithm aes-cbc-128
# 指定IKE提议使用的认证算法为SHA1。
[GM1-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM1-ike-proposal-1] dh group2
[GM1-ike-proposal-1] quit
# 创建IKE keychain,名称为keychain1。
[GM1] ike keychain keychain1
# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。
[GM1-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1
[GM1-ike-keychain-keychain1] quit
# 创建IKE keychain,名称为keychain2。
[GM1] ike keychain keychain2
# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。
[GM1-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1
[GM1-ike-keychain-keychain2] quit
# 创建并配置IKE profile,名称为profile1。
[GM1] ike profile profile1
[GM1-ike-profile-profile1] proposal 1
[GM1-ike-profile-profile1] keychain keychain1
[GM1-ike-profile-profile1] keychain keychain2
[GM1-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0
[GM1-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0
[GM1-ike-profile-profile1] quit
# 创建GDOI GM组1。
[GM1] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM1-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM1-gdoi-gm-group-1] server address 100.1.1.100
[GM1-gdoi-gm-group-1] server address 200.2.2.200
[GM1-gdoi-gm-group-1] quit
# 创建GDOI类型的IPsec安全策略1。
[GM1] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM1-ipsec-policy-gdoi-map-1] group 1
[GM1-ipsec-policy-gdoi-map-1] quit
# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。
[GM1] interface gigabitethernet 2/0/1
[GM1-GigabitEthernet2/0/1] ipsec apply policy map
[GM1-GigabitEthernet2/0/1] quit
(4) 配置GM 2
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM2> system-view
[GM2] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM2-ike-proposal-1] encryption-algorithm aes-cbc-128
# 指定IKE提议使用的认证为SHA1。
[GM2-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM2-ike-proposal-1] dh group2
[GM2-ike-proposal-1] quit
# 创建IKE keychain,名称为keychain1。
[GM2] ike keychain keychain1
# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。
[GM2-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1
[GM2-ike-keychain-keychain1] quit
# 创建IKE keychain,名称为keychain2。
[GM2] ike keychain keychain2
# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。
[GM2-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1
[GM2-ike-keychain-keychain2] quit
# 创建并配置IKE profile,名称为profile1。
[GM2] ike profile profile1
[GM2-ike-profile-profile1] proposal 1
[GM2-ike-profile-profile1] keychain keychain1
[GM2-ike-profile-profile1] keychain keychain2
[GM2-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0
[GM2-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0
[GM2-ike-profile-profile1] quit
# 创建GDOI GM组1。
[GM2] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM2-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM2-gdoi-gm-group-1] server address 100.1.1.100
[GM2-gdoi-gm-group-1] server address 200.2.2.200
[GM2-gdoi-group-1] quit
# 创建GDOI类型IPsec安全策略1。
[GM2] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM2-ipsec-policy-gdoi-map-1] group 1
[GM2-ipsec-policy-gdoi-map-1] quit
# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。
[GM2] interface gigabitethernet 2/0/1
[GM2-GigabitEthernet2/0/1] ipsec apply policy map
[GM2-GigabitEthernet2/0/1] quit
(5) 配置GM 3
# 配置各接口的IP地址,此处略。
# 创建IKE提议1。
<GM3> system-view
[GM3] ike proposal 1
# 指定IKE提议使用的加密算法为AES-CBC 128。
[GM3-ike-proposal-1] encryption-algorithm aes-cbc-128
# 指定IKE提议使用的认证算法为SHA1。
[GM3-ike-proposal-1] authentication-algorithm sha
# 指定IKE提议使用DH group 2。
[GM3-ike-proposal-1] dh group2
[GM3-ike-proposal-1] quit
# 创建IKE keychain,名称为keychain1。
[GM3] ike keychain keychain1
# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。
[GM3-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1
[GM3-ike-keychain-keychain1] quit
# 创建IKE keychain,名称为keychain2。
[GM3] ike keychain keychain2
# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。
[GM3-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1
[GM3-ike-keychain-keychain2] quit
# 创建并配置IKE profile,名称为profile1。
[GM3] ike profile profile1
[GM3-ike-profile-profile1] proposal 1
[GM3-ike-profile-profile1] keychain keychain1
[GM3-ike-profile-profile1] keychain keychain2
[GM3-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0
[GM3-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0
[GM3-ike-profile-profile1] quit
# 创建GDOI GM组1。
[GM3] gdoi gm group 1
# 配置GDOI GM组的ID为编号12345。
[GM3-gdoi-gm-group-1] identity number 12345
# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。
[GM3-gdoi-gm-group-1] server address 100.1.1.100
[GM3-gdoi-gm-group-1] server address 200.2.2.200
[GM3-gdoi-gm-group-1] quit
# 创建GDOI类型IPsec安全策略1。
[GM3] ipsec policy map 1 gdoi
# 引用GDOI GM组1。
[GM3-ipsec-policy-gdoi-map-1] group 1
[GM3-ipsec-policy-gdoi-map-1] quit
# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。
[GM3] interface gigabitethernet 2/0/1
[GM3-GigabitEthernet2/0/1] ipsec apply policy map
[GM3-GigabitEthernet2/0/1] quit
# 以上配置完成后,GM 1、GM 2和GM 3分别向KS 1注册。可通过如下显示信息查看到GM 1在IKE协商成功后生成的IKE SA和Rekey SA,其中connection-id为1的SA为IKE SA;connection-id为2的SA为Rekey SA。
[GM1] display ike sa
Connection-ID Remote Flag DOI
----------------------------------------------------------
1 100.1.1.100 RD Group
2 100.1.1.100 RD|RK Group
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# IKE协商成功后,GM 1获取到IPsec SA。可通过如下显示信息查看到有四组IPsec SA分别用于与不同的组成员之间进行安全通信。
[GM1] display ipsec sa
-------------------------------
Interface: GigabitEthernet2/0/1
-------------------------------
-----------------------------
IPsec policy: map
Sequence number: 1
Mode: GDOI
-----------------------------
Encapsulation mode: tunnel
Path MTU: 1443
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
Current outbound SPI: 801701189 (0x2fc8fd45)
[Inbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 5
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 20
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 6
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 21
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
-----------------------------
IPsec policy: map
Sequence number: 1
Mode: GDOI
-----------------------------
Encapsulation mode: tunnel
Path MTU: 1443
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.3.0/255.255.255.0 port: 0 protocol: ip
Current outbound SPI: 801701189 (0x2fc8fd45)
[Inbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 7
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 22
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 8
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 23
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
-----------------------------
IPsec policy: map
Sequence number: 1
Mode: GDOI
-----------------------------
Encapsulation mode: tunnel
Path MTU: 1443
Flow:
sour addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
Current outbound SPI: 801701189 (0x2fc8fd45)
[Inbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 45
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 46
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 43
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 44
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
-----------------------------
IPsec policy: map
Sequence number: 1
Mode: GDOI
-----------------------------
Encapsulation mode: tunnel
Path MTU: 1443
Flow:
sour addr: 10.1.3.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
Current outbound SPI: 801701189 (0x2fc8fd45)
[Inbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 24
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 25
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
[Outbound ESP SAs]
SPI: 801701189 (0x2fc8fd45)
Connection ID: 12
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/63
Status: Active
SPI: 1611821838 (0x6012730e)
Connection ID: 13
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 0/900
SA remaining duration (kilobytes/sec): 0/850
Status: Active
# GM 1向KS注册成功后,可通过如下显示信息查看到GM 1的注册信息。
[GM1] display gdoi gm
Group name: 1
Group identity : 12345
Address family : IPv4
Rekeys received : 1
Group server : 100.1.1.100
Group server : 200.2.2.200
Group member : 1.1.1.1
Registration status : Registered
Registered with : 100.1.1.100
Re-register in : 3226 sec
Succeeded registrations : 1
Attempted registrations : 1
Last rekey from : 100.1.1.100
Last rekey seq num : 1
Multicast rekeys received: 1
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
Rekeys cumulative:
Total received : 1
Rekeys after latest registration: 1
Last rekey received for : 00hr 04min 41sec
ACL downloaded from KS 100.1.1.100:
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255
rule 3 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
KEK:
Rekey transport type : Multicast
Remaining key lifetime : 86119 sec
Encryption algorithm : 3DES-CBC
Signature algorithm : RSA
Signature hash algorithm : SHA1
Signature key length : 1024 bits
TEK:
SPI : 0x2FC8FD45(801701189)
Transform : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
Remaining key lifetime : 900 sec
SPI : 0x6012730E(1611821838)
Transform : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
Remaining key lifetime : 3319 sec
# 以上配置完成后,如果子网10.1.1.0/24与子网10.1.2.0/24之间有报文传输,将分别由GM 1和GM 2进行加密/解密处理。在KS 1上可以看到GM的注册信息。
<KS1> display gdoi ks members
Group Name: ks1
Group member ID : 1.1.1.1
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
Group member ID : 2.2.2.2
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
Group member ID : 3.3.3.3
Group member version : 1.0
Group ID : 12345
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
类似地,在KS 2上也可以看到所有GM的注册信息。
# 在KS 1上可以看到与KS 2之间的冗余备份相关信息。
<KS1> display gdoi ks redundancy
Group Name :ks1
Local address : 100.1.1.100
Local version : 1.0
Local priority : 10000
Local role : Primary
Primary address : 100.1.1.100
Sessions:
Peer address : 200.2.2.200
Peer version : 1.0
Peer priority : 100
Peer role : Secondary
Peer status : Ready
# 在KS 2上可以看到与KS 1之间的冗余备份相关信息。
<KS2> display gdoi ks redundancy
Group Name :ks2
Local address : 200.2.2.200
Local version : 1.0
Local priority : 100
Local role : Secondary
Primary address : 100.1.1.100
Sessions:
Peer address : 100.1.1.100
Peer version : 1.0
Peer priority : 10000
Peer role : Primary
Peer status : Ready
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!