- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-Group Domain VPN命令
本章節下載: 24-Group Domain VPN命令 (264.51 KB)
1.1.5 display gdoi ks redundancy
1.1.15 profile(GDOI KS group IPsec view)
1.1.24 rekey transport unicast
1.1.27 reset gdoi ks redundancy role
1.1.28 security acl (GDOI KS group IPsec policy view)
1.2.1 client registration interface
1.2.7 display gdoi gm ipsec sa
【命令】
display gdoi ks [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。
【描述】
display gdoi ks 命令用來顯示KS的信息。
未指定group參數的情況下,顯示所有KS組的KS信息。
【舉例】
# 顯示名稱為abc的GDOI KS組的KS信息。
<Sysname> display gdoi ks group abc
Group Name: abc
Group identity : 8
Group members : 0
Redundancy : Enabled
Local address : 105.112.100.2
Local version : 1.0
Local priority : 10
Local role : Primary
Hello interval : 20 sec
Hello number : 3
Retransmit interval : 10 sec
Retransmit attempts : 2
Rekey transport type : Multicast
Rekey lifetime : 300 sec
Rekey retransmit period : 10 sec
Rekey retransmit attempts : 2
IPsec sequence number : 1
IPsec rekey lifetime : 300 sec
Profile name : profile-wwl
ACL configured : xf
# 顯示所有GDOI KS組的KS信息。
<Sysname> display gdoi ks
Group Name: abc
Group identity : 8
Group members : 0
Redundancy : Enabled
Local address : 105.112.100.2
Local version : 1.0
Local priority : 10
Local role : Primary
Hello interval : 20 sec
Hello number : 3
Retransmit interval : 10 sec
Retransmit attempts : 2
Rekey transport type : Multicast
Rekey lifetime : 300 sec
Rekey retransmit period : 10 sec
Rekey retransmit attempts: 2
IPsec sequence number : 1
IPsec rekey lifetime : 300 sec
Profile name : profile-wwl
ACL configured : xf
Group Name: xyz
Group identity : 18
Group members : 0
Redundancy : Enabled
Local address : 105.112.100.2
Local version : 1.0
Local priority : 10
Local role : Primary
Hello interval : 20 sec
Hello number : 3
Retransmit interval : 10 sec
Retransmit attempts : 2
Rekey transport type : Multicast
Rekey lifetime : 300 sec
Rekey retransmit period : 10 sec
Rekey retransmit attempts: 2
IPsec sequence number : 1
IPsec rekey lifetime : 300 sec
Profile name : profile-xyz
ACL configured : xyz
IPsec sequence number : 2
IPsec rekey lifetime : 300 sec
Profile name : profile-xyz2
ACL configured : 3001
表1-1 display gdoi ks命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
Group identity |
GDOI KS組標識(數字或者 IPv4地址),沒有配置時無顯示 |
|
Group members |
GDOI KS組中上線的組成員個數 |
|
Redundancy |
GDOI KS組冗餘備份信息 |
|
Local address |
本端KS地址 |
|
Local version |
本端KS版本 |
|
Local priority |
本端優先級 |
|
Local role |
本端在冗餘備份中的角色,取值包括: · Primary:主KS · Secondary:備KS · Initial:初始化狀態 · Electing:正在選舉 |
|
Hello interval |
冗餘備份Hello報文發送的時間間隔,單位為秒 |
|
Hello number |
備KS連續多少次沒有接收到冗餘備份Hello報文,則認為和主KS連接中斷 |
|
Retransmit interval |
冗餘備份報文的重傳周期,單位為秒 |
|
Retransmit attempts |
冗餘備份報文的重傳次數 |
|
Rekey transport type |
rekey報文的傳輸類型,取值包括: · Multicast:組播 · Unicast:單播 |
|
Rekey lifetime |
rekey的時間間隔,單位為秒 |
|
Rekey retransmit period |
rekey 報文的重傳周期,單位為秒 |
|
Rekey retransmit attempts |
rekey報文的重傳次數 |
|
IPsec sequence number |
IPsec安全策略的序號 |
|
IPsec rekey lifetime |
IPsec SA的生命期,該生命周期即將到達之前,需要通過rekey過程來更新TEK |
|
Profile name |
引用的IPsec安全框架的名字 |
|
ACL configured |
引用的ACL的編號或名字 |
【命令】
display gdoi ks acl [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。
【描述】
display gdoi ks acl命令用來顯示GDOI KS組引用的ACL。
未指定group參數的情況下,顯示所有GDOI KS組引用的ACL。
【舉例】
# 顯示名稱為abc的GDOI KS組引用的ACL。
<Sysname> display gdoi ks acl group abc
Group Name: abc
ACL abc
rule 0 permit ip source 1.1.1.2 0 destination 2.2.2.3 0
rule 1 permit tcp source 1.1.0.0 0.0.255.255 destination 2.2.0.0 0.0.255.255
rule 2 permit ip
# 顯示所有KS組引用的ACL。
<Sysname> display gdoi ks acl
Group Name: abc
ACL abc
rule 0 permit ip source 1.1.1.2 0 destination 2.2.2.3 0
rule 1 permit tcp source 1.1.0.0 0.0.255.255 destination 2.2.0.0 0.0.255.255
rule 2 permit ip
Group Name: xyz
ACL 3000
rule 0 permit ip source 1.1.2.2 0 destination 2.2.3.3 0
rule 2 deny ip
ACL xyz
rule 0 permit ip source 1.1.3.0 0.0.0.255 destination 2.2.4.0 0.0.0.255
表1-2 display gdoi ks acl命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
rule |
ACL中的一個子規則 |
【命令】
display gdoi ks members [ group group-name ] [ ip ip-address ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則顯示所有GDOI KS組的指定IP地址的組成員信息。
ip ip-address:組成員的IP地址。若不指定本參數,則顯示本GDOI KS組內所有組成員的信息。
【描述】
display gdoi ks members命令用來顯示GDOI KS組的上線的組成員信息。
若不指定任何參數,則顯示所有GDOI KS組的所有上線的組成員信息。
【舉例】
# 顯示所有GDOI KS組的上線的組成員信息。
<Sysname> display gdoi ks members
Group Name: farg
Group member ID : 80.1.1.98
Group member version : 1.0
Group ID : 7777
Key server ID : 90.1.1.1
Rekeys sent : 0
Rekey retries : 0
Rekey ACKs received : 0
Rekey ACKs missed : 0
Group Name: abcd
Group member ID : 80.1.1.100
Group member version : 1.0
Group ID : 8888
Key server ID : 90.1.1.1
Group member ID : 80.1.1.101
Group member version : Unknown
Group ID : 8888
Key server ID : 90.1.1.1
表1-3 display gdoi ks members 命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
Group member ID |
GDOI KS組成員ID |
|
Group member version |
GDOI KS組成員版本號,如果未得到組成員的版本號,則顯示為Unknown |
|
Group ID |
GDOI KS組ID |
|
Key server ID |
該GM向其注冊上線的key server的ID |
|
Rekeys sent |
成功發送rekey報文的次數 |
|
Rekeys retries |
重傳rekey報文的次數 |
|
Rekey ACKs received |
收到rekey ACK的次數 |
|
Rekey ACLs missed |
未收到rekey ACK的次數 |
【命令】
display gdoi ks policy [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則顯示所有GDOI KS組的策略信息。
【描述】
display gdoi ks policy命令用來顯示GDOI KS的策略信息。
【舉例】
# 顯示所有GDOI KS組的策略信息。
<Sysname> display gdoi ks policy
Group Name: GDOI-GROUP8
Server IP: 90.1.1.1
Group Name: farg
Server IP: 90.1.1.1
KEK policy:
Rekey transport type : Unicast
SPI : 0xB2DAFC4C36ABC9D416BB15614DCE9F60
Encryption algorithm : AES-CBC-128
Lifetime : 30000 sec
Remaining lifetime : 5995 sec
Signature algorithm : RSA
Signature key name : REKEYRSA
TEK policy:
Encapsulation : Tunnel
SPI : 0x3EE98709
ACL : frag
Transform : ESP-ENCRYPT-DES ESP-AUTH-MD5
Lifetime : 50000 sec
Remaining lifetime : 25996 sec
表1-4 display gdoi ks policy 命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
Server IP |
GDOI KS的IP地址,對於本端,這裏顯示的是source address配置的地址 |
|
KEK policy |
KEK策略信息 |
|
Rekey transport type |
rekey報文的傳輸類型,取值包括: · Multicast:組播傳輸 · Unicast:單播傳輸 |
|
SPI |
Rekey SA的SPI值或者IPsec SA的SPI值 |
|
Encryption algorithm |
加密算法 |
|
Lifetime |
KEK或TEK的生命期 |
|
Remaining lifetime |
KEK或TEK的生命期剩餘時間 |
|
Signature algorithm |
簽名算法 |
|
Signature key name |
用於簽名的密鑰對名稱 |
|
Encapsulation |
IPsec對IP報文的封裝模式,取值包括: · Tunnel:隧道模式 · Transport:傳輸模式 |
|
ACL |
引用的ACL的編號或名字 |
|
Transform |
引用的安全提議名稱 |
【命令】
display gdoi ks redundancy [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。
【描述】
display gdoi ks redundancy命令用來顯示GDOI KS 冗餘備份相關的信息,包括本地優先級、身份、對端會話信息。
未指定group參數的情況下,顯示所有GDOI KS組的冗餘備份信息。
【舉例】
# 顯示所有GDOI KS組的冗餘備份信息。
<Sysname> display gdoi ks redundancy
Group Name :handl
Local address : 105.112.200.1
Local version : 1.0
Local priority : 10
Local role : Initial
Primary address :
Group Name :lsxn
Local address : 105.112.100.2
Local version : 1.0
Local priority : 10
Local role : Primary
Primary address : 105.112.100.2
Peers:
Peer address : 174.1.1.1
Peer version : Unknown
Peer priority : Unknown
Peer role : Unknown
Peer status : Down
Peer address : 172.1.1.1
Peer version : 1.0
Peer priority : 100
Peer role : Secondary
Peer status : Ready
表1-5 display gdoi ks redundancy 命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
Local address |
本端地址 |
|
Local version |
本端KS版本 |
|
Local priority |
本端優先級 |
|
Local role |
本端在冗餘備份中的角色,取值包括: · Primary:主KS · Secondary:備KS · Initial:初始化狀態 · Electing:正在選舉 |
|
Primary address |
本端選擇的主KS的IP地址 |
|
Peers |
對端KS信息 |
|
Peer address |
對端地址 |
|
Peer version |
對端版本號 |
|
Peer priority |
對端優先級 |
|
Peer KS role |
對端角色,取值包括: · Secondary:備KS · Primary:主KS · Unknown:未知 |
|
Peer KS status |
對端狀態,取值包括: · Down:Down · Connected:已連接 · Exchange:交換數據 · Ready:就緒 |
【命令】
display gdoi ks rekey [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則顯示所有GDOI KS組的rekey信息。
【描述】
display gdoi ks rekey命令用來顯示GDOI KS組的rekey信息。
【舉例】
# 顯示所有GDOI KS組的rekey信息。
<Sysname> display gdoi ks rekey
Group Name: handl
Rekey transport type :Multicast
Number of rekeys sent : 0
Number of rekeys retransmitted : 0
Retransmit period : 10 sec
Number of retransmissions : 10
Multicast destination address : 230.1.1.1
KEK rekey lifetime : 10000 sec
Remaining lifetime : 6092 sec
IPsec 1 lifetime : 86400 sec
Remaining lifetime : 1234 sec
Group Name:abcd
Rekey transport type :Unicast
Number of rekeys sent : 0
Number of rekeys retransmitted : 0
Retransmit period : 10 sec
Number of retransmissions : 2
KEK rekey lifetime : 0 sec
IPsec 1 lifetime : 1000 sec
Group Name:test
Rekey transport type :Multicast
Number of rekeys sent : 0
Number of rekeys retransmitted : 0
Retransmit period : 10 sec
Number of retransmissions : 1
Multicast destination address : 239.192.1.190
KEK rekey lifetime : 0 sec
IPsec 1 lifetime : 300 sec
IPsec 2 lifetime : 30000 sec
IPsec 3 lifetime : 300 sec
IPsec 4 lifetime : 300 sec
IPsec 5 lifetime : 300 sec
IPsec 6 lifetime : 300 sec
IPsec 7 lifetime : 300 sec
IPsec 8 lifetime : 300 sec
表1-6 display gdoi ks rekey 命令顯示信息描述
|
字段 |
描述 |
|
Group Name |
GDOI KS組的名字 |
|
Rekey transport type |
rekey報文的傳輸類型,取值包括: · Multicast:組播 · Unicast:單播 |
|
Number of rekeys sent |
成功發送rekey報文的次數 |
|
Number of rekeys retransmitted |
重傳rekey報文的次數 |
|
Retransmit period |
rekey報文的重傳間隔,單位為秒 |
|
Multicast destination address |
組播傳輸的目的地址 |
|
KEK rekey lifetime |
KEK的rekey周期,單位為秒 |
|
Number of retransmissions |
rekey報文的重傳次數 |
|
IPsec 1 lifetime |
IPsec策略1的SA生命期,單位為秒 |
|
Remaining lifetime |
KEK或IPsec策略的SA的剩餘生命期,單位為秒 |
【命令】
gdoi ks group group-name
undo gdoi ks group group-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。
【描述】
gdoi ks group命令用來創建一個GDOI KS組,並進入GDOI KS組視圖。undo gdoi ks group命令用來刪除指定的GDOI KS組。
缺省情況下,不存在GDOI KS組。
相關配置可參考命令display gdoi ks。
【舉例】
# 創建一個名稱為abc的GDOI KS組,並進入其視圖。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc]
【命令】
gdoi ks redundancy port port-number
undo gdoi ks redundancy port
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
port-number:KS監聽冗餘備份報文的UDP端口號,取值範圍1~65535。
【描述】
gdoi ks redundancy port命令用來配置KS監聽冗餘備份報文的UDP端口號。undo gdoi ks redundancy port命令用來恢複缺省情況。
缺省情況下,KS監聽冗餘備份報文的UDP端口號為19000。
該UDP端口號用於KS之間發送和接收冗餘備份報文,所有KS必須配置相同的端口號,否則會導致KS之間無法交互冗餘備份報文,影響冗餘備份功能。
相關配置可參考命令 gdoi ks group。
【舉例】
# 配置GDOI KS監聽冗餘備份報文的端口號為20000。
<Sysname> system-view
[Sysname] gdoi ks redundancy port 20000
【命令】
gdoi ks rekey [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示強製所有KS執行rekey。
【描述】
gdoi ks rekey命令用來強製GDOI KS執行rekey,即強製KS更新密鑰(TEK/KEK),並把更新後的密鑰下發給GM。
GDOI KS需要能夠把更新的密鑰發送給GM,這個動作稱為rekey。通常,KS會定期自動進行rekey,KEK的rekey時間間隔由rekey lifetime命令的配置決定,TEK的rekey時間間隔由IPsec SA的生命期配置決定。如果用戶需要立即觸發rekey,則可以通過本命令達到目的。
可以通過display gdoi ks rekey命令和display gdoi ks policy命令查看rekey的統計信息和生成的密鑰的信息。
【舉例】
# 強製GDOI KS組abc執行rekey。
<Sysname> gdoi ks rekey group abc
【命令】
identity address address
undo identity
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
address:用於標識GDOI KS組的IP地址,可以為任意合法的IPv4地址。
【描述】
identity address命令用來定義GDOI KS組IP地址,該地址用於標識一個GDOI KS組。undo identity命令用來刪除GDOI KS組IP地址。
缺省情況下,未定義GDOI KS組的IP地址。
需要注意的是,如果已經通過identity address配置GDOI KS組的IP地址,當再通過命令identity number配置GDOI KS組的組號時,identity number的配置會覆蓋identity address的配置。
相關配置可參考命令identity number、gdoi ks group。
【舉例】
# 配置GDOI KS組的組IP地址為202.202.202.10。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] identity address 202.202.202.10
【命令】
identity number number
undo identity
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
number:GDOI KS組的編號,取值範圍為0~2147483647。
【描述】
identity number命令用來配置GDOI KS組組號,該組號用於標識一個GDOI KS組。undo identity命令用來刪除GDOI KS組的組號。
缺省情況下,未定義GDOI KS組的組號。
需要注意的是,一個GDOI KS組隻能有一種類型的標識,組號或者IP地址。如果已經通過identity number 配置了GDOI KS組的組號,再通過identity address命令配置GDOI KS組的IP地址時,identity address的配置會覆蓋identity number的配置。
相關配置可參考命令identity address、gdoi ks group。
【舉例】
# 配置GDOI KS組abc的組號為123456。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] identity number 123456
【命令】
ipsec sequence-number
undo ipsec sequence-number
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
sequence-number:表示GDOI KS組IPsec策略的序號,取值範圍1~65535。
【描述】
ipsec命令用來創建一個GDOI KS組的IPsec策略,並進入GDOI KS IPsec策略視圖。undo ipsec命令用來刪除指定的GDOI KS IPsec策略。
缺省情況下,未配置GDOI KS組的IPsec策略。
一個GDOI KS組內可以創建多個IPsec策略。這些IPsec策略通過序號決定優先級,序號取值越小優先級越高。KS可以同時向GM下發多個IPsec策略,GM按照序號由小到大的順序決定這些IPsec策略的使用優先級。
刪除GDOI KS組中配置的IPsec策略時,會刪除此策略對應的TEK。
相關配置可參考命令gdoi ks group。
【舉例】
# 配置GDOI KS組的IPsec策略、序號為10,並進入其視圖。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] ipsec 10
[Sysname-gdoi-ks-group-abc-ipsec-10]
【命令】
local priority priority
undo local
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
priority:GDOI KS的本端優先級,取值範圍為1~65535。數值越大,優先級越高。
【描述】
local priority命令用來配置GDOI KS本端優先級。undo local priority命令用來恢複缺省情況。
缺省情況下,GDOI KS的本端優先級為1。
未通過redundancy enable命令開啟GDOI KS冗餘備份功能的情況下,此配置不生效。
本端優先級供屬於同一個GDOI組的KS決定誰是主KS,本端優先級越高,越有可能被選為主KS。若同一個GDOI組中存在相同優先級的KS,則通過KS的IP地址來判斷誰是主KS。IP地址數值越大,優先級越高。若當前GDOI組內已經選舉出主KS,則新加入的KS,即使其優先級高於當前主KS的優先級,也不會觸發重新選舉,隻能作為備KS。
相關配置可參考命令gdoi ks group、redundancy enable。
【舉例】
# 配置GDOI KS組冗餘備份。配置GDOI KS本端優先級為10。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] redundancy enable
[Sysname-gdoi-ks-group-abc] local priority 10
[Sysname-gdoi-ks-group-abc]
【命令】
peer address ip-address
undo peer address ip-address
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
ip-address:對端KS的IP地址。
【描述】
peer address命令用來指定對端KS的IP地址。undo peer address命令用來刪除配置的對端KS IP地址。
缺省情況下,未指定對端 KS的IP地址。
可以通過多次執行本命令指定多個對端KS的IP地址。
未通過redundancy enable命令開啟KS冗餘備份功能的情況下,此配置不生效。
在GDOI KS冗餘備份組網環境中,本端KS上指定的對端KS的IP地址必須和該對端KS發送冗餘備份協議報文使用的源地址一致。
相關配置可參考命令gdoi ks group、redundancy enable和source address。
【舉例】
# 配置GDOI KS組冗餘備份。配置對端KS的IP地址為13.1.1.1。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] redundancy enable
[Sysname-gdoi-ks-group-abc] peer address 13.1.1.1
[Sysname-gdoi-ks-group-abc]
【命令】
profile ipsec-profile-name
undo profile
【視圖】
GDOI KS組IPsec策略視圖
【缺省級別】
2:係統級
【參數】
ipsec-profile-name:IPsec安全框架的名稱,為1~15個字符的字符串,不區分大小寫。
【描述】
profile命令用來配置GDOI KS組IPsec策略引用的IPsec安全框架。undo profile命令用來取消GDOI KS組 IPsec策略引用的IPsec安全框架。
缺省情況下,GDOI KS組 IPsec策略沒有引用任何IPsec安全框架。
相關配置可參考命令gdoi ks group、ipsec。
【舉例】
# 配置GDOI KS組IPsec安全策略10,並進入其視圖。在該策略視圖下引用IPsec安全框架profile1。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] ipsec 10
[Sysname-gdoi-ks-group-abc-ipsec-10] profile profile1
[Sysname-gdoi-ks-group-abc-ipsec-10]
【命令】
redundancy enable
undo redundancy enable
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
redundancy enable命令用來開啟GDOI KS冗餘備份功能。undo redundancy enable命令用來關閉GDOI KS冗餘備份功能。
缺省情況下,沒用配置GDOI KS冗餘備份。
開啟GDOI KS冗餘備份功能後,可以使多個KS協同工作,其中一個為主KS,其餘為備KS。備KS為主KS做數據備份,並可分擔部分接受GM注冊的工作。
相關配置可參考命令gdoi ks group。
【舉例】
# 在GDOI KS組中開啟KS冗餘備份功能。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] redundancy enable
[Sysname-gdoi-ks-group-abc]
【命令】
redundancy hello { interval interval | number number } *
undo redundancy hello [ interval | number ]
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
interval interval:表示設備作為主KS時發送冗餘備份Hello報文的時間間隔,取值範圍為20~60,單位為秒。
number number:表示告知備KS連續多少次沒有接收到主KS發送的冗餘備份Hello報文後才能認為和主KS的連接已經中斷,取值範圍為3~10。
【描述】
redundancy hello命令用來配置發送冗餘備份Hello報文的時間間隔和接收冗餘備份Hello報文的最大次數。undo redundancy hello命令用來恢複缺省情況。
缺省情況下,本端作為主KS發送冗餘備份Hello報文的時間間隔為20秒,本端作為備KS連續3次沒有接收接收到主KS的冗餘備份Hello報文則重新選舉主KS。
Hello報文用於讓備KS及時得知主KS的存活狀態,由主KS周期性向所有備KS發送,且不需要回應。在KS選舉完成後,主KS將本端的保活時長通告給備KS。如果備KS在連續number次沒有接收到主KS的冗餘備份Hello報文,則認為和主KS連接已經中斷,會觸發重新選舉主KS。
另外,如果主KS檢測到和備KS的連接已經中斷,則會在發送給備KS的Hello報文中攜帶附加信息告知備KS連接已經中斷。若備KS接收到該Hello報文,則會嚐試重新和主KS建立關聯,若關聯失敗,則重新選舉主KS。
發送Hello報文的時間間隔配置過長,會導致備KS無法及時感知主KS是否存活,或者鏈路故障。若鏈路質量不高,則可適當調大number值,使得備KS能夠準確地判斷主KS是否存活,避免盲目觸發重新選舉。
相關配置可參考命令 display gdoi ks。
【舉例】
# 在GDOI KS組中配置發送冗餘備份Hello報文的時間間隔為30秒,且連續3次沒有接收到主KS的冗餘備份Hello報文則重新選舉主KS。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] redundancy hello interval 30 number 3
【命令】
redundancy retransmit { interval interval | number number } *
undo redundancy retransmit [ interval | number ]
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
interval interval:表示重傳冗餘備份報文的時間間隔,取值範圍為10~60,單位為秒。
number number:表示冗餘備份報文重傳的次數,取值範圍為2~5。
【描述】
redundancy retransmit命令用來配置重傳冗餘備份報文的時間間隔和最大次數。undo redundancy retransmit命令用來恢複缺省情況。
缺省情況下,重傳冗餘備份報文的時間間隔為10秒、最大次數為2次。
在KS進行選舉和數據交換時,如果本端發送冗餘備份報文(不包括Hello報文)後,在重傳的時間間隔內沒有接收到對端回應的響應報文,則會重傳上一次的報文。如果超過最大重傳次數,則會切換對端狀態為Down。需要重傳的報文類型有優先級請求報文、主通告報文、數據合並報文、數據更新報文和數據同步報文。
在網絡狀態不好的情況下,可以適當調大冗餘備份報文的重傳間隔或者重傳次數,避免KS之間發生分裂,即部分KS因與主KS失去聯係而分裂出當前的KS組,並選擇自己為主KS,從而造成一個KS組中存在多個主KS的狀況。
相關配置可參考命令display gdoi ks。
【舉例】
# 配置GDOI KS組的冗餘備份報文重傳間隔為30秒,重傳次數為3次。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] redundancy retransmit interval 30 number 3
【命令】
rekey acl { access-list-number | name access-list-name }
undo rekey acl
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
access-list-number:表示ACL號,取值範圍為3000~3999。
name access-list-name:表示ACL名稱,為1~63個字符的字符串,不區分大小寫。
【描述】
rekey acl命令用來指定用於限定組播發送rekey報文範圍的ACL。該ACL用於指定組播發送rekey報文時使用的源地址或目的地址,其中源地址通常是KS發送消息的地址,目的地址是組成員接收rekey消息的組播地址。undo rekey acl命令用來取消指定的ACL。
缺省情況下,未指定rekey時發送的組播報文的源和目的地址。
需要注意的是:
· 如果指定KS以組播方式發送rekey報文,則必須指定該ACL,否則不能生成KEK,也無法發送rekey報文。
· 如果已經配置了source address命令,則rekey時發送的組播報文的源地址為source address命令指定的地址;否則,使用rekey acl命令指定的ACL的第一個rule中的源地址作為組播報文的源地址,這種情況下,需要在ACL的第一個rule中明確指定源地址。
· 對於本命令指定的ACL,其規則的permit或deny關鍵字無實際意義。
相關配置可參考命令gdoi ks group, source address。
【舉例】
# 配置GDOI KS組rekey時發送的組播報文的源和目的地址由ACL3000定義。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey acl 3000
【命令】
rekey authentication public-key rsa key-name
undo rekey authentication
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
public-key:表示本設備的密鑰對。
rsa:表示公鑰算法為RSA。
key-name:密鑰對的名稱,為1~64個字符的字符串,不區分大小寫。
【描述】
rekey authentication命令用來配置rekey過程中KS使用的密鑰對。undo rekey authentication命令用來取消配置rekey過程中KS使用的密鑰對。
缺省情況下,不存在rekey過程中KS使用的密鑰對。
該密鑰對中的公鑰會攜帶在rekey報文中下發給GM,用於GM認證KS的rekey報文。
相關配置可參考命令 gdoi ks group。
【舉例】
# 配置GDOI KS組的rekey密鑰對為mykey。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey authenticaion public-key rsa mykey
【命令】
rekey encryption { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | des-cbc }
undo rekey encryption
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
rekey encryption命令用來指定rekey加密算法。undo rekey encryption命令用來恢複缺省情況。
缺省情況下,加密算法為3des-cbc。
如果多次執行該命令,則最後一次成功執行的配置生效。
相關配置可參考命令 gdoi ks group。
【舉例】
# 配置GDOI KS組的rekey算法為AES-CBC-192。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey encryption aes-cbc-192
【命令】
rekey lifetime seconds number-of-seconds
undo rekey lifetime seconds
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
seconds number-of-seconds:KEK的基於時間的生命周期,取值範圍為300~86400,單位為秒。
【描述】
rekey lifetime命令用來配置KEK的生命周期。undo rekey lifetime命令用來恢複缺省情況。
缺省情況下,KEK的生命周期為86400秒。
TEK的生命周期是IPsec SA的生命周期,由IPsec profile中的IPsec SA的生命周期配置決定。
相關配置可參考命令gdoi ks group。
【舉例】
# 配置GDOI KS組的KEK生命周期為3600秒。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey lifetime seconds 3600
【命令】
rekey retransmit { interval interval | number number } *
undo rekey retransmit [ interval | number ]
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
interval interval:表示rekey報文重傳的間隔,取值範圍為10~60,單位為秒,缺省值為10秒。
number number :表示rekey報文重傳的次數,取值範圍為1~10,缺省值為2次。
【描述】
rekey retransmit命令用來配置rekey報文重傳的間隔和重傳的次數。undo rekey retransmit命令用來恢複缺省情況。
缺省情況下,rekey報文的重傳間隔為10秒、重傳2次。
相關配置可參考命令gdoi ks group。
【舉例】
# 配置GDOI KS組的rekey報文重傳間隔為30秒,重傳次數為3次。
<Sysname> system-view
[Sysname] gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey retransmit 30 number 3
【命令】
rekey transport unicast
undo rekey transport unicast
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
rekey transport unicast命令用來配置KS以單播方式發送rekey報文。undo rekey transport unicast命令用來恢複缺省情況。
缺省情況下,KS以組播方式發送rekey報文。
相關配置可參考命令gdoi ks group。
【舉例】
# 配置GDOI KS組以單播方式發送rekey報文。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] rekey transport unicast
【命令】
reset gdoi ks [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則表示清除本端所有GDOI KS組的KS的相關信息。
【描述】
reset gdoi ks命令用來清除GDOI KS的相關信息,包括密鑰、GM上線信息、冗餘備份角色信息,如果使能了KS冗餘備份功能,執行此命令會觸發重新選舉主KS。
【舉例】
# 刪除組名稱為abc的GDOI KS組相關的信息。
<Sysname> reset gdoi ks group abc
【命令】
reset gdoi ks members [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則表示清除所有GDOI KS組的組成員信息。
【描述】
reset gdoi ks members命令用來清除GDOI KS組成員信息。
此命令隻能在主KS上生效。
執行本命令會導致KS本地保存的GM信息被清除,包括GM上線信息以及GM的TEK/KEK。
【舉例】
# 清除GDOI KS組abc的組成員信息。
<Sysname> reset gdoi ks members group abc
【命令】
reset gdoi ks redundancy role [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
group group-name:GDOI KS組的名稱,為1~63個字符的字符串,區分大小寫。若指定本參數,則表示複位指定GDOI KS組中KS的冗餘備份角色;若不指定本參數,則表示複位所有GDOI KS組中的KS的冗餘備份角色。
【描述】
reset gdoi ks redundancy role命令用來複位所有KS的冗餘備份角色,並觸發重新選舉。
【舉例】
# KS上複位KS組abc的冗餘備份的角色。
<Sysname> reset gdoi ks redundancy role group abc
【命令】
security acl { access-list-number | name access-list-name}
undo security acl
【視圖】
GDOI KS組IPsec策略視圖
【缺省級別】
2:係統級
【參數】
access-list-number:表示ACL號,取值範圍為3000~3999。
name access-list-name:表示ACL名稱,為1~63個字符的字符串,不區分大小寫。
【描述】
security acl命令用來配置GDOI KS IPsec策略引用的ACL。undo security acl命令用來取消GDOI KS IPsec策略引用的ACL。
GDOI KS會把該配置下發給組成員,組成員使用該配置過濾業務流量,用於決定業務流量是否需要受TEK保護。
缺省情況下,GDOI KS IPsec策略下沒用引用任何ACL。
相關配置可參考命令gdoi ks group,ipsec。
【舉例】
# 配置GDOI KS組IPsec策略10,並進入其視圖。在該策略視圖下引用ACL 3000。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc] ipsec 10
[Sysname-gdoi-ks-group-abc-ipsec-10] security acl 3000
[Sysname-gdoi-ks-group-abc-ipsec-10]
【命令】
source address ip-address
undo source address
【視圖】
GDOI KS組視圖
【缺省級別】
2:係統級
【參數】
ip-address:IPv4地址,可為任意合法IP地址。
【描述】
source address命令用來配置KS發送的報文的源地址。undo source address命令用來刪除密鑰服務器的源地址。
缺省情況下,未配置KS發送報文的源地址,使用rekey acl命令指定的ACL的第一個規則中的源地址作為源地址。
該配置用於指定KS發送GROUPKEY-PUSH協議報文和冗餘備份協議報文使用的源地址。
相關配置可參考命令gdoi ks group、rekey acl、rekey transport unicas和,redundancy。
【舉例】
# 配置GDOI KS組的源IP地址為11.1.1.1。
<Sysname> system-view
[Sysname]gdoi ks group abc
[Sysname-gdoi-ks-group-abc]source address 11.1.1.1
【命令】
client registration interface interface-type interface-number
undo client registration interface
【視圖】
GDOI GM組視圖
【缺省級別】
2:係統級
【參數】
interface-type interface-number:注冊接口的接口類型和接口編號。
【描述】
client registration interface命令用於GM指定GDOI GM組的注冊接口,GM通過注冊接口向KS發起注冊。undo client registration interface命令用於刪除為GM指定的注冊接口。
缺省情況下,GDOI GM組以KS地址為目的地址的路由的出接口為注冊接口向KS注冊。
當用戶希望注冊報文和IPsec報文通過不同的接口處理時,可以采用本命令來指定注冊接口。
相關配置可參考命令gdoi group gm。
【舉例】
# 在GDOI GM組abc中指定GM的注冊接口為Ethernet 1/1。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] client registration interface ethernet 1/1
【命令】
display gdoi gm [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group group-name:顯示指定GDOI GM組的相關信息。group-name表示GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則表示顯示所有GDOI GM組的信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm命令用來顯示GDOI GM組的信息,包括GDOI 的配置參數、協商參數及注冊成功後獲取到的安全策略信息。
【舉例】
# 顯示所有GDOI GM組的信息。
<Sysname> display gdoi gm
Group Name: GDOI-GROUP1
Group Identity : 12345
Rekeys Received : 1
IPsec SA Direction : Both
Group Server List : 90.1.1.1
90.1.1.10
Group Member : 80.1.1.1
VPN instance : vpn1
Registration status : Registered
Registered with : 90.1.1.1
Re-register in : 346 sec
Succeeded registrations : 1125
Attempted registrations : 1133
Last rekey from : 90.1.1.1
Last rekey seq num : 3
Multicast rekeys received: 1
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
Rekeys Cumulative
Total received : 5
After latest registration: 3
Rekey received (hh:mm:ss): 00:02:11
ACL Downloaded From KS 90.1.1.1:
rule 0 deny udp source-port eq 848 destination-port eq 848
rule 1 deny ospf
rule 2 permit icmp
KEK Policy:
Rekey transport type : Multicast
Lifetime (sec) : 159
Encrypt algorithm : AES
Key size : 128
Sig hash algorithm : SHA1
Sig key length (bit) : 1024
TEK Policy:
Interface Ethernet1/1:
IPsec SA:
SPI: 0x9AE5951E(2598737182)
Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
SA timing:
remaining key lifetime (sec): 190
Anti-replay detection: Disabled
IPsec SA:
SPI: 0x12C55CFF(314924287)
Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
SA timing:
remaining key lifetime (sec): 402
Anti-replay detection: Disabled
表1-7 display gdoi gm命令顯示信息描述表
|
字段 |
描述 |
|
Group Name |
GDOI GM組名稱 |
|
Group Identity |
GDOI GM組標識(可以是編號,也可以是IPv4地址) |
|
Rekeys Received |
收到Rekey消息的次數 |
|
IPsec SA Direction |
IPsec SA的方向,取值為Both或者Inbound(Inbound暫不支持) |
|
Group Server List |
GDOI GM組中KS的IP地址列表,最多8個 |
|
Group Member |
GM的IP地址 |
|
VPN instance |
GM所屬的MPLS L3VPN的VPN實例名稱 |
|
Registration status |
注冊狀態,取值包括Registered、Registering和Not registered |
|
Registered with |
GM注冊的KS的IP地址 |
|
Re-register in |
距離下一次重新注冊的時間間隔 |
|
Succeeded registrations |
成功注冊的次數 |
|
Attempted registrations |
嚐試注冊的次數 |
|
Last rekey from |
上次從哪個KS收到Rekey消息 |
|
Last rekey seq num |
上次接收到的Rekey消息的序號 |
|
Multicast rekeys received |
接收組播類型Rekey消息的次數,僅在GDOI GM組類型為組播時顯示 |
|
Unicast rekeys received |
接收單播類型Rekey消息的次數,僅在GDOI GM組類型為單播時顯示 |
|
Rekey ACKs sent |
發送Rekey ACK消息的次數,僅在GDOI GM組類型為單播時顯示 |
|
Allowable rekey cipher |
GM允許接受的Rekey的加密算法,取值為Any表示都接受 |
|
Allowable rekey hash |
GM允許接受的Rekey的哈希算法,取值為Any表示都接受 |
|
Allowable transform |
GM允許接受的Transform 方式,取值為Any表示都接受 |
|
Rekeys Cumulative |
Rekey的統計信息 |
|
Total received |
GM收到Rekey消息的總次數 |
|
After latest registeration |
GM最近一次成功注冊之後進行的Rekey的次數 |
|
Rekey received ( hh:mm:ss) |
收到Rekey消息時,顯示此信息,表示Rekey之後的密鑰的存活時間 |
|
Rekey received |
沒有收到任何Rekey消息時,顯示此信息,且取值為None |
|
Total rekey ACKs sent |
發送Rekey ACK消息的總次數,僅在單播方式下顯示 |
|
ACL Downloaded From KS 90.1.1.1 |
從密鑰服務器90.1.1.1下載的ACL信息 |
|
rule 0 deny udp source-port eq 848 destination-port eq 848 |
源端口為848和目的端口為848的任意地址的UDP報文不需要IPsec保護 |
|
rule 1 deny ospf |
OSPF協議報文不需要IPsec保護 |
|
rule 2 permit icmp |
任意地址的ICMP報文需要IPsec保護 |
|
KEK Policy |
KEK策略信息 |
|
Rekey transport type |
Rekey報文的傳輸類型,取值為Multicast和Unicast |
|
Lifetime (sec) |
KEK的生命周期,單位為秒 |
|
Encrypt algorithm |
KEK加密算法 |
|
Key size |
KEK密鑰長度 |
|
Sig hash algorithm |
KEK簽名哈希算法 |
|
Sig key length (bit) |
KEK簽名密鑰長度,單位為位 |
|
TEK Policy |
TEK策略信息 |
|
Interface |
TEK綁定的接口名稱 |
|
IPsec SA |
IPsec SA的信息 |
|
SPI |
IPsec SA的SPI |
|
Transform |
Transform列表 |
|
SA timing |
SA時間 |
|
remaining key lifetime (sec) |
IPsec SA剩餘的生命周期 |
|
Anti-replay detection |
抗重放檢測功能,取值為Enabled和Disabled |
|
anti-replay window size(time based) |
抗重放窗口大小(基於時間),以秒為單位 如果未使能抗重放檢測功能,則不顯示 |
|
anti-replay window size(counter based) |
抗重放窗口大小(基於流量),取值為32、64、128、256、512、1024 如果未使能抗重放檢測功能,則不顯示 |
【命令】
display gdoi gm members [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group group-name:顯示指定GDOI GM組的GM的簡要信息,group-name為GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有GM的簡要信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm members命令用來顯示GM的簡要信息。
【舉例】
# 顯示所有GM的簡要信息。
<Sysname> display gdoi gm members
Group Member Information For Group GDOI-GROUP1:
IPsec SA Direction : Both
Group Member : 80.1.1.1
VPN instance : vpn1
Registration status : Registered
Registered with : 90.1.1.1
Re-register in : 308 sec
Succeeded registrations : 1131
Attempted registrations : 1139
Last rekey from : 90.1.1.1
Last rekey seq num : 3
Multicast rekeys received: 1
Allowable rekey cipher : Any
Allowable rekey hash : Any
Allowable transform : Any
表1-8 display gdoi gm members命令顯示信息描述表
|
字段 |
描述 |
|
Group Member Information For Group GDOI-GROUP1 |
組GDOI-GROUP1的GM的簡要信息 |
|
IPsec SA Direction |
IPsec SA的方向,取值為Both或者Inbound(Inbound暫不支持) |
|
Group Member |
GM的IP地址 |
|
VPN instance |
GM的所屬的MPLS L3VPN的VPN實例名稱 |
|
Registration status |
注冊狀態,取值包括Registered、Registering和Not registered |
|
Registered with |
注冊的KS地址 |
|
Re-register in |
距離發起重新注冊的時間 |
|
Succeeded registrations |
成功注冊的次數 |
|
Attempted registrations |
嚐試注冊的次數 |
|
Last rekey from |
上次從哪個密鑰服務器收到Rekey消息 |
|
Last rekey seq num |
上次接收到的Rekey消息的序號 |
|
Multicast rekeys received |
接收組播類型Rekey消息的次數,僅在GDOI GM組類型為組播時顯示 |
|
Unicast rekeys received |
接收單播類型Rekey消息的次數,僅在GDOI GM組類型為單播時顯示 |
|
Rekey ACKs sent |
發送Rekey ACK消息的次數,僅在GDOI GM組類型為單播時顯示 |
|
Rekey received ( hh:mm:ss) |
收到Rekey時,顯示此信息,且表示 Rekey之後的密鑰的存活時間 |
|
Rekey received |
沒有收到任何Rekey時,顯示此信息,且取值為None |
|
Allowable rekey cipher |
GM允許接受的Rekey的加密算法,取值為Any表示都接受 |
|
Allowable rekey hash |
GM允許接受的Rekey的哈希算法,取值為Any表示都接受 |
|
Allowable transform |
GM允許接受的Transform方式,取值為Any表示都接受 |
【命令】
display gdoi gm acl [ download | local ] [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
download:顯示GM從KS下載的ACL信息。
local:顯示GM本地配置的ACL信息。
group group-name:顯示指定GDOI GM組的GM的ACL信息,group-name為GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有GM的ACL信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm acl命令用來顯示GM的ACL信息。
若不指定任何參數,則表示顯示GM的所有ACL信息,包括從KS下載的ACL和本地配置的ACL。本地配置的ACL是指IPsec GDOI安全策略中引用的ACL。
【舉例】
# 顯示所有GM的ACL信息。
<Sysname> display gdoi gm acl
Group Name: abc
ACL Downloaded From KS 12.1.1.100:
rule 0 permit ip
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255
ACL Configured Locally:
IPsec Policy Name: gdoi-group1
ACL Identifier: 3001
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
Group Name: 123
ACL Downloaded From KS 12.1.1.100:
rule 1 permit ip source 13.1.1.0 0.0.0.255 destination 13.1.2.0 0.0.0.255
# 顯示GM從KS下載的ACL信息。
<Sysname> display gdoi gm acl download
Group Name: abc
ACL Downloaded From KS 12.1.1.100:
rule 0 permit ip
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255
# 顯示GM本地配置的ACL信息。
<Sysname> display gdoi gm acl local
Group Name: abc
ACL Configured Locally:
IPsec Policy Name: gdoi-group1
ACL Identifier: 3001
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
表1-9 display gdoi gm acl命令顯示信息描述表
|
字段 |
描述 |
|
Group Name |
GDOI GM組名稱 |
|
ACL Downloaded From KS 12.1.1.100 |
從KS下載的ACL |
|
rule 0 permit ip |
IPsec保護任意地址的IP報文 |
|
rule 1 permit ip source 12.1.1.0 0.0.0.255 destination 12.1.1.0 0.0.0.255 |
IPsec保護源地址範圍為12.1.1.0/24,目的地址範圍為12.1.1.0/24 的IP報文 |
|
ACL Configured Locally |
本地配置的ACL |
|
IPsec Policy Name |
IPsec GDOI安全策略的名稱 |
|
ACL Identifier |
ACL標識 |
|
rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 |
IPsec不保護源地址範圍為10.1.1.0/24,目的地址範圍為10.1.1.0/24 的IP報文 |
【命令】
display gdoi gm pubkey [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group group-name:顯示指定GDOI GM組的GM接收到的公鑰信息,group-name為GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有GM接收到的公鑰信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm pubkey命令用來顯示GM接收到的公鑰信息。
【舉例】
# 顯示GM接收到的公鑰信息。
<Sysname> display gdoi gm pubkey
Group Name: GDOI-GROUP1
KS IPv4 Address: 90.1.1.1
Conn-ID: 2044 My Cookie: 7C9CB398 His Cookie: 4E54C7EA
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00BB0F5B
6B5788E7 6220C0C1 C4BCAAD7 D81322FF 7DB9436E 46E308DA D589243B 64946D2D
FC502F64 7F38DDF5 E999F8F7 4A247508 9AF7765B F0B080AC 11CC08E4 B48A976F
D3721818 B66201F0 BD1987BE DD28D533 C38E7D42 939D2B71 3FAAA17A 128DF862
E45C531D A0C8593E D7D602E9 7A7E675A 94AF6B25 2972CF85 94E601BD 19020301
0001
表1-10 display gdoi命令顯示信息描述表
|
字段 |
描述 |
|
Group Name |
GDOI GM組名稱 |
|
KS IPv4 Address |
KS的IPv4地址 |
|
Conn-ID |
標識Rekey SA的ID |
|
My Cookie |
Rekey SA的本端cookie |
|
His Cookie |
Rekey SA的對端cookie |
|
Key Data |
公鑰數據 |
【命令】
display gdoi gm rekey [ verbose ] [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
verbose:顯示GM Rekey的詳細信息。若不指定該參數,則顯示GM Rekey的簡要信息。
group group-name:顯示指定GDOI GM組的GM的Rekey信息,group-name為GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有GM的Rekey信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm rekey命令用來顯示GM的Rekey信息。
【舉例】
# 顯示所有GM的Rekey的簡要信息。
<Sysname> display gdoi gm rekey
Group Name: abc (Unicast)
Number of rekeys received (cumulative) : 9
Number of rekeys received after registration : 9
Number of rekey ACKs sent : 105
Group Name: 123 (Multicast)
Number of rekeys received (cumulative) : 9
Number of rekeys received after registration : 9
Multicast destination address : 239.192.1.190
# 顯示所有GM的Rekey的詳細信息。
<Sysname> display gdoi gm rekey verbose
Group Name: GDOI-GROUP1 (Multicast)
Number of rekeys received (cumulative) : 1904
Number of rekeys received after registration : 889
Multicast destination address : 239.192.1.190
Rekey (KEK) SA Information:
Destination Source Conn-ID My Cookie His Cookie
New : 239.192.1.190 90.1.1.1 9646 14406D26 8C58E504
Current : 239.192.1.190 90.1.1.1 9646 14406D26 8C58E504
Previous : --- --- --- --- ---
表1-11 display gdoi命令顯示信息描述表
|
字段 |
描述 |
|
Group Name |
GDOI GM組名稱 |
|
Unicast |
密鑰采用單播方式更新 |
|
Multicast |
密鑰采用組播方式更新 |
|
Number of rekeys received (cumulative) |
GM累計接收到的Rekey消息的次數 |
|
Number of rekeys received after registration |
GM注冊成功後Rekey的次數 |
|
Number of rekey ACKs sent |
發送Rekey ACK消息的次數 |
|
Multicast destination address |
發送Rekey消息的組播目的地址 |
|
Rekey (KEK) SA information |
Rekey (KEK) SA信息,即保護密鑰更新消息的SA |
|
Destination |
Rekey SA的目的IP地址 |
|
Source |
Rekey SA的源IP地址 |
|
Conn-ID |
標識Rekey SA的ID |
|
My Cookie |
Rekey SA的本端cookie |
|
His Cookie |
Rekey SA的對端cookie |
|
New |
新的Rekey SA信息 |
|
Current |
當前正在使用的Rekey SA信息 |
|
Previous |
上一次使用的Rekey SA信息 |
【命令】
display gdoi gm ipsec sa [ group group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group group-name:顯示指定GDOI GM組的GM獲取的IPsec SA信息,group-name為GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有GM獲取的IPsec SA信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display gdoi gm ipsec sa命令用來顯示GM獲取的IPsec SA信息。
【舉例】
# 顯示所有GM獲取的IPsec SA信息。
<Sysname> display gdoi gm ipsec sa
SA created for group abc:
Interface Ethernet0/0;
Interface Ethernet0/1:
IPsec SA:
SPI: 0x9AE5951E(2598737182)
Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
SA timing:
remaining key lifetime (sec): 12
Anti-replay detection: Disabled
SA created for group hh:
Interface Ethernet0/0;
Interface Ethernet0/1:
IPsec SA:
SPI: 0xDCC66F7B(3703992187)
Transform: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1
SA timing:
remaining key lifetime (sec): 190
Anti-replay detection: Disabled
表1-12 display gdoi gm ipsec sa命令顯示信息描述表
|
字段 |
描述 |
|
SA created for group abc |
GDOI GM組abc創建的SA |
|
Interface |
IPsec SA綁定的接口名稱 |
|
IPsec SA |
IPsec SA的信息 |
|
SPI |
IPsec SA的SPI |
|
Transform |
Transform列表 |
|
SA timing |
SA的生命周期 |
|
remaining key lifetime (sec) |
IPsec SA剩餘的生命周期,單位為秒 |
|
Anti-replay detection |
抗重放檢測,取值為Enabled或Disabled |
|
anti-replay window size(time based) |
抗重放窗口大小(基於時間),單位為秒,僅在使能了抗重放檢查功能時顯示 |
|
anti-replay window size(counter based) |
抗重放窗口大小(基於流量),取值為32、64、128、256、512、1024,僅在使能了抗重放檢查功能時顯示 |
【命令】
gdoi gm group group-name
undo gdoi gm group group-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
group-name:GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。
【描述】
gdoi gm group命令用來創建一個GDOI GM組,並進入GDOI GM組視圖。undo gdoi gm group命令用來刪除指定的GDOI GM組。
缺省情況下,不存在GDOI GM組。
一個GDOI GM組中包含了GM向KS注冊時需要提交的關鍵信息,包括組ID、KS的地址和注冊接口等。
設備上最多可以同時存在64個GDOI GM組。
相關配置可參考命令display gdoi gm。
【舉例】
# 創建一個名稱為abc的GDOI GM組,並進入GDOI GM組視圖。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc]
【命令】
group group-name
undo group
【視圖】
IPsec GDOI安全策略視圖
【缺省級別】
2:係統級
【參數】
group-name:指定GDOI GM組的名稱,為1~63個字符的字符串,區分大小寫。該組必須已經存在。
【描述】
group命令用來指定IPsec GDOI安全策略引用的GDOI GM組。undo group命令用來刪除IPsec GDOI安全策略引用的GDOI GM組。
缺省情況下,IPsec GDOI安全策略沒有引用任何GDOI GM組。
一個IPsec GDOI安全策略隻能引用一個GDOI GM組,最後一次配置生效。
一個GDOI GM組可以被不同的IPsec GDOI安全策略組中的IPsec策略引用,但不能被同一個IPsec GDOI安全組中的不同策略引用。
相關配置可參考命令gdoi gm group。
【舉例】
# 配置名字為map的IPsec策略,順序號為1,采用GDOI方式建立安全聯盟。
<Sysname> system-view
[Sysname] ipsec policy map 1 gdoi
# 指定IPsec GDOI安全策略引用GDOI組abc。
[Sysname-ipsec-policy-gdoi-map-1] group abc
【命令】
identity { address ip-address | number number }
undo identity
【視圖】
GDOI GM組視圖
【缺省級別】
2:係統級
【參數】
ip-address:用於標識GDOI GM組的IP地址,可以為任意合法的IPv4地址。
number:GDOI GM組的編號,取值範圍為0~2147483647。
【描述】
identity命令用來配置GDOI GM組的組ID。undo identity命令用來刪除GDOI GM組的組ID。
缺省情況下,未定義GDOI GM組的組ID。
需要注意的是,一個GDOI GM組隻能配置一種類型的標識(IP地址或者組號),重複執行,新的配置會覆蓋原有配置。
相關配置可參考命令display gdoi gm。
【舉例】
# 配置GDOI GM組abc的組ID為編號123456。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] identity number 123456
# 配置GDOI GM組def的組ID為IP地址202.202.202.10。
<Sysname> system-view
[Sysname] gdoi gm group def
[Sysname-gdoi-gm-group-def] identity address 202.202.202.10
【命令】
reset gdoi gm [ group group-name ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
group:清除指定GDOI GM組的GDOI信息。group-name表示GDOI GM組名稱,為1~63個字符的字符串,區分大小寫。若不指定本參數,則表示清除所有GM的GDOI信息。
【描述】
reset gdoi gm命令用來清除GM的GDOI信息,並發起注冊。本命令將會清除GM從KS下載的信息,包括IKE SA 、Rekey SA、IPsec SA和ACL,並且還會觸發GM重新向KS進行注冊。
相關配置可參考命令display gdoi gm。
【舉例】
# 刪除所有GM的GDOI信息,並發起注冊。
<Sysname> reset gdoi gm
# 刪除名稱為abc的GDOI GM組的GDOI信息,並發起注冊。
<Sysname> reset gdoi gm group abc
【命令】
server address ip-address
undo server address ip-address
【視圖】
GDOI GM組視圖
【缺省級別】
2:係統級
【參數】
ip-address:密鑰服務器的IP地址。
【描述】
server address命令用來指定GM將要注冊的KS(Key Server,密鑰服務器)的IP地址。undo server address命令用來刪除指定的KS的IP地址。
缺省情況下,未指定KS的IP地址。
對於組成員,必須在GDOI GM組中指定KS的IP地址,否則,組成員的GDOI GM組配置不完整。
一個GDOI GM組中最多允許同時指定8個密鑰服務器,其使用的優先級按照配置先後順序依次降低。GM將從第一個配置的KS地址開始向其發起注冊,如果無法成功向當前的KS地址注冊,則在GDOI注冊定時器超時後,會依次向後續配置的KS地址發起注冊,直到注冊成功為止;如果GM向所有的KS地址發起的注冊都失敗,則會繼續從第一個KS地址開始重複以上過程。
相關配置可參考命令display gdoi gm。
【舉例】
# 為GDOI GM組abc指定兩個KS的IP地址,分別為3.3.3.3和3.3.3.4。
<Sysname> system-view
[Sysname] gdoi gm group abc
[Sysname-gdoi-gm-group-abc] server address 3.3.3.3
[Sysname-gdoi-gm-group-abc] server address 3.3.3.4
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
