10-H3C MSR係列路由器 國盾量子加密配置案例
本章節下載: 10-H3C MSR係列路由器 國盾量子加密配置案例 (819.95 KB)
中低端路由器
國盾量子加密典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹配置國盾量子加密特性。
設備開啟國盾量子加密功能後,會將內部計算的對稱密鑰更換為從國盾量子服務器獲取到的對稱密鑰,對需要IPsec保護的數據進行加密保護,進一步提升IPsec業務的安全性。
開啟國盾量子加密功能的同時,將進入IKE GDQUANTUM視圖,該視圖用於配置國盾量子服務器的IP地址和監聽的TCP端口號、國盾量子服務器為設備分配的唯一入網標識和身份認證密鑰,以及國盾量子密鑰的解密密鑰。
設備開啟國盾量子加密功能進行IPsec加密保護的過程如下:
(1) 連接國盾量子服務器:在設備上配置國盾量子加密功能後,設備將與指定的國盾量子服務器建立TCP連接。
(2) 登錄國盾量子服務器:建立TCP連接後,設備將向國盾量子服務器發送登錄請求,並攜帶唯一入網標識和身份認證密鑰,隻有上述參數驗證無誤後,才能成功登錄國盾量子服務器。
(3) IKE一階段協商:成功登錄國盾量子服務器後,設備與對端進行IKE一階段協商,並向國盾量子服務器發出密鑰申請。
(4) 獲取國盾量子密鑰:國盾量子服務器將經過加密的量子密鑰分配給設備。設備通過配置的解密密鑰進行解密,並得到供IPsec使用的量子密鑰。
(5) IPsec協商:IKE一階段協商完成,建立一個IKE SA。設備使用IKE SA為IPsec協商IPsec SA,使用獲取到的量子密鑰對IP報文進行加密保護。
本文檔適用於使用Comware V7軟件版本的MSR3610-X1、MSR3620-X1和MSR3640-X1-HI路由器,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解IPsec特性。
· 國盾量子加密特性僅支持H3C設備之間的互通,不支持與其他廠商設備對接使用。
· 國盾量子加密功能隻支持IKEv1主模式。
· 不支持在非缺省vSystem下啟用國盾量子加密功能。
在Device A和Device B之間建立一個IPsec隧道,分別使用國盾量子服務器KM1、KM2提供的國盾量子密鑰,對Host A所在的子網(10.1.1.0/24)與Host B所在的子網(10.1.2.0/24)之間的數據流進行安全保護。
· Device A和Device B之間采用IKE協商方式建立IPsec SA。
· Device A和Device B登錄國盾量子服務器,獲取供IPsec使用的量子密鑰。
· 使用缺省的IKE提議。
圖1 國盾量子加密配置組網圖
為實現如上組網需求,可采用如下配置思路實現:
(1) 為了在Device A和Device B之間建立IPsec連接,需要完成IKE和IPsec相關配置。
(2) 在運維終端上安裝虛擬機,在虛擬機上部署兩台國盾量子服務器KM1和KM2,配置KM1和KM2的IP地址、端口號、為設備分配的唯一入網標識和身份認證密鑰,以及國盾量子密鑰的解密密鑰。
(3) 在Device A和Device B上開啟國盾量子加密功能,分別連接國盾量子服務器KM1和KM2,使得Device A和Device B獲取供IPsec使用的量子密鑰。
本舉例是在Comware V700R001B64D081版本上進行配置和驗證的。
建議獲取國盾量子密鑰的設備與國盾量子服務器均部署在同一個局域網內。
本例中,兩台國盾量子服務器KM1、KM2安裝在一個虛擬機上,配置國盾量子服務器之前,請聯係國盾量子廠商獲取安裝虛擬機所需的鏡像文件,以及登錄國盾量子服務器的用戶名和口令。本配置中使用的鏡像文件名稱為CentOS 64位。
(1) 在與設備所在同一局域網內的運維終端上安裝VMware workstation軟件。本次配置是以VMware workstation 12 Pro為例,該軟件為開源工具,需要自行下載。
(2) 運行VMware workstation軟件,如圖2所示,點擊<打開虛擬機>。
(3) 打開虛擬機之後,出現如圖3所示的窗口,選擇已經提前保存在本地的國盾虛擬機鏡像文件“CentOS 64位”,單擊<打開>按鈕。
(4) 打開鏡像文件之後,VMware workstation軟件界麵將出現新窗口“CentOS 64位”,在[庫/我的計算機]會出現一台新的虛擬機“CentOS 64位”,表示虛擬機已加載成功。如圖4所示,單擊<開啟此虛擬機>。
(5) 開啟虛擬機之後,出現如圖5所示的命令行交互界麵,請在該界麵中按照提示輸入國盾量子服務器的用戶名和口令進行登錄,本次配置以用戶名root為例。
(6) 點擊[編輯]菜單,選擇[虛擬網絡編輯器]選項,隨後彈出[虛擬網絡編輯器]界麵,如圖6所示。在虛擬網絡編輯器界麵進行如下配置:
a. 選擇類型為“橋接模式”的虛擬網卡“VMnet0”。
b. 在VMnet信息區段,勾選“橋接模式(將虛擬機直接連接到外部網絡)”,並選擇橋接到與Device A、Device B網絡互通的物理網卡名稱。本例中為“Inter(R) Ethernet I210-T1 GbE NIC”。
(7) 如圖7所示,鼠標右鍵[庫/我的計算機]裏的“CentOS 64位”,選擇[設置]選項,進入[虛擬機設置]頁麵。
(8) 進入[虛擬機設置]頁麵後,如圖8所示,在虛擬機設置頁麵進行如下配置:
a. 點擊“橋接模式(自動)”的網絡適配器,在網絡連接區段裏勾選“自定義(U):特定虛擬網絡”,選擇虛擬網卡“VMnet0(橋接模式)”。
b. 點擊<高級(V)…>按鈕,彈出[網絡適配器高級設置]界麵,通過查看[MAC地址(M)]信息能得知當前VMnet0的MAC地址。
c. 將VMnet0的MAC地址記錄在本地,本例中VMnet0的MAC地址為00:0C:29:8D:0A:E5,具體以實際情況為準。
(9) 返回到CentOS 64位的虛擬機命令行交互界麵,通過命令ip addr查看虛擬機的IP地址,能看到接口eth8的MAC地址為00:0C:29:8D:0A:E5。
[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:8d:0a:e5 brd ff:ff:ff:ff:ff:ff
inet 192.168.101.155/24 brd 192.168.101.255 scope global eth8
inet6 2001::4:20c:29ff:fe8d:ae5/64 scope global dynamic
valid_lft 2591773sec preferred_lft 604573sec
inet6 fe80::20c:29ff:fe8d:ae5/64 scope link
valid_lft forever preferred_lft forever
3: eth7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:ef brd ff:ff:ff:ff:ff:ff
4: eth9: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:f9 brd ff:ff:ff:ff:ff:ff
(10) 修改接口eth8的網絡配置文件。
# 查看網絡配置文件。
[root@localhost ~]# cd /etc/sysconfig/network-scripts
[root@localhost network-scripts]# ls
ifcfg-eth0 ifdown-ipv6 ifup ifup-plip ifup-wireless
ifcfg-eth8 ifdown-isdn ifup-aliases ifup-plusb init.ipv6-global
ifcfg-lo ifdown-post ifup-bnep ifup-post net.hotplug
ifdown ifdown-ppp ifup-eth ifup-ppp network-functions
ifdown-bnep ifdown-routes ifup-ippp ifup-routes network-functions-ipv6
ifdown-eth ifdown-sit ifup-ipv6 ifup-sit
ifdown-ippp ifdown-tunnel ifup-isdn ifup-tunnel
[root@localhost network-scripts]#
# 通過命令vim編輯ifcfg-eth8文件。
[root@localhost network-scripts]# vim ifcfg-eth8
# 對打開的ifcfg-eth8文件進行如下配置操作。
a. 按鍵盤“i”鍵切換到插入狀態,通過上下左右移動光標對打印出來的配置信息字段進行編輯。
b. 將BROADCAST字段設置為192.168.2.255,IPADDR字段設置為192.168.2.233。
c. 按鍵盤“ESC”鍵退出插入狀態。
d. 輸入英文冒號“:”和“wq!”進行保存並退出編輯狀態。
DEVICE=eth8
TYPE=Ethernet
BROADCAST=192.168.2.255
ONBOOT=yes
NAME=VMnet0
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.2.233
NETMASK=255.255.255.0
~
~
(11) 通過命令service network restrat命令重啟網絡服務。
[root@localhost network-scripts]# service network restart
(12) 通過命令ip addr查看虛擬機的IP地址,能看到接口eht8的地址已更改為192.168.2.233/24。
[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:8d:0a:e5 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.233/24 brd 192.168.2.255 scope global eth8
inet6 2001::4:20c:29ff:fe8d:ae5/64 scope global dynamic
valid_lft 2591773sec preferred_lft 604573sec
inet6 fe80::20c:29ff:fe8d:ae5/64 scope link
valid_lft forever preferred_lft forever
3: eth7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:ef brd ff:ff:ff:ff:ff:ff
4: eth9: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0c:29:8d:0a:f9 brd ff:ff:ff:ff:ff:ff
(1) 修改國盾量子服務器KM1的配置文件。
# 切換路徑到usr/local/KeyExportClient/exec。
[root@localhost ~]# cd /usr/local/KeyExportClient/exec
# 通過命令vim編輯配置文件KOSConfig.xml。
[root@localhost exec]# vim KOSConfig.xml
# 對打開的KOSConfig.xml文件進行如下配置操作。
a. 按鍵盤“i”鍵切換到插入狀態,通過上下左右移動光標對打印出來的配置信息字段進行編輯。
b. 通過查看<LocalDev port=”8013”>能看到國盾量子服務器KM1監聽的TCP端口號為8013。
c. 將<KeyTerminal>的ip地址設置為Device A的GE1/0/1接口的IP地址192.168.2.89。
d. 通過查看<KeyTerminal>字段能看到國盾量子服務器KM1分配給Device A的唯一入網標識為341300002,身份認證密鑰為66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0,國盾量子密鑰的解密密鑰為66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
e. 將國盾量子服務器KM1分配給Device A的唯一入網標識和身份認證密鑰、國盾量子密鑰解密密鑰記錄在本地。
f. 按鍵盤“ESC”鍵退出插入狀態
g. 輸入英文冒號“:”和“wq!”進行保存並退出編輯狀態。
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<KM version="6.0">
<KOS>
<LocalDevID>340300001</LocalDevID>
<PeerDevID>340400001</PeerDevID>
<!-- 監聽的TCP端口號 (基本不需更改-重啟生效)-->
<LocalDev port="8013"/>
<!--KeyCompare節點(基本不需更改-及時生效):密鑰輸出比對參數
max:最大比較次數。(消息比對過程中,如果消息比較次數超過設定值,就不再進行比對)
interval:發送比對信息的間隔(單位:秒)
-->
<KeyCompare max="5" interval="4"/>
<!--等待kss密鑰的超時時間,單位毫秒(基本不需更改-及時生效)-->
<KeyStoreTimeOut val="5000"/>
<!-- KeyTerminal節點(及時生效):用於配置當前量子網關下麵掛的密鑰應用終端的信息。
id:消息發送端唯一標識,存在多個密鑰應用終端時,ID不能重複;
ip:密鑰應用終端ip地址;
TotalKeySize:可輸出密鑰總量 有效值範圍0~2147483647(單位:字節;無限製時填0)
SessionTime:會話有效時間 有效值範圍0~65535(單位:分鍾;無限製時填0)
OutSpeed:密鑰輸出速率 有效值範圍0~9223372036854775807(單位:字節/秒;無限製時填0)
-->
<KeyTerminal>
<terminal id="341300002" ip="192.168.2.89" TotalKeySize="0" SessionTime = "0" OutSpeed="0"/>
</KeyTerminal>
<!-- BlackList黑名單,輸出權限控製的功能,如果對端的ID在此黑名單中,則禁止獲取密鑰,否則正常獲取密鑰,BlackList不存在或為空時,不具備輸出權限控製的功能(修改後立即生效)
ID:對端密鑰管理機的id
-->
<!--
<BlackList>
<PeerDevID ID="340300002"/>
</BlackList>
-->
<!-- AuthCode節點:密鑰應用設備進行身份認證時使用的密鑰,在模擬器中,所有的設備使用同一個AuthCode。(修改後立即生效)-->
<AuthCode val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- PreKey節點:密鑰加密輸出時候使用的預置密鑰,可以設置為64字節長度或者32個字節長度。(修改後立即生效)-->
<PreKey val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- 若存在雙機熱備環境,KOSBackDevInfo節點用於配置另外一台密鑰管理機密碼板的信息
ip:配置為另外一台用於備份的密鑰管理機機,密碼板直連線網卡的ip地址;
enabled:表示是否啟用此配置<隻能配置為1或0。0:表示禁用;1:表示啟用。當配置為禁止時,KOSBackDevInfo整個節點信息均無效,ip地址也可以隨意配置
當存在雙機熱備環境,且準備啟用密鑰輸出熱備功能時,需要配置為1;其他情況均配置為0
-->
<KOSBackDevInfo ip="127.0.0.1" enabled="0"/>
</KOS>
</KM>
~
~
(2) 修改國盾量子服務器KM2的配置文件。
# 切換路徑到usr/local/KeyExportServer/exec。
[root@localhost ~]# cd /usr/local/KeyExportServer/exec
# 通過命令vim編輯配置文件KOSConfig.xml。
[root@localhost exec]# vim KOSConfig.xml
# 對打開的KOSConfig.xml文件進行如下配置操作。
a. 按鍵盤“i”鍵切換到插入狀態,通過上下左右移動光標對打印出來的配置信息字段進行編輯。
b. 通過查看<LocalDev port=”8015”>能看到國盾量子服務器KM2監聽的TCP端口號為8015。
c. 將<KeyTerminal>的ip地址設置為Device B的GE1/0/1接口的IP地址192.168.2.90。
d. 通過查看<KeyTerminal>字段能看到國盾量子服務器KM2分配給Device B的唯一入網標識為341300001,身份認證密鑰為66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0,國盾量子密鑰的解密密鑰為66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0。
e. 將國盾量子服務器KM2分配給Device B的唯一入網標識和身份認證密鑰、國盾量子密鑰解密密鑰記錄在本地。
f. 按鍵盤“ESC”鍵退出插入狀態。
g. 輸入英文冒號“:”和“wq!”進行保存並退出編輯狀態。
<?xml version="1.0" encoding="utf-8" standalone="no" ?>
<KM version="6.0">
<KOS>
<LocalDevID>340400001</LocalDevID>
<PeerDevID>340300001</PeerDevID>
<!-- 監聽的TCP端口號 (基本不需更改-重啟生效)-->
<LocalDev port="8015"/>
<!--KeyCompare節點(基本不需更改-及時生效):密鑰輸出比對參數
max:最大比較次數。(消息比對過程中,如果消息比較次數超過設定值,就不再進行比對)
interval:發送比對信息的間隔(單位:秒)
-->
<KeyCompare max="5" interval="4"/>
<!--等待kss密鑰的超時時間,單位毫秒(基本不需更改-及時生效)-->
<KeyStoreTimeOut val="5000"/>
<!-- KeyTerminal節點(及時生效):用於配置當前量子網關下麵掛的密鑰應用終端的信息。
id:消息發送端唯一標識,存在多個密鑰應用終端時,ID不能重複;
ip:密鑰應用終端ip地址;
TotalKeySize:可輸出密鑰總量 有效值範圍0~2147483647(單位:字節;無限製時填0)
SessionTime:會話有效時間 有效值範圍0~65535(單位:分鍾;無限製時填0)
OutSpeed:密鑰輸出速率 有效值範圍0~9223372036854775807(單位:字節/秒;無限製時填0)
-->
<KeyTerminal>
<terminal id="341300001" ip="192.168.2.90" TotalKeySize="0" SessionTime = "0" OutSpeed="0"/>
</KeyTerminal>
<!-- BlackList黑名單,輸出權限控製的功能,如果對端的ID在此黑名單中,則禁止獲取密鑰,否則正常獲取密鑰,BlackList不存在或為空時,不具備輸出權限控製的功能(修改後立即生效)
ID:對端密鑰管理機的id
-->
<!--
<BlackList>
<PeerDevID ID="340300002"/>
</BlackList>
-->
<!-- AuthCode節點:密鑰應用設備進行身份認證時使用的密鑰,在模擬器中,所有的設備使用同一個AuthCode。(修改後立即生效)-->
<AuthCode val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- PreKey節點:密鑰加密輸出時候使用的預置密鑰,可以設置為64字節長度或者32個字節長度。(修改後立即生效)-->
<PreKey val="66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0"/>
<!-- 若存在雙機熱備環境,KOSBackDevInfo節點用於配置另外一台密鑰管理機密碼板的信息
ip:配置為另外一台用於備份的密鑰管理機機,密碼板直連線網卡的ip地址;
enabled:表示是否啟用此配置<隻能配置為1或0。0:表示禁用;1:表示啟用。當配置為禁止時,KOSBackDevInfo整個節點信息均無效,ip地址也可以隨意配置
當存在雙機熱備環境,且準備啟用密鑰輸出熱備功能時,需要配置為1;其他情況均配置為0
-->
<KOSBackDevInfo ip="127.0.0.1" enabled="0"/>
</KOS>
</KM>
~
~
(1) 請根據組網圖中標示的接口IP地址,配置各接口的IP地址,具體配置步驟略。
(2) 配置IPv4高級ACL 3001,定義要保護由子網10.1.1.0/24去子網10.1.2.0/24的數據流。
<DeviceA> system-view
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3001] quit
(3) 配置IPsec安全策略
# 創建IPsec安全提議tran1。
[DeviceA] ipsec transform-set tran1
# 配置安全協議對IP報文的封裝形式為隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全協議為ESP。
[DeviceA-ipsec-transform-set-tran1] protocol esp
# 配置ESP協議采用的加密算法為128比特的AES,認證算法為HMAC-SHA1。
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceA-ipsec-transform-set-tran1] quit
# 創建IKE keychain,名稱為keychain1。
[DeviceA] ike keychain keychain1
# 配置與IP地址為2.2.2.2的對端使用的預共享密鑰為明文123456TESTplat&!。
[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456TESTplat&!
[DeviceA-ike-keychain-keychain1] quit
# 創建IKE profile,名稱為profile1。
[DeviceA] ike profile profile1
# 指定引用的IKE keychain為keychain1。
[DeviceA-ike-profile-profile1] keychain keychain1
# 配置本端的身份信息為IP地址2.2.2.1。
[DeviceA-ike-profile-profile1] local-identity address 2.2.2.1
# 配置匹配對端身份的規則為IP地址2.2.2.2/24。
[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為map1,順序號為10。
[DeviceA] ipsec policy map1 10 isakmp
# 配置IPsec隧道的對端IP地址為2.2.2.2。
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
# 指定引用ACL 3001。
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3001
# 指定引用的安全提議為tran1。
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定引用的IKE profile為profile1。
[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
# 在接口GigabitEthernet1/0/3上應用IPsec安全策略map1。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ipsec apply policy map1
[DeviceA-GigabitEthernet1/0/3] quit
(4) 配置到Host B所在子網的靜態路由。2.2.2.2為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。
[DeviceA] ip route-static 10.1.2.0 255.255.255.0 2.2.2.2
(5) 配置國盾量子加密功能
# 開啟國盾量子加密功能,並進入IKE GDQUANTUM視圖。
[DeviceA] ike gd-quantum
# 配置設備唯一入網標識341300002。
[DeviceA-ike-gdquantum] app-dev-info 341300002
# 指定國盾量子服務器的IP地址192.168.2.233和端口號8013。
[DeviceA-ike-gdquantum] server-address 192.168.2.233 port 8013
# 配置登錄國盾量子服務器的身份認證密鑰。
[DeviceA-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
# 配置國盾量子密鑰的解密密鑰。
[DeviceA-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
[DeviceA-ike-gdquantum] quit
[DeviceA]display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.89 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.2.0 24 2.2.2.2
#
acl advanced 3001
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.1
remote-address 2.2.2.2
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.1
match remote identity address 2.2.2.2 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.2 255.255.255.0 key cipher $c$3$edgzoC7/3sdhovx1
2qIB86DoCEdEwzCst2D1dmcw8tlhdOo=
#
ike gd-quantum
app-dev-info 341300002
auth-key cipher $c$3$Hw4EB96I+pXCZe1I1P9pTaDfTHHd6K8UdH2MKv/UmZLf1LgWmKGKiGR+Dt
lY7wCqjOe5kPLQ9V+QFQHxBm2IMZkRyuQQFdzskGk09YxpEqI/qm8=
decrypt-quantum-key cipher $c$3$jPoe6G6dM73DNdXQxyAUeySCZjNamtBwppdZpycWUQSagAN
MBM1au5cR+aLfsbQD8hS3tcYqev4Wh6BkFpJe4VlTsgBK4N1JeJdqhIw+EGAYKJA=
server-address 192.168.2.233
#
return
(1) 配置各接口的IP地址,具體略。
(2) 配置IPv4高級ACL 3001,定義要保護由子網10.1.2.0/24去往子網10.1.1.0/24的數據流。
<DeviceB> system-view
[DeviceB] acl advanced 3001
[DeviceB-acl-ipv4-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[DeviceB-acl-ipv4-adv-3001] quit
(3) 配置IPsec安全策略
# 創建IPsec安全提議tran1。
[DeviceB] ipsec transform-set tran1
# 配置安全協議對IP報文的封裝形式為隧道模式。
[DeviceB-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全協議為ESP。
[DeviceB-ipsec-transform-set-tran1] protocol esp
# 配置ESP協議采用的加密算法為128比特的AES,認證算法為HMAC-SHA1。
[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceB-ipsec-transform-set-tran1] quit
# 創建IKE keychain,名稱為keychain1。
[DeviceB]ike keychain keychain1
# 配置與IP地址為2.2.2.1的對端使用的預共享密鑰為明文123456TESTplat&!。
[DeviceB-ike-keychain-keychain1] pre-shared-key address 2.2.2.1 255.255.255.0 key simple 123456TESTplat&!
[DeviceB-ike-keychain-keychain1] quit
# 創建IKE profile,名稱為profile1。
[DeviceB] ike profile profile1
# 指定引用的IKE keychain為keychain1。
[DeviceB-ike-profile-profile1] keychain keychain1
# 配置本端的身份信息為IP地址2.2.2.2。
[DeviceB-ike-profile-profile1] local-identity address 2.2.2.2
# 配置匹配對端身份的規則為IP地址2.2.2.1/24。
[DeviceB-ike-profile-profile1] match remote identity address 2.2.2.1 255.255.255.0
[DeviceB-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為use1,順序號為10。
[DeviceB] ipsec policy use1 10 isakmp
# 配置IPsec隧道的對端IP地址為2.2.2.1。
[DeviceB-ipsec-policy-isakmp-use1-10] remote-address 2.2.2.1
# 指定引用ACL 3001。
[DeviceB-ipsec-policy-isakmp-use1-10] security acl 3001
# 指定引用的安全提議為tran1。
[DeviceB-ipsec-policy-isakmp-use1-10] transform-set tran1
# 指定引用的IKE profile為profile1。
[DeviceB-ipsec-policy-isakmp-use1-10] ike-profile profile1
[DeviceB-ipsec-policy-isakmp-use1-10] quit
# 在接口GigabitEthernet1/0/3上應用IPsec安全策略use1。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ipsec apply policy use1
(4) 配置到Host A所在子網的靜態路由。2.2.2.1為本例中的直連下一跳地址,實際使用中請以具體組網情況為準。
[DeviceB] ip route-static 10.1.1.0 255.255.255.0 2.2.2.1
(5) 配置國盾量子加密功能
# 開啟國盾量子加密功能,並進入IKE GDQUANTUM視圖。
<DeviceB> system-view
[DeviceB] ike gd-quantum
# 配置設備唯一入網標識341300001。
[DeviceB-ike-gdquantum] app-dev-info 341300001
# 指定國盾量子服務器的IP地址192.168.2.233和端口號8015。
[DeviceB-ike-gdquantum] server-address 192.168.2.233 port 8015
# 配置登錄國盾量子服務器的身份認證密鑰。
[DeviceB-ike-gdquantum] auth-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
# 配置國盾量子密鑰的解密密鑰。
[DeviceB-ike-gdquantum] decrypt-quantum-key simple 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0
[DeviceB-ike-gdquantum] quit
[DeviceB]display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.90 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.2 255.255.255.0
ipsec apply policy use1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.1.0 24 2.2.2.1
#
acl advanced 3001
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy use1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.2
remote-address 2.2.2.1
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.2
match remote identity address 2.2.2.1 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c$3$X4+kpV4rxwmf3BG7
M6RGJRHuii2WD3qJ2EdyOy5JZMTzn+o=
#
ike gd-quantum
app-dev-info 341300001
auth-key cipher $c$3$mQu4HBwPOSlwaLl5M7oFS9vaJfeDPY/buDHQSnWuxvENjocZrnisTRljzY
TlsDdm6wrvdhl7wUlIJxhDnR/oM+Wt1nrhS7hw+IZk9RWFGZidysQ=
decrypt-quantum-key cipher $c$3$Fzk7c5uFE8nPJPJYqJnlzvCM1k2KzCRl4Hcu+j+YAzHQFws
+6V7y2Ll10VdMYy9572GnIkMDcMiPH4LNroi1qshCUWk7ml59V1zstBJoDWsnBiI=
server-address 192.168.2.233 port 8015
#
return
以上配置完成後,Device A和Device B會分別向國盾量子服務器KM1和KM2發送登錄請求,並攜帶唯一入網標識和身份認證密鑰,隻有參數驗證無誤後才能成功登錄。
# 在CentOS 64位的虛擬機命令行交互界麵,切換路徑到usr/local/KeyExportClient/exec。
[root@localhost ~]# cd /usr/local/KeyExportClient/exec
# 通過./KeyExportClient命令執行KeyExportClient。能看到CentOS 64位的虛擬機命令行交互界麵打印出了Device A的心跳報文信息,說明Device A已成功登錄國盾量子服務器KM1。
INFO 03/26 00:05:21:576 T: 139765114009344 ../src/MsgDistribute.cpp:150 - [NET] 密鑰應用終端341300002連接成功, socketManageID = 1, fd = 13, ip = 192.168.2.2
INFO 03/26 00:05:21:579 T: 139765114009344 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 03/26 00:05:21:589 T: 139765114009344 ../src/IMsgProcess.cpp:39 - [OUT] 接收到設備認證入網命令, 協議版本 = 0x21, 消息發送端設備唯一標示 = 341300002, 設備ID = 0, 算法套件 = 1
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/NMPDataManager.cpp:129 - [DEV] 密鑰應用終端設備信息更新, socketMgeID = 1, nAppDevInID = 341300002
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/AppManage.cpp:814 - 設備[341300002]身份認證成功!
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/SysConfig.cpp:1289 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:05:21:590 T: 139765114009344 ../src/KeyTerminalManager.cpp:306 - [OUT] 發送App設備認證入網響應幀, 用戶級別 = 1, 響應值 = 0
INFO 03/26 00:05:51:755 T: 139765134989056 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:05:51:755 T: 139765134989056 ../src/KeyTerminalManager.cpp:490 - [OUT] 發送心跳檢測命令幀到設備:341300002
INFO 03/26 00:05:51:768 T: 139765114009344 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 03/26 00:05:51:769 T: 139765114009344 ../src/IMsgProcess.cpp:202 - [OUT]接收到設備[341300002]的心跳檢測響應!
# 在CentOS 64位的虛擬機命令行交互界麵,切換路徑到usr/local/KeyExportServer/exec。
[root@localhost ~]# cd /usr/local/KeyExportServer/exec
# 通過./KeyExportServer命令執行KeyExportServer。能看到CentOS 64位的虛擬機命令行交互界麵打印出了Device B的心跳報文信息,說明Device B已成功登錄國盾量子服務器KM2。
INFO 03/26 00:07:30:124 T: 139892220741376 ../src/MsgDistribute.cpp:150 - [NET] 密鑰應用
終端341300001連接成功, socketManageID = 1, fd = 13, ip = 192.168.2.3
INFO 03/26 00:07:30:129 T: 139892220741376 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/IMsgProcess.cpp:39 - [OUT] 接收到設備認證入網命令, 協議版本 = 0x21, 消息發送端設備唯一標示 = 341300001, 設備ID = 0, 算法套件 = 1
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/NMPDataManager.cpp:129 - [DEV] 密鑰應用終端設備信息更新, socketMgeID = 1, nAppDevInID = 341300001
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/AppManage.cpp:814 - 設備[341300001]身份認證成功!
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/SysConfig.cpp:1289 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:07:30:168 T: 139892220741376 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:07:30:169 T: 139892220741376 ../src/KeyTerminalManager.cpp:306 - [OUT] 發送App設備認證入網響應幀, 用戶級別 = 1, 響應值 = 0
INFO 03/26 00:08:00:346 T: 139892241721088 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 03/26 00:08:00:346 T: 139892241721088 ../src/KeyTerminalManager.cpp:490 - [OUT] 發送心跳檢測命令幀到設備:341300001
INFO 03/26 00:08:00:362 T: 139892220741376 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 03/26 00:08:00:362 T: 139892220741376 ../src/IMsgProcess.cpp:202 - [OUT]接收到設備[341300001]的心跳檢測響應!
Device A和Device B之間如果有子網10.1.1.0/24與子網10.1.2.0/24之間的報文通過,將觸發IKE協商。當IKE一階段協商完成後,Device A和Device B會分別向國盾量子服務器KM1和KM2獲取經過加密的量子密鑰,然後再通過配置的解密密鑰進行解密。最終得到供IPsec使用的量子密鑰。
# 在Device A上用私網地址可以ping通Device B連接的私網地址。
<Device A>ping -a 10.1.1.1 10.1.2.1
Ping 10.1.2.1 (10.1.2.1) from 10.1.1.1: 56 data bytes, press CTRL_C to break
Request time out
56 bytes from 10.1.2.1: icmp_seq=1 ttl=255 time=0.652 ms
56 bytes from 10.1.2.1: icmp_seq=2 ttl=255 time=0.294 ms
56 bytes from 10.1.2.1: icmp_seq=3 ttl=255 time=0.244 ms
56 bytes from 10.1.2.1: icmp_seq=4 ttl=255 time=0.237 ms
--- Ping statistics for 10.1.2.1 ---
5 packet(s) transmitted, 4 packet(s) received, 20.0% packet loss
round-trip min/avg/max/std-dev = 0.237/0.357/0.652/0.172 ms
# 在CentOS 64位的虛擬機命令行交互界麵,通過./KeyExportClient命令執行KeyExportClient打印國盾量子服務器KM1的信息,能看到Device A向國盾量子服務器KM1發出密鑰申請,國盾量子服務器KM1將量子密鑰分配給Device A。
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/IMsgProcess.cpp:84 - [OUT] 接收到UKS申請命令, 消息發送端設備唯一標示 = 341300002, 業務標示 = 0, 會話標示 = 1465872346714734594, 應用類型 = 2, 密碼需求 = 0, 對端APP設備入網編號 = 341300001
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/AppManage.cpp:302 - CAppManage::AddSessionInfoWithUKSApply::會話標示 = 1465872346714734594, 密鑰應用標示 = 1(加密), APP設備入網編號 = 341300002
INFO 04/08 18:54:56:832 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:152 - [OUT] 發送UKS申請命令到對端KeyExport,會話標示 = 1465872346714734594, 本端APP設備ID = 341300002, 遠端APP設備ID = 341300001
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/AppManage.cpp:451 - CAppManage::GetRecvAppDevInIDFromSessionID:: 會話標示 = 1465872346714734594, 獲取的設備ID = 341300002
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/SysConfig.cpp:699 - [OUT]根據消息發送端唯一標識:341300002, 找到對應的設備信息!
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:226 - [OUT] 接收到UKS許可申請響應, 會話標示 = 1465872346714734594, 業務標示 = 0, 響應值 = 1, 本次會話可輸出密鑰總量 = 0(字節), 速率 = 0(字節/秒), 會話有效時間 = 0(分鍾)
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/KeyTerminalManager.cpp:334 - [OUT] 發送UKS申請響應幀, sessionID = 1465872346714734594, 響應值 = 1
INFO 04/08 18:54:56:841 T: 140359617668864 ../src/AppManage.cpp:396 - [OUT] 會話信息更新成功, 會話標示 = 1465872346714734594
INFO 04/08 18:54:56:846 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:846 T: 140359617668864 ../src/DeliverModeProcess.cpp:61 - [OUT] 接收到密鑰讀取指令,會話標示 = 1465872346714734594, 密鑰讀取標示 = 1, 申請的密鑰長度為 = 8192
INFO 04/08 18:54:56:846 T: 140359617668864 ../src/MsgQueue.cpp:201 - [OUT] 命令幀已放入消息隊列,並成功開辟新的緩存,包序號 = 1-340300001-340400001-1465872346714734594
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/KeyStoreProxy.cpp:257 - [OUT]輸出加密密鑰!
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:846 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:393 - [OUT] 收到加密密鑰響應幀的第一幀,密鑰起始地址=[1024], 密鑰類型=[1]
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:847 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:848 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:849 T: 140359531230976 ../src/QuantumKeyBuffManager.cpp:376 - [OUT]發送序列號 = 1-340300001-340400001-1465872346714734594的密鑰!
INFO 04/08 18:54:56:851 T: 140359531230976 ../src/MsgQueue.cpp:689 - [OUT] 發送密鑰讀取幀比對消息, packageSerialNumber = 1-340300001-340400001-1465872346714734594, keyStartPos = 1024, checkSum = 19202, 比對次數 = 1
INFO 04/08 18:54:56:895 T: 140359617668864 ../src/MsgQueue.cpp:877 - [OUT] 加密端: 接收到密鑰比對消息響應幀,dataPackageSerialNumber = 1-340300001-340400001-1465872346714734594, 響應值 = 成功
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 1
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 2
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:896 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 3
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 4
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 5
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 6
INFO 04/08 18:54:56:897 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 7
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:898 T: 140359520741120 ../src/KeyTerminalManager.cpp:258 - [OUT] 發送密鑰讀取響應幀到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 8
INFO 04/08 18:54:56:914 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/IMsgProcess.cpp:120 - [OUT] 接收到密鑰一致性校驗消息, 消息發送端設備唯一標示 = 341300002, 會話標示 = 1465872346714734594
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/AppManage.cpp:590 - 會話標示 = 1465872346714734594, 其密鑰應用屬性 = 1
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/AppManage.cpp:519 - CAppManage::GetRecvAppDevInIDFromSessionID:: 會話標示 = 1465872346714734594, 獲取的設備ID = 341300001
INFO 04/08 18:54:56:914 T: 140359617668864 ../src/KeyOutCmdProcess.cpp:521 - [OUT] 發送透傳信息到對端KeyExport,對端KM ID = 340400001, 對端APP設備ID = 341300001
INFO 04/08 18:54:56:957 T: 140359617668864 ../src/KeyTerminalManager.cpp:132 - [OUT] 透傳消息到密鑰應用終端[341300002], socketManagerID = 1
INFO 04/08 18:55:14:405 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/AppManage.cpp:590 - 會話標示 = 1465872346714734594, 其密鑰應用屬性 = 1
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/IMsgProcess.cpp:173 - [OUT] 接收到UKS銷毀命令幀, 消息發送端設備唯一標示 = 341300002, 會話標示 = 1465872346714734594
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:55:14:405 T: 140359617668864 ../src/KeyTerminalManager.cpp:386 - [OUT] 發送UKS銷毀響應幀到APP設備, sessionID = 1465872346714734594, 響應值 = 0
INFO 04/08 18:55:22:103 T: 140359617668864 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
# 在CentOS 64位的虛擬機命令行交互界麵,通過./KeyExportClient命令執行KeyExportClient打印國盾量子服務器KM2的信息,能看到Device B向國盾量子服務器KM2發出密鑰申請,國盾量子服務器KM2將量子密鑰分配給Device B。
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:267 - [OUT] 接收到UKS創建(許可申請)通知, 業務標示 = 0, 會話標示 = 1465872346714734594, 發送端App設備入網編號 = 341300002, 接收端App設備入網編號 = 341300001
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/AppManage.cpp:337 - CAppManage::AddSessionInfoWithApplyNotify::會話標示 = 1465872346714734594, 密鑰應用標示 = 2(解密), APP設備入網編號 = 341300001
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyTerminalManager.cpp:361 - [OUT] 發送UKS申請通知命令幀到APP設備, BusinessID = 0, sessionID = 1465872346714734594, 發送端APP設備入網編號 = 341300002
INFO 04/08 18:54:56:833 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:267 - [OUT] 接收到UKS創建(許可申請)通知, 業務標示 = 0, 會話標示 = 1465872346714734594, 發送端App設備入網編號 = 341300002, 接收端App設備入網編號 = 341300001
WARN 04/08 18:54:56:833 T: 140200957396736 ../src/AppManage.cpp:329 - [OUT] 重複的session信息,sessionID = 1465872346714734594
INFO 04/08 18:54:56:841 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:841 T: 140200957396736 ../src/IMsgProcess.cpp:108 - [OUT] 接收到UKS申請通知響應幀, 消息發送端設備唯一標示 = 341300001, 業務標示 = 0, 會話標示 = 1465872346714734594, 響應值 = 0x0
INFO 04/08 18:54:56:841 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:439 - [OUT] 發送UKS申請響應幀到對端KeyExport,會話標示 = 1465872346714734594, 響應值 = 0
INFO 04/08 18:54:56:849 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:849 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[1]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff長度(933)不足一幀或幀錯誤,保存等待下一包。
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff長度(751)不足一幀或幀錯誤,保存等待下一包。
INFO 04/08 18:54:56:886 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff長度(569)不足一幀或幀錯誤,保存等待下一包。
INFO 04/08 18:54:56:887 T: 140200957396736 ../../../../cppcommons/QsdFrame.cpp:392 - [SYS] m_pBuff長度(387)不足一幀或幀錯誤,保存等待下一包。
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:810 - [OUT] 解密端:接收到密鑰讀取幀比對消息, packageSerialNumber = 1-340300001-340400001-1465872346714734594, keyStartPos = 1024, 會話模式 = 推送
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:201 - [OUT] 命令幀已放入消息隊列,並成功開辟新的緩存,包序號 = 1-340300001-340400001-1465872346714734594
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:906 - [OUT] 密鑰讀取信息容量 = 1
INFO 04/08 18:54:56:887 T: 140200957396736 ../src/MsgQueue.cpp:866 - [OUT] 解密端:更新密鑰讀取信息,開始地址 = 1024, 密鑰類型 = 1
INFO 04/08 18:54:56:887 T: 140200946906880 ../src/KeyStoreProxy.cpp:303 - [OUT]輸出解密密鑰!
INFO 04/08 18:54:56:887 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[1]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[2]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:887 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[4]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[6]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[8]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[3]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[7]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:35 - [OUT]收到加密端發送的量子密鑰
INFO 04/08 18:54:56:888 T: 140200967886592 ../src/RemoteKOSProxy.cpp:115 - [OUT]接收到序列號 = 1-340300001-340400001-1465872346714734594 的第[5]幀密鑰!, 申請的密鑰量為:8192(Bytes)
INFO 04/08 18:54:56:888 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:888 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [1], 本次密鑰長度 = [1024], 當前緩存大小 = [0]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:462 - [OUT] 收到解密密鑰響應幀的第一幀,密鑰起始地址=[1024], 密鑰類型=[1]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[2]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [2], 本次密鑰長度 = [1024], 當前緩存大小 = [1024]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[3]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [3], 本次密鑰長度 = [1024], 當前緩存大小 = [2048]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[4]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [4], 本次密鑰長度 = [1024], 當前緩存大小 = [3072]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[5]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [5], 本次密鑰長度 = [1024], 當前緩存大小 = [4096]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[6]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [6], 本次密鑰長度 = [1024], 當前緩存大小 = [5120]
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[7]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:889 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [7], 本次密鑰長度 = [1024], 當前緩存大小 = [6144]
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/RemoteKOSProxy.cpp:147 - [OUT]輸出序列號 = 1-340300001-340400001-1465872346714734594 ,第[8]幀密鑰!, 申請的密鑰量為:8(KB)
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/RemoteKOSProxy.cpp:161 - [OUT]密鑰輸出成功!
INFO 04/08 18:54:56:890 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:436 - [OUT] 收到解密密鑰獲取響應幀,幀序號 = [8], 本次密鑰長度 = [1024], 當前緩存大小 = [7168]
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/AppManage.cpp:519 - CAppManage::GetRecvAppDevInIDFromSessionID:: 會話標示 = 1465872346714734594, 獲取的設備ID = 341300001
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 1
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 2
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:892 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 3
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 4
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 5
INFO 04/08 18:54:56:893 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 6
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 7
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/KeyTerminalManager.cpp:441 - [OUT] 發送密鑰推送命令到密鑰應用終端[1], packageSerialNumber = 1-340300001-340400001-1465872346714734594, 幀序號 = 8
INFO 04/08 18:54:56:894 T: 140200946906880 ../src/QuantumKeyBuffManager.cpp:243 - [OUT]幀序號 = 8, 密鑰總量 = 8
INFO 04/08 18:54:56:895 T: 140200946906880 ../src/MsgQueue.cpp:745 - [OUT] 發送密鑰比對消息響應幀, packageSerialNumber = 1-340300001-340400001-1465872346714734594, checkSum = 19202, 比對結果 = 成功
INFO 04/08 18:54:56:899 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:900 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:905 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:905 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:910 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:910 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:914 T: 140200957396736 ../src/KeyTerminalManager.cpp:132 - [OUT] 透傳消息到密鑰應用終端[341300001], socketManagerID = 1
INFO 04/08 18:54:56:915 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:915 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:955 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:955 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 獲取一個正常的幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 獲取一個正常的幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 獲取一個正常的幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:956 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:646 - 獲取一個正常的幀!
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/KeyTerminalManager.cpp:99 - [OUT] 收到終端的密鑰推送響應幀!
INFO 04/08 18:54:56:957 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/IMsgProcess.cpp:120 - [OUT] 接收到密鑰一致性校驗消息, 消息發送端設備唯一標示 = 341300001, 會話標示 = 1465872346714734594
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/AppManage.cpp:590 - 會話標示 = 1465872346714734594, 其密鑰應用屬性 = 2
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/AppManage.cpp:451 - CAppManage::GetRecvAppDevInIDFromSessionID:: 會話標示 = 1465872346714734594, 獲取的設備ID = 341300002
INFO 04/08 18:54:56:957 T: 140200957396736 ../src/KeyOutCmdProcess.cpp:521 - [OUT] 發送透傳信息到對端KeyExport,對端KM ID = 340300001, 對端APP設備ID = 341300002
INFO 04/08 18:55:08:459 T: 140200978376448 ../src/SysConfig.cpp:1305 - [OUT]設備sock[1],對應的密鑰輸出協議版本號:0x21
INFO 04/08 18:55:08:460 T: 140200978376448 ../src/KeyTerminalManager.cpp:490 - [OUT] 發送心跳檢測命令幀到設備:341300001
INFO 04/08 18:55:08:465 T: 140200957396736 ../../../../cppcommons/VedioFrame.cpp:606 - 清理幀頭之前的無效數據,無效數據長度為:0
# 通過display ike proposal命令可查看Device A和Device B上的IKE提議。因為沒有配置任何IKE提議,則隻顯示缺省的IKE提議。
[DeviceA] display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
[DeviceB] display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
# 通過display ike sa命令可查看Device A上IKE第一階段協商成功後生成的IKE SA。
[DeviceA] display ike sa
Connection-ID Local Remote Flag DOI
---------------------------------------------------------------------------------
1 2.2.2.1 2.2.2.2/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
# 通過display ipsec sa命令可查看IKE第二階段協商生成的IPsec SA。
[DeviceA] display ipsec sa
-------------------------------
Interface: GigabitEthernet1/0/3
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Alias: map1-10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1428
Tunnel:
local address/port: 2.2.2.1/500
remote address/port: 2.2.2.2/500
Flow:
sour addr: 10.1.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 10.1.2.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 117833058 (0x0705fd62)
Connection ID: 150323855360
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3247
Max received sequence-number: 10
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 3302519622 (0xc4d87346)
Connection ID: 47244640257
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3247
Max sent sequence-number: 10
UDP encapsulation used for NAT traversal: N
Status: Active
Device B上也會產生相應的IKE SA和IPsec SA,查看方式與Device A同,此處略。
· Device A:
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.89 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.1 255.255.255.0
ipsec apply policy map1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.2.0 24 2.2.2.2
#
acl advanced 3001
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy map1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.1
remote-address 2.2.2.2
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.1
match remote identity address 2.2.2.2 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.2 255.255.255.0 key cipher $c$3$edgzoC7/3sdhovx1
2qIB86DoCEdEwzCst2D1dmcw8tlhdOo=
#
ike gd-quantum
app-dev-info 341300002
auth-key cipher $c$3$Hw4EB96I+pXCZe1I1P9pTaDfTHHd6K8UdH2MKv/UmZLf1LgWmKGKiGR+Dt
lY7wCqjOe5kPLQ9V+QFQHxBm2IMZkRyuQQFdzskGk09YxpEqI/qm8=
decrypt-quantum-key cipher $c$3$jPoe6G6dM73DNdXQxyAUeySCZjNamtBwppdZpycWUQSagAN
MBM1au5cR+aLfsbQD8hS3tcYqev4Wh6BkFpJe4VlTsgBK4N1JeJdqhIw+EGAYKJA=
server-address 192.168.2.233
#
· Device B :
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.2.90 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 2.2.2.2 255.255.255.0
ipsec apply policy use1
#
ip route-static 0.0.0.0 0 192.168.2.1
ip route-static 10.1.1.0 24 2.2.2.1
#
acl advanced 3001
rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec policy use1 10 isakmp
transform-set tran1
security acl 3001
local-address 2.2.2.2
remote-address 2.2.2.1
ike-profile profile1
#
ike profile profile1
keychain keychain1
local-identity address 2.2.2.2
match remote identity address 2.2.2.1 255.255.255.0
#
ike keychain keychain1
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c$3$X4+kpV4rxwmf3BG7
M6RGJRHuii2WD3qJ2EdyOy5JZMTzn+o=
#
ike gd-quantum
app-dev-info 341300001
auth-key cipher $c$3$mQu4HBwPOSlwaLl5M7oFS9vaJfeDPY/buDHQSnWuxvENjocZrnisTRljzY
TlsDdm6wrvdhl7wUlIJxhDnR/oM+Wt1nrhS7hw+IZk9RWFGZidysQ=
decrypt-quantum-key cipher $c$3$Fzk7c5uFE8nPJPJYqJnlzvCM1k2KzCRl4Hcu+j+YAzHQFws
+6V7y2Ll10VdMYy9572GnIkMDcMiPH4LNroi1qshCUWk7ml59V1zstBJoDWsnBiI=
server-address 192.168.2.233 port 8015
#
· “安全配置指導”中的“IPsec”
· “安全命令參考”中的“IPsec”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!