12-安全配置指導

13-Group Domain VPN配置

1 Group Domain VPN

1.1 Group Domain VPN簡介

1.1.1 Group Domain VPN的優點

1.1.2 Group Domain VPN的組網結構

1.1.3 Group Domain VPN的工作機製

1.1.4 IPsec GDOI安全策略

1.1.5 協議規範

1.2 FIPS相關說明

1.3 Group Domain VPN配置限製和指導

1.4 GDOI GM配置任務簡介

1.5 配置GDOI GM組

1.6 配置IPsec GDOI安全策略

1.7 在接口上應用IPsec GDOI安全策略

1.8 GDOI GM顯示和維護

1.9 Group Domain VPN典型配置舉例

1.9.1 Group Domain VPN基本組網配置舉例

1 Group Domain VPN

1.1 Group Domain VPN簡介

Group Domain VPN（Group Domain Virtual Private Network，組域虛擬專用網絡）是一種實現密鑰和IPsec安全策略集中管理的點到多點無隧道連接VPN解決方案，主要用於保護組播流量，例如音頻、視頻廣播和組播文件的安全傳輸。Group Domain VPN提供了一種基於組的IPsec安全模型，屬於同一個組的所有成員共享相同的安全策略及密鑰。

1.1.1 Group Domain VPN的優點

相比較傳統的IPsec VPN，Group Domain VPN具有如下優點：

· 網絡擴展性強。傳統的IPsec VPN中，每對通信對等體之間都需要建立IKE SA和IPsec SA，管理複雜度高，而Group Domain VPN中所有組成員之間共用一對IPsec SA，管理複雜度低，可擴展性更好。

· 無需改變原有路由部署。傳統的IPsec VPN是基於隧道的VPN連接，如果封裝了新的IP頭，需要重新部署路由。Group Domain VPN不需修改報文IP頭，報文外層封裝的新的IP頭與內層的原IP頭完全相同，因此，不需要改變原有部署的路由。

· 更好的QoS處理。傳統的IPsec VPN由於在原有IP報文外封裝了新的IP頭，報文在網絡中傳輸時，需要重新配置QoS策略。Group Domain VPN保留了原有的IP頭，網絡傳輸時可以更好地實現QoS處理。

· 組播效率更高。由於傳統的IPsec VPN是點到點的隧道連接，當需要對組播報文進行IPsec保護時，本端需要向組播組裏的每個對端均發送一份加密報文，因此組播效率低。Group Domain VPN是無隧道的連接，隻需對組播報文進行一次加密即可，本端無需單獨向每個對端發送加密報文，組播效率高。

· 可提供點到多點的連通性。所有組成員共用一對IPsec SA，同一個組中的任意兩個組成員之間都可以實現報文的加密和解密，真正實現了所有節點之間的互聯。

1.1.2 Group Domain VPN的組網結構

Group Domain VPN由KS（Key Server，密鑰服務器）和GM（Group Member，組成員）組成，它的典型組網結構如圖1-1所示。其中，KS通過劃分不同的組來管理不同的安全策略和密鑰；GM通過加入相應的組，從KS獲取安全策略及密鑰，並負責對數據流量加密和解密。

圖1-1 Group Domain VPN組網結構示意圖

1. KS（Key Server，密鑰服務器）

KS是一個為組維護安全策略、創建和維護密鑰信息的網絡設備。它有兩個責任：響應GM的注冊請求，以及發送Rekey消息。當一個GM向KS進行注冊時，KS會將安全策略和密鑰下發給這個GM。這些密鑰將被周期性的更新，在密鑰生存周期超時前，KS會通過Rekey消息通知所有GM更新密鑰。

KS下發的密鑰包括兩種類型：

· TEK（tranfic encrytion key，加密流量的密鑰）：由組內的所有GM共享，用於加密GM之間的流量。

· KEK（key encrytion key，加密密鑰的密鑰）：由組內的所有GM共享，用於加密KS向GM發送的Rekey消息。

可以通過配置，使多個KS之間進行冗餘備份，以提供高可靠性和提供注冊服務的負載分擔。

2. GM（Group Member，組成員）

GM是一組共享相同安全策略且有安全通信需求的網絡設備。它們在KS上注冊，並利用從KS上獲取的安全策略與屬於同一個組的其它GM通信。GM在KS上注冊時提供一個組ID，KS根據這個組ID將對應組的安全策略和密鑰下發給該GM。

1.1.3 Group Domain VPN的工作機製

Group Domain VPN的工作過程可分為GM向KS注冊、GM保護數據以及密鑰更新三大部分。

1. GM向KS注冊

在GM的某接口上應用了Group Domain VPN的相關IPsec安全策略後，GM會向KS發起注冊，這個注冊過程包括兩個階段的協商：IKE協商和GDOI（Group Domain of Interpretation，組解釋域）協商，具體內容如下：

· 第一階段的IKE協商：GM與KS進行協商，進行雙方的身份認證，身份認證通過後，生成用於保護第二階段GDOI協商的IKE SA。

· 第二階段的GDOI協商：這是一個GM從KS上獲取IPsec安全策略的過程，其具體的協議過程由GDOI協議定義，可參見RFC3547中關於GROUPKEY-PULL交換的描述。

圖1-2 注冊過程流程圖

具體的注冊過程包括圖1-2所示的五個步驟：

(1) GM與KS進行一階段IKE協商；

(2) GM向KS發送所在組的ID；

(3) KS根據GM提供的組ID向GM發送相應組的IPsec安全策略（保護的數據流信息、加密算法、認證算法、封裝模式等）；

(4) GM對收到的IPsec安全策略進行驗證，如果該策略是可接受的（例如安全協議和加密算法是可支持的），則向KS發送確認消息；

(5) KS收到GM的確認消息後，向GM發送密鑰信息（KEK、TEK）。

通過這個過程，GM把KS上的IPsec安全策略和密鑰獲取到了本地。此後，就可以利用獲取的IPsec安全策略和密鑰在GM之間加密、解密傳輸的數據了。

在GM向KS發起注冊時，GM會開啟一個GDOI注冊定時器。若該定時器超時時GM還未注冊成功，則表示當前的注冊過程失敗，GM會重新發起注冊。該定時器的時間不可配，且在注冊成功之後會根據下發的Rekey SA和IPsec SA的生命周期來更新超時時間。

2. 數據保護

GM完成注冊之後，將使用獲取到的IPsec SA對符合IPsec安全策略的報文進行保護。保護的數據可包括單播數據和組播數據兩種類型。

與傳統的IPsec VPN類似，Group Domain VPN也支持隧道和傳輸兩種封裝模式，該模式由KS決定並下發給GM。

· 隧道模式：首先在原有的IP報文外部封裝安全協議頭（AH頭或ESP頭，目前Group Domain VPN不支持AH協議），然後在最外層封裝一個與原有報文IP頭的源和目的地址完全相同的IP頭。圖1-3表示了一個進行ESP封裝後的IP報文。

圖1-3 隧道模式Group Domain VPN數據封裝示意圖

· 傳輸模式：在原有的IP報文頭與報文數據之間封裝安全協議頭，不對原始的IP報文頭做任何修改。

與傳統IPsec VPN相同，Group Domain VPN也支持對MPLS L3VPN的數據進行保護。MPLS L3VPN的相關介紹，請參見“MPLS配置指導”中的“MPLS L3VPN”。

3. 密鑰更新（Rekey）

GM向KS注冊後，如果KS上配置了Rekey的相關參數，則KS會向GM發送密鑰更新SA（Rekey SA）。在KS本端維護的IPsec SA或Rekey SA老化時間到達之前，KS將通過密鑰更新消息（也稱為Rekey消息）定期向GM以單播或組播的方式發送新的IPsec SA或Rekey SA，該Rekey消息使用當前的Rekey SA進行加密，GM會通過KS下發的公鑰對該消息進行認證。所有GM會周期性地收到來自KS的密鑰更新消息。有關Rekey消息的詳細描述，請參見RFC 3547中關於GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超時前一直沒有收到任何Rekey消息，將會重新向KS發起一次注冊，把IPsec安全策略和密鑰“拉”過來。

· 由KS來決定采用單播或組播的方式向GM發送Rekey消息，缺省情況下KS采用組播發送方式。

· KS在GM注冊的過程中，會將本端的公鑰信息下發給GM。

1.1.4 IPsec GDOI安全策略

一個IPsec GDOI安全策略是若幹具有相同名字、不同順序號的IPsec GDOI安全策略表項的集合。IPsec GDOI安全策略通過引用的GDOI GM組查找到注冊的KS地址，以及注冊的組ID。

1. 通過KS上配置的訪問控製列表來控製GM的行為

GM向KS注冊後，會從KS上獲取安全策略，其中包含了KS上配置的訪問控製列表（稱為下載的訪問控製列表）。

· 對於GM要發送的報文，若匹配上下載的訪問控製列表的permit規則，則會被加密後轉發；若匹配上下載的訪問控製列表的deny規則，則會被以明文形式轉發。

· 對於GM接收到的密文，若匹配上下載的訪問控製列表的permit規則，則會被解密；若匹配上下載的訪問控製列表的deny規則，則會被以密文形式轉發。

· 對於GM接收到的明文，若匹配上下載的訪問控製列表的permit規則，則會被丟棄；若匹配上下載的訪問控製列表的deny規則，則會被以明文形式轉發。

· 如果報文沒有匹配任何下載的訪問控製列表，默認的處理方式是轉發。

2. 通過本地配置的訪問控製列表（稱為本地訪問控製列表）控製GM的行為

當報文匹配上本地訪問控製列表的deny規則時，會被明文轉發；當報文匹配上本地訪問控製列表的permit規則時，會被丟棄。因此請慎重配置本地訪問控製列表的permit規則。

如果IPsec GDOI安全策略中引用了本地訪問控製列表，則GM向KS注冊後，兩種類型的訪問控製列表將在GM上共存，具體處理機製如下：

· 在加密處理時，報文優先匹配本地訪問控製列表，若報文沒有匹配到本地訪問控製列表的任何規則，則會接著匹配下載的訪問控製列表，兩者都匹配不上時，則默認進行明文轉發。

· 在解密處理時，密文優先匹配下載的訪問控製列表，若報文沒有匹配到下載訪問控製列表的任何規則，則會接著匹配本地訪問控製列表；明文優先匹配本地訪問控製列表，若報文沒有匹配到本地訪問控製列表的任何規則，則會接著匹配下載的訪問控製列表；兩者都匹配不上時，則默認進行明文轉發。

1.1.5 協議規範

與Group Domain VPN相關的協議規範有：

· RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)

· RFC 3547：The Group Domain of Interpretation(GDOI)

· RFC 3740：The Multicast Group Security Architecture

· RFC 5374：Multicast Extensions to the Security Architecture for the Internet Protocol

· RFC 6407：The Group Domain of Interpretation(GDOI)

1.2 FIPS相關說明

設備運行於FIPS模式時，本特性部分配置相對於非FIPS模式有所變化，具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。

1.3 Group Domain VPN配置限製和指導

當前設備僅支持作為GM，不支持作為KS。

KS與GM上的IKE配置必須匹配，否則會導致一階段IKE協商失敗。IKE的配置主要包括用來與GDOI KS進行一階段IKE協商的IKE提議和IKE profile，具體配置步驟請參見“安全配置指導”中的“IKE”。

1.4 GDOI GM配置任務簡介

GDOI GM配置任務如下：

(1) 配置GDOI GM組

(2) 配置IPsec GDOI安全策略

(3) 在接口上應用IPsec GDOI安全策略

1.5 配置GDOI GM組

1. GDOI GM組參數介紹

一個GDOI GM組中包含了GM向KS注冊時需要提交的關鍵信息，包括組ID、KS地址和注冊接口等。各項配置信息的具體介紹如下：

· 組名：GDOI GM組在設備上的一個配置標識，僅用於本地配置管理和引用。

· 組ID：GDOI GM組在Group Domain VPN中的一個標識。KS通過GM提交的組ID來區分GM要向哪個KS注冊，GM提交的組ID必須與它要加入的KS的組ID一致。

· KS地址：GM要注冊的KS的IP地址。一個GDOI GM組中最多允許同時配置16個KS地址，其使用的優先級按照配置先後順序依次降低。GM首先向配置的第一個KS地址發起注冊，如果無法成功注冊，則會依次向後續配置的KS地址發起注冊，直到注冊成功為止；如果GM向所有的KS地址發起的注冊都失敗，則會繼續從第一個KS地址開始重複以上過程。

· 注冊接口：GM通過注冊接口向KS發起注冊。缺省情況下，GDOI GM組以KS地址為目的地址的路由的出接口作為注冊接口向KS注冊。配置的注冊接口可以跟GDOI GM組所在的IPsec安全策略應用接口相同，也可以不同。當用戶希望注冊報文和IPsec報文通過不同的接口處理時，可指定設備上的其它接口（物理接口或邏輯接口）作為注冊接口。

· 支持的KEK加密算法：GM注冊過程中，當KS下發的KEK算法不符合GM支持的KEK算法時，GM終止與KS的協商且注冊失敗；Rekey過程中，當KS下發的KEK算法不符合GM支持的KEK算法時，GM丟棄收到的rekey報文。

· 支持的IPsec安全提議：GM注冊過程中，當KS下發的IPsec安全提議不在本地支持的範圍之內，則GM終止與KS的協商且注冊失敗；Rekey過程中，當KS下發的IPsec安全提議不在本地支持的範圍之內，則GM丟棄收到的rekey報文。

2. 配置限製和指導

在GM上可以同時存在多個GDOI GM組。

不同GDOI GM組中指定的KS地址和組ID這兩項信息不允許都相同。

3. 配置步驟

(1) 進入係統視圖。

system-view

(2) 創建一個GDOI GM組，並進入GDOI GM組視圖。

gdoi gm group [ ipv6 ] group-name

(3) 配置GDOI GM組的組ID。

identity { address ip-address | number number }

缺省情況下，未定義GDOI GM組的組ID。

一個GDOI GM組隻能有一種類型的標識，IP地址或者組號，且隻能配置一個組ID，後配置的組ID會覆蓋前麵配置的組ID。

(4) 指定KS地址。

server address host [ vrf vrf-name ]

缺省情況下，未指定KS的地址。

(5) （可選）指定GM的注冊接口。

client registration interface interface-type interface-number

缺省情況下，GM使用到達KS地址的路由的出接口作為注冊接口向KS注冊。

(6) 指定GM支持的KEK加密算法。

（非FIPS模式）

client rekey encryption { des-cbc | 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

缺省情況下，GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

（FIPS模式）

client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

缺省情況下，GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

(7) 指定GM支持的IPsec安全提議。

client transform-sets transform-set-name&<1-6>

缺省情況下，GM支持如下的安全提議：

¡ 安全協議：ESP。

¡ 封裝模式：隧道模式和傳輸模式。

¡ 加密算法：DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256。

¡ 驗證算法：MD5、SHA1。

(8) （可選）配置GDOI GM組的抗重放時間窗口

client anti-replay window { sec seconds | msec milliseconds }

缺省情況下，未配置GDOI GM組的抗重放時間窗口。

1.6 配置IPsec GDOI安全策略

(1) 進入係統視圖。

system-view

(2) 創建一條IPsec GDOI安全策略，並進入IPsec GDOI安全策略視圖。

ipsec { ipv6-policy | policy } policy-name seq-number gdoi

順序號越小的IPsec GDOI安全策略表項優先級越高。

本命令的詳細介紹請參見“安全命令參考”中的“IPsec”。

(3) 指定IPsec GDOI安全策略引用的GDOI GM組。

group group-name

缺省情況下，IPsec GDOI安全策略沒有引用任何GDOI GM組。

一條IPsec GDOI安全策略下隻能夠引用一個GDOI GM組。該GDOI GM組必須已存在、配置完整（配置了組ID和KS地址），且與IPsec GDOI安全策略的IP協議類型相同。

(4) 引用本地訪問控製列表。

security acl [ ipv6 ] acl-number

缺省情況下，沒有配置本地訪問控製列表。

一般情況下，無需配置本地訪問控製列表。如果需要本地對數據流進行管理時，則配置本地訪問控製列表。本命令的詳細介紹請參見“安全命令參考”中的“IPsec”。

1.7 在接口上應用IPsec GDOI安全策略

1. 功能簡介

當IPsec GDOI安全策略應用到接口上，且該策略引用的GDOI GM組配置了組ID和KS地址，則設備會向KS發起注冊。當數據報文經過該接口時，如果報文匹配了該接口的本地訪問控製列表的Permit規則，則丟棄；如果報文匹配了下載的訪問控製列表，則該按照IPsec GDOI策略處理。

2. 配置步驟

(1) 進入係統視圖。

system-view

(2) 進入接口視圖。

interface interface-type interface-number

(3) 應用IPsec 安全策略。

ipsec apply { ipv6-policy | policy } policy-name

缺省情況下，接口下未應用任何IPsec安全策略。

本命令的詳細介紹請參見“安全命令參考”中的“IPsec”。

1.8 GDOI GM顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後GDOI GM的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除GM的GDOI信息，並發起注冊。

表1-1 Group Domain VPN顯示和維護

操作	命令
顯示GDOI GM組信息	display gdoi gm [ group group-name ]
顯示GDOI GM組的抗重放時間戳類型和時間窗口大小	display gdoi gm anti-replay [ group group-name ]
顯示GM獲取的IPsec SA信息	display gdoi gm ipsec sa [ group group-name ]
顯示GM的簡要信息	display gdoi gm members [ group group-name ]
顯示GM的ACL信息	display gdoi gm acl [ download \| local ] [ group group-name ]
顯示GM的Rekey信息	display gdoi gm rekey [ verbose ] [ group group-name ]
顯示GM接收到的公鑰信息	display gdoi gm pubkey [ group group-name ]
顯示IPsec GDOI安全策略相關信息	display ipsec policy [ policy-name [ seq-number ] ]
清除GM的GDOI信息，並發起注冊	reset gdoi gm [ group group-name ]

display ipsec policy命令的詳細介紹，請見“安全命令”中的“IPsec”。

1.9 Group Domain VPN典型配置舉例

1.9.1 Group Domain VPN基本組網配置舉例

1. 組網需求

在如圖1-4所示的組網環境中，需要組建一個Group Domain VPN，對指定子網之間的數據流進行安全保護，具體要求如下：

· 子網10.1.1.0/24與子網10.1.2.0/24之間的業務流量，以及子網10.1.1.0/24與子網10.1.3.0/24之間的業務流量受IPsec保護。

· GM 1、GM 2和GM 3加入相同的GDOI組（組ID為12345），並向維護、管理該組的KS進行注冊。

· 對各GM之間的數據進行IPsec保護時，采用的安全協議為ESP，加密算法為AES-CBC 128，認證算法為SHA1。

· GM與KS之間進行IKE協商時，使用預共享密鑰的認證方法。

· KS采用組播方式向GM發送Rekey消息。

· KS 1與KS 2做冗餘備份。KS 1與KS 2之間進行IKE協商時，使用預共享密鑰的認證方法。

2. 組網圖

圖1-4 Group Domain VPN典型配置組網圖

‌

3. 配置步驟

· 請確保GM 1、GM 2、GM 3分別與KS 1、KS 2之間路由可達。

· 請確保KS 1與KS 2之間路由可達。

· 請確保GM 1、GM 2、GM 3之間的組播報文可正常轉發，以及KS和GM之間的組播報文可正常轉發。

· 本例中，若KS需要采用單播方式發送Rekey消息，需要使用rekey transport unicast命令修改發送Rekey消息的模式即可。

· 本例中的KS 1和KS 2為Comware V5版本的設備。

(1) 配置KS 1

# 配置各接口的IP地址，此處略。

# 創建IKE提議1。

<KS1> system-view

[KS1] ike proposal 1

# 指定IKE提議使用的加密算法為AES-CBC 128。

[KS1-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提議使用的認證算法為SHA1。

[KS1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提議使用DH group 2。

[KS1-ike-proposal-1] dh group2

[KS1-ike-proposal-1] quit

# 創建IKE對等體toks2，用於與KS 2之間的IKE協商。

[KS1] ike peer toks2

# 指定IKE對等體toks2引用IKE提議1。

[KS1-ike-peer-toks2] proposal 1

# 配置采用預共享密鑰認證時，使用的預共享密鑰為明文tempkey1。

[KS1-ike-peer-toks2] pre-shared-key simple tempkey1

# 指定對端安全網關的IP地址為200.2.2.200。

[KS1-ike-peer-toks2] remote-address 200.2.2.200

[KS1-ike-peer-toks2] quit

# 創建IKE對等體togm，用於與GM之間的IKE協商。

[KS1] ike peer togm

# 指定IKE對等體togm引用IKE提議1。

[KS1-ike-peer-togm] proposal 1

# 配置采用預共享密鑰認證時，使用的預共享密鑰為明文tempkey1。

[KS1-ike-peer-togm] pre-shared-key simple tempkey1

[KS1-ike-peer-togm] quit

# 創建IPsec安全提議fortek。

[KS1] ipsec transform-set fortek

# 配置IPsec安全提議fortek使用ESP協議。

[KS1-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提議fortek使用AES-CBC 128加密算法。

[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提議fortek使用SHA1認證算法。

[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS1-ipsec-transform-set-fortek] quit

# 創建IPsec安全框架fortek。

[KS1] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提議fortek

[KS1-ipsec-profile-fortek] transform-set fortek

[KS1-ipsec-profile-fortek] quit

# 創建名稱為fortek的ACL。

[KS1] acl number 3000 name fortek

# 配置ACL規則，定義TEK保護的流量範圍。因為這裏業務流量為單播，所以規則要配置為對稱的。

[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] quit

# 創建訪問控製列表forrekey。

[KS1] acl number 3001 name forrekey

# 配置Rekey的目的地址（組播地址）。

[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS1-acl-adv-3001-forrekey] quit

# 創建本地RSA密鑰對，名稱為rsa1。

[KS1] public-key local create rsa name rsa1

The range of public key modulus is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 導出名稱為rsa1的本地密鑰對，導出時使用的加密算法為3DES CBC，加密口令為12345678。該導出的密鑰對信息被複製後，將用於導入到KS 2上。

[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

# 創建GDOI KS組ks1。

[KS1] gdoi ks group ks1

# 配置GDOI KS組的ID為編號12345。

[KS1-gdoi-ks-group-ks1] identity number 12345

# 引用密鑰對rsa1。

[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1

# 引用名稱為forrekey的Rekey ACL。

[KS1-gdoi-ks-group-ks1] rekey acl name forrekey

# 創建一個GDOI KS組的IPsec策略，序號為10。

[KS1-gdoi-ks-group-ks1] ipsec 10

# 引用IPsec安全框架fortek。

[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek

# 引用名稱為fortek的ACL。

[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek

[KS1-gdoi-ks-group-ks1-ipsec-10] quit

# 配置對端KS的IP地址為200.2.2.200。

[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200

# 配置KS發送報文的源地址為100.1.1.100。

[KS1-gdoi-ks-group-ks1] source address 100.1.1.100

# 配置本端優先級為10000。

[KS1-gdoi-ks-group-ks1] local priority 10000

# 開啟冗餘備份功能。

[KS1-gdoi-ks-group-ks1] redundancy enable

[KS1-gdoi-ks-group-ks1] quit

以上配置的具體步驟請參考KS的相關配置指導。

(2) 配置KS 2

# 配置各接口的IP地址，此處略。

# 創建IKE提議1。

<KS2> system-view

[KS2] ike proposal 1

# 指定IKE提議使用的加密算法為AES-CBC 128。

[KS2-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提議使用的認證算法為SHA1。

[KS2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提議使用DH group 2。

[KS2-ike-proposal-1] dh group2

[KS2-ike-proposal-1] quit

# 創建IKE對等體toks1，用於與KS1之間的IKE協商。

[KS2] ike peer toks1

# 指定IKE對等體toks1引用IKE提議1。

[KS2-ike-peer-toks1] proposal 1

# 配置采用預共享密鑰認證時，使用的預共享密鑰為明文tempkey1。

[KS2-ike-peer-toks1] pre-shared-key simple tempkey1

# 指定對端安全網關的IP地址為100.1.1.100。

[KS2-ike-peer-toks1] remote-address 100.1.1.100

[KS2-ike-peer-toks1] quit

# 創建IKE對等體togm，用於與GM之間的IKE協商。

[KS2] ike peer togm

# 指定IKE對等體togm引用IKE提議1。

[KS2-ike-peer-togm] proposal 1

# 配置采用預共享密鑰認證時，使用的預共享密鑰為明文tempkey1。

[KS2-ike-peer-togm] pre-shared-key simple tempkey1

[KS2-ike-peer-togm] quit

# 創建IPsec安全提議fortek。

[KS2] ipsec transform-set fortek

# 配置IPsec安全提議fortek使用ESP協議。

[KS2-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提議fortek使用AES-CBC 128加密算法。

[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提議fortek使用SHA1認證算法。

[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS2-ipsec-transform-set-fortek] quit

# 創建IPsec安全框架fortek。

[KS2] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提議fortek。

[KS2-ipsec-profile-fortek] transform-set fortek

[KS2-ipsec-profile-fortek] quit

# 創建名稱為fortek的ACL。

[KS2] acl number 3000 name fortek

# 配置ACL規則，定義TEK保護的流量範圍。

[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] quit

# 創建訪問控製列表forrekey。

[KS2] acl number 3001 name forrekey

# 配置Rekey的目的地址（組播地址）。

[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS2-acl-adv-3001-forrekey] quit

# 將從KS1導出的RSA密鑰以PEM格式導入到KS2，並命名為rsa1。此導入過程中，需要將從KS 1上複製的密鑰信息粘貼到本端界麵上。

[KS2] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.