目  录

1 Group Domain VPN

1.1 Group Domain VPN简介

1.1.1 Group Domain VPN的优点

1.1.2 Group Domain VPN的组网结构

1.1.3 Group Domain VPN的工作机制

1.1.4 IPsec GDOI安全策略

1.1.5 协议规范

1.2 FIPS相关说明

1.3 Group Domain VPN配置限制和指导

1.4 GDOI GM配置任务简介

1.5 配置GDOI GM组

1.6 配置IPsec GDOI安全策略

1.7 在接口上应用IPsec GDOI安全策略

1.8 GDOI GM显示和维护

1.9 Group Domain VPN典型配置举例

1.9.1 Group Domain VPN基本组网配置举例

Group Domain VPN（Group Domain Virtual Private Network，组域虚拟专用网络）是一种实现密钥和IPsec安全策略集中管理的点到多点无隧道连接VPN解决方案，主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。Group Domain VPN提供了一种基于组的IPsec安全模型，属于同一个组的所有成员共享相同的安全策略及密钥。

相比较传统的IPsec VPN，Group Domain VPN具有如下优点：

·     网络扩展性强。传统的IPsec VPN中，每对通信对等体之间都需要建立IKE SA和IPsec SA，管理复杂度高，而Group Domain VPN中所有组成员之间共用一对IPsec SA，管理复杂度低，可扩展性更好。

·     无需改变原有路由部署。传统的IPsec VPN是基于隧道的VPN连接，如果封装了新的IP头，需要重新部署路由。Group Domain VPN不需修改报文IP头，报文外层封装的新的IP头与内层的原IP头完全相同，因此，不需要改变原有部署的路由。

·     更好的QoS处理。传统的IPsec VPN由于在原有IP报文外封装了新的IP头，报文在网络中传输时，需要重新配置QoS策略。Group Domain VPN保留了原有的IP头，网络传输时可以更好地实现QoS处理。

·     组播效率更高。由于传统的IPsec VPN是点到点的隧道连接，当需要对组播报文进行IPsec保护时，本端需要向组播组里的每个对端均发送一份加密报文，因此组播效率低。Group Domain VPN是无隧道的连接，只需对组播报文进行一次加密即可，本端无需单独向每个对端发送加密报文，组播效率高。

·     可提供点到多点的连通性。所有组成员共用一对IPsec SA，同一个组中的任意两个组成员之间都可以实现报文的加密和解密，真正实现了所有节点之间的互联。

Group Domain VPN由KS（Key Server，密钥服务器）和GM（Group Member，组成员）组成，它的典型组网结构如图1-1所示。其中，KS通过划分不同的组来管理不同的安全策略和密钥；GM通过加入相应的组，从KS获取安全策略及密钥，并负责对数据流量加密和解密。

图1-1 Group Domain VPN组网结构示意图

KS是一个为组维护安全策略、创建和维护密钥信息的网络设备。它有两个责任：响应GM的注册请求，以及发送Rekey消息。当一个GM向KS进行注册时，KS会将安全策略和密钥下发给这个GM。这些密钥将被周期性的更新，在密钥生存周期超时前，KS会通过Rekey消息通知所有GM更新密钥。

KS下发的密钥包括两种类型：

·     TEK（tranfic encrytion key，加密流量的密钥）：由组内的所有GM共享，用于加密GM之间的流量。

·     KEK（key encrytion key，加密密钥的密钥）：由组内的所有GM共享，用于加密KS向GM发送的Rekey消息。

可以通过配置，使多个KS之间进行冗余备份，以提供高可靠性和提供注册服务的负载分担。

GM是一组共享相同安全策略且有安全通信需求的网络设备。它们在KS上注册，并利用从KS上获取的安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID，KS根据这个组ID将对应组的安全策略和密钥下发给该GM。

Group Domain VPN的工作过程可分为GM向KS注册、GM保护数据以及密钥更新三大部分。

在GM的某接口上应用了Group Domain VPN的相关IPsec安全策略后，GM会向KS发起注册，这个注册过程包括两个阶段的协商：IKE协商和GDOI（Group Domain of Interpretation，组解释域）协商，具体内容如下：

·     第一阶段的IKE协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，生成用于保护第二阶段GDOI协商的IKE SA。

·     第二阶段的GDOI协商：这是一个GM从KS上获取IPsec安全策略的过程，其具体的协议过程由GDOI协议定义，可参见RFC3547中关于GROUPKEY-PULL交换的描述。

图1-2 注册过程流程图

具体的注册过程包括图1-2所示的五个步骤：

(1)     GM与KS进行一阶段IKE协商；

(2)     GM向KS发送所在组的ID；

(3)     KS根据GM提供的组ID向GM发送相应组的IPsec安全策略（保护的数据流信息、加密算法、认证算法、封装模式等）；

(4)     GM对收到的IPsec安全策略进行验证，如果该策略是可接受的（例如安全协议和加密算法是可支持的），则向KS发送确认消息；

(5)     KS收到GM的确认消息后，向GM发送密钥信息（KEK、TEK）。

通过这个过程，GM把KS上的IPsec安全策略和密钥获取到了本地。此后，就可以利用获取的IPsec安全策略和密钥在GM之间加密、解密传输的数据了。

在GM向KS发起注册时，GM会开启一个GDOI注册定时器。若该定时器超时时GM还未注册成功，则表示当前的注册过程失败，GM会重新发起注册。该定时器的时间不可配，且在注册成功之后会根据下发的Rekey SA和IPsec SA的生命周期来更新超时时间。

GM完成注册之后，将使用获取到的IPsec SA对符合IPsec安全策略的报文进行保护。保护的数据可包括单播数据和组播数据两种类型。

与传统的IPsec VPN类似，Group Domain VPN也支持隧道和传输两种封装模式，该模式由KS决定并下发给GM。

·     隧道模式：首先在原有的IP报文外部封装安全协议头（AH头或ESP头，目前Group Domain VPN不支持AH协议），然后在最外层封装一个与原有报文IP头的源和目的地址完全相同的IP头。图1-3表示了一个进行ESP封装后的IP报文。

图1-3 隧道模式Group Domain VPN数据封装示意图

·     传输模式：在原有的IP报文头与报文数据之间封装安全协议头，不对原始的IP报文头做任何修改。

与传统IPsec VPN相同，Group Domain VPN也支持对MPLS L3VPN的数据进行保护。MPLS L3VPN的相关介绍，请参见“MPLS配置指导”中的“MPLS L3VPN”。

GM向KS注册后，如果KS上配置了Rekey的相关参数，则KS会向GM发送密钥更新SA（Rekey SA）。在KS本端维护的IPsec SA或Rekey SA老化时间到达之前，KS将通过密钥更新消息（也称为Rekey消息）定期向GM以单播或组播的方式发送新的IPsec SA或Rekey SA，该Rekey消息使用当前的Rekey SA进行加密，GM会通过KS下发的公钥对该消息进行认证。所有GM会周期性地收到来自KS的密钥更新消息。有关Rekey消息的详细描述，请参见RFC 3547中关于GROUPKEY-PUSH消息的描述。如果GM在IPsec SA或Rekey SA生命周期超时前一直没有收到任何Rekey消息，将会重新向KS发起一次注册，把IPsec安全策略和密钥“拉”过来。

·     由KS来决定采用单播或组播的方式向GM发送Rekey消息，缺省情况下KS采用组播发送方式。

·     KS在GM注册的过程中，会将本端的公钥信息下发给GM。

一个IPsec GDOI安全策略是若干具有相同名字、不同顺序号的IPsec GDOI安全策略表项的集合。IPsec GDOI安全策略通过引用的GDOI GM组查找到注册的KS地址，以及注册的组ID。

GM向KS注册后，会从KS上获取安全策略，其中包含了KS上配置的访问控制列表（称为下载的访问控制列表）。

·     对于GM要发送的报文，若匹配上下载的访问控制列表的permit规则，则会被加密后转发；若匹配上下载的访问控制列表的deny规则，则会被以明文形式转发。

·     对于GM接收到的密文，若匹配上下载的访问控制列表的permit规则，则会被解密；若匹配上下载的访问控制列表的deny规则，则会被以密文形式转发。

·     对于GM接收到的明文，若匹配上下载的访问控制列表的permit规则，则会被丢弃；若匹配上下载的访问控制列表的deny规则，则会被以明文形式转发。

·     如果报文没有匹配任何下载的访问控制列表，默认的处理方式是转发。

当报文匹配上本地访问控制列表的deny规则时，会被明文转发；当报文匹配上本地访问控制列表的permit规则时，会被丢弃。因此请慎重配置本地访问控制列表的permit规则。

如果IPsec GDOI安全策略中引用了本地访问控制列表，则GM向KS注册后，两种类型的访问控制列表将在GM上共存，具体处理机制如下：

·     在加密处理时，报文优先匹配本地访问控制列表，若报文没有匹配到本地访问控制列表的任何规则，则会接着匹配下载的访问控制列表，两者都匹配不上时，则默认进行明文转发。

·     在解密处理时，密文优先匹配下载的访问控制列表，若报文没有匹配到下载访问控制列表的任何规则，则会接着匹配本地访问控制列表；明文优先匹配本地访问控制列表，若报文没有匹配到本地访问控制列表的任何规则，则会接着匹配下载的访问控制列表；两者都匹配不上时，则默认进行明文转发。

与Group Domain VPN相关的协议规范有：

·     RFC 2408：Internet Security Association and Key Management Protocol (ISAKMP)

·     RFC 3547：The Group Domain of Interpretation(GDOI)

·     RFC 3740：The Multicast Group Security Architecture

·     RFC 5374：Multicast Extensions to the Security Architecture for the Internet Protocol

·     RFC 6407：The Group Domain of Interpretation(GDOI)

设备运行于FIPS模式时，本特性部分配置相对于非FIPS模式有所变化，具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

当前设备仅支持作为GM，不支持作为KS。

KS与GM上的IKE配置必须匹配，否则会导致一阶段IKE协商失败。IKE的配置主要包括用来与GDOI KS进行一阶段IKE协商的IKE提议和IKE profile，具体配置步骤请参见“安全配置指导”中的“IKE”。

GDOI GM配置任务如下：

(1)     配置GDOI GM组

(2)     配置IPsec GDOI安全策略

(3)     在接口上应用IPsec GDOI安全策略

一个GDOI GM组中包含了GM向KS注册时需要提交的关键信息，包括组ID、KS地址和注册接口等。各项配置信息的具体介绍如下：

·     组名：GDOI GM组在设备上的一个配置标识，仅用于本地配置管理和引用。

·     组ID：GDOI GM组在Group Domain VPN中的一个标识。KS通过GM提交的组ID来区分GM要向哪个KS注册，GM提交的组ID必须与它要加入的KS的组ID一致。

·     KS地址：GM要注册的KS的IP地址。一个GDOI GM组中最多允许同时配置16个KS地址，其使用的优先级按照配置先后顺序依次降低。GM首先向配置的第一个KS地址发起注册，如果无法成功注册，则会依次向后续配置的KS地址发起注册，直到注册成功为止；如果GM向所有的KS地址发起的注册都失败，则会继续从第一个KS地址开始重复以上过程。

·     注册接口：GM通过注册接口向KS发起注册。缺省情况下，GDOI GM组以KS地址为目的地址的路由的出接口作为注册接口向KS注册。配置的注册接口可以跟GDOI GM组所在的IPsec安全策略应用接口相同，也可以不同。当用户希望注册报文和IPsec报文通过不同的接口处理时，可指定设备上的其它接口（物理接口或逻辑接口）作为注册接口。

·     支持的KEK加密算法：GM注册过程中，当KS下发的KEK算法不符合GM支持的KEK算法时，GM终止与KS的协商且注册失败；Rekey过程中，当KS下发的KEK算法不符合GM支持的KEK算法时，GM丢弃收到的rekey报文。

·     支持的IPsec安全提议：GM注册过程中，当KS下发的IPsec安全提议不在本地支持的范围之内，则GM终止与KS的协商且注册失败；Rekey过程中，当KS下发的IPsec安全提议不在本地支持的范围之内，则GM丢弃收到的rekey报文。

在GM上可以同时存在多个GDOI GM组。

不同GDOI GM组中指定的KS地址和组ID这两项信息不允许都相同。

(1)     进入系统视图。

system-view

(2)     创建一个GDOI GM组，并进入GDOI GM组视图。

gdoi gm group  group-name

(3)     配置GDOI GM组的组ID。

identity { address ip-address | number number }

缺省情况下，未定义GDOI GM组的组ID。

一个GDOI GM组只能有一种类型的标识，IP地址或者组号，且只能配置一个组ID，后配置的组ID会覆盖前面配置的组ID。

(4)     指定KS地址。

server address host [ vrf vrf-name ]

缺省情况下，未指定KS的地址。

(5)     （可选）指定GM的注册接口。

client registration interface interface-type interface-number

缺省情况下，GM使用到达KS地址的路由的出接口作为注册接口向KS注册。

(6)     指定GM支持的KEK加密算法。

（非FIPS模式）

client rekey encryption { des-cbc | 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

缺省情况下，GM支持DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

（FIPS模式）

client rekey encryption { aes-cbc-128 | aes-cbc-192 | aes-cbc-256 } *

缺省情况下，GM支持AES-CBC-128、AES-CBC-192、AES-CBC-256加密算法。

(7)     指定GM支持的IPsec安全提议。

client transform-sets transform-set-name&

缺省情况下，GM支持如下的安全提议：

¡     安全协议：ESP。

¡     封装模式：隧道模式和传输模式。

¡     加密算法：DES-CBC、3DES-CBC、AES-CBC-128、AES-CBC-192、AES-CBC-256。

¡     验证算法：MD5、SHA1。

(8)     （可选）配置GDOI GM组的抗重放时间窗口

client anti-replay window { sec seconds | msec milliseconds }

缺省情况下，未配置GDOI GM组的抗重放时间窗口。

(1)     进入系统视图。

system-view

(2)     创建一条IPsec GDOI安全策略，并进入IPsec GDOI安全策略视图。

ipsec policy policy-name seq-number gdoi

顺序号越小的IPsec GDOI安全策略表项优先级越高。

本命令的详细介绍请参见“安全命令参考”中的“IPsec”。

(3)     指定IPsec GDOI安全策略引用的GDOI GM组。

group group-name

缺省情况下，IPsec GDOI安全策略没有引用任何GDOI GM组。

一条IPsec GDOI安全策略下只能够引用一个GDOI GM组。该GDOI GM组必须已存在、配置完整（配置了组ID和KS地址），且与IPsec GDOI安全策略的IP协议类型相同。

(4)     引用本地访问控制列表。

security acl acl-number

缺省情况下，没有配置本地访问控制列表。

一般情况下，无需配置本地访问控制列表。如果需要本地对数据流进行管理时，则配置本地访问控制列表。本命令的详细介绍请参见“安全命令参考”中的“IPsec”。

当IPsec GDOI安全策略应用到接口上，且该策略引用的GDOI GM组配置了组ID和KS地址，则设备会向KS发起注册。当数据报文经过该接口时，如果报文匹配了该接口的本地访问控制列表的Permit规则，则丢弃；如果报文匹配了下载的访问控制列表，则该按照IPsec GDOI策略处理。

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     应用IPsec 安全策略。

ipsec apply policy policy-name

缺省情况下，接口下未应用任何IPsec安全策略。

本命令的详细介绍请参见“安全命令参考”中的“IPsec”。

在完成上述配置后，在任意视图下执行display命令可以显示配置后GDOI GM的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除GM的GDOI信息，并发起注册。

表1-1 Group Domain VPN显示和维护

操作

命令

显示GDOI GM组信息

display gdoi gm [ group group-name ]

显示GDOI GM组的抗重放时间戳类型和时间窗口大小

display gdoi gm anti-replay [ group group-name ]

显示GM获取的IPsec SA信息

display gdoi gm ipsec sa [ group group-name ]

显示GM的简要信息

display gdoi gm members [ group group-name ]

显示GM的ACL信息

display gdoi gm acl [ download | local ] [ group group-name ]

显示GM的Rekey信息

display gdoi gm rekey [ verbose ] [ group group-name ]

显示GM接收到的公钥信息

display gdoi gm pubkey [ group group-name ]

显示IPsec GDOI安全策略相关信息

display ipsec policy [ policy-name [ seq-number ] ]

清除GM的GDOI信息，并发起注册

reset gdoi gm [ group group-name ]

display ipsec policy命令的详细介绍，请见“安全命令”中的“IPsec”。

在如图1-4所示的组网环境中，需要组建一个Group Domain VPN，对指定子网之间的数据流进行安全保护，具体要求如下：

·     子网10.1.1.0/24与子网10.1.2.0/24之间的业务流量，以及子网10.1.1.0/24与子网10.1.3.0/24之间的业务流量受IPsec保护。

·     GM 1、GM 2和GM 3加入相同的GDOI组（组ID为12345），并向维护、管理该组的KS进行注册。

·     对各GM之间的数据进行IPsec保护时，采用的安全协议为ESP，加密算法为AES-CBC 128，认证算法为SHA1。

·     GM与KS之间进行IKE协商时，使用预共享密钥的认证方法。

·     KS采用组播方式向GM发送Rekey消息。

·     KS 1与KS 2做冗余备份。KS 1与KS 2之间进行IKE协商时，使用预共享密钥的认证方法。

图1-4 Group Domain VPN典型配置组网图

‌

·     请确保GM 1、GM 2、GM 3分别与KS 1、KS 2之间路由可达。

·     请确保KS 1与KS 2之间路由可达。

·     请确保GM 1、GM 2、GM 3之间的组播报文可正常转发，以及KS和GM之间的组播报文可正常转发。

·     本例中，若KS需要采用单播方式发送Rekey消息，需要使用rekey transport unicast命令修改发送Rekey消息的模式即可。

·     本例中的KS 1和KS 2为Comware V5版本的设备。

(1)     配置KS 1

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

system-view

[KS1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS1-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证算法为SHA1。

[KS1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS1-ike-proposal-1] dh group2

[KS1-ike-proposal-1] quit

# 创建IKE对等体toks2，用于与KS 2之间的IKE协商。

[KS1] ike peer toks2

# 指定IKE对等体toks2引用IKE提议1。

[KS1-ike-peer-toks2] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-toks2] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为200.2.2.200。

[KS1-ike-peer-toks2] remote-address 200.2.2.200

[KS1-ike-peer-toks2] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS1] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS1-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS1-ike-peer-togm] pre-shared-key simple tempkey1

[KS1-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS1] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS1-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS1-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS1-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS1-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS1] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek

[KS1-ipsec-profile-fortek] transform-set fortek

[KS1-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS1] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。因为这里业务流量为单播，所以规则要配置为对称的。

[KS1-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS1-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS1] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS1-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS1-acl-adv-3001-forrekey] quit

# 创建本地RSA密钥对，名称为rsa1。

[KS1] public-key local create rsa name rsa1

The range of public key modulus is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++

+++++++

+++++++++

+++

# 导出名称为rsa1的本地密钥对，导出时使用的加密算法为3DES CBC，加密口令为12345678。该导出的密钥对信息被复制后，将用于导入到KS 2上。

[KS1] public-key local export rsa name rsa1 pem 3des-cbc-128 12345678

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6Ne4EtnoKqBCL2YZvSjrG+8He

sae5FWtyj9D25PEkXagpLqb3i9Gm/Qbb6cqLLPUIgDS8eK7Wt/dXLeFUCDc0lY8V

gujJPvarFL4+Jn+VuL9znNbboA9IxPH2fMvew8lkPCwkXoP+52J+1LRpYkh+rIpE

Kj7FG/3/wzGsXu8WJQIDAQAB

-----END PUBLIC KEY-----

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

# 创建GDOI KS组ks1。

[KS1] gdoi ks group ks1

# 配置GDOI KS组的ID为编号12345。

[KS1-gdoi-ks-group-ks1] identity number 12345

# 引用密钥对rsa1。

[KS1-gdoi-ks-group-ks1] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS1-gdoi-ks-group-ks1] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略，序号为10。

[KS1-gdoi-ks-group-ks1] ipsec 10

# 引用IPsec安全框架fortek。

[KS1-gdoi-ks-group-ks1-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS1-gdoi-ks-group-ks1-ipsec-10] security acl name fortek

[KS1-gdoi-ks-group-ks1-ipsec-10] quit

# 配置对端KS的IP地址为200.2.2.200。

[KS1-gdoi-ks-group-ks1] peer address 200.2.2.200

# 配置KS发送报文的源地址为100.1.1.100。

[KS1-gdoi-ks-group-ks1] source address 100.1.1.100

# 配置本端优先级为10000。

[KS1-gdoi-ks-group-ks1] local priority 10000

# 开启冗余备份功能。

[KS1-gdoi-ks-group-ks1] redundancy enable

[KS1-gdoi-ks-group-ks1] quit

以上配置的具体步骤请参考KS的相关配置指导。

(2)     配置KS 2

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

system-view

[KS2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[KS2-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证算法为SHA1。

[KS2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[KS2-ike-proposal-1] dh group2

[KS2-ike-proposal-1] quit

# 创建IKE对等体toks1，用于与KS1之间的IKE协商。

[KS2] ike peer toks1

# 指定IKE对等体toks1引用IKE提议1。

[KS2-ike-peer-toks1] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-toks1] pre-shared-key simple tempkey1

# 指定对端安全网关的IP地址为100.1.1.100。

[KS2-ike-peer-toks1] remote-address 100.1.1.100

[KS2-ike-peer-toks1] quit

# 创建IKE对等体togm，用于与GM之间的IKE协商。

[KS2] ike peer togm

# 指定IKE对等体togm引用IKE提议1。

[KS2-ike-peer-togm] proposal 1

# 配置采用预共享密钥认证时，使用的预共享密钥为明文tempkey1。

[KS2-ike-peer-togm] pre-shared-key simple tempkey1

[KS2-ike-peer-togm] quit

# 创建IPsec安全提议fortek。

[KS2] ipsec transform-set fortek

# 配置IPsec安全提议fortek使用ESP协议。

[KS2-ipsec-transform-set-fortek] transform esp

# 配置IPsec安全提议fortek使用AES-CBC 128加密算法。

[KS2-ipsec-transform-set-fortek] esp encryption-algorithm aes-cbc-128

# 配置IPsec安全提议fortek使用SHA1认证算法。

[KS2-ipsec-transform-set-fortek] esp authentication-algorithm sha1

[KS2-ipsec-transform-set-fortek] quit

# 创建IPsec安全框架fortek。

[KS2] ipsec profile fortek

# 配置IPsec安全框架fortek引用IPsec安全提议fortek。

[KS2-ipsec-profile-fortek] transform-set fortek

[KS2-ipsec-profile-fortek] quit

# 创建名称为fortek的ACL。

[KS2] acl number 3000 name fortek

# 配置ACL规则，定义TEK保护的流量范围。

[KS2-acl-adv-3000-fortek] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.2.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 1 permit ip source 10.1.2.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] rule 2 permit ip source 10.1.1.0 0.0.0.255 destination

 10.1.3.0 0.0.0.255

[KS1-acl-adv-3000-fortek] rule 3 permit ip source 10.1.3.0 0.0.0.255 destination

 10.1.1.0 0.0.0.255

[KS2-acl-adv-3000-fortek] quit

# 创建访问控制列表forrekey。

[KS2] acl number 3001 name forrekey

# 配置Rekey的目的地址（组播地址）。

[KS2-acl-adv-3001-forrekey] rule 0 permit ip destination 225.0.0.1 0

[KS2-acl-adv-3001-forrekey] quit

# 将从KS1导出的RSA密钥以PEM格式导入到KS2，并命名为rsa1。此导入过程中，需要将从KS 1上复制的密钥信息粘贴到本端界面上。

[KS2] public-key local import rsa name rsa1 pem

Enter PEM-formatted certificate.

End with a Ctrl+C on a line by itself.

-----BEGIN RSA PRIVATE KEY-----

Proc-Type: 4,ENCRYPTED

DEK-Info: DES-EDE3-CBC,7F8FAB15399DF87C

MGaftNqe4esjetm7bRJHSpsbwZ9YUpvA9iWh8R406NGq8e+1A/ZiK23+t1XqRwaU

1FXnwbqHgW1pZ7JxQdgBuC9uXc4VQyP/xe6xCyUepdMC71fmeOaiwUFrj6LAzzBg

o3SfhX1NHyHBnr7c6SnIeUTG2g/qRdj40TD4HcRjgPaLaTGguZ553GyS6ODWAwL7

ZBTjv+vow9kfewZ74ocoBje2gLcWlbmiEKCJGV06zW4gv2AH6I8TAhv4GovIN/v1

lCsD2PscXnPOloLTE/8EDLRHNE8RpIYDWqI/YI8Yg6wlx29mf29+cj/9r4gPrDPy

c/TQ0a0g95Khdy+yl4eDKaFiQQ+Kqn4zdzDTDNq7LRtqr7lGQzVw6srfrr71ib7J

yJFdi2RXETEgOS/jE+xGtNqd38F/YzIRPax7NNMK+hAJC2MzdbN/BEoLWOqG7Plm

hvCE3LFxelExLJU+0XfAX77TI2+5LEHBi1UiGLeH08fd1XUQCefARlIxGoRJdtTu

gHP4+NF4PC9B1/GZoAYUp+171p1QwPk0vyU3TXijueqVUpQBUHGxSE0UW+SS1iwL

8vsSLHIwK4aZ77Z1o+Uw1QBoqw9jpubG4gUkX8RII8E8b13I6/QTH78E4/FgAmIQ

HTYnE2RDHXkhPGR5FGJsZnd21XLvd2BEkGGmhTk80nDeiI2XH3D48E6UahQwcam/

q/txd/KsLnp0rpJkc/WhOTprioeLQQEBayixKRWzNLsZt3L6lqYbA01Z1THho+EV

0Ng0EZKQyiRV1j7gsBYFRinbSAsIpeYlr7gDAnBCRJdSfPNBKG+ewg==

-----END RSA PRIVATE KEY-----

^C

Please input the password:

# 创建GDOI KS组ks2。

[KS2] gdoi ks group ks2

# 配置GDOI KS组的ID为编号12345。

[KS2-gdoi-ks-group-ks2] identity number 12345

# 引用密钥对rsa1。

[KS2-gdoi-ks-group-ks2] rekey authentication public-key rsa rsa1

# 引用名称为forrekey的Rekey ACL。

[KS2-gdoi-ks-group-ks2] rekey acl name forrekey

# 创建一个GDOI KS组的IPsec策略，序号为10。

[KS2-gdoi-ks-group-ks2] ipsec 10

# 引用IPsec安全框架fortek。

[KS2-gdoi-ks-group-ks2-ipsec-10] profile fortek

# 引用名称为fortek的ACL。

[KS2-gdoi-ks-group-ks2-ipsec-10] security acl name fortek

[KS2-gdoi-ks-group-ks2-ipsec-10] quit

# 配置对端KS的IP地址为100.1.1.100。

[KS2-gdoi-ks-group-ks2] peer address 100.1.1.100

# 配置KS发送报文的源地址为200.2.2.200。

[KS2-gdoi-ks-group-ks2]source address 200.2.2.200

# 配置本端优先级为100。

[KS2-gdoi-ks-group-ks2] local priority 100

# 开启冗余备份功能。

[KS2-gdoi-ks-group-ks2] redundancy enable

(3)     配置GM 1

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

system-view

[GM1] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM1-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证算法为SHA1。

[GM1-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM1-ike-proposal-1] dh group2

[GM1-ike-proposal-1] quit

# 创建IKE keychain，名称为keychain1。

[GM1] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM1-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM1-ike-keychain-keychain1] quit

# 创建IKE keychain，名称为keychain2。

[GM1] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM1-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM1-ike-keychain-keychain2] quit

# 创建并配置IKE profile，名称为profile1。

[GM1] ike profile profile1

[GM1-ike-profile-profile1] proposal 1

[GM1-ike-profile-profile1] keychain keychain1

[GM1-ike-profile-profile1] keychain keychain2

[GM1-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM1-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM1-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM1] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM1-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM1-gdoi-gm-group-1] server address 100.1.1.100

[GM1-gdoi-gm-group-1] server address 200.2.2.200

[GM1-gdoi-gm-group-1] quit

# 创建GDOI类型的IPsec安全策略1。

[GM1] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM1-ipsec-policy-gdoi-map-1] group 1

[GM1-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。

[GM1] interface gigabitethernet 2/0/1

[GM1-GigabitEthernet2/0/1] ipsec apply policy map

[GM1-GigabitEthernet2/0/1] quit

(4)     配置GM 2

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

system-view

[GM2] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM2-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证为SHA1。

[GM2-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM2-ike-proposal-1] dh group2

[GM2-ike-proposal-1] quit

# 创建IKE keychain，名称为keychain1。

[GM2] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM2-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM2-ike-keychain-keychain1] quit

# 创建IKE keychain，名称为keychain2。

[GM2] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM2-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM2-ike-keychain-keychain2] quit

# 创建并配置IKE profile，名称为profile1。

[GM2] ike profile profile1

[GM2-ike-profile-profile1] proposal 1

[GM2-ike-profile-profile1] keychain keychain1

[GM2-ike-profile-profile1] keychain keychain2

[GM2-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM2-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM2-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM2] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM2-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM2-gdoi-gm-group-1] server address 100.1.1.100

[GM2-gdoi-gm-group-1] server address 200.2.2.200

[GM2-gdoi-group-1] quit

# 创建GDOI类型IPsec安全策略1。

[GM2] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM2-ipsec-policy-gdoi-map-1] group 1

[GM2-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。

[GM2] interface gigabitethernet 2/0/1

[GM2-GigabitEthernet2/0/1] ipsec apply policy map

[GM2-GigabitEthernet2/0/1] quit

(5)     配置GM 3

# 配置各接口的IP地址，此处略。

# 创建IKE提议1。

system-view

[GM3] ike proposal 1

# 指定IKE提议使用的加密算法为AES-CBC 128。

[GM3-ike-proposal-1] encryption-algorithm aes-cbc-128

# 指定IKE提议使用的认证算法为SHA1。

[GM3-ike-proposal-1] authentication-algorithm sha

# 指定IKE提议使用DH group 2。

[GM3-ike-proposal-1] dh group2

[GM3-ike-proposal-1] quit

# 创建IKE keychain，名称为keychain1。

[GM3] ike keychain keychain1

# 配置与IP地址为100.1.1.100的对端使用的预共享密钥为明文tempkey1。

[GM3-ike-keychain-keychain1] pre-shared-key address 100.1.1.100 255.255.255.0 key simple tempkey1

[GM3-ike-keychain-keychain1] quit

# 创建IKE keychain，名称为keychain2。

[GM3] ike keychain keychain2

# 配置与IP地址为200.2.2.200的对端使用的预共享密钥为明文tempkey1。

[GM3-ike-keychain-keychain2] pre-shared-key address 200.2.2.200 255.255.255.0 key simple tempkey1

[GM3-ike-keychain-keychain2] quit

# 创建并配置IKE profile，名称为profile1。

[GM3] ike profile profile1

[GM3-ike-profile-profile1] proposal 1

[GM3-ike-profile-profile1] keychain keychain1

[GM3-ike-profile-profile1] keychain keychain2

[GM3-ike-profile-profile1] match remote identity address 100.1.1.100 255.255.255.0

[GM3-ike-profile-profile1] match remote identity address 200.2.2.200 255.255.255.0

[GM3-ike-profile-profile1] quit

# 创建GDOI GM组1。

[GM3] gdoi gm group 1

# 配置GDOI GM组的ID为编号12345。

[GM3-gdoi-gm-group-1] identity number 12345

# 指定GDOI GM组的KS地址为100.1.1.100和200.2.2.200。

[GM3-gdoi-gm-group-1] server address 100.1.1.100

[GM3-gdoi-gm-group-1] server address 200.2.2.200

[GM3-gdoi-gm-group-1] quit

# 创建GDOI类型IPsec安全策略1。

[GM3] ipsec policy map 1 gdoi

# 引用GDOI GM组1。

[GM3-ipsec-policy-gdoi-map-1] group 1

[GM3-ipsec-policy-gdoi-map-1] quit

# 在接口GigabitEthernet2/0/1上应用IPsec安全策略map。

[GM3] interface gigabitethernet 2/0/1

[GM3-GigabitEthernet2/0/1] ipsec apply policy map

[GM3-GigabitEthernet2/0/1] quit

# 以上配置完成后，GM 1、GM 2和GM 3分别向KS 1注册。可通过如下显示信息查看到GM 1在IKE协商成功后生成的IKE SA和Rekey SA，其中connection-id为1的SA为IKE SA；connection-id为2的SA为Rekey SA。

[GM1] display ike sa

    Connection-ID  Remote           Flag        DOI

  ----------------------------------------------------------

      1            100.1.1.100      RD          Group

      2            100.1.1.100      RD|RK       Group

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

# IKE协商成功后，GM 1获取到IPsec SA。可通过如下显示信息查看到有四组IPsec SA分别用于与不同的组成员之间进行安全通信。

[GM1] display ipsec sa

-------------------------------

Interface: GigabitEthernet2/0/1

-------------------------------

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

    Current outbound SPI: 801701189 (0x2fc8fd45)

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 5

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 20

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 6

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 21

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.3.0/255.255.255.0  port: 0  protocol: ip

    Current outbound SPI: 801701189 (0x2fc8fd45)

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 7

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 22

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 8

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 23

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.2.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

    Current outbound SPI: 801701189 (0x2fc8fd45)

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 45

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 46

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 43

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 44

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

  -----------------------------

  IPsec policy: map

  Sequence number: 1

  Mode: GDOI

  -----------------------------

    Encapsulation mode: tunnel

    Path MTU: 1443

    Flow:

        sour addr: 10.1.3.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 10.1.1.0/255.255.255.0  port: 0  protocol: ip

    Current outbound SPI: 801701189 (0x2fc8fd45)

    [Inbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 24

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 25

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

    [Outbound ESP SAs]

      SPI: 801701189 (0x2fc8fd45)

      Connection ID: 12

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/63

      Status: Active

      SPI: 1611821838 (0x6012730e)

      Connection ID: 13

      Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 0/900

      SA remaining duration (kilobytes/sec): 0/850

      Status: Active

# GM 1向KS注册成功后，可通过如下显示信息查看到GM 1的注册信息。

[GM1] display gdoi gm

Group name: 1

  Group identity             : 12345

  Address family             : IPv4

  Rekeys received            : 1

  Group server               : 100.1.1.100

  Group server               : 200.2.2.200 

  Group member               : 1.1.1.1

    Registration status      : Registered

    Registered with          : 100.1.1.100

    Re-register in           : 3226 sec

    Succeeded registrations  : 1

    Attempted registrations  : 1

    Last rekey from          : 100.1.1.100

    Last rekey seq num       : 1

    Multicast rekeys received: 1

  Allowable rekey cipher     : Any

  Allowable rekey hash       : Any

  Allowable transform        : Any

  Rekeys cumulative:

    Total received                  : 1

    Rekeys after latest registration: 1

    Last rekey received for         : 00hr 04min 41sec

  ACL downloaded from KS 100.1.1.100:

    rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

    rule 1 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

    rule 2 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255

    rule 3 permit ip source 10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

  KEK:

    Rekey transport type        : Multicast

    Remaining key lifetime      : 86119 sec

    Encryption algorithm        : 3DES-CBC

    Signature algorithm         : RSA

    Signature hash algorithm    : SHA1

    Signature key length        : 1024 bits

  TEK:

    SPI                         : 0x2FC8FD45(801701189)

    Transform                   : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

    Remaining key lifetime      : 900 sec

    SPI                         : 0x6012730E(1611821838)

    Transform                   : ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1

    Remaining key lifetime      : 3319 sec

# 以上配置完成后，如果子网10.1.1.0/24与子网10.1.2.0/24之间有报文传输，将分别由GM 1和GM 2进行加密/解密处理。在KS 1上可以看到GM的注册信息。

display gdoi ks members

Group Name: ks1

  Group member ID      : 1.1.1.1

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

  Group member ID      : 2.2.2.2

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

  Group member ID      : 3.3.3.3

  Group member version : 1.0

  Group ID             : 12345

  Rekeys sent          : 0

  Rekey retries        : 0

  Rekey ACKs received  : 0

  Rekey ACKs missed    : 0

类似地，在KS 2上也可以看到所有GM的注册信息。

# 在KS 1上可以看到与KS 2之间的冗余备份相关信息。

display gdoi ks redundancy

Group Name :ks1

  Local address   : 100.1.1.100

  Local version   : 1.0

  Local priority  : 10000

  Local role      : Primary

  Primary address : 100.1.1.100

  Sessions:

      Peer address  : 200.2.2.200

      Peer version  : 1.0

      Peer priority : 100

      Peer role     : Secondary

      Peer status   : Ready

# 在KS 2上可以看到与KS 1之间的冗余备份相关信息。

display gdoi ks redundancy

Group Name :ks2

  Local address   : 200.2.2.200

  Local version   : 1.0

  Local priority  : 100

  Local role      : Secondary

  Primary address : 100.1.1.100

  Sessions:

      Peer address  : 100.1.1.100

      Peer version  : 1.0

      Peer priority : 10000

      Peer role     : Primary

      Peer status   : Ready