所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 配置指南-IP组播

本文档介绍了IP组播的配置,具体包括IP组播基础、IGMP配置、MLD配置、PIM(IPv4)配置、PIM(IPv6)配置、MSDP配置、组播VPN配置、组播路由管理(IPv4)配置、组播路由管理(IPv6)配置、IGMP Snooping配置、MLD Snooping配置、静态组播MAC地址配置、组播VLAN配置和组播网管配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置PIM IPSec(IPv6)功能

配置PIM IPSec(IPv6)功能

通过配置PIM IPSec(IPv6),可以对设备发送和接收的PIM(IPv6)协议报文进行加密认证,从而防止伪造的PIM(IPv6)协议报文对设备进行攻击。

前置任务

在配置PIM IPSec(IPv6)之前,需完成以下任务:

配置流程

根据以下描述内容的顺序配置PIM IPSec(IPv6)。

配置IPSec基本功能

背景信息

在网络拓扑结构简单的网络中,为了保护协议报文在传输过程中不被窃取和仿冒,可以创建IPSec对协议报文提供认证保护。

用IPSec保护协议报文之前,必须先建立安全联盟SA(Security Association)。SA是出于安全目的而创建的一个单向逻辑连接,是IPSec对等体(使用IPSec协议对数据进行保护的通信双方)之间对某些要素的约定。这些要素包括:

  • 对等体间使用何种安全协议
  • 安全协议支持的认证/加密算法
  • 协议报文的封装模式
  • SA的安全参数索引SPI(Security Parameter Index)
  • SA的认证密钥/加密密钥

其中,前三项要素是通过IPSec安全提议来指定的。实际配置中,需要在IPSec对等体上先配置IPSec安全提议,再配置IPSec安全联盟。

操作步骤

  1. 配置IPSec安全提议
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ipsec proposal proposal-name,创建IPSec安全提议并进入安全提议视图。
    3. 执行命令transform { ah | esp },配置IPSec安全提议采用的安全协议。

      缺省情况下,IPSec安全提议采用的安全协议为ESP协议。

    4. 配置安全协议的认证/加密算法。

      • 安全协议采用AH协议时,AH协议只能对报文进行认证。即只能配置AH协议的认证算法。

        执行命令ah authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 },配置AH采用的认证算法。

        缺省情况下,没有为AH协议配置认证算法。

      • 安全协议采用ESP协议时,ESP协议允许对报文同时进行加密和认证,或只认证,根据需要配置ESP协议的认证算法、加密算法。
        • 执行命令esp authentication-algorithm { md5 | sha1 | sha2-256 | sha2-384 | sha2-512 },配置ESP采用的认证算法。

          缺省情况下,没有为ESP协议配置认证算法。

        • 执行命令esp encryption-algorithm { 3des | aes { 128 | 192 | 256 } | des | null },配置ESP协议采用的加密算法。

          缺省情况下,没有为ESP协议配置加密算法。如果不需要对报文进行加密,选择null参数。

    5. 执行命令encapsulation-mode transport,配置安全协议对报文的封装模式。

      缺省情况下,安全协议对报文的封装模式采用隧道模式。

      说明:
      • 目前,设备仅支持安全协议采用的封装模式为transport,即传输模式。

      • 在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。

      • 不建议使用MD5、SHA-1、DES和3DES算法,否则无法满足您安全防御的要求。

    6. 执行命令quit,返回到系统视图。
    7. 执行命令commit,提交配置。
  2. 配置IPSec安全联盟
    1. 执行命令ipsec sa sa-name,创建IPSec安全联盟并进入IPSec安全联盟视图。

      缺省情况下,系统没有配置IPSec安全联盟。

    2. 执行命令proposal proposal-name,引用IPSec安全提议。

      缺省情况下,系统没有指定引用的IPSec安全提议。

      说明:

      一个IPSec安全联盟只能引用一个IPSec安全提议。如果需要引用新的IPSec安全提议,必须先删除原先的IPSec安全提议。

    3. 执行命令sa spi { inbound | outbound } { ah | esp } spi-number,配置安全参数索引SPI。

      说明:
      • SPI标识唯一SA,应分别设置inbound和outbound两个方向SPI,本端出方向的SPI必须和对端入方向的SPI保持一致。
      • 配置SPI时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。

    4. 根据SA引用的安全提议所采用的安全协议配置密钥。

      • 安全协议采用AH协议时,可以配置十六进制形式或字符串形式的认证密钥,二者任选其一。
        • 执行命令sa authentication-hex { inbound | outbound } ah [ cipher ] hex-string,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } ah [ cipher ] string-key,配置字符串形式的认证密钥。

      • 安全协议采用ESP协议时,可以只配置认证密钥或只配置加密密钥(选择执行其中一条命令),也可以同时配置认证密钥和加密密钥(只能同时配置为十六进制形式的认证密钥和加密密钥)。
        • 执行命令sa authentication-hex { inbound | outbound } esp [ cipher ] hex-string,配置十六进制形式的认证密钥。

        • 执行命令sa string-key { inbound | outbound } esp [ cipher ] string-key,配置字符串形式的认证密钥。

        • 执行命令sa encryption-hex { inbound | outbound } esp [ cipher ] hex-string,配置十六进制形式的加密密钥。

      说明:
      • 配置密钥时选择的安全协议类型(AH或ESP)必须与SA引用的安全提议中采用的安全协议类型保持一致。
      • 本端出方向的密钥必须和对端入方向的密钥保持一致。
      • 在IPSec对等体两端,应当以相同的方式输入密钥。如果一端以字符串方式输入密钥,另一端以16进制方式输入密钥,则不能正确地建立SA。
      • 如果先后以不同的方式输入了密钥,则最后设定的密钥有效。

    5. 执行命令quit,返回到系统视图。
    6. 执行命令commit,提交配置。

配置PIM IPSec(IPv6)

背景信息

在组播网络中,可能存在伪造的PIM(IPv6)协议报文对设备进行攻击,这样将导致组播设备之间无法进行正常的组播数据转发。为了解决这个问题,可以配置PIM IPSec(IPv6),使设备对发送和接收的PIM(IPv6)协议报文进行加密认证,防止非法PIM(IPv6)协议报文对设备进行攻击。

由于有些厂商设备只能对PIM Hello(IPv6)报文进行加密认证,为了与这些厂商设备互通,可以配置仅对PIM Hello(IPv6)报文使用IPSec加密认证。

设备上配置了PIM IPSec(IPv6)以后:
  • 发送的PIM(IPv6)协议报文会被IPSec协议封装处理。
  • 如果接收到的PIM(IPv6)协议报文不受IPSec保护或者认证失败,设备会将该报文丢弃。

如果设备没有配置PIM IPSec(IPv6)功能而收到了受IPSec保护的PIM(IPv6)报文,设备会将该报文丢弃。

说明:
  • PIM IPSec(IPv6)在全局(PIM-IPv6视图下)和接口下都可配置,生效原则为:在PIM-IPv6视图下的配置全局有效,在接口视图下的配置只对该接口有效。如果PIM-IPv6视图和接口视图下都配置了该功能,则优先选择接口视图下配置的值。接口视图下没有配置时,PIM-IPv6视图下配置的值有效。

  • 为了保证组播业务的正常运行,建议在所有使能了PIM(IPv6)协议的设备上配置PIM IPSec(IPv6)。

操作步骤

  • 全局配置PIM IPSec(IPv6)
    1. 执行命令system-view,进入系统视图。
    2. 执行命令pim ipv6,进入PIM-IPv6视图。
    3. 配置对PIM(IPv6)协议报文进行认证检查。

      可以配置对所有PIM(IPv6)单播/组播协议报文进行认证检查,也可以配置仅对PIM Hello(IPv6)报文进行认证检查。但是IPSec对等体对PIM(IPv6)协议报文的认证检查行为需要保持一致,同时配置对所有PIM(IPv6)协议报文进行认证检查,或同时配置仅对PIM Hello(IPv6)报文进行认证检查。

      • 执行命令[ unicast-message ] ipsec sa sa-name,配置发送和接收PIM(IPv6)协议报文时按指定的安全联盟对报文进行认证检查。

        ipsec sa sa-nameunicast-message ipsec sa sa-name可以仅配置一条,也可以两条同时配置,生效原则如下:
        • 若仅配置ipsec sa sa-name,则设备仅对PIM(IPv6)组播协议报文使用IPSec进行认证检查;

        • 若仅配置unicast-message ipsec sa sa-name,则设备仅对PIM(IPv6)单播协议报文使用IPSec进行认证检查;

        • 若两条命令同时配置,则两个配置均生效,设备对PIM(IPv6)单播协议报文和组播协议报文均使用IPSec进行认证检查。

      • 执行命令hello ipsec sa sa-name,配置发送和接收PIM Hello(IPv6)报文时按指定的安全联盟对报文进行认证检查。

      说明:

      命令ipsec sa sa-name与命令hello ipsec sa sa-name相互覆盖,即最后配置的命令生效。

    4. 执行命令commit,提交配置。
  • 在接口上配置PIM IPSec(IPv6)
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number,进入接口视图。
    3. (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。

      缺省情况下,以太网接口处于二层模式。

      使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdowndescription配置)或者二三层接口均支持的配置信息(例如mode lacplacp system-id配置),模式切换功能才可以生效。不能有任何切换后的接口模式不支持的配置存在。如果接口上存在不支持的配置,请先将这些配置全部清除,然后再执行undo portswitch命令。

      说明:

      如果涉及的以太网接口较多,可以在系统视图下执行命令undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>,批量切换以太网接口的工作模式。

    4. 配置对PIM(IPv6)协议报文进行认证检查。

      可以在接口上配置对所有PIM(IPv6)协议报文进行认证检查,也可以配置仅对PIM Hello(IPv6)报文进行认证检查。但是IPSec对等体对PIM(IPv6)协议报文的认证检查行为需要保持一致,同时配置对所有PIM(IPv6)协议报文进行认证检查,或同时配置仅对PIM Hello(IPv6)报文进行认证检查。

      • 执行命令pim ipv6 ipsec sa sa-name,配置该接口发送和接收PIM(IPv6)协议报文时按指定的安全联盟对报文进行认证检查。

      • 执行命令pim ipv6 hello ipsec sa sa-name,配置该接口发送和接收PIM Hello(IPv6)报文时按指定的安全联盟对报文进行认证检查。

      说明:

      命令pim ipv6 ipsec sa sa-name与命令pim ipv6 hello ipsec sa sa-name相互覆盖,即最后配置的命令生效。

    5. 执行命令commit,提交配置。

检查PIM IPSec(IPv6)的配置结果

背景信息

PIM IPSec(IPv6)功能配置成功后,在任意视图下执行下面的命令,可以查看设备IPSec安全提议、安全联盟以及PIM IPSec(IPv6)的配置和统计信息。

操作步骤

  • 使用命令display ipsec proposal [ name proposal-name | brief ],查看安全提议的相关信息。
  • 使用命令display ipsec sa [ name sa-name ] [ brief ],查看安全联盟的相关信息。
  • 使用命令display ipsec statistics [ sa-name sa-name ] [ slot slot-number ],查看IPSec处理的报文统计信息。
  • 使用命令display pim ipv6 interface [ interface-type interface-number | up | down ] [ verbose ],查看接口下PIM IPSec(IPv6)的配置信息。
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166616

浏览量:62875

下载量:241

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页