本节所介绍的配置是针对DVPN服务器端进行的参数设置，并制定相关的策略，即是否对VAM的协议报文进行保护，Server对Client的认证方式等等。

配置任务如表13-2所示。其中绝大多数是必需配置的。

表13-2  VAM Server的配置任务

 1.  创建VPN域（必选）

创建VPN域的方法是在系统视图下使用“vam server vpn vpn-name”命令。创建VPN域后进入VPN域视图。参数vpn-name用来指定所创建的VPN域名，为1~15个字符的字符串，不区分大小写。所使用的字符可以是A~Z、a~z、0~9和“.”。如果VPN域已经存在，则直接进入该VPN域视图。可用“undo vam server vpn vpn-name”命令删除指定VPN域。缺省情况下，无VPN域存在。

在同一台DVPN VAM服务器上最多可以支持200个DVPN域，可以同时作为200个DVPN域的服务器设备。

以下示例是创建VPN域1，并进入其视图。

2.  启动VAM Server功能（必选）

该配置用来启动服务器端VPN域的VAM服务功能。这里可以有两种启动方式，一种是在系统视图下使用“vam server enable { all | vpn vpn-name }”命令启动所有或指定VPN域的VAM Server功能，另一种是在对应VPN域下使用“server enable”命令启动指定VPN域的VAM Server功能。根据实际需要选择其中一种方式。缺省情况下，VAM Server功能处于关闭状态。

“vam server enable { all | vpn vpn-name }”系统视图命令的配置可用“undo vam server enable { all | vpn vpn-name }”命令来取消，也就是关闭原来所启动的VPN域的VAM Server功能。缺省情况下，VAM Server功能处于关闭状态。命令中的两个二选一选项说明如下：

              all：二选一选项，指定所有已配置的VPN域中的VAM Server功能。

              vpn vpn-name：二选一选项，指定某个已配置的VPN域的VAM Server功能。其中参数vpn-name用来指定对应的VPN域名。

以下示例是启动所有VPN域的VAM功能。

“server enable”VPN域视图命令的配置可用“undo server enable”命令来取消，也就关闭原来所启动的指定VPN域的VAM Server功能。

以下示例是启动VPN域1的VAM Server功能。

3. 监听IP地址和端口号配置（必选）

该项配置用来指定VAM服务器上进行VAM客户端VPN连接监听的IP地址和UDP端口号。配置的方法是在系统视图下使用“vam server ip-address ip-address [ port port-number ]”命令。命令中的可选项和参数说明如下：

              ip-address：指定VAM服务器用来监听VAM客户端注册请求的IP地址。

              port-number：指定VAM服务器用来监听VAM客户端注册请求的UDP端口号，取值范围为1025~65535，缺省值为18000。

VAM服务器只在配置的IP地址和UDP端口上监听VAM客户端发送的报文。对于所有VPN域，VAM服务器监听的IP地址和UDP端口均相同。重复执行本命令，新的配置将覆盖原有的配置。

可用“undo vam server ip-address”命令删除配置的监听IP地址和UDP端口号。缺省情况下，没有配置监听IP地址和UDP端口号。

以下示例是配置VAM服务器的监听IP地址为10.1.1.1、UDP端口号为2000。

4.  Hub的IP地址配置（必选）

该项配置用来指定VPN域中担当Hub角色的路由器的IP地址配置的方法是在对应的VPN域视图下使用“hub private-ip private-ip-address [ public-ip public-ip-address ]”命令配置Hub的IP地址。可用“undo hub private-ip private-ip-address”命令删除指定Hub的IP地址。缺省情况下，没有配置Hub的IP地址。命令中的参数说明如下：

              private-ip-address：指定Hub路由器连接私网的接口的私网IP地址，对应所服务的Hub上的对应VPN域中的Tunnel接口IP地址。

              public-ip-address：可选参数，指定Hub路由器连接公网的接口的公网IP地址。

以下示例是指定VPN1域中某Hub路由器的公私网IP地址分别为123.0.0.1和10.1.1.1。

【说明】可以只配置Hub的私网地址，当该Hub加入VPN域时，向VAM服务器进行注册，注册成功后VAM服务器会向其它VAM客户端下发该Hub的公私网地址映射信息。如果指定了公网地址，只有向Server注册的Client的公私网地址与配置值一致，才被认为是Hub设备，否则认为该VAM客户端注册不成功。

目前，在一个VPN域内最多只能配置两个Hub、200个Spoke。

5.  VAM服务器预共享密钥配置（必选）

预共享密钥是VAM服务器用来和VAM客户端建立安全通道的公共密钥“材料”。在连接初始化阶段预共享密钥用来生成验证和加密连接请求、连接响应报文的初始密钥；如果选择对后续的报文进行加密和验证，则预共享用来生成验证和加密后续报文的连接密钥。

配置VAM服务器预共享密钥的方法是在对应的VPN域视图下使用“pre-shared-key { cipher | simple } key-string”命令，所配置的预共享密钥为VAM协议报文加密和完整性验证算法提供公共密钥材料。命令中的二选一选项和参数说明如下：

              cipher：二选一选项，指定以密文方式显示预共享密钥。

              simple：二选一选项，指定以明文方式显示预共享密钥。

              key-string：指定所设置的预共享密钥，为1~31个字符的字符串，区分大小写。

可用“undo pre-shared-key”命令用来删除配置的预共享密钥。缺省情况下，无预共享密钥。

以下示例是配置VAM服务器的预共享密钥为123456，且以明文方式显示。

6.  VAM协议报文的安全参数配置（可选）

该项配置用来设置VAM协议报文的验证、加密算法及其优先级。VAM服务器根据这里所配置的报文完整性验证、加密算法以及优先级与VAM客户端发送的算法列表进行协商，协商后的算法分别作为两端协议报文的完整性验证算法和加密算法。但VAM服务器都有对应报文的安全参数默认设置，所以此项配置为可选配置。如果不专门配置，则直接采用默认设置。

VAM协议报文的验证、加密算法及其优先级的配置步骤如表13-3所示。

13-3 协议报文的安全参数的配置步骤

下面介绍以上配置步骤中的两个主要命令。

1）authentication-algorithm命令

“authentication-algorithm { none | { md5 | sha-1 } * }”VPN域视图命令用来设置协议报文的验证算法及其优先级。命令中的多选项说明如下：

              none：多选项，指定不对协议报文验证。

              md5：多选项，指定采用MD5验证算法。

              sha-1：多选项，指定采用SHA-1验证算法。

这些算法可多选，验证算法在配置中的出现顺序（也就是如果多选的话，可以自由调整它们的前后顺序）决定其使用优先级。VAM Server根据配置的验证算法以及它们对应的优先级与VAM客户端发送的算法列表进行协商，协商后的算法作为两端的协议报文消息验证算法。

可用“undo authentication-algorithm”命令恢复缺省情况。缺省情况下，认证算法为SHA-1。

 以下示例是设置在VPN域1中使用MD5和SHA-1两种验证算法，并且SHA-1算法的优先级高于MD5算法。

【说明】连接初始化阶段VAM客户端发送的连接请求和VAM服务器发送的连接响应报文，使用固定的验证算法SHA-1进行验证。后续的报文可以通过上述验证算法配置确定是否验证。

报文的验证算法在配置中的出现顺序决定其使用优先级。

2）encryption-algorithm命令

“encryption-algorithm { { 3des | aes-128 | des } * | none }”VPN域视图命令用来配置协议报文的加密算法及其优先级。命令中的选项说明如下：

              3des：多选项，指定采用3DES加密算法。

              aes-128：多选项，指定采用AES加密算法，密钥长度128位。

              des：多选项，指定采用DES加密算法。

以上三个选项可多选，共同构成一个二选一选项。所选的加密算法在配置中的出现顺序决定了它们的使用优先级。VAM服务器根据配置的加密算法以及优先级与VAM客户端发送的算法列表进行协商，协商后的算法作为两端的协议报文加密算法。

              none：二选一选项，指定不对协议报文作加密。

可用“undo encryption-algorithm”命令恢复缺省情况。缺省情况下，使用AES-128、3DES和DES三种加密算法，算法的优先级由高到低依次是AES-128、3DES、DES。

以下示例是配置在VPN域1中使用AES-128和3DES加密算法，AES-128的优先级高于3DES。

【说明】连接初始化阶段VAM客户端发送的连接请求和VAM服务器发送的连接响应报文，使用固定的加密算法AES-128进行验证。后续的报文可以通过上述加密算法配置确定是否加密。

报文的加密算法在配置中的出现顺序决定其使用优先级。

 7. 客户端认证方式的配置（可选）

该项配置用来设置VAM服务器对VAM客户端的认证方式。对于VAM服务器启用AAA对VAM客户端进行认证的情况，目前只支持PAP和CHAP两种身份验证方式。

配置VAM服务器对VAM客户端认证方式的方法是在对应的VPN域视图下使用“authentication-method { none | { chap | pap } [ domain name-string ] }”命令进行的。命令中的选项和参数说明如下：

              none：二选一选项，指定不对客户端进行认证。

              pap：二选一子选项，指定使用PAP认证方式。

              chap：二选一子选项，指定使用CHAP认证方式。

              domain name-string：指定认证使用的ISP域。其中参数name-string表示ISP域名，为1~24个字符的字符串，不区分大小写。

可用“undo authentication-method”命令恢复缺省情况。缺省情况下，使用CHAP验证方式，ISP域为用户配置的系统默认域。

以下示例是配置VAM服务器对VAM客户端采用CHAP方式进行身份认证。

8. Keepalive报文参数配置（可选）

VAM客户端通过定期发送Keepalive报文与VAM服务器保持联系，VAM服务器在收到Keepalive报文后发送回应报文，以证明自己的存在。如果VAM服务器在指定的时间内没有收到VAM客户端的Keepalive报文，则删除该VAM客户端的节点信息并使其下线。

本项配置用来设置VAM客户端发送Keepalive报文的发送时间间隔和重试次数。在VAM客户端注册成功后，VAM服务器将该参数在注册响应中下发给VAM客户端。具体配置步骤如表13-4所示。

13-4  Keepalive报文参数的配置步骤

下面介绍以上配置步骤中的两个主要命令。 

1）keepalive interval命令

“keepalive interval time-interval”VPN域视图命令用来配置VAM客户端向VAM服务器发送Keepalive报文的时间间隔。参数time-interval用来指定VAM客户端发送Keepalive报文的时间间隔，取值范围为5~60秒。可用“undo keepalive interval”命令恢复缺省情况。缺省情况下，VAM客户端发送Keepalive报文的时间间隔为10秒。

【注意】这里的配置会由VAM服务器在响应VAM客户端注册的报文中下发给VAM客户端，同一个VPN域中所有VAM客户端的Keepalive报文参数都是相同的。但是，如果VAM服务器改变Keepalive报文参数，则修改后的参数只对新注册的VAM客户端生效，已经注册的客户端不受影响。

以下示例是设置VAM客户端向VAM服务器发送Keepalive报文的时间间隔为40秒。

2）keepalive retry命令

“keepalive retry retry-times”命令用于配置VAM客户端向VAM服务器发送Keepalive报文的重试次数。当Keepalive报文的重发次数达到配置的值时仍没有收到响应，则认为VAM客户端与VAM服务器的连接中断。参数retry-times用来指定VAM客户端发送Keepalive报文的重试次数，取值范围为1~6。可用“undo keepalive retry”命令恢复缺省情况。缺省情况下，VAM客户端发送Keepalive报文的最多重试次数为3次。

【注意】这里的配置会由VAM服务器在响应VAM客户端注册的报文中下发给VAM客户端，同一个VPN域中所有VAM客户端的Keepalive报文参数都是相同的。但是，如果VAM服务器改变Keepalive报文参数，则修改后的参数只对新注册的VAM客户端生效，已经注册的客户端不受影响。

以下示例是配置VAM客户端发送Keepalive报文的最多重试次数为5次。