| Оглавление | ||
|---|---|---|
|
Управление VPN. Настройки IKE
access profile
Данной командой создается профиль настроек пользователя для IKE-GATEWAY с определенным именем и осуществляется переход в режим конфигурирования профиля.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль настроек пользователя для IKE-GATEWAY.
Синтаксис
[no] access profile <NAME>
Параметры
<NAME> – имя профиля пользователя для IKE-GATEWAY, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# access profile OFFICE |
access-profile
Данной командой указывается локальный список пользователей для авторизации. В случае настройки на IPsec VPN Remote Access сервере указывается только название локального списка пользователей, а в случае настройки IPsec VPN Remote Access клиента дополнительно указывается имя пользователя, который будет использован для авторизации на сервере.
Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
access-profile <NAME> [ client <USER-NAME> ]
[no] access-profile <NAME>
Параметры
<NAME> – название локального списка пользователей, задаётся строкой до 31 символа;
<USER-NAME> – имя пользователя из прикрепленного, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gateway)# access-profile OFFICE client admin |
address-assignment pool
Команда используется для создания пула адресов и настройки передаваемых параметров для динамической конфигурации IPsec-клиентов.
Использование отрицательной формы команды (no) удаляет пула адресов.
Синтаксис
[no] address-assignment pool <NAME>
Параметры
<NAME> – имя пула адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# address-assignment pool CENTER esr(config-pool)# |
assign-interface
Данной командой указывается loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) удаляется loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.
Синтаксис
assign-interface loopback <LOOPBACK>|<LOOPBACK>-<LOOPBACK>
no assign-interface
Параметры
<LOOPBACK> – номер созданного ранее loopback-интерфейса, принимает значение в диапазоне [1..8].
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# assign-interface loopback 3 |
authentication algorithm
Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. ESR. Настройки IPsec VPNpassword).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# authentication algorithm md5 |
authentication mode
Данной командой устанавливается режим XAUTH аутентификации удаленных пользователей, подключающихся по протоколу IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
authentication mode { local | radius | client }no authentication mode
Параметры
local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля;
...
client – режим, используемый XAUTH-клиентом.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# authentication mode local |
authentication method
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication method <METHOD>
no authentication method
Параметры
<METHOD> – метод аутентификации ключа. Может принимать значения:
- pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования;
- public-key – метод аутентификации, использующий публичный ключ сертификата;
- xauth-psk-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;
- eap – метод расширенной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты;
- keyring – метод аутентификации, использующий набор ключей аутентификации.
Значение по умолчанию
pre-shared-key
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# authentication method pre-shared-key |
bind-interface vti
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля «route-based».
Использование отрицательной формы команды (no) удаляет привязку к туннельному интерфейсу.
Синтаксис
bind-interface vti <VTI>
no bind-interface vti
Параметры
<VTI> – идентификационный номер интерфейса VTI.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# bind-interface vti 1 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой указываются необходимые сертификаты.
Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.
Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
...
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# crypto ca KEY |
data-tunnel address
Данной командой указывается IP-адрес для постройки GRE data туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE data туннель должен быть поддержан на стороне клиента (требует ELTEX_DATA_IP(28684).
Использование отрицательной формы команды (no) удаляет IP-адрес для постройки GRE data туннеля.
Синтаксис
data-tunnel address <ADDR>
no data-tunnel address
Параметры
<ADDR> – IP-адрес для построения GRE data туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
| Блок кода |
|---|
esr(config-pool)# data-tunnel address 192.168.2.66 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой устанавливается действие, которое должно предпринять устройство в случае обнаружения недоступности IPsec-соседа механизмом Dead Peer Detection.
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection action <MODE>
no dead-peer-detection action
Параметры
<MODE> – режим работы DPD:
- restart – соединение переустанавливается;
- clear – соединение останавливается;
- hold – соединение поддерживается;
- none – механизм выключен, никаких действий не предпринимается.
Значение по умолчанию
none
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection action clear |
dead-peer-detection interval
Данной командой устанавливается интервал между отправкой сообщений механизмом DPD.
Механизм DPD описан в разделе ESR. Настройки IPsec VPN. dead-peer-detection action.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection interval <SEC>
no dead-peer-detection interval
Параметры
<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд.
Значение по умолчанию
2 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection interval 15 |
dead-peer-detection timeout
Данной командой задаётся таймаут ответа на сообщения, отправленные механизмом DPD.
Механизм DPD описан в разделе ESR. Настройки IPsec VPN. dead-peer-detection action.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection timeout <SEC>
no dead-peer-detection timeout
Параметры
<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection timeout 60 |
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# description "my proposal" |
dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dh-group <DH-GROUP>
no dh-group
Параметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# dh-group 5 |
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# encryption algorithm aes128 |
identity
Данной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.
Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификатора.
Синтаксис
identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
...
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-KEYRING
Пример
| Блок кода |
|---|
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password |
ike-policy
Данной командой устанавливается привязка политики протокола IKE к шлюзу.
Использование отрицательной формы команды (no) удаляет привязку политики.
Синтаксис
[no] ike-policy <NAME>
Параметры
<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# ike-policy ike_pol1 |
ip prefix
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Синтаксис
ip prefix <ADDR/LEN>
no ip prefix
Параметры
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
Не задан.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
| Блок кода |
|---|
esr(config-pool)# ip prefix 192.168.0.0/16 |
keyring
Данной командой указывается набор ключей аутентификации IKE.
Использование отрицательной формы команды (no) удаляет набор ключей.
Синтаксис
keyring <NAME>
no keyring
Параметры
<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# keyring ike_keyring |
lifetime seconds
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime seconds <SEC>
no lifetime seconds
Параметры
<SEC> – период времени, принимает значения [4 ..86400] секунд.
Значение по умолчанию
10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# lifetime 21600 |
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
Синтаксис
local address <ADDR>
no local address
Параметры
<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local address 192.168.1.1 |
local id
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.
Использование отрицательной формы команды (no) удаляет настройку идентификатора локального шлюза.
Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no local id
Параметры
any – ключ, обозначающий "любой" идентификатор;
...
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local id ipv4 192.168.18.1 |
local interface
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
Синтаксис
local interface <IF>
no local interface
Параметры
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local interface gigabitethernet 1/0/1 |
local network
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]Параметры
<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
...
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local network 192.168.1.0/24 protocol tcp port 22 |
management-tunnel address
Данной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеля.
Синтаксис
management-tunnel address <ADDR>
no management-tunnel address
Параметры
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
| Блок кода |
|---|
esr(config-pool)# management-tunnel address 192.168.2.87 |
mobike disable
Данная команда отключает возможность инициатору соединения изменить свою точку подключения к сети (использовать IP-адрес в качестве параметра local address).
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурации.
Синтаксис
[ no ] mobike disable
Параметры
Отсутствуют.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gateway)# mobike disable |
mode
Данной командой устанавливается режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим первой фазы IKE, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
main
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# mode aggressive |
mode
Данной командой устанавливается режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим перенаправления трафика в туннель, принимает значения:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# mode route-based |
| Якорь | ||||
|---|---|---|---|---|
|
password
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.
Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no password
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PROFILE
Пример
| Блок кода |
|---|
esr(config-profile) password tteesstt |
password local-crt-key
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).
Использование отрицательной формы команды (no) удаляет пароль.
Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no password local-crt-key
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy) password tteesstt |
pfs dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-isec-proposal)# pfs dh-group 5 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII-символов;
...
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# pre-shared-key hexadecimal abc123 |
proposal
Данной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# proposal ike_prop1 |
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
remote address { <ADDR> | any }no remote address
Параметры
<ADDR> – IP-адрес удаленного шлюза.
any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote address 192.168.1.2 |
remote id
Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no remote id
Параметры
any – ключ, обозначающий "любой" идентификатор;
...
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote id dns router.example.loc |
remote network
Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
...
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22 |
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote network dynamic client
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network dynamic client |
security ike gateway
Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
Синтаксис
[no] security ike gateway <NAME>
Параметры
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# |
security ike keyring
Данной командой создается набор ключей аутентификации для протокола IKE, который включает в себя наборы соответствий адресов удаленных IPsec-клиентов и ключей PSK, которые будут использоваться при аутентификации.
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
Синтаксис
[no] security ike keyring <NAME>
Параметры
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все наборы.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike keyring ike_keyring1 esr(config-ike-gw)# |
security ike policy
Данной командой создается политика IKE, которая включает в себя профили протокола IKE, общий секретный ключ для аутентификации и режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.
Синтаксис
[no] security ike policy <NAME>
Параметры
<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1 esr(config-ike-policy)# |
| Якорь | ||||
|---|---|---|---|---|
|
security ike proposal
Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
[no] security ike proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# |
security ike session uniqueids
Данной командой задается режим переподключения клиентов XAUTH с одним логином/паролем.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
Параметры
<MODE> – режим переподключения, принимает следующие значения:
- no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
- never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
- replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
- keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.
Значение по умолчанию
never
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike session uniqueids replace |
show security ike
Команда используется для просмотра списка шлюзов, политик или профилей.
Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]Параметры
gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;
...
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ike proposal
Proposal
~~~~~~~~
Name Auth Encryption DH Hash Lifetime
------------ ------- ---------------- -- ---------- ----------
aaa pre-sha 3des 1 sha1 3600
red-key
esr# show security ike policy
Policy
~~~~~~
Name Mode Proposal
---------------------------- ---------- -----------------------------------
ike_pol1 main ike_prop1
esr# show security ike gateway ik_gw
Description: --
IKE Policy: ike_pol1
IKE Version: v1-only
Mode: route-based
Binding interface: vti1
IKE Dead Peer Detection:
Action: none
Interval: 2
Timeout: 30 |
user
Данной командой задается имя пользователя для аутентификации IKE-GETWAY.
...
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
Синтаксис
[no] user <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ACCESS-PROFILE
Пример
| Блок кода |
|---|
esr(config-access-profile)# user connecter963 |
version
Данной командой задаётся версия протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
version <VERSION>
no version
Параметры
<version> – версия IKE-протокола: v1-only или v2-only.
Значение по умолчанию
v1-only
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# version v2-only |
Управление VPN. Настройки IPsec
authentication algorithm
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# authentication algorithm md5 |
clear security ipsec vpn
Данной командой осуществляется сброс одного из текущих VPN-соединений.
Синтаксис
clear security ipsec vpn [ vrf <VRF> ] <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# clear security ipsec vpn IPSEC_MAIN_OFFICE |
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# description "VPN to Moscow Office" |
enable
Данной командой активируется IPsec VPN.
Использование отрицательной формы команды (no) деактивирует IPsec VPN.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# enable |
encryption algorithm
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# encryption algorithm blowfish128 |
ike dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ike dscp <DSCP>
no ike dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike dscp 40 |
ike establish-tunnel
Командой устанавливается режим активации VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike establish-tunnel <MODE>
no Ike establish-tunnel
Параметры
<MODE> – режим активации VPN:
- by-request – соединение активируется встречной стороной;
- route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
- immediate – туннель активируется автоматически после применения конфигурации. Если произойдет закрытие соединения от удаленной стороны VPN при использовании режима immediate, тогда установить соединение повторно будет возможно только после перезагрузки маршрутизатора или перезапуске VPN через CLI маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike establish-tunnel route |
ike gateway
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike gateway <NAME>
no ike gateway
Параметры
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike gateway ike_gw1 |
ike idle-time
Данной командой устанавливается значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA.
Использование отрицательной формы команды (no) отключает данный таймер.
Синтаксис
ike idle-time <TIME>
no ike idle-time
Параметры
<TIME> – интервал в секундах, принимает значения [4..86400].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike idle-time 3600 |
ike rekey disable
Данной командой отключается пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт.
Использование отрицательной формы команды (no) включает пересогласование ключей.
Синтаксис
[no] ike rekey disable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey disable |
ike rekey margin
Данной командой можно настроить начало пересогласования ключей IKE-соединения до истечения времени жизни.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> } no ike rekey margin { seconds | packets | kilobytes } Параметры
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. ESR. Настройки IPsec VPN lifetime). Принимает значения [4..86400].
<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. ESR. Настройки IPsec VPN lifetime). Принимает значения [4..86400].
<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. ESR. Настройки IPsec VPN lifetime). Принимает значения [4..86400].
Значение по умолчанию
Пересогласование ключей до истечения времени – за 540 секунд.
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey margin seconds 1800 |
ike rekey randomization
Данной командой устанавливается уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike rekey randomization <VALUE>
no ike rekey randomization
Параметры
<VALUE> – максимальный процент разброса значений, принимает значения [1..100].
Значение по умолчанию
100%
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey randomization 10 |
ike ipsec-policy
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
Параметры
<NAME> – имя IPsec-политики, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1 |
| Якорь | ||||
|---|---|---|---|---|
|
lifetime
Данной командой устанавливается время жизни IPsec-туннеля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }no lifetime { seconds | packets | kilobytes }Параметры
<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд;
...
<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд.
Значение по умолчанию
3600 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# lifetime seconds 3600 |
manual authentication algorithm
Данной командой устанавливается алгоритм аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual authentication algorithm sha1 |
manual authentication key
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }no manual authentication key
Параметры
<TEXT> – строка [1..64] ASCII-символов;
...
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef |
manual bind-interface vti
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля route-based. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual bind-interface vti <VTI>
no manual bind-interface vti
| Scroll Pagebreak |
|---|
Параметры
<VTI> – индекс интерфейса VTI, принимает значения:
- ESR-10/12V/12VF/15/15R/15VF – [1..10];
- ESR-20/21/30/31/100/200 – [1..250];
- ESR-1000/1200/1500/1511/1700/3100/3200/3200L/3300 – [1..500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual bind-interface vti 0 |
manual encryption algorithm
Данной командой устанавливается алгоритм шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
Параметры
<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28 |
manual encryption key
Данной командой устанавливается ключ шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no manual encryption key
Параметры
<TEXT> – строка [1..36] ASCII-символов;
...
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456 |
manual mode
С помощью данной команды осуществляется установка режима перенаправления трафика в туннель. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
manual mode <MODE>
no manual mode
Параметры
<MODE> – режим прохождения трафика:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual mode route-based |
manual protocol
Данной командой устанавливается инкапсулирующий протокол. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual protocol <TYPE>
no manual protocol
Параметры
<TYPE> – тип протокола, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual protocol ah |
manual spi
Данной командой устанавливается индекс параметров безопасности. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
Синтаксис
manual spi <HEX>
no manual spi
Параметры
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual spi FF |
| Якорь | ||||
|---|---|---|---|---|
|
mode
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим работы VPN:
- ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
- manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# mode ike |
proposal
Данной командой к политике привязываются профили набора протоколов IPsec.
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-policy)# proposal ipsec_prop1 |
protocol
Данной командой устанавливается инкапсулирующий протокол.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# protocol ah |
security ipsec policy
Данной командой создается политика набора протоколов IPsec, которая включает в себя профили набора протоколов IPsec для согласования второй фазы протокола IKE.
...
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
Синтаксис
[no] security ipsec policy <NAME>
Параметры
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# |
security ipsec proposal
Данной командой создается профиль для набора протоколов IPsec. Профиль IPsec включает в себя параметры алгоритмов шифрования и аутентификации, протокола защиты соединения IPsec-туннеля, а также время жизни соединения.
...
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
Синтаксис
[no] security ipsec proposal <NAME>
Параметры
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)# |
security ipsec vpn
Данной командой создается VPN на основе набора протоколов IPsec и устанавливается командный режим SECURITY IPSEC VPN.
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
Синтаксис
[no] security ipsec vpn <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)# |
show security ipsec
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]Параметры
vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;
...
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec proposal
Proposal
~~~~~~~~
Name Prot Enc. alg. Auth. alg. Lifetime
--------------------- ---- ---------------- --------------- -----------
ipsec_prop1 esp aes128 sha1 28800 sec
esr# show secu rity ipsec policy
Name Description Proposal
-------------------- ------------------- -----------------------------------
ipsec_pol1 ipsec_prop1
Master# show security ipsec vpn configuration IPSECVPN
Description: --
State: Enabled
IKE:
Establish tunnel: immediate
IPsec policy: IPSECPOLICY
IKE gateway: IKEGW
IKE DSCP: 63
IKE idle-time: 0s
IKE rekeying: Enabled
Margin time: 540s
Margin kilobytes: 0
Margin packets: 0
Randomization: 100% |
show security ipsec vpn authentication
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
Параметры
<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2.2.1 2.2.2.2 192.168.2.0/24 192.168.1.1/32 Xauth PSK, login: ipsec Established |
show security ipsec vpn status
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100.14.1 10.100.14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established |
type
Данной командой задается тип инкапсуляции IPsec.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
type <TYPE>
no type
| Scroll Pagebreak |
|---|
Параметры
<TYPE> – тип инкапсуляции IPsec, принимает значения:
- tunnel;
- transport.
Значение по умолчанию
tunnel
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-access-vpn)# type transport |
...