...
Блок кода |
---|
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# |
security ike session uniqueids
Данной командой задается режим пере-подключения клиентов XAUTH с одним логином/паролем.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
Параметры
<MODE> – режим пере-подключения, принимает следующие значения:
- no - Установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет назначен ранее использованный IP-адрес;
old sessions will be replaced on INITIAL_CONTACT notify receiving - never - Установленное подключение XAUTH будет удержано до прихода запроса на отключение. Для нового подключения XAUTH будет назначен новый IP-адрес;
old sessions will never be replaced even on INITIAL_CONTACT notify receiving - replace -
old sessions will be replaced with new session setups - keep - Установленное подключение XAUTH продолжит работать. Новое подключение XAUTH будет отвергнуто.
new session setups will be rejected and the earlier established duplicate will be kept
Значение по умолчанию
never
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ike session uniqueids replace |
show security ike
Команда используется для просмотра списка шлюзов, политик или профилей.
Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]
Параметры
gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;
...
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ike proposal Proposal ~~~~~~~~ Name Auth Encryption DH Hash Lifetime ------------ ------- ---------------- -- ---------- ---------- aaa pre-sha 3des 1 sha1 3600 red-key esr# show security ike policy Policy ~~~~~~ Name Mode Proposal ---------------------------- ---------- ----------------------------------- ike_pol1 main ike_prop1 esr# show security ike gateway ik_gw Description: -- IKE Policy: ike_pol1 IKE Version: v1-only Mode: route-based Binding interface: vti1 IKE Dead Peer Detection: Action: none Interval: 2 Timeout: 30 |
...
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
Синтаксис
[no] user <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ACCESS-PROFILE
Пример
Блок кода |
---|
esr(config-access-profile)# user connecter963 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
version <VERSION>
no version
Параметры
<version> – версия IKE-протокола: v1-only или v2-only.
Значение по умолчанию
v1-only
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
Блок кода |
---|
esr(config-ike-gw)# version v2-only |
...
Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
[no] xauth access-profile <NAME> [client <USER-NAME>
Параметры
<NAME> – название локального списка пользователей XAUTH, задаётся строкой до 31 символа;
<USER-NAME> – имя пользователя из прикрепленного xauth-профия, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
Блок кода |
---|
esr(config-ike-gateway)# xauth access-profile OFFICE |
...
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
Блок кода |
---|
esr(config-ipsec-proposal)# authentication algorithm md5 |
...
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# description "VPN to Moscow Office" |
...
Использование отрицательной формы команды (no) деактивирует IPSEC VPN.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# enable |
...
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
Блок кода |
---|
esr(config-ipsec-proposal)# encryption algorithm blowfish128 |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ike dscp <DSCP>
no ike dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike dscp 40 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike establish-tunnel <MODE>
no Ike establish-tunnel
Параметры
<MODE> – режим активации VPN:
- by-request – соединение активируется встречной стороной;
- route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
- immediate – туннель активируется автоматически после применения конфигурации.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike establish-tunnel route |
...
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike gateway <NAME>
no ike gateway
Параметры
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike gateway ike_gw1 |
...
Использование отрицательной формы команды (no) отключает данный таймер.
Синтаксис
ike idle-time <TIME>
no ike idle-time
Параметры
<TIME> – интервал в секундах, принимает значения [4..86400]
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike idle-time 3600 |
...
Использование отрицательной формы команды (no) включает пересогласование ключей.
Синтаксис
[no] ike rekey disable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike rekey disable |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no ike rekey margin { seconds | packets | kilobytes }
Параметры
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. lifetime). Принимает значения [4..86400].
...
<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. lifetime). Принимает значения [4..86400].
Значение по умолчанию
Пересогласование ключей до истечения времени – за 540 секунд.
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike rekey margin seconds 1800 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike rekey randomization <VALUE>
no ike rekey randomization
Параметры
<VALUE> – максимальный процент разброса значений, принимает значения [1..100]
Значение по умолчанию
100%
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike rekey randomization 10 |
...
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
Параметры
<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no lifetime { seconds | packets | kilobytes }
Параметры
<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд.
...
<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400] секунд.
Значение по умолчанию
3600 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-POLICY
Пример
Блок кода |
---|
esr(config-ipsec-proposal)# lifetime seconds 3600 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual authentication algorithm sha1 |
...
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no manual authentication key
Параметры
<TEXT> – строка [1..64] ASCII символов;
...
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual bind-interface vti <VTI>
no manual bind-interface vti
Параметры
<VTI> – индекс интерфейса VTI, принимает значения:
...
ESR-1000/1200/1500/1511/1700 – [1..500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual bind-interface vti 0 |
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
Параметры
<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28 |
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no manual encryption key
Параметры
<TEXT> – строка [1..36] ASCII символов;
...
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456 |
...
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
manual mode <MODE>
no manual mode
Параметры
<MODE> – режим прохождения трафика:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual mode route-based |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual protocol <TYPE>
no manual protocol
Параметры
<TYPE> – тип протокола, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual protocol ah |
...
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
Синтаксис
manual spi <HEX>
no manual spi
Параметры
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# manual spi FF |
...
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим работы VPN:
- ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
- manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
Блок кода |
---|
esr(config-ipsec-vpn)# mode ike |
...
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-POLICY
Пример
Блок кода |
---|
esr(config-ipsec-policy)# proposal ipsec_prop1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
Блок кода |
---|
esr(config-ipsec-proposal)# protocol ah |
...
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
Синтаксис
[no] security ipsec policy <NAME>
Параметры
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# |
...
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
Синтаксис
[no] security ipsec proposal <NAME>
Параметры
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)# |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
Синтаксис
[no] security ipsec vpn <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)# |
...
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]
Параметры
vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;
...
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ipsec proposal Proposal ~~~~~~~~ Name Prot Enc. alg. Auth. alg. Lifetime --------------------- ---- ---------------- --------------- ----------- ipsec_prop1 esp aes128 sha1 28800 sec esr# show secu rity ipsec policy Name Description Proposal -------------------- ------------------- ----------------------------------- ipsec_pol1 ipsec_prop1 Master# show security ipsec vpn configuration IPSECVPN Description: -- State: Enabled IKE: Establish tunnel: immediate IPsec policy: IPSECPOLICY IKE gateway: IKEGW IKE DSCP: 63 IKE idle-time: 0s IKE rekeying: Enabled Margin time: 540s Margin kilobytes: 0 Margin packets: 0 Randomization: 100% |
...
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
Параметры
<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2.2.1 2.2.2.2 192.168.2.0/24 192.168.1.1/32 Xauth PSK, login: ipsec Established |
...
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100.14.1 10.100.14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established |
...