...
| Блок кода |
|---|
esr(config-ike-gw)# bind-interface vti 1 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой указываются необходимые сертификаты.
...
| Блок кода |
|---|
esr(config-profile) password tteesstt |
password local-crt-key
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды certificate)
Использование отрицательной формы команды (no) удаляет пароль .
Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш-пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy) password tteesstt |
pfs dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-isec-proposal)# pfs dh-group 5 |
...
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII символов;
...
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# pre-shared-key hexadecimal abc123 |
...
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# proposal ike_prop1 |
...
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
remote address { <ADDR> | any }no remote address
Параметры
<ADDR> – IP-адрес удаленного шлюза.
any - ключ позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote address 192.168.1.2 |
...
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
...
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22 |
...
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote network dynamic client
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network dynamic client |
...
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
Синтаксис
[no] security ike gateway <NAME>
Параметры
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# |
...
Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.
Синтаксис
[no] security ike policy <NAME>
Параметры
<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike policy ike_pol1 esr(config-ike-policy)# |
...
Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации, метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
[no] security ike proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
Параметры
<MODE> – режим пере-подключения, принимает следующие значения:
...
Значение по умолчанию
never
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ike session uniqueids replace |
...
Команда используется для просмотра списка шлюзов, политик или профилей.
Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]Параметры
gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;
...
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ike proposal
Proposal
~~~~~~~~
Name Auth Encryption DH Hash Lifetime
------------ ------- ---------------- -- ---------- ----------
aaa pre-sha 3des 1 sha1 3600
red-key
esr# show security ike policy
Policy
~~~~~~
Name Mode Proposal
---------------------------- ---------- -----------------------------------
ike_pol1 main ike_prop1
esr# show security ike gateway ik_gw
Description: --
IKE Policy: ike_pol1
IKE Version: v1-only
Mode: route-based
Binding interface: vti1
IKE Dead Peer Detection:
Action: none
Interval: 2
Timeout: 30 |
...
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
Синтаксис
[no] user <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ACCESS-PROFILE
Пример
| Блок кода |
|---|
esr(config-access-profile)# user connecter963 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
version <VERSION>
no version
Параметры
<version> – версия IKE-протокола: v1-only или v2-only.
Значение по умолчанию
v1-only
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# version v2-only |
...
Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
[no] xauth access-profile <NAME> [client <USER-NAME>
Параметры
<NAME> – название локального списка пользователей XAUTH, задаётся строкой до 31 символа;
<USER-NAME> – имя пользователя из прикрепленного xauth-профия, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gateway)# xauth access-profile OFFICE |
...
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# authentication algorithm md5 |
...
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# description "VPN to Moscow Office" |
...
Использование отрицательной формы команды (no) деактивирует IPSEC VPN.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# enable |
...
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# encryption algorithm blowfish128 |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ike dscp <DSCP>
no ike dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike dscp 40 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike establish-tunnel <MODE>
no Ike establish-tunnel
Параметры
<MODE> – режим активации VPN:
- by-request – соединение активируется встречной стороной;
- route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
- immediate – туннель активируется автоматически после применения конфигурации.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike establish-tunnel route |
...
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike gateway <NAME>
no ike gateway
Параметры
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike gateway ike_gw1 |
...
Использование отрицательной формы команды (no) отключает данный таймер.
Синтаксис
ike idle-time <TIME>
no ike idle-time
Параметры
<TIME> – интервал в секундах, принимает значения [4..86400]
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike idle-time 3600 |
...
Использование отрицательной формы команды (no) включает пересогласование ключей.
Синтаксис
[no] ike rekey disable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey disable |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> } no ike rekey margin { seconds | packets | kilobytes } Параметры
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. lifetime). Принимает значения [4..86400].
...
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey margin seconds 1800 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike rekey randomization <VALUE>
no ike rekey randomization
Параметры
<VALUE> – максимальный процент разброса значений, принимает значения [1..100]
Значение по умолчанию
100%
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike rekey randomization 10 |
...
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
Параметры
<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }no lifetime { seconds | packets | kilobytes }Параметры
<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд.
...
Значение по умолчанию
3600 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# lifetime seconds 3600 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual authentication algorithm sha1 |
...
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }no manual authentication key
Параметры
<TEXT> – строка [1..64] ASCII символов;
...
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual bind-interface vti <VTI>
no manual bind-interface vti
Параметры
<VTI> – индекс интерфейса VTI, принимает значения:
...
ESR-1000/1200/1500/1511/1700 – [1..500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual bind-interface vti 0 |
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
Параметры
<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28 |
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no manual encryption key
Параметры
<TEXT> – строка [1..36] ASCII символов;
...
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456 |
...
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
manual mode <MODE>
no manual mode
Параметры
<MODE> – режим прохождения трафика:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual mode route-based |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual protocol <TYPE>
no manual protocol
Параметры
<TYPE> – тип протокола, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual protocol ah |
...
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
Синтаксис
manual spi <HEX>
no manual spi
Параметры
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# manual spi FF |
...
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим работы VPN:
- ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
- manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
| Блок кода |
|---|
esr(config-ipsec-vpn)# mode ike |
...
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-POLICY
Пример
| Блок кода |
|---|
esr(config-ipsec-policy)# proposal ipsec_prop1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
| Блок кода |
|---|
esr(config-ipsec-proposal)# protocol ah |
...
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
Синтаксис
[no] security ipsec policy <NAME>
Параметры
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# |
...
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
Синтаксис
[no] security ipsec proposal <NAME>
Параметры
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)# |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
Синтаксис
[no] security ipsec vpn <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)# |
...
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]Параметры
vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;
...
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec proposal
Proposal
~~~~~~~~
Name Prot Enc. alg. Auth. alg. Lifetime
--------------------- ---- ---------------- --------------- -----------
ipsec_prop1 esp aes128 sha1 28800 sec
esr# show secu rity ipsec policy
Name Description Proposal
-------------------- ------------------- -----------------------------------
ipsec_pol1 ipsec_prop1
Master# show security ipsec vpn configuration IPSECVPN
Description: --
State: Enabled
IKE:
Establish tunnel: immediate
IPsec policy: IPSECPOLICY
IKE gateway: IKEGW
IKE DSCP: 63
IKE idle-time: 0s
IKE rekeying: Enabled
Margin time: 540s
Margin kilobytes: 0
Margin packets: 0
Randomization: 100% |
...
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
Параметры
<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2.2.1 2.2.2.2 192.168.2.0/24 192.168.1.1/32 Xauth PSK, login: ipsec Established |
...
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100.14.1 10.100.14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established |
...