...
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection interval 15 |
...
dead-peer-detection timeout
Данной командой устанавливается уровень случайного разброса периода задаётся период времени ожидания ответа на сообщения механизма DPD.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit jitter <VALUE>dead-peer-detection timeout <SEC>
no retransmit jitterdead-peer-detection timeout
Параметры
<VALUE> – максимальный процент разброса значений<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [01..100180] секунд.
Значение по умолчанию
0 %30 секунд
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-ike-gw)# retransmit jitter 50 |
retransmit limit
dead-peer-detection timeout 60 |
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKEДанной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщения.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет описание.
Синтаксис
retransmitdescription limit <SEC><DESCRIPTION>
no retransmit limitdescription
Параметры
<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.
Значение по умолчанию
0 секунд<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmitdescription limit"my 180 |
...
proposal" |
dh-group
Данной командой устанавливается базовый период времени ожидания ответа на сообщения.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в команде retransmit tries.
номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit timeout <SEC>dh-group <DH-GROUP>
no retransmit timeoutdh-group
Параметры
<SEC> – базовый период времени ожидания ответа на сообщения <DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1..30] секунд, 2, 5, 14-31].
Значение по умолчанию
4 секунды1
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-GATEWAYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmit timeout 2 |
retransmit tries
Данной командой устанавливается количество попыток повторной отправки сообщений после наступления таймаута ожидания ответа.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
dh-group 5 |
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединениягде N – номер попытки, предел которых указан в данной команде.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmitencryption triesalgorithm <TRIES><ALGORITHM>retransmit
no encryption triesalgorithm
Параметры
<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10.<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
5 попыток3des
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-GATEWAYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmitencryption triesalgorithm 3 |
dead-peer-detection timeout
aes128 |
identity
Данной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификацииДанной командой задаётся период времени ожидания ответа на сообщения механизма DPD.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет соответствие для указанного идентификатора.
Синтаксис
dead-peer-detection timeout <SEC>no dead-peer-detection timeoutПараметры
<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection timeout 60 |
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>no descriptionПараметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
KEYRING
Пример
| Блок кода |
|---|
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password
|
| Блок кода |
esr(config-ike-proposalkeyring)# description "my proposal" |
dh-group
identity dns router.example.loc pre-shared-key ascii-text password |
ike-policy
Данной командой устанавливается привязка политики протокола IKE к шлюзуДанной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет привязку политики.
Синтаксис
dh-group <DH-GROUP>no dh-group[no] ike-policy <NAME>
Параметры
<DH-GROUPNAME> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1имя политики протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSALGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-proposalgw)# dhike-grouppolicy 5 |
...
ike_pol1 |
ip prefix
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединенияуказывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Синтаксис
encryptionip algorithmprefix <ALGORITHM><ADDR/LEN>
no encryptionip algorithmprefix
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
3desНе задан.
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-PROPOSALPOOL
Пример
| Блок кода |
|---|
esr(config-ike-proposalpool)# encryptionip algorithm aes128 |
identity
prefix 192.168.0.0/16 |
keyring
Данной командой указывается набор ключей аутентификации IKEДанной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.
Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификаторанабор ключей.
Синтаксис
identity { dnskeyring <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
no keyring
Параметры
<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# keyring ike_keyring |
lifetime seconds
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime seconds <SEC>no lifetime secondsПараметры
<SEC> – период времени, принимает значения [4 ..86400] секунд.
Значение по умолчанию
10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# lifetime 21600 |
| Scroll Pagebreak |
|---|
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
Синтаксис
local address <ADDR>no local addressПараметры
<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-KEYRINGGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-keyringgw)# identitylocal ipv4address 98192.0168.127.37/32 pre-shared-key ascii-text password esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password |
ike-policy
1.1 |
local id
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509Данной командой устанавливается привязка политики протокола IKE к шлюзу.
Использование отрицательной формы команды (no) удаляет привязку политикинастройку идентификатора локального шлюза.
Синтаксис
[no] ike-policy <NAME>Параметры
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no local idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
...
10
Значение по умолчанию
Отсутствует15
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# ike-policy ike_pol1 |
ip prefix
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
local id ipv4 192.168.18.1 |
local interface
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
При использовании Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентампрекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
Синтаксис
iplocal prefixinterface <ADDR/LEN><IF>
no iplocal prefixinterface
Параметры
<ADDR/LEN> – IP-подсеть<IF> – тип и идентификатор интерфейса, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
Не задан., описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POOLGW
Пример
| Блок кода |
|---|
esr(config-poolike-gw)# iplocal interface prefix 192.168.0.0/16 |
keyring
gigabitethernet 1/0/1 |
local network
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннельДанной командой указывается набор ключей аутентификации IKE.
Использование отрицательной формы команды (no) удаляет набор ключейIP-адрес подсети отправителя.
Синтаксис
keyring <NAME>
no keyring
Параметры
<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# keyring ike_keyring |
lifetime seconds
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime seconds <SEC>no lifetime secondsПараметры
<SEC> – период времени, принимает значения [4 ..86400] секунд.
Значение по умолчанию
10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# lifetime 21600 |
| Scroll Pagebreak |
|---|
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
Синтаксис
local address <ADDR>no local addressПараметры
[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]Параметры
<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535]<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local addressnetwork 192.168.1.1 |
...
0/24 protocol tcp port 22 |
management-tunnel address
Данной командой устанавливается идентификатор локального шлюза IPsecIP-адрес туннеля , использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет настройку идентификатора локального шлюзаIP-адрес туннеля для постройки GRE management туннеля.
Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no local idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
management-tunnel address <ADDR>
no management-tunnel address
Параметры
<ADDR> –IP-адрес для постройки GRE management туннеля<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];.
Значение по умолчанию
Отсутствует<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAYPOOL
Пример
| Блок кода |
|---|
esr(config-ike-gwpool)# local id ipv4management-tunnel address 192.168.182.187 |
local interface
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
mobike disable
Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.
Использование При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюзаактивирует функцию автоматического выбора local address при недоступности описанного в конфигурации.
Синтаксис
local[ interfaceno <IF>no] localmobike interfacedisable
Параметры
...
Отсутствуют.
Значение по умолчанию
Включено<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GWGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gwgateway)# local interface gigabitethernet 1/0/1 |
...
mobike disable |
mode
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителяустанавливает значение по умолчанию.
Синтаксис
mode <MODE>[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] mode
Параметры
<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
MODE> – режим первой фазы IKE, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
main
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-GATEWAYPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-gwpolicy)# local network 192.168.1.0/24 protocol tcp port 22 |
management-tunnel address
mode aggressive |
mode
Данной командой устанавливается режим перенаправления трафика в туннельДанной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеляустанавливает значение по умолчанию.
Синтаксис
management-tunnel address <ADDR>mode <MODE>
no management-tunnel addressmode
Параметры
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
...
<MODE> – режим перенаправления трафика в туннель, принимает значения:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POOLGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-poolgw)# management-tunnel address 192.168.2.87 |
mobike disable
mode route-based |
| Якорь | ||||
|---|---|---|---|---|
|
password
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурацииудаляет пароль пользователя для IKE-GETWAY из системы.
Синтаксис
[ no ] mobike disableПараметры
Отсутствуют.
Значение по умолчанию
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символовВключено.
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-GATEWAYPROFILE
Пример
| Блок кода |
|---|
esr(config-ike-gatewayprofile)# mobikepassword disable |
mode
tteesstt |
password local-crt-key
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto)Данной командой устанавливается режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет пароль.
Синтаксис
mode <MODE>password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no password local-crt-keyno mode
Параметры
<MODE> – режим первой фазы IKE, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy) password tteesstt |
pfs dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
pfs dh-group <DH-GROUP>no pfs dh-groupПараметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1main
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKEIPSEC-POLICYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ikeisec-policyproposal)# pfs mode aggressive |
mode
dh-group 5 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих Данной командой устанавливается режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет установленный ключ.
Синтаксис
mode <MODE>no modeПараметры
<MODE> – режим перенаправления трафика в туннель, принимает значения:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no pre-shared-keyПараметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-GATEWAYPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-gwpolicy)# mode route-based |
...
pre-shared-key hexadecimal abc123 |
proposal
Данной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
Синтаксис
[no] proposal <NAME>Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# proposal ike_prop1 |
reauthentication disable
Данной командой возможно отключить процесс реаутентификации IKEv2-сессий
...
password
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системывключает процесс реаутентификации.
Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
[no] reauthentication disableНеобходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROFILEPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-profilepolicy)# password tteesstt |
password local-crt-key
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).
reauthentication disable |
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюзаИспользование отрицательной формы команды (no) удаляет пароль.
Синтаксис
password local-crt-key ascii-textremote address { <CLEAR-TEXT><ADDR> | encryptedany <HASH_SHA512> }
no password local-crt-keyremote address
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символовADDR> – IP-адрес удаленного шлюза.
any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-POLICYGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-policygw)# password tteesstt |
...
remote address 192.168.1.2 |
remote id
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединенияожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
pfs dh-group <DH-GROUP>remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no pfsremote dh-groupid
Параметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Отсутствует
Командный режим
CONFIG-IPSECIKE-PROPOSALGATEWAY
Пример
| Блок кода |
|---|
esr(config-isecike-proposalgw)# remote pfsid dh-group 5 |
...
dns router.example.loc |
remote network
Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключIP-адрес подсети отправителя.
Синтаксис
pre-shared-keyremote network { ascii-textdynamic {pool <TEXT><POOL> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no pre-shared-keyПараметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# pre-shared-key hexadecimal abc123 |
proposal
Данной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
Синтаксис
[no] proposal <NAME>Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# proposal ike_prop1 |
reauthentication disable
Данной командой возможно отключить процесс реаутентификации IKEv2-сессий.
Использование отрицательной формы команды (no) включает процесс реаутентификации.
Синтаксис
[no] reauthentication disableНеобходимый уровень привилегий
<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-POLICYGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-policygw)# reauthentication disable |
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
remote network 192.168.0.0/24 protocol tcp port 22 |
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюзаотключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote addressnetwork { <ADDR> | any }no remote addressdynamic client
Параметры
<ADDR> – IP-адрес удаленного шлюза.
Отсутствуют.
Значение по умолчанию
Отключеноany – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAYGW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network address 192.168.1.2 |
remote id
dynamic client |
retransmit jitter
Данной командой устанавливается уровень случайного разброса периода ожидания ответа на сообщенияДанной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no remote idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
устанавливает значение по умолчанию.
Синтаксис
retransmit jitter <VALUE>no retransmit jitterПараметры
<VALUE> – максимальный процент разброса значений, <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];<KEY> – текстовая строка длиной до 255 символов.100].
Значение по умолчанию
0 %
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit id dns router.example.loc |
remote network
jitter 50 |
retransmit limit
Данной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщенияДанной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителяустанавливает значение по умолчанию.
Синтаксис
remoteretransmit network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }limit <SEC>
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
retransmit limitПараметры
<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.
Значение по умолчанию
0 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# retransmit limit 180 |
retransmit timeout
Данной командой устанавливается базовый период времени ожидания ответа на сообщения.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в команде retransmit tries.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit timeout <SEC>no retransmit timeoutПараметры
<SEC> – базовый период времени ожидания ответа на сообщения принимает значения [1..30] секунд.
Значение по умолчанию
4 секундыany – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit network 192.168.0.0/24 protocol tcp port 22 |
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote network dynamic clientПараметры
timeout 2 |
retransmit tries
Данной командой устанавливается количество попыток повторной отправки сообщений после наступления таймаута ожидания ответа.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в данной команде.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit tries <TRIES>retransmit triesПараметры
<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10Отсутствуют.
Значение по умолчанию
Отключено.5 попыток
Необходимый уровень привилегий
...
Командный режим
CONFIG-IKE-GWGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit networktries dynamic client3 |
security ike gateway
Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.
...