История страницы

esr(config)# security ike proposal <NAME>

esr(config-ike-proposal)# description<DESCRIPTION>

esr(config-ike-proposal)# authentication algorithm <ALGORITHM>

esr(config-ike-proposal)# encryption algorithm <ALGORITHM>

esr(config-ike-proposal)# dh-group <DH-GROUP>

esr(config)# security ike policy <NAME>

<NAME> – имя политики IKE, задаётся строкой до 31 символа.

Определить режим аутентификации.

esr(config-ike-policy)# authentication method <METHOD>

<METHOD> – метод аутентификации IKE-сессии. Может принимать значения:

• pre-shared-key – метод аутентификации, использующий предварительно согласованные ключи, которые должны совпадать у обоих участников IKE-сессии;
• keyring – метод аутентификации, использующий набор предварительно согласованных ключей;
• public-key – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей должны быть загружены в локальное хранилище маршрутизатора;
• trustpoint – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей предоставляются PKI-клиентом, который автоматически выписывает актуальные сертификаты у удостоверяющего центра;
• xauth-psk-key – метод расширенной аутентификации, использующий в качестве первого фактора аутентификации предварительно согласованные ключи и пару логин-пароль пользователя в качестве второго фактора аутентификации;
• eap – метод расширенной аутентификации, использующий приватные ключи и сертификаты X.509 для аутентификации ответчика в IKE-сессии и пару логин-пароль пользователя для аутентификации инициатора IKE-сессии.

esr(config-ike-policy)# lifetime seconds <SEC>

<SEC> – период времени, принимает значения [4 ..86400] секунд.

Значение по умолчанию: 10800.

esr(config-ike-policy)# proposal <NAME>

esr(config-ike-policy)#pre-shared-key ascii-text<TEXT>

esr(config)# security ike gateway <NAME>

esr(config-ike-gw)# ike-policy <NAME>

esr(config-ike-gw)# version <VERSION>

esr(config-ike-gw)#mode<MODE>

<MODE> – режим перенаправления трафика в туннель, принимает значения:

• policy - based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
• route - based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.

esr(config-ike-gw)# dead-peer-detection action <MODE>

<MODE> – режим работы DPD:

• restart – соединение переустанавливается;
• clear – соединение останавливается;
• hold – соединение поддерживается;
• none – механизм выключен, никаких действий не предпринимается.

esr(config-ike-gw)#dead-peer-detection interval <SEC>

17

Указать период времени ожидания ответа на сообщения механизма DPD (необязательно).

esr(config-ike-gw)# dead-peer-detection timeout <SEC>

<SEC> – период времени ожидания ответа на сообщения механизма DPD принимает значения [1..180] секунд.

Значение по умолчанию: 30 секунд.

<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:

"retransmit timeout" * 1.8 ^ (N-1), где N - номер попытки.

Значение по умолчанию: 5 попыток.

<VALUE> – максимальный процент разброса значений, принимает значения [0..100].

Значение по умолчанию: 0 %

<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.

Значение по умолчанию: 0 секунд, у периода нет верхнего предела.

22

Установить IP-адрес удаленного шлюза IPsec-туннеля.

esr(config-ike-gw)#remote address <ADDR>

<ADDR> – IP-адрес удаленного шлюза.

23

Установить IP-адрес подсети получателя, а также IP-протокол и порт.

esr(config-ike-gw)# remote network <ADDR/LEN>
[ protocol { <TYPE> | <ID> } [ port <PORT> ] ]

<ADDR/LEN> – IP-адрес и маска подсети отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535].

24

Создать в профиль IPsec.

esr(config)# security ipsec proposal <NAME>

<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.

25

Определить алгоритм аутентификации для IPsec.

esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>

<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.

26

Определить алгоритм шифрования для IPsec.

esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>

<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

27

Указать протокол (необязательно).

esr(config-ipsec-proposal)#protocol <PROTOCOL>

<PROTOCOL> – инкапсулирующий протокол, принимает значения

• ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
• esp – данный протокол осуществляет аутентификацию и шифрование трафика.

Значение по умолчанию: esp.

28

Создать политику для профиля IPsec и перейти в режим её конфигурирования.

esr(config)# security ipsec policy <NAME>

<NAME> – имя политики IPsec, задаётся строкой до 31 символа.

29

Привязать политику к профилю.

esr(config-ipsec-policy)# proposal <NAME>

<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.

30

Задать время жизни IPsec-туннеля (необязательно).

esr(config-ipsec-policy)# lifetime { seconds <SEC> |
packets <PACKETS> | kilobytes <KB> }

<SEC> – период времени жизни IPsec-туннеля, по истечении которого происходит пересогласование. Принимает значения [1140..86400] секунд.

<PACKETS> – количество пакетов, после передачи которых происходит пересогласование IPsec-туннеля. Принимает значения [4..86400].

<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд.

31

Отключить реаутентификацию IKE-сессии (необязательно).

esr(config-ipsec-policy)# reauthentication disable

32

Создать IPsec VPN и перейти в режим конфигурирования.

esr(config)# security ipsecvpn <NAME>

<NAME> – имя VPN, задаётся строкой до 31 символа.

33

Определить режим согласования данных, необходимых для активации VPN.

esr(config-ipsec-vpn)# mode <MODE>

<MODE> – режим работы VPN.

34

Привязать IPsec политику к VPN.

esr(config-ipsec-vpn)#ike ipsec-policy <NAME>

<NAME> – имя IPsec-политики, задаётся строка до 31 символа.

35

Задать значение DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола (необязательно).

esr(config-ipsec-vpn)#ike dscp <DSCP>

DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

36

Установить режим активации VPN.

esr(config-ipsec-vpn)#ike establish-tunnel <MODE>

<MODE> – режим активации VPN:

• by - request – соединение активируется встречной стороной;
• route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
• immediate – туннель активируется автоматически после применения конфигурации.

37

Осуществить привязка IKE-шлюза к VPN.

esr(config-ipsec-vpn)# ike gateway <NAME>

<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.

38

Установить значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA (необязательно).

esr(config-ipsec-vpn)# ike idle-time <TIME>

<TIME> – интервал в секундах, принимает значения [4..86400].

39

Отключить пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт (необязательно).

esr(config-ipsec-vpn)#ike rekey disable

40

Настроить начало пересогласования ключей IKE-соединения до истечения времени жизни (необязательно).

esr(config-ipsec-vpn)# Ike rekey margin { seconds <SEC> |
packets <PACKETS> | kilobytes <KB> }

<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetimeseconds) . Принимает значения [4..86400].

<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetimepackets). Принимает значения [4..86400].

<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetimekilobytes). Принимает значения [4..86400]

41

Установить уровень случайного разброса значений параметров marginseconds, marginpackets, marginkilobytes (необязательно).

esr(config-ipsec-vpn)# ike rekey randomization <VALUE>

<VALUE> – максимальный процент разброса значений, принимает значения [1..100].

42

Описать VPN (необязательно).

esr(config-ipsec-vpn)# description <DESCRIPTION>

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

43

Активировать IPsec VPN.

esr(config-ipsec-vpn)# enable