Сравнение версий

Старая версия 1

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. Настройки IPsec VPN#passwordpassword).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

<METHOD> – метод аутентификации ключаIKE-сессии. Может принимать значения:

  • pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования;согласованные ключи, которые должны совпадать у обоих участников IKE-сессии. Ключ задается в команде pre-shared-key;
  • keyring public-key – метод аутентификации, использующий публичный ключ сертификата;xauth-pskнабор предварительно согласованных ключей. Набор ключей задается командой keyring;
  • public-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;
  • eap – метод расширенной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты;
  • приватные ключи и сертификаты X.509. Файлы сертификатов и ключей должны быть загружены в локальное хранилище маршрутизатора и указаны в конфигурации через команды crypto ca, crypto-local-crt и crypto local-crt-key;
  • trustpoint keyring – метод аутентификации, использующий набор ключей аутентификации.
Значение по умолчанию

pre-shared-key

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

  • приватные ключи и сертификаты X.509. Файлы сертификатов и ключей предоставляются PKI-клиентом, который автоматически выписывает актуальные сертификаты у удостоверяющего центра. Используемый PKI-клиент задается в команде crypto trustpoint;
  • xauth-psk-key – метод расширенной аутентификации, использующий в качестве первого фактора аутентификации предварительно согласованные ключи и пару логин-пароль пользователя в качестве второго фактора аутентификации;
  • eap – метод расширенной аутентификации, использующий приватные ключи и сертификаты X.509 для аутентификации ответчика в IKE-сессии и пару логин-пароль пользователя для аутентификации инициатора IKE-сессии.
Значение по умолчанию

pre-shared-key

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
Блок кода
esr(config-ike-proposal)# authentication method pre-shared-key

...

Данной командой указываются необходимые сертификатыисточники приватных ключей и сертификатов для использования в установлении IKE-сессии.

Использование отрицательной формы команды (no) удаляет название сертификата источник из конфигурации.

Синтаксис
crypto <CERTIFICATE-TYPE><TYPE> <NAME>
no crypto <CERTIFICATE-TYPE><TYPE>
Параметры

<CERTIFICATE-TYPE> <TYPE> тип сертификата или ключаисточника ключевой информации, может принимать следующие значения:

  • ca – сертификат имя файла сертификата удостоверяющего центра сертификации;
  • crl – список имя файла списка отозванных сертификатов удостоверяющего центра;
  • local-crt – сертификат локальной стороны;localимя файла сертификата, используемого маршрутизатором при установлении IKE-сессии;
  • local-crt-key – ключ сертификата локальной стороны– имя файла приватного ключа, используемого маршрутизатором при установлении IKE-сессии;
  • remote-crt – сертификат удаленной стороны. Вместо имени файла возможно использование ключа "any" для установления режима приема открытого ключа удаленной стороны по сети;имя файла сертификата, используемого маршрутизатором для аутентификации удаленного IKE-соседа;
  • trustpoint – имя PKI-клиента, который отвечает за автоматическую генерацию приватного ключа и выпуск сертификата у вышестоящего удостоверяющего центра для дальнейшего использования в IKE-сессии.

<NAME> – имя сертификата файла или ключаPKI-клиента, задаётся строкой до 31 символа.

...

Блок кода
esr(config-ike-gw)# dead-peer-detection interval 15

dead-peer-detection

...

timeout

Данной командой устанавливается уровень случайного разброса периода задаётся период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection retransmittimeout jitter <VALUE><SEC>
no dead-peer-detection retransmit jittertimeout
Параметры

<VALUE> – максимальный процент разброса значений<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [01..100180] секунд.

Значение по умолчанию

0 %30 секунд

Необходимый уровень привилегий

...

Блок кода
esr(config-ike-gw)# dead-peer-detection retransmittimeout jitter 50

dead-peer-detection retransmit limit

60

description

Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKEДанной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.

Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет описание.

Синтаксис
dead-peer-detection retransmit limit <SEC>description <DESCRIPTION>
no dead-peer-detection retransmit limitdescription
Параметры

<SEC> – максимальный период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [15..300] секунд.

Значение по умолчанию

0 секунд<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-PROPOSAL

CONFIG-IKE-POLICY

CONFIG-IKE-KEYRING

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gwproposal)# dead-peer-detection retransmit limit 180

dead-peer-detection retransmit timeout

Данной командой устанавливается базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.

Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:

"dead-peer-detection retransmit timeout" * 1.8 ^ (N-1),

где N – номер попытки, предел которых указан в команде dead-peer-detection retransmit tries.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection retransmit timeout <SEC>
no dead-peer-detection retransmit timeout
Параметры

<SEC> – базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [1..30] секунд.

Значение по умолчанию

4 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

description "my proposal"

dh-group

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dh-group <DH-GROUP>
no dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSAL

Пример
Блок кода
esr(config-ike-gwproposal)# deaddh-peer-detection retransmit timeout 2

dead-peer-detection retransmit tries

Данной командой устанавливается количество попыток повторной отправки сообщений механизма DPD после наступления таймаута ожидания ответа при использовании протокола IKE версии 2.

Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в команде dead-peer-detection retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:

"dead-peer-detection retransmit timeout" * 1.8 ^ (N-1),

где N – номер попытки, предел которых указан в данной команде.

group 5

encryption algorithm

Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.

Использование Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection retransmit tries <TRIES>encryption algorithm <ALGORITHM>
no dead-peer-detection retransmit triesencryption algorithm
Параметры

<TRIES> – количество попыток повторной отправки сообщений механизма DPD в случае наступления таймаута ожидания ответа при использовании протокола IKE версии 2, принимает значения от 1 до 10<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

Значение по умолчанию

5 попыток3des

Необходимый уровень привилегий

1015

Командный режим

CONFIG-IKE-GATEWAYPROPOSAL

Пример
Блок кода
esr(config-ike-gwproposal)# dead-peer-detection retransmit tries 3

dead-peer-detection timeout

encryption algorithm aes128

identity

Данной командой устанавливается соответствие идентификатора IPsec-клиента и ключа PSK, который будет использован при аутентификацииДанной командой задаётся период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1.

Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет соответствие для указанного идентификатора.

Синтаксис
dead-peer-detection timeout <SEC>
no dead-peer-detection timeout
Параметры

<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.

Значение по умолчанию

30 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# dead-peer-detection timeout 60

description

Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.

Использование отрицательной формы команды (no) удаляет описание.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-PROPOSAL

CONFIG-IKE-POLICY

CONFIG-IKE-KEYRING

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-proposal)# description "my proposal"

dh-group

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dh-group <DH-GROUP>
no dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSAL

Пример
Блок кода
esr(config-ike-proposal)# dh-group 5

encryption algorithm

identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);

<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-KEYRING

Пример
Блок кода
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password
esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password

ike-policy

Данной командой устанавливается привязка политики протокола IKE к шлюзуДанной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет привязку политики.

Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm[no] ike-policy <NAME>
Параметры

<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

Значение по умолчанию

3des

<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSALGATEWAY

Пример
Блок кода
esr(config-ike-proposalgw)# encryption algorithm aes128

identity

ike-policy ike_pol1

ip prefix

Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентамДанной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.

Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификаторапул адресов, из которого адреса будут выдаваться IPsec-клиентам.

Синтаксис
identity { dns <NAME> | ipv4ip prefix <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 ip prefix
Параметры

<ADDR/LEN>

...

Параметры

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/– IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA DDD принимает значения [0..255] и EE принимает значения [1..32];

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);

<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

.

Значение по умолчанию

Не задан.

Необходимый уровень привилегий

10

Командный режим

CONFIG-POOL

Пример
Блок кода
esr(config-pool)# ip prefix 192.168.0.0/16

Якорь
keyring
keyring
keyring

Данной командой указывается набор ключей аутентификации IKE.

Использование отрицательной формы команды (no) удаляет набор ключей.

Синтаксис
keyring <NAME>
no keyring
Параметры

<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-KEYRINGPOLICY

Пример
Блок кода
esr(config-ike-keyringpolicy)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password
esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password

ike-policy

keyring ike_keyring

lifetime seconds

Данной командой задаётся время жизни соединения протокола IKEДанной командой устанавливается привязка политики протокола IKE к шлюзу.

Использование отрицательной формы команды (no) удаляет привязку политикиустанавливает значение по умолчанию.

Синтаксис
lifetime seconds <SEC>
[no] ike-policylifetime <NAME>seconds
Параметры

<NAMESEC> – имя политики протокола IKE, задаётся строкой до 31 символа.период времени, принимает значения [4 ..86400] секунд.

Значение по умолчанию

10800 секунд

Необходимый уровень привилегий

1510

Командный режим

CONFIG-IKE-GATEWAYPOLICY

Пример
Блок кода
esr(config-ike-gwpolicy)# ike-policy ike_pol1

ip prefix

lifetime 21600

local address

Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеляДанной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.

Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентамIP-адрес локального шлюза.

Синтаксис
iplocal prefixaddress <ADDR/LEN><ADDR>
no iplocal prefixaddress
Параметры

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

Значение по умолчанию

Не задан.

<ADDR> – IP-адрес локального шлюза.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-POOLGATEWAY

Пример
Блок кода
esr(config-poolike-gw)# iplocal prefixaddress 192.168.01.0/16

...

1

local id

Данной командой указывается набор ключей аутентификации IKEустанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK) в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509 в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.

Использование отрицательной формы команды (no) удаляет набор ключейнастройку идентификатора локального шлюза.

Синтаксис
keyring <NAME>
no keyring
Параметры
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no local id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<KEY> – текстовая строка длиной до 255 символов<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

...

10

Значение по умолчанию

Отсутствует15

Командный режим

CONFIG-IKE-POLICYGATEWAY

Пример
Блок кода
esr(config-ike-policygw)# local id keyring ike_keyring

lifetime seconds

Данной командой задаётся время жизни соединения протокола IKE.

ipv4 192.168.18.1

local interface

Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.

При использовании Использование отрицательной формы команды (no) устанавливает значение по умолчаниюпрекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.

Синтаксис
lifetimelocal secondsinterface <SEC><IF>
no lifetimelocal secondsinterface
Параметры

<SECIF> – период времени, принимает значения [4 ..86400] секунд.

Значение по умолчанию

10800 секундтип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-POLICYGW

Пример
Блок кода
esr(config-ike-policygw)# local lifetime 21600interface gigabitethernet 1/0/1

local

...

network

Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеляподсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.

Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюзаподсети отправителя.

Синтаксис
[no] local address <ADDR>no local address network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
Параметры

<ADDR/LEN> – IP-адрес локального шлюза.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# local address 192.168.1.1

local id

Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.

Использование отрицательной формы команды (no) удаляет настройку идентификатора локального шлюза.

Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no local id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535]<KEY> – текстовая строка длиной до 255 символов.

Необходимый уровень привилегий

10

Значение по умолчанию

Отсутствует

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# local id ipv4network 192.168.18.1

...

1.0/24 protocol tcp port 22

management-tunnel address

Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).

Использование При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюзаудаляет IP-адрес туннеля для постройки GRE management туннеля.

Синтаксис
localmanagement-tunnel interfaceaddress <IF><ADDR>
no localmanagement-tunnel interfaceaddress
Параметры

<IF> – тип и идентификатор интерфейса<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде , описанном в разделе Типы и порядок именования интерфейсов маршрутизатораAAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GWPOOL

Пример
Блок кода
esr(config-ike-gwpool)# localmanagement-tunnel interface gigabitethernet 1/0/1

local network

address 192.168.2.87

mobike disable

Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.

Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителяактивирует функцию автоматического выбора local address при недоступности описанного в конфигурации.

Синтаксис
[ no ] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
Параметры

<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535].

Необходимый уровень привилегий
mobike disable
Параметры

Отсутствуют.

Значение по умолчанию

Включено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gateway)# mobike disable

mode

Данной командой устанавливается режим согласования первой фазы протокола IKE.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим первой фазы IKE, принимает значения:

  • main – состоит из трех двусторонних обменов между отправителем и получателем:
    • Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
    • Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
    • Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
  • aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
    • В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
    • Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
    • В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию

main

Необходимый уровень привилегий

1510

Командный режим

CONFIG-IKE-GATEWAYPOLICY

Пример
Блок кода
esr(config-ike-gwpolicy)# local network 192.168.1.0/24 protocol tcp port 22

management-tunnel address

mode aggressive

Scroll Pagebreak

mode

Данной командой устанавливается режим перенаправления трафика в туннельДанной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).

Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеляустанавливает значение по умолчанию.

Синтаксис
management-tunnel address <ADDR>mode <MODE>
no management-tunnel addressmode
Параметры

<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Значение по умолчанию

Отсутствует.

<MODE> – режим перенаправления трафика в туннель, принимает значения:

  • policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
  • route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий

10

Командный режим

CONFIG-POOLIKE-GATEWAY

Пример
Блок кода
esr(config-ike-poolgw)# mode management-tunnel address 192.168.2.87

mobike disable

route-based

Якорь
password
password

password

Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.

Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурацииудаляет пароль пользователя для IKE-GETWAY из системы.

Синтаксис
[ no ] mobike disable
Параметры

Отсутствуют.

Значение по умолчанию
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символовВключено.

Необходимый уровень привилегий

1015

Командный режим

CONFIG-IKE-GATEWAYPROFILE

Пример
Блок кода
esr(config-ike-gatewayprofile)# mobikepassword disable

mode

tteesstt

password local-crt-key

Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto)Данной командой устанавливается режим согласования первой фазы протокола IKE.

Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет пароль.

Синтаксис
mode <MODE>
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password local-crt-keyno mode
Параметры

<MODE> – режим первой фазы IKE, принимает значения:

  • main – состоит из трех двусторонних обменов между отправителем и получателем:
    • Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
    • Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
    • Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
  • aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
    • В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
    • Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
    • В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию

CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
Блок кода
esr(config-ike-policy) password tteesstt

pfs dh-group

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1main

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKEIPSEC-POLICYPROPOSAL

Пример
Блок кода
esr(config-ikeisec-policyproposal)# mode aggressive

mode

pfs dh-group 5

Якорь
ike-policy pre-shared-key
ike-policy pre-shared-key
pre-shared-key

Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих Данной командой устанавливается режим перенаправления трафика в туннель.

Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет установленный ключ.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим перенаправления трафика в туннель, принимает значения:

  • policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
  • route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# mode route-based

...

pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no pre-shared-key
Параметры

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);

<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Значение по умолчанию

none

...

password

Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.

Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.

Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-PROFILEIKE-POLICY

Пример
Блок кода
esr(config-ike-profilepolicy) password tteesstt

password local-crt-key

# pre-shared-key hexadecimal abc123

proposal

Данной командой устанавливается привязка профиля протокола IKE к политикеДанная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).

Использование отрицательной формы команды (no) удаляет парольпривязку профиля протокола IKE.

Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password local-crt-key[no] proposal <NAME>
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].<HASH_SHA512> – хеш пароля по алгоритму sha512NAME> – имя профиля протокола IKE, задаётся строкой до 110 символов31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
Блок кода
esr(config-ike-policy)# passwordproposal tteesstt

...

ike_prop1

reauthentication disable

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1

возможно отключить процесс реаутентификации IKEv2-сессий.

Использование отрицательной формы команды (no) включает процесс реаутентификации.

Синтаксис
[no] reauthentication disable
Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSECIKE-PROPOSALPOLICY

Пример
Блок кода
esr(config-isecike-proposalpolicy)# pfs dh-group 5

...

reauthentication disable

remote address

Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.

Использование отрицательной формы команды (no) удаляет установленный ключIP-адрес удаленного шлюза.

Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> }remote address { <ADDR> | any }
no pre-shared-keyremote address
Параметры

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);

<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Значение по умолчанию

none

Необходимый уровень привилегий

<ADDR> – IP-адрес удаленного шлюза.

any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.

Необходимый уровень привилегий

1015

Командный режим

CONFIG-IKE-POLICYGATEWAY

Пример
Блок кода
esr(config-ike-policygw)# pre-shared-key hexadecimal abc123

proposal

Данной командой устанавливается привязка профиля протокола IKE к политике.

Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.

Синтаксис
[no] proposal <NAME>
Параметры

<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
Блок кода
esr(config-ike-policy)# proposal ike_prop1

remote address

remote address 192.168.1.2

remote id

Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля,  получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключейДанной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес настройку ожидаемого идентификатора удаленного шлюза.

Синтаксис
remote addressid { any | dns <NAME> | ipv4 <ADDR> | anykeyid <KEY> }
no remote address
Параметры

<ADDR> – IP-адрес удаленного шлюза.

id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<KEY> – текстовая строка длиной до 255 символовany – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.

Необходимый уровень привилегий

10

Значение по умолчанию

Отсутствует

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# remote id addressdns 192router.168example.1.2loc

remote

...

network

Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля,  получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключейIP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.

Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюзаIP-адрес подсети отправителя.

Синтаксис
remote idnetwork { dynamic pool any<POOL> | dns <NAME> | ipv4 <ADDR> | keyid <KEY> <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
no remote id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

 network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
Параметры

<POOL> – выделенный динамический пул адресов для клиентов XAUTH;

<ADDR/LEN> – IP-подсеть получателя. Параметр <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

<KEY> – текстовая строка длиной до 255 символов.

Необходимый уровень привилегий

10

Значение по умолчанию

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535];

any – ключ, указывающий на необходимость шифрования любого исходящего трафика.

Необходимый уровень привилегий

10Отсутствует

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# remote id dns router.example.locnetwork 192.168.0.0/24 protocol tcp port 22

remote network dynamic client

Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.включается получение списка удаленных сетей от IPsec-VPN-сервера.

При использовании Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителяотключается получение списка удаленных сетей от IPsec-VPN-сервера.

Синтаксис
[no] remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
Параметры

<POOL> – выделенный динамический пул адресов для клиентов XAUTH;

<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535];

client
Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GW

Пример
Блок кода
esr(config-ike-gw)# remote network dynamic client

retransmit jitter

Данной командой устанавливается уровень случайного разброса периода ожидания ответа на сообщения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
retransmit jitter <VALUE>
no retransmit jitter
Параметры

<VALUE> – максимальный процент разброса значений, принимает значения [0..100].

Значение по умолчанию

0 %

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# retransmit jitter 50

retransmit limit

Данной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
retransmit limit <SEC>
no retransmit limit
Параметры

<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.

Значение по умолчанию

0 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# retransmit limit 180

retransmit timeout

Данной командой устанавливается базовый период времени ожидания ответа на сообщения.

Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:

"retransmit timeout" * 1.8 ^ (N-1),

где N – номер попытки, предел которых указан в команде retransmit tries.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
retransmit timeout <SEC>
no retransmit timeout
Параметры

<SEC> – базовый период времени ожидания ответа на сообщения принимает значения [1..30] секунд.

Значение по умолчанию

4 секундыany – ключ, указывающий на необходимость шифрования любого исходящего трафика.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
Блок кода
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22

remote network dynamic client

Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.

При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.

Синтаксис
[no] remote network dynamic client
Параметры
)# retransmit timeout 2

retransmit tries

Данной командой устанавливается количество попыток повторной отправки сообщений после наступления таймаута ожидания ответа.

Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:

"retransmit timeout" * 1.8 ^ (N-1),

где N – номер попытки, предел которых указан в данной команде.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
retransmit tries <TRIES>
retransmit tries
Параметры

<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10Отсутствуют.

Значение по умолчанию

Отключено.5 попыток

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GWGATEWAY

Пример
Блок кода
esr(config-ike-gw)# remoteretransmit networktries dynamic client3

security ike gateway

Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.

Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.

Синтаксис
[no] security ike gateway <NAME>

...

<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)#

...

Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.

Синтаксис
[no] security ike keyring <NAME>

...

<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все наборы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security ike keyring ike_keyring1
esr(config-ike-gw)#

...

Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.

Синтаксис
[no] security ike policy <NAME>

...

<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-политики.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)#

...

Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.

Синтаксис
[no] security ike proposal <NAME>

...

<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)#

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security ike session reauthentication <MODE>
no security ike session reauthentication

...

Параметры
<MODE> – режим повторной аутентификации ассоциации безопасности IKE в протоколе IKE версии 2, принимает следующие значения:
...
Значение по умолчанию
break-before-make
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
 Блок  кода
esr(config)# security ike session reauthentication make-before-break 
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
...
Значение по умолчанию
never
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
 Блок  кода
esr(config)# security ike session uniqueids replace 
...
Команда используется для просмотра списка шлюзов, политик или профилей.
Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]
...
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
 Блок  кода
esr# show security ike proposal
   Proposal
   ~~~~~~~~
Name           Auth      Encryption         DH   Hash         Lifetime
------------   -------   ----------------   --   ----------   ----------
aaa            pre-sha   3des               1    sha1         3600
               red-key
 esr# show security ike policy
   Policy
   ~~~~~~
Name                           Mode         Proposal
----------------------------   ----------   -----------------------------------
ike_pol1                       main         ike_prop1
 esr# show security ike gateway ik_gw
Description:                --
IKE Policy:                 ike_pol1
IKE Version:                v1-only
Mode:                       route-based
Binding interface:          vti1
IKE Dead Peer Detection:
    Action:                 none
    Interval:               2
    Timeout:                30
...
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
Синтаксис
[no] user <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ACCESS-PROFILE
Пример
 Блок  кода
esr(config-access-profile)# user connecter963
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
version <VERSION>
no version
...
Значение по умолчанию
v1-only
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
 Блок  кода
esr(config-ike-gw)# version v2-only
...
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
...
<ALGORITHM> – алгоритм аутентификации, принимает значения: none, md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
 Блок  кода
esr(config-ipsec-proposal)# authentication algorithm md5
...
Данной командой осуществляется сброс одного из текущих VPN-соединений.
Синтаксис
clear security ipsec vpn  [ vrf <VRF> ] <NAME>
...
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
 Блок  кода
esr# clear security ipsec vpn IPSEC_MAIN_OFFICE
...
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
...
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
Пример
 Блок  кода
esr(config-ipsec-vpn)# description "VPN to Moscow Office"
...
Использование отрицательной формы команды (no) деактивирует IPsec VPN.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# enable
...
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
...
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
 Блок  кода
esr(config-ipsec-proposal)# encryption algorithm blowfish128
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ike dscp <DSCP>
no ike dscp
...
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike dscp 40
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike establish-tunnel <MODE>
...
  • by-request – соединение активируется встречной стороной;
  • route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
  • immediate – туннель активируется автоматически после применения конфигурации. Если произойдет закрытие соединения от удаленной стороны VPN при использовании режима immediate, тогда установить соединение повторно будет возможно только после перезагрузки маршрутизатора или перезапуске VPN через CLI маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike establish-tunnel route
...
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike gateway <NAME>
no ike gateway
...
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike gateway ike_gw1
...
Использование отрицательной формы команды (no) отключает данный таймер.
Синтаксис
ike idle-time <TIME>
no ike idle-time
...
<TIME> – интервал в секундах, принимает значения [4..86400].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike idle-time 3600
...
Использование отрицательной формы команды (no) включает пересогласование ключей.
Синтаксис
[no] ike rekey disable
Параметры
...
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike rekey disable
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> } 
...
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. Настройки IPsec VPN#lifetime lifetime). Принимает значения [4..86400]. 
<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. Настройки IPsec VPN#lifetime lifetime). Принимает значения [4..86400].
<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. Настройки IPsec VPN#lifetime lifetime). Принимает значения [4..86400].
...
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike rekey margin seconds 1800
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike rekey randomization <VALUE>
...
Значение по умолчанию
100%
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike rekey randomization 10
...
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode
Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
...
<NAME> – имя IPsec-политики, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
...
Значение по умолчанию
3600 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-POLICY
Пример
 Блок  кода
esr(config-ipsec-proposal)# lifetime seconds 3600
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual authentication algorithm <ALGORITHM>
...
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual authentication algorithm sha1
...
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
...
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual bind-interface vti <VTI>
...
  • ESR-10/12V/12VF/15/15R/15VF – [1..10];
  • ESR-20/21/30/31/100/200 – [1..250];
  • ESR-1000/1200/1500/1511/1700/3100/3200/3200L/3300 – [1..500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual bind-interface vti 0
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption algorithm <ALGORITHM>
...
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28
...
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
...
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456
...
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
manual mode <MODE>
no manual mode
...
  • policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
  • route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual mode route-based
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual protocol <TYPE>
no manual protocol
...
  • ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
  • esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual protocol ah
...
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
Синтаксис
manual spi <HEX>
no manual spi
...
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# manual spi FF
...
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
Синтаксис
mode <MODE>
no mode
Параметры
...
  • ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
  • manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-ipsec-vpn)# mode ike
...
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-POLICY
Пример
 Блок  кода
esr(config-ipsec-policy)# proposal ipsec_prop1
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
 Scroll Pagebreak
Параметры
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
  • ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
  • esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
 Блок  кода
esr(config-ipsec-proposal)# protocol ah
...
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
Синтаксис
[no] security ipsec policy <NAME>
...
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
 Блок  кода
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)#
...
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
Синтаксис
[no] security ipsec proposal <NAME>
...
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
 Блок  кода
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)#
...
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
Синтаксис
[no] security ipsec vpn <NAME>
...
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
 Блок  кода
esr(config)# security ipsec vpn ipsec_vpn1
esr(config-ipsec-vpn)#
...
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]
...
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
 Блок  кода
esr# show security ipsec proposal
   Proposal
   ~~~~~~~~
Name                    Prot   Enc. alg.          Auth. alg.        Lifetime
---------------------   ----   ----------------   ---------------   -----------
ipsec_prop1             esp    aes128             sha1              28800 sec
esr# show secu	rity ipsec policy
Name                   Description           Proposal
--------------------   -------------------   -----------------------------------
ipsec_pol1                                   ipsec_prop1
Master# show security ipsec vpn configuration IPSECVPN
Description:                --
State:                      Enabled
IKE:
    Establish tunnel:           immediate
    IPsec policy:               IPSECPOLICY
    IKE gateway:                IKEGW
    IKE DSCP:                   63
    IKE idle-time:              0s
    IKE rekeying:               Enabled
        Margin time:                540s
        Margin kilobytes:           0
        Margin packets:             0
        Randomization:              100%
...
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
...
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
Необходимый уровень привилегий
10
Командный режим
...
ROOT
Пример
 Блок  кода
esr# show security ipsec vpn authentication
Local host        Remote host       Local subnet          Remote subnet         Authentication                   
ROOT
Пример
 Блок  кода
esr# show security ipsec vpn authentication
Local host  Remote host  Local subnet    Remote subnet   Authentication           State 
---------------   ---------------   -------------------   -------------------   -----------------------------------------   ----------- 
2.2.2.1           2.2.2.2           192.168.2.0/24        192.168.1.1/32        Xauth PSK, login: ipsec                     Established
show security ipsec vpn status
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
...
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
 Блок  кода
esr# show security ipsec vpn status
Name      Local host   Remote host  Initiator spi       Responder spi        State
--------- ------------ ------------ ---------------     ---------------      ------
ipsec_vpn1 10.100.14.1 10.100.14.2  0x05d8e0ac3543f0cb  0xcfa1c4179d001154   Established
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
type <TYPE>
no type
 Scroll Pagebreak
Параметры
<TYPE> – тип инкапсуляции IPsec, принимает значения:
...
Значение по умолчанию
tunnel
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
 Блок  кода
esr(config-access-vpn)# type transport
...