История страницы

...

Конфигурирование Hub.
Создадим туннель GRE:
Блок кода
esr# configure esr(config)# tunnel gre 5
Укажем IP-адрес интерфейса, граничащего с ISP:
Блок кода
esr(config-gre)# local address 150.115.0.5

Зададим значение MTU:

Блок кода
esr(config-gre)# mtu 1416

Установим значение ttl:

Блок кода
esr(config-gre)# ttl 16

Отключим firewall:

Блок кода
esr(config-gre)# ip firewall disable

Scroll Pagebreak

Зададим IP-адрес GRE-туннеля:

Блок кода
esr(config-gre)# ip address 10.10.0.5/24

Переведём GRE-туннель в mutipoint режим для возможности соединения с несколькими точками:

Блок кода
esr(config-gre)# multipoint

Перейдём к настройке NHRP. Настроим отправку мультикастовых рассылок в динамически узнаваемые адреса:

Блок кода
esr(config-gre)# ip nhrp multicast dynamic

Произведём настройку протокола динамической маршрутизации для Hub. В примере это будет BGP.

Поскольку в примере используется eBGP необходимо явно разрешить анонсирование подсетей:

Блок кода
esr(config)# route-map PERMIT_ALL esr(config-route-map)# rule 1

Блок кода

esr(config)# router bgp 65005
esr(config-bgp)# neighbor 10.10.0.8
esr(config-bgp-neighbor)# remote-as 65008
esr(config-bgp-neighbor)# enable
esr(config-bgp-neighbor)# address-family ipv4 unicast
esr(config-bgp-neighbor-af)# route-map PERMIT_ALL out
esr(config-bgp-neighbor-af)# enable
esr(config-bgp-neighbor-af)# exit
esr(config-bgp-neighbor)# exit
esr(config-bgp)# neighbor 10.10.0.4
esr(config-bgp-neighbor)# remote-as 65004
esr(config-bgp-neighbor)# enable
esr(config-bgp-neighbor)# address-family ipv4 unicast
esr(config-bgp-neighbor-af)# route-map PERMIT_ALL out
esr(config-bgp-neighbor-af)# enable
esr(config-bgp-neighbor-af)# exit
esr(config-bgp-neighbor)# exit
esr(config-bgp)# address-family ipv4 unicast
esr(config-bgp-af)# exit
esr(config-bgp)# enable
esr(config-bgp)# exit

Произведём настройку IPsec для Hub:

Блок кода
esr(config)# security ike proposal IKEPROP esr(config-ike-proposal)# encryption algorithm aes128 esr(config-ike-proposal)# dh-group 2 esr(config-ike-proposal)# exit

Блок кода
esr(config)# security ike policy IKEPOLICY esr(config-ike-policy)# pre-shared-key ascii-text encrypted 8CB5107EA7005AFF esr(config-ike-policy)# proposal IKEPROP esr(config-ike-policy)# exit

Блок кода

esr(config)# security ike gateway IKEGW
esr(config-ike-gw)# ike-policy IKEPOLICY
esr(config-ike-gw)# local address 150.115.0.5
esr(config-ike-gw)# local network 150.115.0.5/32 protocol gre
esr(config-ike-gw)# remote address any
esr(config-ike-gw)# remote network any
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

Блок кода
esr(config)# security ipsec proposal IPSECPROP esr(config-ipsec-proposal)# encryption algorithm aes128 esr(config-ipsec-proposal)# exit

Блок кода
esr(config)# security ipsec policy IPSECPOLICY esr(config-ipsec-policy)# proposal IPSECPROP esr(config-ipsec-policy)# exit

Блок кода

esr(config)# security ipsec vpn IPSECVPN
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# type transport
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway IKEGW
esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
esr(config-ipsec-vpn)# enable

Привяжем IPsec к GRE-туннелю, чтобы клиенты могли устанавливать шифрованное соединение:

Блок кода
esr(config)# tunnel gre 5 esr(config-gre)# ip nhrp ipsec IPSECVPN dynamic

Включим работу NHRP и сам туннель:

Блок кода
esr(config-gre)# ip nhrp enableesr(config-gre)# enable

Конфигурирование Spoke

Проведём стандартную настройку DMVPN на туннеле:

Блок кода

esr# configure
esr(config)# tunnel gre 8
esr(config-gre)# mtu 1416
esr(config-gre)# ttl 16
esr(config-gre)# multipoint
esr(config-gre)# ip firewall disable
esr(config-gre)# local address 180.100.0.10
esr(config-gre)# ip address 10.10.0.8/24

Указываем, сколько времени будет храниться запись о клиенте на сервере:

Блок кода
esr(config-gre)# ip nhrp holding-time 300

Scroll Pagebreak

Указываем туннельный адрес NHS:

Блок кода
esr(config-gre)# ip nhrp nhs 10.10.0.5

Зададим соответствие туннельному адресу – реальный:

Блок кода
esr(config-gre)# ip nhrp map 10.10.0.5 150.115.0.5

Настроим мультикастовую рассылку на NHRP-сервер:

Блок кода
esr(config-gre)# ip nhrp multicast nhs

Произведём настройку BGP для spoke. Поскольку в примере используется eBGP необходимо явно разрешить анонсирование подсетей:

Блок кода

esr(config)# route-map PERMIT_ALL
esr(config-route-map)# rule 1

esr(config)# router bgp 65008
esr(config-bgp)# neighbor 10.10.0.5
esr(config-bgp-neighbor)# remote-as 65005
esr(config-bgp-neighbor)# enable
esr(config-bgp-neighbor)# address-family ipv4 unicast
esr(config-bgp-neighbor-af)# route-map PERMIT_ALL out
esr(config-bgp-neighbor-af)# enable
esr(config-bgp-neighbor-af)# exit
esr(config-bgp-neighbor)# exit
esr(config-bgp)# address-family ipv4 unicast
esr(config-bgp-af)# exit
esr(config-bgp)# enable

Произведём настройку IPsec. При создании шлюза протокола IKE для NHS, укажем конкретные адреса назначения. A при создании шлюза IKE для NHC – адрес назначения будет any:

Блок кода
esr(config)# security ike proposal IKEPROP esr(config-ike-proposal)# encryption algorithm aes128 esr(config-ike-proposal)# dh-group 2 esr(config-ike-proposal)# exit

Блок кода
esr(config)# security ike policy IKEPOLICY esr(config-ike-policy)# pre-shared-key ascii-text encrypted 8CB5107EA7005AFF esr(config-ike-policy)# proposal IKEPROP esr(config-ike-policy)# exit

Блок кода

esr(config)# security ike gateway IKEGW_HUB
esr(config-ike-gw)# ike-policy IKEPOLICY
esr(config-ike-gw)# local address 180.100.0.10
esr(config-ike-gw)# local network 180.100.0.10/32 protocol gre
esr(config-ike-gw)# remote address 150.115.0.5
esr(config-ike-gw)# remote network 150.115.0.5/32 protocol gre
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

Блок кода

esr(config)# security ike gateway IKEGW_SPOKE
esr(config-ike-gw)# ike-policy IKEPOLICY
esr(config-ike-gw)# local address 180.100.0.10
esr(config-ike-gw)# local network 180.100.0.10/32 protocol gre
esr(config-ike-gw)# remote address any
esr(config-ike-gw)# remote network any
esr(config-ike-gw)# mode policy-based
esr(config-ike-gw)# exit

Блок кода
esr(config)# security ipsec proposal IPSECPROP esr(config-ipsec-proposal)# encryption algorithm aes128 esr(config-ipsec-proposal)# exit

Блок кода
esr(config)# security ipsec policy IPSECPOLICY esr(config-ipsec-policy)# proposal IPSECPROP esr(config-ipsec-policy)# exit

Блок кода

esr(config)# security ipsec vpn IPSECVPN_HUB
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# type transport
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway IKEGW_HUB
esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit

Блок кода

esr(config)# security ipsec vpn IPSECVPN_SPOKE
esr(config-ipsec-vpn)# mode ike
esr(config-ipsec-vpn)# type transport
esr(config-ipsec-vpn)# ike establish-tunnel route
esr(config-ipsec-vpn)# ike gateway IKEGW_SPOKE
esr(config-ipsec-vpn)# ike ipsec-policy IPSECPOLICY
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# exit

Привяжем IPsec к GRE-туннелю для возможности установления шифрованного соединения с сервером и с другими клиентами сети:

Блок кода
esr(config)# tunnel gre 8 esr(config-gre)# ip nhrp ipsec IPSECVPN_HUB static esr(config-gre)# ip nhrp ipsec IPSECVPN_SPOKE dynamic

Включим работу NHRP и сам туннель:

Блок кода
esr(config-gre)# ip nhrp enable esr(config-gre)# enable

Сохраним конфигурацию:

Блок кода
esr# commit esr# confirm

Примечание
Для использования firewall необходимо произвести его настройку. В данном примере firewall был отключён.

Состояние NHRP-записей можно посмотреть командой:

Блок кода
esr# show ip nhrp peers

Очистить NHRP-записи можно командой:

Блок кода
esr# clear ip nhrp peers

...

Scroll Pagebreak

Решение:

Примечание
Предварительно необходимо в firewall разрешить входящий трафик по протоколу UDP с портом отправителя 519 и портом назначения 519.

Создадим туннель L2TPv3 333:

...

Шаг	Описание	Команда	Ключи
1	Создать VTI-туннель и перейти в режим его конфигурирования.	esr(config)# tunnel vti <TUN>	<TUN> – имя туннеля устройства.
2	Указать локальный IP-адрес VTI-туннеля.	esr(config-vti)#local address <ADDR>	<ADDR> – IP-адрес локального шлюза.
3	Указать удаленный IP-адрес VTI-туннеля.	esr(config-vti)#remote address <ADDR>	<ADDR> – IP-адрес удаленного шлюза.
4	Установить IP-адрес локальной стороны VTI-туннеля.	esr(config-vti)# ip address <ADDR/LEN> [unit <ID>] или esr(config-vti)# ip address <ADDR/LEN> secondary [unit <ID>]	<ADDR/LEN> – IP-адрес и префикс подсети задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; <ID> – номер юнита, принимает значения [1..2]. Ключ secondary указывает, что настроенный адрес является дополнительным IP-адресом. Если это ключевое слово отсутствует, настроенный адрес является основным IP-адресом. Возможно указать до 7 дополнительных IP-адресов.
5	Включить VTI-туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall для VTI-туннеля.	esr(config-vti)# security-zone<NAME>	<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
5		esr(config-vti)# ip firewall disable
6	Включить туннель.	esr(config-vti)#enable
7	Создать IKE-профиль и перейти в режим его конфигурирования.	esr(config)# security ike proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
8	Указать описание конфигурируемого IKE-профиля (не обязательно).	esr(config-ike-proposal)# description<DESCRIPTION>	<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
9	Определить алгоритм аутентификации для IKE (не обязательно).	esr(config-ike-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1.
10	Определить алгоритм шифрования для IKE (не обязательно).	esr(config-ike-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256. Значение по умолчанию: 3des.
11	Определить номер группы Диффи-Хэллмана (не обязательно).	esr(config-ike-proposal)# dh-group <DH-GROUP>	<DH-GROUP> – номер группы Диффи-Хэллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18]. Значение по умолчанию: 1.
12	Создать IKE-политику и перейти в режим её конфигурирования.	esr(config)# security ike policy <NAME>	<NAME> – имя политики IKE, задаётся строкой до 31 символа.
13	Определить режим аутентификации IKE (не обязательно).	esr(config-ike-policy)# authentication method <METHOD>	<METHOD> – метод аутентификации ключа. Может принимать значения: pre - shared - key – метод аутентификации, использующий предварительно полученные ключи шифрования; public - key – метод аутентификации, использующий сертификат. Значение по умолчанию: pre-shared-key.
14	Задать время жизни соединения протокола IKE (не обязательно).	esr(config-ike-policy)# lifetime seconds <SEC>	<SEC> – период времени, принимает значения [4 ..86400] секунд. Значение по умолчанию: 10800.
15	Привязать IKE-профиль к IKE-политике.	esr(config-ike-policy)# proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
16	Указать ключ аутентификации (обязательно, если в качестве режима аутентификации выбран pre-shared-key).	esr(config-ike-policy)# pre-shared-key ascii-text<TEXT>	<TEXT> – строка [1..64] ASCII-символов.
17	Создать IKE-шлюз и перейти в режим его конфигурирования.	esr(config)# security ike gateway <NAME>	<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа.
18	Привязать IKE-политику к IKE-шлюзу.	esr(config-ike-gw)# ike-policy <NAME>	<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
19	Указать версию IKE (не обязательно).	esr(config-ike-gw)# version <VERSION>	<version> – версия IKE-протокола: v1-only или v2-only. Значение по умолчанию: v1-only.
20	Установить режим перенаправления трафика в туннель – route-based.	esr(config-ike-gw)# mode route-based
21	Указать действие для DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection action <MODE>	<MODE> – режим работы DPD: restart – соединение переустанавливается; clear – соединение останавливается; hold – соединение поддерживается; none – механизм выключен, никаких действий не предпринимается. Значение по умолчанию: none.
22	Указать интервал между отправкой сообщений механизмом DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection interval <SEC>	<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд. Значение по умолчанию: 2.
23	Указать период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1 (не обязательно).	esr(config-ike-gw)# dead-peer-detection timeout <SEC>	<SEC> – период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1, принимает значения [1..180] секунд. Значение по умолчанию: 30 секунд.
24	Указать базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit timeout <SEC>	<SEC> – базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [1..30] секунд. Значение по умолчанию: 4 секунды.
25	Указать количество попыток повторной отправки сообщений механизма DPD после наступления таймаута ожидания ответа при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit tries <TRIES>	<TRIES> – количество попыток повторной отправки сообщений механизма DPD в случае наступления таймаута ожидания ответа при использовании протокола IKE версии 2, принимает значения от 1 до 10. Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в команде dead-peer-detection retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле: "dead-peer-detection retransmit timeout" * 1.8 ^ (N-1), где N - номер попытки. Значение по умолчанию: 5 попыток.
26	Указать уровень случайного разброса периода ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit jitter <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [0..100]. Значение по умолчанию: 0 %
27	Указать ограничение максимального периода времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit limit <SEC>	<SEC> – максимальный период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [15..300] секунд. Значение по умолчанию: 0 секунд, у периода нет верхнего предела.
28	Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.	esr(config-ike-gw)# mobike disable
29	Привязать VTI-туннель к IKE-шлюзу.	esr(config-ike-gw)# bind-interface vti <VTI>	<VTI> – идентификационный номер интерфейса VTI.
30	Создать в IPsec-профиль.	esr(config)# security ipsec proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
31	Определить алгоритм аутентификации для IPsec (не обязательно).	esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1.
32	Определить алгоритм шифрования для IPsec (не обязательно).	esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256. Значение по умолчанию: 3des.
33	Указать протокол инкапсуляции для IPsec (не обязательно).	esr(config-ipsec-proposal)# protocol <PROTOCOL>	<PROTOCOL> – инкапсулирующий протокол, принимает значения: ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется; esp – данный протокол осуществляет аутентификацию и шифрование трафика. Значение по умолчанию: esp.
34	Создать IPsec-политику и перейти в режим её конфигурирования.	esr(config)# security ipsec policy <NAME>	<NAME> – имя политики IPsec, задаётся строкой до 31 символа.
35	Привязать IPsec-профиль к IPsec-политике.	esr(config-ipsec-policy)# proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
36	Задать время жизни IPsec-туннеля (не обязательно).	esr(config-ipsec- policy)# lifetime { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд. <PACKETS> – количество пакетов, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400]. <KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд. Значение по умолчанию: 28800 секунд.
37	Создать IPsec VPN и перейти в режим конфигурирования.	esr(config)# security ipsec vpn <NAME>	<NAME> – имя VPN, задаётся строкой до 31 символа.
38	Определить режим согласования данных, необходимых для активации VPN.	esr(config-ipsec-vpn)# mode <MODE>	<MODE> – режим работы VPN.
39	Привязать IPsec-политику к IPsec-VPN.	esr(config-ipsec-vpn)# ike ipsec-policy <NAME>	<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
40	Задать значение DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола (не обязательно).	esr(config-ipsec-vpn)# ike dscp <DSCP>	DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
41	Установить режим активации VPN.	esr(config-ipsec-vpn)# ike establish-tunnel <MODE>	<MODE> – режим активации VPN: by - request – соединение активируется встречной стороной; route – соединение активируется при появлении трафика, маршрутизируемого в туннель; immediate – туннель активируется автоматически после применения конфигурации.
42	Осуществить привязку IKE-шлюза к IPsec-VPN.	esr(config-ipsec-vpn)# ike gateway <NAME>	<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
43	Установить значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA (не обязательно).	esr(config-ipsec-vpn)# ike idle-time <TIME>	<TIME> – интервал в секундах, принимает значения [4..86400].
44	Отключить пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт (не обязательно).	esr(config-ipsec-vpn)# ike rekey disable
45	Настроить начало пересогласования ключей IKE-соединения до истечения времени жизни (не обязательно).	esr(config-ipsec-vpn)# ike rekey margin { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetimeseconds, см. 22.2.13). Принимает значения [4..86400]. <PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetimepackets). Принимает значения [4..86400] <KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetimekilobytes). Принимает значения [4..86400] Значение по умолчанию: Пересогласование ключей до истечения времени – за 540 секунд. Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
46	Установить уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes (не обязательно).	esr(config-ipsec-vpn)# ike rekey randomization <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [1..100]. Значение по умолчанию: 100%
47	Указать описание для IPsec-VPN (не обязательно).	esr(config-ipsec-vpn)# description <DESCRIPTION>	<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
48	Активировать IPsec VPN.	esr(config-ipsec-vpn)# enable

...

Шаг	Описание	Команда	Ключи
1	Создать IKE-экземпляр и перейти в режим его конфигурирования.	esr(config)# security ike proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
2	Указать описание конфигурируемого туннеля (не обязательно).	esr(config-ike-proposal)# description<DESCRIPTION>	<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
3	Определить алгоритм аутентификации для IKE.	esr(config-ike-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
4	Определить алгоритм шифрования для IKE.	esr(config-ike-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
5	Определить номер группы Диффи-Хэллмана.	esr(config-ike-proposal)# dh-group <DH-GROUP>	<DH-GROUP> – номер группы Диффи-Хэллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18].
6	Создать политику для профиля IKE и перейти в режим её конфигурирования.	esr(config)# security ike policy <NAME>	<NAME> – имя политики IKE, задаётся строкой до 31 символа.
7	Определить режим аутентификации.	esr(config-ike-policy)# authentication method <METHOD>	<METHOD> – метод аутентификации ключа. Может принимать значения: pre - shared - key – метод аутентификации, использующий предварительно полученные ключи шифрования; public - key – метод аутентификации, использующий сертификат.
8	Задать время жизни соединения протокола IKE (не обязательно).	esr(config-ike-policy)# lifetime seconds <SEC>	<SEC> – период времени, принимает значения [4 ..86400] секунд. Значение по умолчанию: 10800.
9	Привязать политику к профилю.	esr(config-ike-policy)# proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
10	Указать ключ аутентификации.	esr(config-ike-policy)#pre-shared-key ascii-text<TEXT>	<TEXT> – строка [1..64] ASCII-символов.
11	Создать шлюз для IKE и перейти в режим его конфигурирования.	esr(config)# security ike gateway <NAME>	<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа.
12	Привязать политику IKE.	esr(config-ike-gw)# ike-policy <NAME>	<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
13	Указать версию IKE (не обязательно).	esr(config-ike-gw)# version <VERSION>	<version> – версия IKE-протокола: v1-only или v2-only.
14	Установить режим перенаправления трафика в туннель.	esr(config-ike-gw)#mode<MODE>	<MODE> – режим перенаправления трафика в туннель, принимает значения: policy - based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям; route - based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
15	Указать действие для DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection action <MODE>	<MODE> – режим работы DPD: restart – соединение переустанавливается; clear – соединение останавливается; hold – соединение поддерживается; none – механизм выключен, никаких действий не предпринимается.
16	Указать интервал между отправкой сообщений механизмом DPD (не обязательно).	esr(config-ike-gw)#dead-peer-detection interval <SEC>	<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд.
17	Указать период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1 (не обязательно).	esr(config-ike-gw)# dead-peer-detection timeout <SEC>	<SEC> – период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1, принимает значения [1..180] секунд. Значение по умолчанию: 30 секунд.
18	Указать базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit timeout <SEC>	<SEC> – базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [1..30] секунд. Значение по умолчанию: 4 секунды.
19	Указать количество попыток повторной отправки сообщений механизма DPD после наступления таймаута ожидания ответа при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit tries <TRIES>	<TRIES> – количество попыток повторной отправки сообщений механизма DPD в случае наступления таймаута ожидания ответа при использовании протокола IKE версии 2, принимает значения от 1 до 10. Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в команде dead-peer-detection retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле: "dead-peer-detection retransmit timeout" * 1.8 ^ (N-1), где N - номер попытки. Значение по умолчанию: 5 попыток.
20	Указать уровень случайного разброса периода ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit jitter <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [0..100]. Значение по умолчанию: 0 %
21	Указать ограничение максимального периода времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit limit <SEC>	<SEC> – максимальный период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [15..300] секунд. Значение по умолчанию: 0 секунд, у периода нет верхнего предела.
22	Установить IP-адрес удаленного шлюза IPsec-туннеля.	esr(config-ike-gw)#remote address <ADDR>	<ADDR> – IP-адрес удаленного шлюза.
23	Установить IP-адрес подсети получателя, а также IP-протокол и порт.	esr(config-ike-gw)# remote network <ADDR/LEN> [ protocol { <TYPE> \| <ID> } [ port <PORT> ] ]	<ADDR/LEN> – IP-адрес и маска подсети отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; <TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre; <ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]; <PORT> – TCP/UDP-порт, принимает значения [1..65535].
24	Создать в профиль IPsec.	esr(config)# security ipsec proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
25	Определить алгоритм аутентификации для IPsec.	esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
26	Определить алгоритм шифрования для IPsec.	esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
27	Указать протокол (не обязательно).	esr(config-ipsec-proposal)#protocol <PROTOCOL>	<PROTOCOL> – инкапсулирующий протокол, принимает значения ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется; esp – данный протокол осуществляет аутентификацию и шифрование трафика. Значение по умолчанию: esp.
28	Создать политику для профиля IPsec и перейти в режим её конфигурирования.	esr(config)# security ipsec policy <NAME>	<NAME> – имя политики IPsec, задаётся строкой до 31 символа.
29	Привязать политику к профилю.	esr(config-ipsec-policy)# proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
30	Задать время жизни IPsec-туннеля (не обязательно).	esr(config-ipsec-policy)# lifetime { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – период времени жизни IPsec-туннеля, по истечении которого происходит пересогласование. Принимает значения [1140..86400] секунд. <PACKETS> – количество пакетов, после передачи которых происходит пересогласование IPsec-туннеля. Принимает значения [4..86400]. <KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд.
31	Создать IPsec VPN и перейти в режим конфигурирования.	esr(config)# security ipsecvpn <NAME>	<NAME> – имя VPN, задаётся строкой до 31 символа.
32	Определить режим согласования данных, необходимых для активации VPN.	esr(config-ipsec-vpn)# mode <MODE>	<MODE> – режим работы VPN.
33	Привязать IPsec политику к VPN.	esr(config-ipsec-vpn)#ike ipsec-policy <NAME>	<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
34	Задать значение DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола (не обязательно).	esr(config-ipsec-vpn)#ike dscp <DSCP>	DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
35	Установить режим активации VPN.	esr(config-ipsec-vpn)#ike establish-tunnel <MODE>	<MODE> – режим активации VPN: by - request – соединение активируется встречной стороной; route – соединение активируется при появлении трафика, маршрутизируемого в туннель; immediate – туннель активируется автоматически после применения конфигурации.
36	Осуществить привязка IKE-шлюза к VPN.	esr(config-ipsec-vpn)# ike gateway <NAME>	<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
37	Установить значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA (не обязательно).	esr(config-ipsec-vpn)# ike idle-time <TIME>	<TIME> – интервал в секундах, принимает значения [4..86400].
38	Отключить пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт (не обязательно).	esr(config-ipsec-vpn)#ike rekey disable
39	Настроить начало пересогласования ключей IKE-соединения до истечения времени жизни (не обязательно).	esr(config-ipsec-vpn)# Ike rekey margin { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetimeseconds) . Принимает значения [4..86400]. <PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetimepackets). Принимает значения [4..86400]. <KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetimekilobytes). Принимает значения [4..86400]
40	Установить уровень случайного разброса значений параметров marginseconds, marginpackets, marginkilobytes (не обязательно).	esr(config-ipsec-vpn)# ike rekey randomization <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [1..100].
41	Описать VPN (не обязательно).	esr(config-ipsec-vpn)# description <DESCRIPTION>	<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
42	Активировать IPsec VPN.	esr(config-ipsec-vpn)# enable

...

Шаг	Описание	Команда	Ключи
1	Создать IKE-экземпляр и перейти в режим его конфигурирования.	esr(config)# security ike proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
2	Указать описание конфигурируемого туннеля (не обязательно).	esr(config-ike-proposal)# description <DESCRIPTION>	<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
3	Определить алгоритм аутентификации для IKE (не обязательно).	esr(config-ike-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1.
4	Установить IP-адрес локальной стороны VTI-туннеля (не обязательно).	esr(config-vti)# ip address <ADDR/LEN> [unit <ID>] или esr(config-vti)# ip address <ADDR/LEN> secondary [unit <ID>]	<ADDR/LEN> – IP-адрес и префикс подсети задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..31]; <ID> – номер юнита, принимает значения [1..2]. Ключ secondary указывает, что настроенный адрес является дополнительным IP-адресом. Если это ключевое слово отсутствует, настроенный адрес является основным IP-адресом. Возможно указать до 7 дополнительных IP-адресов.
5	Определить номер группы Диффи-Хэллмана (не обязательно).	esr(config-ike-proposal)# dh-group <DH-GROUP>	<DH-GROUP> – номер группы Диффи-Хэллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18]. Значение по умолчанию: 1.
6	Создать политику для профиля IKE и перейти в режим её конфигурирования.	esr(config)# security ike policy <NAME>	<NAME> – имя политики IKE, задаётся строкой до 31 символа.
7	Определить режим аутентификации.	esr(config-ike- policy)# authentication method <METHOD>	<METHOD> – метод аутентификации ключа. Может принимать значения: xauth - psk - key – метод двухфакторной аутентификации, использующий пару логин-пароль и предварительно полученные ключи шифрования; eap - метод двухфакторной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты.
8	Задать режим клиента (только для клиента).	esr(config-ike- policy)# authentication mode client
9	Задать время жизни соединения протокола IKE (не обязательно).	esr(config-ike- policy)# lifetime seconds <SEC>	<SEC> – период времени, принимает значения [4 ..86400] секунд. Значение по умолчанию: 3600.
10	Привязать политику к профилю.	esr(config-ike-policy)# proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
11	Указать ключ аутентификации.	esr(config-ike-policy)#pre-shared-key ascii-text <TEXT>	<TEXT> – строка [1..64] ASCII символов.
12	Указать сертификаты и ключи (только для метода EAP)	esr-10(config-ike-policy)# crypto <CERTEFICATE-TYPE> <NAME>	<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения: ca – сертификат удостоверяющего сервера; crl – список отозванных сертификатов; local-crt – публичный сертификат сервера удалённого доступа; local-crt-key – приватный ключ сервера удалённого доступа. <NAME> – имя сертификата или ключа, задаётся строкой до 31 символа. На стороне сервера необходимо добавить набор сертификатов (ca, local-crt, local-key). На стороне клиента необходимо указать только корневой сертификат (ca).
13	Создать профиль доступа.	esr(config)# access profile <NAME>	<NAME> – имя профиля доступа, задаётся строкой до 31 символа.
14	Создать имя пользователя.	esr(config-access-profile)# user <LOGIN>	<LOGIN> – логин клиента, задаётся строкой до 31 символа.
15	Задать пароль пользователя.	esr(config-profile)# password ascii-text <TEXT>	<TEXT> – строка [8..32] ASCII символов.
16	Создать пул адресов назначения (только для сервера).	esr(config)# address-assignment pool <NAME>	<NAME> – имя пула адресов назначения, задаётся строкой до 31 символа.
17	Задать подсеть, из которой будут выдаваться IP клиентам (только для сервера).	esr(config-pool)# ip prefix <ADDR/LEN>	<ADDR/LEN> – адрес подсети и префикс.
18	Создать шлюз для IKE и перейти в режим его конфигурирования.	esr(config)# security ike gateway <NAME>	<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа.
19	Привязать политику IKE.	esr(config-ike-gw)# ike-policy <NAME>	<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
20	Установить режим перенаправления трафика в туннель.	esr(config-ike-gw)# mode <MODE>	<MODE> – режим перенаправления трафика в туннель, принимает значения: policy - based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям.
21	Указать действие для DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection action <MODE>	<MODE> – режим работы DPD: restart – соединение переустанавливается; clear – соединение останавливается; hold – соединение поддерживается; none – механизм выключен, никаких действий не предпринимается. Значение по умолчанию: none.
22	Указать интервал между отправкой сообщений механизмом DPD (не обязательно).	esr(config-ike-gw)#dead-peer-detection interval <SEC>	<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд. Значение по умолчанию: 2.
23	Указать период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1 (не обязательно).	esr(config-ike-gw)# dead-peer-detection timeout <SEC>	<SEC> – период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1, принимает значения [1..180] секунд. Значение по умолчанию: 30 секунд.
24	Указать базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit timeout <SEC>	<SEC> – базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [1..30] секунд. Значение по умолчанию: 4 секунды.
25	Указать количество попыток повторной отправки сообщений механизма DPD после наступления таймаута ожидания ответа при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit tries <TRIES>	<TRIES> – количество попыток повторной отправки сообщений механизма DPD в случае наступления таймаута ожидания ответа при использовании протокола IKE версии 2, принимает значения от 1 до 10. Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в команде dead-peer-detection retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле: "dead-peer-detection retransmit timeout" * 1.8 ^ (N-1), где N - номер попытки. Значение по умолчанию: 5 попыток.
26	Указать уровень случайного разброса периода ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit jitter <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [0..100]. Значение по умолчанию: 0 %
27	Указать ограничение максимального периода времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2 (не обязательно).	esr(config-ike-gw)# dead-peer-detection retransmit limit <SEC>	<SEC> – максимальный период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [15..300] секунд. Значение по умолчанию: 0 секунд, у периода нет верхнего предела.
28	Задать пул динамического выделения IP-адресов клиентам (только для сервера).	esr(config-ike-gw)# remote network dynamic pool <NAME>	<NAME> – имя пула адресов назначения, задаётся строкой до 31 символа.
29	Задать режим динамического установления удаленной подсети (только для клиента).	esr(config-ike-gw)# remote network dynamic client
30	Задать профиль доступа (только для сервера).	esr(config-ike-gw)# access-profile <NAME>	<NAME> – имя профиля доступа, задаётся строкой до 31 символа.
31	Задать профиль доступа и логин (только для клиента).	esr(config-ike-gw)# access-profile <NAME> client <LOGIN>	<NAME> – имя профиля доступа, задаётся строкой до 31 символа; <LOGIN> – логин клиента, задаётся строкой до 31 символа.
32	Задать интерфейс терминации выделенного IP для построения IPsec VPN (только для клиента).	esr(config-ike-gw)# assign-interface loopback <INDEX>	<INDEX> – индекс интерфейса, принимает значения [1..65535].
33	Создать профиль IPsec.	esr(config)# security ipsec proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
34	Определить алгоритм аутентификации для IPsec (не обязательно).	esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1.
35	Определить алгоритм шифрования для IPsec (не обязательно).	esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256. Значение по умолчанию: 3des.
36	Указать протокол (не обязательно).	esr(config-ipsec-proposal)#protocol <PROTOCOL>	<PROTOCOL> – инкапсулирующий протокол, принимает значения: ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется; esp – данный протокол осуществляет аутентификацию и шифрование трафика. Значение по умолчанию: esp.
37	Задать config-ipsec-proposal конфигурирования.	esr(config)# security ipsec policy <NAME>	<NAME> – имя политики IPsec, задаётся строкой до 31 символа.
38	Привяжем Привязать политику к профилю.	esr(config-ipsec-policy)# proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
39	Задать время жизни IPsec-туннеля (не обязательно).	esr(config-ipsec-policy)# lifetime { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – период времени жизни IPsec-туннеля, по истечении которого происходит пересогласование. Принимает значения [1140..86400] секунд. Значение по умолчанию: 540. <PACKETS> – количество пакетов, после передачи которых происходит пересогласование IPsec-туннеля. Принимает значения [4..86400]. Значение по умолчанию: отключено. <KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд. Значение по умолчанию: отключено.
40	Создать IPsec VPN и перейти в режим конфигурирования.	esr(config)# security ipsec vpn <NAME>	<NAME> – имя VPN, задаётся строкой до 31 символа.
41	Определить режим согласования данных, необходимых для активации VPN.	esr(config-ipsec-vpn)# mode <MODE>	<MODE> – режим работы VPN, принимает значения: ike, manual.
42	Привязать IPsec политику к VPN.	esr(config-ipsec-vpn)#ike ipsec-policy <NAME>	<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
43	Задать значение DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола (не обязательно).	esr(config-ipsec-vpn)#ike dscp <DSCP>	DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
44	Устанавливается режим активации VPN.	esr(config-ipsec-vpn)#ike establish-tunnel <MODE>	<MODE> – режим активации VPN: by - request – соединение активируется встречной стороной, доступно для сервера; route – соединение активируется при появлении трафика, маршрутизируемого в туннель, доступно для сервера; immediate – туннель активируется автоматически после применения конфигурации, доступно для клиента.
45	Осуществить привязку IKE-шлюза к VPN.	esr(config-ipsec-vpn)# ike gateway <NAME>	<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
46	Установить значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA (не обязательно).	esr(config-ipsec-vpn)# ike idle-time <TIME>	<TIME> – интервал в секундах, принимает значения [4..86400]. Значение по умолчанию: 0.
47	Отключить пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт (не обязательно).	esr(config-ipsec-vpn)#ike rekey disable	Значение по умолчанию: включено.
48	Настроить начало пересогласования ключей IKE-соединения до истечения времени жизни (не обязательно).	esr(config-ipsec-vpn)# ike rekey margin { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetimeseconds) . Принимает значения [4..86400]. Значение по умолчанию: 540 <PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetimepackets). Принимает значения [4..86400]. Значение по умолчанию: отключено. <KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetimekilobytes). Принимает значения [4..86400] Значение по умолчанию: отключено.
49	Установить уровень случайного разброса значений параметров marginseconds, marginpackets, marginkilobytes (не обязательно).	esr(config-ipsec-vpn)# ike rekey randomization <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [1..100]. Значение по умолчанию: 100.
50	Описать VPN (не обязательно).	esr(config-ipsec-vpn)# description <DESCRIPTION>	<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
51	Активировать IPsec VPN.	esr(config-ipsec-vpn)# enable
52	Включить режим переподключения клиентов XAUTH с одним логином/паролем (только для сервера) (не обязательно).	esr(config-ipsec-vpn)# security ike session uniqueids <MODE>	<MODE> – режим переподключения, принимает следующие значения: no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано. replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес. keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.

...

Шаг	Описание	Команда	Ключи
1	Создать LT-туннели для каждого из существующих VRF.	esr(config)# tunnel lt <ID>	<ID> – идентификатор туннеля в диапазоне [1..128].
2	Указать описание конфигурируемых туннелей (не обязательно).	esr(config-lt)# description <DESCRIPTION>	<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
3	Включить каждый LT-туннель в соответствующий VFR.	esr(config-lt)# ip vrf forwarding <VRF>	<VRF> – имя VRF, задается строкой до 31 символа.
4	Включить каждый LT-туннель в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall для LT-туннеля.	esr(config-lt)# security-zone<NAME>	<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
4		esr(config-lt)# ip firewall disable
5	Для каждого LT-туннеля задать номер противоположный LT туннель (в другом VRF).	esr(config-lt)# peer lt <ID>	<ID> – идентификатор туннеля в диапазоне [1..128].
6	Для каждого LT-туннеля указать IP-адрес для маршрутизации пакетов. Для взаимодействующих LT-туннелей, IP-адреса должны быть из одной IP-подсети.	esr(config-lt)# ip address <ADDR/LEN> [unit <ID>] или esr(config-lt)# ip address <ADDR/LEN> secondary [unit <ID>]	<ADDR/LEN> – IP-адрес и префикс подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; <ID> – номер юнита, принимает значения [1..2]. Ключ secondary указывает, что настроенный адрес является дополнительным IP-адресом. Если это ключевое слово отсутствует, настроенный адрес является основным IP-адресом. Возможно указать до 7 дополнительных IP-адресов.
7	Включить туннели.	esr(config-lt)# enable
8	Для каждого VRF настроить необходимые протоколы маршрутизации через LT-туннель.
9	Задать интервал времени, за который усредняется статистика о нагрузке на туннеле (не обязательно).	esr(config-lt)# load-average <TIME>	<TIME> – интервал в секундах, принимает значения [5..150]. Значение по умолчанию: 5.
10	Указать размер MTU (Maximum Transmition Unit) пакетов, которые может пропускать данный bridge (не обязательно; возможно, если в bridge включен только VLAN). MTU более 1500 будет активно только в случае применения команды "system jumbo-frames".	esr(config-lt)# mtu <MTU>	<MTU> – значение MTU, принимает значения в диапазоне: для ESR-10/12V(F)/15/ 15R/15VF – [1280..9600]; для ESR-20/21/30/31 – [1280..9500]; для ESR-100/200/1000/ 1200/1500/1511/1700/3100/3200/3200L/3300 – [1280..10000]. Значение по умолчанию: 1500.

Scroll Pagebreak
Пример настройки

Задача:

Организовать взаимодействие между хостами, терминированными в двух VRF vrf_1 и vrf_2.

...

Блок кода

hostname esr
ip vrf vrf_1
exit
ip vrf vrf_2
exit
interface gigabitethernet 1/0/1
  ip vrf forwarding vrf_1
  ip firewall disable
  ip address 10.0.0.1/24
exit
interface gigabitethernet 1/0/2
  ip vrf forwarding vrf_2
  ip firewall disable
  ip address 10.0.1.1/24
exit

Scroll Pagebreak

Решение:

Создадим LT-туннели для каждого VRF с указанием IP-адресов из одной подсети:

...

Дерево страниц

Сравнение версий

Старая версия 13

Новая версия Текущий

Ключ

Решение:

Scroll Pagebreak
Пример настройки

Задача:

Решение:

Дерево страниц

История страницы

Сравнение версий

Старая версия 13

Новая версия Текущий

Ключ

Решение:

Scroll PagebreakПример настройки

Задача:

Решение:

Scroll Pagebreak
Пример настройки