...
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
...
<METHOD> – метод аутентификации ключаIKE-сессии. Может принимать значения:
- pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования;согласованные ключи, которые должны совпадать у обоих участников IKE-сессии. Ключ задается в команде pre-shared-key;
- keyring public-key – метод аутентификации, использующий публичный ключ сертификата;xauth-pskнабор предварительно согласованных ключей. Набор ключей задается командой keyring;
- public-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;
- eap – метод расширенной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты;
- keyring – метод аутентификации, использующий набор ключей аутентификации.
Значение по умолчанию
pre-shared-key
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# authentication method pre-shared-key |
- приватные ключи и сертификаты X.509. Файлы сертификатов и ключей должны быть загружены в локальное хранилище маршрутизатора и указаны в конфигурации через команды crypto ca, crypto-local-crt и crypto local-crt-key;
- trustpoint – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей предоставляются PKI-клиентом, который автоматически выписывает актуальные сертификаты у удостоверяющего центра. Используемый PKI-клиент задается в команде crypto trustpoint;
- xauth-psk-key – метод расширенной аутентификации, использующий в качестве первого фактора аутентификации предварительно согласованные ключи и пару логин-пароль пользователя в качестве второго фактора аутентификации;
- eap – метод расширенной аутентификации, использующий приватные ключи и сертификаты X.509 для аутентификации ответчика в IKE-сессии и пару логин-пароль пользователя для аутентификации инициатора IKE-сессии.
Значение по умолчанию
pre-shared-key
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# authentication method pre-shared-key |
bind-interface vti
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля «route-based».
...
Данной командой указываются необходимые сертификаты.источники приватных ключей и сертификатов для использования в установлении IKE-сессии.
Использование Использование отрицательной формы команды (no) удаляет название сертификата источник из конфигурации.
Синтаксис
crypto <CERTIFICATE-TYPE><TYPE> <NAME>
no crypto <CERTIFICATE-TYPE><TYPE>
Параметры
<CERTIFICATE-TYPE> <TYPE> – тип сертификата или ключаисточника ключевой информации, может принимать следующие значения:
- ca – сертификат имя файла сертификата удостоверяющего центра сертификации;
- crl – список имя файла списка отозванных сертификатов удостоверяющего центра;
- local-crt – сертификат локальной стороныимя файла сертификата, используемого маршрутизатором при установлении IKE-сессии;
- local-crt-key – ключ сертификата локальной стороны– имя файла приватного ключа, используемого маршрутизатором при установлении IKE-сессии;
- remote-crt – сертификат удаленной стороны. Вместо имени файла возможно использование ключа "any" для установления режима приема открытого ключа удаленной стороны по сети;имя файла сертификата, используемого маршрутизатором для аутентификации удаленного IKE-соседа;
- trustpoint – имя PKI-клиента, который отвечает за автоматическую генерацию приватного ключа и выпуск сертификата у вышестоящего удостоверяющего центра для дальнейшего использования в IKE-сессии.
<NAME> – имя файла или PKI-клиента, задаётся строкой <NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Значение по умолчанию
...
no dead-peer-detection action
...
Параметры
<MODE> – режим работы DPD:
...
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection interval 15 |
...
dead-peer-detection timeout
Данной командой устанавливается уровень случайного разброса периода задаётся период времени ожидания ответа на сообщения механизма DPD.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit jitter <VALUE>dead-peer-detection timeout <SEC>
no retransmit jitterdead-peer-detection timeout
Параметры
<VALUE> – максимальный процент разброса значений<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [01..100180] секунд.
Значение по умолчанию
0 %30 секунд
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-ike-gw)# retransmit jitter 50 |
retransmit limit
dead-peer-detection timeout 60 |
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKEДанной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщения.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет описание.
Синтаксис
retransmitdescription limit <SEC><DESCRIPTION>
no retransmit limitdescription
Параметры
<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.
Значение по умолчанию
0 секунд<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmitdescription limit"my 180 |
...
proposal" |
dh-group
Данной командой устанавливается базовый период времени ожидания ответа на сообщения.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в команде retransmit triesномер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit timeout <SEC>dh-group <DH-GROUP>
no retransmit timeoutdh-group
Параметры
<SEC> – базовый период времени ожидания ответа на сообщения <DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1..30] секунд, 2, 5, 14-31].
Значение по умолчанию
4 секунды1
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-GATEWAYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmit timeout 2 |
retransmit tries
Данной командой устанавливается количество попыток повторной отправки сообщений после наступления таймаута ожидания ответа.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
dh-group 5 |
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединениягде N – номер попытки, предел которых указан в данной команде.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmitencryption triesalgorithm <TRIES><ALGORITHM>retransmit
no encryption triesalgorithm
Параметры
<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
5 попыток3des
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-GATEWAYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ike-gwproposal)# retransmitencryption triesalgorithm 3 |
dead-peer-detection timeout
aes128 |
identity
Данной командой устанавливается соответствие идентификатора IPsec-клиента и ключа PSK, который будет использован при аутентификацииДанной командой задаётся период времени ожидания ответа на сообщения механизма DPD.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет соответствие для указанного идентификатора.
Синтаксис
dead-peer-detection timeout <SEC>no dead-peer-detection timeoutПараметры
<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# dead-peer-detection timeout 60 |
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>no descriptionПараметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-proposal)# description "my proposal" |
dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dh-group <DH-GROUP>no dh-groupПараметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSALKEYRING
Пример
| Блок кода |
|---|
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password esr(config-ike-proposalkeyring)# dh-group 5 |
encryption algorithm
identity dns router.example.loc pre-shared-key ascii-text password |
ike-policy
Данной командой устанавливается привязка политики протокола IKE к шлюзуДанной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет привязку политики.
Синтаксис
encryption algorithm <ALGORITHM>no encryption algorithm[no] ike-policy <NAME>
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSALGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-proposalgw)# encryption algorithm aes128 |
identity
ike-policy ike_pol1 |
ip prefix
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентамДанной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.
Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификаторапул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Синтаксис
identity { dns <NAME> | ipv4ip prefix <ADDR/LEN>
no } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
ip prefixПараметры
<ADDR/LEN> <ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
.
Значение по умолчанию
Не задан<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-KEYRINGPOOL
Пример
| Блок кода |
|---|
esr(config-ike-keyringpool)# identityip ipv4prefix 98192.168.0.127.37/32 pre-shared-key ascii-text password esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password |
ike-policy
0/16 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой указывается набор ключей аутентификации IKEДанной командой устанавливается привязка политики протокола IKE к шлюзу.
Использование отрицательной формы команды (no) удаляет привязку политикинабор ключей.
Синтаксис
[keyring <NAME>
no] ike-policy <NAME>keyring
Параметры
<NAME> – имя политики протокола название набор ключей аутентификации IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAYPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-gwpolicy)# ike-policykeyring ike_pol1keyring |
...
lifetime seconds
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентамзадаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентамустанавливает значение по умолчанию.
Синтаксис
iplifetime prefixseconds <ADDR/LEN><SEC>
no iplifetime prefixseconds
Параметры
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD <SEC> – период времени, принимает значения [04 ..255] и EE принимает значения [1..32].86400] секунд.
Значение по умолчанию
Не задан.10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POOLPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-poolpolicy)# ip prefix 192.168.0.0/16 |
keyring
lifetime 21600 |
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеляДанной командой указывается набор ключей аутентификации IKE.
Использование отрицательной формы команды (no) удаляет набор ключейIP-адрес локального шлюза.
Синтаксис
keyringlocal address <NAME><ADDR>
no local keyringaddress
Параметры
<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символаADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-POLICYGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-policygw)# keyring ike_keyring |
lifetime seconds
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime seconds <SEC>no lifetime secondsПараметры
<SEC> – период времени, принимает значения [4 ..86400] секунд.
Значение по умолчанию
10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# lifetime 21600 |
| Scroll Pagebreak |
|---|
local address
local address 192.168.1.1 |
local id
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK) в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509 в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес настройку идентификатора локального шлюза.
Синтаксис
local address <ADDR>id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no local addressПараметры
idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local addressid ipv4 192.168.118.1 |
local
...
interface
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
При использовании Использование отрицательной формы команды (no) удаляет настройку идентификатора прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }interface <IF>
no local idinterface
Параметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAYGW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local idinterface ipv4 192.168.18.gigabitethernet 1/0/1 |
local
...
network
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование При использовании отрицательной формы команды (no) прекращается использование удаляет IP-адреса, назначенного на интерфейс в качестве локального шлюзаадрес подсети отправителя.
Синтаксис
[no] local interface <IF>no local interface network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
Параметры
<IF> – тип и идентификатор интерфейса, ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде , описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GWGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# local interface gigabitethernet 1/0/1 |
...
network 192.168.1.0/24 protocol tcp port 22 |
management-tunnel address
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннельтуннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителятуннеля для постройки GRE management туннеля.
Синтаксис
[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]Параметры
management-tunnel address <ADDR>
no management-tunnel address
Параметры
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся <ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
| Блок кода |
|---|
esr(config-pool)# management-tunnel address 192.168.2.87 |
mobike disable
Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурации.
Синтаксис
[ no ] mobike disableПараметры
Отсутствуют.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
1010
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gwgateway)# local network 192.168.1.0/24 protocol tcp port 22 |
management-tunnel address
mobike disable |
mode
Данной командой устанавливается режим согласования первой фазы протокола IKEДанной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеляустанавливает значение по умолчанию.
Синтаксис
management-tunnel address <ADDR>mode <MODE>
no management-tunnel addressПараметры
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
| Блок кода |
|---|
esr(config-pool)# management-tunnel address 192.168.2.87 |
mobike disable
Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурации.
Синтаксис
[ no ] mobike disableПараметры
Отсутствуют.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
modeПараметры
<MODE> – режим первой фазы IKE, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
main
Необходимый уровень привилегий
1510
Командный режим
CONFIG-IKE-GATEWAYPOLICY
Пример
| Блок кода |
|---|
esr(config-ike-gatewaypolicy)# mobike disablemode aggressive |
| Scroll Pagebreak |
|---|
mode
Данной командой устанавливается режим согласования первой фазы протокола IKEперенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим первой фазы IKEперенаправления трафика в туннель, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
main
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# mode aggressive |
mode
Данной командой устанавливается режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>no modeПараметры
<MODE> – режим перенаправления трафика в туннель, принимает значения:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# mode route-based |
| Якорь | ||||
|---|---|---|---|---|
|
password
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.
Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no passwordПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PROFILECONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gwprofile)# mode route-based |
...
password tteesstt |
password local-crt-key
...
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.
Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no password local-crt-keyПараметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PROFILEIKE-POLICY
Пример
| Блок кода |
|---|
esr(config-profileike-policy) password tteesstt |
password local-crt-key
pfs dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединенияДанная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).
Использование отрицательной формы команды (no) удаляет парольустанавливает значение по умолчанию.
Синтаксис
passwordpfs localdh-crt-keygroup ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }<DH-GROUP>
no passwordpfs localdh-crt-keygroup
Параметры
<CLEARDH-TEXT> – пароль, задаётся строкой [8..32] символовGROUP> – номер группы Диффи-Хеллмана, принимает значения [0-9a-fA-F].<1, 2, 5, 14-31].
Значение по умолчанию
1HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKEIPSEC-POLICYPROPOSAL
Пример
| Блок кода |
|---|
esr(config-ikeisec-policyproposal)# passwordpfs tteesstt |
...
dh-group 5 |
| Якорь | ||||
|---|---|---|---|---|
|
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннельДанной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчаниюудаляет установленный ключ.
Синтаксис
pfs dh-group <DH-GROUP>no pfs dh-groupПараметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no pre-shared-keyПараметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSECIKE-PROPOSALPOLICY
Пример
| Блок кода |
|---|
esr(config-isecike-proposalpolicy)# pfs dh-group 5 |
...
pre-shared-key |
...
hexadecimal abc123 |
proposal
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннельпривязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет установленный ключпривязку профиля протокола IKE.
Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }no pre-shared-keyПараметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
...
[no] proposal <NAME>Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# pre-shared-key hexadecimal abc123 |
proposal
proposal ike_prop1 |
reauthentication disable
Данной командой возможно отключить процесс реаутентификации IKEv2-сессийДанной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKEвключает процесс реаутентификации.
Синтаксис
[no] proposal <NAME>Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# proposal ike_prop1 |
reauthentication disable
Данной командой возможно отключить процесс реаутентификации IKEv2-сессий.
Использование отрицательной формы команды (no) включает процесс реаутентификации.
Синтаксис
[no] reauthentication disableНеобходимый уровень привилегий
reauthentication disableНеобходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
| Блок кода |
|---|
esr(config-ike-policy)# reauthentication disable |
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
remote address { <ADDR> | any }no remote addressПараметры
<ADDR> – IP-адрес удаленного шлюза.
any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote address 192.168.1.2 |
remote id
Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no remote idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote id dns router.example.loc |
remote network
Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
1015
Командный режим
CONFIG-IKE-POLICYGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-policygw)# reauthentication disable |
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
remote network 192.168.0.0/24 protocol tcp port 22 |
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюзаотключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote addressnetwork { <ADDR> | any }
no remote addressПараметры
<ADDR> – IP-адрес удаленного шлюза.
dynamic clientПараметры
Отсутствуют.
Значение по умолчанию
Отключеноany – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAYGW
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remote network address 192.168.1.2 |
remote id
dynamic client |
retransmit jitter
Данной командой устанавливается уровень случайного разброса периода ожидания ответа на сообщенияДанной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }no remote idПараметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
устанавливает значение по умолчанию.
Синтаксис
retransmit jitter <VALUE>no retransmit jitterПараметры
<VALUE> – максимальный процент разброса значений, <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];<KEY> – текстовая строка длиной до 255 символов.100].
Значение по умолчанию
0 %
Необходимый уровень привилегий
10
...
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit id dns router.example.loc |
remote network
jitter 50 |
retransmit limit
Данной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщенияДанной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителяустанавливает значение по умолчанию.
Синтаксис
remoteretransmit network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }limit <SEC>
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
retransmit limitПараметры
<SEC> – максимальный период времени ожидания ответа на сообщения принимает значения [15..300] секунд.
Значение по умолчанию
0 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# retransmit limit 180 |
retransmit timeout
Данной командой устанавливается базовый период времени ожидания ответа на сообщения.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в команде retransmit tries.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit timeout <SEC>no retransmit timeoutПараметры
<SEC> – базовый период времени ожидания ответа на сообщения принимает значения [1..30] секунд.
Значение по умолчанию
4 секундыany – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit network 192.168.0.0/24 protocol tcp port 22 |
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote network dynamic clientПараметры
timeout 2 |
retransmit tries
Данной командой устанавливается количество попыток повторной отправки сообщений после наступления таймаута ожидания ответа.
Для первого отправленного сообщения период времени ожидания ответа будет равен базовому периоду, указанному в команде retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в данной команде.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit tries <TRIES>retransmit triesПараметры
<TRIES> – количество попыток повторной отправки сообщений в случае наступления таймаута ожидания ответа принимает значения от 1 до 10Отсутствуют.
Значение по умолчанию
Отключено.5 попыток
Необходимый уровень привилегий
...
Командный режим
CONFIG-IKE-GWGATEWAY
Пример
| Блок кода |
|---|
esr(config-ike-gw)# remoteretransmit networktries dynamic client3 |
security ike gateway
Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.
...
<ALGORITHM> – алгоритм аутентификации, принимает значения: none, md5, sha1, sha2-256, sha2‑384, sha2-512.
...