Сравнение версий

Старая версия 3

changes.mady.by.user Мушин Павел Андреевич

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

<METHOD> – метод аутентификации ключаIKE-сессии. Может принимать значения:

  • pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрованиясогласованные ключи, которые должны совпадать у обоих участников IKE-сессии. Ключ задается в команде pre-shared-key;
  • keyring – метод аутентификации, использующий набор предварительно согласованных ключей. Набор ключей задается командой keyring;
  • public-key – метод аутентификации, использующий публичный ключ сертификатаприватные ключи и сертификаты X.509. Файлы сертификатов и ключей должны быть загружены в локальное хранилище маршрутизатора и указаны в конфигурации через команды crypto ca, crypto-local-crt и crypto local-crt-key;
  • trustpoint – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей предоставляются PKI-клиентом, который автоматически выписывает актуальные сертификаты у удостоверяющего центра. Используемый PKI-клиент задается в команде crypto trustpoint;
  • xauth-psk-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;eap – метод расширенной аутентификации, использующий в качестве первого фактора аутентификации предварительно согласованные ключи и пару логин-пароль и предварительно полученные сертификатыпользователя в качестве второго фактора аутентификации;
  • keyring eap – метод расширенной аутентификации, использующий набор ключей аутентификацииприватные ключи и сертификаты X.509 для аутентификации ответчика в IKE-сессии и пару логин-пароль пользователя для аутентификации инициатора IKE-сессии.
Значение по умолчанию

pre-shared-key

...

Данной командой указываются необходимые сертификатыисточники приватных ключей и сертификатов для использования в установлении IKE-сессии.

Использование отрицательной формы команды (no) удаляет название сертификата источник из конфигурации.

Синтаксис
crypto <CERTIFICATE-TYPE><TYPE> <NAME>
no crypto <CERTIFICATE-TYPE><TYPE>
Параметры

<CERTIFICATE-TYPE> <TYPE> тип сертификата или ключаисточника ключевой информации, может принимать следующие значения:

  • ca – сертификат имя файла сертификата удостоверяющего центра сертификации;
  • crl – список имя файла списка отозванных сертификатов ;удостоверяющего центра;
  • local-crt – имя файла сертификата, используемого маршрутизатором при установлении IKE-сессииlocal-crt – сертификат локальной стороны;
  • local-crt-key – ключ сертификата локальной стороны– имя файла приватного ключа, используемого маршрутизатором при установлении IKE-сессии;
  • remote-crt – сертификат удаленной стороны. Вместо имени файла возможно использование ключа "any" для установления режима приема открытого ключа удаленной стороны по сети;имя файла сертификата, используемого маршрутизатором для аутентификации удаленного IKE-соседа;
  • trustpoint – имя PKI-клиента, который отвечает за автоматическую генерацию приватного ключа и выпуск сертификата у вышестоящего удостоверяющего центра для дальнейшего использования в IKE-сессии.

<NAME> – имя сертификата файла или ключаPKI-клиента, задаётся строкой до 31 символа.

...

no dead-peer-detection action

...

Параметры
<MODE> – режим работы DPD:
...
Данной командой устанавливается соответствие идентификатора IPsec-клиента и ключа PSK, который будет использован при аутентификации.
...
 Блок  кода
esr(config-pool)# ip prefix 192.168.0.0/16
 Якорь
keyring
keyring
keyring
Данной командой указывается набор ключей аутентификации IKE.
...
 Блок  кода
esr(config-ike-policy)# lifetime 21600
...
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
...
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK) , в качестве идентификатора качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509 , в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.
...
 Блок  кода
esr(config-ike-policy)# mode aggressive
 Scroll Pagebreak
mode
Данной командой устанавливается режим перенаправления трафика в туннель.
...
<ALGORITHM> – алгоритм аутентификации, принимает значения: none, md5, sha1, sha2-256, sha2‑384, sha2-512.
...