...
- pre-shared-key – метод аутентификации, использующий предварительно согласованные ключи, которые должны совпадать у обоих участников IKE-сессии. Ключ задается в команде "команде pre-shared-key";
- keyring – метод аутентификации, использующий набор предварительно согласованных ключей. Набор ключей задается командой "командой keyring";
- public-key – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей должны быть загружены в локальное хранилище маршрутизатора и указаны в конфигурации через команды "команды crypto ca", " crypto-local-crt " и " crypto local-crt-key";
- trustpoint – метод аутентификации, использующий приватные ключи и сертификаты X.509. Файлы сертификатов и ключей предоставляются PKI-клиентом, который автоматически выписывает актуальные сертификаты у удостоверяющего центра. Используемый PKI-клиент задается в команде "команде crypto trustpoint";
- xauth-psk-key – метод расширенной аутентификации, использующий в качестве первого фактора аутентификации предварительно согласованные ключи и пару логин-пароль пользователя в качестве второго фактора аутентификации;
- eap – метод расширенной аутентификации, использующий приватные ключи и сертификаты X.509 для аутентификации ответчика в IKE-сессии и пару логин-пароль пользователя для аутентификации инициатора IKE-сессии.
...
no dead-peer-detection action
| Scroll Pagebreak |
|---|
Параметры
<MODE> – режим работы DPD:
...
Данной командой устанавливается соответствие идентификатора IPsec-клиента и ключа PSK, который будет использован при аутентификации.
...
| Блок кода |
|---|
esr(config-ike-policy)# lifetime 21600 |
...
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
...
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK) , в качестве идентификатора качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509 , в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.
...
| Блок кода |
|---|
esr(config-ike-policy)# mode aggressive |
| Scroll Pagebreak |
|---|
mode
Данной командой устанавливается режим перенаправления трафика в туннель.
...
<ALGORITHM> – алгоритм аутентификации, принимает значения: none, md5, sha1, sha2-256, sha2‑384, sha2-512.
...