История страницы

...

Шаг	Описание	Команда	Ключи
1	Проверить доступность “внешних” IP-адресов, находящихся на физических интерфейсах.
2	Подготовить IPsec-туннели для работы совместно с динамическими GRE-туннелями.		См. раздел Управление туннелированием#Настройка Настройка Policy-based IPsec VPN.
2	Создать GRE-туннель и перейти в режим его конфигурирования.	esr(config)# tunnel gre <INDEX>	<INDEX> – идентификатор туннеля.
3	Перевести GRE-туннель в режим multipoint.	esr(config-gre )# multipoint
4	Установить открытый пароль для NHRP пакетов (не обязательно).	esr(config-gre)# ip nhrp authentication <WORD>	<WORD> – пароль в открытой форме, задается строкой [1..8] символов, может включать символы [0-9a-fA-F].
5	Указать время, в течении которого на NHS будет существовать запись о данном клиенте (не обязательно).	esr(config-gre)# ip nhrp holding-time <TIME>	<TIME> – время в секундах, в течении которого на сервере будет существовать запись о данном клиенте, принимает значения [1..65535]. Значение по умолчанию: 7200
6	Задать «логический(туннельный)» адрес NHRP сервера.	esr(config-gre)# ip nhrp nhs <ADDR> [ no-registration ]	<ADDR/LEN> – адрес, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; no - registration — не регистрироваться на NHRP сервере.
7	Задать соответствие «внутреннего» туннельного адреса с «внешним» NBMA адресом.	esr(config-gre)# ip nhrp map <ADDR> <ADDR>	<ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
8	Определить адресата мультикастного трафика.	esr(config-gre)# ip nhrp multicast { dynamic \| nhs \| <ADDR> }	dynamic — отправлять на все пиры, с которыми есть соединение; nhs — отправлять на все статические сконфигурированные сервера; <ADDR> — отправлять на специфически сконфигурированный адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
9	Включить возможность отправки NHRP Traffic Indication пакетов. Выполняется на NHS (не обязательно).	esr(config-gre)# ip nhrp redirect
10	Включить возможность создания кратчайших маршрутов. Выполняется на NHC(не обязательно).	esr(config-gre)# ip nhrp shortcut
11	Привязать IPsec-VPN к mGRE туннелю (не обязательно).	esr(config-gre)# ip nhrp ipsec <WORD> { static \| dynamic }	<WORD> – имя VPN, задаётся строкой до 31 символа; static — статическое соединение, применятся для связи с NHS; dynamic — динамически устанавливающееся соединение, конфигурируется для связи между NHC.
12	Включить работу протокола NHRP.	esr(config-gre)# ip nhrp enable
13	Организовать IP-связность посредством протокола динамической маршрутизации.
Остальные настройки - аналогичны настройкам статичного GRE-туннеля (см. раздел Управление туннелированием#Настройка Настройка GRE-туннелей)

Пример настройки

...


esr(config)# security ike proposal <NAME>
esr(config-ike- proposal)# description <DESCRIPTION>
esr(config-ike- proposal)# authentication algorithm <ALGORITHM>
esr(config-vti)# ip address <ADDR/LEN>
esr(config-ike- proposal)# dh-group <DH-GROUP>
esr(config)# security ike policy <NAME>
esr(config-ike- policy)# authentication method <METHOD>
esr(config-ike- policy)# authentication mode client
esr(config-ike- policy)# lifetime seconds <SEC>
esr(config-ike-policy)# proposal <NAME>
esr(config-ike-policy)#pre-shared-key ascii-text <TEXT>
esr(config)# access profile <NAME>
esr(config-access-profile)# user <LOGIN>
esr(config-profile)# password ascii-text <TEXT>
esr(config)# address-assignment pool <NAME>
esr(config-pool)# ip prefix <ADDR/LEN>
esr(config)# security ike gateway <NAME>
esr(config-ike-gw)# ike-policy <NAME>
esr(config-ike-gw)# mode <MODE>
esr(config-ike-gw)# dead-peer-detection action <MODE>
esr(config-ike-gw)#dead-peer-detection interval <SEC>
esr(config-ike-gw)# dead-peer-detection timeout <SEC>
esr(config-ike-gw)# version <VERSION>
esr(config-ike-gw)# local network <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
esr(config-ike-gw)#local address <ADDR>
esr(config-ike-gw)#remote address [any | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
esr(config-ike-gw)# remote network dynamic pool <NAME>
esr(config-ike-gw)# remote network dynamic client
esr(config-ike-gw)# xauth access-profile <NAME>
esr(config-ike-gw)# xauth access-profile <NAME> client <LOGIN>
esr(config-ike-gw)# assign-interface loopback <INDEX>
esr(config)# security ipsec proposal <NAME>
esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>
esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>
esr(config-ipsec- proposal)#protocol <PROTOCOL>
esr(config)# security ipsec policy <NAME>
esr(config-ipsec-policy)# proposal <NAME>
esr(config-ipsec-policy)# lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
esr(config)# security ipsec vpn <NAME>
esr(config-ipsec-vpn)# mode <MODE>
esr(config-ipsec-vpn)#ike ipsec-policy <NAME>
esr(config-ipsec-vpn)#ike dscp <DSCP>
esr(config-ipsec-vpn)#ike establish-tunnel <MODE>
esr(config-ipsec-vpn)# ike gateway <NAME>
esr(config-ipsec-vpn)# ike idle-time <TIME>
esr(config-ipsec-vpn)#ike rekey disable
esr(config-ipsec-vpn)# Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
esr(config-ipsec-vpn)# ike rekey randomization <VALUE>
esr(config-ipsec-vpn)# description <DESCRIPTION>
esr(config-ipsec-vpn)# enable
esr(config-ipsec-vpn)# security ike session uniqueids <MODE>

...

Шаг	Описание	Команда	Ключи
1	Создать IKE-экземпляр и перейти в режим его конфигурирования.	esr(config)# security ike proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
2	Указать описание конфигурируемого туннеля (не обязательно).	esr(config-ike- proposal)# description <DESCRIPTION>	<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
3	Определить алгоритм аутентификации для IKE (не обязательно).	esr(config-ike- proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1
4	Установить IP-адрес локальной стороны VTI-туннеля (не обязательно).	esr(config-vti)# ip address <ADDR/LEN>	<ADDR/LEN> – IP-адрес и префикс подсети задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..31].
5	Определить номер группы Диффи-Хеллмана (не обязательно).	esr(config-ike- proposal)# dh-group <DH-GROUP>	<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18]. Значение по умолчанию: 1
6	Создать политику для профиля IKE и перейти в режим её конфигурирования.	esr(config)# security ike policy <NAME>	<NAME> – имя политики IKE, задаётся строкой до 31 символа.
7	Определить режим аутентификации.	esr(config-ike- policy)# authentication method <METHOD>	<METHOD> – метод аутентификации ключа. Может принимать значения: xauth - psk - key – метод двухфакторной аутентификации, использующий пару логин-пароль и предварительно полученные ключи шифрования.
8	Задать режим клиента (только для клиента).	esr(config-ike- policy)# authentication mode client
9	Задать время жизни соединения протокола IKE (не обязательно).	esr(config-ike- policy)# lifetime seconds <SEC>	<SEC> – период времени, принимает значения [4 ..86400] секунд. Значение по умолчанию: 3600
10	Привязать политику к профилю.	esr(config-ike-policy)# proposal <NAME>	<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
11	Указать ключ аутентификации.	esr(config-ike-policy)#pre-shared-key ascii-text <TEXT>	<TEXT> – строка [1..64] ASCII символов.
12	Создать профиль доступа.	esr(config)# access profile <NAME>	<NAME> – имя профиля доступа, задаётся строкой до 31 символа.
13	Создать имя пользователя.	esr(config-access-profile)# user <LOGIN>	<LOGIN> – логин клиента, задаётся строкой до 31 символа.
14	Задать пароль пользователя.	esr(config-profile)# password ascii-text <TEXT>	<TEXT> – строка [8..32] ASCII символов.
15	Создать пул адресов назначения (только для сервера).	esr(config)# address-assignment pool <NAME>	<NAME> – имя пула адресов назначения, задаётся строкой до 31 символа.
16	Задать подсеть, из которой будут выдаваться IP клиентам (только для сервера).	esr(config-pool)# ip prefix <ADDR/LEN>	<ADDR/LEN> – адрес подсети и префикс.
17	Создать шлюз для IKE и перейти в режим его конфигурирования.	esr(config)# security ike gateway <NAME>	<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа.
18	Привязать политику IKE.	esr(config-ike-gw)# ike-policy <NAME>	<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
19	Установить режим перенаправления трафика в туннель.	esr(config-ike-gw)# mode <MODE>	<MODE> – режим перенаправления трафика в туннель, принимает значения: policy - based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям.
20	Указать действие для DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection action <MODE>	<MODE> – режим работы DPD: restart – соединение переустанавливается; clear – соединение останавливается; hold – соединение поддерживается; none – механизм выключен, никаких действий не предпринимается. Значение по умолчанию: none
21	Указать интервал между отправкой сообщений механизмом DPD (не обязательно).	esr(config-ike-gw)#dead-peer-detection interval <SEC>	<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд. Значение по умолчанию: 2
22	Указать период времени для ответа на сообщения механизма DPD (не обязательно).	esr(config-ike-gw)# dead-peer-detection timeout <SEC>	<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд. Значение по умолчанию: 30
23	Указать версию IKE (не обязательно).	esr(config-ike-gw)# version <VERSION>	<VERSION> – версия IKE-протокола: v1-only или v2-only. Значение по умолчанию: v1-only
24	Установить IP подсети отправителя (только для сервера).	esr(config-ike-gw)# local network <ADDR/LEN> [ protocol { <TYPE> \| <ID> } [ port <PORT> ] ]	<ADDR/LEN> – IP-адрес и маска подсети отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; <TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre; <ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]; <PORT> – TCP/UDP порт, принимает значения [1..65535].
25	Установить IP-адрес локального шлюза IPsec-туннеля.	esr(config-ike-gw)#local address <ADDR>	<ADDR> – IP-адрес локального шлюза.
26	Установить IP-адрес удаленного шлюза IPsec-туннеля.	esr(config-ike-gw)#remote address [any \| <ADDR/LEN> [ protocol { <TYPE> \| <ID> } [ port <PORT> ] ]	Any – установить в качестве удаленного адреса – любой адрес клиента, в конфигурации сервера; <ADDR/LEN> – IP-адрес и маска подсети сервера, в кофигурации клиента.
27	Задать пул динамического выделения IP-адресов клиентам (только для сервера).	esr(config-ike-gw)# remote network dynamic pool <NAME>	<NAME> – имя пула адресов назначения, задаётся строкой до 31 символа.
28	Задать режим динамического установления удаленной подсети (только для клиента).	esr(config-ike-gw)# remote network dynamic client
29	Задать профиль доступа для XAUTH параметров (только для сервера).	esr(config-ike-gw)# xauth access-profile <NAME>	<NAME> – имя профиля доступа, задаётся строкой до 31 символа.
30	Задать профиль доступа и логин для XAUTH параметров (только для клиента).	esr(config-ike-gw)# xauth access-profile <NAME> client <LOGIN>	<NAME> – имя профиля доступа, задаётся строкой до 31имвола; <LOGIN> – логин клиента, задаётся строкой до 31 символа.
31	Задать интерфейс терминации выделенного IP для построения IPsec VPN (только для клиента).	esr(config-ike-gw)# assign-interface loopback <INDEX>	<INDEX> – индекс интерфейса, принимает значения [1..65535].
32	Создать профиль IPsec.	esr(config)# security ipsec proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
33	Определить алгоритм аутентификации для IPsec (не обязательно).	esr(config-ipsec-proposal)# authentication algorithm <ALGORITHM>	<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512. Значение по умолчанию: sha1
34	Определить алгоритм шифрования для IPsec (не обязательно).	esr(config-ipsec-proposal)# encryption algorithm <ALGORITHM>	<ALGORITHM> – протокол шифрования, принимает значения: des, 3des, blowfish128, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256. Значение по умолчанию: 3des
35	Указать протокол (не обязательно).	esr(config-ipsec- proposal)#protocol <PROTOCOL>	<PROTOCOL> – инкапсулирующий протокол, принимает значения.
36	Создать политику для профиля IPsec и перейти в режим её конфигурирования	esr(config)# security ipsec policy <NAME>	<NAME> – имя политики IPsec, задаётся строкой до 31 символа.
37	Привяжем политику к профилю	esr(config-ipsec-policy)# proposal <NAME>	<NAME> – имя профиля протокола IPsec, задаётся строкой до 31 символа.
38	Задать время жизни IPsec туннеля (не обязательно).	esr(config-ipsec-policy)# lifetime { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – период времени жизни IPsec-туннеля, по истечении которого происходит пересогласование. Принимает значения [1140..86400] секунд. Значение по умолчанию: 540 <PACKETS> – количество пакетов, после передачи которых происходит пересогласование IPsec-туннеля. Принимает значения [4..86400]. Значение по умолчанию: отключено. <KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400] секунд. Значение по умолчанию: отключено.
39	Создать IPsec VPN и перейти в режим конфигурирования.	esr(config)# security ipsec vpn <NAME>	<NAME> – имя VPN, задаётся строкой до 31 символа.
40	Определить режим согласования данных, необходимых для активации VPN.	esr(config-ipsec-vpn)# mode <MODE>	<MODE> – режим работы VPN, принимает значения: ike, manual.
41	Привязать IPsec политику к VPN.	esr(config-ipsec-vpn)#ike ipsec-policy <NAME>	<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
42	Задать значение DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола (не обязательно).	esr(config-ipsec-vpn)#ike dscp <DSCP>	DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63
43	Устанавливается режим активации VPN.	esr(config-ipsec-vpn)#ike establish-tunnel <MODE>	<MODE> – режим активации VPN: by - request – соединение активируется встречной стороной, доступно для сервера; route – соединение активируется при появлении трафика, маршрутизируемого в туннель, доступно для сервера; immediate – туннель активируется автоматически после применения конфигурации, доступно для клиента.
44	Осуществить привязка IKE-шлюза к VPN.	esr(config-ipsec-vpn)# ike gateway <NAME>	<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
45	Установить значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA (не обязательно).	esr(config-ipsec-vpn)# ike idle-time <TIME>	<TIME> – интервал в секундах, принимает значения [4..86400]. Значение по умолчанию: 0
46	Отключить пересогласование ключей до разрыва IKE соединения по истечению времени, количеству переданных пакетов или байт (не обязательно).	esr(config-ipsec-vpn)#ike rekey disable	Значение по умолчанию: включено.
47	Настроить начало пересогласования ключей IKE соединения до истечения времени жизни (не обязательно).	esr(config-ipsec-vpn)# Ike rekey margin { seconds <SEC> \| packets <PACKETS> \| kilobytes <KB> }	<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetimeseconds) . Принимает значения [4..86400]. Значение по умолчанию: 540 <PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetimepackets). Принимает значения [4..86400]. Значение по умолчанию: отключено. <KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetimekilobytes). Принимает значения [4..86400] Значение по умолчанию: отключено.
48	Установить уровень случайного разброса значений параметров marginseconds, marginpackets, marginkilobytes (не обязательно).	esr(config-ipsec-vpn)# ike rekey randomization <VALUE>	<VALUE> – максимальный процент разброса значений, принимает значения [1..100]. Значение по умолчанию: 100
49	Описать VPN (не обязательно).	esr(config-ipsec-vpn)# description <DESCRIPTION>	<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
50	Активировать IPsec VPN.	esr(config-ipsec-vpn)# enable
51	Включить режим пере-подключения клиентов XAUTH с одним логином/паролем (только для сервера) (не обязательно).	esr(config-ipsec-vpn)# security ike session uniqueids <MODE>	<MODE> – режим пере-подключения, принимает следующие значения: no - Установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. never - Установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано. replace - Установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес. keep - Установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.

Дерево страниц

Сравнение версий

Старая версия 1

Новая версия 2

Ключ

Пример настройки