Управление VPN. Настройки IKE
access profile
Данной командой создается профиль настроек пользователя для IKE-GATEWAY с определенным именем и осуществляется переход в режим конфигурирования профиля.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль настроек пользователя для IKE-GATEWAY.
Синтаксис
[no] access profile <NAME>
Параметры
<NAME> – имя профиля пользователя для IKE-GATEWAY, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# access profile OFFICE
access-profile
Данной командой указывается локальный список пользователей для авторизации. В случае настройки на IPsec VPN Remote Access сервере указывается только название локального списка пользователей, а в случае настройки IPsec VPN Remote Access клиента дополнительно указывается имя пользователя, который будет использован для авторизации на сервере.
Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
access-profile <NAME> [ client <USER-NAME> ]
[no] access-profile <NAME>
Параметры
<NAME> – название локального списка пользователей, задаётся строкой до 31 символа;
<USER-NAME> – имя пользователя из прикрепленного, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gateway)# access-profile OFFICE client admin
address-assignment pool
Команда используется для создания пула адресов и настройки передаваемых параметров для динамической конфигурации IPsec-клиентов.
Использование отрицательной формы команды (no) удаляет пула адресов.
Синтаксис
[no] address-assignment pool <NAME>
Параметры
<NAME> – имя пула адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# address-assignment pool CENTER esr(config-pool)#
assign-interface
Данной командой указывается loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) удаляется loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.
Синтаксис
assign-interface loopback <LOOPBACK>|<LOOPBACK>-<LOOPBACK>
no assign-interface
Параметры
<LOOPBACK> – номер созданного ранее loopback-интерфейса, принимает значение в диапазоне [1..8].
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
esr(config-ike-gw)# assign-interface loopback 3
authentication algorithm
Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. password).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
esr(config-ike-proposal)# authentication algorithm md5
authentication mode
Данной командой устанавливается режим XAUTH аутентификации удаленных пользователей, подключающихся по протоколу IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
Синтаксис
authentication mode { local | radius | client }
no authentication mode
Параметры
local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля;
radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер;
client – режим, используемый XAUTH-клиентом.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# authentication mode local
authentication method
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication method <METHOD>
no authentication method
Параметры
<METHOD> – метод аутентификации ключа. Может принимать значения:
- pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования;
- public-key – метод аутентификации, использующий публичный ключ сертификата;
- xauth-psk-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;
- eap – метод расширенной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты;
- keyring – метод аутентификации, использующий набор ключей аутентификации.
Значение по умолчанию
pre-shared-key
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-proposal)# authentication method pre-shared-key
bind-interface vti
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля «route-based».
Использование отрицательной формы команды (no) удаляет привязку к туннельному интерфейсу.
Синтаксис
bind-interface vti <VTI>
no bind-interface vti
Параметры
<VTI> – идентификационный номер интерфейса VTI.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# bind-interface vti 1
crypto
Данной командой указываются необходимые сертификаты.
Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.
Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
- ca – сертификат центра сертификации;
- crl – список отозванных сертификатов;
- local-crt – сертификат локальной стороны;
- local-crt-key – ключ сертификата локальной стороны;
- remote-crt – сертификат удаленной стороны. Вместо имени файла возможно использование ключа "any" для установления режима приема открытого ключа удаленной стороны по сети;
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# crypto ca KEY
data-tunnel address
Данной командой указывается IP-адрес для постройки GRE data туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE data туннель должен быть поддержан на стороне клиента (требует ELTEX_DATA_IP(28684).
Использование отрицательной формы команды (no) удаляет IP-адрес для постройки GRE data туннеля.
Синтаксис
data-tunnel address <ADDR>
no data-tunnel address
Параметры
<ADDR> – IP-адрес для построения GRE data туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
esr(config-pool)# data-tunnel address 192.168.2.66
dead-peer-detection action
Данной командой устанавливается действие, которое должно предпринять устройство в случае обнаружения недоступности IPsec-соседа механизмом Dead Peer Detection.
Dead Peer Detection (DPD) – это механизм проверки состояния и доступности соседних устройств. Механизм периодически отправляет R-U-THERE сообщения (для IKE версии 1) или пустые INFORMATIONAL сообщения (для IKE версии 2) для проверки доступности IPsec-соседа.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection action <MODE>
no dead-peer-detection action
Параметры
<MODE> – режим работы DPD:
- restart – соединение переустанавливается;
- clear – соединение останавливается;
- hold – соединение поддерживается;
- none – механизм выключен, никаких действий не предпринимается.
Значение по умолчанию
none
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection action clear
dead-peer-detection interval
Данной командой устанавливается интервал между отправкой сообщений механизмом DPD.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection interval <SEC>
no dead-peer-detection interval
Параметры
<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд.
Значение по умолчанию
2 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection interval 15
dead-peer-detection retransmit jitter
Данной командой устанавливается уровень случайного разброса периода ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection retransmit jitter <VALUE>
no dead-peer-detection retransmit jitter
Параметры
<VALUE> – максимальный процент разброса значений, принимает значения [0..100].
Значение по умолчанию
0 %
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection retransmit jitter 50
dead-peer-detection retransmit limit
Данной командой устанавливается ограничение максимального периода времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection retransmit limit <SEC>
no dead-peer-detection retransmit limit
Параметры
<SEC> – максимальный период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [15..300] секунд.
Значение по умолчанию
0 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection retransmit limit 180
dead-peer-detection retransmit timeout
Данной командой устанавливается базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2.
Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в данной команде, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"dead-peer-detection retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в команде dead-peer-detection retransmit tries.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection retransmit timeout <SEC>
no dead-peer-detection retransmit timeout
Параметры
<SEC> – базовый период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 2, принимает значения [1..30] секунд.
Значение по умолчанию
4 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection retransmit timeout 2
dead-peer-detection retransmit tries
Данной командой устанавливается количество попыток повторной отправки сообщений механизма DPD после наступления таймаута ожидания ответа при использовании протокола IKE версии 2.
Для первого отправленного сообщения DPD период времени ожидания ответа будет равен базовому периоду, указанному в команде dead-peer-detection retransmit timeout, а для последующих попыток интервал ожидания будет рассчитан по формуле:
"dead-peer-detection retransmit timeout" * 1.8 ^ (N-1),
где N – номер попытки, предел которых указан в данной команде.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection retransmit tries <TRIES>
no dead-peer-detection retransmit tries
Параметры
<TRIES> – количество попыток повторной отправки сообщений механизма DPD в случае наступления таймаута ожидания ответа при использовании протокола IKE версии 2, принимает значения от 1 до 10.
Значение по умолчанию
5 попыток
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection retransmit tries 3
dead-peer-detection timeout
Данной командой задаётся период времени ожидания ответа на сообщения механизма DPD при использовании протокола IKE версии 1.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-peer-detection timeout <SEC>
no dead-peer-detection timeout
Параметры
<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# dead-peer-detection timeout 60
description
Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-KEYRING
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-proposal)# description "my proposal"
dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dh-group <DH-GROUP>
no dh-group
Параметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
esr(config-ike-proposal)# dh-group 5
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-PROPOSAL
Пример
esr(config-ike-proposal)# encryption algorithm aes128
identity
Данной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.
Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификатора.
Синтаксис
identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-KEYRING
Пример
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password
ike-policy
Данной командой устанавливается привязка политики протокола IKE к шлюзу.
Использование отрицательной формы команды (no) удаляет привязку политики.
Синтаксис
[no] ike-policy <NAME>
Параметры
<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# ike-policy ike_pol1
ip prefix
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Синтаксис
ip prefix <ADDR/LEN>
no ip prefix
Параметры
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
Не задан.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
esr(config-pool)# ip prefix 192.168.0.0/16
keyring
Данной командой указывается набор ключей аутентификации IKE.
Использование отрицательной формы команды (no) удаляет набор ключей.
Синтаксис
keyring <NAME>
no keyring
Параметры
<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# keyring ike_keyring
lifetime seconds
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime seconds <SEC>
no lifetime seconds
Параметры
<SEC> – период времени, принимает значения [4 ..86400] секунд.
Значение по умолчанию
10800 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# lifetime 21600
local address
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
Синтаксис
local address <ADDR>
no local address
Параметры
<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# local address 192.168.1.1
local id
Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.
Использование отрицательной формы команды (no) удаляет настройку идентификатора локального шлюза.
Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no local id
Параметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# local id ipv4 192.168.18.1
local interface
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
Синтаксис
local interface <IF>
no local interface
Параметры
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
esr(config-ike-gw)# local interface gigabitethernet 1/0/1
local network
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
Параметры
<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# local network 192.168.1.0/24 protocol tcp port 22
management-tunnel address
Данной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).
Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеля.
Синтаксис
management-tunnel address <ADDR>
no management-tunnel address
Параметры
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-POOL
Пример
esr(config-pool)# management-tunnel address 192.168.2.87
mobike disable
Данная команда отключает расширение MOBIKE IKEv2, которое позволяет инициатору ike-сессии изменять local address в соответствии с RFC 4555.
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурации.
Синтаксис
[ no ] mobike disable
Параметры
Отсутствуют.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gateway)# mobike disable
mode
Данной командой устанавливается режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим первой фазы IKE, принимает значения:
- main – состоит из трех двусторонних обменов между отправителем и получателем:
- Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
- Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
- Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
- aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
- В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
- Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
- В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию
main
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# mode aggressive
mode
Данной командой устанавливается режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим перенаправления трафика в туннель, принимает значения:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# mode route-based
password
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.
Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PROFILE
Пример
esr(config-profile) password tteesstt
password local-crt-key
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).
Использование отрицательной формы команды (no) удаляет пароль.
Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password local-crt-key
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy) password tteesstt
pfs dh-group
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
esr(config-isec-proposal)# pfs dh-group 5
pre-shared-key
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# pre-shared-key hexadecimal abc123
proposal
Данной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-POLICY
Пример
esr(config-ike-policy)# proposal ike_prop1
remote address
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
remote address { <ADDR> | any }
no remote address
Параметры
<ADDR> – IP-адрес удаленного шлюза.
any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# remote address 192.168.1.2
remote id
Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля, получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.
Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.
Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no remote id
Параметры
any – ключ, обозначающий "любой" идентификатор;
<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<KEY> – текстовая строка длиной до 255 символов.
Необходимый уровень привилегий
10
Значение по умолчанию
Отсутствует
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# remote id dns router.example.loc
remote network
Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
Синтаксис
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
Параметры
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22
remote network dynamic client
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
Синтаксис
[no] remote network dynamic client
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IKE-GW
Пример
esr(config-ike-gw)# remote network dynamic client
security ike gateway
Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
Синтаксис
[no] security ike gateway <NAME>
Параметры
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)#
security ike keyring
Данной командой создается набор ключей аутентификации для протокола IKE, который включает в себя наборы соответствий адресов удаленных IPsec-клиентов и ключей PSK, которые будут использоваться при аутентификации.
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
Синтаксис
[no] security ike keyring <NAME>
Параметры
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все наборы.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike keyring ike_keyring1 esr(config-ike-gw)#
security ike policy
Данной командой создается политика IKE, которая включает в себя профили протокола IKE, общий секретный ключ для аутентификации и режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.
Синтаксис
[no] security ike policy <NAME>
Параметры
<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike policy ike_pol1 esr(config-ike-policy)#
security ike proposal
Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.
Синтаксис
[no] security ike proposal <NAME>
Параметры
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)#
security ike session reauthentication
Данной командой задается режим повторной аутентификации ассоциации безопасности IKE в протоколе IKE версии 2.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session reauthentication <MODE>
no security ike session reauthentication
Параметры
<MODE> – режим повторной аутентификации ассоциации безопасности IKE в протоколе IKE версии 2, принимает следующие значения:
- break-before-make – в процессе повторной аутентификации текущая ассоциация безопасности IKE совместно с ассоциациями безопасности IPsec будет разрушена до того, как будет установлена новая ассоциация безопасности IKE.
- make-before-break – в процессе повторной аутентификации текущая ассоциация безопасности IKE совместно с ассоциациями безопасности IPsec будет существовать и использоваться до полного завершения процесса установления новой ассоциации безопасности IKE.
Значение по умолчанию
break-before-make
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike session reauthentication make-before-break
security ike session uniqueids
Данной командой задается режим переподключения клиентов XAUTH с одним логином/паролем.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
Параметры
<MODE> – режим переподключения, принимает следующие значения:
- no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
- never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
- replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
- keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено.
Значение по умолчанию
never
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ike session uniqueids replace
show security ike
Команда используется для просмотра списка шлюзов, политик или профилей.
Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]
Параметры
gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;
policy – при указании команды «policy» будет выведен список сконфигурированных политик;
proposal – при указании команды «proposal» будет выведен список сконфигурированных профилей;
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ike proposal Proposal ~~~~~~~~ Name Auth Encryption DH Hash Lifetime ------------ ------- ---------------- -- ---------- ---------- aaa pre-sha 3des 1 sha1 3600 red-key esr# show security ike policy Policy ~~~~~~ Name Mode Proposal ---------------------------- ---------- ----------------------------------- ike_pol1 main ike_prop1 esr# show security ike gateway ik_gw Description: -- IKE Policy: ike_pol1 IKE Version: v1-only Mode: route-based Binding interface: vti1 IKE Dead Peer Detection: Action: none Interval: 2 Timeout: 30
user
Данной командой задается имя пользователя для аутентификации IKE-GETWAY.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
Синтаксис
[no] user <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ACCESS-PROFILE
Пример
esr(config-access-profile)# user connecter963
version
Данной командой задаётся версия протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
version <VERSION>
no version
Параметры
<version> – версия IKE-протокола: v1-only или v2-only.
Значение по умолчанию
v1-only
Необходимый уровень привилегий
15
Командный режим
CONFIG-IKE-GATEWAY
Пример
esr(config-ike-gw)# version v2-only
Управление VPN. Настройки IPsec
authentication algorithm
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
Значение по умолчанию
sha1
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
esr(config-ipsec-proposal)# authentication algorithm md5
clear security ipsec vpn
Данной командой осуществляется сброс одного из текущих VPN-соединений.
Синтаксис
clear security ipsec vpn [ vrf <VRF> ] <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# clear security ipsec vpn IPSEC_MAIN_OFFICE
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
Пример
esr(config-ipsec-vpn)# description "VPN to Moscow Office"
enable
Данной командой активируется IPsec VPN.
Использование отрицательной формы команды (no) деактивирует IPsec VPN.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# enable
encryption algorithm
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
esr(config-ipsec-proposal)# encryption algorithm blowfish128
ike dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ike dscp <DSCP>
no ike dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike dscp 40
ike establish-tunnel
Командой устанавливается режим активации VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike establish-tunnel <MODE>
no Ike establish-tunnel
Параметры
<MODE> – режим активации VPN:
- by-request – соединение активируется встречной стороной;
- route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
- immediate – туннель активируется автоматически после применения конфигурации. Если произойдет закрытие соединения от удаленной стороны VPN при использовании режима immediate, тогда установить соединение повторно будет возможно только после перезагрузки маршрутизатора или перезапуске VPN через CLI маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike establish-tunnel route
ike gateway
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike gateway <NAME>
no ike gateway
Параметры
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike gateway ike_gw1
ike idle-time
Данной командой устанавливается значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA.
Использование отрицательной формы команды (no) отключает данный таймер.
Синтаксис
ike idle-time <TIME>
no ike idle-time
Параметры
<TIME> – интервал в секундах, принимает значения [4..86400].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike idle-time 3600
ike rekey disable
Данной командой отключается пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт.
Использование отрицательной формы команды (no) включает пересогласование ключей.
Синтаксис
[no] ike rekey disable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike rekey disable
ike rekey margin
Данной командой можно настроить начало пересогласования ключей IKE-соединения до истечения времени жизни.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no ike rekey margin { seconds | packets | kilobytes }
Параметры
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. lifetime). Принимает значения [4..86400].
<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. lifetime). Принимает значения [4..86400].
<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. lifetime). Принимает значения [4..86400].
Значение по умолчанию
Пересогласование ключей до истечения времени – за 540 секунд.
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike rekey margin seconds 1800
ike rekey randomization
Данной командой устанавливается уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ike rekey randomization <VALUE>
no ike rekey randomization
Параметры
<VALUE> – максимальный процент разброса значений, принимает значения [1..100].
Значение по умолчанию
100%
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike rekey randomization 10
ike ipsec-policy
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
Параметры
<NAME> – имя IPsec-политики, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1
lifetime
Данной командой устанавливается время жизни IPsec-туннеля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no lifetime { seconds | packets | kilobytes }
Параметры
<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд;
<PACKETS> – количество пакетов, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400];
<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд.
Значение по умолчанию
3600 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-POLICY
Пример
esr(config-ipsec-proposal)# lifetime seconds 3600
manual authentication algorithm
Данной командой устанавливается алгоритм аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].
Значение по умолчанию
none
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual authentication algorithm sha1
manual authentication key
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no manual authentication key
Параметры
<TEXT> – строка [1..64] ASCII-символов;
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef
manual bind-interface vti
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля route-based. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual bind-interface vti <VTI>
no manual bind-interface vti
Параметры
<VTI> – индекс интерфейса VTI, принимает значения:
- ESR-10/12V/12VF/15/15R/15VF – [1..10];
- ESR-20/21/30/31/100/200 – [1..250];
- ESR-1000/1200/1500/1511/1700/3100/3200/3200L/3300 – [1..500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual bind-interface vti 0
manual encryption algorithm
Данной командой устанавливается алгоритм шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
Параметры
<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
Значение по умолчанию
3des
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28
manual encryption key
Данной командой устанавливается ключ шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no manual encryption key
Параметры
<TEXT> – строка [1..36] ASCII-символов;
<HEX> – число размером [1..24] байт, задаётся строкой [2..72] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..24] байт, задаётся строкой [2..72] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456
manual mode
С помощью данной команды осуществляется установка режима перенаправления трафика в туннель. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
manual mode <MODE>
no manual mode
Параметры
<MODE> – режим прохождения трафика:
- policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
- route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual mode route-based
manual protocol
Данной командой устанавливается инкапсулирующий протокол. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
manual protocol <TYPE>
no manual protocol
Параметры
<TYPE> – тип протокола, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual protocol ah
manual spi
Данной командой устанавливается индекс параметров безопасности. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
Синтаксис
manual spi <HEX>
no manual spi
Параметры
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# manual spi FF
mode
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим работы VPN:
- ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
- manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-ipsec-vpn)# mode ike
proposal
Данной командой к политике привязываются профили набора протоколов IPsec.
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
Синтаксис
[no] proposal <NAME>
Параметры
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-POLICY
Пример
esr(config-ipsec-policy)# proposal ipsec_prop1
protocol
Данной командой устанавливается инкапсулирующий протокол.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
protocol <PROTOCOL>
no protocol
Параметры
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
- ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
- esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию
esp
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-PROPOSAL
Пример
esr(config-ipsec-proposal)# protocol ah
security ipsec policy
Данной командой создается политика набора протоколов IPsec, которая включает в себя профили набора протоколов IPsec для согласования второй фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет установленное значение.
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
Синтаксис
[no] security ipsec policy <NAME>
Параметры
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)#
security ipsec proposal
Данной командой создается профиль для набора протоколов IPsec. Профиль IPsec включает в себя параметры алгоритмов шифрования и аутентификации, протокола защиты соединения IPsec-туннеля, а также время жизни соединения.
Использование отрицательной формы команды (no) удаляет указанный профиль.
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
Синтаксис
[no] security ipsec proposal <NAME>
Параметры
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)#
security ipsec vpn
Данной командой создается VPN на основе набора протоколов IPsec и устанавливается командный режим SECURITY IPSEC VPN.
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
Синтаксис
[no] security ipsec vpn <NAME>
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)#
show security ipsec
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]
Параметры
vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;
policy – при указании данной команды будет выведен список сконфигурированных политик набора протоколов IPsec;
proposal – при указании команды будет выведен список сконфигурированных профилей набора протоколов IPsec;
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ipsec proposal Proposal ~~~~~~~~ Name Prot Enc. alg. Auth. alg. Lifetime --------------------- ---- ---------------- --------------- ----------- ipsec_prop1 esp aes128 sha1 28800 sec esr# show secu rity ipsec policy Name Description Proposal -------------------- ------------------- ----------------------------------- ipsec_pol1 ipsec_prop1 Master# show security ipsec vpn configuration IPSECVPN Description: -- State: Enabled IKE: Establish tunnel: immediate IPsec policy: IPSECPOLICY IKE gateway: IKEGW IKE DSCP: 63 IKE idle-time: 0s IKE rekeying: Enabled Margin time: 540s Margin kilobytes: 0 Margin packets: 0 Randomization: 100%
show security ipsec vpn authentication
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
Параметры
<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2.2.1 2.2.2.2 192.168.2.0/24 192.168.1.1/32 Xauth PSK, login: ipsec Established
show security ipsec vpn status
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
Параметры
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100.14.1 10.100.14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established
type
Данной командой задается тип инкапсуляции IPsec.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
type <TYPE>
no type
Параметры
<TYPE> – тип инкапсуляции IPsec, принимает значения:
- tunnel;
- transport.
Значение по умолчанию
tunnel
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPSEC-VPN
Пример
esr(config-access-vpn)# type transport