Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Управление VPN. Настройки IKE

access profile

Данной командой создается профиль настроек пользователя для IKE-GATEWAY с определенным именем и осуществляется переход в режим конфигурирования профиля.

Использование отрицательной формы команды (no) удаляет сконфигурированный профиль настроек пользователя для IKE-GATEWAY.

Синтаксис
[no] access profile <NAME>
Параметры

<NAME> – имя профиля пользователя для IKE-GATEWAY, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
esr(config)# access profile OFFICE

access-profile

Данной командой указывается локальный список пользователей для авторизации. В случае настройки на IPsec VPN Remote Access сервере указывается только название локального списка пользователей, а в случае настройки IPsec VPN Remote Access клиента дополнительно указывается имя пользователя, который будет использован для авторизации на сервере.

Использование отрицательной формы команды (no) удаляет заданный профиль.

Синтаксис
access-profile <NAME> [ client <USER-NAME> ]
[no] access-profile <NAME>
Параметры

<NAME> – название локального списка пользователей, задаётся строкой до 31 символа;

<USER-NAME> – имя пользователя из прикрепленного, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gateway)# access-profile OFFICE client admin

address-assignment pool

Команда используется для создания пула адресов и настройки передаваемых параметров для динамической конфигурации IPsec-клиентов.

Использование отрицательной формы команды (no) удаляет пула адресов.

Синтаксис
[no] address-assignment pool <NAME>
Параметры

<NAME> – имя пула адресов, задаётся строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# address-assignment pool CENTER
esr(config-pool)#

assign-interface

Данной командой указывается loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.

При использовании отрицательной формы команды (no) удаляется loopback-интерфейс для назначения динамического адреса, получаемого от IPsec-VPN-сервера.

Синтаксис
assign-interface loopback <LOOPBACK>|<LOOPBACK>-<LOOPBACK>
no assign-interface
Параметры

<LOOPBACK> – номер созданного ранее loopback-интерфейса, принимает значение в диапазоне [1..8].

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GW

Пример
esr(config-ike-gw)# assign-interface loopback 3

authentication algorithm

Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. password).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры

<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.

Значение по умолчанию

sha1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSAL

Пример
esr(config-ike-proposal)# authentication algorithm md5

authentication mode

Данной командой устанавливается режим XAUTH аутентификации удаленных пользователей, подключающихся по протоколу IPsec.

Использование отрицательной формы команды (no) удаляет установленный режим.

Синтаксис
authentication mode { local | radius | client }
no authentication mode
Параметры

local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля;

radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер;

client – режим, используемый XAUTH-клиентом.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# authentication mode local

authentication method

Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
authentication method <METHOD>
no authentication method
Параметры

<METHOD> – метод аутентификации ключа. Может принимать значения:

  • pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования;
  • public-key – метод аутентификации, использующий публичный ключ сертификата;
  • xauth-psk-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей;
  • eap – метод расширенной аутентификации, использующий пару логин-пароль и предварительно полученные сертификаты;
  • keyring – метод аутентификации, использующий набор ключей аутентификации.
Значение по умолчанию

pre-shared-key

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-proposal)# authentication method pre-shared-key

bind-interface vti

Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля «route-based».

Использование отрицательной формы команды (no) удаляет привязку к туннельному интерфейсу.

Синтаксис
bind-interface vti <VTI>
no bind-interface vti
Параметры

<VTI> – идентификационный номер интерфейса VTI.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# bind-interface vti 1

crypto

Данной командой указываются необходимые сертификаты.

Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.

Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры

<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:

  • ca – сертификат центра сертификации;
  • crl – список отозванных сертификатов;
  • local-crt – сертификат локальной стороны;
  • local-crt-key – ключ сертификата локальной стороны;
  • remote-crt – сертификат удаленной стороны. Вместо имени файла возможно использование ключа "any" для установления режима приема открытого ключа удаленной стороны по сети;

<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# crypto ca KEY

data-tunnel address

Данной командой указывается IP-адрес для постройки GRE data туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE data туннель должен быть поддержан на стороне клиента (требует ELTEX_DATA_IP(28684).

Использование отрицательной формы команды (no) удаляет IP-адрес для постройки GRE data туннеля.

Синтаксис
data-tunnel address <ADDR>
no data-tunnel address
Параметры

<ADDR> – IP-адрес для построения GRE data туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

10

Командный режим

CONFIG-POOL

Пример
esr(config-pool)# data-tunnel address 192.168.2.66

dead-peer-detection action

Данной командой устанавливается действие, которое должно предпринять устройство в случае обнаружения недоступности IPsec-соседа механизмом Dead Peer Detection.

Dead Peer Detection (DPD) – это механизм проверки состояния и доступности соседних устройств. Механизм периодически отправляет R-U-THERE сообщения (для IKE версии 1) или пустые INFORMATIONAL сообщения (для IKE версии 2) для проверки доступности IPsec-соседа.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection action <MODE>
no dead-peer-detection action
Параметры

<MODE> – режим работы DPD:

  • restart – соединение переустанавливается;
  • clear – соединение останавливается;
  • hold – соединение поддерживается;
  • none – механизм выключен, никаких действий не предпринимается.
Значение по умолчанию

none

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# dead-peer-detection action clear

dead-peer-detection interval

Данной командой устанавливается интервал между отправкой сообщений механизмом DPD.

Механизм DPD описан в разделе dead-peer-detection action.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection interval <SEC>
no dead-peer-detection interval
Параметры

<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд.

Значение по умолчанию

2 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# dead-peer-detection interval 15

dead-peer-detection timeout

Данной командой задаётся таймаут ответа на сообщения, отправленные механизмом DPD.

Механизм DPD описан в разделе dead-peer-detection action.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dead-peer-detection timeout <SEC>
no dead-peer-detection timeout
Параметры

<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.

Значение по умолчанию

30 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# dead-peer-detection timeout 60

description

Команда используется для изменения описания профиля, набора ключей, политики или шлюза протокола IKE.

Использование отрицательной формы команды (no) удаляет описание.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-PROPOSAL

CONFIG-IKE-POLICY

CONFIG-IKE-KEYRING

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-proposal)# description "my proposal"

dh-group

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
dh-group <DH-GROUP>
no dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSAL

Пример
esr(config-ike-proposal)# dh-group 5

encryption algorithm

Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры

<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

Значение по умолчанию

3des

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-PROPOSAL

Пример
esr(config-ike-proposal)# encryption algorithm aes128

identity

Данной командой устанавливается соответствие идентификатора IPsec клиента и ключа PSK, который будет использован при аутентификации.

Использование отрицательной формы команды (no) удаляет соответствие для указанного идентификатора.

Синтаксис
identity { dns <NAME> | ipv4 <ADDR/LEN> } pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no identity { dns <NAME> | ipv4 <ADDR/LEN> }
Параметры

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – "router.example.loc". В команде также можно указывать wild-card домены, используя символ "*", например "*.example.loc";

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);

<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-KEYRING

Пример
esr(config-ike-keyring)# identity ipv4 98.0.127.37/32 pre-shared-key ascii-text password
esr(config-ike-keyring)# identity dns router.example.loc pre-shared-key ascii-text password

ike-policy

Данной командой устанавливается привязка политики протокола IKE к шлюзу.

Использование отрицательной формы команды (no) удаляет привязку политики.

Синтаксис
[no] ike-policy <NAME>
Параметры

<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# ike-policy ike_pol1

ip prefix

Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.

Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам.

Синтаксис
ip prefix <ADDR/LEN>
no ip prefix
Параметры

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

Значение по умолчанию

Не задан.

Необходимый уровень привилегий

10

Командный режим

CONFIG-POOL

Пример
esr(config-pool)# ip prefix 192.168.0.0/16

keyring

Данной командой указывается набор ключей аутентификации IKE.

Использование отрицательной формы команды (no) удаляет набор ключей.

Синтаксис
keyring <NAME>
no keyring
Параметры

<NAME> – название набор ключей аутентификации IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# keyring ike_keyring

lifetime seconds

Данной командой задаётся время жизни соединения протокола IKE.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
lifetime seconds <SEC>
no lifetime seconds
Параметры

<SEC> – период времени, принимает значения [4 ..86400] секунд.

Значение по умолчанию

10800 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# lifetime 21600

local address

Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.

Синтаксис
local address <ADDR>
no local address
Параметры

<ADDR> – IP-адрес локального шлюза.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# local address 192.168.1.1

local id

Данной командой устанавливается идентификатор локального шлюза IPsec-туннеля, использующийся для идентификации в процессе согласования IKE-ключей. Если команда не указана, то при использовании аутентификации по ключам (PSK), в качестве идентификатора локального шлюза используется адрес локального шлюза. При использовании аутентификации по сертификатам X.509, в качестве идентификатора локального шлюза используется значение "Distinguished name" владельца сертификата X.509.

Использование отрицательной формы команды (no) удаляет настройку идентификатора локального шлюза.

Синтаксис
local id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no local id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<KEY> – текстовая строка длиной до 255 символов.

Необходимый уровень привилегий

10

Значение по умолчанию

Отсутствует

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# local id ipv4 192.168.18.1

local interface

Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.

При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.

Синтаксис
local interface <IF>
no local interface
Параметры

<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GW

Пример
esr(config-ike-gw)# local interface gigabitethernet 1/0/1

local network

Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.

Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.

Синтаксис
[no] local network { <ADDR/LEN> | dynamic } [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
Параметры

<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

dynamic – в качестве IP-адрес подсети отправителя будет использован IP-адрес, с которого устанавливается IPsec-соединение;

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535].

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# local network 192.168.1.0/24 protocol tcp port 22

management-tunnel address

Данной командой устанавливается IP-адрес туннеля для постройки GRE management туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE management туннель должен быть поддержан на стороне клиента (требует ELTEX_MANAGEMENT_IP(28683)).

Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеля.

Синтаксис
management-tunnel address <ADDR>
no management-tunnel address
Параметры

<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-POOL

Пример
esr(config-pool)# management-tunnel address 192.168.2.87

mobike disable

Данная команда отключает возможность инициатору соединения изменить свою точку подключения к сети (использовать IP-адрес в качестве параметра local address).

Использование отрицательной формы команды (no) активирует функцию автоматического выбора local address при недоступности описанного в конфигурации.

Синтаксис
[ no ] mobike disable
Параметры

Отсутствуют.

Значение по умолчанию

Включено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gateway)# mobike disable

mode

Данной командой устанавливается режим согласования первой фазы протокола IKE.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим первой фазы IKE, принимает значения:

  • main – состоит из трех двусторонних обменов между отправителем и получателем:
    • Согласуются алгоритмы аутентификации и шифрования, которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла;
    • Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел;
    • Проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE.
  • aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов:
    • В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи-Хеллмана, отправление псевдослучайного числа и идентификатора пакета;
    • Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор;
    • В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен.
Значение по умолчанию

main

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# mode aggressive

mode

Данной командой устанавливается режим перенаправления трафика в туннель.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим перенаправления трафика в туннель, принимает значения:

  • policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
  • route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс.
Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# mode route-based

password

Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.

Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.

Синтаксис
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-PROFILE

Пример
esr(config-profile) password tteesstt

password local-crt-key

Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды crypto).

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password local-crt-key
Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой до 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy) password tteesstt

pfs dh-group

Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
pfs dh-group <DH-GROUP>
no pfs dh-group
Параметры

<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14-31].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-PROPOSAL

Пример
esr(config-isec-proposal)# pfs dh-group 5

pre-shared-key

Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.

Использование отрицательной формы команды (no) удаляет установленный ключ.

Синтаксис
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no pre-shared-key
Параметры

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);

<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Значение по умолчанию

none

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# pre-shared-key hexadecimal abc123

proposal

Данной командой устанавливается привязка профиля протокола IKE к политике.

Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.

Синтаксис
[no] proposal <NAME>
Параметры

<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-POLICY

Пример
esr(config-ike-policy)# proposal ike_prop1

remote address

Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.

Синтаксис
remote address { <ADDR> | any }
no remote address
Параметры

<ADDR> – IP-адрес удаленного шлюза.

any – ключ, позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# remote address 192.168.1.2

remote id

Данной командой устанавливается ожидаемый идентификатор удаленного шлюза IPsec-туннеля,  получаемый от удаленной стороны для идентификации в процессе согласования IKE-ключей.

Использование отрицательной формы команды (no) удаляет настройку ожидаемого идентификатора удаленного шлюза.

Синтаксис
remote id { any | dns <NAME> | ipv4 <ADDR> | keyid <KEY> }
no remote id
Параметры

any – ключ, обозначающий "любой" идентификатор;

<NAME> – полное доменное имя хоста (FQDN). Пример записи доменного имени – router.example.loc;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<KEY> – текстовая строка длиной до 255 символов.

Необходимый уровень привилегий

10

Значение по умолчанию

Отсутствует

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# remote id dns router.example.loc

remote network

Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.

Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.

Синтаксис
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
Параметры

<POOL> – выделенный динамический пул адресов для клиентов XAUTH;

<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAADDD принимает значения [0..255] и EE принимает значения [1..32];

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];

<PORT> – TCP/UDP-порт, принимает значения [1..65535];

any – ключ, указывающий на необходимость шифрования любого исходящего трафика.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22

remote network dynamic client

Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.

При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.

Синтаксис
[no] remote network dynamic client
Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IKE-GW

Пример
esr(config-ike-gw)# remote network dynamic client

security ike gateway

Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.

Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.

Синтаксис
[no] security ike gateway <NAME>
Параметры

<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ike gateway ike_gw1
esr(config-ike-gw)#

security ike keyring

Данной командой создается набор ключей аутентификации для протокола IKE, который включает в себя наборы соответствий адресов удаленных IPsec-клиентов и ключей PSK, которые будут использоваться при аутентификации.

Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.

Синтаксис
[no] security ike keyring <NAME>
Параметры

<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все наборы.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ike keyring ike_keyring1
esr(config-ike-gw)#

security ike policy

Данной командой создается политика IKE, которая включает в себя профили протокола IKE, общий секретный ключ для аутентификации и режим согласования первой фазы протокола IKE.

Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.

Синтаксис
[no] security ike policy <NAME>
Параметры

<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-политики.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ike policy ike_pol1
esr(config-ike-policy)#

security ike proposal

Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.

Синтаксис
[no] security ike proposal <NAME>
Параметры

<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ike proposal ike_prop1
esr(config-ike-proposal)#

security ike session uniqueids

Данной командой задается режим переподключения клиентов XAUTH с одним логином/паролем.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
security ike session uniqueids <MODE>
no security ike session uniqueids
Параметры

<MODE> – режим переподключения, принимает следующие значения:

  • no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
  • never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
  • replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
  • keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено. 
Значение по умолчанию

never

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ike session uniqueids replace 

show security ike

Команда используется для просмотра списка шлюзов, политик или профилей.

Синтаксис
show security ike { gateway | policy | proposal } [<NAME>]
Параметры

gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;

policy – при указании команды «policy» будет выведен список сконфигурированных политик;

proposal – при указании команды «proposal» будет выведен список сконфигурированных профилей;

<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show security ike proposal
   Proposal
   ~~~~~~~~
Name           Auth      Encryption         DH   Hash         Lifetime
------------   -------   ----------------   --   ----------   ----------
aaa            pre-sha   3des               1    sha1         3600
               red-key
 esr# show security ike policy
   Policy
   ~~~~~~
Name                           Mode         Proposal
----------------------------   ----------   -----------------------------------
ike_pol1                       main         ike_prop1
 esr# show security ike gateway ik_gw
Description:                --
IKE Policy:                 ike_pol1
IKE Version:                v1-only
Mode:                       route-based
Binding interface:          vti1
IKE Dead Peer Detection:
    Action:                 none
    Interval:               2
    Timeout:                30

user

Данной командой задается имя пользователя для аутентификации IKE-GETWAY.

Использование отрицательной формы команды (no) удаляет указанного пользователя.

После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).

Синтаксис
[no] user <NAME>
Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-ACCESS-PROFILE

Пример
esr(config-access-profile)# user connecter963

version

Данной командой задаётся версия протокола IKE.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
version <VERSION>
no version
Параметры

<version> – версия IKE-протокола: v1-only или v2-only.

Значение по умолчанию

v1-only

Необходимый уровень привилегий

15

Командный режим

CONFIG-IKE-GATEWAY

Пример
esr(config-ike-gw)# version v2-only

Управление VPN. Настройки IPsec

authentication algorithm

Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры

<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.

Значение по умолчанию

sha1

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-PROPOSAL

Пример
esr(config-ipsec-proposal)# authentication algorithm md5

clear security ipsec vpn

Данной командой осуществляется сброс одного из текущих VPN-соединений.

Синтаксис
clear security ipsec vpn  [ vrf <VRF> ] <NAME>
Параметры

<NAME> – имя VPN, задаётся строкой до 31 символа;

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# clear security ipsec vpn IPSEC_MAIN_OFFICE

description

Данной командой выполняется изменение описания.

Использование отрицательной формы команды (no) удаляет описание.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

CONFIG-IPSEC-PROPOSAL

CONFIG-IPSEC-POLICY

Пример
esr(config-ipsec-vpn)# description "VPN to Moscow Office"

enable

Данной командой активируется IPsec VPN.

Использование отрицательной формы команды (no) деактивирует IPsec VPN.

Синтаксис
[no] enable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Выключено

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# enable

encryption algorithm

Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры

<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

Значение по умолчанию

3des

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-PROPOSAL

Пример
esr(config-ipsec-proposal)# encryption algorithm blowfish128

ike dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис
ike dscp <DSCP>
no ike dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike dscp 40

ike establish-tunnel

Командой устанавливается режим активации VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ike establish-tunnel <MODE>
no Ike establish-tunnel
Параметры

<MODE> – режим активации VPN:

  • by-request – соединение активируется встречной стороной;
  • route – соединение активируется при появлении трафика, маршрутизируемого в туннель;
  • immediate – туннель активируется автоматически после применения конфигурации. Если произойдет закрытие соединения от удаленной стороны VPN при использовании режима immediate, тогда установить соединение повторно будет возможно только после перезагрузки маршрутизатора или перезапуске VPN через CLI маршрутизатора.
Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike establish-tunnel route

ike gateway

Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.

Синтаксис
ike gateway <NAME>
no ike gateway
Параметры

<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike gateway ike_gw1

ike idle-time

Данной командой устанавливается значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA.

Использование отрицательной формы команды (no) отключает данный таймер.

Синтаксис
ike idle-time <TIME>
no ike idle-time
Параметры

<TIME> – интервал в секундах, принимает значения [4..86400].

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike idle-time 3600

ike rekey disable

Данной командой отключается пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт.

Использование отрицательной формы команды (no) включает пересогласование ключей.

Синтаксис
[no] ike rekey disable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike rekey disable

ike rekey margin

Данной командой можно настроить начало пересогласования ключей IKE-соединения до истечения времени жизни.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> } 
no ike rekey margin { seconds | packets | kilobytes } 
Параметры

<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. lifetime). Принимает значения [4..86400]. 

<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. lifetime). Принимает значения [4..86400].

<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. lifetime). Принимает значения [4..86400].

Значение по умолчанию

Пересогласование ключей до истечения времени – за 540 секунд.

Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike rekey margin seconds 1800

ike rekey randomization

Данной командой устанавливается уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ike rekey randomization <VALUE>
no ike rekey randomization
Параметры

<VALUE> – максимальный процент разброса значений, принимает значения [1..100].

Значение по умолчанию

100%

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike rekey randomization 10

ike ipsec-policy

Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode

Синтаксис
ike ipsec-policy <NAME>
no ike ipsec-policy
Параметры

<NAME> – имя IPsec-политики, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1

lifetime

Данной командой устанавливается время жизни IPsec-туннеля.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no lifetime { seconds | packets | kilobytes }
Параметры

<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд;

<PACKETS> – количество пакетов, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400];

<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..4608000] секунд.

Значение по умолчанию

3600 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-POLICY

Пример
esr(config-ipsec-proposal)# lifetime seconds 3600

manual authentication algorithm

Данной командой устанавливается алгоритм аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
Параметры

<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].

Значение по умолчанию

none

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual authentication algorithm sha1

manual authentication key

Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Синтаксис
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no manual authentication key
Параметры

<TEXT> – строка [1..64] ASCII-символов;

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);

<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef

manual bind-interface vti

Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля route-based. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
manual bind-interface vti <VTI>
no manual bind-interface vti
Параметры

<VTI> – индекс интерфейса VTI, принимает значения:

  • ESR-10/12V/12VF/15/15R/15VF – [1..10];
  • ESR-20/21/30/31/100/200 – [1..250];
  • ESR-1000/1200/1500/1511/1700/3100/3200/3200L/3300 – [1..500].
Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual bind-interface vti 0

manual encryption algorithm

Данной командой устанавливается алгоритм шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) удаляет установленное значение.

Синтаксис
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
Параметры

<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.

Значение по умолчанию

3des

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28

manual encryption key

Данной командой устанавливается ключ шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) удаляет установленное значение.

Синтаксис
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no manual encryption key
Параметры

<TEXT> – строка [1..36] ASCII-символов;

<HEX> – число размером [1..24] байт, задаётся строкой [2..72] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...);

<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..24] байт, задаётся строкой [2..72] символов;

<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456

manual mode

С помощью данной команды осуществляется установка режима перенаправления трафика в туннель. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис
manual mode <MODE>
no manual mode
Параметры

<MODE> – режим прохождения трафика:

  • policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям;
  • route-based – трафик перенаправляется на основе маршрутов, у которых шлюзом является туннельный интерфейс.
Необходимый уровень привилегий

10

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual mode route-based

manual protocol

Данной командой устанавливается инкапсулирующий протокол. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
manual protocol <TYPE>
no manual protocol
Параметры

<TYPE> – тип протокола, принимает значения:

  • ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
  • esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию

esp

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual protocol ah

manual spi

Данной командой устанавливается индекс параметров безопасности. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.

Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.

Синтаксис
manual spi <HEX>
no manual spi
Параметры

<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# manual spi FF

mode

Данной командой устанавливается режим согласования данных, необходимых для активации VPN.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим работы VPN:

  • ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования, индекса параметра безопасности и других данных осуществляется через протокол IKE;
  • manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты, основываясь только на заданных параметрах.
Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-ipsec-vpn)# mode ike

proposal

Данной командой к политике привязываются профили набора протоколов IPsec.

Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.

Синтаксис
[no] proposal <NAME>
Параметры

<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-POLICY

Пример
esr(config-ipsec-policy)# proposal ipsec_prop1

protocol

Данной командой устанавливается инкапсулирующий протокол.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
protocol <PROTOCOL>
no protocol
Параметры

<PROTOCOL> – инкапсулирующий протокол, принимает значения:

  • ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется;
  • esp – данный протокол осуществляет аутентификацию и шифрование трафика.
Значение по умолчанию

esp

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-PROPOSAL

Пример
esr(config-ipsec-proposal)# protocol ah

security ipsec policy

Данной командой создается политика набора протоколов IPsec, которая включает в себя профили набора протоколов IPsec для согласования второй фазы протокола IKE.

Использование отрицательной формы команды (no) удаляет установленное значение.

Команда устанавливает режим командной строки SECURITY IPSEC POLICY.

Синтаксис
[no] security ipsec policy <NAME>
Параметры

<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ipsec policy ipsec_pol1
esr(config-ipsec-policy)#

security ipsec proposal

Данной командой создается профиль для набора протоколов IPsec. Профиль IPsec включает в себя параметры алгоритмов шифрования и аутентификации, протокола защиты соединения IPsec-туннеля, а также время жизни соединения.

Использование отрицательной формы команды (no) удаляет указанный профиль.

Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.

Синтаксис
[no] security ipsec proposal <NAME>
Параметры

<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ipsec proposal ipsec_prop1
esr(config-ipsec-proposal)#

security ipsec vpn

Данной командой создается VPN на основе набора протоколов IPsec и устанавливается командный режим SECURITY IPSEC VPN.

Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.

Синтаксис
[no] security ipsec vpn <NAME>
Параметры

<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# security ipsec vpn ipsec_vpn1
esr(config-ipsec-vpn)#

show security ipsec

Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.

Синтаксис
show security ipsec { vpn configuration | policy | proposal } [<NAME>]
Параметры

vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;

policy – при указании данной команды будет выведен список сконфигурированных политик набора протоколов IPsec;

proposal – при указании команды будет выведен список сконфигурированных профилей набора протоколов IPsec;

<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show security ipsec proposal
   Proposal
   ~~~~~~~~
Name                    Prot   Enc. alg.          Auth. alg.        Lifetime
---------------------   ----   ----------------   ---------------   -----------
ipsec_prop1             esp    aes128             sha1              28800 sec
esr# show secu	rity ipsec policy
Name                   Description           Proposal
--------------------   -------------------   -----------------------------------
ipsec_pol1                                   ipsec_prop1
Master# show security ipsec vpn configuration IPSECVPN
Description:                --
State:                      Enabled
IKE:
    Establish tunnel:           immediate
    IPsec policy:               IPSECPOLICY
    IKE gateway:                IKEGW
    IKE DSCP:                   63
    IKE idle-time:              0s
    IKE rekeying:               Enabled
        Margin time:                540s
        Margin kilobytes:           0
        Margin packets:             0
        Randomization:              100%

show security ipsec vpn authentication

Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.

Синтаксис
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
Параметры

<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show security ipsec vpn authentication
Local host        Remote host       Local subnet          Remote subnet         Authentication                              State 
---------------   ---------------   -------------------   -------------------   -----------------------------------------   ----------- 
2.2.2.1           2.2.2.2           192.168.2.0/24        192.168.1.1/32        Xauth PSK, login: ipsec                     Established

show security ipsec vpn status

Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.

Синтаксис
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
Параметры

<NAME> – имя VPN, задаётся строкой до 31 символа;

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show security ipsec vpn status
Name      Local host   Remote host  Initiator spi       Responder spi        State
--------- ------------ ------------ ---------------     ---------------      ------
ipsec_vpn1 10.100.14.1 10.100.14.2  0x05d8e0ac3543f0cb  0xcfa1c4179d001154   Established

type

Данной командой задается тип инкапсуляции IPsec.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
type <TYPE>
no type
Параметры

<TYPE> – тип инкапсуляции IPsec, принимает значения:

  • tunnel;
  • transport.
Значение по умолчанию

tunnel

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPSEC-VPN

Пример
esr(config-access-vpn)# type transport
  • Нет меток