auth-nocache
Данной командой отключается кэширование пароля пользователя OpenVPN-клиента.
Использование отрицательной формы команды (no) активирует кэширование пароля пользователя OpenVPN-клиента.
Синтаксис
[no] auth-nocache
Параметры
Отсутствуют.
Значение по умолчанию
Кэширование разрешено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config)# auth-nocache
authentication algorithm
Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации при подключении к OpenVPN-серверу.
Использование отрицательной формы команды (no) удаляет алгоритм аутентификации.
Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры
<ALGORITHM> – алгоритм аутентификации, принимает значения: md4, rsa-md4, md5, rsa-md5, mdc2, rsa-mdc2, sha, sha1, rsa-sha, rsa-sha1, rsa-sha1-2, dsa, dsa-sha, dsa-sha1, dsa-sha1-old, ripemd160, rsa-ripemd160, ecdsa-with-sha1, sha-224, rsa-sha-224, sha-256, rsa-sha-256, sha-384, rsa-sha-384, sha-512, rsa-sha-512, whirlpool.
Значение по умолчанию
Не задано.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# authentication algorithm md5
authentication method
Данной командой определяется метод аутентификации, который будет использоваться при установлении удаленного подключения клиентами PPPoE, PPTP и L2TP.
Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.
Синтаксис
authentication method <METHOD>
no authentication method <METHOD>
Параметры
<METHOD> – метод аутентификации, возможные значения: chap, mschap, mschap-v2, eap, pap.
Значение по умолчанию
chap
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-L2TP
Пример
esr(config-pppoe)# authentication method mschap-v2
authentication required disable
Данной командой отключается обязательная аутентификация PPP на сервере PPTP и L2TP.
Использование отрицательной формы команды (no) включается аутентификация PPP на сервере PPTP и L2TP.
Синтаксис
[no] authentication required disable
Параметры
Отсутствуют.
Значение по умолчанию
Не задан.
Необходимый уровень привилегий
15
Командный режим
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-L2TP
Пример
esr(config-pppoe)# authentication required disable
crypto
Данной командой указываются необходимые сертификаты для подключения к OpenVPN-серверу.
Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.
Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
- ca – сертификат центра сертификации;
- cert – сертификат клиента;
- private-key – клиентский ключ;
- crl – список отозванных сертификатов;
- dh – ключ Диффи-Хеллмана;
- ta – HMAC-ключ.
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# crypto ca KEY
crypto pfx
Данной командой указывается контейнер PKCS12.
Контейнер в обязательном порядке должен включать в себя сертификат ужостоверяющего центра, сертификат x.509 выпущенный этим удостоверяющим центром и приватный ключ этого сертификата. Контейнер может содержать цепочку из сертификатов промежуточных удостоверяющих центров.
Использование команд crypto ca, crypto cert, crypto private-key и crypto pfx является взаимоисключающим
Синтаксис
crypto pfx <NAME> [password ascii-text <PASSWORD>]
no crypto pfx <NAME>
Параметры
<NAME> - имя PKCS12 контейнера, задаётся строкой до 31 символа.
<PASSWORD> - пароль от PKCS12 контейнера.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN-SERVER
Пример
esr(config-openvpn-server)# crypto pfx pkcs_openvpn_server.p12 password ascii-text password
clear ip nhrp peers
Данная команда служит для очистки записей о NHRP-соседях с маршрутизатора.
Синтаксис
clear ip nhrp peers [ { connected | group | lower-up | nat | nhs | protected | qos | unique | used } ] [ { nbma-address <ADDR> | tunnel gre <ID> | tunnel-address <ADDR> } ] [ type { cached | dynamic | incomplete | negative | static } ] [ vrf <VRF> ]Параметры
connected – очистить записи, для которых разрешена отправка пользовательских пакетов через GRE-туннель;
group – очистить записи, в которых NHRP-сосед сообщил свою NHRP-группу;
lower-up – очистить записи, в которых оперативное состояние GRE-туннеля UP;
nat – очистить записи, в которых NHRP-сосед расположен за NAT;
nhs – очистить записи, в которых осуществляется регистрация на NHRP-сервере;
protected – очистить записи, в которых GRE-туннель до NHRP-соседа защищен шифрованием IPsec;
qos – очистить записи, в которых к GRE-туннелю до NHRP-соседа применена QoS-политика на основании NHRP-группы;
unique – очистить записи, для которых требуется уникальность соответствия туннельного и NBMA-адреса;
used – очистить записи, в которых через GRE-туннель проходит пользовательский трафик;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ID> – идентификатор GRE-туннеля;
cached – очистить записи, соответствующие GRE-туннелям между NHRP-клиентами;
dynamic – очистить записи, соответствующие GRE-туннелям от NHRP-клиента до NHRP-сервера;
incomplete – очистить незавершенные записи, в которых известен туннельный адрес, но не определен NBMA-адрес;
negative – очистить ошибочные записи, для которых ни один доступный NHRP-сервер не имеет записи о запрошенном туннельном адресе;
static – очистить записи, заданные через конфигурацию маршрутизатора;
<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip nhrp peers tunnel-address 172.16.0.11
clear ip nhrp shortcut-routes
Данная команда служит для очистки созданных shortcut-route записей до подсетей, находящихся за NHRP-клиентами.
Синтаксис
clear ip nhrp shortcut-routes [ { network <ADDR/LEN> | nexthop <ADDR> | tunnel gre <ID> } ] [ vrf <VRF> ]Параметры
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ID> – идентификатор GRE-туннеля;
<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip nhrp shortcut-routes network 1.0.0.11/32
clear tunnels counters
Данной командой осуществляется сброс счетчиков заданного туннеля или группы туннелей.
Синтаксис
clear tunnels counters [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Можно указать несколько туннелей перечислением через запятую «,» либо указать диапазон туннелей через дефис «-». Если не указывать индексы туннелей, то будут очищены счетчики всех туннелей заданной группы.
<ID> – идентификатор псевдопровода/динамического псевдопровода.
<NEIGBOR-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear tunnels counters dypseudowire 2 192.0.2.10
clear tunnels softgre
Данная команда разрушает softgre туннели/туннель.
Синтаксис
clear tunnels softgre [ remote-address <REMOTE-IP> ]
Параметры
<REMOTE-IP> – удаленный IP-адрес, с которого поднят softgre-туннель.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# clear tunnels softgre esr#clear tunnels softgre remote-address10.10.42.10
compression
Данной командой включается механизм сжатия передаваемых данных между клиентами и сервером OpenVPN.
Использование отрицательной формы команды (no) отключает механизм сжатия передаваемых данных.
Синтаксис
[no] compression
Параметры
Команда не содержит параметров.
Значение по умолчанию
Выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# compression
default-profile
Данная команда позволяет использовать конфигурацию данного SoftGRE-туннеля для автоматического создания туннелей с такими же mode и local address.
Использование отрицательной формы команды (no) запрещает использование конфигурации туннеля для автоматического создания туннелей.
Синтаксис
[no] default-profile
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SOFTGRE
Пример
esr(config-softgre)# default-profile
description
Данная команда используется для изменения описания конфигурируемого туннеля.
Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-SUBTUNNEL
CONFIG-GRE
CONFIG-L2TP
CONFIG-L2TPV3
CONFIG-VTI
CONFIG-LT
CONFIG-PPTP
CONFIG-PPPOE
CONFIG-OPENVPN
CONFIG-WIREGUARD
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-gre)# description "tunnel to branch"
dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке инкапсулирующего пакета.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
dscp <DSCP>
no dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
Наследуется от инкапсулируемого пакета.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
Пример
esr(config-ip4ip4)# dscp 40
enable
Данной командой включается туннель.
Использование отрицательной формы команды (no) отключает туннель.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Туннель выключен.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-SUBTUNNEL
CONFIG-L2TP
CONFIG-L2TPV3
CONFIG-VTI
CONFIG-LT
CONFIG-PPTP
CONFIG-PPPOE
CONFIG-OPENVPN
CONFIG-WIREGUARD
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-gre)# enable
encryption algorithm
Данной командой выбирается алгоритм шифрования, используемый при передачи данных.
Использование отрицательной формы команды (no) отключает шифрование.
Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, blowfish128, aes128, des-ede, aes192, 3des, desx, aes256.
Значение по умолчанию
Шифрование отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# encryption algorithm aes128
history statistics
Данной командой включается запись статистики использования текущего туннеля.
Использование отрицательной формы команды (no) отключает запись статистики использования текущего туннеля.
Синтаксис
[no] history statistics
Параметры
Отсутствуют.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
CONFIG-SOFTGRE
CONFIG-SUBTUNNEL
CONFIG-IP4IP4
CONFIG-L2TPV3
CONFIG-LT
CONFIG-VTI
CONFIG-PPTP
CONFIG-PPPOE
CONFIG-OPENVPN
CONFIG-L2TP
Пример
esr(config-ip4ip4)# history statistics
ignore-default-route
Данная команда включает режим, в котором маршрут по умолчанию, полученный от сервера, не устанавливается в таблицу маршрутизации.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] ignore-default-route
Параметры
Команда не содержит параметров.
Значение по умолчанию
Маршрут по умолчанию, полученный от сервера, устанавливается в таблицу маршрутизации.
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
CONFIG-PPTP
CONFIG-PPPOE
Пример
esr(config-pptp)# ignore-default-route
interface
Данной командой определяется интерфейс, через который будет устанавливаться PPPoE-соединение.
Использование отрицательной формы команды (no) удаляет указанный интерфейс.
Синтаксис
interface <IF>
no interface
Параметры
<IF> – интерфейс или группы интерфейсов, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-PPPOE
Пример
esr(config-pppoe)# interface gigabitethernet 1/0/5.100
ip dont-fragment-bit ignore
Данной командой включается безусловная фрагментация GRE-трафика. В результате, если размер получившегося после инкапсуляции в GRE пакета больше MTU исходящего интерфейса, то GRE-пакет будет фрагментирован. В фрагментированном GRE-пакете DF-бит будет сброшен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] ip dont-fragment-bit ignore
Параметры
Команда не содержит параметров.
Значение по умолчанию.
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip dont-fragment-bit ignore
ip nhrp attribute group
Данная команда задаёт имя NHRP-группы, которое будет передаваться NHRP-соседям в NHRP-сообщениях.
Использование отрицательной формы команды (no) отключает рассылку NHRP-группы.
Синтаксис
ip nhrp attribute group <WORD>
[no] ip nhrp attribute group
Параметры
<WORD> – имя NHRP-группы, задаётся строкой [1..40] символов, не принимает символы [^#].
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp attribute group esr-spoke-5mbps
ip nhrp authentication
Данная команда включает аутентификацию для протокола NHRP. У всех участников NHRP-процесса должен быть одинаковый пароль.
Использование отрицательной формы команды (no) отключает аутентификацию.
Синтаксис
ip nhrp authentication { <WORD> | encrypted <ENCRYPTED-TEXT> }[no] ip nhrp authentication
Параметры
<WORD> – пароль в открытой форме, задается строкой [1..8] символов, может включать символы [0-9a-fA-F].
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [1..8] байт, задаётся строкой [2..16] символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp authentication password
ip nhrp enable
Данной командой включается работа протокола NHRP на GRE-туннеле маршрутизатора.
Использование отрицательной формы команды (no) отключает работу протокола NHRP на GRE-туннеле маршрутизатора.
Синтаксис
[no] ip nhrp enable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp enable
ip nhrp holding-time
Данная команда служит для установки времени жизни NHRP-записи, которую будет сформирована NHRP-сервере после успешной регистрации NHRP-клиента. Аналогичным образом это время будет использоваться в записи на NHRP-клиенте после успешного построения туннеля между NHRP-клиентами. Также эта команда влияет на период повторных запросов регистрации на NHRP-сервере, он рассчитывается как 1/3 от значения команды ip nhrp holding-time.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip nhrp holding-time <TIME>
[no] ip nhrp holding-time
Параметры
<TIME> – время в секундах, в течении которого у NHRP-соседа будет существовать запись о данном NHRP-клиенте, принимает значения [1..65535].
Значение по умолчанию
7200 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp holding-time 300
ip nhrp ipsec
Данной командой указывается имя IPsec VPN, который будет использован в качестве транспорта для GRE-туннеля с настроенным протоколом NHRP.
Использование отрицательной формы команды (no) отключает использование IPsec VPN на GRE-туннеле.
Синтаксис
ip nhrp ipsec <WORD> { static | dynamic }no ip nhrp ipsec <WORD> { static | dynamic }Параметры
<WORD> – имя VPN, задаётся строкой до 31 символа;
static – статическое соединение, применяется для связи с NHRP-сервером;
dynamic – динамически устанавливающееся соединение, настраивается для возможности поднятия туннелей до NHRP-клиентов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp ipsec VPN static
ip nhrp map
Данная команда задаёт соответствие «внутреннего» туннельного адреса с «внешним» NBMA-адресом.
Использование отрицательной формы команды (no) удаляет соответствие.
Синтаксис
[no] ip nhrp map <ADDR-IN> <ADDR-OUT>
Параметры
<ADDR-IN> – туннельный IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<ADDR-OUT> – NBMA IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp map 172.16.0.2 67.86.141.231
ip nhrp map group
Данная команда задаёт соответствие NHRP-группы, полученной от NHRP-соседа в сообщениях NHRP и политики QoS, которая будет применена к исходящему в сторону этого NHC-соседа трафика.
Использование отрицательной формы команды (no) удаляет соответствие.
Синтаксис
[no] ip nhrp map group <GROUP> service-policy output <POLICY>
Параметры
<GROUP> – имя NHRP-группы, задаётся строкой [1..40] символов, не принимает символы [^#];
<POLICY> – имя QoS-политики, задается строкой [1..31] символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp map group SPOKE-5M service-policy output POLICY-5M
ip nhrp multicast
Данная команда определяет адресатов для отправки мультикастного трафика.
Использование отрицательной формы команды (no) удаляет адресата.
Синтаксис
[no] ip nhrp multicast { dynamic | nhs | <ADDR> }Параметры
dynamic – отправляет трафик всем NHRP-соседям, которые установили соединение с текущим хостом через процедуру регистрации;
nhs – отправляет трафик на заданные в конфигурации NHRP-сервера, на которых успешно пройдена регистрация;
<ADDR> – отправляет трафик на заданный туннельный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp multicast nhs
ip nhrp nhs
Данная команда служит для указания туннельного адреса NHRP-сервера, к которому после успешной регистрации можно отправлять запросы на поиск NHRP-соседей.
Использование отрицательной формы команды (no) удаляет запись о сервере.
Синтаксис
ip nhrp nhs <ADDR/LEN> [ no-registration ]
no ip nhrp nhs <ADDR/LEN>
Параметры
<ADDR/LEN> – туннельный IP-адрес NHRP-сервера, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
no-registration – при указании отключает механизм регистрации на данном NHRP-сервере.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp nhs 172.16.0.2
ip nhrp redirect
Данной командой включается механизм, который позволяет NHRP-серверу отслеживать не оптимальность прохождения трафика между NHRP-соседями. Если NHRP-сервер получает пакет от одного NHRP-соседа и пересылает его другому NHRP-соседу – то отправителю данного пакета будет отправлено NHRP-сообщение Traffic Indication.
Использование отрицательной формы команды (no) отключает данный механизм.
Синтаксис
[no] ip nhrp redirect
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp redirect
ip nhrp shortcut
Данной командой включается механизм, позволяющий обрабатывать NHRP-сообщения Traffic Indication. Если такое сообщение получено от NHRP-сервера на отправленный раннее пакет, то NHRP-клиент начет процедуру поиска NHRP-соседа, за которым доступен адрес назначения в отправленном пакете. Успешный поиск приведет к созданию туннеля между NHRP-соседями для оптимального прохождения трафика.
Использование отрицательной формы команды (no) отключает данный механизм.
Синтаксис
[no] ip nhrp shortcut
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip nhrp shortcut
ip path-mtu-discovery discovery disable
Данной командой отключается функция Path MTU Discovery. В результате, если каждое из следующих условий будет выполнено, то произойдет фрагментация GRE-пакета:
- Размер получившегося после инкапсуляции в GRE пакета больше MTU исходящего интерфейса;
- DF bit (don't fragment bit) исходного пакета не установлен.
В фрагментированном GRE-пакете DF-бит будет унаследован от оригинального пакета.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] ip path-mtu-discovery disable
Параметры
Команда не содержит параметров.
Значение по умолчанию.
Включено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# ip path-mtu-discovery disable
ip tcp adjust-mss
Данной командой переопределяется значение поля MSS (Maximum segment size) во входящих TCP-пакетах.
Использование отрицательной формы команды (no) отключает корректировку значение поля MSS.
Синтаксис
ip tcp adjust-mss <MSS>
no ip tcp adjust-mss
Параметры
<MSS> – значение MSS, принимает значения в диапазоне [500..1460].
Значение по умолчанию
1460
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-L2TP
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-VTI
CONFIG-LT
Пример
esr(config-gre)# ip tcp adjust-mss 1400
ipsec authentication method
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см. раздел ipsec authentication pre-shared-key).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ipsec authentication method pre-shared-key
no ipsec authentication method
Параметры
pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования.
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
Пример
esr(config-l2tp-server)# ipsec authentication method psk
ipsec authentication pre-shared-key
Данной командой устанавливается общий секретный ключ для аутентификации, который должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
Синтаксис
ipsec authentication pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }| hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }no ipsec authentication pre-shared-key
Параметры
<TEXT> – строка [1..64] ASCII-символов.
<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...).
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
Значение по умолчанию
none
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
Пример
esr(config-l2tp-server)# ipsec authentication pre-shared-key ascii-text password
ipsec ike proposal
Данной командой для L2TP-клиента назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IKE.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IKE.
Синтаксис
[no] ipsec ike proposal <NAME>
Параметры
<NAME> – имя ранее созданного профиля протокола IKE, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP
Пример
esr(config-l2tp)# ipsec ike proposal IKE_PROPOSAL
ipsec proposal
Данной командой для L2TP-клиента назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IPsec.
Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IPsec.
Синтаксис
[no] ipsec ike proposal <NAME>Параметры
<NAME> – имя ранее созданного профиля IPsec, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP
Пример
esr(config-l2tp)# ipsec proposal IPSEC_PROPOSAL
keepalive dhcp dependent-interface
Данной командой включается механизм перезапроса IP-адресов по протоколу DHCP на указанных интерфейсах при отключении GRE-туннеля по keepalive. Возможно указать до 8 интерфейсов для каждого GRE-туннеля.
Использование отрицательной формы команды (no) отключает механизм перезапроса IP-адресов по протоколу DHCP.
Синтаксис
keepalive dhcp dependent-interface <IF>
no keepalive dst-address
Параметры
<IF> – физический или агрегированный интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive dhcp dependent-interface gi 1/0/1
keepalive dhcp link-timeout
Данной командой указывается интервал времени между отключением GRE-туннеля и перезапросом IP-адреса на интерфейсе/интерфейсах, указанных командой keepalive dhcp dependent-interface (см. раздел keepalive dhcp dependent-interface).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
keepalive dhcp link-timeout <SEC>
no keepalive dhcp link-timeout
Параметры
<SEC> – интервал в секундах между отключением GRE-туннеля и перезапросом IP-адреса на интерфейсе/интерфейсах указанных командой keepalive dhcp dependent-interface, принимает значения [1..32767] секунд.
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive dhcp link-timeout 90
keepalive dst-address
Данной командой настраивается IP-адрес для отправки keepalive-пакетов для проверки работоспособности туннеля. Если указанный IP-адрес недоступен, то туннель меняет оперативное состояние на DOWN. Данный параметр имеет значение только при включенном механизме keepalive (см. раздел keepalive enable).
Использование отрицательной формы команды (no) отключает данную проверку.
Синтаксис
keepalive dst-address <ADDR>
no keepalive dst-address
Параметры
<ADDR> – IP-адрес для проверки работоспособности GRE-туннеля.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive dst-address 192.168.1.57
keepalive enable
Данной командой включается проверка доступности удаленного шлюза туннеля. Если удаленный шлюз туннеля недоступен, то туннель меняет оперативное состояние на DOWN.
Использование отрицательной формы команды (no) отключает данную проверку.
Синтаксис
[no] keepalive enable
Параметры
Команда не содержит параметров.
Значение по умолчанию.
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive enable
keepalive retries
Данная команда определяет количество попыток проверки доступности удаленного шлюза туннеля. По достижению указанного количества неудачных попыток, туннель будет считаться неактивным.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
keepalive retries <VALUE>
no keepalive retries
Параметры
<VALUE> – количество попыток, принимает значения в диапазоне [1..255].
Значение по умолчанию
6
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive retries 8
keepalive timeout
Данной командой регулируется период отправки keepalive-пакетов встречной стороне.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
keepalive timeout <TIME>
no keepalive timeout
Параметры
<TIME> – время в секундах, принимает значения в диапазоне [1..32767].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-gre)# keepalive timeout 18
keepalive timeout ipsec
Данной командой задается время, которое отводится на восстановление соединения IPsec VPN, по истечении которого маршрутизатор будет перезагружен. Данный функционал работает только когда маршрутизатор работает в режиме OTT. Режим работы ОТТ включается при производстве устройства.
При использовании отрицательной формы команды (no) значение приводится к дефолтному значению 180.
Синтаксис
keepalive timeout ipsec <TIME>
no keepalive timeout ipsec
Параметры
<TIME> – время в секундах, принимает значения в диапазоне [30-32767].
Значение по умолчанию
180
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# keepalive timeout ipsec 1000
key
Данная команда разрешает передачу ключа (key) в туннельном заголовке GRE (в соответствии с RFC 2890) и устанавливает значение ключа. Ключ может быть использован для идентификации потоков трафика в GRE-туннеле.
Использование отрицательной формы команды (no) запрещает передачу ключа.
Синтаксис
key <KEY>
no key
Параметры
<KEY> – значение KEY, принимает значения в диапазоне [1..4294967295].
Значение по умолчанию
Ключ не передаётся.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# key 40
load-average
Данной командой устанавливается интервал времени, за который усредняется статистика о нагрузке на туннеле.
Использование отрицательной формы команды устанавливает значение по умолчанию.
Синтаксис
load-average <TIME>
no load-average
Параметры
<TIME> – интервал в секундах, принимает значения [5..150].
Значение по умолчанию
5
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-LT
CONFIG-SUBTUNNEL
CONFIG-L2TPv3
CONFIG-VTI
CONFIG-PPTP
CONFIG-PPPOE
CONFIG-OPENVPN
CONFIG-L2TP
Пример
esr(config-gre)# load-average
local address
Данной командой устанавливается IP-адрес локального шлюза туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
Синтаксис
local address <ADDR>
no local address
Параметры
<ADDR> – IP-адрес локального шлюза.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-L2TPV3
CONFIG-VTI
Пример
esr(config-ip4ip4)# local address 192.168.1.1
local address xauth
Данной командой задается использование адреса, выдаваемого по mode config, при использовании ранее настроенного IPsec VPN в режиме XAUTH-клиента.
При использовании отрицательной формы команды (no) удаляет настройку.
Синтаксис
local address xauth <NAME>
no local address
Параметры
<NAME> – имя ранее созданного IPsec VPN, задаётся строкой до 31 символа.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-)# local address xauth IPsecVPN
local checksum
Данная команда включает вычисление контрольной суммы и занесение её в GRE-заголовок отправляемых пакетов.
Использование отрицательной формы команды (no) отключает процесс вычисления и отправки контрольной суммы.
Синтаксис
[no] local checksum
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# local checksum
local cookie
Данная команда определяет значение cookie для дополнительной проверки соответствия между передаваемыми данными и сессией.
Использование отрицательной формы команды (no) удаляет локальный cookie.
Синтаксис
local cookie <COOKIE>
no local cookie
Параметры
<COOKIE> – значение cookie, параметр принимает значения длиной восемь или шестнадцать символов в шестнадцатеричном виде [8 или 16].
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# local cookie 8FB51B8FB
local interface
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза GRE-туннеля.
При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
Синтаксис
local interface { <IF> | <TUN> }no local interface
Параметры
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# local interface gigabitethernet 1/0/1
local port
Команда определяет локальный UDP-порт, если в качестве метода инкапсуляции был выбран UDP-протокол.
Использование отрицательной формы команды (no) удаляет локальный номер UDP-порта.
Синтаксис
local port <UDP>
no local port
Параметры
<UDP> – номер UDP-порта в диапазоне [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# local port 1501
local session-id
Установить локальный идентификатор сессии.
Использование отрицательной формы команды (no) удаляет локальный идентификатор сессии.
Синтаксис
local session-id <SESSION-ID>
no local session-id
Параметры
<SESSION-ID> – идентификатор сессии, принимает значения [1..200000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# local session-id 200
min-frag-size
Данной командой устанавливается минимальный размер пакета (в байтах). В результате пакеты, превышающие заданный размер, будут фрагментироваться при прохождении через соответствующий multilink PPP.
Использование отрицательной формы команды (no) удаляет пороговое значение.
Синтаксис
min-frag-size <SIZE>
no lmin-frag-size
Параметры
<SIZE> – размер пакета, принимает значения в диапазоне [128..1500].
Необходимый уровень привилегий
10
Командный режим
CONFIG-IF-MULTILINK
Пример
esr(config-if-multilink)# min-frag-size 1000
mode
Данной командой задается режим работы SoftGRE-туннеля.
Использование отрицательной формы команды (no) снимает установленный режим.
Синтаксис
mode <MODE>
no mode
Параметры
<MODE> – режим работы туннеля, возможные значения:
- data – режим данных;
- management – режим управления.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SOFTGRE
Пример
esr(config-softgre)# mode data
mode
Данной командой указывается режим инкапсуляции для GRE-туннеля.
Использование отрицательной формы команды (no) устанавливает инкапсуляцию по умолчанию.
Синтаксис
mode <MODE>
Параметры
<MODE> – режим инкапсуляции для GRE-туннеля:
- ip – инкапсуляция IP-пакетов в GRE;
- ethernet – инкапсуляция Ethernet-фреймов в GRE.
Значение по умолчанию
ip
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# mode ethernet
mtu
Данной командой указывается размер MTU (Maximum Transmition Unit) для туннелей.
Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.
Синтаксис
mtu <MTU>
no mtu
Параметры
<MTU> – значение MTU, принимает значения в диапазоне [552..10000] (для PPPoE-туннелей принимает значения в диапазоне [552..1500]).
Значение по умолчанию
1500
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-SUBTUNNEL
CONFIG-L2TP
CONFIG-L2TPV3
CONFIG-VTI
CONFIG-LT
CONFIG-PPTP
CONFIG-PPPOE
CONFIG-OPENVPN
CONFIG-WIREGUARD
Пример
esr(config-l2tpv3)# mtu 1400
multipoint
Данная команда служит для перевода туннеля в режим multipoint. В этом режиме возможно установление нескольких соединений с одного туннельного интерфейса.
Использование отрицательной формы команды (no) переводит в обычный, point-to-point режим.
Синтаксис
[no] multipoint
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# multipoint
password
Команда для установки пароля пользователя OpenVPN-сервера.
Использование отрицательной формы команды (no) удаляет пароль пользователя.
Синтаксис
password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }no password
Параметры
<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8..32] символов, может включать символы [0-9a-fA-F];
<ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [8..32] символов.
Пароли хранятся в конфигурации в зашифрованной форме независимо от формата, использованного при вводе команды.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# password 01234567
peer
Данная команда используется для перехода к настройке разрешённых туннелей.
Использование отрицательной формы команды (no) удаляет разрешённый туннель.
Синтаксис
[no] peer <COUNT>
Параметры
<COUNT> – номер соответствующего пира, принимает значения [1..16].
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD
Пример
esr(config-wireguard)# peer 1
peer lt
Данная команда используется для задания удаленной стороны (в другом VRF) логического туннеля.
Использование отрицательной формы команды (no) удаляет привязку удаленной стороны туннеля.
Синтаксис
[no] peer lt <ID>
Параметры
<ID> – идентификатор удаленной стороны логического туннеля.
Необходимый уровень привилегий
10
Командный режим
CONFIG-LT
Пример
esr(config-lt)# peer lt 2
port
Данной командой определяется номер UDP-порта, по которому устанавливается соединение с L2TP-сервером.
Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – номер UDP-порта, задаётся в диапазоне [1024..65535].
Значение по умолчанию
1701
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
Пример
esr(config-l2tp)# port 1048
port
Данной командой определяется номер UDP-порта, по которому устанавливается соединение с WireGuard-сервером.
Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – номер UDP-порта, задаётся в диапазоне [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-WIREGUARD
Пример
esr(config-wireguard)# port 43020
ppp failure-count
Данной командой устанавливается количество неудачных data-link тестов перед разрывом сессии.
При использовании отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
ppp failure-count <NUM>
no ppp failure-count
Параметры
<NUM> – количество неудачных data-link тестов, задается в диапазоне [1..100].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
CONFIG-PPPOE
CONFIG-PPTP
Пример
esr(config-l2tp)# ppp failure-count 20
ppp timeout keepalive
Данной командой устанавливается интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение.
При использовании отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
ppp timeout keepalive <TIME >
no ppp timeout keepalive
Параметры
<TIME> – время в секундах, задается в диапазоне [1..32767].
Значение по умолчанию
10
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TP
CONFIG-PPPOE
CONFIG-PPTP
Пример
esr(config-l2tp)# ppp timeout keepalive 5000
protocol
Выбор метода инкапсуляции для туннеля L2TPv3.
Синтаксис
protocol <TYPE>
no protocol
Параметры
<TYPE> – тип инкапсуляции, возможные значения:
- IP-инкапсуляция в IP-пакет;
- UDP-инкапсуляция в UDP-дейтаграммы.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# protocol ip
private-key
Данной командой указывается необходимый приватный ключ клиента WireGuard.
Синтаксис
private-key <NAME>
no private-key
Параметры
<NAME> – имя приватного ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD
Пример
esr(config-wireguard)# private-key client.priv
protocol
Выбор метода инкапсуляции для туннеля OPENVPN.
Синтаксис
protocol <TYPE>
no protocol
Параметры
<TYPE> – тип инкапсуляции, возможные значения:
- TCP – инкапсуляция в TCP-сегмент;
- UDP – инкапсуляция в UDP-дейтаграммы.
Значение по умолчанию
TCP
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# protocol tcp
public-key
Данной командой указывается необходимый публичный ключ сервера WireGuard.
Синтаксис
public-key <NAME>
no public-key
Параметры
<NAME> – имя публичного ключа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-wireguard-tunnel-peer)# public-key server.pub
remote address
Данной командой устанавливается IP-адрес удаленного шлюза туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
remote address <ADDR>
no remote address
Параметры
<ADDR> – IP-адрес удаленного шлюза.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-SOFTGRE
CONFIG-L2TP
CONFIG-L2TPV3
CONFIG-VTI
CONFIG-PPTP
CONFIG-WIREGUARD-PEER
Пример
esr(config-ip4ip4)# remote address 192.168.1.2
remote address
Данной командой устанавливается IP-адрес и TCP/UDP-порт удаленного шлюза туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
Синтаксис
[no] remote address <ADDR> [ port <PORT>]
Параметры
<ADDR> – IP-адрес удаленного шлюза;
<PORT> – номер TCP/UDP-порта удаленного шлюза в диапазоне [1..65535].
Значение по умолчанию
<PORT> – 1194.
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# remote address 192.168.1.2 port 1233
remote address xauth
Данной командой задается использование адреса management-ip или data-ip, выдаваемого по mode config, при использовании ранее настроенного IPsec VPN в режиме XAUTH-клиента. Требует наличия соответствующих настроек на IPsec-VPN-сервере.
При использовании отрицательной формы команды (no) удаляет настройку.
Синтаксис
remote address xauth <NAME> {management-ip|data-ip}no remote address
Параметры
<NAME> – имя ранее созданного IPsec VPN, задаётся строкой до 31 символа;
management-ip – адрес, получаемый по mode config при установке IPsec VPN в режиме XAUTH-клиента. Требует наличия в настройках IPsec-VPN-сервера роутера ELTEX_MANAGEMENT_IP (28683).
data-ip – адрес, получаемый по mode config при установке IPsec VPN в режиме XAUTH-клиента. Требует наличия в настройках IPsec-VPN-сервера ELTEX_DATA_IP (28684).
Значение по умолчанию
Не задано.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# remote address xauth IPsecVPN
remote checksum
Команда включает проверку наличия и соответствия значений контрольной суммы в заголовках принимаемых GRE-пакетов.
Использование отрицательной формы команды (no) отключает проверку контрольной суммы.
Синтаксис
[no] remote checksum
Параметры
Команда не содержит параметров.
Значение по умолчанию
По умолчанию проверка контрольной суммы выключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# remote checksum
remote cookie
Данная команда определяет значение cookie для дополнительной проверки соответствия между передаваемыми данными и сессией.
Использование отрицательной формы команды (no) удаляет удаленный cookie.
Синтаксис
remote cookie <COOKIE>
no remote cookie
Параметры
<COOKIE> – значение cookie, принимает значения длиной восемь или шестнадцать символов в шестнадцатеричном виде [8 или 16].
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# remote cookie 8FB51B8FB
remote port
Данная команда определяет удаленный UDP-порт, если в качестве метода инкапсуляции был выбран UDP.
Использование отрицательной формы команды (no) удаляет удаленный номер UDP-порта.
Синтаксис
remote port <UDP>
no remote port
Параметры
<UDP> – номер UDP-порта в диапазоне [1..65535].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
CONFIG-WIREGUARD-PEER
Пример
esr(config-l2tpv3)# remote port 65000
remote session-id
Данной командой устанавливается удаленный идентификатор сессии.
Использование отрицательной формы команды (no) удаляет удаленный идентификатор сессии.
Синтаксис
remote session-id <SESSION-ID>
no remote session-id
Параметры
<SESSION-ID> – идентификатор сессии, принимает значение в диапазоне [1..200000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-L2TPV3
Пример
esr(config-l2tpv3)# remote session-id 2
route-metric
Данной командой назначается метрика маршрутов получаемых клиентом от OpenVPN-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
route-metric <METRIC>
no route-metric
Параметры
<METRIC> – метрика маршрута, принимает значение в диапазоне [0..255].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config)# route-metric 100
route-nopull
Данной командой отключается применение маршрутов, передаваемых OpenVPN-сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] route-nopull
Параметры
Отсутствуют.
Значение по умолчанию
Игнорирование маршрутов отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config)# route-nopull
snmp init-trap
Данная команда используется для включения отправки snmp-trap о включении/отключении туннеля.
Использование отрицательной формы команды (no) отключает отправку snmp-trap о включении/отключении туннеля.
Синтаксис
[no] snmp init-trap
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GRE
CONFIG-SUBTUNNEL
Пример
esr(config-gre)# snmp init-trap
show ip nhrp peers
Данная команда служит для просмотра записей об NHRP-соседях.
Синтаксис
show ip nhrp peers [ { connected | group | lower-up | nat | nhs | protected | qos | unique | used } ] [ { nbma-address <ADDR> | tunnel gre <ID> | tunnel-address <ADDR> } ] [ type { cached | dynamic | incomplete | negative | static } ] [ vrf <VRF> ] [ detailed ]Параметры
connected – показать записи, для которых разрешена отправка пользовательских пакетов через GRE-туннель;
group – показать записи, в которых NHRP-сосед сообщил свою NHRP-группу;
lower-up – показать записи, в которых оперативное состояние GRE-туннеля – UP;
nat – показать записи, в которых NHRP-сосед расположен за NAT;
nhs – показать записи, в которых осуществляется регистрация на NHRP-сервере;
protected – показать записи, в которых GRE-туннель до NHRP-соседа защищен шифрованием IPsec;
qos – показать записи, в которых к GRE-туннелю до NHRP-соседа применена QoS политика на основании NHRP-группы;
unique – показать записи, для которых требуется уникальность соответствия туннельного и NBMA-адреса;
used – показать записи, в которых через GRE-туннель проходит пользовательский трафик;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ID> – идентификатор GRE-туннеля;
cached – показать записи, соответствующие GRE-туннелям между NHRP-клиентами;
dynamic – показать записи, соответствующие GRE-туннелям от NHRP-клиента до NHRP-сервера;
incomplete – показать незавершенные записи, в которых известен туннельный адрес, но не определен NBMA-адрес;
negative – показать ошибочные записи, для которых ни один доступный NHRP-сервер не имеет записи о запрошенном туннельном адресе;
static – показать записи, заданные через конфигурацию маршрутизатора;
<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа;
detailed – показать информацию об отфильтрованных NHRP-записях в подробном виде.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show ip nhrp peers
Flags: E - unique, R - nhs, U - used, L - lower-up
C - connected, G - group, Q - qos, N - nat
P - protected, X - undefined
Tunnel address NBMA address Tunnel Expire Created Type Flags
(h:m:s) (d,h:m:s)
-------------------- ---------------- --------- --------- -------------- --------------- ----------
172.16.0.1 10.0.104.2 gre 1 -- -- static RLC
172.16.0.11 98.0.101.2 gre 1 01:31:56 00,00:28:03 cached LCN
esr# show ip nhrp peers detailed
Tunnel: gre 1
Type: static
Tunnel address: 172.16.0.1
NBMA address: 10.0.104.2
NAT-OA address: --
Flags: nhs, lower-up, connected
Created (d,h:m:s): --
Expire (h:m:s): --
Re-registration in (h:m:s): 00:10:56
IPSec protection: Disabled
Group: --
QoS policy output: --
Tunnel: gre 1
Type: cached
Tunnel address: 172.16.0.11
NBMA address: 98.0.101.2
NAT-OA address: 10.0.101.2
Flags: lower-up, connected, nat
Created (d,h:m:s): 00,00:28:05
Expire (h:m:s): 01:31:54
Re-registration in (h:m:s): --
IPSec protection: Disabled
Group: --
QoS policy output: --
esr#
show ip nhrp shortcut-routes
Данная команда служит для просмотра созданных shortcut-route записей до подсетей, находящихся за NHRP NHC.
Синтаксис
show ip nhrp shortcut-routes [ { network <ADDR/LEN> | nexthop <ADDR> | tunnel gre <ID> } ] [ vrf <VRF> ]Параметры
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ID> – идентификатор GRE-туннеля;
<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr-200# show ip nhrp shortcut-routes
Network Nexthop Tunnel Expire Created
(h:m:s) (d,h:m:s)
-------------------- ---------------- --------- --------- --------------
1.0.0.11/32 172.16.0.11 gre 1 01:59:35 0,00:00:24
1.0.0.12/32 172.16.0.12 gre 1 01:59:49 0,00:00:10
esr-200#
show tunnels configuration
Командой выполняется просмотр конфигурации туннеля.
Синтаксис
show tunnels configuration [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
<ID> – идентификатор псевдопровода/динамического псевдопровода.
<NEIGBOR-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show tunnels configuration gre 25 State: enabled Description: Local address: 14.0.0.2 Remote address: 14.0.0.1 Calculates checksums for outgoing GRE packets: no Requires that all input GRE packets were checksum: no key: - TTL: Inherit DSCP: 0 MTU: 1500 Security zone: remote
show tunnels counters
Командой выполняется просмотр счетчиков на туннелях.
Синтаксис
show tunnels counters [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Можно указать несколько туннелей. Если не указывать индексы туннелей, то будут отображены счетчики всех туннелей заданной группы. Если задан определённый туннель, то будет отображена детальная информация по данному туннелю.
<ID> – идентификатор псевдопровода/динамического псевдопровода.
<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show tunnels counters dypseudowire 2 192.0.2.10 Tunnel 'dypseudowire 2_192.0.2.10' counters: Packets received: 1006 Bytes received: 84200 Dropped on receive: 0 Receive errors: 0 Multicasts received: 0 Receive length errors: 0 Receive buffer overflow errors: 0 Receive CRC errors: 0 Receive frame errors: 0 Receive FIFO errors: 0 Receive missed errors: 0 Receive compressed: 0 Packets transmitted: 1006 Bytes transmitted: 102308 Dropped on transmit: 0 Transmit errors: 0 Transmit aborted errors: 0 Transmit carrier errors: 0 Transmit FIFO errors: 0 Transmit heartbeat errors: 0 Transmit window errors: 0 Transmit comressed: 0 Collisions: 0
show tunnels history
Команда используется для просмотра статистики использования туннеля.
Синтаксис
show tunnels history [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ] [ timer <TIMER}> ]Параметры
<TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
<ID> – идентификатор псевдопровода/динамического псевдопровода.
<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<TIMER> – необязательный ключ timer. В качестве параметров для данного ключа могут выступать:
- hours – отображает историю за последние 72 часа;
- minutes – отображает историю за последние 60 минут;
- seconds – отображает историю за последние 60 секунд;
- При отсутствии ключа timer выводятся 3 таблицы истории использования туннеля/туннелей.
Необходимый уровень привилегий
5
Командный режим
ROOT
Пример
esr# show tunnel history gre 1 timer minutes gre 1 Last 60 minutes: Timer Recv utilization, Kbit/s Sent utilization, Kbit/s Recv errors Sent errors Output drops ------ ------------------------- ------------------------- ------------ ------------ -------------- 0-1 240 16 0 0 0 1-2 961 64 0 0 0 2-3 962 64 0 0 0 3-4 962 64 0 0 0 4-5 960 64 0 0 0 5-6 961 64 0 0 0 6-7 719 64 0 0 0 7-8 960 64 0 0 0 8-9 800 65 0 0 0 9-10 962 64 0 0 0 10-11 865 64 0 0 0 11-12 962 64 0 0 0 12-13 817 65 0 0 0 13-14 962 65 0 0 0 14-15 961 65 0 0 0 15-16 880 60 0 0 0 16-17 960 63 0 0 0 17-18 0 0 0 0 0 18-19 0 0 0 0 0 19-20 0 0 0 0 0 20-21 0 0 0 0 0 21-22 0 0 0 0 0
show tunnels status
Команда используется для просмотра состояния системных интерфейсов.
Синтаксис
show tunnels status [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
В команде можно указать несколько туннелей. Если не указывать индексы туннелей, то будут отображены статусы всех туннелей заданной группы. Если задан конкретный туннель, то будет отображена детальная информация по данному туннелю;
<ID> – идентификатор псевдопровода/динамического псевдопровода;
<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr-12vf# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state (d,h:m:s)
---------------- ----- ----- ------ ---------------- ---------------- -------------
vti 1 Up Up 1500 3.3.3.2 3.3.3.1 00,00:10:01
gre 1 Up Up 1500 3.3.3.2 3.3.3.1 00,00:10:01
show tunnels utilization
Команда используется для просмотра средней нагрузки в туннелях за указанный период.
Синтаксис
show tunnels utilization [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
Можно указать несколько туннелей перечислением через «,» либо указать диапазон интерфейсов через «-». Если не указывать индексы туннелей, то будут очищены счетчики всех туннелей заданной группы;
<ID> – идентификатор псевдопровода/динамического псевдопровода;
<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show tunnels utilization gre 2
Tunnel Period, s Sent, Recv, Frames Sent Frames Recv
Kbit/s Kbit/s
--------- ----------- ----------- ----------- ----------- -----------
gre 2 15 0 0 0 0
subnet
Команда указывает список IP-адресов, которым будет разрешено находиться внутри туннеля.
Синтаксис
subnet <OBJ-GROUP-NETWORK-NAME>
no subnet
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего префиксы подсетей назначения, задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-wireguard-tunnel-peer)# subnet clinet
ttl
Команда задаёт значение времени жизни TTL для туннельных пакетов.
Использование отрицательной формы команды (no) устанавливает значение TTL по умолчанию.
Синтаксис
ttl <TTL>
no ttl
Параметры
<TTL> – значение TTL, принимает значения в диапазоне [1..255].
Значение по умолчанию
Наследуется от инкапсулируемого пакета.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IP4IP4
CONFIG-GRE
Пример
esr(config-ip4ip4)# ttl 10
tunnel
Данная команда позволяет перейти в режим конфигурирования туннеля.
Использование отрицательной формы команды (no) удаляет туннель.
Синтаксис
[no] tunnel <TUN>
Параметры
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример 1
Переход в режим конфигурирования туннеля l2tp 10:
esr(config)# tunnel l2tp 10 esr(config-l2tp)#
Пример 2
Переход в режим конфигурирования туннеля l2tpv3 10:
esr(config)# tunnel l2tpv3 10 esr(config-l2tpv3)#
Пример 3
Переход в режим конфигурирования туннеля ip4ip4 200:
esr(config)# tunnel ip4ip4 200 esr(config-ip4ip4)#
Пример 4
Переход в режим конфигурирования туннеля gre 25:
esr(config)# tunnel gre 25 esr(config-gre)#
Пример 5
Переход в режим конфигурирования туннеля vti 125:
esr(config)# tunnel vti 125 esr(config-vti)#
Пример 6
Переход в режим конфигурирования туннеля pptp 10:
esr(config)# tunnel pptp 10 esr(config-pptp)#
Пример 7
Переход в режим конфигурирования туннеля pppoe 8:
esr(config)# tunnel pppoe 8 esr(config-pppoe)#
tunnel
Данной командой указывается режим инкапсуляции для OpenVPN-клиента.
Использование отрицательной формы команды (no) устанавливает инкапсуляцию по умолчанию.
Синтаксис
tunnel <MODE>
Параметры
<MODE> – режим инкапсуляции для OpenVPN-клиента:
- ip – инкапсуляция IP-пакетов в OpenVPN;
- ethernet – инкапсуляция Ethernet-фреймов в OpenVPN.
Значение по умолчанию
ip
Необходимый уровень привилегий
10
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# mode ethernet
tunnel-source
Данной командой указывается имя VRF, от IP-интерфейса которого будет строиться данный GRE-туннель. Данная команда актуальна в случае если GRE-туннель строится через VRF, отличный от VRF самого туннеля.
Использование отрицательной формы команды (no) устанавливает режим, когда GRE-туннель и IP-интерфейс, от которого строится GRE-туннель, находятся в одном VRF.
Синтаксис
tunnel-source [ vrf <VRF> ]
[no] tunnel-source
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
Без указания ключа "vrf" и имени экземпляра VRF, будет использоваться IP-интерфейс глобальной конфигурации.
Значение по умолчанию
Отключено (GRE-туннель и IP-интерфейс относятся к одному VRF).
Необходимый уровень привилегий
10
Командный режим
CONFIG-GRE
Пример
esr(config-gre)# tunnel-source vrf magistral
username
Данной командой задается пользователь и пароль для подключения к L2TP-, PPPoE- или PPTP-серверу.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
Синтаксис
username <NAME> password ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }no username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа;
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 64] символов;
<ENCRYPTED-TEXT> – зашифрованный пароль, задаётся строкой [2..128] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-L2TP
CONFIG-PPPOE
CONFIG-PPTP
Пример
esr(config-pptp)# username fedor password ascii-text password
username
Данной командой создается пользователь для подключения к OpenVPN-серверу.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
Синтаксис
username <NAME>
no username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-OPENVPN
Пример
esr(config-openvpn)# username fedor