Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 6 Текущий »

auth-nocache

Данной командой отключается кэширование пароля пользователя OpenVPN-клиента.

Использование отрицательной формы команды (no) активирует кэширование пароля пользователя OpenVPN-клиента.

Синтаксис
[no] auth-nocache
Параметры

Отсутствуют.

Значение по умолчанию

Кэширование разрешено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config)# auth-nocache

authentication algorithm

Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации при подключении к OpenVPN-серверу.

Использование отрицательной формы команды (no) удаляет алгоритм аутентификации.

Синтаксис
authentication algorithm <ALGORITHM>
no authentication algorithm
Параметры

<ALGORITHM> – алгоритм аутентификации, принимает значения: md4, rsa-md4, md5, rsa-md5, mdc2, rsa-mdc2, sha, sha1, rsa-sha, rsa-sha1, rsa-sha1-2, dsa, dsa-sha, dsa-sha1, dsa-sha1-old, ripemd160, rsa-ripemd160, ecdsa-with-sha1, sha-224, rsa-sha-224, sha-256, rsa-sha-256, sha-384, rsa-sha-384, sha-512, rsa-sha-512, whirlpool.

Значение по умолчанию

Не задано.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# authentication algorithm md5

authentication method

Данной командой определяется метод аутентификации, который будет использоваться при установлении удаленного подключения клиентами PPPoE, PPTP и L2TP.

Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.

Синтаксис
authentication method <METHOD>
no authentication method <METHOD>
Параметры

<METHOD> – метод аутентификации, возможные значения: chap, mschap, mschap-v2, eap, pap.

Значение по умолчанию

chap

Необходимый уровень привилегий

10

Командный режим

CONFIG-PPPOE

CONFIG-PPTP

CONFIG-L2TP

Пример
esr(config-pppoe)# authentication method mschap-v2

authentication required disable

Данной командой отключается обязательная аутентификация PPP на сервере PPTP и L2TP.

Использование отрицательной формы команды (no) включается аутентификация PPP на сервере PPTP и L2TP.

Синтаксис
[no] authentication required disable 
Параметры

Отсутствуют.

Значение по умолчанию

Не задан.

Необходимый уровень привилегий

15

Командный режим

CONFIG-PPPOE

CONFIG-PPTP

CONFIG-L2TP

Пример
esr(config-pppoe)# authentication required disable

crypto

Данной командой указываются необходимые сертификаты для подключения к OpenVPN-серверу.

Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.

Синтаксис
crypto <CERTIFICATE-TYPE> <NAME>
no crypto <CERTIFICATE-TYPE>
Параметры

<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:

  • ca – сертификат центра сертификации;
  • cert – сертификат клиента;
  • private-key – клиентский ключ;
  • crl – список отозванных сертификатов;
  • dh – ключ Диффи-Хеллмана;
  • ta – HMAC-ключ.

<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# crypto ca KEY

crypto pfx

Данной командой указывается контейнер PKCS12. 

Контейнер в обязательном порядке должен включать в себя сертификат ужостоверяющего центра, сертификат x.509 выпущенный этим удостоверяющим центром и приватный ключ этого сертификата. Контейнер может содержать цепочку из сертификатов промежуточных удостоверяющих центров.

Использование команд  crypto ca, crypto cert, crypto private-key и crypto pfx является взаимоисключающим

Синтаксис
crypto pfx <NAME> [password ascii-text <PASSWORD>]
no crypto pfx <NAME>
Параметры

<NAME> - имя PKCS12 контейнера, задаётся строкой до 31 символа.

<PASSWORD> - пароль от PKCS12 контейнера.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN-SERVER

Пример
esr(config-openvpn-server)# crypto pfx pkcs_openvpn_server.p12 password ascii-text password


clear ip nhrp peers

Данная команда служит для очистки записей о NHRP-соседях с маршрутизатора.

Синтаксис
clear ip nhrp peers [ { connected | group | lower-up | nat | nhs | protected | qos | unique | used } ] [ { nbma-address <ADDR> | tunnel gre <ID> | tunnel-address <ADDR> } ] [ type { cached | dynamic | incomplete | negative | static } ] [ vrf <VRF> ]
Параметры

connected – очистить записи, для которых разрешена отправка пользовательских пакетов через GRE-туннель;

group – очистить записи, в которых NHRP-сосед сообщил свою NHRP-группу;

lower-up – очистить записи, в которых оперативное состояние GRE-туннеля UP;

nat – очистить записи, в которых NHRP-сосед расположен за NAT;

nhs – очистить записи, в которых осуществляется регистрация на NHRP-сервере;

protected – очистить записи, в которых GRE-туннель до NHRP-соседа защищен шифрованием IPsec;

qos – очистить записи, в которых к GRE-туннелю до NHRP-соседа применена QoS-политика на основании NHRP-группы;

unique – очистить записи, для которых требуется уникальность соответствия туннельного и NBMA-адреса;

used – очистить записи, в которых через GRE-туннель проходит пользовательский трафик;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ID> – идентификатор GRE-туннеля;

cached – очистить записи, соответствующие GRE-туннелям между NHRP-клиентами;

dynamic – очистить записи, соответствующие GRE-туннелям от NHRP-клиента до NHRP-сервера;

incomplete – очистить незавершенные записи, в которых известен туннельный адрес, но не определен NBMA-адрес;

negative – очистить ошибочные записи, для которых ни один доступный NHRP-сервер не имеет записи о запрошенном туннельном адресе;

static – очистить записи, заданные через конфигурацию маршрутизатора;

<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# clear ip nhrp peers tunnel-address 172.16.0.11

clear ip nhrp shortcut-routes

Данная команда служит для очистки созданных shortcut-route записей до подсетей, находящихся за NHRP-клиентами.

Синтаксис
clear ip nhrp shortcut-routes [ { network <ADDR/LEN> | nexthop <ADDR> | tunnel gre <ID>  } ] [ vrf <VRF> ]
Параметры

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ID> – идентификатор GRE-туннеля;

<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# clear ip nhrp shortcut-routes network 1.0.0.11/32

clear tunnels counters

Данной командой осуществляется сброс счетчиков заданного туннеля или группы туннелей.

Синтаксис
clear tunnels counters [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Можно указать несколько туннелей перечислением через запятую «,» либо указать диапазон туннелей через дефис «-». Если не указывать индексы туннелей, то будут очищены счетчики всех туннелей заданной группы.

<ID> – идентификатор псевдопровода/динамического псевдопровода.

<NEIGBOR-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# clear tunnels counters dypseudowire 2 192.0.2.10

clear tunnels softgre

Данная команда разрушает softgre туннели/туннель.

Синтаксис
clear tunnels softgre [ remote-address <REMOTE-IP> ]
Параметры

<REMOTE-IP> – удаленный IP-адрес, с которого поднят softgre-туннель.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример
esr# clear tunnels softgre esr#clear tunnels softgre remote-address10.10.42.10

compression

Данной командой включается механизм сжатия передаваемых данных между клиентами и сервером OpenVPN.

Использование отрицательной формы команды (no) отключает механизм сжатия передаваемых данных.

Синтаксис
[no] compression
Параметры

Команда не содержит параметров.

Значение по умолчанию

Выключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# compression

default-profile

Данная команда позволяет использовать конфигурацию данного SoftGRE-туннеля для автоматического создания туннелей с такими же mode и local address.

Использование отрицательной формы команды (no) запрещает использование конфигурации туннеля для автоматического создания туннелей.

Синтаксис
[no] default-profile
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SOFTGRE

Пример
esr(config-softgre)# default-profile

description

Данная команда используется для изменения описания конфигурируемого туннеля.

Использование отрицательной формы команды (no) удаляет установленное описание.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание туннеля, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-SUBTUNNEL

CONFIG-GRE

CONFIG-L2TP

CONFIG-L2TPV3

CONFIG-VTI

CONFIG-LT

CONFIG-PPTP

CONFIG-PPPOE

CONFIG-OPENVPN

CONFIG-WIREGUARD

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
esr(config-gre)# description "tunnel to branch"

dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке инкапсулирующего пакета.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис
dscp <DSCP>
no dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

Наследуется от инкапсулируемого пакета.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

Пример
esr(config-ip4ip4)# dscp 40

enable

Данной командой включается туннель.

Использование отрицательной формы команды (no) отключает туннель.

Синтаксис
[no] enable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Туннель выключен.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

CONFIG-SUBTUNNEL

CONFIG-L2TP

CONFIG-L2TPV3

CONFIG-VTI

CONFIG-LT

CONFIG-PPTP

CONFIG-PPPOE

CONFIG-OPENVPN

CONFIG-WIREGUARD

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
esr(config-gre)# enable

encryption algorithm

Данной командой выбирается алгоритм шифрования, используемый при передачи данных.

Использование отрицательной формы команды (no) отключает шифрование.

Синтаксис
encryption algorithm <ALGORITHM>
no encryption algorithm
Параметры

<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, blowfish128, aes128, des-ede, aes192, 3des, desx, aes256.

Значение по умолчанию

Шифрование отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# encryption algorithm aes128

history statistics

Данной командой включается запись статистики использования текущего туннеля.

Использование отрицательной формы команды (no) отключает запись статистики использования текущего туннеля.

Синтаксис
[no] history statistics
Параметры

Отсутствуют.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

CONFIG-SOFTGRE

CONFIG-SUBTUNNEL

CONFIG-IP4IP4

CONFIG-L2TPV3

CONFIG-LT

CONFIG-VTI

CONFIG-PPTP

CONFIG-PPPOE

CONFIG-OPENVPN

CONFIG-L2TP

Пример
esr(config-ip4ip4)# history statistics

ignore-default-route

Данная команда включает режим, в котором маршрут по умолчанию, полученный от сервера, не устанавливается в таблицу маршрутизации.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
[no] ignore-default-route
Параметры

Команда не содержит параметров.

Значение по умолчанию

Маршрут по умолчанию, полученный от сервера, устанавливается в таблицу маршрутизации.

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

CONFIG-PPTP

CONFIG-PPPOE

Пример
esr(config-pptp)# ignore-default-route

interface

Данной командой определяется интерфейс, через который будет устанавливаться PPPoE-соединение.

Использование отрицательной формы команды (no) удаляет указанный интерфейс.

Синтаксис
interface <IF> 
no interface
Параметры

<IF> – интерфейс или группы интерфейсов, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора

Необходимый уровень привилегий

10

Командный режим

CONFIG-PPPOE

Пример
esr(config-pppoe)# interface gigabitethernet 1/0/5.100

ip dont-fragment-bit ignore

Данной командой включается безусловная фрагментация GRE-трафика. В результате, если размер получившегося после инкапсуляции в GRE пакета больше MTU исходящего интерфейса, то GRE-пакет будет фрагментирован. В фрагментированном GRE-пакете DF-бит будет сброшен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
[no] ip dont-fragment-bit ignore
Параметры

Команда не содержит параметров.

Значение по умолчанию.

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip dont-fragment-bit ignore 

ip nhrp attribute group

Данная команда задаёт имя NHRP-группы, которое будет передаваться NHRP-соседям в NHRP-сообщениях.

Использование отрицательной формы команды (no) отключает рассылку NHRP-группы.

Синтаксис
ip nhrp attribute group <WORD>
[no] ip nhrp attribute group
Параметры

<WORD> – имя NHRP-группы, задаётся строкой [1..40] символов, не принимает символы [^#].

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp attribute group esr-spoke-5mbps

ip nhrp authentication

Данная команда включает аутентификацию для протокола NHRP. У всех участников NHRP-процесса должен быть одинаковый пароль.

Использование отрицательной формы команды (no) отключает аутентификацию.

Синтаксис
ip nhrp authentication { <WORD> | encrypted <ENCRYPTED-TEXT> }
[no] ip nhrp authentication
Параметры

<WORD> – пароль в открытой форме, задается строкой [1..8] символов, может включать символы [0-9a-fA-F].

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [1..8] байт, задаётся строкой [2..16] символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp authentication password

ip nhrp enable

Данной командой включается работа протокола NHRP на GRE-туннеле маршрутизатора.

Использование отрицательной формы команды (no) отключает работу протокола NHRP на GRE-туннеле маршрутизатора.

Синтаксис
[no] ip nhrp enable
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp enable

ip nhrp holding-time

Данная команда служит для установки времени жизни NHRP-записи, которую будет сформирована NHRP-сервере после успешной регистрации NHRP-клиента. Аналогичным образом это время будет использоваться в записи на NHRP-клиенте после успешного построения туннеля между NHRP-клиентами. Также эта команда влияет на период повторных запросов регистрации на NHRP-сервере, он рассчитывается как 1/3 от значения команды ip nhrp holding-time.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip nhrp holding-time <TIME>
[no] ip nhrp holding-time
Параметры

<TIME> – время в секундах, в течении которого у NHRP-соседа будет существовать запись о данном NHRP-клиенте, принимает значения [1..65535].

Значение по умолчанию

7200 секунд

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp holding-time 300

ip nhrp ipsec

Данной командой указывается имя IPsec VPN, который будет использован в качестве транспорта для GRE-туннеля с настроенным протоколом NHRP.

Использование отрицательной формы команды (no) отключает использование IPsec VPN на GRE-туннеле.

Синтаксис
ip nhrp ipsec <WORD> { static | dynamic }
no ip nhrp ipsec <WORD> { static | dynamic }
Параметры

<WORD> – имя VPN, задаётся строкой до 31 символа;

static – статическое соединение, применяется для связи с NHRP-сервером;

dynamic – динамически устанавливающееся соединение, настраивается для возможности поднятия туннелей до NHRP-клиентов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp ipsec VPN static

ip nhrp map

Данная команда задаёт соответствие «внутреннего» туннельного адреса с «внешним» NBMA-адресом.

Использование отрицательной формы команды (no) удаляет соответствие.

Синтаксис
[no] ip nhrp map <ADDR-IN> <ADDR-OUT>
Параметры

<ADDR-IN> – туннельный IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<ADDR-OUT> – NBMA IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp map 172.16.0.2 67.86.141.231

ip nhrp map group

Данная команда задаёт соответствие NHRP-группы, полученной от NHRP-соседа в сообщениях NHRP и политики QoS, которая будет применена к исходящему в сторону этого NHC-соседа трафика.

Использование отрицательной формы команды (no) удаляет соответствие.

Синтаксис
[no] ip nhrp map group <GROUP> service-policy output <POLICY>
Параметры

<GROUP> – имя NHRP-группы, задаётся строкой [1..40] символов, не принимает символы [^#];

<POLICY> – имя QoS-политики, задается строкой [1..31] символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp map group SPOKE-5M service-policy output POLICY-5M

ip nhrp multicast

Данная команда определяет адресатов для отправки мультикастного трафика.

Использование отрицательной формы команды (no) удаляет адресата.

Синтаксис
[no] ip nhrp multicast { dynamic | nhs | <ADDR> }
Параметры

dynamic – отправляет трафик всем NHRP-соседям, которые установили соединение с текущим хостом через процедуру регистрации;

nhs – отправляет трафик на заданные в конфигурации NHRP-сервера, на которых успешно пройдена регистрация;

<ADDR> – отправляет трафик на заданный туннельный IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp multicast nhs

ip nhrp nhs

Данная команда служит для указания туннельного адреса NHRP-сервера, к которому после успешной регистрации можно отправлять запросы на поиск NHRP-соседей.

Использование отрицательной формы команды (no) удаляет запись о сервере.

Синтаксис
ip nhrp nhs <ADDR>
no ip nhrp nhs <ADDR>
Параметры

<ADDR> – туннельный IP-адрес NHRP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть AAADDD принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp nhs 172.16.0.2

ip nhrp redirect

Данной командой включается механизм, который позволяет NHRP-серверу отслеживать не оптимальность прохождения трафика между NHRP-соседями. Если NHRP-сервер получает пакет от одного NHRP-соседа и пересылает его другому NHRP-соседу – то отправителю данного пакета будет отправлено NHRP-сообщение Traffic Indication.

Использование отрицательной формы команды (no) отключает данный механизм.

Синтаксис
[no] ip nhrp redirect
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp redirect

ip nhrp shortcut

Данной командой включается механизм, позволяющий обрабатывать NHRP-сообщения Traffic Indication. Если такое сообщение получено от NHRP-сервера на отправленный раннее пакет, то NHRP-клиент начет процедуру поиска NHRP-соседа, за которым доступен адрес назначения в отправленном пакете. Успешный поиск приведет к созданию туннеля между NHRP-соседями для оптимального прохождения трафика.

Использование отрицательной формы команды (no) отключает данный механизм.

Синтаксис
[no] ip nhrp shortcut
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip nhrp shortcut

ip path-mtu-discovery discovery disable

Данной командой отключается функция Path MTU Discovery. В результате, если каждое из следующих условий будет выполнено, то произойдет фрагментация GRE-пакета:

  • Размер получившегося после инкапсуляции в GRE пакета больше MTU исходящего интерфейса;
  • DF bit (don't fragment bit) исходного пакета не установлен.

В фрагментированном GRE-пакете DF-бит будет унаследован от оригинального пакета.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
[no] ip path-mtu-discovery disable 
Параметры

Команда не содержит параметров.

Значение по умолчанию.

Включено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# ip path-mtu-discovery disable 

ip tcp adjust-mss

Данной командой переопределяется значение поля MSS (Maximum segment size) во входящих TCP-пакетах.

Использование отрицательной формы команды (no) отключает корректировку значение поля MSS.

Синтаксис
ip tcp adjust-mss <MSS>
no ip tcp adjust-mss
Параметры

<MSS> – значение MSS, принимает значения в диапазоне [500..1460].

Значение по умолчанию

1460

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

CONFIG-L2TP

CONFIG-PPPOE

CONFIG-PPTP

CONFIG-VTI

CONFIG-LT

Пример
esr(config-gre)# ip tcp adjust-mss 1400

ipsec authentication method

Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см. раздел ipsec authentication pre-shared-key).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ipsec authentication method pre-shared-key
no ipsec authentication method
Параметры

pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования.

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

Пример
esr(config-l2tp-server)# ipsec authentication method psk

ipsec authentication pre-shared-key

Данной командой устанавливается общий секретный ключ для аутентификации, который должен совпадать у обоих сторон, устанавливающих туннель.

Использование отрицательной формы команды (no) удаляет установленный ключ.

Синтаксис
ipsec authentication pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }| hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no ipsec authentication pre-shared-key
Параметры

<TEXT> – строка [1..64] ASCII-символов.

<HEX> – число размером [1..32] байт, задаётся строкой [2..128] символов в шестнадцатеричном формате (0xYYYY...) или (YYYY...).

<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;

<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.

Значение по умолчанию

none

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

Пример
esr(config-l2tp-server)# ipsec authentication pre-shared-key ascii-text password

ipsec ike proposal

Данной командой для L2TP-клиента назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IKE.

Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IKE.

Синтаксис
[no] ipsec ike proposal <NAME>
Параметры

<NAME> – имя ранее созданного профиля протокола IKE, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

15

Командный режим

CONFIG-L2TP

Пример
esr(config-l2tp)# ipsec ike proposal IKE_PROPOSAL

ipsec proposal

Данной командой для L2TP-клиента назначается шаблон, ограничивающий используемые методы аутентификации и шифрования протокола IPsec.

Использование отрицательной формы команды (no) удаляет ограничения на использование методов аутентификации и шифрования протокола IPsec.

Синтаксис
[no] ipsec ike proposal <NAME>
Параметры

<NAME> – имя ранее созданного профиля IPsec, задаётся строкой до 31 символа. 

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

15

Командный режим

CONFIG-L2TP

Пример
esr(config-l2tp)# ipsec  proposal IPSEC_PROPOSAL

keepalive dhcp dependent-interface

Данной командой включается механизм перезапроса IP-адресов по протоколу DHCP на указанных интерфейсах при отключении GRE-туннеля по keepalive. Возможно указать до 8 интерфейсов для каждого GRE-туннеля.

Использование отрицательной формы команды (no) отключает механизм перезапроса IP-адресов по протоколу DHCP.

Синтаксис
keepalive dhcp dependent-interface <IF>
no keepalive dst-address
Параметры

<IF> – физический или агрегированный интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive dhcp dependent-interface gi 1/0/1

Данной командой указывается интервал времени между отключением GRE-туннеля и перезапросом IP-адреса на интерфейсе/интерфейсах, указанных командой keepalive dhcp dependent-interface (см. раздел keepalive dhcp dependent-interface).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
keepalive dhcp link-timeout <SEC>
no keepalive dhcp link-timeout
Параметры

<SEC> – интервал в секундах между отключением GRE-туннеля и перезапросом IP-адреса на интерфейсе/интерфейсах указанных командой keepalive dhcp dependent-interface, принимает значения [1..32767] секунд.

Значение по умолчанию

10

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive dhcp link-timeout 90

keepalive dst-address

Данной командой настраивается IP-адрес для отправки keepalive-пакетов для проверки работоспособности туннеля. Если указанный IP-адрес недоступен, то туннель меняет оперативное состояние на DOWN. Данный параметр имеет значение только при включенном механизме keepalive (см. раздел keepalive enable).

Использование отрицательной формы команды (no) отключает данную проверку.

Синтаксис
keepalive dst-address <ADDR>
no keepalive dst-address
Параметры

<ADDR> – IP-адрес для проверки работоспособности GRE-туннеля.

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive dst-address 192.168.1.57

keepalive enable

Данной командой включается проверка доступности удаленного шлюза туннеля. Если удаленный шлюз туннеля недоступен, то туннель меняет оперативное состояние на DOWN.

Использование отрицательной формы команды (no) отключает данную проверку.

Синтаксис
[no] keepalive enable
Параметры

Команда не содержит параметров.

Значение по умолчанию.

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive enable

keepalive retries

Данная команда определяет количество попыток проверки доступности удаленного шлюза туннеля. По достижению указанного количества неудачных попыток, туннель будет считаться неактивным.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
keepalive retries <VALUE>
no keepalive retries
Параметры

<VALUE> – количество попыток, принимает значения в диапазоне [1..255].

Значение по умолчанию

6

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive retries 8

keepalive timeout

Данной командой регулируется период отправки keepalive-пакетов встречной стороне.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
keepalive timeout <TIME>
no keepalive timeout
Параметры

<TIME> – время в секундах, принимает значения в диапазоне [1..32767].

Значение по умолчанию

10

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
esr(config-gre)# keepalive timeout 18

keepalive timeout ipsec

Данной командой задается время, которое отводится на восстановление соединения IPsec VPN, по истечении которого маршрутизатор будет перезагружен. Данный функционал работает только когда маршрутизатор работает в режиме OTT. Режим работы ОТТ включается при производстве устройства.

При использовании отрицательной формы команды (no) значение приводится к дефолтному значению 180.

Синтаксис
keepalive timeout ipsec <TIME>
no keepalive timeout ipsec
Параметры

<TIME> – время в секундах, принимает значения в диапазоне [30-32767].

Значение по умолчанию

180

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# keepalive timeout ipsec 1000

key

Данная команда разрешает передачу ключа (key) в туннельном заголовке GRE (в соответствии с RFC 2890) и устанавливает значение ключа. Ключ может быть использован для идентификации потоков трафика в GRE-туннеле.

Использование отрицательной формы команды (no) запрещает передачу ключа.

Синтаксис
key <KEY>
no key
Параметры

<KEY> – значение KEY, принимает значения в диапазоне [1..4294967295].

Значение по умолчанию

Ключ не передаётся.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# key 40

load-average

Данной командой устанавливается интервал времени, за который усредняется статистика о нагрузке на туннеле.

Использование отрицательной формы команды устанавливает значение по умолчанию.

Синтаксис
load-average <TIME>
no load-average
Параметры

<TIME> – интервал в секундах, принимает значения [5..150].

Значение по умолчанию

5

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

CONFIG-IP4IP4

CONFIG-LT

CONFIG-SUBTUNNEL

CONFIG-L2TPv3

CONFIG-VTI

CONFIG-PPTP

CONFIG-PPPOE

CONFIG-OPENVPN

CONFIG-L2TP

Пример
esr(config-gre)# load-average

local address

Данной командой устанавливается IP-адрес локального шлюза туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.

Синтаксис
local address <ADDR>
no local address
Параметры

<ADDR> – IP-адрес локального шлюза.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

CONFIG-L2TPV3

CONFIG-VTI

Пример
esr(config-ip4ip4)# local address 192.168.1.1

local address xauth

Данной командой задается использование адреса, выдаваемого по mode config, при использовании ранее настроенного IPsec VPN в режиме XAUTH-клиента.

При использовании отрицательной формы команды (no) удаляет настройку.

Синтаксис
local address xauth <NAME>
no local address
Параметры

<NAME> – имя ранее созданного IPsec VPN, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-)# local address xauth IPsecVPN

local checksum

Данная команда включает вычисление контрольной суммы и занесение её в GRE-заголовок отправляемых пакетов.

Использование отрицательной формы команды (no) отключает процесс вычисления и отправки контрольной суммы.

Синтаксис
[no] local checksum
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# local checksum

local cookie

Данная команда определяет значение cookie для дополнительной проверки соответствия между передаваемыми данными и сессией.

Использование отрицательной формы команды (no) удаляет локальный cookie.

Синтаксис
local cookie <COOKIE>
no local cookie
Параметры

<COOKIE> – значение cookie, параметр принимает значения длиной восемь или шестнадцать символов в шестнадцатеричном виде [8 или 16].

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# local cookie 8FB51B8FB

local interface

Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза GRE-туннеля.

При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.

Синтаксис
local interface { <IF> | <TUN> }
no local interface
Параметры

<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# local interface gigabitethernet 1/0/1

local port

Команда определяет локальный UDP-порт, если в качестве метода инкапсуляции был выбран UDP-протокол.

Использование отрицательной формы команды (no) удаляет локальный номер UDP-порта.

Синтаксис
local port <UDP>
no local port
Параметры

<UDP> – номер UDP-порта в диапазоне [1..65535].

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# local port 1501

local session-id

Установить локальный идентификатор сессии.

Использование отрицательной формы команды (no) удаляет локальный идентификатор сессии.

Синтаксис
local session-id <SESSION-ID>
no local session-id
Параметры

<SESSION-ID> – идентификатор сессии, принимает значения [1..200000].

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# local session-id 200

min-frag-size

Данной командой устанавливается минимальный размер пакета (в байтах). В результате пакеты, превышающие заданный размер, будут фрагментироваться при прохождении через соответствующий multilink PPP.

Использование отрицательной формы команды (no) удаляет пороговое значение.

Синтаксис
min-frag-size <SIZE>
no lmin-frag-size
Параметры

<SIZE> – размер пакета, принимает значения в диапазоне [128..1500].

Необходимый уровень привилегий

10

Командный режим

CONFIG-IF-MULTILINK

Пример
esr(config-if-multilink)# min-frag-size 1000

mode

Данной командой задается режим работы SoftGRE-туннеля.

Использование отрицательной формы команды (no) снимает установленный режим.

Синтаксис
mode <MODE>
no mode
Параметры

<MODE> – режим работы туннеля, возможные значения:

  • data – режим данных;
  • management – режим управления.
Необходимый уровень привилегий

10

Командный режим

CONFIG-SOFTGRE

Пример
esr(config-softgre)# mode data

mode

Данной командой указывается режим инкапсуляции для GRE-туннеля.

Использование отрицательной формы команды (no) устанавливает инкапсуляцию по умолчанию.

Синтаксис
mode <MODE>
Параметры

<MODE> – режим инкапсуляции для GRE-туннеля:

  • ip – инкапсуляция IP-пакетов в GRE;
  • ethernet – инкапсуляция Ethernet-фреймов в GRE.
Значение по умолчанию

ip

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# mode ethernet

mtu

Данной командой указывается размер MTU (Maximum Transmition Unit) для туннелей.

Использование отрицательной формы команды (no) устанавливает значение MTU по умолчанию.

Синтаксис
mtu <MTU>
no mtu
Параметры

<MTU> – значение MTU, принимает значения в диапазоне [552..10000] (для PPPoE-туннелей принимает значения в диапазоне [552..1500]).

Значение по умолчанию

1500

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

CONFIG-SUBTUNNEL

CONFIG-L2TP

CONFIG-L2TPV3

CONFIG-VTI

CONFIG-LT

CONFIG-PPTP

CONFIG-PPPOE

CONFIG-OPENVPN

CONFIG-WIREGUARD

Пример
esr(config-l2tpv3)# mtu 1400

multipoint

Данная команда служит для перевода туннеля в режим multipoint. В этом режиме возможно установление нескольких соединений с одного туннельного интерфейса.

Использование отрицательной формы команды (no) переводит в обычный, point-to-point режим.

Синтаксис
[no] multipoint
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# multipoint

password

Команда для установки пароля пользователя OpenVPN-сервера.

Использование отрицательной формы команды (no) удаляет пароль пользователя.

Синтаксис
password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }
no password
Параметры

<CLEAR-TEXT> – пароль в открытой форме, задаётся строкой [8..32] символов, может включать символы [0-9a-fA-F];

<ENCRYPTED-TEXT> – пароль в зашифрованной форме, задаётся строкой [8..32] символов.

Пароли хранятся в конфигурации в зашифрованной форме независимо от формата, использованного при вводе команды.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# password 01234567

peer

Данная команда используется для перехода к настройке разрешённых туннелей.

Использование отрицательной формы команды (no) удаляет разрешённый туннель.

Синтаксис
[no] peer <COUNT>
Параметры

<COUNT> – номер соответствующего пира, принимает значения [1..16].

Необходимый уровень привилегий

15

Командный режим

CONFIG-WIREGUARD

Пример
esr(config-wireguard)# peer 1

peer lt

Данная команда используется для задания удаленной стороны (в другом VRF) логического туннеля.

Использование отрицательной формы команды (no) удаляет привязку удаленной стороны туннеля.

Синтаксис
[no] peer lt <ID>
Параметры

<ID> – идентификатор удаленной стороны логического туннеля.

Необходимый уровень привилегий

10

Командный режим

CONFIG-LT

Пример
esr(config-lt)# peer lt 2

port

Данной командой определяется номер UDP-порта, по которому устанавливается соединение с L2TP-сервером.

Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.

Синтаксис
port <PORT>
no port
Параметры

<PORT> – номер UDP-порта, задаётся в диапазоне [1024..65535].

Значение по умолчанию

1701

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

Пример
esr(config-l2tp)# port 1048

port

Данной командой определяется номер UDP-порта, по которому устанавливается соединение с WireGuard-сервером.

Использование отрицательной формы команды (no) удаляет указанный метод аутентификации.

Синтаксис
port <PORT>
no port
Параметры

<PORT> – номер UDP-порта, задаётся в диапазоне [1..65535].

Необходимый уровень привилегий

10

Командный режим

CONFIG-WIREGUARD

Пример
esr(config-wireguard)# port 43020

ppp failure-count

Данной командой устанавливается количество неудачных data-link тестов перед разрывом сессии.

При использовании отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис
ppp failure-count <NUM>
no ppp failure-count
Параметры

<NUM> – количество неудачных data-link тестов, задается в диапазоне [1..100].

Значение по умолчанию

10

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

CONFIG-PPPOE

CONFIG-PPTP

Пример
esr(config-l2tp)# ppp failure-count 20

ppp timeout keepalive

Данной командой устанавливается интервал времени в секундах, по истечении которого маршрутизатор отправляет keepalive-сообщение.

При использовании отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис
ppp timeout keepalive <TIME >
no ppp timeout keepalive
Параметры

<TIME> – время в секундах, задается в диапазоне [1..32767].

Значение по умолчанию

10

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TP

CONFIG-PPPOE

CONFIG-PPTP

Пример
esr(config-l2tp)# ppp timeout keepalive 5000

protocol

Выбор метода инкапсуляции для туннеля L2TPv3.

Синтаксис
protocol <TYPE>
no protocol
Параметры

<TYPE> – тип инкапсуляции, возможные значения:

  • IP-инкапсуляция в IP-пакет;
  • UDP-инкапсуляция в UDP-дейтаграммы.
Необходимый уровень привилегий

15

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# protocol ip

private-key

Данной командой указывается необходимый приватный ключ клиента WireGuard.

Синтаксис

private-key <NAME>

no private-key

Параметры

<NAME> – имя приватного ключа, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-WIREGUARD

Пример
esr(config-wireguard)# private-key client.priv

protocol

Выбор метода инкапсуляции для туннеля OPENVPN.

Синтаксис
protocol <TYPE>
no protocol
Параметры

<TYPE> – тип инкапсуляции, возможные значения:

  • TCP – инкапсуляция в TCP-сегмент;
  • UDP – инкапсуляция в UDP-дейтаграммы.
Значение по умолчанию

TCP

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# protocol tcp

public-key

Данной командой указывается необходимый публичный ключ сервера WireGuard.

Синтаксис

public-key <NAME>

no public-key

Параметры

<NAME> – имя публичного ключа, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
esr(config-wireguard-tunnel-peer)# public-key server.pub

remote address

Данной командой устанавливается IP-адрес удаленного шлюза туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.

Синтаксис
remote address <ADDR>
no remote address
Параметры

<ADDR> – IP-адрес удаленного шлюза.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

CONFIG-SOFTGRE

CONFIG-L2TP

CONFIG-L2TPV3

CONFIG-VTI

CONFIG-PPTP

CONFIG-WIREGUARD-PEER

Пример
esr(config-ip4ip4)# remote address 192.168.1.2

remote address

Данной командой устанавливается IP-адрес и TCP/UDP-порт удаленного шлюза туннеля.

Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.

Синтаксис
[no] remote address <ADDR> [ port <PORT>]
Параметры

<ADDR> – IP-адрес удаленного шлюза;

<PORT> – номер TCP/UDP-порта удаленного шлюза в диапазоне [1..65535].

Значение по умолчанию

<PORT> – 1194.

Необходимый уровень привилегий

10

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# remote address 192.168.1.2 port 1233

remote address xauth

Данной командой задается использование адреса management-ip или data-ip, выдаваемого по mode config, при использовании ранее настроенного IPsec VPN в режиме XAUTH-клиента. Требует наличия соответствующих настроек на IPsec-VPN-сервере.

При использовании отрицательной формы команды (no) удаляет настройку.

Синтаксис
remote address xauth <NAME> {management-ip|data-ip}
no remote address
Параметры

<NAME> – имя ранее созданного IPsec VPN, задаётся строкой до 31 символа;

management-ip – адрес, получаемый по mode config при установке IPsec VPN в режиме XAUTH-клиента. Требует наличия в настройках IPsec-VPN-сервера роутера ELTEX_MANAGEMENT_IP (28683).

data-ip – адрес, получаемый по mode config при установке IPsec VPN в режиме XAUTH-клиента. Требует наличия в настройках IPsec-VPN-сервера ELTEX_DATA_IP (28684).

Значение по умолчанию

Не задано.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# remote address xauth IPsecVPN

remote checksum

Команда включает проверку наличия и соответствия значений контрольной суммы в заголовках принимаемых GRE-пакетов.

Использование отрицательной формы команды (no) отключает проверку контрольной суммы.

Синтаксис
[no] remote checksum 
Параметры

Команда не содержит параметров.

Значение по умолчанию

По умолчанию проверка контрольной суммы выключена.

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# remote checksum

remote cookie

Данная команда определяет значение cookie для дополнительной проверки соответствия между передаваемыми данными и сессией.

Использование отрицательной формы команды (no) удаляет удаленный cookie.

Синтаксис
remote cookie <COOKIE>
no remote cookie
Параметры

<COOKIE> – значение cookie, принимает значения длиной восемь или шестнадцать символов в шестнадцатеричном виде [8 или 16].

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# remote cookie 8FB51B8FB

remote port

Данная команда определяет удаленный UDP-порт, если в качестве метода инкапсуляции был выбран UDP.

Использование отрицательной формы команды (no) удаляет удаленный номер UDP-порта.

Синтаксис
remote port <UDP>
no remote port
Параметры

<UDP> – номер UDP-порта в диапазоне [1..65535].

Значение по умолчанию

Отсутствует.

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

CONFIG-WIREGUARD-PEER

Пример
esr(config-l2tpv3)# remote port 65000

remote session-id

Данной командой устанавливается удаленный идентификатор сессии.

Использование отрицательной формы команды (no) удаляет удаленный идентификатор сессии.

Синтаксис
remote session-id <SESSION-ID>
no remote session-id
Параметры

<SESSION-ID> – идентификатор сессии, принимает значение в диапазоне [1..200000].

Необходимый уровень привилегий

10

Командный режим

CONFIG-L2TPV3

Пример
esr(config-l2tpv3)# remote session-id 2

route-metric

Данной командой назначается метрика маршрутов получаемых клиентом от OpenVPN-сервера.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
route-metric <METRIC>
no route-metric
Параметры

<METRIC> – метрика маршрута, принимает значение в диапазоне [0..255].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config)# route-metric 100

route-nopull

Данной командой отключается применение маршрутов, передаваемых OpenVPN-сервером.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
[no] route-nopull
Параметры

Отсутствуют.

Значение по умолчанию

Игнорирование маршрутов отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config)# route-nopull

snmp init-trap

Данная команда используется для включения отправки snmp-trap о включении/отключении туннеля.

Использование отрицательной формы команды (no) отключает отправку snmp-trap о включении/отключении туннеля.

Синтаксис
[no] snmp init-trap
Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-GRE

CONFIG-SUBTUNNEL

Пример
esr(config-gre)# snmp init-trap

show ip nhrp peers

Данная команда служит для просмотра записей об NHRP-соседях.

Синтаксис
show ip nhrp peers [ { connected | group [ name <GROUP> ] | lower-up | nat | nhs | protected | qos | unique | used } ] [ { nbma-address <ADDR> | tunnel gre <ID> | tunnel-address <ADDR> } ] [ type { cached | dynamic | incomplete | negative | static } ] [ vrf <VRF> ] [ detailed ]
Параметры

connected – показать записи, для которых разрешена отправка пользовательских пакетов через GRE-туннель;

group – показать записи, в которых NHRP-сосед сообщил свою NHRP-группу, при опциональном указании имени NHRP-группы будут выведены NHRP-записи с принадлежностью к указанной группе;

<GROUP>  – имя NHRP-группы, задаётся строкой [1..40] символов, не принимает символы [^#];

lower-up – показать записи, в которых оперативное состояние GRE-туннеля – UP;

nat – показать записи, в которых NHRP-сосед расположен за NAT;

nhs – показать записи, в которых осуществляется регистрация на NHRP-сервере;

protected – показать записи, в которых GRE-туннель до NHRP-соседа защищен шифрованием IPsec;

qos – показать записи, в которых к GRE-туннелю до NHRP-соседа применена QoS политика на основании NHRP-группы;

unique – показать записи, для которых требуется уникальность соответствия туннельного и NBMA-адреса;

used – показать записи, в которых через GRE-туннель проходит пользовательский трафик;

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ID> – идентификатор GRE-туннеля;

cached – показать записи, соответствующие GRE-туннелям между NHRP-клиентами;

dynamic – показать записи, соответствующие GRE-туннелям от NHRP-клиента до NHRP-сервера;

incomplete – показать незавершенные записи, в которых известен туннельный адрес, но не определен NBMA-адрес;

negative – показать ошибочные записи, для которых ни один доступный NHRP-сервер не имеет записи о запрошенном туннельном адресе;

static – показать записи, заданные через конфигурацию маршрутизатора;

<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа;

detailed – показать информацию об отфильтрованных NHRP-записях в подробном виде.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show ip nhrp peers 
 Flags: E - unique, R - nhs, U - used, L - lower-up
        C - connected, G - group, Q - qos, N - nat
        P - protected, X - undefined

Tunnel address         NBMA address       Tunnel      Expire      Created          Type              Flags  
                                                      (h:m:s)     (d,h:m:s)
--------------------   ----------------   ---------   ---------   --------------   ---------------   ----------   
172.16.0.1             10.0.104.2         gre 1       --          --               static            RLC          
172.16.0.11            98.0.101.2         gre 1       01:31:56    00,00:28:03       cached            LCN          
esr# show ip nhrp peers detailed 
Tunnel:                     gre 1
Type:                       static
Tunnel address:             172.16.0.1
NBMA address:               10.0.104.2
NAT-OA address:             --
Flags:                      nhs, lower-up, connected
Created (d,h:m:s):          --
Expire (h:m:s):             --
Re-registration in (h:m:s): 00:10:56
IPSec protection:           Disabled
Group:                      --
QoS policy output:          --

Tunnel:                     gre 1
Type:                       cached
Tunnel address:             172.16.0.11
NBMA address:               98.0.101.2
NAT-OA address:             10.0.101.2
Flags:                      lower-up, connected, nat
Created (d,h:m:s):          00,00:28:05
Expire (h:m:s):             01:31:54
Re-registration in (h:m:s): --
IPSec protection:           Disabled
Group:                      --
QoS policy output:          --
esr#

show ip nhrp shortcut-routes

Данная команда служит для просмотра созданных shortcut-route записей до подсетей, находящихся за NHRP NHC.

Синтаксис
show ip nhrp shortcut-routes [ { network <ADDR/LEN> | nexthop <ADDR> | tunnel gre <ID>  } ] [ vrf <VRF> ]
Параметры

<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ID> – идентификатор GRE-туннеля;

<VRF> – имя экземпляра VRF, задается строкой от 1 до 31 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr-200# show ip nhrp shortcut-routes 
Network                Nexthop            Tunnel      Expire      Created
                                                      (h:m:s)     (d,h:m:s)          
--------------------   ----------------   ---------   ---------   --------------   
1.0.0.11/32            172.16.0.11        gre 1       01:59:35    0,00:00:24       
1.0.0.12/32            172.16.0.12        gre 1       01:59:49    0,00:00:10       
esr-200#

show tunnels configuration

Командой выполняется просмотр конфигурации туннеля.

Синтаксис
show tunnels configuration [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

<ID> – идентификатор псевдопровода/динамического псевдопровода.

<NEIGBOR-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr# show tunnels configuration gre 25
State:                                             enabled
Description:
Local address:                                     14.0.0.2
Remote address:                                    14.0.0.1
Calculates checksums for outgoing GRE packets:     no
Requires that all input GRE packets were checksum: no
key:                                               -
TTL:                                               Inherit
DSCP:                                              0
MTU:                                               1500
Security zone:                                     remote

show tunnels counters

Командой выполняется просмотр счетчиков на туннелях.

Синтаксис
show tunnels counters [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Можно указать несколько туннелей. Если не указывать индексы туннелей, то будут отображены счетчики всех туннелей заданной группы. Если задан определённый туннель, то будет отображена детальная информация по данному туннелю.

<ID> – идентификатор псевдопровода/динамического псевдопровода.

<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr# show tunnels counters  dypseudowire 2 192.0.2.10
Tunnel 'dypseudowire 2_192.0.2.10' counters:
 Packets received:               1006
 Bytes received:                 84200
 Dropped on receive:             0
 Receive errors:                 0
 Multicasts received:            0
 Receive length errors:          0
 Receive buffer overflow errors: 0
 Receive CRC errors:             0
 Receive frame errors:           0
 Receive FIFO errors:            0
 Receive missed errors:          0
 Receive compressed:             0
 Packets transmitted:            1006
 Bytes transmitted:              102308
 Dropped on transmit:            0
 Transmit errors:                0
 Transmit aborted errors:        0
 Transmit carrier errors:        0
 Transmit FIFO errors:           0
 Transmit heartbeat errors:      0
 Transmit window errors:         0
 Transmit comressed:             0
 Collisions:                     0

show tunnels history

Команда используется для просмотра статистики использования туннеля.

Синтаксис
show tunnels history [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ] [ timer <TIMER}> ]
Параметры

<TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

<ID> – идентификатор псевдопровода/динамического псевдопровода.

<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<TIMER> – необязательный ключ timer. В качестве параметров для данного ключа могут выступать:

  • hours – отображает историю за последние 72 часа;
  • minutes – отображает историю за последние 60 минут;
  • seconds – отображает историю за последние 60 секунд;
  • При отсутствии ключа timer выводятся 3 таблицы истории использования туннеля/туннелей.
Необходимый уровень привилегий

5

Командный режим

ROOT

Пример
esr# show tunnel history gre 1 timer minutes
gre 1
Last 60 minutes:
Timer  Recv utilization, Kbit/s  Sent utilization, Kbit/s  Recv errors  Sent errors  Output drops
------ ------------------------- ------------------------- ------------ ------------ --------------
0-1   240            16             0       0       0
1-2   961            64             0       0       0
2-3   962            64             0       0       0
3-4   962            64             0       0       0
4-5   960            64             0       0       0
5-6   961            64             0       0       0
6-7   719            64             0       0       0
7-8   960            64             0       0       0
8-9   800            65             0       0       0
9-10  962            64             0       0       0
10-11 865            64             0       0       0
11-12 962            64             0       0       0
12-13 817            65             0       0       0
13-14 962            65             0       0       0
14-15 961            65             0       0       0
15-16 880            60             0       0       0
16-17 960            63             0       0       0
17-18  0             0              0       0       0
18-19  0             0              0       0       0
19-20  0             0              0       0       0
20-21  0             0              0       0       0
21-22  0             0              0       0       0

show tunnels status

Команда используется для просмотра состояния системных интерфейсов.

Синтаксис
show tunnels status [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;

В команде можно указать несколько туннелей. Если не указывать индексы туннелей, то будут отображены статусы всех туннелей заданной группы. Если задан конкретный туннель, то будет отображена детальная информация по данному туннелю;

<ID> – идентификатор псевдопровода/динамического псевдопровода;

<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr-12vf# show tunnels status 
Tunnel             Admin   Link    MTU      Local IP           Remote IP          Last change     
                   state   state                                                  (d,h:m:s)       
----------------   -----   -----   ------   ----------------   ----------------   -------------   
vti 1              Up      Up      1500     3.3.3.2            3.3.3.1            00,00:10:01     
gre 1              Up      Up      1500     3.3.3.2            3.3.3.1            00,00:10:01  

show tunnels utilization

Команда используется для просмотра средней нагрузки в туннелях за указанный период.

Синтаксис
show tunnels utilization [{ <TUN> | pseudowire [ <ID> <NEIGBOR-ADDR> ] | dypseudowire pseudowire [ <ID> <NEIGBOR-ADDR> ] } ]
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;

Можно указать несколько туннелей перечислением через «,» либо указать диапазон интерфейсов через «-». Если не указывать индексы туннелей, то будут очищены счетчики всех туннелей заданной группы;

<ID> – идентификатор псевдопровода/динамического псевдопровода;

<NEIGBOR-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
esr# show tunnels utilization gre 2
Tunnel      Period, s     Sent,         Recv,        Frames Sent   Frames Recv
                          Kbit/s        Kbit/s
---------   -----------   -----------   -----------   -----------   -----------
gre 2       15            0             0             0             0

subnet

Команда указывает список IP-адресов, которым будет разрешено находиться внутри туннеля.

Синтаксис
subnet <OBJ-GROUP-NETWORK-NAME>
no subnet
Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего префиксы подсетей назначения, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
esr(config-wireguard-tunnel-peer)# subnet clinet

ttl

Команда задаёт значение времени жизни TTL для туннельных пакетов.

Использование отрицательной формы команды (no) устанавливает значение TTL по умолчанию.

Синтаксис
ttl <TTL>
no ttl
Параметры

<TTL> – значение TTL, принимает значения в диапазоне [1..255].

Значение по умолчанию

Наследуется от инкапсулируемого пакета.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IP4IP4

CONFIG-GRE

Пример
esr(config-ip4ip4)# ttl 10

tunnel

Данная команда позволяет перейти в режим конфигурирования туннеля.

Использование отрицательной формы команды (no) удаляет туннель.

Синтаксис
[no] tunnel <TUN>
Параметры

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример 1

Переход в режим конфигурирования туннеля l2tp 10:

esr(config)# tunnel l2tp 10
esr(config-l2tp)#
Пример 2

Переход в режим конфигурирования туннеля l2tpv3 10:

esr(config)# tunnel l2tpv3 10
esr(config-l2tpv3)#

Пример 3

Переход в режим конфигурирования туннеля ip4ip4 200:

esr(config)# tunnel ip4ip4 200
esr(config-ip4ip4)#
Пример 4

Переход в режим конфигурирования туннеля gre 25:

esr(config)# tunnel gre 25
esr(config-gre)#
Пример 5

Переход в режим конфигурирования туннеля vti 125:

esr(config)# tunnel vti 125
esr(config-vti)#
Пример 6

Переход в режим конфигурирования туннеля pptp 10:

esr(config)# tunnel pptp 10
esr(config-pptp)#
Пример 7

Переход в режим конфигурирования туннеля pppoe 8:

esr(config)# tunnel pppoe 8
esr(config-pppoe)#

tunnel

Данной командой указывается режим инкапсуляции для OpenVPN-клиента.

Использование отрицательной формы команды (no) устанавливает инкапсуляцию по умолчанию.

Синтаксис
tunnel <MODE>
Параметры

<MODE> – режим инкапсуляции для OpenVPN-клиента:

  • ip – инкапсуляция IP-пакетов в OpenVPN;
  • ethernet – инкапсуляция Ethernet-фреймов в OpenVPN.
Значение по умолчанию

ip

Необходимый уровень привилегий

10

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# mode ethernet

tunnel-source

Данной командой указывается имя VRF, от IP-интерфейса которого будет строиться данный GRE-туннель. Данная команда актуальна в случае если GRE-туннель строится через VRF, отличный от VRF самого туннеля.

Использование отрицательной формы команды (no) устанавливает режим, когда GRE-туннель и IP-интерфейс, от которого строится GRE-туннель, находятся в одном VRF.

Синтаксис
tunnel-source [ vrf <VRF> ]
[no] tunnel-source
Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

Без указания ключа "vrf" и имени экземпляра VRF, будет использоваться IP-интерфейс глобальной конфигурации.

Значение по умолчанию

Отключено (GRE-туннель и IP-интерфейс относятся к одному VRF).

Необходимый уровень привилегий

10

Командный режим

CONFIG-GRE

Пример
esr(config-gre)# tunnel-source vrf magistral

username

Данной командой задается пользователь и пароль для подключения к L2TP-, PPPoE- или PPTP-серверу.

Использование отрицательной формы команды (no) удаляет указанного пользователя.

Синтаксис
username <NAME> password ascii-text { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }
no username <NAME>
Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа;

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 64] символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, задаётся строкой [2..128] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-L2TP

CONFIG-PPPOE

CONFIG-PPTP

Пример
esr(config-pptp)# username fedor password ascii-text password

username

Данной командой создается пользователь для подключения к OpenVPN-серверу.

Использование отрицательной формы команды (no) удаляет указанного пользователя.

Синтаксис
username <NAME> 
no username <NAME>
Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-OPENVPN

Пример
esr(config-openvpn)# username fedor
  • Нет меток