Данной командой создается профиль настроек пользователя для IKE-GATEWAY с определенным именем и осуществляется переход в режим конфигурирования профиля.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль настроек пользователя для IKE-GATEWAY.
[no] access profile <NAME>
<NAME> – имя профиля пользователя для IKE-GATEWAY, задаётся строкой до 31 символа.
15
CONFIG
esr(config)# access profile OFFICE |
Команда используется для создания пула адресов и настройки передаваемых параметров для динамической конфигурации IPsec-клиентов.
Использование отрицательной формы команды (no) удаляет пула адресов.
[no] address-assignment pool <NAME>
<NAME> – имя пула адресов, задаётся строкой до 31 символа.
10
CONFIG
esr(config)# address-assignment pool CENTER esr(config-pool)# |
Данной командой указывается loopback-интерфейс для назначения динамического адреса получаемого от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) удаляется loopback-интерфейс для назначения динамического адреса получаемого от IPsec-VPN-сервера.
assign-interface loopback <LOOPBACK>[-<LOOPBACK>
no assign-interface
<LOOPBACK> – номер созданного ранее loopback-интерфейса, принимает значение в диапазоне [1..8].
Отсутствует
10
CONFIG-IKE-GW
esr(config-ike-gw)# assign-interface loopback 3 |
Данной командой устанавливается алгоритм аутентификации, который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. password).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
authentication algorithm <ALGORITHM>
no authentication algorithm
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
sha1
15
CONFIG-IKE-PROPOSAL
esr(config-ike-proposal)# authentication algorithm md5 |
Данной командой устанавливается режим XAUTH аутентификации удаленных пользователей, подключающихся по протоколу IPsec.
Использование отрицательной формы команды (no) удаляет установленный режим.
authentication mode { local | radius | client }
no authentication mode
local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля;
radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер;
client – режим используемый xauth-клиентом.
15
CONFIG-IKE-POLICY
esr(config-ike-policy)# authentication mode local |
Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
authentication method <METHOD>
no authentication method
<METHOD> – метод аутентификации ключа. Может принимать значения:
pre-shared-key
15
CONFIG-IKE-POLICY
esr(config-ike-proposal)# authentication method pre-shared-key |
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля «route-based».
Использование отрицательной формы команды (no) удаляет привязку к туннельному интерфейсу.
bind-interface vti <VTI>
no bind-interface vti
<VTI> – идентификационный номер интерфейса VTI.
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# bind-interface vti 1 |
Данной командой указываются необходимые сертификаты.
Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации.
certificate <CERTIFICATE-TYPE> <NAME>
no certificate <CERTIFICATE-TYPE>
<CERTIFICATE-TYPE> – тип сертификата или ключа, может принимать следующие значения:
<NAME> – имя сертификата или ключа, задаётся строкой до 31 символа.
Отсутствует
15
CONFIG-IKE-POLICY
esr(config-ike-policy)# certificate ca KEY |
Данной командой указывается IP-адрес для постройки GRE data туннеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирования параметров. GRE data туннель должен быть поддержан на стороне клиента. (Требует ELTEX_DATA_IP(28684).
Использование отрицательной формы команды (no) удаляет IP-адрес для постройки GRE data туннеля.
data-tunnel address <ADDR>
no data-tunnel address
<ADDR> –IP-адрес, дляпостройки GRE data туннеля задаётся в виде AAA.BBB.CCC.DDD, гдекаждая часть принимает значения [0..255].
Отсутствует.
10
CONFIG-POOL
esr(config-pool)# data-tunnel address 192.168.2.66 |
Данной командой устанавливается действие, которое должно предпринять устройство, в случае обнаружения недоступности IPsec соседа, механизмом Dead Peer Detection.
Dead Peer Detection (DPD) – это механизм проверки состояния и доступности соседних устройств. Механизм периодически отправляет R-U-THERE сообщения (для IKE версии 1) или пустые INFORMATIONAL сообщения (для IKE версии 2) для проверки доступности IPsec-соседа.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dead-peer-detection action <MODE>
no dead-peer-detection action
<MODE> – режим работы DPD:
none
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# dead-peer-detection action clear |
Данной командой устанавливается интервал между отправкой сообщений механизмом DPD.
Механизм DPD описан в разделе certificate.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dead-peer-detection interval <SEC>
no dead-peer-detection interval
<SEC> – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд.
2 секунды
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# dead-peer-detection interval 15 |
Данной командой задаётся таймаут ответа на сообщения, отправленные механизмом DPD.
Механизм DPD описан в разделе certificate.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dead-peer-detection timeout <SEC>
no dead-peer-detection timeout
<SEC> – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд.
30 секунд
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# dead-peer-detection timeout 60 |
Команда используется для изменения описания профиля, политики или шлюза протокола IKE.
Использование отрицательной формы команды (no) удаляет описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
10
CONFIG-IKE-PROPOSAL
CONFIG-IKE-POLICY
CONFIG-IKE-GATEWAY
esr(config-ike-proposal)# description "my proposal" |
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dh-group <DH-GROUP>
no dh-group
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18].
1
15
CONFIG-IKE-PROPOSAL
esr(config-ike-proposal)# dh-group 5 |
Данной командой выбирается алгоритм шифрования, используемый при установлении IKE-соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
encryption algorithm <ALGORITHM>
no encryption algorithm
<ALGORITHM> – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
3des
15
CONFIG-IKE-PROPOSAL
esr(config-ike-proposal)# encryption algorithm aes128 |
Данной командой устанавливается привязка политики протокола IKE к шлюзу.
Использование отрицательной формы команды (no) удаляет привязку политики.
[no] ike-policy <NAME>
<NAME> – имя политики протокола IKE, задаётся строкой до 31 символа.
15
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# ike-policy ike_pol1 |
Данной командой указывается пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам.
ip prefix <ADDR/LEN>
no ip prefix
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Не задан.
10
CONFIG-POOL
esr(config-pool)# ip prefix 192.168.0.0/16 |
Данной командой задаётся время жизни соединения протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
lifetime seconds <SEC>
no lifetime seconds
<SEC> – период времени, принимает значения [4 ..86400] секунд.
10800 секунд
10
CONFIG-IKE-POLICY
esr(config-ike-proposal)# lifetime 21600 |
Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза.
local address <ADDR>
no local address
<ADDR> – IP-адрес локального шлюза.
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# local address 192.168.1.1 |
Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля.
При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза.
local interface <IF>
no local interface
<IF> – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
10
CONFIG-IKE-GW
esr(config-ike-gw)# local interface gigabitethernet 1/0/1 |
Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик удовлетворяющий заданным критериям будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
[no] local network <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ]
<ADDR/LEN> – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# local network 192.168.1.0/24 protocol tcp port 22 |
Данной командой устанавливается IP-адрес туннеля для постройки GRE management тунеля, передаваемого клиенту, подключаемому через IPsec с использованием динамического конфигурирвоания параметров. GRE management туннель должен быть поддержан на стороне клиента. (Требует ELTEX_MANAGEMENT_IP(28683).
Использование отрицательной формы команды (no) удаляет IP-адрес туннеля для постройки GRE management туннеля.
management-tunnel address <ADDR>
no management-tunnel address
<ADDR> –IP-адрес для постройки GRE management туннеля, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Отсутствует.
10
CONFIG-POOL
esr(config-pool)# management-tunnel address 192.168.2.87 |
Данная команда отключает возможность инициатору соединения изменить свою точку подключения к сети (использовать IP-адрес в качестве параметра local address).
Использование отрицательной формы команды (no) активирует функцию автоматического выбора local addres при недоступности описанного в конфигурации.
[ no ] mobike disable
Отсутствуют.
Включено.
10
CONFIG-IKE-GATEWAY
esr(config-ike-gateway)# mobike disable |
Данной командой устанавливается режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
mode <MODE>
no mode
<MODE> – режим первой фазы IKE, принимает значения:
main
15
CONFIG-IKE-POLICY
esr(config-ike-policy)# mode aggressive |
Данной командой устанавливается режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
mode <MODE>
no mode
<MODE> – режим перенаправления трафика в туннель, принимает значения:
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# mode route-based |
Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы.
password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш-пароля по алгоритму sha512, задаётся строкой до 110 символов.
15
CONFIG-PROFILE
esr(config-profile) password tteesstt |
Данная команда используется для установки пароля от зашифрованной цепочки сертификатов (сертификаты назначаются при помощи команды certificate)
Использование отрицательной формы команды (no) удаляет пароль .
password local-crt-key ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password local-crt-key
<CLEAR-TEXT> – пароль, задаётся строкой [8..32] символов, принимает значения [0-9a-fA-F].
<HASH_SHA512> – хеш-пароля по алгоритму sha512, задаётся строкой до 110 символов.
15
CONFIG-IKE-POLICY
esr(config-ike-policy) password tteesstt |
Данной командой устанавливается номер группы метода Диффи-Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы, но увеличивается и время установления соединения.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
pfs dh-group <DH-GROUP>
no pfs dh-group
<DH-GROUP> – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18].
1
15
CONFIG-IPSEC-PROPOSAL
esr(config-isec-proposal)# pfs dh-group 5 |
Данной командой устанавливается общий секретный ключ для аутентификации, должен совпадать у обоих сторон, устанавливающих туннель.
Использование отрицательной формы команды (no) удаляет установленный ключ.
pre-shared-key { ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no pre-shared-key
<TEXT> – строка [1..64] ASCII символов;
<HEX> – число размером [1..32] байт задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...).
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
none
15
CONFIG-IKE-POLICY
esr(config-ike-policy)# pre-shared-key hexadecimal abc123 |
Данной командой устанавливается привязка профиля протокола IKE к политике.
Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE.
[no] proposal <NAME>
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа.
15
CONFIG-IKE-POLICY
esr(config-ike-policy)# proposal ike_prop1 |
Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля.
Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза.
remote address { <ADDR> | any }
no remote address
<ADDR> – IP-адрес удаленного шлюза.
any – ключ позволяющий принимать запросы на установление IKE-сессии от любого IP-адреса.
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# remote address 192.168.1.2 |
Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов, использующих XAUTH. Трафик, удовлетворяющий заданным критериям, будет направлен в IPsec-туннель.
Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя.
remote network { dynamic pool <POOL> | <ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
no remote network { dynamic pool |<ADDR/LEN> [ protocol { <TYPE> | <ID> } [ port <PORT> ] ] | any }
<POOL> – выделенный динамический пул адресов для клиентов XAUTH;
<ADDR/LEN> – IP-подсеть получателя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
any – ключ, указывающий на необходимость шифрования любого исходящего трафика.
10
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# remote network 192.168.0.0/24 protocol tcp port 22 |
Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера.
При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера.
[no] remote network dynamic client
Отсутствуют.
Отключено.
10
CONFIG-IKE-GW
esr(config-ike-gw)# remote network dynamic client |
Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель.
Использование отрицательной формы команды (no) удаляет шлюз протокола IKE.
[no] security ike gateway <NAME>
<NAME> – имя шлюза протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-шлюзы.
10
CONFIG
esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# |
Данной командой создается политика IKE, которая включает в себя профили протокола IKE, общий секретный ключ для аутентификации и режим согласования первой фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY.
[no] security ike policy <NAME>
<NAME> – имя политики IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE политики.
10
CONFIG
esr(config)# security ike policy ike_pol1 esr(config-ike-policy)# |
Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации, метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль.
[no] security ike proposal <NAME>
<NAME> – имя профиля протокола IKE, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IKE-профили.
10
CONFIG
esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# |
Данной командой задается режим пере-подключения клиентов XAUTH с одним логином/паролем.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security ike session uniqueids <MODE>
no security ike session uniqueids
<MODE> – режим пере-подключения, принимает следующие значения:
never
10
CONFIG
esr(config)# security ike session uniqueids replace |
Команда используется для просмотра списка шлюзов, политик или профилей.
show security ike { gateway | policy | proposal } [<NAME>]
gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов;
policy – при указании команды «policy» будет выведен список сконфигурированных политик;
proposal – при указании команды «proposal» будет выведен список сконфигурированных профилей;
<NAME> – имя. При указании определенного имени шлюза, политики, профиля будет выведена подробная информация.
10
ROOT
esr# show security ike proposal Proposal ~~~~~~~~ Name Auth Encryption DH Hash Lifetime ------------ ------- ---------------- -- ---------- ---------- aaa pre-sha 3des 1 sha1 3600 red-key esr# show security ike policy Policy ~~~~~~ Name Mode Proposal ---------------------------- ---------- ----------------------------------- ike_pol1 main ike_prop1 esr# show security ike gateway ik_gw Description: -- IKE Policy: ike_pol1 IKE Version: v1-only Mode: route-based Binding interface: vti1 IKE Dead Peer Detection: Action: none Interval: 2 Timeout: 30 |
Данной командой задается имя пользователя для аутентификации IKE-GETWAY.
Использование отрицательной формы команды (no) удаляет указанного пользователя.
После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile).
[no] user <NAME>
<NAME> – имя пользователя, задаётся строкой до 31 символа.
15
CONFIG-ACCESS-PROFILE
esr(config-access-profile)# user connecter963 |
Данной командой задаётся версия протокола IKE.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
version <VERSION>
no version
<version> – версия IKE-протокола: v1-only или v2-only.
v1-only
15
CONFIG-IKE-GATEWAY
esr(config-ike-gw)# version v2-only |
Данной командой указывается локальный список пользователей для авторизации XAUTH.
Использование отрицательной формы команды (no) удаляет заданный профиль.
[no] xauth access-profile <NAME> [client <USER-NAME>
<NAME> – название локального списка пользователей XAUTH, задаётся строкой до 31 символа;
<USER-NAME> – имя пользователя из прикрепленного xauth-профия, задаётся строкой до 31 символа.
15
CONFIG-IKE-GATEWAY
esr(config-ike-gateway)# xauth access-profile OFFICE |
Данной командой устанавливается алгоритм аутентификации. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
authentication algorithm <ALGORITHM>
no authentication algorithm
<ALGORITHM> – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2‑384, sha2-512.
sha1
15
CONFIG-IPSEC-PROPOSAL
esr(config-ipsec-proposal)# authentication algorithm md5 |
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
10
CONFIG-IPSEC-VPN
CONFIG-IPSEC-PROPOSAL
CONFIG-IPSEC-POLICY
esr(config-ipsec-vpn)# description "VPN to Moscow Office" |
Данной командой активируется IPsec VPN.
Использование отрицательной формы команды (no) деактивирует IPsec VPN.
[no] enable
Команда не содержит параметров.
Выключено
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# enable |
Данной командой устанавливается алгоритм шифрования. Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
encryption algorithm <ALGORITHM>
no encryption algorithm
<ALGORITHM> – протокол шифрования, принимает значения: null, des, 3des, blowfis28, blowfish192, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
3des
15
CONFIG-IPSEC-PROPOSAL
esr(config-ipsec-proposal)# encryption algorithm blowfish128 |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов IKE-протокола.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
ike dscp <DSCP>
no ike dscp
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike dscp 40 |
Командой устанавливается режим активации VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ike establish-tunnel <MODE>
no Ike establish-tunnel
<MODE> – режим активации VPN:
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike establish-tunnel route |
Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
ike gateway <NAME>
no ike gateway
<NAME> – имя IKE-шлюза, задаётся строкой до 31 символа.
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike gateway ike_gw1 |
Данной командой устанавливается значение временного интервала в секундах, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA.
Использование отрицательной формы команды (no) отключает данный таймер.
ike idle-time <TIME>
no ike idle-time
<TIME> – интервал в секундах, принимает значения [4..86400]
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike idle-time 3600 |
Данной командой отключается пересогласование ключей до разрыва IKE-соединения по истечению времени, количеству переданных пакетов или байт.
Использование отрицательной формы команды (no) включает пересогласование ключей.
[no] ike rekey disable
Команда не содержит параметров.
Отключено.
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike rekey disable |
Данной командой можно настроить начало пересогласования ключей IKE-соединения до истечения времени жизни.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Ike rekey margin { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no ike rekey margin { seconds | packets | kilobytes }
<SEC> – интервал времени в секундах, оставшийся до закрытия соединения (задается командой lifetime seconds, см. lifetime). Принимает значения [4..86400].
<PACKETS> – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. lifetime). Принимает значения [4..86400].
<KB> – объем трафика в килобайтах, оставшийся до закрытия соединения (задается командой lifetime kilobytes, см. lifetime). Принимает значения [4..86400].
Пересогласование ключей до истечения времени – за 540 секунд.
Пересогласование ключей до истечения объема трафика и количества пакетов – отключено.
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike rekey margin seconds 1800 |
Данной командой устанавливается уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ike rekey randomization <VALUE>
no ike rekey randomization
<VALUE> – максимальный процент разброса значений, принимает значения [1..100]
100%
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike rekey randomization 10 |
Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode.
ike ipsec-policy <NAME>
no ike ipsec-policy
<NAME> – имя IPsec-политики, задаётся строка до 31 символа.
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1 |
Данной командой устанавливается время жизни IPsec-туннеля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
lifetime { seconds <SEC> | packets <PACKETS> | kilobytes <KB> }
no lifetime { seconds | packets | kilobytes }
<SEC> – период времени жизни IPsec-туннеля, по истечении происходит пересогласование. Принимает значения [1140..86400] секунд.
<PACKETS> – количество пакетов, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400].
<KB> – объем трафика, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400] секунд.
3600 секунд
10
CONFIG-IPSEC-POLICY
esr(config-ipsec-proposal)# lifetime seconds 3600 |
Данной командой устанавливается алгоритм аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
manual authentication algorithm <ALGORITHM>
no manual authentication algorithm
<ALGORITHM> – алгоритм аутентификации, принимает значения [md5, md5-128, sha1, sha1-160, aesxcbc, sha2-256, sha2-384, sha2-512].
none
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual authentication algorithm sha1 |
Данной командой устанавливается ключ аутентификации. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
manual authentication key { ascii-text {<TEXT> | encrypted <ENCRYPTED-TEXT>} | hexadecimal {<HEX> | encrypted <ENCRYPTED-HEX> } }
no manual authentication key
<TEXT> – строка [1..64] ASCII символов;
<HEX> – число размером [1..32] байт задаётся строкой [2..128] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED_TEXT> – зашифрованный пароль размером [1..32] байт, задаётся строкой [2..128] символов;
<ENCRYPTED_HEX> – зашифрованное число размером [2..64] байт, задаётся строкой [2..256] символов.
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual authentication key hexadecimal abcdef |
Данной командой указывается туннельный интерфейс, через который будет проходить трафик в режиме туннеля route-based. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
manual bind-interface vti <VTI>
no manual bind-interface vti
<VTI> – индекс интерфейса VTI, принимает значения:
ESR-10/12V/12VF/14VF – [1..10];
ESR-20/21/100/200 – [1..250];
ESR-1000/1200/1500/1511/1700/3100 – [1..500].
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual bind-interface vti 0 |
Данной командой устанавливается алгоритм шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
manual encryption algorithm <ALGORITHM>
no manual encryption algorithm
<ALGORITHM> – алгоритм шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256.
3des
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual encryption algorithm blowfis28 |
Данной командой устанавливается ключ шифрования. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет установленное значение.
manual encryption key { ascii-text { < TEXT> | encrypted <ENCRYPTED-TEXT> } | hexadecimal { <HEX> | encrypted <ENCRYPTED-HEX> } }
no manual encryption key
<TEXT> – строка [1..36] ASCII символов;
<HEX> – число размером [1..24] байт задаётся строкой [2..72] символов в шестнадцатеричном формате(0xYYYY...) или (YYYY...);
<ENCRYPTED-TEXT> – зашифрованный пароль размером [1..24] байт, задаётся строкой [2..72] символов;
<ENCRYPTED-HEX> – зашифрованное число размером [2..36] байт, задаётся строкой [2..144] символов.
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual encryption key hexadecimal 0x123456 |
С помощью данной команды осуществляется установка режима перенаправления трафика в туннель. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
manual mode <MODE>
no manual mode
<MODE> – режим прохождения трафика:
10
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual mode route-based |
Данной командой устанавливается инкапсулирующий протокол. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
manual protocol <TYPE>
no manual protocol
<TYPE> – тип протокола, принимает значения:
esp
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual protocol ah |
Данной командой устанавливается индекс параметров безопасности. Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode.
Использование отрицательной формы команды (no) удаляет индекс параметров безопасности.
manual spi <HEX>
no manual spi
<HEX> – индекс параметров безопасности, задаётся значение размером 32 бита (8 символов) в шестнадцатеричном формате (0xYYYY…) или (YYYY…).
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# manual spi FF |
Данной командой устанавливается режим согласования данных, необходимых для активации VPN.
mode <MODE>
no mode
<MODE> – режим работы VPN:
15
CONFIG-IPSEC-VPN
esr(config-ipsec-vpn)# mode ike |
Данной командой к политике привязываются профили набора протоколов IPsec.
Использование отрицательной формы команды (no) удаляет привязку к указанному профилю.
[no] proposal <NAME>
<NAME> – имя профиля набора протоколов IPsec, задаётся строкой до 31 символа.
15
CONFIG-IPSEC-POLICY
esr(config-ipsec-policy)# proposal ipsec_prop1 |
Данной командой устанавливается инкапсулирующий протокол.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
protocol <PROTOCOL>
no protocol
<PROTOCOL> – инкапсулирующий протокол, принимает значения:
esp
15
CONFIG-IPSEC-PROPOSAL
esr(config-ipsec-proposal)# protocol ah |
Данной командой создается политика набора протоколов IPsec, которая включает в себя профили набора протоколов IPsec для согласования второй фазы протокола IKE.
Использование отрицательной формы команды (no) удаляет установленное значение.
Команда устанавливает режим командной строки SECURITY IPSEC POLICY.
[no] security ipsec policy <NAME>
<NAME> – имя политики IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-политики.
10
CONFIG
esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# |
Данной командой создается профиль для набора протоколов IPsec. Профиль IPsec включает в себя параметры алгоритмов шифрования и аутентификации, протокола защиты соединения IPsec-туннеля, а также время жизни соединения.
Использование отрицательной формы команды (no) удаляет указанный профиль.
Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL.
[no] security ipsec proposal <NAME>
<NAME> – имя профиля IPsec, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все IPsec-профили.
10
CONFIG
esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)# |
Данной командой создается VPN на основе набора протоколов IPsec и устанавливается командный режим SECURITY IPSEC VPN.
Использование отрицательной формы команды (no) удаляет сконфигурированный VPN.
[no] security ipsec vpn <NAME>
<NAME> – имя VPN, задаётся строкой до 31 символа. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все VPN.
10
CONFIG
esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)# |
Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec.
show security ipsec { vpn configuration | policy | proposal } [<NAME>]
vpn configuration – при указании данной команды будет выведена конфигурация всех VPN;
policy – при указании данной команды будет выведен список сконфигурированных политик набора протоколов IPsec;
proposal – при указании команды будет выведен список сконфигурированных профилей набора протоколов IPsec;
<NAME> – имя. При указании определенного имени VPN, политики или профиля будет выведена подробная информация.
10
ROOT
esr# show security ipsec proposal Proposal ~~~~~~~~ Name Prot Enc. alg. Auth. alg. Lifetime --------------------- ---- ---------------- --------------- ----------- ipsec_prop1 esp aes128 sha1 28800 sec esr# show secu rity ipsec policy Name Description Proposal -------------------- ------------------- ----------------------------------- ipsec_pol1 ipsec_prop1 Master# show security ipsec vpn configuration IPSECVPN Description: -- State: Enabled IKE: Establish tunnel: immediate IPsec policy: IPSECPOLICY IKE gateway: IKEGW IKE DSCP: 63 IKE idle-time: 0s IKE rekeying: Enabled Margin time: 540s Margin kilobytes: 0 Margin packets: 0 Randomization: 100% |
Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов.
show security ipsec vpn authentication <NAME> [ vrf <VRF> ]
<NAME> – имя созданного IPsec VPN, задаётся строкой до 31 символа.
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет включено разрешение DNS-имен.
10
ROOT
esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2.2.1 2.2.2.2 192.168.2.0/24 192.168.1.1/32 Xauth PSK, login: ipsec Established |
Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени.
show security ipsec vpn status [ vrf <VRF> ] [ <NAME> ]
<NAME> – имя VPN, задаётся строкой до 31 символа;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
10
ROOT
esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100.14.1 10.100.14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established |
Данной командой задается тип инкапсуляции IPsec.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
type <TYPE>
no type
<TYPE> – тип инкапсуляции IPsec, принимает значения:
tunnel
15
CONFIG-IPSEC-VPN
esr(config-access-vpn)# type transport |