Командный режим CONFIG-SNAT-POOL Пример esr(config-snat-pool)# ip address-range 10.10 10.1 - 10.10 10.20 ip nat proxy-arp Данная команда позволяет маршрутизатору отвечать на ARP-запросы IP-адресов из указанного пула. Функция необходима для того , чтобы не назначать все IP-адреса из пула трансляции на интерфейсе. Синтаксис ip nat proxy-arp no ip nat proxy-arp Параметры – имя профиля IP-адресов, задаётся строкой до 31 символа. Значение по умолчанию Функция NAT Proxy ARP отключена.
Справочник команд CLI (ESR) 514 Необходимый уровень привилегий 10 Командный режим CONFIG-GI CONFIG-TE CONFIG-SUBIF CONFIG-QINQ-IF CONFIG-PORT-CHANNEL CONFIG-BRIDGE CONFIG-CELLULAR-MODEM CONFIG-LT Пример esr(config- if -gi)# ip nat proxy-arp nat-pool ip port Данной командой устанавливается внутренний TCP/UDP порт, на который будет заменяться TCP/UDP- порт получателя Использование отрицательной формы команды (no) удаляет заданный TCP/UDP-порт. Синтаксис ip port no ip port Параметры – TCP/UDP порт, принимает значения [1..65535]. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-POOL Пример esr(config-dnat-pool)# ip port 5000
Справочник команд CLI (ESR) 515 ip port-range Данной командой задаётся диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP- порт отправителя Использование отрицательной формы команды (no) удаляет заданный диапазон портов. Синтаксис ip port-range [-] no ip port-range Параметры – TCP/UDP-порт начала диапазона, принимает значения [1..65535]; – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/ UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/ UDP-порт начала диапазона. Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-POOL Пример esr(config-snat-pool)# ip port-range 20 - 100 match destination-address Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило При использовании команды «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль . Использование отрицательной формы команды (no) отменяет установленное действие Синтаксис match [not] destination-address no match destination-address Параметры – имя профиля IP-адреса, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя. Значение по умолчанию any
Справочник команд CLI (ESR) 516 Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match destination-address remote match destination-address-port Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP- портов получателя , которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match [not] destination-address-port no match destination- address Параметры – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match destination-address local
Справочник команд CLI (ESR) 517 match destination-port Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило При использовании команды «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль Использование отрицательной формы команды (no) отменяет установленное действие. Синтаксис match [not] destination-port no match destination-port Параметры – имя профиля порта, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match destination-port ssh match icmp Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило При использовании команды «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис match [not] icmp { |
Справочник команд CLI (ESR) 519 Пример esr(config-snat-rule)# match icmp 2 any match protocol Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match [not] protocol no match protocol match [not] protocol-id no match protocol-id Параметры – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов; – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match protocol udp match source-address Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило При использовании команды «not» правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль
Справочник команд CLI (ESR) 520 Использование отрицательной формы команды (no) отменяет установленное действие. Синтаксис match [not] source-address no match source-address Параметры – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match source-address local match source-address-port Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис [no] match [not] source-address-port Параметры – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации Значение по умолчанию any
Справочник команд CLI (ESR) 521 Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match source-address-port admin match source-port Данной командой устанавливается профиль TCP/UDP портов отправителя, для которых должно срабатывать правило При использовании команды «not» правило будет срабатывать для TCP/UDP портов отправителя, которые не входят в указанный профиль . Использование отрицательной формы команды (no) отменяет установленное действие Синтаксис match [not] source-port no match source-port Параметры – имя профиля порта, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# match source-port telnet nat alg Данная команда включает функцию трансляции IP-адресов в заголовках уровня приложений. Использование отрицательной формы команды (no) отключает функцию трансляции IP-адресов в заголовках уровня приложений
Справочник команд CLI (ESR) 522 Синтаксис [no] nat alg { } Параметры – протокол уровня приложений, в заголовках которого должна работать трансляция адресов , принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp]. Вместо имени отдельного протокола можно использовать ключ "all", который включает трансляцию IP-адресов в заголовках всех доступных протоколов. Значение по умолчанию Функцию трансляции IP-адресов в заголовках уровня приложений отключена. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# nat alg ftp nat destination Данная команда позволяет войти в режим настройки сервиса трансляции адресов получателя (DNAT, Destination NAT). Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов получателя (DNAT, Destination NAT). Синтаксис [no] nat destination Параметры Команда не содержит параметров Необходимый уровень привилегий 10 Командный режим CONFIG
Справочник команд CLI (ESR) 523 Пример esr(config)# nat destination esr(config-dnat)# nat source Данная команда позволяет войти в режим настройки сервиса трансляции адресов отправителя (SNAT, Source NAT). Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов отправителя (SNAT, Source NAT). Синтаксис [no] nat source Параметры Команда не содержит параметров Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# nat source esr(config-snat)# persistent Командой выполняется включение функции NAT persistent. NAT persist ent позволяет приложениям использовать STUN (session traversal utilities for NAT – утилиты проброса сессий для NAT) для установления соединения с устройствами, находящимися за шлюзом NAT. При этом гарантируется, что запросы от одного и того же внутреннего адреса транслируются в один и тот же внешний адрес Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис [no] persistent
Справочник команд CLI (ESR) 524 Параметры Команда не содержит параметров Значение по умолчанию Функция NAT persistent отключена. Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-POOL Пример esr(config-snat-pool)# persistent pool Команда создаёт и назначает пул IP-адресов и TCP/UDP-портов с определённым именем для сервиса NAT и меняет командный режим на SNAT POOL или DNAT POOL. Использование отрицательной формы команды (no) удаляет заданный пул NAT-адресов. Синтаксис [no] pool Параметры – имя пула NAT-адресов, задаётся строкой до 31 символа. Если использовать команду для удаления , то при указании значения «all» будут удалены все пулы IP-адресов и TCP/UDP-портов. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT CONFIG-SNAT Если пул используется в какой -либо группе правил, то его удалять нельзя.
Справочник команд CLI (ESR) 525 Пример esr(config-snat)# pool nat esr(config-snat-pool)# rearrange Данная команда меняет шаг между созданными правилами Синтаксис rearrange Параметры – шаг между правилами, принимает значения [1..50]. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULESET CONFIG-SNAT-RULESET Пример esr(config-dnat-ruleset)# rearrange 10 renumber Данная команда меняет номер правила Синтаксис renumber rule Параметры – текущий номер правила, принимает значения [1..10000]; – новый номер правила, принимает значения [1..10000]. Необходимый уровень привилегий 10
Справочник команд CLI (ESR) 526 Командный режим CONFIG-DNAT-RULESET CONFIG-SNAT-RULESET Пример esr(config-dnat-ruleset)# renumber rule 13 100 rule Данной командой создается правило c определённым номером и устанавливается режим командного интерфейса SNAT RULE или DNAT RULE. Правила обрабатываются устройством в порядке возрастания номеров правил Использование отрицательной формы команды (no) удаляет правило по номеру либо все правила. Синтаксис [no] rule Параметры – номер правила, принимает значения [1 .. 10000]. Если использовать команду для удаления, то при указании значения «all» будут удалены все правила. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULESET CONFIG-SNAT-RULESET Пример esr(config-snat-ruleset)# rule 10 esr(config-snat-rule)# ruleset Данная команда используется для создания группы правил с определённым именем и перехода в командный режим SNAT RULESET или DNAT RULESET. Использование отрицательной формы команды (no) удаляет заданную группу правил.
Справочник команд CLI (ESR) 527 Синтаксис [no] ruleset Параметры – имя группы правил, задаётся строкой до 31 символа. Если использовать команду для удаления , то при указании значения «all» будут удалены все группы правил. Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT CONFIG-SNAT Пример esr(config-snat)# ruleset wan esr(config-snat-ruleset)# show ip nat alg Данная команда используется для просмотра информации о функционале трансляции IP-адресов в заголовках уровня приложений Синтаксис show ip nat alg Параметры Команда не содержит параметров Необходимый уровень привилегий 1 Командный режим ROOT
Справочник команд CLI (ESR) 528 • • Пример esr# show ip nat alg ALG Status: FTP: Enabled H. 323 : Disabled GRE: Disabled PPTP: Disabled SIP: Disabled SNMP: Disabled TFTP: Disabled show ip nat pool Данная команда используется для просмотра пулов внутренних и внешних IP-адресов и TCP/UDP портов Синтаксис show ip nat pools Параметры – тип пулов, для просмотра: source – внешние IP-адреса и TCP/UDP-порты; destination – внутренние IP-адреса и TCP/UDP-порты. Необходимый уровень привилегий 1 Командный режим ROOT Пример esr# show nat source pools Pools
ID Name Ip address Port Description Persi range stent ---- --------------------- ----------------- ------- ----------- ----- 0 outside 25.56 48.11 2000 – outside-poo false 3000 l show ip nat ruleset Данной командой выполняется просмотр всех или выбранных групп правил , используемых функцией NAT.
Справочник команд CLI (ESR) 529 • • Синтаксис show ip nat ruleset [] Параметры – тип группы правил: source – группа правил для трансляции IP-адреса и TCP/UDP-порта отправителя; destination – группа правил для трансляции IP-адреса и TCP/UDP-порта получателя; [NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил Необходимый уровень привилегий 1 Командный режим ROOT Пример esr# show ip nat source rulesets Rulesets
ID Name To Description ---- -------------------------------- ------------------ ----------------- 0 factory zone 'untrusted' 1 test gigabitethernet test 1 / 0 / 1 esr# show ip nat source rulesets factory Ruleset: factory Description: To: none Rules: ------ Order: 10 Description: replace 'source ip' by outgoing interface ip address Matching pattern: Protocol: any( 0 ) Src-addr: any Dest-addr: any Action: interface port any Status: Enabled -------------------------------------------------------------------------------- show ip nat translations Данная команда используется для просмотра сессий трансляции . Для просмотра информации о статистике необходимо включить счетчики (раздел ip firewall mode ).
Справочник команд CLI (ESR) 530 • • • • • • • • Синтаксис show ip nat translations [ vrf ] [ protocol ] [ inside-source ] [ outiside-source ] [ inside-destination ] [ outside-destination ] [ summary ] Параметры – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены сессии трансляций в указанном VRF; summary – выводит суммарную статистику по сессиям трансляции; – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre; – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; Для Source NAT: inside-source – команда для указания IP-адреса источника до трансляции; inside-destination – команда для указания IP-адреса назначения на входе в маршрутизатор; outiside-source – команда для указания IP-адреса источника после трансляции; outside-destination – команда для указания IP-адреса назначения на выходе из маршрутизатора. Для Destination NAT inside-source – команда для указания IP-адреса источника на выходе из маршрутизатора; inside-destination – команда для указания IP-адреса назначения после трансляции; outiside-source – команда для указания IP-адреса источника на входе в маршрутизатор; outside-destination – команда для указания IP-адреса назначения до трансляции. Необходимый уровень привилегий 1 Командный режим ROOT Пример 1 Source NAT esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 115.0 0.10 1.1 0.2 1.1 0.24 1.1 0.2 3 252 Пример 2 Destination NAT
Справочник команд CLI (ESR) 531 esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 1.1 0.2 115.0 0.10 1.1 0.2 1.1 0.16 -- -- show ip nat proxy-arp Данная команда используется для просмотра настроек NAT Proxy ARP. Синтаксис show ip nat proxy-arp Необходимый уровень привилегий 1 Командный режим ROOT Пример esr# show nat proxy-arp Interface IP address range ----------- --------------------------------------------- gi1/ 0 / 15 115.0 0.15 - 115.0 0.100 to Данной командой ограничивается область применения группы правил . Правила будут применяться только для трафика , идущего в определенную зону или интерфейс. Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил Синтаксис to { zone | interface | tunnel | default } no to Параметры – имя зоны изоляции; – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора ; – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора ; default – обозначает группу правил для всего трафика, место назначение которого не попало под критерии других групп правил
Справочник команд CLI (ESR) 532 Значение по умолчанию None Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-RULESET Пример esr(config-snat)# ruleset test esr(config-snat-ruleset)# to interface gigabitethernet 1 / 0 / 1 Группа правил со значением «default» параметра «to» может быть только одна.
Справочник команд CLI (ESR) 533 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 25 Настройки IPSec VPN Управление VPN. Настройки IKE access profile address-assignment pool assign-interface authentication algorithm authentication mode authentication method bind-interface vti certificate dead-peer-detection action dead-peer-detection interval dead-peer-detection timeout description dh-group encryption algorithm ike-policy ip prefix lifetime seconds local address local interface local network mode mode password pfs dh-group pre-shared-key proposal remote address remote network remote network dynamic client security ike gateway security ike policy security ike proposal show security ike user version xauth access-profile Управление VPN. Настройки IPsec authentication algorithm description enable encryption algorithm ike dscp ike establish-tunnel ike gateway ike idle-time ike rekey disable ike rekey margin ike rekey randomization ike ipsec-policy lifetime manual authentication algorithm
Справочник команд CLI (ESR) 534 • • • • • • • • • • • • • • • • manual authentication key manual bind-interface vti manual encryption algorithm manual encryption key manual mode manual protocol manual spi mode proposal protocol security ipsec policy security ipsec proposal security ipsec vpn show security ipsec show security ipsec vpn authentication show security ipsec vpn status Управление VPN. Настройки IKE access profile Данной командой создается профиль настроек пользователя для IKE-GATEWAY с определенным именем и осуществляется переход в режим конфигурирования профиля Использование отрицательной формы команды (no) удаляет сконфигурированный профиль настроек пользователя для IKE-GATEWAY. Синтаксис [no] access profile Параметры – имя профиля пользователя для IKE-GATEWAY, задаётся строкой до 31 символа. Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# access profile OFFICE address-assignment pool Команда используется для создания пула адресов и настройки передаваемых параметров для динамической конфигурации IPSec-клиентов.
Справочник команд CLI (ESR) 535 Использование отрицательной формы команды (no) удаляет пула адресов. Синтаксис [no] address-assignment pool Параметры – имя пула адресов, задаётся строкой до 31 символа. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# address-assignment pool CENTER esr(config-pool)# assign-interface Данной командой указывается loopback-интерфейс для назначения динамического адреса получаемого от IPsec-VPN-сервера. При использовании отрицательной формы команды (no) удаляется loopback-интерфейс для назначения динамического адреса получаемого от IPsec-VPN-сервера. Синтаксис assign-interface loopback [- no assign-interface Параметры – номер созданного ранее loopback-интерфейса, принимает значение в диапазоне [1..8]. Значение по умолчанию Отсутствует Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GW
Справочник команд CLI (ESR) 536 Пример esr(config-ike-gw)# assign- interface loopback 3 authentication algorithm Данной командой устанавливается алгоритм аутентификации , который используется для аутентификации сообщений установленного IKE-соединения. При установлении IKE-соединения используется аутентификация сообщений по ключу (authentication, см. password ). Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис authentication algorithm no authentication algorithm Параметры – алгоритм аутентификации, принимает значения: md5, sha1, sha2-256, sha2 ‑384, sha2-512. Значение по умолчанию sha1 Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-PROPOSAL Пример esr(config-ike-proposal)# authentication algorithm md5 authentication mode Данной командой устанавливается режим XAUTH аутентификации удаленных пользователей, подключающихся по протоколу IPsec. Использование отрицательной формы команды (no) удаляет установленный режим. Синтаксис authentication mode { local | radius | client } no authentication mode
Справочник команд CLI (ESR) 537 • • • Параметры local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля ; radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер; client – режим используемый xauth-клиентом. Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-POLICY Пример esr(config-ike-policy)# authentication mode local authentication method Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся в IKE-политике (см. раздел pre-shared-key ). После установления IKE-соединения аутентификация сообщений осуществляется при помощи алгоритма хеширования Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис authentication method no authentication method Параметры – метод аутентификации ключа. Может принимать значения: pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования ; rsa-public-key – метод аутентификации, использующий RSA-сертификат; xauth-psk-key – метод расширенной аутентификации, использующий локальные или удаленные базы пользователей Значение по умолчанию pre-shared-key Необходимый уровень привилегий 15
Справочник команд CLI (ESR) 538 • • Командный режим CONFIG-IKE-PROPOSAL Пример esr(config-ike-proposal)# authentication method pre-shared-key bind-interface vti Данной командой указывается туннельный интерфейс , через который будет проходить трафик в режиме туннеля «route-based». Использование отрицательной формы команды (no) удаляет привязку к туннельному интерфейсу. Синтаксис bind-interface vti no bind-interface vti Параметры – идентификационный номер интерфейса VTI. Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# bind- interface vti 1 certificate Данной командой указываются необходимые сертификаты Использование отрицательной формы команды (no) удаляет название сертификата из конфигурации. Синтаксис certificate no certificate Параметры – тип сертификата или ключа, может принимать следующие значения: ca – сертификат центра сертификации; local-crt – сертификат локальной стороны;
Справочник команд CLI (ESR) 539 • • • • • • • • local-crt-key – RSA ключ сертификата локальной стороны; local-id – идентификатор локальной стороны; remote-crt – сертификат удаленной стороны; remote-id – идентификатор удаленной стороны. – имя сертификата или ключа, задаётся строкой до 31 символа. Значение по умолчанию Отсутствует Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-POLICY Пример esr(config-ike-policy)# certificate ca KEY dead-peer-detection action Данной командой устанавливается действие , которое должно предпринять устройство, в случае обнаружения недоступности IPSec соседа, механизмом Dead Peer Detection. Dead Peer Detection (DPD) – это механизм проверки состояния и доступности соседних устройств. Механизм периодически отправляет R-U-THERE сообщения (для IKE версии 1) или пустые INFORMATIONAL сообщения (для IKE версии 2) для проверки доступности IPSec-соседа. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис dead-peer-detection action no dead-peer-detection action Параметры – режим работы DPD: restart – соединение переустанавливается; clear – соединение останавливается; hold – соединение поддерживается; none – механизм выключен, никаких действий не предпринимается. Значение по умолчанию none
Справочник команд CLI (ESR) 540 Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# dead-peer-detection action clear dead-peer-detection interval Данной командой устанавливается интервал между отправкой сообщений механизмом DPD. Механизм DPD описан в разделе certificate Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис dead-peer-detection interval no dead-peer-detection interval Параметры – интервал между отправкой сообщений механизмом DPD, принимает значения [1..180] секунд. Значение по умолчанию 2 секунды Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# dead-peer-detection interval 15 dead-peer-detection timeout Данной командой задаётся таймаут ответа на сообщения , отправленные механизмом DPD. Механизм DPD описан в разделе certificate Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Справочник команд CLI (ESR) 541 Синтаксис dead-peer-detection timeout no dead-peer-detection timeout Параметры – период времени для ответа на сообщения механизма DPD, принимает значения [1..180] секунд. Значение по умолчанию 30 секунд Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# dead-peer-detection timeout 60 description Команда используется для изменения описания профиля , политики или шлюза протокола IKE. Использование отрицательной формы команды (no) удаляет описание. Синтаксис description no description Параметры – описание профиля, задаётся строкой до 255 символов. Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-PROPOSAL CONFIG-IKE-POLICY CONFIG-IKE-GATEWAY
Справочник команд CLI (ESR) 542 Пример esr(config-ike-proposal)# description "my proposal" dh-group Данной командой устанавливается номер группы метода Диффи -Хеллмана. Номер группы определяет уровень защищенности IKE-соединения при обмене ключами – защищенность возрастает с ростом номера группы , но увеличивается и время установления соединения. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис dh-group no dh-group Параметры – номер группы Диффи-Хеллмана, принимает значения [1, 2, 5, 14, 15, 16, 17, 18]. Значение по умолчанию 1 Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-PROPOSAL Пример esr(config-ike-proposal)# dh-group 5 encryption algorithm Данной командой выбирается алгоритм шифрования , используемый при установлении IKE-соединения. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис encryption algorithm no encryption algorithm
Справочник команд CLI (ESR) 543 Параметры – идентификатор протокола шифрования, принимает значения: des, 3des, blowfis28, blowfis92, blowfish256, aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, camellia128, camellia192, camellia256. Значение по умолчанию 3des Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-PROPOSAL Пример esr(config-ike-proposal)# encryption algorithm aes128 ike-policy Данной командой устанавливается привязка политики протокола IKE к шлюзу. Использование отрицательной формы команды (no) удаляет привязку политики. Синтаксис [no] ike-policy Параметры – имя политики протокола IKE, задаётся строкой до 31 символа. Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# ike-policy ike_pol1
Справочник команд CLI (ESR) 544 ip prefix Данной командой указывается пул адресов , из которого адреса будут выдаваться IPsec-клиентам. Использование отрицательной формы команды (no) удаляет пул адресов, из которого адреса будут выдаваться IPsec-клиентам. Синтаксис ip prefix no ip prefix Параметры – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Значение по умолчанию Не задан Необходимый уровень привилегий 10 Командный режим CONFIG-POOL Пример esr(config-pool)# ip prefix 192.168 0.0 / 16 lifetime seconds Данной командой задаётся время жизни соединения протокола IKE. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис lifetime seconds no lifetime seconds Параметры – период времени, принимает значения [4 ..86400] секунд. Значение по умолчанию 3600 секунд
Справочник команд CLI (ESR) 545 Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-POLICY Пример esr(config-ike-proposal)# lifetime 21600 local address Данной командой устанавливается IP-адрес локального шлюза IPsec-туннеля. Использование отрицательной формы команды (no) удаляет IP-адрес локального шлюза. Синтаксис local address no local address Параметры – IP-адрес локального шлюза. Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# local address 192.168 1.1 local interface Данной командой устанавливается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза IPsec-туннеля. При использовании отрицательной формы команды (no) прекращается использование IP-адреса, назначенного на интерфейс в качестве локального шлюза Синтаксис local interface no local interface
Справочник команд CLI (ESR) 546 Параметры – тип и идентификатор интерфейса, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GW Пример esr(config-ike-gw)# local interface gigabitethernet 1 / 0 / 1 local network Данной командой устанавливается IP-адрес подсети отправителя, а также IP-протокол и порт. Трафик удовлетворяющий заданным критериям будет направлен в IPsec-туннель. Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя. Синтаксис [no] local network [ protocol { | } [ port ] ] Параметры – IP-подсеть отправителя. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre; – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]; – TCP/UDP-порт, принимает значения [1..65535]. Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# local network 192.168 1.0 / 24 protocol tcp port 22
Справочник команд CLI (ESR) 547 • • • • • • • • mode Данной командой устанавливается режим согласования первой фазы протокола IKE. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис mode no mode Параметры – режим первой фазы IKE, принимает значения: main – состоит из трех двусторонних обменов между отправителем и получателем: Во время первого обмена согласуются алгоритмы аутентификации и шифрования , которые будут использоваться для защиты IKE-соединения посредством сопоставления профилей протокола IKE каждого узла. Используя алгоритм Диффи -Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел роверяется идентичность противоположной стороны . В результате выполнения основного режима создается безопасный канал для второй фазы протокола IKE. aggressive – этот режим обходится меньшим числом обменов и, соответственно, числом пакетов. В первом сообщении (от инициатора) отправляется информация, которая используется для установления IKE-соединения: предложение параметров SA, инициирование обмена Диффи- Хеллмана , отправление псевдослучайного числа и идентификатора пакета. Во втором сообщении ответчик принимает SA, аутентифицирует инициатора, отправляет псевдослучайное число и свой IKE-идентификатор. В третьем сообщении инициатор аутентифицирует ответчика и подтверждает обмен Значение по умолчанию main Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-POLICY Пример esr(config-ike-policy)# mode aggressive mode Данной командой устанавливается режим перенаправления трафика в туннель Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Справочник команд CLI (ESR) 548 • • Синтаксис mode no mode Параметры – режим перенаправления трафика в туннель, принимает значения: policy-based – трафик перенаправляется на основе принадлежности к указанным в политиках подсетям ; route-based – трафик перенаправляется на основе маршрутов, шлюзом у которых является туннельный интерфейс Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# mode route-based password Данная команда используется для установки пароля пользователя для IKE-GETWAY. Пароль может быть задан как в открытом виде , так и в виде хеш sha512. Использование отрицательной формы команды (no) удаляет пароль пользователя для IKE-GETWAY из системы Синтаксис password { | encrypted
Скачать 3.5 Mb.