Справочник команд cli (02. 04. 2020) Версия по 5
 Скачать 3.5 Mb.
|
no password Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-PROFILE Справочник команд CLI (ESR) 549 Пример esr(config-profile) password tteesstt pfs dh-group Данной командой устанавливается номер группы метода Диффи -Хеллмана. Номер группы определяет уровень защищенности IPsec-соединения при обмене ключами – защищенность возрастает с ростом номера группы , но увеличивается и время установления соединения. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис pfs dh-group no pfs dh-group Параметры Значение по умолчанию 1 Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-PROPOSAL Пример esr(config-isec-proposal)# pfs dh-group 5 pre-shared-key Данной командой устанавливается общий секретный ключ для аутентификации , должен совпадать у обоих сторон , устанавливающих туннель. Использование отрицательной формы команды (no) удаляет установленный ключ. Синтаксис pre-shared-key { ascii-text { | encrypted no pre-shared-key Справочник команд CLI (ESR) 550 Параметры (0xYYYY...) или (YYYY...). ; Значение по умолчанию none Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-POLICY Пример esr(config-ike-policy)# pre-shared-key hexadecimal abc123 proposal Данной командой устанавливается привязка профиля протокола IKE к политике. Использование отрицательной формы команды (no) удаляет привязку профиля протокола IKE. Синтаксис [no] proposal Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-POLICY Справочник команд CLI (ESR) 551 Пример esr(config-ike-policy)# proposal ike_prop1 remote address Данной командой устанавливается IP-адрес удаленного шлюза IPsec-туннеля. Использование отрицательной формы команды (no) удаляет IP-адрес удаленного шлюза. Синтаксис remote address no remote address Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# remote address 192.168 1.2 remote network Данной командой устанавливается IP-адрес подсети получателя, а также IP-протокол и порт или назначается динамический пул адресов для удалённых клиентов , использующих XAUTH. Трафик, удовлетворяющий заданным критериям , будет направлен в IPsec-туннель. Использование отрицательной формы команды (no) удаляет IP-адрес подсети отправителя. Синтаксис remote network { dynamic pool | ] ] | any } [no] remote network { dynamic pool | ] ] | any } Параметры – выделенный динамический пул адресов для клиентов XAUTH; AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; Справочник команд CLI (ESR) 552 – TCP/UDP-порт, принимает значения [1..65535]; any – ключ, указывающий на необходимость шифрования любого исходящего трафика. Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# remote network 192.168 0.0 / 24 protocol tcp port 22 remote network dynamic client Данной командой включается получение списка удаленных сетей от IPsec-VPN-сервера. При использовании отрицательной формы команды (no) отключается получение списка удаленных сетей от IPsec-VPN-сервера. Синтаксис [no] remote network dynamic client Параметры Отсутствуют Значение по умолчанию Не включено Необходимый уровень привилегий 10 Командный режим CONFIG-IKE-GW Пример esr(config-ike-gw)# remote network dynamic client Справочник команд CLI (ESR) 553 security ike gateway Данной командой осуществляется переход в командный режим конфигурирования шлюза IKE SECURITY IKE GATEWAY. Если шлюз IKE с указанным именем не существует в конфигурации, то он будет создан. Параметры шлюза включают в себя VTI-интерфейс, в который будет направляться трафик, политика и версия протокола IKE, а также режим перенаправления трафика в туннель. Использование отрицательной формы команды (no) удаляет шлюз протокола IKE. Синтаксис [no] security ike gateway Параметры «all» будут удалены все IKE-шлюзы. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# security ike gateway ike_gw1 esr(config-ike-gw)# security ike policy Данной командой создается политика IKE, которая включает в себя профили протокола IKE, общий секретный ключ для аутентификации и режим согласования первой фазы протокола IKE. Использование отрицательной формы команды (no) удаляет указанную политику. Команда устанавливает режим командной строки SECURITY IKE POLICY. Синтаксис [no] security ike policy Параметры «all» будут удалены все IKE политики. Необходимый уровень привилегий 10 Справочник команд CLI (ESR) 554 Командный режим CONFIG Пример esr(config)# security ike policy ike_pol1 esr(config-ike-policy)# security ike proposal Данной командой создается профиль протокола IKE (Internet Key Exchange), который включает в себя параметры алгоритмов шифрования и аутентификации , метода Диффи-Хеллмана, которые будут использоваться при согласовании параметров IKE со встречной стороной VPN соединения при создании Security Association (SA). Кроме того, профиль задаёт предельное время действия SA. Использование отрицательной формы команды (no) удаляет заданный профиль. Синтаксис [no] security ike proposal Параметры «all» будут удалены все IKE-профили. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# security ike proposal ike_prop1 esr(config-ike-proposal)# show security ike Команда используется для просмотра списка шлюзов , политик или профилей. Синтаксис show security ike { gateway | policy | proposal } [ Справочник команд CLI (ESR) 555 Параметры gateway – при указании команды «gateway» будет выведен список сконфигурированных шлюзов; policy – при указании команды «policy» будет выведен список сконфигурированных политик; proposal – при указании команды «proposal» будет выведен список сконфигурированных профилей; Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show security ike proposal Proposal Name Auth Encryption DH Hash Lifetime ------------ ------- ---------------- -- ---------- ---------- aaa pre-sha 3des 1 sha1 3600 red-key esr# show security ike policy Policy Name Mode Proposal ---------------------------- ---------- ----------------------------------- ike_pol1 main ike_prop1 esr# show security ike gateway ik_gw Description: -- IKE Policy: ike_pol1 IKE Version: v1-only Mode: route-based Binding interface : vti1 IKE Dead Peer Detection: Action: none Interval: 2 Timeout: 30 user Данной командой задается имя пользователя для аутентификации IKE-GETWAY. Использование отрицательной формы команды (no) удаляет указанного пользователя. После выполнения данной команды маршрутизатор переходит в режим конфигурирования пароля пользователя (config-profile). Справочник команд CLI (ESR) 556 Синтаксис user Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-ACCESS-PROFILE Пример esr(config-access-profile)# user connecter963 version Данной командой задаётся версия протокола IKE. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис version no version Параметры Значение по умолчанию v1-only Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gw)# version v2-only Справочник команд CLI (ESR) 557 xauth access-profile Данной командой указывается локальный список пользователей для авторизации XAUTH. Использование отрицательной формы команды (no) удаляет заданный профиль. Синтаксис [no] xauth access-profile Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-IKE-GATEWAY Пример esr(config-ike-gateway)# xauth access-profile OFFICE Управление VPN. Настройки IPsec authentication algorithm Данной командой устанавливается алгоритм аутентификации . Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис authentication algorithm no authentication algorithm Параметры ‑384, sha2-512. Значение по умолчанию sha1 Необходимый уровень привилегий 15 Справочник команд CLI (ESR) 558 Командный режим CONFIG-IPSEC-PROPOSAL Пример esr(config-ipsec-proposal)# authentication algorithm md5 description Данной командой выполняется изменение описания Использование отрицательной формы команды (no) удаляет описание. Синтаксис description no description Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-IPSEC-VPN CONFIG-IPSEC-PROPOSAL CONFIG-IPSEC-POLICY Пример esr(config-ipsec-vpn)# description "VPN to Moscow Office" enable Данной командой активируется IPSEC VPN. Использование отрицательной формы команды (no) деактивирует IPSEC VPN. Синтаксис [no] enable Параметры Команда не содержит параметров Справочник команд CLI (ESR) 559 Значение по умолчанию Выключено Необходимый уровень привилегий 10 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# enable encryption algorithm Данной командой устанавливается алгоритм шифрования . Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис encryption algorithm no encryption algorithm Параметры Значение по умолчанию 3des Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-PROPOSAL Пример esr(config-ipsec-proposal)# encryption algorithm blowfish128 Справочник команд CLI (ESR) 560 • • • ike dscp Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов IKE- протокола Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию. Синтаксис ike dscp no ike dscp Параметры Значение по умолчанию 63 Необходимый уровень привилегий 10 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike dscp 40 ike establish-tunnel Командой устанавливается режим активации VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ike establish-tunnel no Ike establish-tunnel Параметры by-request – соединение активируется встречной стороной; route – соединение активируется при появлении трафика, маршрутизируемого в туннель; immediate – туннель активируется автоматически после применения конфигурации. Справочник команд CLI (ESR) 561 Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike establish-tunnel route ike gateway Данной командой осуществляется привязка IKE-шлюза к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode Синтаксис ike gateway no ike gateway Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike gateway ike_gw1 ike idle-time Данной командой устанавливается значение временного интервала в секундах , по истечению которого соединение закрывается , если не было принято или передано ни одного пакета через SA. Использование отрицательной формы команды (no) отключает данный таймер. Синтаксис ike idle-time Справочник команд CLI (ESR) 562 Параметры Справочник команд CLI (ESR) 563 ike rekey margin Данной командой можно настроить начало пересогласования ключей IKE-соединения до истечения времени жизни Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис Ike rekey margin { seconds | kilobytes Параметры ). Принимает значения [4..86400]. – количество пакетов, оставшихся до закрытия соединения (задается командой lifetime packets, см. lifetime ). Принимает значения [4..86400]. ). Принимает значения [4..86400]. Значение по умолчанию Пересогласование ключей до истечения времени – за 540 секунд. Пересогласование ключей до истечения объема трафика и количества пакетов – отключено. Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike rekey margin seconds 1800 ike rekey randomization Данной командой устанавливается уровень случайного разброса значений параметров margin seconds, margin packets, margin kilobytes. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ike rekey randomization no ike rekey randomization Справочник команд CLI (ESR) 564 Параметры Значение по умолчанию 100% Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike rekey randomization 10 ike ipsec-policy Данная команда устанавливает привязку IPsec-политики к VPN. Данная команда актуальна, только если в VPN выбран режим согласования ключей «ike». Настройка режима согласования ключей описана в mode Синтаксис ike ipsec-policy no ike ipsec-policy Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# ike ipsec-policy ipsec_pol1 Справочник команд CLI (ESR) 565 lifetime Данной командой устанавливается время жизни IPsec-туннеля. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис lifetime { seconds | kilobytes no lifetime { seconds | packets | kilobytes } Параметры [1140..86400] секунд. – количество пакетов, после передачи которого происходит пересогласование IPsec-туннеля. Принимает значения [4..86400]. Принимает значения [4..86400] секунд. Значение по умолчанию 28800 секунд Необходимый уровень привилегий 10 Командный режим CONFIG-IPSEC-POLICY Пример esr(config-ipsec-proposal)# lifetime seconds 3600 manual authentication algorithm Данной командой устанавливается алгоритм аутентификации . Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис manual authentication algorithm no manual authentication algorithm Справочник команд CLI (ESR) 566 Параметры Значение по умолчанию none Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# manual authentication algorithm sha1 manual authentication key Данной командой устанавливается ключ аутентификации . Данная команда актуальна, только если в VPN выбран режим согласования ключей «manual». Настройка режима согласования ключей описана в mode Синтаксис manual authentication key { ascii-text { { |