Справочник команд cli (02. 04. 2020) Версия по 5
 Скачать 3.5 Mb.
|
no manual spi Параметры (0xYYYY…) или (YYYY…). Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Справочник команд CLI (ESR) 571 • • Пример esr(config-ipsec-vpn)# manual spi FF mode Данной командой устанавливается режим согласования данных , необходимых для активации VPN. Синтаксис mode no mode Параметры ike – согласование алгоритмов аутентификации и шифрования, ключей аутентификации и шифрования , индекса параметра безопасности и других данных осуществляется через протокол IKE; manual – пользователь должен сам настроить идентичные параметры на обоих узлах для работы VPN. При данном режиме не происходит установления IKE-соединения между узлами. Каждый из узлов шифрует и дешифрует пакеты , основываясь только на заданных параметрах. Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-VPN Пример esr(config-ipsec-vpn)# mode ike proposal Данной командой к политике привязываются профили набора протоколов IPsec. Использование отрицательной формы команды (no) удаляет привязку к указанному профилю. Синтаксис [no] proposal Параметры Справочник команд CLI (ESR) 572 • • Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-POLICY Пример esr(config-ipsec-policy)# proposal ipsec_prop1 protocol Данной командой устанавливается инкапсулирующий протокол Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис protocol no protocol Параметры – инкапсулирующий протокол, принимает значения: ah – данный протокол осуществляет только аутентификацию трафика, шифрование данных не выполняется ; esp – данный протокол осуществляет аутентификацию и шифрование трафика. Значение по умолчанию esp Необходимый уровень привилегий 15 Командный режим CONFIG-IPSEC-PROPOSAL Пример esr(config-ipsec-proposal)# protocol ah security ipsec policy Данной командой создается политика набора протоколов IPsec, которая включает в себя профили набора протоколов IPsec для согласования второй фазы протокола IKE. Справочник команд CLI (ESR) 573 Использование отрицательной формы команды (no) удаляет установленное значение. Команда устанавливает режим командной строки SECURITY IPSEC POLICY. Синтаксис [no] security ipsec policy Параметры «all» будут удалены все IPsec-политики. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# security ipsec policy ipsec_pol1 esr(config-ipsec-policy)# security ipsec proposal Данной командой создается профиль для набора протоколов IPsec. Профиль IPsec включает в себя параметры алгоритмов шифрования и аутентификации , протокола защиты соединения IPsec-туннеля, а также время жизни соединения Использование отрицательной формы команды (no) удаляет указанный профиль. Команда устанавливает режим командной строки SECURITY IPSEC PROPOSAL. Синтаксис [no] security ipsec proposal Параметры «all» будут удалены все IPsec-профили. Необходимый уровень привилегий 10 Командный режим CONFIG Справочник команд CLI (ESR) 574 Пример esr(config)# security ipsec proposal ipsec_prop1 esr(config-ipsec-proposal)# security ipsec vpn Данной командой создается VPN на основе набора протоколов IPsec и устанавливается командный режим SECURITY IPSEC VPN. Использование отрицательной формы команды (no) удаляет сконфигурированный VPN. Синтаксис [no] security ipsec vpn Параметры «all» будут удалены все VPN. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# security ipsec vpn ipsec_vpn1 esr(config-ipsec-vpn)# show security ipsec Данной командой выполняется просмотр конфигураций VPN, политик и профилей набора протоколов IPsec. Синтаксис show security ipsec { vpn configuration | policy | proposal } [ Параметры vpn configuration – при указании данной команды будет выведена конфигурация всех VPN; vpn status – при указании данной команды будет выведено оперативное состояние всех VPN; policy – при указании данной команды будет выведен список сконфигурированных политик набора протоколов IPsec; Справочник команд CLI (ESR) 575 proposal – при указании команды будет выведен список сконфигурированных профилей набора протоколов IPsec; Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show security ipsec proposal Proposal Name Prot Enc. alg. Auth. alg. Lifetime --------------------- ---- ---------------- --------------- ----------- ipsec_prop1 esp aes128 sha1 28800 sec esr# show secu rity ipsec policy Name Description Proposal -------------------- ------------------- ----------------------------------- ipsec_pol1 ipsec_prop1 Master# show security ipsec vpn configuration IPSECVPN Description: -- State: Enabled IKE: Establish tunnel: immediate IPsec policy: IPSECPOLICY IKE gateway: IKEGW IKE DSCP: 63 IKE idle-time: 0s IKE rekeying: Enabled Margin time: 540s Margin kilobytes: 0 Margin packets: 0 Randomization: 100 % show security ipsec vpn authentication Данная команда позволяет посмотреть список и параметры подключившихся IPsec-VPN-клиентов. Синтаксис show security ipsec vpn authentication Параметры DNS-имен. Справочник команд CLI (ESR) 576 Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show security ipsec vpn authentication Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 2.2 2.1 2.2 2.2 192.168 2.0 / 24 192.168 1.1 / 32 Xauth PSK, login: ipsec Established show security ipsec vpn status Данной командой выполняется просмотр статуса всех VPN, которые устанавливают соединение через IKE-протокол либо определенного VPN при указании его имени. Синтаксис show security ipsec vpn status [ vrf Параметры Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show security ipsec vpn status Name Local host Remote host Initiator spi Responder spi State --------- ------------ ------------ --------------- --------------- ------ ipsec_vpn1 10.100 14.1 10.100 14.2 0x05d8e0ac3543f0cb 0xcfa1c4179d001154 Established Справочник команд CLI (ESR) 577 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 26 Управление VPN. Настройки удаленного доступа Общие команды настройки удаленного доступа clear remote-access counters clear remote-access session description enable encryption mppe remote-access show remote-access configuration show remote-access counters show remote-access status Настройка L2TP over IPsec/PPTP-сервера authentication mode dns-servers dscp ipsec authentication method ipsec authentication pre-shared-key local-address mtu outside-address remote-address remote network remote networks username wins-servers Настройка OpenVPN-сервера address-range authentication-algorithm bridge-group certificate client-isolation client-max compression dns-server duplicate-cn encryption algorithm ip address network port protocol redirect-gateway route timers holdtime timers keepalive subnet tunnel username wins-server Справочник команд CLI (ESR) 578 Общие команды настройки удаленного доступа clear remote-access counters Данной командой осуществляется сброс счетчиков соединений OpenVPN, PPTP и L2TP over IPsec пользователей Синтаксис clear remote-access counters [ pptp | l2tp | openvpn ] [ server Параметры При выполнении команды без параметра будут сброшены все счетчики соединений OpenVPN, PPTP и L2TP over IPsec пользователей. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear remote-access counters clear remote-access session Данной командой осуществляется завершение соединений OpenVPN, PPTP и L2TP over IPsec пользователей Синтаксис clear remote-access session [ pptp | l2tp | openvpn] [ server Параметры OpenVPN, PPTP и L2TP over IPsec соединения. Справочник команд CLI (ESR) 579 Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear remote-access session description Команда используется для изменения описания профиля OpenVPN, PPTP и L2TP over IPsec-серверов. Использование отрицательной формы команды (no) удаляет описание профиля. Синтаксис description no description Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-PPTP-SERVER CONFIG-L2TP-SERVER CONFIG-OPENVPN-SERVER Пример Установить описание для профиля PPTP-сервера: esr(config-pptp-server)# description "Our remote workers" enable Данной командой активируется конфигурируемый профиль PPTP и L2TP over IPsec-серверов. Использование отрицательной формы команды (no) деактивирует конфигурируемый профиль. Справочник команд CLI (ESR) 580 Синтаксис [no] enable Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 10 Командный режим CONFIG-PPTP-SERVER CONFIG-L2TP-SERVER CONFIG-OPENVPN-SERVER Пример esr(config-pptp-server)# enable encryption mppe Данная команда включает шифрование MPPE (Microsoft Point-to-Point Encryption) для PPTP-соединений. Использование отрицательной формы команды (no) отключает шифрование. Синтаксис [no] encryption mppe Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Справочник команд CLI (ESR) 581 Командный режим CONFIG-PPTP-SERVER Пример esr(config-pptp-server)# encryption mppe remote-access Данной командой создается профиль сервера удаленного доступа Использование отрицательной формы команды (no) удаляет указанный профиль. Синтаксис [no] remote-access Параметры Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# remote-access l2tp remote-workers esr(config-l2tp-server)# show remote-access configuration Командой выполняется просмотр параметров профилей OpenVPN, PPTP и L2TP over IPsec-серверов. Синтаксис show remote-access configuration { pptp | l2tp | openvpn } [ Параметры Справочник команд CLI (ESR) 582 При выполнении команды без параметра будут показаны параметры всех OpenVPN, PPTP или L2TP over IPsec-серверов. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show remote-access configuration pptp pptp1 State: Enabled Description: -- Security zone: trusted Authentication mode: local MTU: 1500 Local address: 192.168 1.1 Remote address: rem_pptp( 10.0 10.20 - 10.0 10.40 ) Outside address: 115.0 0.1 DNS server: -- WINS server: -- Users # Name State Encrypted password --- -------------------- -------- ------------------------------ 0 pptp Enabled 8CB5107EA7005AFF 1 petr Enabled CCE5513EE45A1EAC show remote-access counters Командой выполняется просмотр счетчиков соединений OpenVPN, PPTP и L2TP over IPsec пользователей Синтаксис show remote-access counters [ pptp | l2tp | openvpn ] [ server Параметры При выполнении команды без параметра будут показаны счетчики всех соединений OpenVPN, PPTP и L2TP over IPsec пользователей. Необходимый уровень привилегий 10 Справочник команд CLI (ESR) 583 Командный режим ROOT Пример esr# show remote-access counters User IP-address UC recv Bytes recv Err recv MC recv ------------- --------------- ---------- ---------- ---------- ---------- ivan 10.20 20.5 262 25365 0 0 fedor 20.20 20.160 59 5236 0 0 User IP-address UC sent Bytes sent Err sent ------------- --------------- ---------- ---------- ---------- ivan 10.20 20.5 249 29298 0 fedor 20.20 20.160 16 739 0 esr# show remote-access counters l2tp PPTP Server: remote-workers User: ivan( 10.20 20.5 ) Packets received: 231 Bytes received: 22229 Dropped on receive: 0 Receive errors: 0 Multicasts received: 0 Receive length errors: 0 Receive buffer overflow errors: 0 Receive CRC errors: 0 Receive frame errors: 0 Receive FIFO errors: 0 Receive missed errors: 0 Receive compressed: 0 Packets transmitted: 189 Bytes transmitted: 21858 Dropped on transmit: 0 Transmit errors: 0 Transmit aborted errors: 0 Transmit carrier errors: 0 Transmit FIFO errors: 0 Transmit heartbeat errors: 0 Transmit window errors: 0 Transmit comressed: 0 Collisions: 0 show remote-access status Командой выполняется просмотр состояния соединений OpenVPN, PPTP и L2TP over IPsec пользователей Синтаксис show remote-access status [ pptp | l2tp | openvpn ] [ server Справочник команд CLI (ESR) 584 • • Параметры При выполнении команды без параметра будет показано состояние всех соединений OpenVPN, PPTP и L2TP over IPsec пользователей. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show remote-access status User IP-address Server ---------------- --------------- -------------------------------------- ivan 10.20 20.5 pptp(remote-workers) fedor 20.20 20.160 l2tp(remote-workers-l2tp) Count sessions: 2 Настройка L2TP over IPsec/PPTP-сервера authentication mode Данной командой устанавливается режим аутентификации удаленных пользователей , подключающихся по протоколам PPTP или L2TP over IPsec. Использование отрицательной формы команды (no) удаляет установленный режим. Синтаксис authentication mode { local | radius } no authentication mode Параметры local – режим аутентификации, использующий локальную базу пользователей конфигурируемого профиля radius – режим, при котором аутентификация пользователей проходит через RADIUS-сервер. Необходимый уровень привилегий 15 Справочник команд CLI (ESR) 585 Командный режим CONFIG-PPTP-SERVER CONFIG-L2TP-SERVER Пример esr(config-pptp-server)# authentication mode local dns-servers Данной командой указывается список DNS-серверов, которые будут использовать удаленные пользователи , подключающиеся по протоколам PPTP и L2TP over IPsec. Использование отрицательной формы команды (no) удаляет настроенные адреса DNS-серверов. Синтаксис dns-servers object-group no dns-servers Параметры 31 символа. Необходимый уровень привилегий 10 Командный режим CONFIG-PPTP-SERVER CONFIG-L2TP-SERVER Пример esr(config-pptp-server)# dns-servers object-group pptp_dns dscp Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов PPTP и L2TP over IPsec-серверов. Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию. Синтаксис dscp no dscp Справочник команд CLI (ESR) 586 Параметры Значение по умолчанию 32 Необходимый уровень привилегий 10 Командный режим CONFIG-PPTP-SERVER CONFIG-L2TP-SERVER Пример esr(config-pptp-server)# dscp 40 ipsec authentication method Данной командой выбирается метод аутентификации по ключу для IKE-соединения. Аутентификация сообщений по ключу используется при установлении IKE-соединения, ключ задаётся командой «ipsec authentication pre-shared-key» (см раздел ipsec authentication pre-shared-key ). Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ipsec authentication method pre-shared-key no ipsec authentication method Параметры pre-shared-key – метод аутентификации, использующий предварительно полученные ключи шифрования Необходимый уровень привилегий 15 Командный режим CONFIG-L2TP-SERVER Пример esr(config-l2tp-server)# ipsec authentication method psk Справочник команд CLI (ESR) 587 ipsec authentication pre-shared-key Данной командой устанавливается общий секретный ключ для аутентификации , который должен совпадать у обоих сторон , устанавливающих туннель. Использование отрицательной формы команды (no) удаляет установленный ключ. Синтаксис ipsec authentication pre-shared-key { ascii-text { |