Команды IPSec#
Команды настройки. Общие команды IPSec#
| Команда | Описание команды |
|---|---|
| vpn ipsec | Включение IPSec VPN. |
| vpn ipsec logging | Указание параметров регистрации IPSec VPN. |
Команды настройки.Группы AH#
| Команда | Описание команды |
|---|---|
| vpn ipsec ah-group <имя_группы> | Определение поименованной настройки AH. |
| vpn ipsec ah-group <имя_группы> hash <алгоритм_хеширования> | Указание алгоритма хеширования, используемого для создания заголовка аутентификации. |
Команды настройки. Группы ESP#
| Команда | Описание команды |
|---|---|
| vpn ipsec esp-group <имя_группы> | Определение поименованной настройки ESP, используемой для согласования второй фазы IKE. |
| vpn ipsec esp-group <имя_группы> compression <состояние> | Указание того, должен ли данный шлюз VPN предлагать использование сжатия. |
| vpn ipsec esp-group <имя_группы> lifetime <время_жизни> | Указание времени жизни ключа ESP. |
| vpn ipsec esp-group <имя_группы> mode <режим> | Указание режима подключения IPSec. |
| vpn ipsec esp-group <имя_группы> pfs-group <группа> | Определение использования механизма PFS. |
| vpn ipsec esp-group <имя_группы> proposal <номер> | Определение предложения группы ESP для согласования второй фазы IKE. |
| vpn ipsec esp-group <имя_группы> proposal <номер> encryption <алгоритм_шифрования> | Определение алгоритма шифрования для указанного предложения группы ESP. |
| vpn ipsec esp-group <имя_группы> proposal <номер> hash <алгоритм_хеширования> | Определение алгоритма хеширования для указанного предложения группы ESP. |
Команды настройки. Группа IKE#
| Команда | Описание команды |
|---|---|
| vpn ipsec ike-group <имя_группы> | Определение поименованной настройки IKE, используемой для согласования первой фазы IKE. |
| vpn ipsec ike-group <имя_группы> dead-peer-detection | Определение поведения системы в том случае, если узел VPN становится недоступен. |
| vpn ipsec ike-group <имя_группы> lifetime <время_жизни> | Указание времени жизни ключа IKE. |
| vpn ipsec ike-group <имя_группы> proposal <номер> | Определение предложения группы IKE для согласования первой фазы IKE. |
| vpn ipsec ike-group <имя_группы> proposal <номер> dh-group <группа> | Указание группы Oakley, которая будет предложена для ключевого обмена Диффи-Хеллмана. |
| vpn ipsec ike-group <имя_группы> proposal <номер> encryption <алгоритм_шифрования> | Определение алгоритма шифрования для указанного предложения группы IKE. |
| vpn ipsec ike-group <имя_группы> proposal <номер> hash <алгоритм_хеширования> | Определение алгоритма хеширования для указанного предложения группы IKE. |
Команды настройки. Туннель IPSec#
| Команда | Описание команды |
|---|---|
| vpn ipsec site-to-site peer <туннель> | Определение подключения в межфилиальном режиме между системой Numa Edge и другим шлюзом VPN. |
| vpn ipsec site-to-site peer <туннель> authentication | Предоставление сведений, необходимых для аутентификации. |
| vpn ipsec site-to-site peer <туннель> ah-group <имя_группы> | Указание группы AH, используемой для данного туннеля. |
| vpn ipsec site-to-site peer <туннель> esp-group <имя_группы> | Указание поименованной настройки ESP, которая будет использована при подключении к данному узлу. |
| vpn ipsec site-to-site peer <туннель> ike-group <имя_группы> | Указание поименованной настройки IKE, которая будет использована при подключении к данному узлу. |
| vpn ipsec site-to-site peer <туннель> local-ip <ipv4-адрес> | Указание локального IP-адреса, который будет использоваться в качестве IP-адреса отправителя для пакетов, предназначенных удаленному узлу. |
| vpn ipsec site-to-site peer <туннель> remote-ip <ipv4-адрес> | Указание IP-адреса удаленного шлюза VPN. |
| vpn ipsec site-to-site peer <туннель> local-subnet <ipv4-сеть> | Указание адреса локальной сети, расположенной за данным шлюзом VPN. |
| vpn ipsec site-to-site peer <туннель> remote-subnet <ipv4-сеть> | Указание адреса удаленной сети, расположенной за удаленным шлюзом VPN. |
| vpn ipsec site-to-site peer <туннель> nat-traversal <состояние> | Определение использования технологии NAT-T на локальном устройстве. |
Эксплуатационные команды#
| Команда | Описание команды |
|---|---|
| clear vpn ipsec-peer <туннель> | Перезапуск туннелей, ассоциированных с указанным узлом IPSec. |
| clear vpn ipsec-process | Перезапуск процесса IPSec. |
| show vpn ike rsa-keys | Отображение ключей RSA, о которых есть запись в системе. |
| show vpn ike sa | Вывод сведений обо всех активных в данный момент защищенных соединениях IKE (ISAKMP). |
| show vpn ike secrets | Вывод настроенных предварительных ключей. |
| show vpn ipsec sa | Вывод сведений обо всех активных в данный момент защищенных соединений IPSec. |
| show vpn ipsec status | Вывод сведений о состоянии процессов IPSec. |
Эксплуатационные команды. Управление RSA ключами#
| Команда | Описание команды |
|---|---|
| vpn rsa-keys delete <имя_ключа> | Удаление ключевой пары RSA из системного хранилища. |
| vpn rsa-keys export <имя_ключа> to <имя_файла> | Экспорт открытого ключа из ключевой пары, используемого на другом устройстве для установки соединения. |
| vpn rsa-keys generate <имя_ключа> [bits <размер>] | Генерация файла, содержащего ключевую пару RSA. |
| vpn rsa-keys import <имя_ключа> from <имя_файла> | Импорт открытого ключа RSA в системное хранилище. |
| vpn rsa-keys list | Просмотр файлов RSA ключей в системном хранилище. |
vpn ipsec#
Включение IPSec VPN в системе Numa Edge.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
Отсутствуют.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет включить IPSec VPN в системе Numa Edge.
Примечание
Отправка и получение сообщений ICMP о перенаправлении отключена при использовании IPSec VPN.
Форма set данной команды используется для включения IPSec VPN.
Форма delete используется для удаления всей настройки IPSec VPN и отключения IPSec VPN.
Форма show данной команды используется для отображения настройки IPSec VPN.
vpn ipsec logging#
Указание параметров регистрации IPSec VPN.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
режим
Обязательный. Множественный узел. Режим регистрации, используемый для регистрационных сообщений IPSec. Поддерживаются следующие значения:
- debug;
- debug2;
- error;
- info;
- notify;
- warning.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания уровня серьезности сообщений регистрации IPSec VPN. Чем ниже указанный уровень серьезности, тем более подробная информация будет записана в файл журнала.
Процесс IPSec генерирует сообщения регистрации во время исполнения, которые могут быть направлены в системный журнал.
Следует учитывать, что в текущей реализации в главном файле журнала регистрируются только сообщения с уровнем серьезности notice и выше.
Настройка режима регистрации является необязательной. В том случае если режим регистрации явно не указан, генерируются сообщения регистрации IPSec с уровнем серьезности info, к которым относятся в основном сообщения о запуске и остановке IPSec.
Следует учесть, что использование некоторых режимов регистрации может существенно снизить производительность системы.
Для регистрационных сообщений VPN IPSec используются стандартные уровни серьезности, используемые в syslog.
Форма set данной команды используется для указания режима регистрации для IPSec VPN.
Форма delete данной команды используется для удаления настройки регистрации.
Форма show данной команды используется для отображения настройки регистрации.
vpn ipsec ah-group <имя_группы>#
Определение поименованной настройки AH.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Множественный узел. Имя, используемое для обозначения настройки AH. Можно определить несколько настроек AH, создав соответствующее количество узлов конфигурации ah-group.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания группы AH. Группа AH позволяет задать параметры AH (Authentication Header).
Форма set данной команды используется для создания и изменения группы AH.
Форма delete данной команды используется для удаления настройки группы AH.
Форма show данной команды используется для отображения настройки группы AH.
vpn ipsec ah-group <имя_группы> hash <алгоритм_хеширования>#
Указание алгоритма хеширования, используемого для создания заголовка аутентификации.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя
Имя, используемое для обозначения настройки AH.
алгоритм_хеширования
Используемый алгоритм хеширования. Поддерживаются следующие значения:
- des;
- 3des;
- des_iv64;
- des_iv32;
- hmac_sha1;
- hmac_sha512;
- hmac_gosthash;
- hmac_gosthash-2012-256;
- hmac_gosthash-2012-512;
- hmac_gosthash-st;
- hmac_gosthash-zstv;
- hmac_sha256;
- non_auth;
- hmac_md5;
- hmac_sha384.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания алгоритма хеширования, который будет использован для создания заголовка аутентификации.
Numa Edge поддерживает российский криптографический стандарт вычисления хеш-функции ГОСТ Р34.11-94 (hmac_gosthash) и ГОСТ Р34.11-2012 (hmac_gosthash-2012).
Примечание
При использовании для аутентификации протокола AH в настройке группы ESP для параметра vpn ipsec esp-group <имя_группы> proposal <номер> hash должно быть установлено значение no_auth.
Форма set данной команды позволяет указать алгоритм хеширования, который будет предложен к использованию.
Форма delete данной команды используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки алгоритма хеширования.
vpn ipsec esp-group <имя_группы>#
Определение поименованной настройки ESP для соглашений второй фазы IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Множественный узел. Имя, используемое для обозначения настройки ESP. Можно определить несколько настроек ESP, создав соответствующее количество узлов конфигурации esp-group. По крайней мере одна настройка ESP должна быть определена для использования в настройке туннеля.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания группы ESP. Группа ESP позволяет задать параметры ESP (Encapsulating Security Payload), которые необходимы для второй фазы IKE, а также для установки времени жизни защищенного соединения IPSec (SA).
Форма set данной команды используется для создания и изменения группы ESP.
Форма delete данной команды используется для удаления настройки группы ESP.
Форма show данной команды используется для отображения настройки группы ESP.
vpn ipsec esp-group <имя_группы> compression <состояние>#
Указание того, должен ли данный шлюз VPN предлагать использование сжатия.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
состояние
Включение/отключение сжатия ESP. Поддерживаемые значения:
- enable: включение предложения сжатия ESP.
- disable: отключение предложения сжатия ESP.
Значение по умолчанию#
Сжатие ESP отключено.
Указания по использованию#
Данная команда позволяет установить, следует ли включать в предложение сжатие ESP при согласовании второй фазы IKE.
Форма set данной команды используется для включения/отключения сжатия ESP.
Форма delete используется для восстановления поведения по умолчанию.
Форма show данной команды используется для отображения настройки сжатия ESP.
vpn ipsec esp-group <имя_группы> lifetime <время_жизни>#
Указание времени жизни ключа ESP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
время_жизни
Время, в секундах, в течение которого ключ, созданный при согласовании второй фазы IKE, остается в силе. Значение должно лежать в диапазоне от 30 до 86400 (что соответствует 24 часам). По умолчанию используется значение 3600.
Значение по умолчанию#
Ключ остается действующим в течение 3600 секунд (1 час).
Указания по использованию#
Данная команда позволяет указать время жизни ключа.
Форма set данной команды используется для указания времени жизни ключа.
Форма delete данной команды используется для удаления настройки времени жизни ключа.
Форма show данной команды используется для отображения настройки времени жизни ключа.
vpn ipsec esp-group <имя_группы> mode <режим>#
Указание режима подключения IPSec.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
режим
Режим подключения IPSec. Поддерживаемые значения:
- tunnel: туннельный режим.
- transport: транспортный режим.
Значение по умолчанию#
Используется туннельный режим.
Указания по использованию#
Данная команда позволяет установить режим подключения IPSec.
Форма set данной команды используется для указания используемого режима IPSec.
Форма delete данной команды используется для восстановления режима подключения IPSec.
Форма show данной команды используется для отображения настройки режима подключения IPSec.
vpn ipsec esp-group <имя_группы> pfs-group <группа>#
Определение использования механизма PFS.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
группа
Включение/отключение PFS (Perfect Forward Secrecy). Поддерживаемые значения:
- 2: Использовать группу Диффи-Хеллмана 2.
- 5: Использовать группу Диффи-Хеллмана 5.
Значение по умолчанию#
Использование PFS по умолчанию отключено.
Указания по использованию#
Данная команда позволяет включить/отключить PFS (Perfect Forward Secrecy).
Помимо использования ключевого обмена Диффи-Хеллмана в первой фазе установления соединения IPSec можно также использовать его во второй фазе, включив PFS при помощи данной команды. При использовании PFS ключ, используемый для защиты передаваемых данных, не должен использоваться для получения любых дополнительных ключей, и если ключ, используемый для защиты передаваемых данных, был получен из некоторого другого ключевого материала, то этот ключевой материал не должен больше использоваться для получения других ключей. Группа Диффи-Хеллмана, которая указывается при включении PFS, определяет стойкость используемого ключа. Чем выше номер группы, тем более стойкие ключи используются, однако это также приводит к увеличению используемых вычислительных ресурсов. При использовании PFS во второй фазе обмен Диффи-Хеллмана происходит каждый раз при установлении IPSec SA. Группа Диффи-Хеллмана, выбранная для фазы 2, может не совпадать с группой Диффи-Хеллмана, выбранной для фазы 1.
Форма set данной команды позволяет включить/отключить PFS (Perfect Forward Secrecy).
Форма delete данной команды используется для восстановления настройки PFS, используемой по умолчанию.
Форма show данной команды используется для отображения настройки PFS.
vpn ipsec esp-group <имя_группы> proposal <номер>#
Определение предложения группы ESP для согласования второй фазы IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
номер
Множественный узел. Целое число, уникально идентифицирующее предложение, используемое при согласовании второй фазы IKE. Можно определить несколько предложений, относящихся к одной группы ESP, создав соответствующее количество узлов конфигурации proposal. Каждое предложение должно иметь уникальный идентификатор.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для определения предложения ESP для согласования второй фазы IKE.
Форма set данной команды используется для создания предложения ESP.
Форма delete данной команды используется для удаления предложения ESP и его настройки.
Форма show данной команды используется для отображения настройки предложения ESP.
vpn ipsec esp-group <имя_группы> proposal <номер> encryption <алгоритм_шифрования>#
Указание алгоритма шифрования для предложения ESP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
номер
Целое число, уникально идентифицирующее предложение, используемое при согласовании второй фазы IKE.
алгоритм_шифрования
Алгоритм шифрования, который будет предложен. Поддерживаются следующие значения:
- blowfish;
- cast128;
- gost;
- gost-zstv;
- twofish;
- aes;
- camellia;
- null_enc;
- rijndael.
Значение по умолчанию#
По умолчанию установлено значение aes.
Указания по использованию#
Данная команда используется для указания алгоритма шифрования, который будет предложен при согласовании второй фазы IKE в рамках указанного предложения ESP. Numa Edge поддерживает российский стандарт симметричного шифрования ГОСТ 28147-89 (gost).
Форма set данной команды используется для указания алгоритма шифрования.
Форма delete данной команды используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки алгоритма шифрования в предложении ESP.
vpn ipsec esp-group <имя_группы> proposal <номер> hash <алгоритм_хеширования>#
Указание алгоритма хеширования для предложения ESP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки ESP.
номер
Целое число, уникально идентифицирующее предложение, используемое при согласовании второй фазы IKE.
алгоритм_хеширования
Используемый алгоритм хеширования. Поддерживаются следующие значения:
- hmac_sha1;
- hmac_sha512;
- hmac_gosthash;
- hmac_gosthash-2012-256;
- hmac_gosthash-2012-512;
- hmac_gosthash-zstv;
- hmac_gosthash-st;
- hmac_sha256;
- non_auth;
- hmac_md5;
- hmac_sha384.
Значение по умолчанию#
По умолчанию установлено значение sha1.
Указания по использованию#
Данная команда используется для указания алгоритма хеширования, который будет предложен в рамках предложения ESP.
Numa Edge поддерживает российский криптографический стандарт вычисления хеш-функции ГОСТ Р 34.11-94 (hmac_gosthash) и ГОСТ Р 34.11-2012 (hmac_gosthash-2012).
Примечание
При использовании для аутентификации протокола AH для данного параметра необходимо установить значение no_auth. Алгоритм хеширования используемый для аутентификации в этом случае указывается при помощи команды vpn ipsec ah-group <имя_группы> hash <алгоритм_хеширования>.
Форма set данной команды позволяет указать алгоритм хеширования, который будет предложен к использованию.
Форма delete данной команды используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки алгоритма хеширования, указанного в предложении ESP.
vpn ipsec ike-group <имя_группы>#
Определение поименованной настройки IKE для согласований первой фазы IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Множественный узел. Имя, используемое для обозначения настройки IKE.
Можно создать множественные настройки IKE, создав соответствующее количество узлов конфигурации ike-group.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для определения набора параметров настройки IKE.
Данная настройка IKE может быть использована при настройке туннеля к узлу VPN с использованием команды vpn ipsec site-to-site peer <туннель>.
Форма set данной команды используется для создания группы IKE.
Форма delete данной команды используется для удаления группы IKE и ее настройки.
Форма show данной команды используется для отображения настройки группы IKE.
vpn ipsec ike-group <имя_группы> dead-peer-detection#
Определяет поведение системы в том случае, если узел VPN становится недоступен.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
интервал
Интервал времени, в секундах, через который узлам VPN будут отправляться сообщения IKE, подтверждающие активность (keep-alive messages). Значение должно лежать в диапазоне от 15 до 86400. По умолчанию установлено значение 30.
таймаут
Интервал времени, в секундах, по истечении которого, в том случае если узел не отвечает, осуществляется попытка перезапуска туннеля. Значение должно лежать в диапазоне от 30 до 86400. По умолчанию установлено значение 120.
Значение по умолчанию#
Активность узлов VPN не проверяется.
Указания по использованию#
Данная команда определяет то, каким образом должны отслеживаться неактивные узлы IPSec VPN.
Форма set данной команды используется для определения отслеживания узлов, ставших неактивными.
Форма delete данной команды используется для удаления настройки отслеживания неактивных узлов VPN.
Форма show данной команды используется для отображения настройки.
vpn ipsec ike-group <имя_группы> lifetime <время_жизни>#
Указание времени жизни ключа IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
время_жизни
Время, в секундах, в течение которого ключ, созданный при согласовании первой фазы IKE, остается в силе, до того как будет инициировано новое согласование. Значение должно лежать в диапазоне от 30 до 86400 (что соответствует 24 часам). По умолчанию используется значение 28800 (8 часов).
Значение по умолчанию#
Ключ IKE используется в течение 8 часов.
Указания по использованию#
Данная команда позволяет указать время жизни для ключа IKE.
Форма set данной команды используется для указания времени жизни ключа.
Форма delete данной команды используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки времени жизни.
vpn ipsec ike-group <имя_группы> proposal <номер>#
Указание номера предложения группы IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
номер
Множественный узел. Целое число, уникально идентифицирующее предложение IKE.
Можно определить до 10 предложений в рамках одной группы IKE, создав соответствующее количество узлов конфигурации proposal. Каждое предложение должно иметь уникальный идентификатор.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания предложения IKE. Данное предложения будет использовано при согласовании первой фазы IKE.
Форма set данной команды используется для создания предложения IKE.
Форма delete данной команды используется для удаления предложения IKE и его настройки.
Форма show данной команды используется для отображения настройки предложения IKE.
vpn ipsec ike-group <имя_группы> proposal <номер> dh-group <группа>#
Указание группы Oakley, которая будет предложена для ключевого обмена Диффи-Хеллмана.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
номер
Целое число, уникально идентифицирующее предложение IKE.
группа
Группа Oakley, используемая при ключевом обмене Диффи-Хеллмана. Поддерживаются следующие значения:
- 2: Группа Oakley 2.
- 5: Группа Oakley 5.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы Oakley, использование которой будет предлагаться для ключевого обмена Диффи-Хеллмана.
Форма set данной команды используется для указания группы Oakley.
Форма delete данной команды используется для удаления настройки группы Oakley.
Форма show данной команды используется для отображения настройки группы Oakley.
vpn ipsec ike-group <имя_группы> proposal <номер> encryption <алгоритм_шифрования>#
Указание алгоритма шифрования, использование которого будет предлагаться при согласовании первой фазы IKE.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
номер
Целое число, уникально идентифицирующее предложение IKE.
алгоритм_шифрования
Алгоритм шифрования, используемый при согласовании первой фазы IKE. Поддерживаются следующие значения:
- aes;
- blowfish;
- camellia;
- cast128;
- gost;
- gost-zstv;
- gost-cbc.
Значение по умолчанию#
По умолчанию установлено значение aes.
Указания по использованию#
Данная команда используется для указания алгоритма шифрования, который будет предложен при согласовании первой фазы IKE.
Numa Edge поддерживает российский стандарт симметричного шифрования ГОСТ 28147-89 (gost).
Форма set данной команды используется для указания алгоритма шифрования.
Форма delete используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки алгоритма шифрования.
vpn ipsec ike-group <имя_группы> proposal <номер> hash <алгоритм_хеширования>#
Указание алгоритма хеширования для предложения.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Имя, используемое для обозначения настройки IKE.
номер
Целое число, уникально идентифицирующее предложение IKE.
алгоритм_хеширования
Используемый алгоритм хеширования.
Поддерживаемые значения:
- gosthash-94;
- gosthash-94-st;
- gosthash-94-zstv;
- gosthash-2012-256;
- gosthash-2012-512;
- md5;
- sha1;
- sha256;
- sha384;
- sha512.
Значение по умолчанию#
По умолчанию установлено значение gosthash-2012-256.
Указания по использованию#
Данная команда используется для указания алгоритма хеширования, который будет предложен к использованию в рамках предложения IKE.
Форма set данной команды позволяет указать алгоритм хеширования, который будет предложен к использованию.
Форма delete данной команды используется для восстановления значения, принятого по умолчанию.
Форма show данной команды используется для отображения настройки алгоритма хеширования.
vpn ipsec site-to-site peer <туннель>#
Определение подключения в межфилиальном режиме между системой Numa Edge и другим шлюзом VPN.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Множественный. Название туннеля к удаленному узлу IPSec.
Можно создать несколько туннелей VPN, создав соответствующее количество узлов конфигурации peer.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для определения туннеля к другому узлу VPN в межфилиальном режиме, обеспечивающего взаимодействие между подсетью, расположенной за локальным шлюзом VPN (local-subnet), и подсетью, расположенной за удаленным шлюзом VPN (remote-subnet). Для настройки нескольких туннелей необходимо создать соответствующее количество узлов конфигурации peer.
Форма set данной команды используется для определения туннеля в межфилиальном режиме к другому узлу VPN.
Форма delete данной команды используется для удаления настройки туннеля.
Форма show данной команды используется для отображения настройки туннеля.
vpn ipsec site-to-site peer <туннель> authentication#
Указание сведений, необходимых для аутентификации.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
peer туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
id id
Идентификационные данные локального узла VPN, которые будут предъявляться удаленному узлу VPN. Значение указывается в следующем формате: @идентификатор.
key имя
Имя ключевой пары RSA для локального узла VPN. Для генерации ключевой пары RSA используется команда vpn rsa-keys generate <имя_ключа> [bits <размер>]. Далее, полученное значение <имя_ключа> ключевой пары используется для данного параметра. Указание значения является обязательным при использовании аутентификации на основе криптосистемы RSA (authentication method plain-rsa).
method метод
Указание режима аутентификации, используемого для данного туннеля. Поддерживаются следующие значения:
- pre-shared-key: Использование предварительных ключей для аутентификации.
- plain-rsa: Использование криптосистемы RSA для аутентификации.
- x509/x509-zstv: Использование инфраструктуры открытых ключей (PKI) для аутентификации.
peer-id id
Идентификационные данные удаленного узла VPN. Значение указывается в следующем формате: @идентификатор. Аутентификация на основе идентификационных данных используется в том случае, если узел VPN имеет динамический адрес.
peer-key имя
Имя открытого ключа RSA удаленного узла VPN. Для записи в систему открытого ключа RSA удаленного узла используется команда vpn rsa-keys import <имя_ключа> from <имя_файла>. Далее, импортированное значение <имя_ключа> открытого ключа используется для данного параметра. Указание значения для данного параметра является обязательным при использовании аутентификации на основе криптосистемы RSA (authentication method plain-rsa).
pre-shared-key ключ
Обязательный, если в качестве режима аутентификации установлен режим pre-shared-key; в остальных случаях игнорируется. Указание предварительного ключа, используемого для аутентификации удаленного узла.
verify-id режим
Обязательный. Параметр может принимать значение on или off, что позволяет включить или выключить проверку ID удаленного узла IPSec.
x509-cert имя_сертификата
Имя сертификата X.509 локального узла VPN. Указание значения для данного параметра является обязательным при использовании аутентификации на основе криптосистемы RSA (authentication method x509).
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания сведений, необходимых для аутентификации.
Форма set данной команды используется для указания сведений аутентификации.
Форма delete данной команды используется для удаления настройки аутентификации для узла IPSec.
Форма show данной команды используется для отображения настройки аутентификации для узла IPSec.
vpn ipsec site-to-site peer <туннель> ah-group <имя_группы>#
Указание группы AH, используемой для данного туннеля.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
имя_группы
Обязательный. Указание поименованной настройки AH, которая будет использована для данного туннеля. Группа AH должна быть заранее определена с использованием команды vpn ipsec ah-group <имя_группы>.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы AH, которая будет использована для указанного туннеля.
Форма set данной команды используется для указания группы AH.
Форма delete данной команды используется для удаления настройки группы AH, используемой для указанного туннеля.
Форма show данной команды используется для отображения настройки используемой группы AH.
vpn ipsec site-to-site peer <туннель> esp-group <имя_группы>#
Указание группы ESP, используемой для данного туннеля.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
имя_группы
Обязательный. Указание поименованной настройки ESP, которая будет использована для данного туннеля. Группа ESP должна быть заранее определена с использованием команды vpn ipsec esp-group <имя_группы>.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы ESP, которая будет использована для указанного туннеля.
Форма set данной команды используется для указания группы ESP.
Форма delete данной команды используется для удаления настройки группы ESP, используемой для указанного туннеля.
Форма show данной команды используется для отображения настройки используемой группы ESP.
vpn ipsec site-to-site peer <туннель> ike-group <имя_группы>#
Указание поименованной настройки IKE, которая будет использована при подключении к данному узлу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
имя_uруппы
Обязательный. Поименованная настройка IKE, используемая для данного туннеля. Настройка IKE должна быть заранее определена при помощи команды vpn ipsec ike-group <имя_группы>.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания поименованной настройки IKE (группы IKE), используемой для данного туннеля.
Форма set используется для указания группы IKE.
Форма delete данной команды используется для удаления настройки группы IKE.
Форма show данной команды используется для отображения настройки группы IKE.
vpn ipsec site-to-site peer <туннель> local-ip <ipv4-адрес>#
Указание локального IP-адреса, который будет использоваться в качестве IP-адреса отправителя для пакетов, предназначенных удаленному узлу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
ipv4-адрес
Обязательный. Локальный IP-адрес, используемый в качестве IP-адреса отправителя для пакетов, предназначенных удаленному узлу.
Также следует учесть:
- Если в целях повышения надежности и отказоустойчивости используется кластеризация, в качестве значения для параметра
local-ipдолжен быть указан IP-адрес кластера, а не IP-адрес, назначенный физическому интерфейсу. - В остальных случаях в качестве значения для параметра
local-ipдолжен быть указан IP-адрес, назначенный физическому интерфейсу. - В том случае если локальный узел имеет динамический IP-адрес значение для параметра
local-ipне указывается, при этом с помощью командыvpn ipsec site-to-site peer <туннель> authenticationдолжны быть указаны идентификационные данные.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания локального IP-адреса, используемого в качестве IP-адреса пакетов, предназначенных для удаленного узла.
В том случае если локальный узел имеет динамический IP-адрес, параметр local-ip не используется, в этом случае должны быть указаны идентификационные данные при помощи команды vpn ipsec site-to-site peer <туннель> authentication.
Форма set данной команды используется для указания локального IP-адреса, используемого в качестве адреса отправителя для пакетов, предназначенных удаленному узлу.
Форма delete данной команды используется для удаления настройки локального IP-адреса.
Форма show данной команды используется для настройки локального IP-адреса.
vpn ipsec site-to-site peer <туннель> remote-ip <ipv4-адрес>#
Указание IP-адреса удаленного шлюза.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
ipv4-адрес
Обязательный. IP-адрес удаленного шлюза VPN.
Также следует учесть:
- Если в целях повышения надежности и отказоустойчивости используется кластеризация, в качестве значения для параметра
remote-ipдолжен быть указан IP-адрес кластера, а не IP-адрес, назначенный физическому интерфейсу. - В остальных случаях в качестве значения для параметра
remote-ipдолжен быть указан IP-адрес удаленного узла VPN. - В том случае если удаленный узел имеет динамический IP-адрес значение для параметра
remote-ipне указывается, при этом с помощью командыvpn ipsec site-to-site peer <туннель> authenticationдолжны быть указаны идентификационные данные удаленного узла.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания IP-адреса удаленного шлюза. В том случае если удаленный узел VPN имеет динамический IP-адрес, параметр remote-ip не используется, при этом должны быть настроены идентификационные данные удаленного узла при помощи команды vpn ipsec site-to-site peer <туннель> authentication.
Форма set данной команды используется для указания IP-адреса удаленного шлюза VPN.
Форма delete данной команды используется для удаления настройки IP-адреса удаленного шлюза VPN.
Форма show данной команды используется для отображения настройки IP-адреса удаленного шлюза VPN.
vpn ipsec site-to-site peer <туннель> local-subnet <ipv4-сеть>#
Указание локальной подсети, к которой удаленный шлюз VPN будет иметь доступ.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
ipv4-сеть
Обязательный. IP-адрес локальной сети, расположенной за локальным шлюзом VPN, к которой будет иметь доступ удаленный шлюз VPN. Используемый формат: ip-адрес/префикс. Адрес сети 0.0.0.0/0 означает любую сеть.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания IP-адреса локальной подсети, к которой будет иметь доступ удаленный шлюз VPN.
Форма set данной команды используется для указания IP-адреса локальной подсети.
Форма delete данной команды используется для удаления настройки IP-адреса локальной подсети.
Форма show данной команды используется для отображения настройки IP-адреса локальной подсети.
vpn ipsec site-to-site peer <туннель> remote-subnet <ipv4-сеть>#
Указание удаленной подсети, расположенной за удаленным шлюзом VPN, к которой будет иметь доступ локальная система Numa Edge.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
ipv4-сеть
Обязательный. IP-адрес удаленной подсети, расположенной за удаленным шлюзом VPN, к которой будет иметь доступ локальный шлюз VPN. Используемый формат: ip-адрес/префикс. Адрес сети 0.0.0.0/0 означает любую сеть.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания IP-адреса удаленной подсети, расположенной за удаленным шлюзом VPN, к которой будет иметь доступ локальный шлюз VPN.
Форма set данной команды используется для указания IP-адреса удаленной подсети.
Форма delete данной команды используется для удаления настройки IP-адреса удаленной подсети.
Форма show данной команды используется для отображения настройки IP-адреса удаленной подсети.
vpn ipsec site-to-site peer <туннель> nat-traversal <состояние>#
Определение использования локальным шлюзом VPN технологии NAT-T.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
туннель
Обязательный. Название туннеля к удаленному узлу IPSec.
состояние
Включение/отключение NAT-T (RFC 3947). Поддерживаются следующие значения:
- on: включение функциональности NAT-T, в том случае если между узлами будет обнаружен шлюз, обеспечивающий преобразование сетевых адресов.
- off: отключение функциональности NAT-T.
- force: включение функциональности NAT-T, вне зависимости от того, будет ли между узлами обнаружен шлюз, обеспечивающий преобразование сетевых адресов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать системе Numa Edge предлагать использование NAT-T (RFC 3947) при согласовании IKE.
Форма set данной команды позволяет указать, следует ли предлагать использование механизма NAT-T при согласовании IKE.
Форма delete данной команды используется для удаления настройки.
Форма show данной команды используется для отображения настройки.
clear vpn ipsec-peer <туннель>#
Перезапуск туннеля к указанному узлу IPSec.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
туннель
Название туннеля к узлу IPSec, который требуется перезапустить.
Указания по использованию#
Данная команда используется для перезапуска туннеля IPSec. Перезапуск туннеля IPSec приведет к тому, что туннель будет закрыт и установлен заново.
В том случае если не указан адрес удаленного узла (remote-ip) (в том случае если удаленный узел имеет динамический адрес), туннель будет закрыт, но новое подключение не будет инициировано.
clear vpn ipsec-process#
Перезапуск процесса IPSec.
Синтаксис#
clear vpn ipsec-process
Режим интерфейса#
Эксплуатационный режим.
Параметры#
Отсутствуют.
Указания по использованию#
Данная команда используется для перезапуска процесса IPSec. Перезапуск IPSec приведет к тому, что все туннели будут закрыты и установлены заново.
show vpn ike rsa-keys#
Отображение ключей RSA, о которых есть запись в системе.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
Отсутствуют.
Указания по использованию#
Данная команда используется для отображения всех открытых ключей RSA, о которых есть записи в системе. То есть, при выполнении этой команды, будет выведен открытый ключ локальной системы, а также указанные открытые ключи других узлов VPN.
Примеры#
В примере ниже приведен вывод для команды show vpn ike rsa-keys, в котором отображены открытые ключи, о которых есть записи на узле V1:
- выведен открытый ключ локальной системы, при этом секретный ключ локальной системы не выводится;
- выведен открытый ключ узла V2.
show vpn ike sa#
Вывод сведений обо всех активных в данный момент защищенных соединениях IKE (ISAKMP).
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
туннель
Название туннеля к узлу IPSec, для которого требуется вывести сведения IKE SA.
Для каждого узла будет существовать максимум одно защищенное соединение IKE SA (за исключением случая с согласованием нового ключа).
Указания по использованию#
Данная команда используется для вывода сведений о защищенных соединениях IKE (SA).
Данная команда выводит список узлов VPN и текущее состояние IKE. Выводятся следующие сведения:
- IP-адреса, используемые для IPSec на локальном и удаленном шлюзах VPN.
- Состояние подключения.
- Алгоритм шифрования.
- Алгоритм хеширования.
- Количество времени, в течение которого подключение активно.
- Установленное время жизни для защищенного соединения (SA).
- Используется ли NAT-T (RFC 3947 NAT Traversal).
Примеры#
В примере ниже приведен вывод команды show vpn ike sa.
show vpn ike secrets#
Вывод настроенных предварительных ключей.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
Отсутствуют.
Указания по использованию#
Данная команда используется для вывода настроенных в системе предварительных ключей. Выводится следующие сведения:
- Локальный IP-адрес
- IP-адрес узла.
- Предварительный ключ.
Примеры#
В примере ниже приведен вывод команды show vpn ike secrets.
show vpn ipsec sa#
Вывод сведений обо всех активных в данный момент защищенных соединениях IPSec.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
туннель
Вывод всех защищенных соединений IPSec SA, ассоциированных с указанным туннелем к узлу IPSec.
Указания по использованию#
Данная команда используется для отображения сведений об удаленном узле VPN и активных защищенных соединениях IPSec (SA).
Выводятся следующие сведения:
- IP-адрес удаленного шлюза VPN.
- Направление SA.
- SPI подключения.
- Алгоритм шифрования.
- Алгоритм хеширования.
- Установленное время жизни для защищенного соединения (SA).
Примеры#
В примере ниже приведен вывод для команды show vpn ipsec sa.
show vpn ipsec status#
Вывод сведений о состоянии процессов IPSec.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
Отсутствуют.
Указания по использованию#
Данная команда используется для отображения сведений о состоянии процессов IPSec. Также выводится количество активных туннелей.
Примеры#
В примере ниже приведен вывод для команды show vpn ipsec status.
vpn rsa-keys delete <имя_ключа>#
Удаление ключевой пары RSA из системного хранилища.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_ключа
Обязательный. Имя ключевой пары RSA, который будет удален.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для удаления файла, содержащего ключевую пару RSA. Данная команда доступна только для пользователей, обладающих правами администратора. Удалять ключи, используемые в конфигурации, запрещено.
vpn rsa-keys export <имя_ключа> to <имя_файла>#
Экспорт открытого ключа из ключевой пары, используемого на другом устройстве для установки соединения.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_ключа
Обязательный. Имя ключевой пары RSA, которая находится в системном хранилище ключей.
имя_файла
Обязательный. Имя локального или удалённого файла. Задает имя для открытого ключа RSA, который будет создан после экспорта из системного хранилища ключей. Допустимые значения:
- <filename> - имя локального или удаленного файла;
- <ftp://user@host/file> - имя локального или удаленного файла;
- <scp://user@host/file> - имя локального или удаленного файла;
- <tftp://host/file> - имя локального или удаленного файла.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для экспорта файла, содержащего открытый ключ RSA, и который используется при применении механизма безопасности с использованием ассиметричной криптографии. Данная команда доступна только для пользователей, обладающих правами администратора.
vpn rsa-keys generate <имя_ключа> [bits <размер>]#
Генерация файла, содержащего ключевую пару RSA.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_файла
Обязательный. Имя ключевой пары RSA, которая будет создана.
размер
Указание размера генерируемых ключей в битах. Доступный диапазон <1024-16384>. Значение по умолчанию 2192.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для создания файла, содержащего ключевую пару RSA, и который используется при применении механизма безопасности с использованием ассиметричной криптографии. После выполнения данной команды создается файл, содержащий открытый и закрытый RSA ключи указанного размера. Данный файл хранится в системном хранилище ключей, в каталоге /var/lib/edge/ipsec/. Данная команда доступна только для пользователей, обладающих правами администратора.
vpn rsa-keys import <имя_ключа> from <имя_файла>#
Импорт открытого ключа RSA в системное хранилище.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_ключа
Обязательный. Имя открытого ключа RSA, который будет импортирован.
имя_файла
Обязательный. Имя локального или удалённого файла. Задает расположение открытого ключа RSA, который будет импортирован в системное хранилище ключей. Допустимые значения:
- <filename> - имя локального или удаленного файла;
- <ftp://user@host/file> - имя локального или удаленного файла;
- <scp://user@host/file> - имя локального или удаленного файла;
- <tftp://host/file> - имя локального или удаленного файла.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для импорта файла, содержащего открытый RSA ключ, и который используется при применении механизма безопасности с использованием ассиметричной криптографии. Данная команда доступна только для пользователей, обладающих правами администратора.
vpn rsa-keys list#
Просмотр файлов RSA ключей в системном хранилище.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
Отсутствуют.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для просмотра RSA ключей, находящихся в системном хранилище.