Aby wyświetlić lub określić ustawienia automatycznej wymiany klucza szyfrowania, użyj polecenia „ipsec ike”.
Wyświetl aktualne ustawienia
msh> ipsec ike {1|2|3|4|default}
Aby wyświetlić ustawienia 1-4, podaj numer [1-4].
Aby wyświetlić ustawienie domyślne, określ [default].
Jeśli żadna wartość nie zostanie określona, zostaną wyświetlone wszystkie ustawienia.
Wyłącz ustawienia
msh> ipsec ike {1|2|3|4|default} disable
Aby wyłączyć ustawienia 1-4, podaj numer [1-4].
Aby wyłączyć ustawienia domyślne, określ [default].
Określ adres lokalny/ zdalny użytkownika.
msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"
Wprowadź indywidualny numer ustawienia [1-4] oraz typ adresu, aby określić adres lokalny i zdalny.
Aby podać adres lokalny lub zdalny IPv4, wprowadź argument masklen wpisując znak [/] i liczbę całkowitą 0-32. Jeśli podajesz adres IPv6, wprowadź argument masklen wpisując znak [/] i liczbę całkowitą 0-128.
Brak określenia wartości adresu powoduje wyświetlenie aktualnego ustawienia.
Określ typ adresu w ustawieniach domyślnych
msh> ipsec ike default {ipv4|ipv6|any}
Określ typ adresu dla ustawień domyślnych.
Aby określić zarówno adres IPv4, jak i IPv6, wprowadź [any].
Ustawienie zasad ochrony
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i podaj zasady zabezpieczeń dla adresu określonego w wybranym ustawieniu.
Aby zastosować IPsec do odpowiednich pakietów, wybierz [apply]. Aby nie stosować IPsec, wybierz [bypass].
Podanie opcji [discard] powoduje odrzucanie wszystkich pakietów, do których można zastosować protokół IPsec.
Brak określenia zasad ochrony powoduje wyświetlenie aktualnego ustawienia.
Ustawienie protokołu ochrony
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ protokół ochrony.
Aby określić AH, wpisz [ah]. Aby określić ESP, wpisz [esp]. Aby określić AH i ESP, wpisz [dual].
Brak określenia protokołu powoduje wyświetlenie aktualnego ustawienia.
Ustawienie poziomu wymagania IPsec
msh> ipsec ike {1|2|3|4|default} level {require|use}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ poziom wymagań protokołu IPsec.
Jeśli wybierzesz [require], dane nie będą transmitowane jeśli IPsec nie może być użyty. Jeśli wybierzesz opcję [use], dane będą wysyłane normalnie nawet jeśli nie można użyć IPsec. Jeśli IPsec będzie mógł być użyty, przeprowadzona zostanie transmisja IPsec.
Brak określenia poziomu wymagania powoduje wyświetlenie aktualnego ustawienia.
Ustawienie trybu zwięzłego
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ tryb enkapsulacji.
Aby określić tryb transportu, wpisz [transport]. Aby wybrać tryb tunelowania, wpisz [tunnel].
Jeśli w ustawieniach domyślnych dla typu adresu ustawiono [any], nie można użyć opcji [tunnel] w trybie zwięzłym.
Brak określenia trybu zwięzłego powoduje wyświetlenie aktualnego ustawienia.
Ustawienie punktu końcowego tunelu
msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ początkowy i końcowy adres IP punktu końcowego tunelu.
Brak określenia adresu początkowego lub końcowego powoduje wyświetlenie aktualnego ustawienia.
Ustawienie metody autoryzacji partnera IKE
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ metodę autoryzacji.
Wybierz [psk] aby użyć współdzielonego klucza jako metody autoryzacji. Wybierz [rsasig] aby użyć certyfikatu jako metody autoryzacji.
Przy wyborze [psk] należy również określić ciąg znaków PSK.
Należy pamiętać o tym, że w przypadku wyboru opcji "Certyfikat" przed jego użyciem należy zainstalować i określić certyfikat dla IPsec. Do instalacji i określenia certyfikatu należy użyć programu Web Image Monitor.
Ustawienie ciągu znaków PSK
msh> ipsec ike {1|2|3|4|default} psk "PSK character string"
W przypadku wyboru metody autoryzacji kluczem PSK, wprowadź indywidualny numer ustawienia [1-4] lub [default] i podaj ciąg znaków klucza PSK.
Określ ciąg znaków ASCII. Ciąg nie może zawierać skrótów.
Ustawienie algorytmu hash ISAKMP SA (faza 1)
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm mieszania (hash) ISAKMP SA (faza 1).
Brak określenia algorytmu hash powoduje wyświetlenie aktualnego ustawienia.
Ustawienie algorytmu szyfrowania ISAKMP SA (faza 1)
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm szyfrowania ISAKMP SA (faza 1).
Brak określenia algorytmu szyfrowania powoduje wyświetlenie aktualnego ustawienia.
Ustawienie grupy Diffie-Hellman ISAKMP SA (faza 1)
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ numer grupy Diffie-Hellman dla ISAKMP SA (faza 1).
Określ numer grupy, który ma być użyty.
Brak określenia numeru grupy powoduje wyświetlenie aktualnego ustawienia.
Ustawienie czasu ważności ISAKMP SA (faza 1)
msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ okres ważności ISAKMP SA (faza 1).
Wprowadź czas ważności (w sekundach) w zakresie od 300 do 172800.
Brak określenia czasu ważności powoduje wyświetlenie aktualnego ustawienia.
Ustawienie algorytmu autoryzacji IPsec SA (faza 2)
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm autoryzacji IPsec SA (faza 2).
W przypadku wprowadzania kilku algorytmów szyfrowania oddziel je przecinkiem (,). Wartości aktualnego ustawienia zostaną wyświetlone w kolejności od najwyższych priorytetów.
Brak określenia algorytmu autoryzacji powoduje wyświetlenie aktualnego ustawienia.
Ustawienie algorytmu szyfrowania IPsec SA (faza 2)
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm szyfrowania IPsec SA (faza 2).
W przypadku wprowadzania kilku algorytmów szyfrowania oddziel je przecinkiem (,). Wartości aktualnego ustawienia zostaną wyświetlone w kolejności od najwyższych priorytetów.
Brak określenia algorytmu szyfrowania powoduje wyświetlenie aktualnego ustawienia.
Ustawienie PFS IPsec SA (faza 2)
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ numer grupy Diffie-Hellman dla IPsec SA (faza 2).
Określ numer grupy, który ma być użyty.
Brak określenia numeru grupy powoduje wyświetlenie aktualnego ustawienia.
Ustawienie czasu ważności IPsec SA (faza 2)
msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ okres ważności IPsec SA (faza 2).
Wprowadź czas ważności (w sekundach) w zakresie od 300 do 172800.
Brak określenia czasu ważności powoduje wyświetlenie aktualnego ustawienia.
Resetowanie wartości ustawień
msh> ipsec ike {1|2|3|4|default|all} clear
Wprowadź indywidualny numer ustawienia [1-4] lub [default] i wyzeruj określone ustawienie. Wybieranie [all] powoduje wyzerowanie wszystkich ustawień, łącznie z domyślnymi.