Pomiń nagłówek
 

Aby wyświetlić lub określić ustawienia automatycznej wymiany klucza szyfrowania, użyj polecenia „ipsec ike”.

Wyświetl aktualne ustawienia

msh> ipsec ike {1|2|3|4|default}

  • Aby wyświetlić ustawienia 1-4, podaj numer [1-4].

  • Aby wyświetlić ustawienie domyślne, określ [default].

  • Jeśli żadna wartość nie zostanie określona, zostaną wyświetlone wszystkie ustawienia.

Wyłącz ustawienia

msh> ipsec ike {1|2|3|4|default} disable

  • Aby wyłączyć ustawienia 1-4, podaj numer [1-4].

  • Aby wyłączyć ustawienia domyślne, określ [default].

Określ adres lokalny/ zdalny użytkownika.

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • Wprowadź indywidualny numer ustawienia [1-4] oraz typ adresu, aby określić adres lokalny i zdalny.

  • Aby podać adres lokalny lub zdalny IPv4, wprowadź argument masklen wpisując znak [/] i liczbę całkowitą 0-32. Jeśli podajesz adres IPv6, wprowadź argument masklen wpisując znak [/] i liczbę całkowitą 0-128.

  • Brak określenia wartości adresu powoduje wyświetlenie aktualnego ustawienia.

Określ typ adresu w ustawieniach domyślnych

msh> ipsec ike default {ipv4|ipv6|any}

  • Określ typ adresu dla ustawień domyślnych.

  • Aby określić zarówno adres IPv4, jak i IPv6, wprowadź [any].

Ustawienie zasad ochrony

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i podaj zasady zabezpieczeń dla adresu określonego w wybranym ustawieniu.

  • Aby zastosować IPsec do odpowiednich pakietów, wybierz [apply]. Aby nie stosować IPsec, wybierz [bypass].

  • Podanie opcji [discard] powoduje odrzucanie wszystkich pakietów, do których można zastosować protokół IPsec.

  • Brak określenia zasad ochrony powoduje wyświetlenie aktualnego ustawienia.

Ustawienie protokołu ochrony

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ protokół ochrony.

  • Aby określić AH, wpisz [ah]. Aby określić ESP, wpisz [esp]. Aby określić AH i ESP, wpisz [dual].

  • Brak określenia protokołu powoduje wyświetlenie aktualnego ustawienia.

Ustawienie poziomu wymagania IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ poziom wymagań protokołu IPsec.

  • Jeśli wybierzesz [require], dane nie będą transmitowane jeśli IPsec nie może być użyty. Jeśli wybierzesz opcję [use], dane będą wysyłane normalnie nawet jeśli nie można użyć IPsec. Jeśli IPsec będzie mógł być użyty, przeprowadzona zostanie transmisja IPsec.

  • Brak określenia poziomu wymagania powoduje wyświetlenie aktualnego ustawienia.

Ustawienie trybu zwięzłego

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ tryb enkapsulacji.

  • Aby określić tryb transportu, wpisz [transport]. Aby wybrać tryb tunelowania, wpisz [tunnel].

  • Jeśli w ustawieniach domyślnych dla typu adresu ustawiono [any], nie można użyć opcji [tunnel] w trybie zwięzłym.

  • Brak określenia trybu zwięzłego powoduje wyświetlenie aktualnego ustawienia.

Ustawienie punktu końcowego tunelu

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ początkowy i końcowy adres IP punktu końcowego tunelu.

  • Brak określenia adresu początkowego lub końcowego powoduje wyświetlenie aktualnego ustawienia.

Ustawienie metody autoryzacji partnera IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ metodę autoryzacji.

  • Wybierz [psk] aby użyć współdzielonego klucza jako metody autoryzacji. Wybierz [rsasig] aby użyć certyfikatu jako metody autoryzacji.

  • Przy wyborze [psk] należy również określić ciąg znaków PSK.

  • Należy pamiętać o tym, że w przypadku wyboru opcji "Certyfikat" przed jego użyciem należy zainstalować i określić certyfikat dla IPsec. Do instalacji i określenia certyfikatu należy użyć programu Web Image Monitor.

Ustawienie ciągu znaków PSK

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • W przypadku wyboru metody autoryzacji kluczem PSK, wprowadź indywidualny numer ustawienia [1-4] lub [default] i podaj ciąg znaków klucza PSK.

  • Określ ciąg znaków ASCII. Ciąg nie może zawierać skrótów.

Ustawienie algorytmu hash ISAKMP SA (faza 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm mieszania (hash) ISAKMP SA (faza 1).

  • Brak określenia algorytmu hash powoduje wyświetlenie aktualnego ustawienia.

Ustawienie algorytmu szyfrowania ISAKMP SA (faza 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm szyfrowania ISAKMP SA (faza 1).

  • Brak określenia algorytmu szyfrowania powoduje wyświetlenie aktualnego ustawienia.

Ustawienie grupy Diffie-Hellman ISAKMP SA (faza 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ numer grupy Diffie-Hellman dla ISAKMP SA (faza 1).

  • Określ numer grupy, który ma być użyty.

  • Brak określenia numeru grupy powoduje wyświetlenie aktualnego ustawienia.

Ustawienie czasu ważności ISAKMP SA (faza 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ okres ważności ISAKMP SA (faza 1).

  • Wprowadź czas ważności (w sekundach) w zakresie od 300 do 172800.

  • Brak określenia czasu ważności powoduje wyświetlenie aktualnego ustawienia.

Ustawienie algorytmu autoryzacji IPsec SA (faza 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm autoryzacji IPsec SA (faza 2).

  • W przypadku wprowadzania kilku algorytmów szyfrowania oddziel je przecinkiem (,). Wartości aktualnego ustawienia zostaną wyświetlone w kolejności od najwyższych priorytetów.

  • Brak określenia algorytmu autoryzacji powoduje wyświetlenie aktualnego ustawienia.

Ustawienie algorytmu szyfrowania IPsec SA (faza 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ algorytm szyfrowania IPsec SA (faza 2).

  • W przypadku wprowadzania kilku algorytmów szyfrowania oddziel je przecinkiem (,). Wartości aktualnego ustawienia zostaną wyświetlone w kolejności od najwyższych priorytetów.

  • Brak określenia algorytmu szyfrowania powoduje wyświetlenie aktualnego ustawienia.

Ustawienie PFS IPsec SA (faza 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ numer grupy Diffie-Hellman dla IPsec SA (faza 2).

  • Określ numer grupy, który ma być użyty.

  • Brak określenia numeru grupy powoduje wyświetlenie aktualnego ustawienia.

Ustawienie czasu ważności IPsec SA (faza 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i określ okres ważności IPsec SA (faza 2).

  • Wprowadź czas ważności (w sekundach) w zakresie od 300 do 172800.

  • Brak określenia czasu ważności powoduje wyświetlenie aktualnego ustawienia.

Resetowanie wartości ustawień

msh> ipsec ike {1|2|3|4|default|all} clear

  • Wprowadź indywidualny numer ustawienia [1-4] lub [default] i wyzeruj określone ustawienie. Wybieranie [all] powoduje wyzerowanie wszystkich ustawień, łącznie z domyślnymi.