若要顯示或指定加密金鑰自動交換設定,請使用「ipsec ike」命令。
顯示目前設定
msh> ipsec ike {1|2|3|4|default}
若要顯示設定1-4,請指定編號[1-4]。
若要顯示預設設定,請指定[default]。
若不指定任何值,將會顯示全部設定。
停用設定
msh> ipsec ike {1|2|3|4|default} disable
若要停用設定1-4,請指定編號[1-4]。
若要停用預設設定,請指定[default]。
指定設定1-4的本機/遠端位址
msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"
輸入不同的設定編號[1-4]及位址類型,以指定本機位址及遠端位址。
若要設定本機或遠端位址值,且要設定IPv4位址,請輸入[/]及整數0-32來指定masklen。指定IPv6位址時,請輸入[/]及整數0-128來指定masklen。
若不指定位址值,將會顯示目前的設定。
指定預設設定中的位址種類
msh> ipsec ike default {ipv4|ipv6|any}
指定預設設定的位址種類。
若要指定IPv4及IPv6兩者,請輸入[any]。
安全性原則設定
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
輸入不同的設定編號[1-4]或[default],並對所選設定中指定的位址指定安全性原則。
若要將IPsec套用到相關的封包,請指定[apply]。若不套用IPsec,請指定[bypass]。
如果要指定[discard],任何可套用IPsec的封包都會被丟棄。
若不指定安全性原則,將會顯示目前的設定。
安全性通訊協定設定
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
輸入不同的設定編號[1-4]或[default],並指定安全性通訊協定。
若要指定AH,請輸入[ah]。若要指定ESP,請輸入[esp]。若要指定AH和ESP,請輸入[dual]。
若不指定通訊協定,將會顯示目前的設定。
IPsec要求等級設定
msh> ipsec ike {1|2|3|4|default} level {require|use}
輸入不同的設定編號[1-4]或[default],並指定IPsec要求等級。
如果要指定[require],無法使用IPsec時,即無法傳送資料。如果要指定[use],無法使用IPsec時,將正常傳送資料。當可以使用IPsec時,即會執行IPsec傳送。
若不指定要求等級,將會顯示目前的設定。
封裝模式設定
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
輸入不同的設定編號[1-4]或[default],並指定封裝模式。
若要指定傳輸模式,請輸入[transport]。若要指定通道模式,請輸入[tunnel]。
如果預設設定中的位址種類設為[any],便無法在封裝模式中使用[tunnel]。
若不指定封裝模式,將會顯示目前的設定。
通道端點設定
msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"
輸入不同的設定編號[1-4]或[default],並指定通道端點的開始IP位址及結束IP位址。
不指定開始或結束位址,則會顯示目前的設定。
IKE夥伴驗證方式設定
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
輸入不同的設定編號[1-4]或[default],並指定驗證方式。
指定[psk],以使用共用金鑰作為驗證方式。指定[rsasig],以使用憑證當作驗證方式。
選擇[psk]時,還必須指定PSK字串。
請注意,如果選擇「憑證」,則IPsec的憑證必須在安裝及指定後才能使用。若要安裝及指定憑證,請使用Web Image Monitor。
PSK字元字串設定
msh> ipsec ike {1|2|3|4|default} psk "PSK character string"
如果選擇PSK當作驗證方法,請輸入不同的設定編號[1-4]或[default],並指定PSK字元字串。
請以ASCII字元指定該字元字串。不能有縮寫。
ISAKMP SA(階段1)Hash演算法設定
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)Hash演算法。
若不指定Hash演算法,將會顯示目前的設定。
ISAKMP SA(階段1)加密演算法設定
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)加密演算法。
若不指定加密演算法,將會顯示目前的設定。
ISAKMP SA(階段1)Diffie-Hellman群組設定
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)Diffie-Hellman群組編號。
指定要使用的群組編號。
若不指定群組編號,將會顯示目前的設定。
ISAKMP SA(階段1)有效期間設定
msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"
輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)有效期間。
輸入300到172800的有效期間(以秒為單位)。
若不指定有效期間,將會顯示目前的設定。
IPsec SA(階段2)驗證演算法設定
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)驗證演算法。
以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。
若不指定驗證演算法,將會顯示目前的設定。
IPsec SA(階段2)加密演算法設定
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)加密演算法。
以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。
若不指定加密演算法,將會顯示目前的設定。
IPsec SA(階段2)PFS設定
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)Diffie-Hellman群組編號。
指定要使用的群組編號。
若不指定群組編號,將會顯示目前的設定。
IPsec SA(階段2)有效期間設定
msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"
輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)有效期間。
輸入300到172800的有效期間(以秒為單位)。
若不指定有效期間,將會顯示目前的設定。
重設設定值
msh> ipsec ike {1|2|3|4|default|all} clear
輸入不同的設定編號[1-4]或[default],並重設指定的設定。指定[all]會重設所有設定,包括預設值。