Пропустить заголовок
 

Для отображения или настройки параметров автообмена ключами шифрования используйте команду "ipsec ike".

Отображение текущих настроек

msh> ipsec ike {1|2|3|4|default}

  • Для отображения настроек 1-4 укажите число [1-4].

  • Для отображения настроек по умолчанию укажите [default].

  • При отсутствии конкретной настройки отображаются все настройки.

Выключение настроек

msh> ipsec ike {1|2|3|4|default} disable

  • Для выключения настроек 1-4 укажите число [1-4].

  • Для выключения настроек по умолчанию укажите [default].

Укажите локальный/удаленный адрес для настроек 1-4

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • Введите отдельно номер настройки [1-4], и тип адреса, чтобы указать локальный и удаленный адреса.

  • При настройках IPv4-адреса для ввода локального или удаленного адреса укажите masklen вводом [/] и целого числа 0-32. При настройках IPv6-адреса укажите masklen вводом [/] и целого числа от 0 до 128.

  • При отсутствии конкретного значения адреса отображаются текущие настройки.

Ввод типа адреса в настройке по умолчанию

msh> ipsec ike default {ipv4|ipv6|any}

  • Укажите тип адреса для настройки по умолчанию.

  • Чтобы указать оба типа IPv4 и IPv6, введите [any].

Установка политики безопасности

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • Введите отдельно номер настройки [1-4] или [default] и укажите политику безопасности для адреса, указанного в выбранной настройке.

  • Для применения IPsec к соответствующим пакетам введите [apply]. Для того, чтобы не применять IPsec, введите [bypass].

  • При вводе [discard] снимаются все пакеты, к которым может быть применен IPsec.

  • При отсутствии настройки политики безопасности отображается текущая настройка.

Настройка протокола защиты

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • Введите отдельно номер настройки [1-4] или [default] и укажите протокол безопасности.

  • Чтобы указать AH, введите [ah]. Чтобы указать ESP, введите [esp]. Чтобы указать AH и ESP, введите [dual].

  • При отсутствии указания протокола отображается текущая установка.

Установка уровня требования IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • Введите отдельно номер настройки [1-4] или [default] и укажите уровень требования IPsec.

  • В случае выбора [require] передача данных невозможна, если IPsec недоступен. В случае выбора [use] отправка данных будет выполнена в обычном режиме, если IPsec недоступен. Если IPsec может использоваться, выполняется передача в IPsec.

  • При отсутствии настройки уровня требования отображается текущая установка.

Настройка режима инкапсуляции

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • Введите отдельно номер настройки [1-4] или [default] и укажите режим инкапсуляции.

  • Для установки режима передачи введите [transport]. Для установки режима туннеля введите [tunnel].

  • Если в настройке по умолчанию для типа адреса выбрано [any], использование [tunnel] в режиме инкапсуляции невозможно.

  • При отсутствии настройки режима инкапсуляции отображаются текущие настройки.

Настройка конечной точки туннеля

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • Введите номер отдельной настройки [1-4] или [default] и укажите для конечной точки туннеля начальный и конечный IP-адреса.

  • Если начальный или конечный адрес не указан, отображается текущая настройка.

Настройка метода аутентификации партнера IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • Введите номер отдельной настройки [1-4] или [default] и укажите метод аутентификации.

  • Введите [psk] для использования общего ключа в качестве метода аутентификации. Введите [rsasig] для использования сертификата при методе аутентификации.

  • При выборе [psk] необходимо также указать строку символов PSK.

  • Следует иметь в виду, что если выбран "Сертификат", то перед использованием сертификат необходимо установить. Чтобы установить и указать сертификат, используйте Web Image Monitor.

Установка строки символов PSK

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • Если вы выбираете PSK как метод аутентификации, введите номер отдельной настройки [1-4] или [default] и укажите строку символов PSK.

  • Укажите строку символов ASCII. Сокращения не допускаются.

Настройка алгоритма hash ISAKMP SA (Фаза 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • Введите отдельно номер настройки [1-4] или [default] и укажите хэш-алгоритм ISAKMP SA (Фаза 1).

  • Если хэш-алгоритм не указан, отображается текущая настройка.

Настройка алгоритма шифрования ISAKMP SA (Фаза 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • Введите отдельно номер настройки [1-4] или [default] и укажите алгоритм шифрования ISAKMP SA (Фаза 1).

  • Если алгоритм шифрования не указан, отображается текущая настройка.

Настройка группы Диффи-Хэлмена ISAKMP SA (Фаза 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • Введите отдельно номер настройки [1-4] или [default] и укажите номер группы Диффи-Хэлмана ISAKMP SA (Фаза 1).

  • Укажите номер группы, которая должна использоваться.

  • Если номер группы не указан, отображается текущая настройка.

Настройка периода действия ISAKMP SA (Фаза 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • Введите отдельно номер настройки [1-4] или [default] и укажите период действия ISAKMP SA (Фаза 1).

  • Введите период действия (в секундах) от 300 до 172800.

  • Если период действия не указан, отображается текущая настройка.

Настройка алгоритма идентификации IPsec SA (Фаза 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • Введите отдельно номер настройки [1-4] или [default] и укажите алгоритм аутентификации IPsec SA (Фаза 2).

  • Записи нескольких алгоритмов шифрования разделяются запятой (,). Значения текущей настройки отображаются в порядке высшего приоритета.

  • Если алгоритм аутентификации не указан, отображается текущая настройка.

Настройка алгоритма шифрования IPsec SA (Фаза 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • Введите отдельно номер настройки [1-4] или [default] и укажите алгоритм шифрования IPsec SA (Фаза 2).

  • Записи нескольких алгоритмов шифрования разделяются запятой (,). Значения текущей настройки отображаются в порядке высшего приоритета.

  • Если алгоритм шифрования не указан, отображается текущая настройка.

Настройка PFS IPsec SA (Фаза 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • Введите отдельно номер настройки [1-4] или [default] и укажите номер группы Диффи-Хэлмана IPsec SA (Фаза 2).

  • Укажите номер группы, которая должна использоваться.

  • Если номер группы не указан, отображается текущая настройка.

Настройка периода действия IPsec SA (Фаза 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • Введите отдельно номер настройки [1-4] или [default] и укажите период действия IPsec SA (Фаза 2).

  • Введите период действия (в секундах) от 300 до 172800.

  • Если период действия не указан, отображается текущая настройка.

Сброс значений настройки

msh> ipsec ike {1|2|3|4|default|all} clear

  • Введите номер отдельной настройки [1-4] или [default] и сбросьте выбранную настройку. При выборе [all] сбрасываются все настройки, включая заданные по умолчанию.