略過標頭
 

若要顯示或指定加密金鑰自動交換設定,請使用「ipsec ike」命令。

顯示目前設定

msh> ipsec ike {1|2|3|4|default}

  • 若要顯示設定1-4,請指定編號[1-4]。

  • 若要顯示預設設定,請指定[default]。

  • 若不指定任何值,將會顯示全部設定。

停用設定

msh> ipsec ike {1|2|3|4|default} disable

  • 若要停用設定1-4,請指定編號[1-4]。

  • 若要停用預設設定,請指定[default]。

指定使用者特定的本機位址/遠端位址。

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • 輸入不同的設定編號[1-4]及位址類型,以指定本機位址及遠端位址。

  • 若要設定本機或遠端位址值,且要設定IPv4位址,請輸入[/]及整數0-32來指定masklen。指定IPv6位址時,請輸入[/]及整數0-128來指定masklen。

  • 若不指定位址值,將會顯示目前的設定。

指定預設設定中的位址種類

msh> ipsec ike default {ipv4|ipv6|any}

  • 指定預設設定的位址種類。

  • 若要指定IPv4及IPv6兩者,請輸入[any]。

安全性原則設定

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • 輸入不同的設定編號[1-4]或[default],並對所選設定中指定的位址指定安全性原則。

  • 若要將IPsec套用到相關的封包,請指定[apply]。若不套用IPsec,請指定[bypass]。

  • 如果要指定[discard],任何可套用IPsec的封包都會被丟棄。

  • 若不指定安全性原則,將會顯示目前的設定。

安全性通訊協定設定

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • 輸入不同的設定編號[1-4]或[default],並指定安全性通訊協定。

  • 若要指定AH,請輸入[ah]。若要指定ESP,請輸入[esp]。若要指定AH和ESP,請輸入[dual]。

  • 若不指定通訊協定,將會顯示目前的設定。

IPsec要求等級設定

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • 輸入不同的設定編號[1-4]或[default],並指定IPsec要求等級。

  • 如果要指定[require],無法使用IPsec時,即無法傳送資料。如果要指定[use],無法使用IPsec時,將正常傳送資料。當可以使用IPsec時,即會執行IPsec傳送。

  • 若不指定要求等級,將會顯示目前的設定。

封裝模式設定

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • 輸入不同的設定編號[1-4]或[default],並指定封裝模式。

  • 若要指定傳輸模式,請輸入[transport]。若要指定通道模式,請輸入[tunnel]。

  • 如果預設設定中的位址種類設為[any],便無法在封裝模式中使用[tunnel]。

  • 若不指定封裝模式,將會顯示目前的設定。

通道端點設定

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • 輸入不同的設定編號[1-4]或[default],並指定通道端點的開始IP位址及結束IP位址。

  • 不指定開始或結束位址,則會顯示目前的設定。

IKE夥伴驗證方式設定

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • 輸入不同的設定編號[1-4]或[default],並指定驗證方式。

  • 指定[psk],以使用共用金鑰作為驗證方式。指定[rsasig],以使用憑證當作驗證方式。

  • 選擇[psk]時,還必須指定PSK字串。

  • 請注意,如果選擇「憑證」,則IPsec的憑證必須在安裝及指定後才能使用。若要安裝及指定憑證,請使用Web Image Monitor。

PSK字元字串設定

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • 如果選擇PSK當作驗證方法,請輸入不同的設定編號[1-4]或[default],並指定PSK字元字串。

  • 請以ASCII字元指定該字元字串。不能有縮寫。

ISAKMP SA(階段1)Hash演算法設定

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • 輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)Hash演算法。

  • 若不指定Hash演算法,將會顯示目前的設定。

ISAKMP SA(階段1)加密演算法設定

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • 輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)加密演算法。

  • 若不指定加密演算法,將會顯示目前的設定。

ISAKMP SA(階段1)Diffie-Hellman群組設定

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • 輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)Diffie-Hellman群組編號。

  • 指定要使用的群組編號。

  • 若不指定群組編號,將會顯示目前的設定。

ISAKMP SA(階段1)有效期間設定

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • 輸入不同的設定編號[1-4]或[default],並指定ISAKMP SA(階段1)有效期間。

  • 輸入300到172800的有效期間(以秒為單位)。

  • 若不指定有效期間,將會顯示目前的設定。

IPsec SA(階段2)驗證演算法設定

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • 輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)驗證演算法。

  • 以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。

  • 若不指定驗證演算法,將會顯示目前的設定。

IPsec SA(階段2)加密演算法設定

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • 輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)加密演算法。

  • 以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。

  • 若不指定加密演算法,將會顯示目前的設定。

IPsec SA(階段2)PFS設定

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • 輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)Diffie-Hellman群組編號。

  • 指定要使用的群組編號。

  • 若不指定群組編號,將會顯示目前的設定。

IPsec SA(階段2)有效期間設定

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • 輸入不同的設定編號[1-4]或[default],並指定IPsec SA(階段2)有效期間。

  • 輸入300到172800的有效期間(以秒為單位)。

  • 若不指定有效期間,將會顯示目前的設定。

重設設定值

msh> ipsec ike {1|2|3|4|default|all} clear

  • 輸入不同的設定編號[1-4]或[default],並重設指定的設定。指定[all]會重設所有設定,包括預設值。