K zobrazení nebo zadání automatické výměny nastavení šifrovacího klíče použijte povel "ipsec ike".
Zobrazit aktuální nastavení
msh> ipsec ike {1|2|3|4|default}
K zobrazení nastavení 1-4 zadejte číslo [1-4].
Chcete-li zobrazit výchozí nastavení, zvolte [default].
Pokud nezadáte žádnou hodnotu, zobrazí se všechna nastavení.
Deaktivovat nastavení
msh> ipsec ike {1|2|3|4|default} disable
K deaktivaci nastavení 1-4 zadejte číslo [1-4].
K deaktivaci výchozích nastavení zadejte [default].
Zadejte místní/vzdálenou adresu nastavení 1-4
msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"
Zadejte odděleně číslo nastavení [1-4] a typ adresy pro určení místní nebo vzdálené adresy.
Pokud určujete místní nebo vzdálenou adresu IPv4, zadejte masklen pomocí [/] a celé číslo 0-32. Zadáváte-li adresu IPv6, zadejte masklen pomocí [/] a celé číslo 0-128.
Pokud není zadána hodnota adresy, zobrazí se aktuální nastavení.
Určete typ adresy ve výchozím nastavení
msh> ipsec ike default {ipv4|ipv6|any}
Určete typ adresy pro výchozí nastavení.
Chcete-li zadat IPv4 i IPv6, zadejte [any].
Nastavení bezpečnostní politiky
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete bezpečnostní politiku pro adresu určenou ve zvoleném nastavení.
Chcete-li aplikovat IPsec na určité pakety, zvolte [apply]. V opačném případě zvolte [bypass].
Zadáte-li [discard], budou všechny pakety, kterým lze aplikovat IPsec, vyřazeny.
Pokud nezadáte žádnou bezpečnostní politiku, zobrazí se výchozí nastavení.
Nastavení bezpečnostního protokolu
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete bezpečnostní protokol.
K určení AH zadejte [ah]. K určení ESP zadejte [esp]. K určení AH i ESP zadejte [dual].
Pokud neurčíte protokol, zobrazí se aktuální nastavení.
Nastavení úrovně požadavků IPsec
msh> ipsec ike {1|2|3|4|default} level {require|use}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete úroveň požadavků IPsec.
Pokud zvolíte [require], data nebudou přenášena v případě, že nelze použít IPsec. Pokud zvolíte [use], data budou přenášena i v případě, že nelze použít IPsec. Pokud je možné použít IPsec, bude proveden přenos IPsec.
Pokud neurčíte úroveň požadavku, zobrazí se výchozí nastavení.
Nastavení režimu zapouzdření
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete režim zapouzdření.
K určení režimu přenosu zadejte [transport]. K určení režimu tunelu zadejte [tunnel].
Pokud jste ve výchozím nastavení zadali typ adresy na [any], nemůžete v režimu zapouzdření použít [tunnel].
Pokud nezadáte režim zapouzdření, zobrazí se aktuální nastavení.
Nastavení koncového bodu tunelu
msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete počáteční a závěrečnou IP adresu koncového bodu tunelu.
Pokud neurčíte počáteční ani závěrečnou adresu, zobrazí se aktuální nastavení.
Nastavení metody ověření partnera IKE
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete metodu ověření.
Chcete-li zadat jako ověřovací metodu sdílený klíč, zadejte [psk]. Chcete-li zadat jako ověřovací metodu certifikát, zadejte [rsasig].
Pokud zvolíte [psk], musíte rovněž zadat řetězec znaků PSK.
Zvolíte-li "Certifikát", musí být před použitím nainstalován certifikát IPsec. K instalaci a zadání certifikátu použijte aplikaci Web Image Monitor.
Nastavení řetězce znaků PSK
msh> ipsec ike {1|2|3|4|default} psk "PSK character string"
Pokud zvolíte PSK jako metodu ověření, zadejte odděleně číslo [1-4] nebo [default] a zadejte řetězec znaků PSK.
Zadejte řetězec znaků ASCII. Nepoužívejte zkratky.
Nastavení hešovacího algoritmu ISAKMP SA (fáze 1)
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete hešovací algoritmus ISAKMP SA (fáze 1).
Pokud nezadáte hešovací algoritmus, zobrazí se aktuální nastavení.
Nastavení šifrovacího algoritmu ISAKMP SA (fáze 1)
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete šifrovací algoritmus ISAKMP SA (fáze 1).
Pokud nezadáte šifrovací algoritmus, zobrazí se aktuální nastavení.
Nastavení skupiny Diffie-Hellman ISAKMP SA (fáze 1)
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete číslo skupiny Diffie-Hellman ISAKMP SA (fáze 1).
Určete číslo skupiny, které se má použít.
Pokud neurčíte číslo skupiny, zobrazí se aktuální nastavení.
Nastavení doby platnosti ISAKMP SA (fáze 1)
msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete dobu platnosti ISAKMP SA (fáze 1).
Zadejte dobu platnosti (v sekundách) od 300 do 172800.
Pokud neurčíte dobu platnosti, zobrazí se aktuální nastavení.
Nastavení ověřovacího algoritmu IPsec SA (fáze 2)
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete ověřovací algoritmus IPsec SA (fáze 2).
Oddělte zadané šifrovací algoritmy čárkou (,). Aktuální hodnoty nastavení se zobrazují v pořadí od nejvyšší priority.
Pokud nezadáte ověřovací algoritmus, zobrazí se aktuální nastavení.
Nastavení šifrovacího algoritmu IPsec SA (fáze 2)
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete šifrovací algoritmus IPsec SA (fáze 2).
Oddělte zadané šifrovací algoritmy čárkou (,). Aktuální hodnoty nastavení se zobrazují v pořadí od nejvyšší priority.
Pokud nezadáte šifrovací algoritmus, zobrazí se aktuální nastavení.
Nastavení PFS IPsec SA (fáze 2)
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete číslo skupiny Diffie-Hellman IPsec SA (fáze 2).
Určete číslo skupiny, které se má použít.
Pokud neurčíte číslo skupiny, zobrazí se aktuální nastavení.
Nastavení doby platnosti IPsec SA (fáze 2)
msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"
Zadejte odděleně číslo nastavení [1-4] nebo [default] a určete dobu platnosti IPsec SA (fáze 2).
Zadejte dobu platnosti (v sekundách) od 300 do 172800.
Pokud neurčíte dobu platnosti, zobrazí se aktuální nastavení.
Zrušení hodnot nastavení
msh> ipsec ike {1|2|3|4|default|all} clear
Zadejte odděleně číslo nastavení [1-4] nebo [default] a zrušte dané nastavení. Zadání [all] zruší všechna nastavení, včetně výchozích.