跳过标题
 

若要显示或指定加密密钥自动交换设置,使用“ipsec ike”命令。

显示当前设置

msh> ipsec ike {1|2|3|4|default}

  • 若要显示设置1-4,请指定编号[1-4]。

  • 若要显示默认设置,请指定[default]。

  • 不指定任何值会显示全部设置。

禁用设置

msh> ipsec ike {1|2|3|4|default} disable

  • 若要禁用设置1-4,请指定编号[1-4]。

  • 若要禁用默认设置,请指定[default]。

指定用户专有的本地地址/远程地址。

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • 输入设置编号[1-4]中的一个编号和地址类型以指定本地和远程地址。

  • 若要设置本地或远程地址值,设置IPv4地址时,通过输入[/]和0到32之间的一个整数来指定masklen。设置IPv6地址时,通过输入[/]和0到128之间的一个整数来指定masklen。

  • 不指定地址值会显示当前设置。

指定默认设置的地址类型

msh> ipsec ike default {ipv4|ipv6|any}

  • 指定默认设置的地址类型。

  • 若要指定IPv4和IPv6,输入[any]。

安全策略设置

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定在所选设置中指定的地址的安全策略。

  • 若要将IPsec应用到相关包,指定[apply]。不想应用IPsec,指定[bypass]。

  • 如果指定[discard],则可以应用IPsec的任何包都将被丢弃。

  • 不指定安全策略会显示当前设置。

安全协议设置

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • 输入设置编号[1-4]中的一个编号或输入[default]并指定安全协议。

  • 若要指定AH,请输入[ah]。若要指定ESP,请输入[esp]。若要指定AH和ESP,请输入[dual]。

  • 不指定协议会显示当前设置。

IPsec要求等级设置

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • 输入设置编号[1-4]中的一个编号或输入[default]并指定IPsec需求等级。

  • 如果指定[require],当无法使用IPsec时数据将不会被传送。如果指定[use],当无法使用IPsec时数据将被正常发送。可以使用IPsec时,会执行IPsec传送。

  • 不指定要求等级会显示当前设置。

封装模式设置

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • 输入设置编号[1-4]中的一个编号或输入[default]并指定封装模式。

  • 若要指定传输模式,请输入[transport]。若要指定通道模式,请输入[tunnel]。

  • 如果已经在默认设置中将地址类型设置为[any],则不能在封装模式中使用[tunnel]。

  • 不指定封装模式会显示当前设置。

通道端点设置

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • 输入设置编号[1-4]中的一个编号或输入[default]并指定通道端点的起始和结束IP地址。

  • 不指定起始或结束地址会显示当前设置。

IKE合作验证方法设置

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • 输入设置编号[1-4]中的一个编号或输入[default]并指定验证方法。

  • 指定[psk]以使用共享密钥作为验证方法。指定[rsasig]以使用证书作为验证方法。

  • 选择[psk]时,还必须指定PSK字符串。

  • 请注意,如果选择“证书”,则必须先安装并指定IPsec的证书,然后才能使用它。要安装和指定证书,使用Web Image Monitor。

PSK字符串设置

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • 如果选择PSK作为验证方法,输入设置编号[1-4]中的一个编号或输入[default]并指定PSK字符串。

  • 指定ASCII字符形式的字符串。其中不能包含任何缩写词。

ISAKMP SA(阶段1)散列算法设置

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定ISAKMP SA(阶段1)散列算法。

  • 不指定散列算法会显示当前设置。

ISAKMP SA(阶段1)加密算法设置

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定ISAKMP SA(阶段1)加密算法。

  • 不指定加密算法会显示当前设置。

ISAKMP SA(阶段1)Diffie-Hellman群组设置

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定ISAKMP SA(阶段1)Diffie-Hellman群组号。

  • 指定要使用的群组号。

  • 不指定群组号会显示当前设置。

ISAKMP SA(阶段1)有效期设置

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定ISAKMP SA(阶段1)有效期。

  • 输入有效期(秒),范围从300到172800。

  • 不指定有效期会显示当前设置。

IPsec SA(阶段2)验证算法设置

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定IPsec SA(阶段2)验证算法。

  • 用逗号(,)分隔多个加密算法条目。当前设置值会以最高优先级顺序显示。

  • 不指定验证算法会显示当前设置。

IPsec SA(阶段2)加密算法设置

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定IPsec SA(阶段2)加密算法。

  • 用逗号(,)分隔多个加密算法条目。当前设置值会以最高优先级顺序显示。

  • 不指定加密算法会显示当前设置。

IPsec SA(阶段2)PFS设置

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定IPsec SA(阶段2)Diffie-Hellman群组数。

  • 指定要使用的群组号。

  • 不指定群组号会显示当前设置。

IPsec SA(阶段2)有效期设置

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • 输入设置编号[1-4]中的一个编号或输入[default],并指定IPsec SA(阶段2)有效期。

  • 输入有效期(秒),范围从300到172800。

  • 不指定有效期会显示当前设置。

重置设置值

msh> ipsec ike {1|2|3|4|default|all} clear

  • 输入设置编号[1-4]中的一个编号或输入[default]并重设指定的设置。指定[all]重置所有设置,包括默认值。

上一个下一个