คู่มือการใช้งานและบำรุงรักษาเครื่อง (User Guide)P 501/502

#0088

ก่อนหน้าถัดไป

ipsec ike

หากต้องการแสดงหรือกำหนดการตั้งค่าการแลกคีย์สำหรับเข้ารหัสแบบอัตโนมัติ โปรดใช้คำสั่ง "ipsec ike"

แสดงการตั้งค่าปัจจุบัน

msh> ipsec ike {1|2|3|4|default}

  • หากต้องการแสดงการตั้งค่าแบบที่ 1-4 โปรดระบุหมายเลข [1-4]

  • หากต้องการแสดงการตั้งค่าเริ่มต้น โปรดระบุเป็น [default]

  • หากไม่ระบุค่าใดๆ ระบบจะแสดงการตั้งค่าทั้งหมด

ปิดการตั้งค่า

msh> ipsec ike {1|2|3|4|default} disable

  • หากต้องการปิดการตั้งค่าแบบที่ 1-4 โปรดระบุหมายเลข [1-4]

  • หากต้องการปิดใช้การตั้งค่าเริ่มต้น โปรดระบุ [default]

กำหนดที่อยู่ภายในเครื่อง / ที่อยู่ระยะไกลเฉพาะผู้ใช้

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • ป้อนหมายเลขการตั้งค่า[1-4] และชนิดของที่อยู่ เพื่อกำหนดที่อยู่ภายในเครื่องและที่อยู่ระยะไกล

  • หากต้องการตั้งค่าที่อยู่ภายในเครื่องหรือที่อยู่ระยะไกล โปรดกำหนด masklen โดยป้อน [/] และเลขจำนวนเต็ม 0-32 สำหรับการตั้งค่าที่อยู่ IPv4 สำหรับการตั้งค่าที่อยู่ IPv6 โปรดกำหนด masklen โดยป้อน [/] และเลขจำนวนเต็ม 0-128

  • หากไม่ระบุที่อยู่ ระบบจะแสดงการตั้งค่าปัจจุบัน

กำหนดชนิดของที่อยู่ในการตั้งค่าเริ่มต้น

msh> ipsec ike default {ipv4|ipv6|any}

  • กำหนดชนิดของที่อยู่สำหรับการตั้งค่าเริ่มต้น

  • หากต้องการกำหนดทั้งแบบ IPv4 และ IPv6 โปรดป้อน [any]

การตั้งค่านโยบายความปลอดภัย (Security policy)

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • ป้อนหมายเลขการตั้งค่าแยกกัน [1-4] หรือ [default] แล้วกำหนดนโยบายความปลอดภัยสำหรับที่อยู่ที่กำหนดไว้ในการตั้งค่าที่เลือก

  • หากต้องการนำ IPsec มาใช้กับแพคเก็ตที่เกี่ยวข้อง โปรดระบุเป็น [apply] หากไม่ต้องการใช้ IPsec โปรดระบุเป็น [bypass]

  • หากระบุเป็น [discard] ทุกแพคเก็ตที่สามารถใช้ IPsec จะถูกทิ้ง

  • หากไม่กำหนดนโยบายความปลอดภัย ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าโปรโตคอลที่ปลอดภัย (Security protocol)

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และระบโปรโตรคอลที่ปลอดภัย (security protocol)

  • หากต้องการระบุเป็น AH โปรดป้อน [ah] หากต้องการระบุเป็น ESP โปรดป้อน [esp] หากต้องการระบุเป็น AH และ ESP โปรดป้อน [dual]

  • หากไม่ระบุโปรโตคอล ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าระดับความต้องการใช้ IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดระดับความต้องการใช้ IPsec

  • หากระบุเป็น [require] ระบบจะไม่รับส่งข้อมูลหากไม่สามารถใช้ IPsec ได้ หากระบุเป็น [use] ระบบจะรับส่งข้อมูลตามปกติหากไม่สามารถใช้ IPsec ได้ กรณีที่สามารถใช้ IPsec ระบบจะทำการรับส่งข้อมูลด้วย IPsec

  • หากไม่กำหนดระดับความต้องการดังกล่าว ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าโหมดการห่อหุ้ม (Encapsulation)

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดโหมดการห่อหุ้ม (Encapsulation)

  • หากต้องการกำหนดโหมดการขนส่ง (Transport) โปรดป้อน [transport] หากต้องการกำหนดโหมดการสร้างท่อ (Tunnel) โปรดป้อน [tunnel]

  • หากตั้งค่าประเภทของที่อยู่ในการตั้งค่าเริ่มต้นให้เป็น [any] จะไม่สามารถใช้ [tunnel] ในโหมดการห่อหุ้มได้ (Encapsulation)

  • หากไม่กำหนดโหมดการห่อหุ้ม (Encapsulation) ระบบจะแสดงการตั้งค่าปัจจุบัน

การกำหนดปลายทางสำหรับท่อ (Tunnel)

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดที่อยู่ IP ต้นทางและปลายทาง

  • หากไม่กำหนดที่อยู่ต้นทางหรือปลายทาง ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าวิธีการยืนยันตัวตนผู้ร่วมรับส่งข้อมูลแบบ IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดวิธีการยืนยันตัวตน

  • โปรดระบุเป็น [psk] หากต้องการใช้คีย์ที่แชร์ร่วมกันสำหรับยืนยันตัวตน โปรดระบุเป็น [rsasig] หากต้องการใช้ใบรับรองสำหรับการยืนยันตัวตน

  • นอกจากนี้จะต้องระบุชุดตัวอักษรของ PSK ด้วยเมื่อเลือก [psk]

  • หากเลือก "Certificate" จะต้องมีการติดตั้งใบรับรองสำหรับ IPsec และกำหนดไว้ก่อนเรียบร้อยแล้วที่จะถูกนำมาใช้ ติดตั้งและระบุใบรับรองโดยใช้เว็บเบราว์เซอร์จากคอมพิวเตอร์เครือข่าย (ใช้ Web Image Monitor ที่ติดตั้งในคอมพิวเตอร์)

การตั้งค่าชุดตัวอักษรของ PSK

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • หากเลือกวิธีการยืนยันตัวตนแบบ PSK โปรดป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดชุดตัวอักษรของ PSK

  • กำหนดชุดตัวอักษรแบบ ASCII ห้ามใช้คำย่อ

การตั้งค่าแฮชอัลกอริธึม ISAKMP SA (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดแฮชอัลกอริธึม ISAKMP SA (phase 1)

  • หากไม่กำหนดแฮชอัลกอริธึม ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าแฮชอัลกอริธึม ISAKMP SA (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดแฮชอัลกอริธึม ISAKMP SA (phase 1)

  • หากไม่กำหนดอัลกอริธึมสำหรับการเข้ารหัส ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่ากลุ่ม Diffie-Hellman สำหรับ ISAKMP SA (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดหมายเลขกลุ่ม Diffie-Hellman สำหรับ ISAKMP SA (phase 1)

  • กำหนดหมายเลขกลุ่มที่จะใช้

  • หากไม่กำหนดหมายเลขกลุ่ม ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าระยะเวลาที่สามารถใช้ ISAKMP SA (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดระยะเวลาที่สามารถใช้ ISAKMP SA (phase 1)

  • ป้อนระยะเวลาที่สามารถใช้งานได้ (วินาที) ตั้งแต่ 300 ถึง 172,800

  • หากไม่กำหนดระยะเวลาที่สามารถใช้งานได้ ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าอัลกอริธึมสำหรับพิสูจน์ยืนยันตัวตน IPsec SA (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดอัลกอริธึมสำหรับพิสูจน์ตัวตน IPsec SA (phase 2)

  • โปรดคั่นอัลกอริธึมสำหรับการเข้ารหัสแต่ละรายการด้วยเครื่องหมายจุลภาค (,) ระบบจะแสดงการตั้งค่าปัจจบันตามลำดับความสำคัญสูงสุด

  • หากไม่กำหนดอัลกอริธึมสำหรับพิสูจน์ตัวตน ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าอัลกอริธึมสำหรับการเข้ารหัส IPsec SA (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดอัลกอริธึมสำหรับการเข้ารหัส IPsec SA (phase 2)

  • โปรดคั่นอัลกอริธึมสำหรับการเข้ารหัสแต่ละรายการด้วยเครื่องหมายจุลภาค (,) ระบบจะแสดงการตั้งค่าปัจจบันตามลำดับความสำคัญสูงสุด

  • หากไม่กำหนดอัลกอริธึมสำหรับการเข้ารหัส ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่า PFS สำหรับ IPsec SA (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดหมายเลขกลุ่ม Diffie-Hellman สำหรับ IPsec SA (phase 2)

  • กำหนดหมายเลขกลุ่มที่จะใช้

  • หากไม่กำหนดหมายเลขกลุ่ม ระบบจะแสดงการตั้งค่าปัจจุบัน

การตั้งค่าระยะเวลาที่สามารถใช้งาน IPsec SA (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และกำหนดระยะเวลาที่สามารถใช้งาน IPsec SA (phase 2)

  • ป้อนระยะเวลาที่สามารถใช้งานได้ (วินาที) ตั้งแต่ 300 ถึง 172,800

  • หากไม่กำหนดระยะเวลาที่สามารถใช้งานได้ ระบบจะแสดงการตั้งค่าปัจจุบัน

รีเซ็ตค่าการตั้งค่า

msh> ipsec ike {1|2|3|4|default|all} clear

  • ป้อนหมายเลขการตั้งค่า [1-4] หรือ [default] และรีเซ็ตการตั้งค่าที่กำหนดไว้ หากระบุเป็น[all] ระบบจะทำการรีเซ็ตการตั้งค่าทั้งหมด รวมถึงค่าเริ่มต้นด้วย

คู่มือการใช้งานเครื่อง บนสุดหน้าแรก>คู่มือด้านความปลอดภัย>การกำหนดค่า IPsec>คำสั่งตั้งค่า telnet>ipsec ike
วิธีใช้คู่มือนี้
หน้าแรก

Copyright © 2019, 2020, 2021

หน้าแรก