Commandes de configuration telnet

Pour afficher les informations de paramétrage relatives à IPsec, utilisez la commande "ipsec".

Affichage des paramètres actuels

msh> ipsec

Affiche les informations de paramétrage d'IPsec suivantes :

• Valeurs paramètres IPsec

• Paramètres d'échange automatique de clés de cryptage, valeurs 1-4 de paramétrage IKE

• Paramètres d'échange automatique de clés de cryptage, valeurs de paramétrage IKE par défaut

Affichage des segments de paramétrage actuels

msh> ipsec -p

• Affiche les informations de paramétrage IPsec par segments.

Pour afficher ou définir les protocoles exclus par IPsec, utilisez la commande "ipsec exclude".

Affichage des paramètres actuels

msh> ipsec exclude

• Affiche les protocoles actuellement exclus des transmissions IPsec.

Définition des protocoles à exclure

msh> ipsec exclude {https|dns|dhcp|wins|all} {on|off}

• Définissez le protocole puis saisissez [on] pour l'exclure ou [off] pour l'inclure dans les transmissions IPsec. La commande [all] permet de définir tous les protocoles de façon collective.

Pour afficher ou spécifier les paramètres d'échange automatique de clés de cryptage, utilisez la commande "ipsec ike".

Affichage des paramètres actuels

msh> ipsec ike {1|2|3|4|default}

• Pour afficher les paramètres 1 à 4, spécifiez le numéro [1-4].

• Pour afficher le paramètre par défaut, définissez [default].

• En l'absence de valeur définie, l'ensemble des paramètres s'affiche.

Désactivation des paramètres

msh> ipsec ike {1|2|3|4|default} disable

• Pour désactiver les paramètres 1 à 4, spécifiez le numéro [1-4].

• Pour désactiver les paramètres par défaut, définissez [default].

Indiquez l'adresse locale/distante spécifique à l'utilisateur.

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "adresse locale" "adresse distante"

• Saisissez le numéro de paramètre séparé [1-4], puis le type d'adresse afin de définir l'adresse locale et l'adresse distante.

• Pour définir les valeurs de l'adresse locale et de l'adresse distante, définissez masklen en saisissant [/] suivi d'un entier compris entre 0 et 32 s'il s'agit d'une adresse IPv4. S'il s'agit d'une adresse IPv6, définissez masklen en saisissant [/] suivi d'un entier compris entre 0 et 128.

• En l'absence d'une valeur d'adresse, le paramètre actuel s'affiche.

Définition du type d'adresse dans le paramètre par défaut

msh> ipsec ike default {ipv4|ipv6|any}

• Définissez le type d'adresse du paramètre par défaut.

• Pour utiliser IPv4 et IPv6, saisissez [any].

Paramétrage de stratégie de sécurité

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

• Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la stratégie de sécurité correspondant à l'adresse définie dans le paramètre sélectionné.

• Pour appliquer IPsec aux paquets appropriés, saisissez [apply]. Pour ne pas appliquer IPsec, saisissez [bypass].

• Si vous saisissez [discard], tous les paquets auxquels IPsec peut être appliqué sont rejetés.

• En l'absence de définition d'une stratégie de sécurité, le paramètre actuel s'affiche.

Définition du protocole de sécurité

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le protocole de sécurité.

• Pour définir AH, saisissez [ah]. Pour définir ESP, saisissez [esp]. Pour définir AH et ESP, saisissez [dual].

• En l'absence de définition d'un protocole, le paramètre actuel s'affiche.

Paramétrage du niveau d'exigence IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le niveau d'exigence IPsec.

• Si vous saisissez [require], les données ne sont pas transmises lorsqu'IPsec ne peut pas être utilisé. Si vous saisissez [use], les données sont transmises normalement si IPsec ne peut pas être utilisé. Si IPsec peut être utilisé, la communication IPsec est établie.

• En l'absence de définition d'un niveau d'exigence, le paramètre actuel s'affiche.

Paramétrage du mode d'encapsulation

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le mode d'encapsulation.

• Pour définir le mode transport, saisissez [transport]. Pour définir le mode tunnel, saisissez [tunnel].

• Si vous avez défini le type d'adresse dans le paramètre par défaut sur [any], vous ne pouvez pas utiliser le mode d'encapsulation [tunnel].

• En l'absence de définition d'un mode d'encapsulation, le paramètre actuel s'affiche.

Paramétrage des points limites du tunnel

msh> ipsec ike {1|2|3|4|default} tunneladdr "adresse IP initiale" "adresse IP finale".

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'adresse IP initiale et finale des points limites du tunnel.

• En l'absence de définition de l'adresse initiale ou de l'adresse finale, le paramètre actuel s'affiche.

Paramétrage de la méthode d'authentification du partenaire IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

• Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la méthode d'authentification.

• Saisissez [psk] pour utiliser une clé partagée en tant que méthode d'authentification. Saisissez [rsasig] pour utiliser un certificat en tant que méthode d'authentification.

• Vous devez également saisir la chaîne de caractères PSK lorsque vous sélectionnez [psk].

• Veuillez noter que si vous sélectionnez « Certificat », le certificat pour IPsec doit être installé et configuré avant de pouvoir être utilisé. Pour installer et spécifier le certificat, utilisez Web Image Monitor.

Paramétrage de la chaîne de caractères PSK

msh> ipsec ike {1|2|3|4|default} psk "chaîne de caractères PSK"

• Si vous sélectionnez PSK en tant que méthode d'authentification, saisissez le numéro de paramètre séparé [1-4] ou [default], puis saisissez la chaîne de caractères PSK.

• Saisissez la chaîne de caractères en utilisant le code ASCII. Aucune abréviation n'est autorisée.

Paramétrage de la chaîne de caractères de l'ID distant

msh> ipsec ike {1|2|3|4} remote_id "chaîne de caractère de l'ID distant"

• Saisissez le numéro de paramètres séparé [1-4] et spécifiez la chaîne de caractères de l'ID distant.

• Saisissez la chaîne de caractères en utilisant maximum 191 caractères ASCII.

Paramétrage de l'algorithme de hachage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de hachage de la SA ISAKMP (phase 1).

• En l'absence de définition de l'algorithme de hachage, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

• Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA ISAKMP (phase 1).

• En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage du groupe Diffie-Hellman de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez le numéro du groupe Diffie-Hellman de la SA ISAKMP (phase 1).

• Définissez le numéro de groupe à utiliser.

• En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "période de validité"

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez la durée de validité de la SA ISAKMP (phase 1).

• Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

• En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Paramétrage de l'algorithme d'authentification de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez l'algorithme d'authentification de la SA IPsec (phase 2).

• Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

• En l'absence de définition d'un algorithme d'authentification, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA IPsec (phase 2).

• Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

• En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage de la propriété PFS de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez le numéro du groupe Diffie-Hellman de la SA IPsec (phase 2).

• Définissez le numéro de groupe à utiliser.

• En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "période de validité"

• Saisissez le numéro du paramètre séparé [1-4] ou [default] puis définissez la durée de validité de la SA IPsec (phase 2).

• Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

• En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Réinitialisation des valeurs de paramétrage

msh> ipsec ike {1|2|3|4|default|all} clear

• Saisissez le numéro de paramètre séparé [1-4] ou [default], puis réinitialisez le paramètre défini. En saisissant [all], l'ensemble des paramètres, y compris les paramètres par défaut, sont réinitialisés.

Réinitialisation de l'ID distant

msh> ipsec ike {1|2|3|4} clear remote_id

• Saisissez le numéro de paramètre séparé [1-4], puis réinitialisez le paramètre défini.