telnet设置命令
您可以使用telnet以确认 IPsec 设置和更改设置。本节说明了用于 IPsec 的telnet命令。有关用于登录telnet的用户名和密码的信息,请向管理员咨询。有关登录telnet和telnet操作的详细信息,请参阅您设备的用户指南。
如果您在加密密钥自动交换设置 (IKE) 中使用证书作为身份验证方法,则使用Web Image Monitor安装证书。无法使用telnet安装证书。
要显示或指定 IPsec 所排除的协议,使用“ipsec exclude”命令。
显示当前设置
msh> ipsec exclude
显示当前从IPsec传送中排除的协议。
指定要排除的协议
msh> ipsec exclude {https|dns|dhcp|wins|all} {on|off}
指定协议,然后输入 [on] 以在 IPsec 传送中排除排除它,或输入 [off] 以包括它。输入 [all] 会集体指定所有协议。
要显示或指定加密密钥自动交换设置,请使用“ipsec ike”命令。
显示当前设置
msh> ipsec ike {1|2|3|4|default}
要显示设置 1-4,指定编号 [1-4]。
要显示默认设置,指定 [default]。
不指定任何值会显示全部设置。
禁用设置
msh> ipsec ike {1|2|3|4|default} disable
要禁用设置 1-4,指定编号 [1-4]。
禁用默认设置,指定 [default]。
指定用户专有的本地地址/远程地址。
msh> ipsec ike {1|2|3|4} {ipv4|ipv6}“本地地址”“远程地址”
输入单独的设置编号 [1-4],以及地址类型,以指定本地和远程地址。
要设置本地或远程地址值,则在设置 IPv4 地址时,通过输入 [/] 和 0 到 32 之间的一个整数来指定masklen。设置 IPv6 地址时,通过输入 [/] 和 0 到 128 之间的一个整数来指定masklen。
不指定地址值会显示当前设置。
指定默认设置的地址类型
msh> ipsec ike default {ipv4|ipv6|any}
指定默认设置的地址类型。
要同时指定 IPv4 和 IPv6,输入 [any]。
安全策略设置
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
输入单独的设置编号 [1-4] 或 [default],并为所选设置中所指定的地址指定安全策略。
要将 IPsec 应用到相关数据包,指定 [apply]。要不应用 IPsec,指定 [bypass]。
如果指定 [discard],则可以应用到 IPsec 的任何数据包都将被丢弃。
不指定安全策略会显示当前设置。
安全协议设置
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
输入单独的设置编号 [1-4] 或 [default],并指定安全协议。
要指定 AH,输入 [ah]。要指定 ESP,请输入 [esp]。要指定 AH 和 ESP,请输入 [dual]。
不指定协议会显示当前设置。
IPsec需求等级设置
msh> ipsec ike {1|2|3|4|default} level {require|use}
输入单独的设置编号 [1-4] 或 [default],并指定 IPsec 要求级别。
如果指定 [require],则在无法使用 IPsec 时不会传输数据。如果指定 [use],则在无法使用 IPsec 时会正常发送数据。可以使用IPsec时,会执行IPsec传送。
不指定需求等级会显示当前设置。
封装模式设置
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
输入单独的设置编号 [1-4] 或 [default],并指定压缩模式。
要指定传输模式,输入 [transport]。要指定隧道模式,输入 [tunnel]。
如果已经在默认设置中将地址类型设为 [any],则不能在压缩模式中使用 [tunnel]。
不指定封装模式会显示当前设置。
通道端点设置
msh> ipsec ike {1|2|3|4|default} tunneladdr“起始 IP 地址”“结束 IP 地址”
输入单独的设置编号 [1-4] 或 [default],并指定隧道终点起始和结束 IP 地址。
不指定起始或结束地址会显示当前设置。
IKE合作验证方法设置
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
输入单独的设置编号 [1-4] 或 [default],并指定身份验证方法。
指定 [psk] 以将共享密钥用作身份验证方法。指定 [rsasig] 以将证书用作身份验证方法。
选择 [psk] 时,您还必须指定 PSK 字符串。
请注意,如果选择“证书”,则必须先安装并指定IPsec的证书,然后才能使用它。要安装并指定证书,使用Web Image Monitor。
PSK字符串设置
msh> ipsec ike {1|2|3|4|default} psk“PSK 字符串”
如果选择 PSK 作为身份验证方法,输入单独的设置编号 [1-4] 或 [default],并指定 PSK 字符串。
指定ASCII字符形式的字符串。其中不能包含任何缩写词。
远程 ID 字符串设置
msh> ipsec ike {1|2|3|4} remote_id“远程 ID 字符串设置”
输入单独的设置编号 [1-4],并指定远程 ID 字符串。
指定字符串,最多为 191 个 ASCII 字符。
ISAKMP SA(阶段1)散列算法设置
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
输入单独的设置编号 [1-4] 或 [default],并指定 ISAKMP SA(阶段 1)哈希算法。
不指定散列算法会显示当前设置。
ISAKMP SA(阶段1)加密算法设置
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
输入单独的设置编号 [1-4] 或 [default],并指定 ISAKMP SA(阶段 1)解密算法。
不指定加密算法会显示当前设置。
ISAKMP SA(阶段1)Diffie-Hellman群组设置
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
输入单独的设置编号 [1-4] 或 [default],并指定 ISAKMP SA(阶段 1)Diffie-Hellman 组号。
指定要使用的群组号。
不指定群组号会显示当前设置。
ISAKMP SA(阶段1)有效期设置
msh> ipsec ike {1|2|3|4|default} ph1 lifetime“有效期”
输入单独的设置编号 [1-4] 或 [default],并指定 ISAKMP SA(阶段 1)有效期。
输入有效期(秒),范围从300到172800。
不指定有效期会显示当前设置。
IPsec SA(阶段2)验证算法设置
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
输入单独的设置编号 [1-4] 或 [default],并指定 IPsec SA(阶段 2)身份验证算法。
用逗号(,)分隔多个加密算法条目。当前设置值会以最高优先级顺序显示。
不指定验证算法会显示当前设置。
IPsec SA(阶段2)加密算法设置
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
输入单独的设置编号 [1-4] 或 [default],并指定 IPsec SA(阶段 2)加密算法。
用逗号(,)分隔多个加密算法条目。当前设置值会以最高优先级顺序显示。
不指定加密算法会显示当前设置。
IPsec SA(阶段2)PFS设置
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
输入单独的设置编号 [1-4] 或 [default],并指定 IPsec SA(阶段 2)Diffie-Hellman 组号。
指定要使用的群组号。
不指定群组号会显示当前设置。
IPsec SA(阶段2)有效期设置
msh> ipsec ike {1|2|3|4|default} ph2 lifetime“有效期”
输入单独的设置编号 [1-4] 或 [default],并指定 IPsec SA(阶段 2)有效期。
输入有效期(秒),范围从300到172800。
不指定有效期会显示当前设置。
重置设置值
msh> ipsec ike {1|2|3|4|default|all} clear
输入单独的设置编号 [1-4] 或 [default],并重置指定的设置。指定 [all] 会重置所有设置,包括默认设置。
重置远程 ID
msh> ipsec ike {1|2|3|4} clear remote_id
输入单独的设置编号 [1-4],并重置指定的设置。