telnet 設定命令
使用telnet以確認 IPsec 設定及變更設定。本節說明了 IPsec 的telnet命令。關於登入telnet的使用者名稱及密碼的資訊,請洽詢管理員。關於登入telnet和telnet操作的詳細資訊,請參閱您裝置的使用者指南。
如果要使用憑證作為加密金鑰自動交換設定 (IKE) 中的驗證方法,請使用Web Image Monitor安裝憑證。無法使用telnet安裝憑證。
要顯示或指定 IPsec 所排除的通訊協定,使用「ipsec exclude」命令。
顯示目前設定
msh> ipsec exclude
顯示目前自IPsec傳送排除的通訊協定。
指定要排除的通訊協定
msh> ipsec exclude {https|dns|dhcp|wins|all} {on|off}
指定通訊協定,然後輸入 [on] 以排除 IPsec 傳輸,或輸入 [off] 以包括它。輸入 [all] 會全數指定所有的通訊協定。
要顯示或指定加密金鑰自動交換設定,使用「ipsec ike」命令。
顯示目前設定
msh> ipsec ike {1|2|3|4|default}
要顯示設定 1-4,指定編號 [1-4]。
要顯示預設設定,指定 [default]。
若不指定任何值,將會顯示全部設定。
停用設定
msh> ipsec ike {1|2|3|4|default} disable
要停用設定 1-4,指定編號 [1-4]。
要停用預設設定,指定 [default]。
指定使用者特定的本機位址/遠端位址。
msh> ipsec ike {1|2|3|4} {ipv4|ipv6}「本機位址」「遠端位址」
輸入單獨的 設定編號 [1-4],以及位址類型,以指定本機和遠端位址。
要設定本機或遠端位址值,則在設定 IPv4 位址時,透過輸入 [/] 及整數 0-32 來指定masklen。設定 IPv6 位址時,透過輸入 [/] 及整數 0-128 來指定masklen。
若不指定位址值,將會顯示目前的設定。
指定預設設定中的位址種類
msh> ipsec ike default {ipv4|ipv6|any}
指定預設設定的位址種類。
要指定 IPv4 及 IPv6 兩者,輸入 [any]。
安全性原則設定
msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}
輸入單獨的設定編號 [1-4] 或 [default] ,並對所選設定中指定的位址指定安全性原則。
要將 IPsec 套用到相關的封包,指定 [apply]。要不套用 IPsec,指定[bypass]。
如果您指定 [discard],任何可套用 IPsec 的封包都會被捨棄。
若不指定安全性原則,將會顯示目前的設定。
安全性通訊協定設定
msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}
輸入單獨的設定編號 [1-4] 或 [default],並指定安全性通訊協定。
要指定 AH,輸入 [ah]。要指定 ESP,輸入 [esp]。要指定 AH 和 ESP,輸入 [dual]。
若不指定通訊協定,將會顯示目前的設定。
IPsec要求等級設定
msh> ipsec ike {1|2|3|4|default} level {require|use}
輸入單獨的設定編號 [1-4] 或 [default],並指定 IPsec 要求等級。
如果您指定 [require],則在無法使用 IPsec 時,即無法傳輸資料。如果您指定 [use],則在無法使用 IPsec 時,仍正常傳輸資料。當可以使用IPsec時,即會執行IPsec傳送。
若不指定要求等級,將會顯示目前的設定。
封裝模式設定
msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}
輸入單獨的設定編號 [1-4] 或 [default],並指定封裝模式。
要指定傳輸模式,輸入 [transport]。要指定通道模式,輸入 [tunnel]。
如果已將預設設定中的位址類型設為 [any],則無法在封裝模式中使 [tunnel]。
若不指定封裝模式,將會顯示目前的設定。
通道端點設定
msh> ipsec ike {1|2|3|4|default} tunneladdr「起始 IP 位址」「結束 IP 位址」
輸入單獨的設定編號 [1-4] 或 [default],並指定通道端點的起始 IP 位址及結束 IP 位址。
不指定開始或結束位址,則會顯示目前的設定。
IKE夥伴驗證方式設定
msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}
輸入單獨的設定編號 [1-4] 或 [default],並指定驗證方法。
指定 [psk],以使用共用金鑰作為驗證方法。指定 [rsasig],以在驗證方法使用憑證。
選取 [psk] 時,您還必須指定 PSK 字元字串。
請注意,如果選擇「憑證」,則IPsec的憑證必須在安裝及指定後才能使用。要安裝並指定憑證,使用Web Image Monitor。
PSK字元字串設定
msh> ipsec ike {1|2|3|4|default} psk「PSK 字元字串」
如果您選取 PSK 當作驗證方法,則輸入單獨的設定編號 [1-4] 或 [default],並指定 PSK 字元字串。
請以ASCII字元指定該字元字串。不能有縮寫。
遠端 ID 字元字串設定
msh> ipsec ike {1|2|3|4} remote_id「遠端 ID 字元字串」
輸入單獨的設定編號 [1-4],並指定遠端 ID 字元字串。
以最多 191 個 ASCII 字元指定字元字串。
ISAKMP SA(階段1)Hash演算法設定
msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}
輸入單獨的設定編號 [1-4] 或 [default],並指定 ISAKMP SA(階段 1)雜湊演算法。
若不指定Hash演算法,將會顯示目前的設定。
ISAKMP SA(階段1)加密演算法設定
msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}
輸入單獨的設定編號 [1-4] 或 [default],並指定 ISAKMP SA(階段 1)加密演算法。
若不指定加密演算法,將會顯示目前的設定。
ISAKMP SA(階段1)Diffie-Hellman群組設定
msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}
輸入單獨的設定編號 [1-4] 或 [default],並指定 ISAKMP SA(階段 1)Diffie-Hellman 群組編號。
指定要使用的群組編號。
若不指定群組編號,將會顯示目前的設定。
ISAKMP SA(階段1)有效期間設定
msh> ipsec ike {1|2|3|4|default} ph1 lifetime「有效期間」
輸入單獨的設定編號 [1-4] 或 [default],並指定 ISAKMP SA(階段 1)有效期間。
輸入300到172800的有效期間(以秒為單位)。
若不指定有效期間,將會顯示目前的設定。
IPsec SA(階段2)驗證演算法設定
msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}
輸入單獨的設定編號 [1-4] 或 [default],並指定 IPsec SA(階段 2)驗證演算法。
以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。
若不指定驗證演算法,將會顯示目前的設定。
IPsec SA(階段2)加密演算法設定
msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}
輸入單獨的設定編號 [1-4] 或 [default],並指定 IPsec SA(階段 2)加密演算法。
以逗點(,)分隔多筆加密演算法項目。目前的設定值會從最高優先順序依序顯示。
若不指定加密演算法,將會顯示目前的設定。
IPsec SA(階段2)PFS設定
msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}
輸入單獨的設定編號 [1-4] 或 [default] ,並指定 IPsec SA(階段 2)Diffie-Hellman 群組編號。
指定要使用的群組編號。
若不指定群組編號,將會顯示目前的設定。
IPsec SA(階段2)有效期間設定
msh> ipsec ike {1|2|3|4|default} ph2 lifetime「有效期間」
輸入單獨的設定編號 [1-4] 或 [default],並指定 IPsec SA(階段 2)有效期間。
輸入300到172800的有效期間(以秒為單位)。
若不指定有效期間,將會顯示目前的設定。
重設設定值
msh> ipsec ike {1|2|3|4|default|all} clear
輸入單獨的設定編號 [1-4] 或 [default] ,並重設指定的設定。指定 [all] 會重設所有設定,包括預設值。
重設遠端 ID
msh> ipsec ike {1|2|3|4} clear remote_id
輸入單獨的設定編號 [1-4] ,並重設指定的設定。