BrugervejledningIM 350/430 series

#0322

ForrigeNæste

ipsec ike

Brug kommandoen “ipsec ike” for at få vist eller angive indstillingerne for automatisk udveksling af krypteringsnøglen.

Vis aktuelle indstillinger

msh> ipsec ike {1|2|3|4|default}

  • Angiv [1-4] for at få vist indstillingerne 1-4.

  • Angiv [default] for at få vist standardindstillingen.

  • Alle indstillinger vises, hvis der ikke angives en værdi.

Deaktivér indstillinger

msh> ipsec ike {1|2|3|4|default} disable

  • Angiv nummer [1-4] for at deaktivere indstillingerne 1-4.

  • Angiv [default] for at deaktivere standardindstillingerne.

Angiv den brugerspecifikke lokaladresse/fjernadresse.

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • Indtast det separate indstillingsnummer [1-4] og adressetype for at angive lokal- og fjernadresse.

  • For at angive lokal- eller fjernadresseværdier skal du angive masklen ved at indtaste [/] og helt tal mellem 0-32, hvis du angiver en IPv4-adresse. Hvis du angiver en IPv6-adresse, skal masklen angives ved at indtaste [/] og et helt tal mellem 0-128.

  • Den aktive indstilling vises, hvis der ikke angives en adresseværdi.

Angiv adressetypen i standardindstillingen

msh> ipsec ike default {ipv4|ipv6|any}

  • Angiv adressetypen for standardindstillingen.

  • Indtast [any] for at angive både IPv4 og IPv6.

Indstilling for sikkerhedspolitik

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv sikkerhedspolitikken for den angivne adresse i den valgte indstilling.

  • Angiv [apply] for at anvende IPsec til de relevante pakker. Angiv [bypass] for ikke at anvende IPsec.

  • Hvis [discard] angives, vil alle pakker, som IPsec kan anvendes med, blive afvist.

  • Hvis sikkerhedspolitikken ikke angives, vises den aktuelle indstilling.

Indstilling af sikkerhedsprotokol

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv sikkerhedsprotokollen.

  • Indtast [ah] for at angive AH. Indtast [esp] for at angive ESP. Indtast [dual] for at angive AH og ESP.

  • Hvis protokollen ikke angives, vises den aktuelle indstilling.

Indstilling af krav for IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv et krav for IPsec.

  • Hvis du angiver [require], vil data ikke blive overført, når IPsec ikke kan anvendes. Hvis du angiver [use], vil data blive sendt normalt, når IPsec ikke kan anvendes. Når IPsec kan anvendes, vil IPsec-overførsel blive anvendt.

  • Hvis et krav ikke angives, vises den aktuelle indstilling.

Indstilling af indkapslingstilstand

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv indkapslingstilstanden.

  • Indtast [transport] for at angive overførselstilstand. Indtast [tunnel] for at angive tunneltilstand.

  • Hvis du har indstillet adressetypen i standardindstillingen til [any], kan du ikke bruge [tunnel] i indkapslingstilstand.

  • Hvis indkapslingstilstanden ikke angives, vises den aktuelle indstilling.

Indstilling af tunnel-endepunkt

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv en start- og slutadresse for tunnel-endepunktet.

  • Hvis hverken start- eller slutadressen angives, vises den aktuelle indstilling.

Indstilling af IKE-partner-godkendelsesmetode

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv godkendelsesmetoden.

  • Angiv [psk] for at bruge en fællesnøgle som godkendelsesmetode. Angiv [rsasig for at bruge et certifikat som godkendelsesmetode.

  • Tekststrengen for PSK skal også angives, hvis du vælger [psk].

  • Bemærk, at hvis du vælger "Certifikat" skal certifikatet for IPsec være installeret og angivet, før det kan anvendes. For at installere og specificere certifikatet brug en webbrowser fra netværkscomputere. (Vi bruger Web Image Monitor, som er installeret på denne maskine.)

Indstilling af PSK-tekststrengen

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • Hvis du vælger PSK som godkendelsesmetode, skal du indtaste det separate indstillingsnummer [1-4] eller [default] og angive PSK-tekststrengen.

  • Angiv tekststrengen med ASCII-tegn. Der kan ikke forekommer forkortelser.

Indstilling af hash-algoritmen for ISAKMP SA (fase 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv ISAKMP SA (fase 1)-hash-algoritmen.

  • Hvis hash-algoritmen ikke angives, vises den aktuelle indstilling.

Indstilling af krypteringsalgoritme for ISAKMP SA (fase 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv ISAKMP SA (fase 1)-krypteringsalgoritme.

  • Hvis krypteringsalgoritmen ikke angives, vises den aktuelle indstilling.

Indstilling for ISAKMP SA (fase 1) Diffie-Hellman-gruppe

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv Diffie-Hellman-gruppenummeret for ISAKMP SA (fase 1).

  • Angiv det gruppenummer, der skal anvendes.

  • Hvis gruppenummeret ikke angives, vises den aktuelle indstilling.

Indstilling af gyldighedsperiode for ISAKMP SA (fase 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv ISAKMP SA (fase 1)-gyldighedsperioden.

  • Indtast en gyldighedsperiode (i sekunder) på 300 til 172800.

  • Hvis gyldighedsperioden ikke angives, vises den aktuelle indstilling.

Indstilling af godkendelsesalgoritme for IPsec SA (fase 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv godkendelsesalgoritmen for IPsec SA (fase 2).

  • Adskil forskellige krypteringsalgoritmer med et komma (,). De aktuelle indstillingsværdier vises i prioritetsrækkefølge med den højeste først.

  • Hvis godkendelsesalgoritmen ikke angives, vises den aktuelle indstilling.

Indstilling af krypteringsalgoritme for IPsec SA (fase 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv krypteringsalgoritmen for IPsec SA (fase 2).

  • Adskil forskellige krypteringsalgoritmer med et komma (,). De aktuelle indstillingsværdier vises i prioritetsrækkefølge med den højeste først.

  • Hvis krypteringsalgoritmen ikke angives, vises den aktuelle indstilling.

PFS-indstilling for IPsec SA (fase 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv Diffie-Hellman-gruppenummeret for IPsec SA (fase 2).

  • Angiv det gruppenummer, der skal anvendes.

  • Hvis gruppenummeret ikke angives, vises den aktuelle indstilling.

Indstilling af gyldighedsperiode for IPsec SA (fase 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • Indtast det separate indstillingsnummer [1-4] eller [default], og angiv gyldighedsperioden for IPsec SA (fase 2).

  • Indtast en gyldighedsperiode (i sekunder) på 300 til 172800.

  • Hvis gyldighedsperioden ikke angives, vises den aktuelle indstilling.

Nulstil indstillingsværdier

msh> ipsec ike {1|2|3|4|default|all} clear

  • Indtast det separate indstillingsnummer [1-4] eller [default], og nulstil den angivne indstilling. Hvis [all] angives, nulstilles alle indstillingerne, også standarden.

Brugervejledning - TopFørste side>Sikkerhed>Konfiguration af IPsec-indstillinger>telnet Indstillingskommandoer>ipsec ike
Sådan bruges denne vejledning
Til toppen

Copyright © 2020

Til toppen