若要查看该命令语法,请单击以下命令:
ipseccmd dynamic mode
可以利用 Ipseccmd 动态模式将匿名规则添加到现有的 IPSec 策略中,方法是将这些规则添加到 IPSec 安全策略数据库。即使重新启动 IPSEC 服务后,所添加的规则也会存在。使用动态模式的好处在于所添加的规则可以与域中的策略共存。动态模式是 Ipseccmd 的默认模式。
语法
* 要添加规则,可以使用以下语法:
ipseccmd [\\ComputerName] -f FilterList [-n NegotiationPolicyList] [-t TunnelAddr] [-a AuthMethodList] [-1s SecurityMethodList] [-1k MainModeRekeySettings] [-1p] [-1f MMFilterList] [-1e SoftSAExpirationTime] [-soft] [-confirm] [{-dialup | -lan}]
* 要删除所有动态策略,请使用如下语法:
ipseccmd -u
参数
\\computername
指定要向其添加规则的远程计算机的名称。
-f FilterList
第一个语法要求。为快速模式安全关联 (SAs) 指定一个或多个由空格分割的筛选器规格。每个筛选器规格都定义一套受该规则影响的网络流量。
-n NegotiationPolicyList
指定由筛选器列表定义的安全流量的一个或多个安全方法(由空格分割)。
-t TunnelAddr
指定隧道模式为 IP 地址或 DNS 域名的隧道终结点。
-a AuthMethodList
指定一个或多个身份认证方法(由空格分割)。
-1s SecurityMethodList
指定一个或多个密钥交换安全方法(由空格分割)。
-1k MainModeRekeySettings
指定主模式 SA rekey设置。
-1p
启用主密钥完全向前保密。
-1f MMFilterList
指定一个或多个主模式 Sas 的筛选器规格(由空格分割)。
-1e SoftSAExpirationTime
指定软 SAs 的过期时间(单位为:秒)。
-soft
启用软 SAs。
-confirm
指定在添加规则或策略之前显示确认提示。
{-dialup | -lan}
指定规则是否仅应用于远程访问或拨号连接,或是否仅应用于局域网 (LAN) 连接。
-u
第二个语法要求。指定删除所有的动态规则。
/?
在命令提示符显示帮助。
注释
* Ipseccmd 不可用于配置运行 Windows 2000 计算机的规则。
* 如果不指定 ComputerName 参数,则该规则将添加到本地计算机。
* 如果使用了 ComputerName 参数,则此参数必须在其他所有参数之前使用,而且必须具有欲向其添加规则的计算机的管理员权限。
* 对于 -f 参数,一种筛选器规格是由空格分割且由如下格式定义的一个或多个筛选器:
SourceAddress/SourceMask:SourcePort=DestAddress/DestMask:DestPort:Protocol
o SourceMask、SourcePort、DestMask 和 DestPort 是可选项。如果忽略这些参数,则该筛选器将使用子网掩码 255.255.255.255 和所有端口。
o Protocol 是可选项。如果省略它,则筛选器将使用所有协议。如果指定一种协议,则必须指定端口或在协议前使用两个冒号 (::)。(请参见动态模式的第一个范例。)此协议必须是筛选器的最后一项。可以使用下面的协议符号:ICMP、UDP、RAW 和 TCP。
o 可以通过使用加号 (+) 替代等号 (=) 创建镜像筛选器。
o 可以将 SourceAddress/SourceMask 或 DestAddress/DestMask 替换为下表中的值:
值 说明
0 我的地址或地址
* 任意地址
DNSName DNS 域名如果 DNS 名称解析多个地址,则会忽略它。
GUID 本地网络接口的全球单一标识 (GUID),形式为 {12345678-1234-1234-1234-123456789ABC}。当在静态模式下使用 -n 参数时,则不能指定 GUID。
o 通过指定“默认”的筛选器规格,可以启用默认的响应规则。
o 将筛选器规格放在圆括号中可以指定许可筛选器。将筛选器规格放在中括号 ([ ]) 中可以指定阻挡筛选器。
o 如果使用的 Internet 地址是分类的子网掩码(以八位字节为边界定义的子网掩码),则可使用通配符指定子网掩码。例如,10.*.*.* 与 10.0.0.0/255.0.0.0 相同,10.92.*.* 与 10.92.0.0/255.255.0.0 相同。
筛选器范例
要创建可以筛选 Computer1 和 Computer2 之间的 TCP 流量的镜像筛选器,请键入:
Computer1+Computer2::TCP
要创建子网范围为 172.31.0.0/255.255.0.0 到 10.0.0.0/255.0.0.0(端口 80)之间的所有 TCP 流量的筛选器,请键入:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
要创建允许本地 IP 地址和 IP 地址为 10.2.1.1 之间流量的镜像筛选器,请键入:
(0+10.2.1.1)
* 对于 -n 参数,可由空格分割一个或多个协商策略并采用以下的形式:
o esp[EncrypAlg,AuthAlg]RekeyPFS[Group]
o ah[HashAlg]
o ah[HashAlg]+esp[EncrypAlg,AuthAlg]
其中,EncrypAlg 可以是 none、des 或 3des;AuthAlg 可以是 none、md5 或 sha;HashAlg 可以是 md5 或 sha。
o 不支持 esp[none,none] 配置。
o sha 参数是指 SHA1 散列算法。
o Rekey 参数是可选项,它可以指定千字节的数量(通过在数字后加 K 表示),或秒数(通过在数字后加 S 表示)这些指定值位于快速模式 SA 的 rekey 之前。要指定两个 rekey 的参数,请使用斜线 (/) 将两个数分开。例如,要每隔 1 小时和每 5 兆 的数据流量后 rekey 一次快速模式 SA,请键入:
3600S/5000K
o PFS 参数是可选项,该参数可以启用会话密钥完全向前保密。默认情况下,会话密钥完全向前保密是禁用的。
o Group 参数是可选项,该参数可指定会话密钥完全向前保密的 Diffie-Hellman 组。对于 Low(1) Diffie-Hellman 组,指定 PFS1 或 P1。对于 Medium(2) Diffie-Hellman 组,指定 PFS2 或 P2。默认情况下,会话密钥完全向前保密的组值来自当前主模式设置值。
o 如果不指定协商策略,则默认的协商策略如下:
+ esp[3des,sha]
+ esp[3des,md5]
+ esp[des,sha]
+ esp[des,md5]
* 如果忽略 -t 参数,则使用 IPSec 传输模式。
* 对于 -a 参数,由空格分割一种或多种身份验证方式,并使用以下某种形式:
o preshare:"PresharedKeyString"
o kerberos
o cert:"CAInfo"
PresharedKeyString 参数指定预共享密钥的字符串。CAInfo 参数指定 IP 安全策略管理单元中显示的证书区别名,此时证书被选择为某规则的身份验证方式。PresharedKeyString 和 CAInfo 参数区分大小写。可以使用首字母简化此方法:p, k 或 c。如果忽略 -a 参数,则默认的身份验证方式为 Kerberos。
* 对于 -1s 参数,单个或多个密钥交换安全方式由空格分割且定义成下面的格式:
EncrypAlg-HashAlg-GroupNum
其中,EncrypAlg 可以是 des 或 3des;HashAlg 可以是 md5 或 sha;GroupNum 可以是 1(对于 Low(1) Diffie-Hellman 组)或 2(对于 Medium(2) Diffie-Hellman 组)。如果忽略 -1s 参数,则默认的密钥交换安全方式是 3des-sha-2、3des-md5-2、des-sha-1 和 des-md5-1。
* 对于 -1k 参数,可以指定快速模式 SAs 的数量(通过在数字后加 Q 表示)或秒数(通过在数字后面加 S 表示)来 rekey 主模式 SA。要指定两个 rekey 的参数,必须使用斜线 (/) 将两个数分开。例如,要在每 10 个快速模式 SAs 和每隔 1 小时后 rekey 主模式,请键入:
10Q/3600S
如果忽略 -1k 参数,主模式 rekey 的默认值为无限个主模式 SAs 和 480 分钟。
* 主密钥完全向前保密在默认情况下是禁用的。
* 对于 -1f 参数,指定主模式筛选器规格的语法与 -1f 参数相同,差别在于不可以指定许可筛选器、阻挡筛选器、端口或协议。如果忽略 -1f 参数,将根据快速模式筛选器自动创建主模式筛选器。
* 如果忽略 -1e 参数,软 SAs 的过期时间为 300 秒。然而,软 SAs 在未使用 -soft 参数时总是禁用的。
* 只有动态模式才可使用确认。
* 如果未指定参数 -dialup 和 -lan,则规则将应用于所有适配器。
范例
要创建进出本地计算机的所有流量的使用 MD5 散列身份认证头标 (AH) 的规则,请键入:
ipseccmd -f 0+* -n ah[md5]
要创建来自 10.2.1.1 和 10.2.1.13(隧道终结点为 10.2.1.13)的流量的隧道规则(该规则带有利用 SHA1 散列算法的 AH 隧道模式,并启用了主密钥完全向前保密和在创建之前带有规则确认提示),请键入:
ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c
要在名为 corpsrv1 的计算机上创建名为 corpsrv1 和 corpsrv2 的计算机之间所有流量的规则(该规则同时带有 AH 和加密安全负载 (ESP),以及预共享的密钥身份验证),请键入:
ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"
ipseccmd static mode
可是使用 Ipseccmd 静态模式创建命名策略和命名规则。也可以使用静态模式修改最初由 Ipseccmd 创建的现有策略和规则。静态模式的语法结合了带参数的动态模式的语法,该参数可使其在策略级的水平工作。
欢迎光临 批处理之家 (http://bathome.net./) | Powered by Discuz! 7.2 |