ipseccmd 学习笔记

转载请注明出处: http://blog.csdn.net/zhangyang0402/archive/2010/06/13/5670132.aspx

ipseccmd是配置ipsec安全策略的命令行工具，在Windows XP Service Pack 2 Support Tools中。只能在Winodws XP(除Home版)和Windows server 2003中使用，Windows server 2000中使用ipseccol

 

一、下载安装ipseccmd

1. 在MS官方网站上

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38下载Windows XP Service Pack 2 Support Tools

 

2. 安装WindowsXP-KB838079-SupportTools-ENU.exe, 选择complete安装，默认安装路径为C:/Program Files/Support Tools

 

二、使用ipseccmd

1. 启动policyagent service

 

使用ipseccmd.exe前，应先启动PolicyAgent服务

sc config policyagent start= auto

sc start policyagent

 

2.查看ipsec配置(show mode)

 

格式：ipseccmd show optionname

查看组策略对象: ipseccmd show gpo

查看策略: ipseccmd show policies

查看规则: ipseccmd show filters

查看认证方法: ipseccmd show auth

查看统计信息: ipseccmd show stats

查看SA: ipseccmd show sas

查看所有: ipseccmd show all

 

3.配置ipsec(dynamic mode)

 

-f FilterList

   筛选器列表

   格式：A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]

(1)ip可由通配符表示

0: 本机地址

*：任意地址

(2)mask, port, protocol都是可选的，默认值依次是255.255.255.255, 任意端口，所有协议

(3)方向问题

   使用=表示从src ip到dst ip，左边是src ip, 右边是dst ip

   使用+表示mirror,是双向的，既有从src ip到dst ip，又有dst ip到src ip

(4)protocol：若使用协议，则前面要指定端口(port:protocol)或不指定端口(::protocol)

 

-n NegotiationMethodList

   指定协商方法列表(AH,ESP,Rekey, PFS,GROUP)

    NegotiationMethodList格式：

     ESP[ConfAlg,AuthAlg]RekeyPFS<Group>

     AH[HashAlg]RekeyPFS<Group>

     AH[HashAlg]+ESP[ConfAlg,AuthAlg]RekeyPFS<Group>

    默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]

    如ESP[DES,MD5]100000k/3600sPFS2

 

-a AuthMethodList

  指定认证方法(Kerberos, CA, PSK)

    KERBERO

    CERT:"<CA info>", e.g. CERT:"CN=CA1,OU=O,O=MEME,C=DE,E=ME@here"

    PRESHARE:"<preshared key>"

  如指定PSK: -a PRESHARE:"654321"

 

 

-1s SecurityMethodList

   指定Main Mode使用的加密算法，HASH算法，DH

   格式： ConfAlg-HashAlg-GroupNum

   如：-ls 3DES-SHA-2

   默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1

 

-1k MMRekeyTime

    指定经过多少个Quick Mode或秒重新生成Main Mode SA

    如: -lk 10Q/3600S    经过10个Quick Mode 或3600秒就重新协商新的Main Mode SA

    默认值是480分钟

 

4.配置ipsec(static mode)

 

-n BLOCK|PASS|INPASS

   指定筛选器操作

 

-w REG|PERS

   指定策略写入的位置

 

-p PolicyName

   指定策略名称

 

-r RuleName

   指定规则名称

 

-x

   指派策略

   如: ipseccmd -w REG -p "policyname" -x

-y

   取消指派策略

   如: ipseccmd -w REG -p "policyname" -y

 

-o 删除-p指定的策略

   删除策略前，策略必须没有指派

   如: ipseccmd -w REG -p "policyname" -y

       ipseccmd -w REG -p "policyname" -o

 

5.Demo(myipseccmd.bat)

 

@echo off

if "%1" == "" (echo Usage: %0 psk) else (

set psk=%1

echo ipseccmd is running, please wait...

ipseccmd -w REG -p "myicmp" -y

ipseccmd -w REG -p "myicmp" -r "myping" -f 0+*::ICMP -1s 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1 -1k 10Q/3600S -n ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]100000k/3600sPFS2 INPASS -a PRESHARE:%psk% -x )