ipseccmd 学习笔记
来源:互联网 发布:java 线程 static 编辑:程序博客网 时间:2024/05/19 23:59
转载请注明出处: http://blog.csdn.net/zhangyang0402/archive/2010/06/13/5670132.aspx
ipseccmd是配置ipsec安全策略的命令行工具,在Windows XP Service Pack 2 Support Tools中。只能在Winodws XP(除Home版)和Windows server 2003中使用,Windows server 2000中使用ipseccol
一、下载安装ipseccmd
1. 在MS官方网站上
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38下载Windows XP Service Pack 2 Support Tools
2. 安装WindowsXP-KB838079-SupportTools-ENU.exe, 选择complete安装,默认安装路径为C:/Program Files/Support Tools
二、使用ipseccmd
1. 启动policyagent service
使用ipseccmd.exe前,应先启动PolicyAgent服务
sc config policyagent start= auto
sc start policyagent
2.查看ipsec配置(show mode)
格式:ipseccmd show optionname
查看组策略对象: ipseccmd show gpo
查看策略: ipseccmd show policies
查看规则: ipseccmd show filters
查看认证方法: ipseccmd show auth
查看统计信息: ipseccmd show stats
查看SA: ipseccmd show sas
查看所有: ipseccmd show all
3.配置ipsec(dynamic mode)
-f FilterList
筛选器列表
格式:A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]
(1)ip可由通配符表示
0: 本机地址
*:任意地址
(2)mask, port, protocol都是可选的,默认值依次是255.255.255.255, 任意端口,所有协议
(3)方向问题
使用=表示从src ip到dst ip,左边是src ip, 右边是dst ip
使用+表示mirror,是双向的,既有从src ip到dst ip,又有dst ip到src ip
(4)protocol:若使用协议,则前面要指定端口(port:protocol)或不指定端口(::protocol)
-n NegotiationMethodList
指定协商方法列表(AH,ESP,Rekey, PFS,GROUP)
NegotiationMethodList格式:
ESP[ConfAlg,AuthAlg]RekeyPFS<Group>
AH[HashAlg]RekeyPFS<Group>
AH[HashAlg]+ESP[ConfAlg,AuthAlg]RekeyPFS<Group>
默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]
如ESP[DES,MD5]100000k/3600sPFS2
-a AuthMethodList
指定认证方法(Kerberos, CA, PSK)
KERBERO
CERT:"<CA info>", e.g. CERT:"CN=CA1,OU=O,O=MEME,C=DE,E=ME@here"
PRESHARE:"<preshared key>"
如指定PSK: -a PRESHARE:"654321"
-1s SecurityMethodList
指定Main Mode使用的加密算法,HASH算法,DH
格式: ConfAlg-HashAlg-GroupNum
如:-ls 3DES-SHA-2
默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1
-1k MMRekeyTime
指定经过多少个Quick Mode或秒重新生成Main Mode SA
如: -lk 10Q/3600S 经过10个Quick Mode 或3600秒就重新协商新的Main Mode SA
默认值是480分钟
4.配置ipsec(static mode)
-n BLOCK|PASS|INPASS
指定筛选器操作
-w REG|PERS
指定策略写入的位置
-p PolicyName
指定策略名称
-r RuleName
指定规则名称
-x
指派策略
如: ipseccmd -w REG -p "policyname" -x
-y
取消指派策略
如: ipseccmd -w REG -p "policyname" -y
-o 删除-p指定的策略
删除策略前,策略必须没有指派
如: ipseccmd -w REG -p "policyname" -y
ipseccmd -w REG -p "policyname" -o
5.Demo(myipseccmd.bat)
@echo off
if "%1" == "" (echo Usage: %0 psk) else (
set psk=%1
echo ipseccmd is running, please wait...
ipseccmd -w REG -p "myicmp" -y
ipseccmd -w REG -p "myicmp" -r "myping" -f 0+*::ICMP -1s 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1 -1k 10Q/3600S -n ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]100000k/3600sPFS2 INPASS -a PRESHARE:%psk% -x )
- ipseccmd 学习笔记
- ipseccmd
- ipseccmd命令解析
- ipseccmd:命令行更改IP安全策略工具
- 命令行更改IP安全策略工具(ipseccmd)
- 学习笔记?
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- Mysqldb使用
- locate 命令的用法
- android OS Service
- 很飘忽
- javascript 语法词典(引用)
- ipseccmd 学习笔记
- How to setup build env. by OSS maintenance man in SAMSUNG
- ASP编程开发常用的代码
- strcpy与strncpy的区别
- QQ、旺旺、MSN、SKYPE在线代码生成!
- 用createEventObject来模拟事件参数
- 网站变黑白色CSS代码
- DotNet FrameWork 4.0中ArcEngine组件中不能构造类解决方法
- 抽象类接口区别2