IPSEC_AUTO(8) － 控制IPsec连接

IPSEC_AUTO

---

NAME

ipsec_auto - 控制IPsec连接

---

SYNOPSIS

ipsec auto [--show] [--showonly] [--asynchronous]

          [--config configfile] [--verbose] operation connection

---

EXAMPLES

ipsec auto { --add | --delete | --replace | --up | --down } connection

ipsec auto { --status | --ready } connection

ipsec auto { --route | --unroute } connection

ipsec auto [--utc] [--listall | --rereadall] [--rereadsecrets] [--listcerts] [--listpubkeys] [--checkpubkeys] [--listcacerts | --rereadcacerts] [--listcrls | --rereadcrls] 

               [[--listocspcerts | --rereadocspcerts ] [--listocsp | --purgeocsp ]] [--listacerts | --rereadacerts] [--listaacerts | --rereadaacerts] [--listgroups | --rereadgroups] 

---

DESCRIPTION

Auto

--add 增加一个连接信息到pluto内部数据库；如果pluto已存在同名则失败。--delete 从pluto数据库中删除一个连接信息（同时拆除由这条信息建立起来的隧道）；如果不存在则失败。

--replace 相当于先 --delete 再进行 --add 操作，用于替换pluto中的连接信息。当策略组文件发生变化时要进行 --rereadgroups操作。

--up 操作通知pluto根据内部数据库信息进行隧道连接建立。--down 通知pluto拆除隧道连接。

通常情况下，pluto进行 --up 操作建立隧道连接同时也会建立一条路由。然而，路由的建立只能由 --route 实现。？？？

通常情况下，pluto进行 --down 操作后，路由还会存在，使用 --unroute 操作可以删除 （--delete 也会隐藏删除）

--ready 通知pluto监听对端的连接请求。 在 --ready 前执行 --up 不能正常工作。

--status 通知pluto输出当前连接状态

--rereadsecrets 通知pluto重新加载 /etc/ipsec.secrets 文件。通常是在 --ready 时加载的

--rereadcacerts 把 /etc/ipsec.d/cacerts/ 目录中的证书文件加载到pluto CA证书列表中

--rereadaacerts 把 /etc/ipsec.d/aacerts/ 目录中的证书文件加载到pluto权威授权证书（AA）列表中

--rereadocspcerts 把 /etc/ipsec.d/ocspcerts/ 目录中的证书文件加载到pluto OCSP证书列表中

--rereadacerts 把 /etc/ipsec.d/acerts/ 目录中的证书文件加载到pluto的属性证书列表中

--rereadcrls 把 /etc/ipsec.d/clrs/ 目录中的CRL证书加载到pluto CRL证书列表中

--rereadall 相当于加载上面所有以 --reread* 开头的内容

--listpubkeys 列出IKE协商中从对端接收到的RSA公钥和本地在 ipsec.conf 中配置的RSA公钥

--listcerts 列出本地在所有证书信息

--checkpubkeys 列出过期的X509证书

--listcacerts 列出本地 /etc/ipsec.d/cacerts/ 目录中的CA证书，或IKE协商中接收到的PKCS#7封装的CA证书

--listaacerts 列出本地 /etc/ipsec.d/aacerts/ 目录中的AA证书

--listocspcerts 列出本地 /etc/ipsec.d/ocspcerts/ 目录中的OCSP证书，或从OCSP服务器中接收到的证书

--listacerts 列出本 /etc/ipsec.d/acerts/ 目录顺的属性证书

--listgroups 列出在 ipsec.conf 中定义的所有连接组，或者在X509属性证书中的组

--listcainfos 列出 ipsec.conf 中CA证书信息

--listcrls 列出本地 /etc/ipsec.d/crls/ 目录中的CRL证书，或从HTTP/LDAP服务器上动态获取的CRL证书

--listocsp 列出从OCSP服务器获取的证书状态

--purgeocsp 清除证书cache信息

--listall 列出所有信息

--showonly 显示运行命令，但不执行

--asynchronous 

--verbose 输出详细信息 ipsec_whack(8)

--config 指定IPsec配置文件（缺省 /etc/ipsec.conf）

---

FILES

     

     /etc/ipsec.conf                                        缺省IPSEC配置文件

     /etc/ipsec.d/                                           X509和机会加密（OE）文件

     /var/run/pluto/ipsec.info                          %defaultroute 信息

     /var/run/pluto/pluto.ctl                            Pluto命令socket