のipsec
によってクリスクランツ下Jul.07、2009、 マニュアルページ
NAME
のipsec - IPSecのSP / SA /証明書データベースおよびディスプレイIPSec統計情報を操作するSYNOPSIS
IPsecポリシーを追加 [-S src_ip / prefixlenの[ポート] [-T dst_ip / prefixlenの[ポート]]-P {ESP | AH |なし}[-E {DES | 3DES | NULL} |-A {SHA1 | MD5 | NULL}]-Dは{in | out}
[-M]
[-F ip_protocol]
[-L { 制限|許可を}]
-iをインデックス | IPSecポリシーをすべて削除
[-S src_ip |-T dst_ip]-Dは{in | out} [-M]
IPsecポリシーのshow [-S src_ip] [-T dst_ip] [-F ip_protocol] [-D は{in | out}] [-P {ESP | AH}]
IPSecの証明書セット [-C <file_name>の -K <file_name>は ]
IPSecの証明書セット [-R <file_name1> <file_name2> ..]
IPSecの証明書のショー
IPsec SAのショー [SPI
[-S src_ip-T dst_ip-P {ESP | AH}]] [-V]
IPSecの統計[-Z]
説明
IPSEC(インターネットプロトコルセキュリティ)は、インターネットプロトコル層のセキュリティプロトコルです。IPSecは 、次の2つのサブ、ESP(カプセル化セキュリティペイロード)およびAH(認証ヘッダ)によって提供されています。 ESPは、秘密鍵暗号化アルゴリズムでそれを暗号化することによって、盗聴からIPペイロードを保護します。 AHは、IPパケットの整合性を保証し、一方向ハッシュ関数によって計算された暗号のチェックサムを付加することによって、中間の改ざんや偽装から保護します。IPsecは 、鍵管理エンジンとポリシー·エンジンによって制御されます。ポリシーエンジンは、削除を追加し、セキュリティポリシーデータベース(SPD)のエントリが表示され、IPSecポリシーのコマンドによって制御されます。
キー管理エンジンは、鍵交換プロトコルモジュールIKE(インターネット鍵交換)によって制御されます。 キー管理により、セキュリティアソシエーション(SA)は、2つのエンドステーション間でネゴシエートされます。 このSAは、これら2つのstatons間でセキュアなデータ交換に使用されています。 ipsec saコマンドは、セキュリティアソシエーションデータベース(SAD)エントリが表示されます。
IKEネゴシエーションは認証が含まれます。 サポートされるIKE認証アルゴリズムは、事前共有キー、Kerberos認証と証明書の認証です。 現在のKerberos認証は、Windows環境で動作します。 IKEネゴシエーションが行われるとき、ファイラーは、パートナーで構成された認証ポリシーに従います。 パートナーは、事前共有キーの設定であればこのように、ファイラーは、/ etc / psk.txtファイルに事前共有鍵を見つけることを想定しています。 psk.txt内の詳細については、psk.txt内を参照してください。 CIFSは、Kerberos認証のための重要な依存関係であると設定する必要があります。 証明書の認証は、RSA署名認証を使用してIKEメインモードをサポートし、PEM形式のX.509v3証明(RFC 3280)の証明書をサポートしています。
ipsec statsコマンドは、IPSec統計情報のセットが表示されます。
OPTIONS
-sは ソース IPアドレスまたはIPアドレス範囲として指定された安全な通信の源、それはTCP / UDPポートの指定を伴う可能性があります。 これは次の形式を取ります。アドレスアドレス/ prefixlenのアドレス[ポート]アドレス/ prefixlenの[ポート]
- -tを デスティネーション
- 安全な通信の宛先。 また、これは上記の形式をとります。
- -p プロトコル
- プロトコルを指定します。 ESP(ESPは、RFC2405に基づく)またはAHのどちらかが(AH RFC2402に基づいて)使用されています。
- -eを ealgo
- 指定されたプロトコルに ESPの場合、暗号化アルゴリズムを指定します。 は、暗号化を持たないために、DESアルゴリズムまたは null を使用するトリプルデータ暗号化規格(DES)アルゴリズムは、DESを有効にするには、3DESを選択します。 このオプションが指定されていない場合、最適なアルゴリズムは、ピアの機能に基づいて選択されます。
- -aalgo
- 認証アルゴリズムを指定します。SHA1は 160ビットのキーを使用する128ビットのキーまたはMD5を使用する。 最高のネゴシエートされたアルゴリズムを選択するには、 ヌルを選択します。
- -dを 方向
- 方向を指定します。 in か out のいずれかで使用されています。
- -M
- ミラーポリシーcreation.Byデフォルトのミラーポリシーを無効にするには、送信元と宛先のアドレスを逆にした反対方向のポリシーは、作成されます。
- -F IP プロトコル
- 数値のプロトコル番号として、上位層プロトコルを指定します。 例えば、TCPのための6またはUDPの17。
- -lの レベル
- レベルを指定します。 制限する 、または許可に使用されます。有効なセキュリティアソシエーション(SA)が得られた場合を意味し、データトラフィックにのみ有効になっている制限されています 。SAを取得するための試行が失敗した場合の手段を許可し、データトラフィックは、任意のセキュリティ処理を行わずにです。
- -iの インデックス
- セキュリティポリシーデータベースのインデックスを指定します。 インデックスは、IPSecポリシーのshowコマンドによって取得されます。
- -Z
- 統計カウンタをクリアします。
- -Cの ユーザー証明書
- ユーザー証明書のファイル名を指定します。 証明書は証明機関(CA)によって署名されている。
- -k キー
- 秘密鍵のファイル名を指定します。 秘密鍵は証明書を取得するために必要な、管理者によって生成されました。
- -R のルート証明書(S)
- 信頼されたルート証明書の最大15のファイル名に1を指定します。 ルート証明書は証明機関(CA)から取得されます。
DISPLAYS
IPSecポリシーのshowの出力形式は次のとおりです。 インデックスIPAddressは/接頭辞/ポート/プロトコルディレクトリ/ポリシープロト/ SecLevel ealg / aalg ------------------------- 2 172.25.0.0 / 16 / [ 139] /すべての - >の/ IPSEC ESP /制限3des/sha1 172.25.102.47 / [任意] /任意の1 172.25.102.47 / [任意] /任意 - > /アウトIPSEC ESP /制限3des/sha1 172.25.0.0 / 16 / [139] /任意の ALG /状態/ SPI現在のバイト/ CreatedTime SrcIPAddr-> DstIPAddr --------------------- 2002年8月esp/M/0001388 0/20午後05時28分19秒10.56 .19.172 - > 10.56.19.173
M熟女とアクティブになります。 Dデッド。 Dが死亡しています。 L幼虫。
クラスタに関する考慮事項
クラスタ内の各ファイラは、独自のSPDとSADを維持しています。 ファイラーは、パートナ·モードにある場合、ipsecコマンドは、パートナーのSPD / SADを操作します。 失敗したファイラのすべての既存のセキュリティポリシーを引き継ぐときには、ライブファイラで撮影したオーバーされます。 SAは、しかし、再交渉する必要があります。例
IPsecポリシーのアドオンの10.56.19.172/24 [139]-P ESP-DESのe-AH-dの IPSecの証明書セットC my_cert-K my_key 関連項目
psk.txt内、keymgrNOTES
データベースのエントリはリブート永続的です。 リブート時にすべての既存のセキュリティポリシーが保持されます。 IPSecは、SnapMirrorのアプリケーションに使用される場合は、事前共有キーはサポートされている唯一の認証メカニズムです。著作権©1994-2008ネットアップ株式会社リーガル情報
応答を残しなさい
ねえ。 NetAppのネットワーク設計へようこそ!
立ち寄ってくれてありがとう! コメントを残すことによって議論に参加してお気軽に、とサブスクライブすることによって更新滞在RSSフィード 。 屋を参照してください!
翻訳者
