IPsec
NAME
IPsec - manipuloi IPsec SP / SA / todistuksen Tietokannat ja näytöt IPsec tilastotSYNOPSIS
IPSec-käytännön add [-s src_ip / prefixlen [portti]] [-t dst_ip / prefixlen [portti]]-p {esp | ah | none}[-E {des | 3DES | null} |-{sha1 | md5 | null}]-d {in | out}
[M]
[-F ip_protocol]
[-L {rajoittaa | Lupa}]
IPSec-käytäntö poistaa kaikki |-i index
[[-S src_ip |-t dst_ip]-d {in | out} [-m]]
IPSec-käytäntö osoittavat [-s src_ip] [-t dst_ip] [-f ip_protocol] [-d {in | out}] [-p {esp | ah}]
ipsec cert set [-c <tiedoston_nimi>-k <tiedoston_nimi>]
ipsec cert set [-r <file_name1> <file_name2> ..]
IPsec cert näyttely
IPsec SA-näyttely [spi
[-S src_ip-t dst_ip-p {esp | ah}]] [-v]
ipsec stats [-z]
KUVAUS
IPSec (Internet Protocol Security) on suojausprotokolla Internet Protocol kerroksessa. IPsec tarjoaa kaksi subprotocols, ESP (kapseloitu turvallisuus hyötykuorma) ja AH (Authentication Header). ESP suojaa IP hyötykuorman mistä salakuunteluoperaatioihin salaamalla se salaisen avaimen salauksen algoritmeja. AH takaa koskemattomuutta IP-paketin, ja suojaa sitä väli muutoksia tai matkimista, liittämällä salauksen tarkistussumman laskema yksisuuntainen hash toiminnot. Ipsec ohjataan johtoon moottorin ja politiikan moottori.Politiikan moottoria ohjataan IPSec-käytäntö komentoa, joka lisää, poistaa ja näyttää turvallisuuspolitiikan Database (SPD) merkinnät.
Johdon moottoria ohjataan keskeisten tiedonsiirtoprotokollan moduuli IKE (Internet Key Exchange). Kautta johtoon, Security Association (SA) on neuvoteltu kahden vuoden asemaa. Tätä SA käytetään turvallisen tietojen vaihtoa näiden kahden statons. IPsec SA-komento näyttää Security Association Database (SAD) merkinnät.
IKE neuvottelut liittyy todennusta. Tuki IKE authentication algoritmit ovat PSK-avaimet, Kerberos ja varmenteen. Tällä hetkellä Kerberos toimii Windows-ympäristössä vain. Kun IKE neuvottelu tapahtuu, filer tottelee varmennuspolitiikan määritetty kumppani. Täten jos kumppani on asennusohjelma PSK-avaimet, filer odottaa löytävänsä jaettu avain / etc / psk.txt tiedosto. Lisätietoja psk.txt, katso psk.txt. CIFS on tärkeä riippuvuutta Kerberos ja pitää konfiguroida. Varmennetodennusta tukee IKE Main tilassa RSA allekirjoitus todentamisen ja tukee X.509v3 (RFC 3280) varmenteiden PEM-muodossa.
IPsec tilastot komento näyttää joukko IPsec tilastoja.
VAIHTOEHDOT
-S lähde lähde turvallisen viestinnän määritetty IP-osoite tai IP-osoitteita, ja se voidaan liittää TCP / UDP-portti erittely. Tämä oli seuraavanlainen:Osoite Osoite / prefixlen osoite [portti] osoite / prefixlen [portti]
- -T kohde
- Määränpää turvalliseen viestintään. Siinä otetaan myös edellä lomakkeella.
- -P protokolla
- Määritä protokolla. Joko Esp (ESP perusteella rfc2405) tai ah (AH perustuu rfc2402) on käytetty.
- -E ealgo
- Määritä salausalgoritmi jos sopimuksessa määrättiin on esp. Valita 3DES jotta kolminkertainen Data Encryption Standard (DES) algoritmia, des käyttää DES-algoritmi tai nolla, ettei sillä ole salausta. Jos tätä vaihtoehtoa ei ole määritelty, paras algoritmi valitaan perustuu peer ominaisuuksia.
- -Aalgo
- Määritä authentication algoritmi. Sha1 käyttää 128-bittisellä avaimella ja MD5 käyttää 160 bitin avaimen. Voit valita parhaan neuvotellun algoritmi valita null.
- -D suunnassa
- Määritä suunta. Joko sisään tai ulos on käytetty.
- -M
- Poista Mirror Politiikan creation.By default peili politiikka, politiikka vastakkaiseen suuntaan lähde ja kohde-osoitteet käänteinen, luodaan.
- -F IP-protokollan
- Määritä Upper Layer Protocol, sillä numeerinen protokollanumero. Esim. 6 tcp tai 17 ja udp.
- -L tason
- Määritä tasolle. Rajoittaa tai käytetään luvassa. Rajoittaa avulla dataliikenne on käytössä vain pätevä Security Association (SA) saadaan. Luvan muodossa, jos yritys saada SA epäonnistuu, dataliikenteen ilman vakuutta käsittelyä.
- -I-indeksi
- Määritä indeksi turvallisuuspolitiikan tietokanta. Indeksi saadaan IPSec-politiikan osoittavat komennon.
- -Z
- Tyhjentää tilastot laskurit.
- -C käyttäjän sertifikaatti
- Määritä tiedoston nimi käyttäjän todistuksen. Varmenne on allekirjoittanut varmentaja (CA).
- -K näppäin
- Määritä tiedoston nimi ja yksityisen avaimen. Yksityinen avain vaadittiin tuottamia järjestelmänvalvoja saadakseen todistuksen.
- -R juurivarmenne (t)
- Määritä 1 korkeintaan 15 tiedostonimien luotettuja pääsertifikaatteja. Päävarmenne saadaan varmentaja (CA).
NÄYTÖT
Esitysmuoto IPSec-politiikka show on seuraava: Index IPAddress / prefix / portti / protokolla Dir / Policy Proto / SecLevel EALG: llä / aalg ------------------------- 2 172.25.0.0 / 16 / [ 139] / mitään -> in / IPSEC esp / rajoittaa 3des/sha1 172.25.102.47 / [kaikki] / kaikki 1 172.25.102.47 / [kaikki] / mitään -> out / IPSec ESP / rajoittaa 3des/sha1 172.25.0.0 / 16 / [139] / tahansa Alg / Valtion / Kie Current Bytes / CreatedTime SrcIPAddr-> DstIPAddr --------------------- esp/M/0001388 0/20 elokuu 2002 17:28:19 10.56 .19.172 -> 10.56.19.173
M Aikuinen ja aktiivinen. D Dead. d Dying. L Toukkien.
CLUSTER NÄKÖKOHDAT
Jokainen suudesta klusterissa ylläpitää omaa SPD ja SAD. Jos Tiedonluovuttajan on kumppani tilassa IPsec komento manipuloi SPD / SAD yhteistyökumppanin. Kun haltuunsa kaikki nykyiset suojauskäytännöt on epäonnistunut filer otetaan haltuun live filer. Valvontalaitosten olisi kuitenkin neuvoteltava uudelleen.
ESIMERKKEJÄ
IPSec-käytännön add-s 10.56.19.172/24 [139]-p ESP-e des-ah-D ipsec cert set-c my_cert-k my_key KATSO MYÖS
psk.txt, keymgrLIITETIEDOT
Tietokannat merkinnät ovat pysyviä koko uudestisyntynyt. Kaikki nykyiset suojauskäytännöt aikaan uudelleenkäynnistyksen säilyy. Jos IPsec on tarkoitus käyttää snapmirror sovellus, sitten ennalta jaettu näppäimet on tuettu vain todennusmekanismi.Copyright © 1994-2008 NetApp, Inc. Lakitiedote
