При поддержке компании Mobatime Systems: лидера в разработке, производстве и продаже приборов и систем времени. Подробнее...
Сайт · Форум · Инструменты WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки

Шаблоны

New_WindowsFAQ
Главная arrow FAQ arrow Командная строка arrow Ipseccmd
Ipseccmd Версия для печати
Автор SavageNoName   

Служит для настройки политик IPSec (Internet Protocol Security) в службе каталогов либо в локальном или удаленном реестре. Ipseccmd является альтернативой для командной строки оснастке консоли MMC «Политики безопасности IP». Ipseccmd имеет три режима: динамический, статический и режим запроса.

Чтобы просмотреть синтаксис команды, щелкните команду:

Динамический режим ipseccmd

Динамический режим Ipseccmd служит для добавления анонимных правил в имеющуюся политику безопасности IPSec путем добавления их в базу данных политик безопасности IPSec. Добавленные правила будут присутствовать даже после перезапуска службы «Службы IPSEC». Преимуществом использования динамического режима является сосуществование добавляемых правил с политикой IPSec домена. По умолчанию используется динамический режим Ipseccmd.

Синтаксис

  • Для добавления правила используется следующий синтаксис:

    ipseccmd [\\имя_компьютера] -f список_фильтров [-n список_политик_согласования] [-t адрес_туннеля] [-a список_способов_пров_подлинности] [-1s список_методов_безопасности] [-1k параметры_смены_ключа] [-1p] [-1f список_фильтров_осн_режима] [-1e срок_действия] [-soft] [-confirm] [{-dialup | -lan}]

  • Для удаления всех динамических политик используется следующий синтаксис:

    ipseccmd -u

Параметры

\\имя_компьютера Имя локального или удаленного компьютера, на который требуется добавить правило. -f список_фильтров Необходим в первом случае. Одно или несколько определений фильтра, разделенных пробелами, для быстрого режима сопоставления безопасности. Каждое определение фильтра включает набор сетевого трафика, к которому относится это правило. -n список_политик_согласования Один или несколько методов безопасности, разделенных пробелами, для защиты трафика, определенного списком фильтров. -t адрес_туннеля Конечная точка туннеля для режима туннеля, заданная как IP-адрес или имя в системе DNS. -a список_способов_пров_подлинности Один или несколько способов проверки подлинности, разделенных пробелами. -1s список_методов_безопасности Один или несколько методов обеспечения безопасности при обмене ключами, разделенных пробелами. -1k параметры_смены_ключа Параметры смены ключа в основном режиме сопоставления безопасности. -1p Включение основного ключа безопасной пересылки. -1f список_фильтров_осн_режима Одно или несколько определений фильтров для сопоставлений безопасности основного режима, разделенных пробелами. -1e срок_действия Срок действия мягких сопоставлений безопасности в секундах. -soft Включение мягких сопоставлений безопасности. -confirm Запрос подтверждения перед добавлением правила или политики. {-dialup | -lan} Применение правила только к подключениям удаленного доступа и подключениям через телефон либо к подключениям через локальную сеть. -u Необходим во втором случае. Удаление всех динамических правил. /? Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для настройки правил на компьютерах, работающих под управлением Windows 2000.
  • Если не задан параметр имя_компьютера, правило будет применено к локальному компьютеру.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, в политику которого требуется добавить правило.
  • Для параметра -f определение фильтра представляет собой один или несколько фильтров, разделенных пробелами и представленных в следующем формате:

    исходный_адрес/исходная_маска:исходный_порт =конечный_адрес/конечная_маска:конечный_порт:протокол

    • Значения исходная_маска, исходный_порт, конечная_маска и конечный_порт являются необязательными. Если они не указаны, в фильтре будет использована маска 255.255.255.255 и все порты.
    • Значение протокол является необязательным. Если оно не указано, в фильтре будут использованы все протоколы. Если протокол задан, необходимо также задать порт либо поставить перед протоколом два двоеточия (::). (См. первый пример для динамического режима.) Протокол должен быть последним элементом фильтра. Можно использовать следующие обозначения протоколов: ICMP, UDP, RAW или TCP.
    • Заменяя знак «равно» (=) знаком «плюс» (+), можно создавать отраженные фильтры.
    • Значения исходный_адрес/исходная_маска или конечный_адрес/конечная_маска можно заменять значениями из следующей таблицы.

      Значение

      Описание

      0

      Локальный адрес или локальные адреса

      *

      Любой адрес

      DNS-имя

      DNS-имя домена. Если DNS-имени сопоставлено несколько адресов, оно не учитывается.

      Код GUID

      Глобальный уникальный идентификатор (GUID) интерфейса локальной сети в форме {12345678-1234-1234-1234-123456789ABC}. Задание кода GUID не поддерживается при использовании параметра -n в статическом режиме.

    • Задав определение фильтра default, можно включить правило отклика по умолчанию.
    • Разрешающий фильтр можно задать, заключив определение фильтра в скобки. Блокирующий фильтр можно задать, заключив определение фильтра в квадратные скобки ([ ]).
    • Если для адресов Интернета используются маски подсети на основе классов (маски подсети, определенные границами октетов), для задания масок подсети можно использовать подстановочные знаки. Например, 10.*.*.* является тем же, что и 10.0.0.0/255.0.0.0, а 10.92.*.* — тем же, что и 10.92.0.0/255.255.0.0.

    Примеры фильтров

    Чтобы создать отраженные фильтры для фильтрации TCP-трафика между Computer1 и Computer2, введите:

    Computer1+Computer2::TCP

    Чтобы создать фильтр для всего TCP-трафика из подсети 172.31.0.0/255.255.0.0, порт 80, в подсеть 10.0.0.0/255.0.0.0, порт 80, введите:

    172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP

    Чтобы создать отраженный фильтр для передачи трафика между локальным IP-адресом и IP-адресом 10.2.1.1, введите:

    (0+10.2.1.1)

  • Для параметра -n одна или несколько политик согласования разделяются пробелами и задаются в одной из следующих форм:
    • esp[алг_шифрования,алг_пров_подлинности]смена_ключаPFS[группа]
    • ah[алг_хеширования]
    • ah[алг_хеширования]+esp[алг_шифрования,алг_пров_подлинности]

    где алг_шифрования может иметь значение none, des или 3des, алг_пров_подлинности может иметь значение none, md5 или sha, а алг_хеширования может иметь значение md5 или sha.

    • Конфигурация esp[none,none] не поддерживается.
    • Параметр sha соответствует алгоритму хеширования SHA1.
    • Параметр смена_ключа необязателен, и он задает количество килобайт (на что указывает буква K после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в быстром режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в быстром режиме сопоставления безопасности сменялся через каждый час и через каждые 5 мегабайт данных, введите:

      3600S/5000K

    • Параметр PFS является необязательным, он включает сеансовые циклы безопасной пересылки. По умолчанию сеансовые циклы безопасной пересылки отключены
    • Параметр группа является необязательным, он включает группу Диффи-Хелмана для сеансовых циклов безопасной пересылки. Для низкой группы (1) Диффи-Хелмана следует задавать значение PFS1 или P1. Для средней группы (2) Диффи-Хелмана следует задавать значение PFS2 или P2. По умолчанию значение группы сеансовых циклов безопасной пересылки берется из текущих параметров основного режима.
    • Если не заданы политики согласования, по умолчанию используются следующие политики согласования:
      • esp[3des,sha]
      • esp[3des,md5]
      • esp[des,sha]
      • esp[des,md5]
  • Если параметр -t не задан, используется режим транспорта IPSec.
  • Для параметра -a один или несколько способом проверки подлинности разделяются пробелами и задаются в одной из следующих форм:
    • preshare:"строка_общего_ключа"
    • kerberos
    • cert:"центр_серт"

    Параметр строка_общего_ключа задает строку знаков общего ключа. Параметр центр_серт задает отличительное имя сертификата, отображаемое в окне оснастки «Политики безопасности IP», когда этот сертификат выбран в качестве способа проверки подлинности для правила. Регистр в значениях параметров строка_общего_ключа и центр_серт имеет значение. Название способа можно сокращать, указывая только первую букву: p, k или c. Если параметр -a не задан, по умолчанию используется способ проверки подлинности Kerberos.

  • Для параметра -1s один или несколько методов безопасности смены ключа разделяются пробелами и задаются в следующем формате:

    алг_шифрования-алг_хеширования-номер_группы

    где алг_шифрования может иметь значение des или 3des, алг_хеширования может иметь значение md5 или sha, а номер_группы может иметь значение 1 для низкой (1) группы Диффи-Хелмана или 2 для средней (2) группы Диффи-Хелмана. Если параметр -1s не задан, по умолчанию используются методы безопасности смены ключа 3des-sha-2, 3des-md5-2, des-sha-1 и des-md5-1.

  • Для параметра -1k можно задать количество сопоставлений безопасности быстрого режима (на что указывает буква Q после числа) или количество секунд (на что указывает буква S после числа), после которых происходит смена ключа сопоставления безопасности в основном режиме. Чтобы указать оба параметра смены ключа, разделите два числа косой чертой (/). Например, чтобы ключ в основном режиме сопоставления безопасности сменялся через каждые 10 сопоставлений безопасности быстрого режима и через каждый час, введите:

    10Q/3600S

    Если параметр -1k не задан, по умолчанию смена ключа для основного режима происходит через неограниченное количество сопоставлений безопасности быстрого режима и через каждые 480 минут.

  • По умолчанию основной ключ безопасной пересылки отключен.
  • Для параметра -1f синтаксис задания определения фильтра основного режима тот же, что и для параметра -f, за исключением того, что нельзя задавать разрешающие фильтры, блокирующие фильтры, порты и протоколы. Если параметр -1f не задан, фильтры основного режима создаются автоматически на основе фильтров быстрого режима.
  • Если параметр -1e не задан, срок действия для мягких сопоставлений безопасности равен 300 секунд. Однако, если не задан параметр -soft, мягкие сопоставления безопасности отключены.
  • Подтверждение доступно только в динамическом режиме.
  • Если не задан ни параметр -dialup, ни параметр -lan, правило будет применено ко всем адаптерам.

Примеры

Чтобы создать правило, использующее заголовок проверки подлинности (AH) с хешированием MD5 для всего входящего и исходящего трафика локального компьютера, введите:

ipseccmd -f 0+* -n ah[md5]

Чтобы создать правило туннеля для трафика с адресов 10.2.1.1 и 10.2.1.13 с использованием конечной точки туннеля 10.2.1.13, режимом туннеля AH с использованием алгоритма хеширования SHA1 и включенным основным ключом безопасной пересылки, а также с выдачей запроса перед созданием правила, введите:

ipseccmd -f 10.2.1.1=10.2.1.13 -t 10.2.1.13 -n ah[sha] -1p -c

Чтобы создать правило на компьютере corpsrv1 для всего трафика между компьютерами corpsrv1 и corpsrv2 с использованием сочетания AH и ESP (Encapsulating Security Payload) и проверкой подлинности с помощью общего ключа, введите:

ipseccmd \\corpsrv1 -f corpsrv2+corpsrv1 -n ah[md5]+esp[des,sha] -a p:"corpauth"

Статический режим ipseccmd

Статический режим Ipseccmd служит для создания именованных политик и именованных правил. Используя статический режим, также можно изменять имеющиеся политики и правила, если они созданы с помощью Ipseccmd. Синтаксис статического режима объединяет синтаксис динамического режима с параметрами, позволяющими ему работать на уровне политики.

Синтаксис

ipseccmd параметры_динамического_режима -w тип[:расположение] -p имя_политики[:интервал_опроса] -r имя_правила [{-x | -y}] [-o]

Параметры

параметры_динамического_режима Обязательный параметр. Задает набор описанных ранее параметров динамического режима для правила IPSec. -w тип[:расположение] Обязательный параметр. Задает запись политик и правил в локальный реестр, реестр удаленного компьютера или домен Active Directory. -p имя_политики[:интервал_опроса] Обязательный параметр. Задает имя политики и интервал ее обновления в минутах. Если значение имя_политики содержит пробелы, его следует заключать в кавычки (т. е. "имя_политики"). -r имя_правила Обязательный параметр. Задает имя правила. Если значение имя_правила содержит пробелы, его следует заключать в кавычки (т. е. "имя_правила"). [{-x | -y}] Назначение политики локального реестра. Параметр -x задает назначение политики локального реестра. Параметр отменяет назначение политики локального реестра. -o Удаление правила или политики. /? Отображение справки в командной строке.

Заметки

  • Для параметра -w атрибут тип должен иметь значение reg для выбора реестра локального или удаленного компьютера либо значение ds для выбора Active Directory.
    • Если атрибут тип имеет значение reg, но значение расположение не задано, правило будет создано в реестре локального компьютера.
    • Если атрибут тип имеет значение reg и в качестве атрибута расположение задано имя удаленного компьютера, правило будет создано в реестре этого удаленного компьютера.
    • Если атрибут тип имеет значение ds, но значение расположение не задано, правило будет создано в домене Active Directory, в который входит локальный компьютер.
    • Если атрибут тип имеет значение ds и в качестве атрибута расположение задан домен Active Directory, правило будет создано в этом домене.
  • Если политика, заданная в параметре -p, уже существует, указанное правило будет добавлено в эту политику. В противном случае будет создана политика с указанным именем. Если в качестве интервала_опроса задано целое число, для данной политики будет установлен этот интервал опроса в минутах.
  • Если правило, имя которого задано в параметре -r, уже существует, оно будет изменено в соответствии с заданными параметрами. Например, если включить параметр -f для имеющегося правила, будут заменены только фильтры этого правила. Если правила с указанным именем не существует, оно будет создано.
  • Если задан параметр -o, все параметры указанной политики будет удалены. Не используйте этот параметр, если имеются другие политики, ссылающиеся на объекты в политике, которую требуется удалить.
  • Использование статического режима отличается от использования динамического режима в одном отношении. В динамическом режиме разрешающие и блокирующие фильтры задаются в списке_фильтров, следующем за параметром -f. В статическом режиме разрешающие и блокирующие фильтры задаются в списке_политик_согласования, следующем за параметром -n. Вдобавок к параметрам динамического режима, описанным в списке_политик_согласования, в статическом режиме также можно использовать параметры block, pass и inpass. В следующей таблице приведена таблица со списком и описанием этих параметров.

    Параметр

    Описание

    block

    Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются блокирующими.

    pass

    Остальные политики в списке_политик_согласования не учитываются, а все фильтры считаются разрешающими.

    inpass

    Фильтры входящего трафика позволяют сначала устанавливать небезопасное подключение, но все последующие ответы будут безопасными с использованием IPSec.

Примеры

Чтобы создать политику «Политика домена» с 30-минутным интервалом обновления в домене Active Directory, членом которого является локальный компьютер, с правилом «Безопасные серверы» для трафика между локальным компьютером и компьютерами SecuredServer1 и SecuredServer2 с использованием способов проверки подлинности Kerberos и общим ключом, введите:

ipseccmd -f 0+SecuredServer1 0+SecuredServer2 -a k p:"corpauth" -w ds -p "Политика домена":30 -r "Безопасные серверы"

Чтобы создать и назначить локальную политику «Весь трафик» и правило «Защита трафика», используя отраженный фильтр, всему трафику локального компьютера с использованием общего ключа в качестве способа проверки подлинности, введите:

ipseccmd -f 0+* -a p:"localauth" -w reg -p "Весь трафик" -r "Защита трафика" -x

Режим запроса ipseccmd

Режим запроса Ipseccmd служит для просмотра данных из базы данных политик безопасности IPSec.

Синтаксис

ipseccmd [\\имя_компьютера] show {{[filters] | [policies] | [auth] | [stats] | [sas]} | all}

Параметры

\\имя_компьютера Имя удаленного компьютера, данные которого требуется просмотреть. show Обязательный параметр. Запуск Ipseccmd в режиме запроса. filters Отображение фильтров основного и быстрого режимов. policies Отображение политик основного и быстрого режимов. auth Отображение способов проверки подлинности основного режима. stats Отображение статистики протоколов IKE и IPSec. sas Отображение сопоставлений безопасности основного и быстрого режимов. all Отображение всех данных. /? Отображение справки в командной строке.

Заметки

  • Команду Ipseccmd нельзя использовать для отображения данных IPSec на компьютерах, работающих под управлением Windows 2000.
  • Если параметр имя_компьютера не задан, отображаются сведения о локальном компьютере.
  • Если используется параметр имя_компьютера, его необходимо задавать перед всеми остальными параметрами, а также обладать правами администратора на компьютере, данные которого требуется просмотреть.

Примеры

Для отображения фильтров и политик основного и быстрого режимов локального компьютера введите:

ipseccmd show filters policies

Для отображения всех сведений IPSec удаленного компьютера Server1 введите:

ipseccmd \\Server1 show all

 
< Ipconfig   Ipxroute >

Сервер NTP

Время, полученное с NTP-сервера. Для просмотра должен быть разрешён Java-script.
Время, полученное с Вашего компьютера. Для просмотра должен быть разрешён Java-script.

Доступ к серверу NTP первого стратума
Подробнее

На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2016
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 12 лет, 7 месяцев и 12 дней. Форуму 15 лет, 11 месяцев и 25 дней.