visable.png

Guide utilisateur

IPsec IKE

Pour afficher ou spécifier les paramètres d'échange automatique de clés de cryptage, utilisez la commande « ipsec ike ».

Affichage des paramètres actuels

msh> ipsec ike {1|2|3|4|default}

  • Pour afficher les paramètres 1-4, saisissez un chiffre compris entre [1-4].

  • Pour afficher le paramètre par défaut, définissez [default].

  • En l'absence de valeur définie, l'ensemble des paramètres s'affiche.

Désactivation des paramètres

msh> ipsec ike {1|2|3|4|default} disable

  • Pour désactiver les paramètres 1-4, saisissez le chiffre compris entre [1-4].

  • Pour désactiver les paramètres par défaut, définissez [default].

Indiquez l'adresse locale/distante spécifique à l'utilisateur.

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • Saisissez le numéro de paramètre séparé [1-4], puis le type d'adresse afin de définir l'adresse locale et l'adresse distante.

  • Pour définir les valeurs de l'adresse locale et de l'adresse distante, définissez le champ masklen en saisissant [/] suivi d'un entier compris entre 0 et 32 s'il s'agit d'une adresse IPv4. S'il s'agit d'une adresse IPv6, définissez le champ masklen en saisissant [/] suivi d'un entier compris entre 0 et 128.

  • En l'absence d'une valeur d'adresse, le paramètre actuel s'affiche.

Définition du type d'adresse dans le paramètre par défaut

msh> ipsec ike default {ipv4|ipv6|any}

  • Définissez le type d'adresse du paramètre par défaut.

  • Pour utiliser IPv4 et IPv6, saisissez [any].

Paramétrage de stratégie de sécurité

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la stratégie de sécurité correspondant à l'adresse définie dans le paramètre sélectionné.

  • Pour appliquer IPsec aux paquets appropriés, saisissez [apply]. Pour ne pas appliquer IPsec, saisissez [bypass].

  • Si vous saisissez [discard], tous les paquets auxquels IPsec peut être appliqué sont rejetés.

  • En l'absence de définition d'une stratégie de sécurité, le paramètre actuel s'affiche.

Définition du protocole de sécurité

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le protocole de sécurité.

  • Pour définir AH, saisissez [ah]. Pour définir ESP, saisissez [esp]. Pour définir AH et ESP, saisissez [dual].

  • En l'absence de définition d'un protocole, le paramètre actuel s'affiche.

Paramétrage du niveau d'exigence IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le niveau d'exigence IPsec.

  • Si vous saisissez [require], les données ne sont pas transmises lorsqu'IPsec ne peut pas être utilisé. Si vous saisissez [use], les données sont transmises normalement si IPsec ne peut pas être utilisé. Si IPsec peut être utilisé, la communication IPsec est établie.

  • En l'absence de définition d'un niveau d'exigence, le paramètre actuel s'affiche.

Paramétrage du mode d'encapsulation

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le mode d'encapsulation.

  • Pour définir le mode transport, saisissez [transport]. Pour définir le mode tunnel, saisissez [tunnel].

  • Si vous avez défini le type d'adresse dans le paramètre par défaut sur [any], vous ne pouvez pas utiliser le mode d'encapsulation [tunnel].

  • En l'absence de définition d'un mode d'encapsulation, le paramètre actuel s'affiche.

Paramétrage des points limites du tunnel

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'adresse IP initiale et finale des points limites du tunnel.

  • En l'absence de définition de l'adresse initiale ou de l'adresse finale, le paramètre actuel s'affiche.

Paramétrage de la méthode d'authentification du partenaire IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la méthode d'authentification.

  • Saisissez [psk] pour utiliser une clé partagée en tant que méthode d'authentification. Saisissez [rsasig] pour utiliser un certificat en tant que méthode d'authentification.

  • Vous devez également saisir la chaîne de caractères PSK lorsque vous sélectionnez [psk].

  • Veuillez noter que si vous sélectionnez « Certificat », le certificat pour IPsec doit être installé et configuré avant de pouvoir être utilisé. Pour installer et configurer le certificat, utilisez Web Image Monitor.

Paramétrage de la chaîne de caractères PSK

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • Si vous sélectionnez PSK en tant que méthode d'authentification, saisissez le numéro de paramètre séparé [1-4] ou [default], puis saisissez la chaîne de caractères PSK.

  • Saisissez la chaîne de caractères en utilisant le code ASCII. Aucune abréviation n'est autorisée.

Paramétrage de l'algorithme de hachage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de hachage de la SA ISAKMP (phase 1).

  • En l'absence de définition de l'algorithme de hachage, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA ISAKMP (phase 1).

  • En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage du groupe Diffie-Hellman de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez le numéro du groupe Diffie-Hellman de la SA ISAKMP (phase 1).

  • Définissez le numéro de groupe à utiliser.

  • En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez la durée de vie de la SA ISAKMP (phase 1).

  • Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

  • En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Paramétrage de l'algorithme d'authentification de la SA ISAKMP (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez l'algorithme d'authentification de la SA ISAKMP (phase 2).

  • Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

  • En l'absence de définition d'un algorithme d'authentification, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA ISAKMP (phase 2).

  • Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

  • En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage de la propriété PFS de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • Saisissez le numéro du paramètre [1-4] ou [default], puis définissez le numéro de groupe Diffie-Hellman de la SA ISAKMP (phase 2).

  • Définissez le numéro de groupe à utiliser.

  • En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA IPSEC (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • Saisissez le numéro du paramètre [1-4] ou [default], puis définissez la durée de vie de la SA IPsec (phase 2).

  • Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

  • En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Réinitialisation des valeurs de paramétrage

msh> ipsec ike {1|2|3|4|default|all} clear

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis réinitialisez le paramètre défini. En saisissant [all], l'ensemble des paramètres, y compris les paramètres par défaut, sont réinitialisés.