visable.png

Guide utilisateurIM 350/430 series

IPsec IKE

Pour afficher ou spécifier les paramètres d'échange automatique de clés de cryptage, utilisez la commande « ipsec ike ».

Affichage des paramètres actuels

msh> ipsec ike {1|2|3|4|default}

  • Pour afficher les paramètres 1-4, saisissez un chiffre compris entre [1-4].

  • Pour afficher le paramètre par défaut, définissez [default].

  • En l'absence de valeur définie, l'ensemble des paramètres s'affiche.

Désactivation des paramètres

msh> ipsec ike {1|2|3|4|default} disable

  • Pour désactiver les paramètres 1-4, saisissez le chiffre compris entre [1-4].

  • Pour désactiver les paramètres par défaut, définissez [default].

Indiquez l'adresse locale/distante spécifique à l'utilisateur.

msh> ipsec ike {1|2|3|4} {ipv4|ipv6} "local address" "remote address"

  • Saisissez le numéro de paramètre séparé [1-4], puis le type d'adresse afin de définir l'adresse locale et l'adresse distante.

  • Pour définir les valeurs de l'adresse locale et de l'adresse distante, définissez le champ masklen en saisissant [/] suivi d'un entier compris entre 0 et 32 s'il s'agit d'une adresse IPv4. S'il s'agit d'une adresse IPv6, définissez le champ masklen en saisissant [/] suivi d'un entier compris entre 0 et 128.

  • En l'absence d'une valeur d'adresse, le paramètre actuel s'affiche.

Définition du type d'adresse dans le paramètre par défaut

msh> ipsec ike default {ipv4|ipv6|any}

  • Définissez le type d'adresse du paramètre par défaut.

  • Pour utiliser IPv4 et IPv6, saisissez [any].

Paramétrage de stratégie de sécurité

msh> ipsec ike {1|2|3|4|default} proc {apply|bypass|discard}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la stratégie de sécurité correspondant à l'adresse définie dans le paramètre sélectionné.

  • Pour appliquer IPsec aux paquets appropriés, saisissez [apply]. Pour ne pas appliquer IPsec, saisissez [bypass].

  • Si vous saisissez [discard], tous les paquets auxquels IPsec peut être appliqué sont rejetés.

  • En l'absence de définition d'une stratégie de sécurité, le paramètre actuel s'affiche.

Définition du protocole de sécurité

msh> ipsec ike {1|2|3|4|default} proto {ah|esp|dual}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le protocole de sécurité.

  • Pour définir AH, saisissez [ah]. Pour définir ESP, saisissez [esp]. Pour définir AH et ESP, saisissez [dual].

  • En l'absence de définition d'un protocole, le paramètre actuel s'affiche.

Paramétrage du niveau d'exigence IPsec

msh> ipsec ike {1|2|3|4|default} level {require|use}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le niveau d'exigence IPsec.

  • Si vous saisissez [require], les données ne sont pas transmises lorsqu'IPsec ne peut pas être utilisé. Si vous saisissez [use], les données sont transmises normalement si IPsec ne peut pas être utilisé. Si IPsec peut être utilisé, la communication IPsec est établie.

  • En l'absence de définition d'un niveau d'exigence, le paramètre actuel s'affiche.

Paramétrage du mode d'encapsulation

msh> ipsec ike {1|2|3|4|default} mode {transport|tunnel}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez le mode d'encapsulation.

  • Pour définir le mode transport, saisissez [transport]. Pour définir le mode tunnel, saisissez [tunnel].

  • Si vous avez défini le type d'adresse dans le paramètre par défaut sur [any], vous ne pouvez pas utiliser le mode d'encapsulation [tunnel].

  • En l'absence de définition d'un mode d'encapsulation, le paramètre actuel s'affiche.

Paramétrage des points limites du tunnel

msh> ipsec ike {1|2|3|4|default} tunneladdr "beginning IP address" "ending IP address"

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'adresse IP initiale et finale des points limites du tunnel.

  • En l'absence de définition de l'adresse initiale ou de l'adresse finale, le paramètre actuel s'affiche.

Paramétrage de la méthode d'authentification du partenaire IKE

msh> ipsec ike {1|2|3|4|default} auth {psk|rsasig}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis définissez la méthode d'authentification.

  • Saisissez [psk] pour utiliser une clé partagée en tant que méthode d'authentification. Saisissez [rsasig] pour utiliser un certificat en tant que méthode d'authentification.

  • Vous devez également saisir la chaîne de caractères PSK lorsque vous sélectionnez [psk].

  • Veuillez noter que si vous sélectionnez « Certificat », le certificat pour IPsec doit être installé et configuré avant de pouvoir être utilisé. Pour installer et définir le certificat, utilisez un navigateur Web à partir d'ordinateurs en réseau. (Nous utilisons Web Image Monitor installé sur cet appareil.)

Paramétrage de la chaîne de caractères PSK

msh> ipsec ike {1|2|3|4|default} psk "PSK character string"

  • Si vous sélectionnez PSK en tant que méthode d'authentification, saisissez le numéro de paramètre séparé [1-4] ou [default], puis saisissez la chaîne de caractères PSK.

  • Saisissez la chaîne de caractères en utilisant le code ASCII. Aucune abréviation n'est autorisée.

Paramétrage de l'algorithme de hachage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 hash {md5|sha1|sha256|sha384|sha512}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de hachage de la SA ISAKMP (phase 1).

  • En l'absence de définition de l'algorithme de hachage, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 encrypt {des|3des|aes128|aes192|aes256}

  • Saisissez le numéro de paramètre séparé [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA ISAKMP (phase 1).

  • En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage du groupe Diffie-Hellman de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 dhgroup {1|2|14}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez le numéro du groupe Diffie-Hellman de la SA ISAKMP (phase 1).

  • Définissez le numéro de groupe à utiliser.

  • En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA ISAKMP (phase 1)

msh> ipsec ike {1|2|3|4|default} ph1 lifetime "validity period"

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez la durée de vie de la SA ISAKMP (phase 1).

  • Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

  • En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Paramétrage de l'algorithme d'authentification de la SA ISAKMP (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 auth {hmac-md5|hmac-sha1|hmac-sha256|hmac-sha384|hmac-sha512}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez l'algorithme d'authentification de la SA ISAKMP (phase 2).

  • Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

  • En l'absence de définition d'un algorithme d'authentification, le paramètre actuel s'affiche.

Paramétrage de l'algorithme de cryptage de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 encrypt {null|des|3des|aes128|aes192|aes256}

  • Saisissez le numéro du paramètre [1-4] ou [default] puis définissez l'algorithme de cryptage de la SA ISAKMP (phase 2).

  • Séparez les différentes entrées d'algorithmes d'authentification par une virgule (,). Les valeurs de paramétrage actuelles s'affichent dans l'ordre des priorités.

  • En l'absence de définition de l'algorithme de cryptage, le paramètre actuel s'affiche.

Paramétrage de la propriété PFS de la SA IPsec (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 pfs {none|1|2|14}

  • Saisissez le numéro du paramètre [1-4] ou [default], puis définissez le numéro de groupe Diffie-Hellman de la SA ISAKMP (phase 2).

  • Définissez le numéro de groupe à utiliser.

  • En l'absence de définition d'un numéro de groupe, le paramètre actuel s'affiche.

Paramétrage de la durée de vie de la SA IPSEC (phase 2)

msh> ipsec ike {1|2|3|4|default} ph2 lifetime "validity period"

  • Saisissez le numéro du paramètre [1-4] ou [default], puis définissez la durée de vie de la SA IPsec (phase 2).

  • Saisissez la durée de validité (en secondes) à l'aide d'une valeur comprise entre 300 et 172 800.

  • En l'absence de définition d'une durée de validité, le paramètre actuel s'affiche.

Réinitialisation des valeurs de paramétrage

msh> ipsec ike {1|2|3|4|default|all} clear

  • Saisissez le numéro de paramètre séparé [1-4] ou [default], puis réinitialisez le paramètre défini. En saisissant [all], l'ensemble des paramètres, y compris les paramètres par défaut, sont réinitialisés.