在通道数据库中生成通道定义。
gentun -s src_host_IP_address -d dst_host_IP_address -v 4|6 [-t tun_type] [-m pkt_mode] [-t IBM] [-t manual ] [-m tunnel ] [-m transport ] [-f fw_address] [-x dst_mask]] [-e [src_esp_algo]] [-a [src_ah_algo]] [-p src_policy] [-A [dst_ah_algo]] [-P dst_policy] [-k src_esp_key] [-h src_ah_key] [-K dst_esp_key] [-H dst_ah_key] [-n src_esp_spi] [-u src_ah_spi] [-N dst_esp_spi] [-U dst_ah_spi] [-b src_enc_mac_algo] [-c src_enc_mac_key] [-B dst_enc_mac_algo] [-C dst_enc_mac_key] [-g] [-z] [-E]
gentun 命令在本地主机和通道伙伴主机之间创建通道定义。关联的自动生成的通道过滤规则可以用该命令可选择的生成。
| -a | 认证算法由源主机用于 IP 数据包认证。-a 的有效值取决于主机上安装的是哪种认证算法。可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。手工通道的缺省值为 HMAC_MD5。 |
| -A | (只用于手工通道)认证算法由目标主机用于 IP 数据包认证。-A 的有效值取决于主机上安装的哪种认证算法。可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。如果不用这个标志,则用 -a 标志所使用的值。 |
| -b | (只用于手工通道)源主机 ESP 认证算法(仅限于新头格式)。-b 的有效值取决于主机上安装的是哪种认证算法。可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。 |
| -B | (只用于手工通道)目标主机 ESP 认证算法(仅限于新头格式)。-B 的有效值取决于主机上安装的是哪种认证算法。可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。如果不用这个标志,则被设置为与 -b 标志相同的值。 |
| -c | (只用于手工通道)源 ESP 认证密钥(仅限于新头格式)。这必须是一个以“Ox”为开始的十六进制字符串。如果不用这个标志,系统将为您生成一个标志。 |
| -C | (只用于手工通道)目标主机 ESP 认证密钥(仅限于新头格式)。这必须是一个以“Ox”为开始的十六进制字符串。如果不用这个标志,则被设置为与 -c 标志相同的值。 |
| -d | 目标主机 IP 地址。在主机对主机的模式中,这就是通道所用的目标主机接口的 IP 地址。在主机-防火墙-主机的模式中,这就是防火墙后面的目标主机的 IP 地址。主机名仍有效,且将使用名称服务器返回的主机名的第一个 IP 地址。 |
| -e | 加密算法,由源主机用于 IP 数据包加密。-e 的有效值取决于主机上安装的是哪些加密算法。可以通过签发 ipsecstat -E 命令来显示所有加密算法的列表。 |
| -E | (只用于手工通道)加密算法,由目标主机用于对 IP 数据包进行加密。-E 的有效值取决于主机上安装的是哪些加密算法。可以通过签发 ipsecstat -E 命令来显示所有加密算法。如果不用这个标志,则用 -e 标志所使用的值。 |
| -f | 在源主机和目标主机之间的防火墙的 IP 地址。在主机和防火墙之间将建立通道。因此,防火墙主机上必须加上相应的通道定义。主机名也可以用于这一标志中,且将使用名称服务器返回的第一个 IP 地址。 |
| -g | 系统自动生成的过滤规则标志。如果不用这个标志,命令会自动为通道生成两个过滤规则。自动生成的过滤规则允许在通道两个端点之间的 IP 流量流过通道。如果指定了 -g 标志,命令将仅创建通道定义,且用户必须添加用户定义的过滤规则以使通道工作。 |
| -h | 这是手工通道的 AH 密钥字符串。输入必须是以“0x”为开始的十六进制字符串。如果不用这个标志,系统将使用随机数发生器为您生成密钥。 |
| -H | (只用于手工通道)目标主机 AH 的密钥字符串。输入必须是以“0x”为开始的十六进制字符串。如果不用这个标志,系统将使用随机数发生器为您生成密钥。 |
| -k | 这是手工通道的 ESP 密钥字符串。用于源主机创建通道。输入必须是以“0x”为开始的十六进制字符串。如果不用这个标志,系统将使用随机数发生器为您生成密钥。 |
| -K | (只用于手工通道)目标主机 ESP 密钥字符串。所输入的必须是以“0x”为开始的十六进制字符串。如果不用这个标志,系统将使用随机数发生器为您生成密钥。 |
| -l | 密钥使用期限,以分记。
对手工通道来说,该值标明了在通道到期之前的可操作时间。 对手工通道有效的值为 0 - 44640。值 0 标明手工通道永远也不会到期。手工通道的缺省值为 480。 |
| -m | 安全数据包方式。该值必须被指定为通道或传送。缺省值是传送。通道方式将封装整个 IP 数据包,而传送模式只封装 IP 数据包的数据部分。当生成主机-防火墙-主机方式(主机在防火墙后面)的通道时,此标志必须使用通道的值。
如果已指定 -f 标志的话,-m 标志必须强制使用缺省值(通道)。 |
| -n | (只用于手工通道)源 ESP 的安全参数索引。这是一个数值,和目标 IP 地址一起标识使用 ESP 的数据包所使用的安全关联。如果不用这个标志,系统将为您生成一个 SPI。 |
| -N | (只用于手工通道)目标主机 ESP 的安全参数索引。如果在 -P 标志中指定的策略包含 ESP 的话,对于手工通道必须输入此项。该标志不适用于 IBM 通道。 |
| -p | 源策略,识别该主机是如何使用 IP 数据包认证和/或加密的。如果指定为 ea,IP 数据包会先加密,然后认证。如果指定为 ae,则先认证,后加密。如果单独指定 e 或 a,则 IP 数据包只被加密或只认证。该标志的缺省值取决于是否提供 -e 和 -a标志。ea 只有在 -e 和 -a 标志两者提供或都不提供时才成为缺省策略。否则,策略将反映支持的是 -e 和 -a 标志中的哪一个。 |
| -P | (只用于手工通道)目标主机策略,标识目标主机是如何使用 IP 数据包认证和/或加密的。如果指定为 ea,则 IP 数据包先加密,后认证。如果指定为 ae,则先认证,后加密。如果只指定 e 或 a则对 IP 数据包只加密或只认证。ea 只有在 -E 和 -A 标志两者提供或都不提供时才成为缺省策略。否则,策略将反映是支持 -E 和 -A 标志中的哪一个。 |
| -s | 源主机 IP 地址,通道所用的本地主机接口的 IP 地址。主机名仍有效且将使用名称服务器返回的主机名的第一个 IP 地址。 |
| -t | 通道类型。必须指定为手工。
当使用手工通道时,需要手工执行初始通道密钥和任一后续密钥的更新。一旦手动安装了密钥,所有通道操作都使用这一相同的密钥,直到手动更改密钥为止。 当您想构建带非 IBM 的 IP 安全主机或任何 IP 版本 6 端点(此处的端点支持 IP 通道的新建 IP 安全封装格式的 RFC 1825-1829 或 IETF 草图)的通道时,应该选择手工通道值。 |
| -u | (只用于手工通道)源 AH 的安全参数索引。使用 SPI 和目标 IP 地址决定 AH 使用的安全关联。如果不用这个标志,则使用 -n SPI 的值。 |
| -U | (只用于手工通道)目标主机 AH 的安全参数索引。如果不用这个标志,则使用 -N spi 的值。 |
| -v | 为其创建通道的 IP 版本。对于 IP 版本 4 通道,使用值 4。对于 IP 版本 6 通道,使用值6。 |
| -x | 防火墙后用于安全网络的网络掩码。目标主机是安全网络的成员。-d 与 -x 的组合使源主机可以通过源防火墙通道(必须以通道方式)与安全网络中的多个主机进行通信。
只有使用 -f 标志时,该标志才有效。 |
| -y | (只用于手工通道)阻止重播标志。只有 ESP 或 AH 头使用新头格式时,阻止重播才有效(见 -z 标志)。-y 标志的有效值为 Y(是)和 N(否)。如果该标志的值为 Y,所有用于该通道的封装(AH、ESP、发送和接收)将都使用重播域。缺省值为 N。 |
| -z | (只用于手工通道)新头格式标志。新头格式在 ESP 和 AH 头中为阻止重播保留了一个字段,也允许 ESP 认证。只有当重播标志(-y)设置为 Y 时,才使用重播字段。-z 标志的有效值为 Y(是)和 N(否)。不用 -z 标志时的缺省值取决于您为通道所选的算法。缺省值为 N,除非用于 -a 或 -A 标志的是算法不是 KEYED_MD5,或如果用的是 -b 或 -B 标志。 |
chtun 命令、exptun 命令、imptun 命令、lstun 命令、mktun 命令和 rmtun 命令。