AIX命令参考大全,卷 3,i - m - ike 命令

[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]

AIX命令参考大全,卷 3,i - m

ike 命令

用途

启动、停止和监视使用因特网密钥交换协议(ISAKMP/Oakley)的 IP 安全动态隧道。

语法

ike cmd=Subcommand [ parameter ... ]

描述

ike 用于启动、停止和监视使用因特网密钥交换(IKE)协议的 IP 安全动态隧道。IP 安全隧道通过认证和/或加密 IP 数据保护 IP 流量。ike 命令执行许多功能。它可以激活、删除或列出 IKE 和 IP 安全隧道。有关 IP 安全性和 IKE 隧道的概述,请参阅 《AIX 5L V5.2 安全指南》 中的 IP Security

注:
必须具有 root 用户访问权以使用 ike 命令。

IKE 协商发生在两个阶段。第一阶段认证两方并且启用 Key Management(也称为阶段 1)Security Association 保护协商阶段通过的数据。此阶段中,使用密钥管理策略保证协商信息的安全。第二阶段协商Data Management(也称为阶段 2)Security Association 使用数据管理策略设置内核中的 IP 安全隧道以封装和解封数据包。能够使用阶段 1 中建立的安全通道来保护两个主机间的多个数据管理协商。

ike 命令用于激活具有标识和策略信息的隧道,该策略信息使用 ikedb 命令或网络应用程序中虚拟专用网(IP 安全性)下的基于 Web 的系统管理器图形用户界面(GUI)来输入。在协商期间使用的参数由用户输入并且存储在数据库中。ike 命令允许隧道的激活、删除和列出,该隧道已经通过使用存储在数据库中的安全性参数启动。

ike 命令的大多数使用中,两个阶段都有激活和删除出现,然而,本命令允许操作分别执行。

子命令

activate
用途 启动 IKE 隧道协商。如果不指定阶段,则阶段 1 和阶段 2 都启动隧道。如果提供 IP 地址,则使用这些 IP 地址设置隧道。如果协商期间使用的标识不是 IP 地址,必须使用虚拟专用网基于 Web 的系统管理器(GUI)控制面板输入本地和远程的主机标识。创建唯一的隧道号。在 ike 命令中引用隧道的隧道号表示特定的隧道已启动。
语法 ike cmd=activate [ phase=1|2 ] [numlist=tunnel_num_list] [ namelist=tunnel_name_list ] [ remid=remote_id ] [ipaddr=src_addr,dst_addr]  [autostart]
描述 activate 子命令使用一个两阶段范例工作。在阶段 2 的隧道启动前,必须建立一个阶段 1 的隧道。如果指定了阶段 1 的隧道,则仅发生阶段 1 隧道协商。如果指定了阶段 2 的隧道,则系统在创建阶段 2 的隧道之前检查相应的阶段 1 的隧道是否存在。如果阶段 1 协商没有启动,那么将自动启动。

在成功完成阶段 2 隧道的基础上,将隧道定义和相应过滤规则插入 IP 安全内核,然后激活新的隧道。在指定端点之间传递的、隧道定义描述的流量通过由关联的 IKE 安全策略表明的加密和认证算法保护。

在相同的阶段 1 隧道下,可以启动多个阶段 2 隧道。两个端点间如果是不同的流量类型是需要不同级别的安全保护的。用在阶段 1 的隧道的安全性关联可以由多个阶段 2 的隧道共享。指定了流量类型的阶段 2 隧道(例如通过协议和端口,或子网掩码),可能有不同的安全性策略保护。

如果一个协商被启动、一个错误返回或者该隧道已存在,ike 命令返回。因为在协商期间要连接主机并且完成协商的时间是不确定的,所以应该用 list 子命令确定协商是否成功。

可以使用 syslog 捕获协商过程中检测到的错误。
标志
phase
指定协商期望的的类型。如果省略,activate 子命令同时激活阶段 1 和阶段 2 的隧道。phase 标记是可选的。
numlist
启动与要启动的阶段 1 或阶段 2 隧道一致的 ike 隧道号。使用 ,(逗号)和 -(破折号)字符定界值和表示范围。list 子命令和数据库选项 db 能被用来确定特定的隧道的隧道号。以下显示使用隧道号的示例: 

ike cmd=activate numlist=1,3,5-7

隧道 1、3、5、6 和 7 将启动。

remid
启动从本地标识到指定的远程标识的阶段 1 或阶段 2 的隧道。remid 可能是阶段 1 标识(如 IP 地址、FQDN、用户 FQDN 和 X500DN)、阶段 2 标识(如 IP 地址、子网和 IP 地址范围)或组标识。使用 ,(逗号)定界子网标识和子网掩码以及开始 IP 地址和结束 IP 地址。 如果 remid 是组名称,每个组成员将启动一个隧道。remid 是可选标志,只能与 activate 子命令一起使用。不能与 ipaddrnumlistnamelist 标志一起使用。
  1. 要将阶段 1 的隧道激活到远程 IP 地址 9.3.97.100,请输入: 
     ike cmd=activate phase=1 remid=9.3.97.100
  2. 要将阶段 2 的隧道激活到远程子网标识 9.3.97.100,255.255.255.0,请输入: 
      ike cmd=activate phase=2 remid=9.3.97.100,255.255.255.0
ip_addr
启动指定 IP 地址之间的阶段 1 或阶段 2 隧道。
autostart
促使激活所有用 autostart 参数设置创建的阶段 1 和阶段 2 隧道数据库条目。autostart 标志不能与 activate 子命令有关的其他任何标记一起使用。
namelist
指定激活的隧道名或逗号分隔的隧道名列表。此标志需要使用 phase 标志。
示例
  1. 要激活源 IP 地址 x.x.x.x 和目的 IP 地址 y.y.y.y 之间的阶段 2 隧道,请输入: 

    ike cmd=activate phase=2 ipaddr=x.x.x.x,y.y.y.y

    数据库中 IP 地址 x.x.x.x 和 y.y.y.y 的安全性策略用于激活隧道。

  2. 要激活隧道 1 和 2 的阶段 1 隧道,请输入: 

    ike cmd=activate phase=1 numlist=1,2
  3. 要为数据库中名为 AIXFW1_DM 和 remote_office 的非活动隧道激活阶段 2 的隧道,请输入: 

    ike cmd=activate phase=2 namelist=AIXFW1_DM,remote_office
    注:
    由于每个阶段 2 的隧道都必须具有关联的阶段 1 的隧道,所以在激活阶段 2 的隧道之前,阶段 1 的隧道自动激活。
list
用途 分阶段监视 IP 安全隧道的状态。也用于查看 IKE 数据库中定义的隧道项。
语法 ike cmd=list [phase=1|1+|2] [numlist= tunnel_num_list] [db | role=i|r] [verbose]
描述 list 子命令查询隧道管理器并且根据查询结果列出阶段 1 和阶段 2 隧道的状态和信息。也可使用命令查看隧道定义数据库中信息。缺省行为是列出当前活动的隧道。要列出数据库中的隧道,必须使用 db 选项。
标志
phase
表示列出的隧道的类型和顺序。为 1 的阶段值将导致只显示被请求的阶段 1 隧道信息。 为 2 的阶段值将导致显示被请求的阶段 2 隧道以及与其相关的阶段 1 隧道的信息。 为 1+ 的阶段值意味着应该显示被请求的阶段 1 隧道和所有相关的阶段 2 隧道。 缺省阶段值是 1+。
numlist
要查看的隧道号的列表。如果省略,显示所有隧道信息。使用 ,(逗号)和 -(破折号)定界值和表示范围。例如: 

ike cmd=list numlist=1,3,5-7

当与 db 合用时,显示来自 IKE 安全性策略数据库的隧道。

注:
活动的隧道号和来自 IKE 隧道定义数据库的隧道号不必匹配。这是因为数据库中的单一隧道项可能对应多个活动的隧道。
db
显示数据库中项目。如果省略本标志,仅显示活动的隧道。不能与 role 一起使用。提供要查看的隧道号的列表。
role
允许从起始点显示隧道。如果指定 i ,那么显示由本地主机启动的隧道。如果指定 r,那么显示本地主机充当响应程序的遂道。如果省略标志,显示启动程序和响应程序的隧道。此标记不能和 db 合用。
verbose
显示指定隧道的扩展信息。如果没有指定标志,那么仅显示每个隧道的简明项。
示例
注:
来自数据库的隧道号和来自隧道管理器的隧道号不必反映相同的隧道。
  1. 要获得隧道管理器中含有阶段 1 隧道条目的简明(短格式)列表,请输入: 

    ike cmd=list phase=1 numlist=1,2,3

    隧道可以是被协商的(处于活动状态)或已经过期。 仅列出隧道 1、2 和 3。隧道可能是启动程序或响应程序角色。

  2. 要执行数据库中指定阶段 2 隧道的简明(短格式)列表,并且每项之前还有相应的阶段 1 隧道,请输入: 

    ike cmd=list phase=2 numlist=1-3 db

    这些隧道可以是数据库中定义的当前在隧道管理器中活动或非活动的隧道。所有数据库中隧道仅作为启动程序使用。

  3. 要执行获得跟有来自隧道管理器的所有相关阶段 2 隧道的阶段 1 隧道的详细(长格式)列表,请输入: 

    ike cmd=list phase=1+ role=r verbose

    仅列出作为响应程序激活的隧道。因为没有指定 numlist,所以列出所有可用的隧道号。
remove
用途 释放指定的阶段 1 或阶段 2 的隧道。
语法 ike cmd=remove [phase=1|2] [numlist= tunnel_num_list] [all]
描述 remove 子命令请求使阶段 1 或阶段 2 的隧道无效。由于阶段 2 隧道与阶段 1 隧道关联,因此如果释放阶段 1 隧道,则当阶段 2 隧道过期时,不会刷新阶段 1 隧道下的阶段 2 隧道。
标志
phase
表示解除的隧道阶段,并且必须被指定。 为 1 的阶段值指阶段 1 隧道,为 2 的阶段值指阶段 2 隧道。
numlist
列出要释放的隧道号。使用 ,(逗号)和 -(破折号)字符定界值和表示范围。例如: 

ike cmd=remove numlist=1,3,5-7

当省略 numlist 时,释放所有隧道。

all
释放所有活动的隧道。此参数不能与 numlist 一起使用。
示例
  1. 要释放阶段 1 隧道 1、2 和 3,请输入: 

    ike cmd=remove phase=1 numlist=1-3
  2. 要释放所有阶段 1 和阶段 2 的隧道,请输入: 

    ike cmd=remove all
  3. 要释放所有阶段 2 隧道而保持所有阶段 1 隧道是活动的,请输入: 

    ike cmd=remove phase=2 all
  4. 要释放所有阶段 1 隧道(不刷新相应阶段 2 隧道),请输入: 

    ike cmd=remove phase=1 all
log
用途 /etc/isamkpd.conf 读 ISAKMP 守护进程日志级别并且启动此级别的日志。
语法 ike cmd=log
注:
如果改变了 /etc/syslog.conf 中的日志级别和输出文件名,也必须运行 refresh -s syslogd 命令。
描述 log 子命令导致 ISAKMP 守护进程从 /etc/isakmpd.conf 读日志级别,并且从 /etc/syslog.conf 读文件名。设置指定的记录级别并且将日志输出与其它 syslog 输出一起放置到指定的文件中。
注:
对于 ISAKMP 守护进程有四个有效日志级别。它们是noneerrorseventsinformationnone 表示没有记录,errors 表示将仅记录 ISAKMP 守护进程错误,events 表示将记录错误和其它 ISAKMP 守护进程事件,而 information 则是最高级别的记录,包含所有项。

文件

/usr/sbin/ike ike 管理命令的位置。
/etc/isakmpd.conf iksakmpd 守护进程的配置文件。
/etc/syslog.conf syslogd 守护进程提供配置信息。

相关信息

syslog 子例程。

syslog.conf 文件。

syslogd 守护进程。

ikedb 命令。

[ 页的顶部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]