轉載請註明出處: http://blog.csdn.net/zhangyang0402/archive/2010/06/13/5670132.aspx
ipseccmd是配置ipsec安全策略的命令行工具,在Windows XP Service Pack 2 Support Tools中。只能在Winodws XP(除Home版)和Windows server 2003中使用,Windows server 2000中使用ipseccol
一、下載安裝ipseccmd
1. 在MS官方網站上
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38下載Windows XP Service Pack 2 Support Tools
2. 安裝WindowsXP-KB838079-SupportTools-ENU.exe, 選擇complete安裝,默認安裝路徑爲C:/Program Files/Support Tools
二、使用ipseccmd
1. 啓動policyagent service
使用ipseccmd.exe前,應先啓動PolicyAgent服務
sc config policyagent start= auto
sc start policyagent
2.查看ipsec配置(show mode)
格式:ipseccmd show optionname
查看組策略對象: ipseccmd show gpo
查看策略: ipseccmd show policies
查看規則: ipseccmd show filters
查看認證方法: ipseccmd show auth
查看統計信息: ipseccmd show stats
查看SA: ipseccmd show sas
查看所有: ipseccmd show all
3.配置ipsec(dynamic mode)
-f FilterList
篩選器列表
格式:A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]
(1)ip可由通配符表示
0: 本機地址
*:任意地址
(2)mask, port, protocol都是可選的,默認值依次是255.255.255.255, 任意端口,所有協議
(3)方向問題
使用=表示從src ip到dst ip,左邊是src ip, 右邊是dst ip
使用+表示mirror,是雙向的,既有從src ip到dst ip,又有dst ip到src ip
(4)protocol:若使用協議,則前面要指定端口(port:protocol)或不指定端口(::protocol)
-n NegotiationMethodList
指定協商方法列表(AH,ESP,Rekey, PFS,GROUP)
NegotiationMethodList格式:
ESP[ConfAlg,AuthAlg]RekeyPFS<Group>
AH[HashAlg]RekeyPFS<Group>
AH[HashAlg]+ESP[ConfAlg,AuthAlg]RekeyPFS<Group>
默認值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]
如ESP[DES,MD5]100000k/3600sPFS2
-a AuthMethodList
指定認證方法(Kerberos, CA, PSK)
KERBERO
CERT:"<CA info>", e.g. CERT:"CN=CA1,OU=O,O=MEME,C=DE,E=ME@here"
PRESHARE:"<preshared key>"
如指定PSK: -a PRESHARE:"654321"
-1s SecurityMethodList
指定Main Mode使用的加密算法,HASH算法,DH
格式: ConfAlg-HashAlg-GroupNum
如:-ls 3DES-SHA-2
默認值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1
-1k MMRekeyTime
指定經過多少個Quick Mode或秒重新生成Main Mode SA
如: -lk 10Q/3600S 經過10個Quick Mode 或3600秒就重新協商新的Main Mode SA
默認值是480分鐘
4.配置ipsec(static mode)
-n BLOCK|PASS|INPASS
指定篩選器操作
-w REG|PERS
指定策略寫入的位置
-p PolicyName
指定策略名稱
-r RuleName
指定規則名稱
-x
指派策略
如: ipseccmd -w REG -p "policyname" -x
-y
取消指派策略
如: ipseccmd -w REG -p "policyname" -y
-o 刪除-p指定的策略
刪除策略前,策略必須沒有指派
如: ipseccmd -w REG -p "policyname" -y
ipseccmd -w REG -p "policyname" -o
5.Demo(myipseccmd.bat)
@echo off
if "%1" == "" (echo Usage: %0 psk) else (
set psk=%1
echo ipseccmd is running, please wait...
ipseccmd -w REG -p "myicmp" -y
ipseccmd -w REG -p "myicmp" -r "myping" -f 0+*::ICMP -1s 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1 -1k 10Q/3600S -n ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]100000k/3600sPFS2 INPASS -a PRESHARE:%psk% -x )