Windows IPSeccmd使用详解

一、下载安装ipseccmd

1. 在MS官方网站上

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38下载Windows XP Service Pack 2 Support Tools

 

2. 安装WindowsXP-KB838079-SupportTools-ENU.exe, 选择complete安装，默认安装路径为C:\Program Files\Support Tools

 

二、使用ipseccmd

1. 启动policyagent service

 

使用ipseccmd.exe前，应先启动PolicyAgent服务

sc config policyagent start= auto

sc start policyagent

 

2.查看ipsec配置(show mode)

 

格式：ipseccmd show optionname

查看组策略对象: ipseccmd show gpo

查看策略: ipseccmd show policies

查看规则: ipseccmd show filters

查看认证方法: ipseccmd show auth

查看统计信息: ipseccmd show stats

查看SA: ipseccmd show sas

查看所有: ipseccmd show all

 

3.配置ipsec(dynamic mode)

 

-f FilterList

筛选器列表

格式：A.B.C.D[/mask][:port] [=|+] A.B.C.D/[mask][:port][:protocol]

(1)ip可由通配符表示

0: 本机地址

*：任意地址

(2)mask, port, protocol都是可选的，默认值依次是255.255.255.255, 任意端口，所有协议

(3)方向问题

使用=表示从src ip到dst ip，左边是src ip, 右边是dst ip

使用+表示mirror,是双向的，既有从src ip到dst ip，又有dst ip到src ip

(4)protocol：若使用协议，则前面要指定端口(port:protocol)或不指定端口(::protocol)

 

-n NegotiationMethodList

指定协商方法列表(AH,ESP,Rekey, PFS,GROUP)

NegotiationMethodList格式：

ESP[ConfAlg,AuthAlg]RekeyPFS<Group>

AH[HashAlg]RekeyPFS<Group>

AH[HashAlg]+ESP[ConfAlg,AuthAlg]RekeyPFS<Group>

默认值是 ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]

如ESP[DES,MD5]100000k/3600sPFS2

 

-a AuthMethodList

指定认证方法(Kerberos, CA, PSK)

KERBERO

CERT:"<CA info>", e.g. CERT:"CN=CA1,OU=O,O=MEME,C=DE,E=ME@here"

PRESHARE:"<preshared key>"

如指定PSK: -a PRESHARE:"654321"

 

 

-1s SecurityMethodList

指定Main Mode使用的加密算法，HASH算法，DH

格式： ConfAlg-HashAlg-GroupNum

如：-ls 3DES-SHA-2

默认值是 -ls 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1

 

-1k MMRekeyTime

指定经过多少个Quick Mode或秒重新生成Main Mode SA

如: -lk 10Q/3600S 经过10个Quick Mode 或3600秒就重新协商新的Main Mode SA

默认值是480分钟

 

4.配置ipsec(static mode)

 

-n BLOCK|PASS|INPASS

指定筛选器操作

 

-w REG|PERS

指定策略写入的位置

 

-p PolicyName

指定策略名称

 

-r RuleName

指定规则名称

 

-x

指派策略

如: ipseccmd -w REG -p "policyname" -x

-y

取消指派策略

如: ipseccmd -w REG -p "policyname" -y

 

-o 删除-p指定的策略

删除策略前，策略必须没有指派

如: ipseccmd -w REG -p "policyname" -y

ipseccmd -w REG -p "policyname" -o

 

5.Demo(myipseccmd.bat)

 

@echo off

if "%1" == "" (echo Usage: %0 psk) else (

set psk=%1

echo ipseccmd is running, please wait...

ipseccmd -w REG -p "myicmp" -y

ipseccmd -w REG -p "myicmp" -r "myping" -f 0+*::ICMP -1s 3DES-SHA-2 3DES-MD5-2 DES-SHA-1 DES-MD5-1 -1k 10Q/3600S -n ESP[3DES,SHA] ESP[3DES,MD5] ESP[DES,SHA] ESP[DES,MD5]100000k/3600sPFS2 INPASS -a PRESHARE:%psk% -x )