Microsoft Windows [Version 10.0.19045.3570]
(c) Microsoft Corporation. C:\Windows>netsh ipsec ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 dump - 显示一个配置脚本。 dynamic - 更改到 `netsh ipsec dynamic' 上下文。 help - 显示命令列表。 static - 更改到 `netsh ipsec static' 上下文。 下列的子上下文可用: dynamic static 若需要命令的更多帮助信息,请键入命令,接着是空格, 后面跟 ?。
显示一个配置脚本。
»netsh »ipsec »dump
C:\Windows>netsh ipsec dump ?
用法: dump
说明:
创建一个包含当前配置的脚本文件。如果保存到
文件,此脚本可以用来还原更改的配置设置。
更改到 `netsh ipsec dynamic' 上下文。
»netsh »ipsec »dynamic
C:\Windows>netsh ipsec dynamic ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 将策略,筛选器和操作添加到 SPD。 delete - 从 SPD 中删除策略,筛选器和操作。 dump - 显示一个配置脚本。 help - 显示命令列表。 set - 更改 SPD 中的策略,筛选器和操作。 show - 从 SPD 中显示策略,筛选器和操作。 若需要命令的更多帮助信息,爰朊睿幼攀强崭瘢? 后面跟 ?。
将策略,筛选器和操作添加到 SPD。
»netsh »ipsec »dynamic »add
C:\Windows>netsh ipsec dynamic add ? 下列指令有效: 此上下文中的命令: add mmpolicy - 将主模式策略添加到 SPD。 add qmpolicy - 将快速模式策略添加到 SPD。 add rule - 添加一个规则和相关联的筛选器到 SPD。
将主模式策略添加到 SPD。
»netsh »ipsec »dynamic »add »mmpolicy
C:\Windows>netsh ipsec dynamic add mmpolicy ?
用法:
mmpolicy [ name = ] <string>
[ [ qmpermm = ] <integer> ]
[ [ mmlifetime = ] <integer> ]
[ [ softsaexpirationtime = ] <integer> ]
[ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]
添加一个主模式策略到 SPD。
参数:
标记 值
name -主模式策略名称。
qmpermm -IKE 的每主模式会话的快速模式会话数目。
mmlifetime -为 IKE 的主模式重新生成密钥所需时间。
softsaexpirationtime -未保护的 SA 的过期时间(分钟)。
mmsecmethods -一个或多个由空格分隔的安全方法列表,格式
为 ConfAlg-HashAlg-GroupNum。
其中 ConfAlg 可以是 DES 或 3DES
HashAlg 是 MD5 或 SHA1
GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。
注释: 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: add mmp name=mmp qmpermm=10 mmlifetime=300 softsa=20
mmsec="3DES-SHA1-3 DES-SHA1-2 3DES-MD5-3"
将快速模式策略添加到 SPD。
»netsh »ipsec »dynamic »add »qmpolicy
C:\Windows>netsh ipsec dynamic add qmpolicy ?
用法:
qmpolicy [ name = ] <string>
[ [ soft = ] (yes | no) ]
[ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ]
[ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]
添加一个快速模式策略到 SPD。
参数:
标记 值
name -快速模式策略名称。
soft -允许与非 IPsec 的计算机进行不安全的通讯。
这可以是 yes 或 no。
pfsgroup -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。
qmsecmethods -IPsec 提供是下列之一:
ESP[ConfAlg,AuthAlg]:k/s
AH[HashAlg]:k/s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
其中 ConfAlg 可以是 DES 或 3DES 或 None。
其中 AuthAlg 可以是 MD5 或 SHA1 或 None。
其中 HashAlg 是 MD5 或 SHA1。
其中 k 是 lifetime(千字节)。
其中 s 是 lifetime(秒)。
注释: 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: add qmpolicy name=qmp
qmsec="AH[MD5]:10000k/24800s ESP[DES,SHA1]:30000k/300s"
添加一个规则和相关联的筛选器到 SPD。
»netsh »ipsec »dynamic »add »rule
C:\Windows>netsh ipsec dynamic add rule ?
用法:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ] <string>
[ [ qmpolicy = ] <string> ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ srcport = ] <port> ]
[ [ dstport = ] <port> ]
[ [ mirrored = ] (yes | no) ]
[ [ conntype = ] (lan | dialup | all) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actionoutbound = ] (permit | block | negotiate) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <preshared key> ]
[ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:
(yes | no)" ]
添加规则。
参数:
标记 值
srcaddr - 源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
dstaddr -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器名称。
mmpolicy -主要模式策略
qmpolicy -快速模式策略
protocol -可以是 ANY, ICMP, TCP, UDP, RAW 或一个整数。
如果指定端口,则可接受的值为 TCP 或 UDP。
srcport -源端口(0 意味着任意端口)
dstport -目标端口(0 意味着任意端口)
mirrored -"Yes" 创建两个筛选器,每个方向一个。
conntype -连接类型
actioninbound -用于入站数据包的操作
actionoutbound -用于出站数据包的操作
srcmask -源地址掩码或 1 到 32 之间的前骸H绻?srcaddr 设置为一个
范围则不可用
dstmask -目标地址掩码或 1 到 32 之间的前缀。如果 dstaddr 设置为一个
范围则不可用
tunneldstaddress -隧道目标 IP 地址或 DNS 名称。
kerberos -如果指定 "yes" 则提供 kerberos 身份验证。
psk -使用指定的预共享密钥提供身份验证。
rootca -使用指定的根证书提供身份验证,
如果指定 certmap:Yes,则尝试映射证书,
如果指定 excludecaname:Yes,则排除 CA 名称。
说明: 1. 端口对于 TCP 和 UDP 有效。
2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY
3. actioninbound 和 actionoutbound 的默认值为 "negotiate"。
4. 对于隧道规则,必须将 "mirrored" 设置为 "no"。
5. 证书、映射和 CA 名称设置都必须放在引号中;嵌入的引号用 "\" 代替。
6. 证书映射仅对域成员有效。
7. 通过多次使用 rootca 参数可以提供多重证书。
8. 每个身份验证方法的优先级由它在命令中的顺序决定。
9. 如果未指定身份验证方法,则使用动态默认。
10. 排除根证书颁发机构(CA)名称可以防止将名称作为证书请求的一部分发送。
11. 如果指定地址范围,终结点必须是特定地址(不是列表或子网),而且必须是
相同的类型(都应该是 v4 或 v6)。
示例: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
从 SPD 中删除策略,筛选器和操作。
»netsh »ipsec »dynamic »delete
C:\Windows>netsh ipsec dynamic delete ? 下列指令有效: 此上下文中的命令: delete all - 从 SPD 中删除所有策略,筛选器和操作。 delete mmpolicy - 从 SPD 中删除主模式策略。 delete qmpolicy - 从 SPD 中删除快速模式策略。 delete rule - 从 SPD 中删除规则及与其相关联的筛选器。 delete sa -
从 SPD 中删除所有策略,筛选器和操作。
»netsh »ipsec »dynamic »delete »all
C:\Windows>netsh ipsec dynamic delete all ? 用法: all 从 SPD 中删除所有策略,筛选器和身份验证方法。 示例: delete all
从 SPD 中删除主模式策略。
»netsh »ipsec »dynamic »delete »mmpolicy
C:\Windows>netsh ipsec dynamic delete mmpolicy ?
用法:
mmpolicy [ name = ] <string> | [ all ]
从 SPD 中删除主模式策略。
如果指定了 'all',将删除所有主模式策略。
参数:
标记 值
name -主模式策略名称。
注释: 要删除一个主模式策略,必须先删除所有相关联的主模式
筛选器。
示例: delete mmpolicy name=mmp
从 SPD 中删除快速模式策略。
»netsh »ipsec »dynamic »delete »qmpolicy
C:\Windows>netsh ipsec dynamic delete qmpolicy ?
用法:
qmpolicy [ name = ] <string> | [ all ]
从 SPD 中删除快速模式策略。
如果指定了 'all',将删除所有快速模式策略。
参数:
标记 值
name -快速模式策略名称。
备注: 要删除一个快速模式策略,必须先删除所有相关联的快速模式
筛选器。
示例: delete qmpolicy name=qmp
从 SPD 中删除规则及与其相关联的筛选器。
»netsh »ipsec »dynamic »delete »rule
C:\Windows>netsh ipsec dynamic delete rule ?
用法:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>)
[ srcport = ] <port>
[ dstport = ] <port>
[ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
从 SPD 中删除规则。
参数:
标记 值
srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
srcport -源端口。值为 0 表示任意端口。
dstport -目标端口。值为 0 表示任意端口。
mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。
conntype -连接类型可以是 lan、dialup 或 "all"。
srcmask -源地址掩码或 1 到 32 的前缀。
dstmask -目标地址掩码或 1 到 32 的前缀。
tunneldstaddress -隧道目标 ip 地址或 dns 啤?
注释: 1. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
要指定所有计算机地址,请设置 srcaddr/dstaddr=any
2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY
3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。
示例: delete rule srca=192.168.145.110 dsta=192.168.145.215
tunneldsta=192.168.145.1
proto=tcp srcport=80 dstport=80 mirror=no conntype=lan
»netsh »ipsec »dynamic »delete »sa
C:\Windows>netsh ipsec dynamic delete sa ?
显示一个配置脚本。
»netsh »ipsec »dynamic »dump
C:\Windows>netsh ipsec dynamic dump ?
用法: dump
说明:
创建一个包含当前配置的脚本文件。如果保存到
文件,此脚本可以用来还原更改的配置设置。
显示命令列表。
»netsh »ipsec »dynamic »help
C:\Windows>netsh ipsec dynamic help ?
用法: help
说明:
显示命令列表。
更改 SPD 中的策略,筛选器和操作。
»netsh »ipsec »dynamic »set
C:\Windows>netsh ipsec dynamic set ? 下列指令有效: 此上下文中的命令: set config - 设置 IPSEC 配置和启动时间行为。 set mmpolicy - 更改 SPD 中的主模式策略。 set qmpolicy - 更改 SPD 中的快速模式策略。 set rule - 修改 SPD 中的规则和相关联的筛选器。
设置 IPSEC 配置和启动时间行为。
»netsh »ipsec »dynamic »set »config
C:\Windows>netsh ipsec dynamic set config ?
用法:
config [ property = ] (ipsecdiagnostics | ipsecexempt | ipsecloginterval |
ikelogging | strongcrlcheck | bootmode |
bootexemptions) ]
[ value = ] <integer> | <bootmode> | <bootexemptions> ]
配置 IPSec 的参数。
参数:
标记 值
property -属性名称。
value -与属性相对应的值。
注释: 1. 属性的有效值为:
ipsecdiagnostics - 0, 1, 2, 3, 4, 5, 6, 7
ikelogging - 0, 1
strongcrlcheck - 0, 1, 2
ipsecloginterval - 60 to 86400 sec
ipsecexempt - 0, 1, 2, 3
bootmode - stateful, block, permit
bootexemptions - none, "exemption#1 exemption#2 ...
exemption#n"
其中引号中的字符串指定引导模式期间
始终允许的协议和端口列表,格式如下:
Protocol:SrcPort:DstPort:Direction
其中 protocol 为 ICMP、TCP、UDP、
RAW 或 <整数>
其中 direction 为 inbound 或 outbound
2. 提供 ipsecdiagnostics、ikelogging、ipsecloginterval、bootmod 和
bootexemptions 选项,用于向下兼容。对于 Windows Vista 及以后的
操作系统无效。
3. SrcPort 和 DstPort 仅对于 TCP 和 UDP 有效,对于其他协议,
免除格式为 Protocol:Direction。
4. 端口设置 0 允许任意端口的流量。
5. 立即激活 ikelogging 和 strongcrlcheck;
其他所有属性在下次启动时生效。
示例: 1. set config property=ipsecdiagnostics value=0
2. set config property=bootmode value=stateful
3. set config property=bootexemptions value=none
4. set config property=bootexemptions
value="ICMP:inbound TCP:80:80:outbound"
更改 SPD 中的主模式策略。
»netsh »ipsec »dynamic »set »mmpolicy
C:\Windows>netsh ipsec dynamic set mmpolicy ?
用法:
mmpolicy [ name = ] <string>
[ [ qmpermm = ] <integer> ]
[ [ mmlifetime = ] <integer> ]
[ [ softsaexpirationtime = ] <integer> ]
[ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]
用新参数在 SPD 中更改主模式策略。
参数:
标记 值
name -主模式策略名称。
qmpermm -IKE 的每主模式会话的快速模式会话数目。
mmlifetime -为 IKE 的主模式重新生成密钥所需时间。
softsaexpirationtime -未保护的 SA 的过期时间(分钟)。
mmsecmethods -一个或多个空格分隔的安全方法列表,格式
为 ConfAlg-HashAlg-GroupNum。
其中 ConfAlg 可以是 DES 或 3DES,
HashAlg 是 MD5 或 SHA1,
GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。
注释: 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: set mmpolicy name=mmp qmpermm=10 mmlife=10 mmsecmethod=3DES-MD5-3
更改 SPD 中的快速模式策略。
»netsh »ipsec »dynamic »set »qmpolicy
C:\Windows>netsh ipsec dynamic set qmpolicy ?
用法:
qmpolicy [ name = ] <string>
[ [ soft = ] (yes | no) ]
[ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ]
[ [ qmsecmethods = ] (neg#1 neg#2... neg#n) ]
在 SPD 中更改快速模式策略。
参数:
标记 值
name -快速模式策略名称。
soft -允许与非 IPsec 的计算机进行不安全的通信。
这可以是 yes 或 no。
pfsgroup -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。
qmsecmethods -IPsec 提供是下列之一
ESP[ConfAlg,AuthAlg]:k/s
AH[HashAlg]:k/s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
其中 ConfAlg 可以是 DES,或 3DES 或 None。
其中 AuthAlg 可以是 MD5,或 SHA1 或 None。
其中 HashAlg 是 MD5 或 SHA1。
其中 k 是 lifetime(千字节)。
其中 s 是 lifetime(秒)。
注释: 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: set qmpolicy name=qmp pfsg=grp3
qmsec="AH[MD5]:100000k/29999s+ESP[DES,SHA1]"
修改 SPD 中的规则和相关联的筛选器。
»netsh »ipsec »dynamic »set »rule
C:\Windows>netsh ipsec dynamic set rule ?
用法:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>)
[ srcport = ] <port>
[ dstport = ] <port>
[ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ mmpolicy = ] <string> ]
[ [ qmpolicy = ] <string> ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actionoutbound = ] (permit | block | negotiate) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <preshared key> ]
[ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]
在 SPD 中修改规则及相关的筛选器。
参数:
标记 值
srcaddr - 源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或一个整数。
srcport -源端口(0 表示任意端口)
dstport -目标端口(0 表示任意端口)
mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。
conntype -连接类型
srcmask -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
dstmask -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
tunneldstaddress -隧道目标 ip 地址或 dns 名称。
mmpolicy -主模式策略
qmpolicy -快速模式策略
actioninbound -对入站数据包的操作
actionoutbound -对出站数据包的操作
kerberos -如果指定了‘yes’,则提供 kerberos 身份验证
psk -用指定的预共享密钥提供身份验证
rootca -用指定的根证书提供身份验证,
如果指定了 certmap:Yes,将尝试映射此证书
如果指定了 excludecaname:Yes,将排除 CA 名称
注释: 1. 可以设置 Mmpolicy、qmpolicy、actioninbound、actionoutbound
和 authmethods,其他字段是标识符。
2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY
3. 证书、映射和 CA 名称设置均以引号中引起来,内嵌的引号将替代为
“\"”。
4. 证书映射只对域成员有效。
5. 可以多次使用 rootca 参数来提供多重证书。
6. 每种身份验证方法的优燃队伤诿钪械乃承蚶?
决定。
7. 如果没有指定身份验证方法,将使用动态默认值。
8. 所有身份验证方法都将以指定的列表覆盖。
9. 排除根证书颁发机构(CA)名称可防止将名称作为证书请求的一部分
进行发送。
10. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同
类型的地址(两者均应为 v4 或 v6)。
示例: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West
Root Authority\’ certmap:yes excludecaname:no"
从 SPD 中显示策略,筛选器和操作。
»netsh »ipsec »dynamic »show
C:\Windows>netsh ipsec dynamic show ? 下列指令有效: 此上下文中的命令: show all - 显示 SPD 中的策略,筛选器,SA 和统计。 show config - 显示 IPsec 配置。 show mmfilter - 从 SPD 中显示主模式筛选器详细信息。 show mmpolicy - 从 SPD 中显示主模式策略详细信息。 show mmsas - 从 SPD 中显示主模式安全关联。 show qmfilter - 从 SPD 中显示快速模式筛选器详细信息。 show qmpolicy - 从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ? show qmsas - 从 SPD 中显示快速模式安全关联。 show rule - 显示 SPD 中的规则详细信息。
显示 SPD 中的策略,筛选器,SA 和统计。
»netsh »ipsec »dynamic »show »all
C:\Windows>netsh ipsec dynamic show all ?
用法:
all [ [ resolvedns = ] (yes | no) ]
显示 SPD 中的所有策略,筛选器,SA 和统计的详细信息。
参数:
标记 值
resolvedns -值为 'yes' 显示解析的 dns 名称。
注释: resolvedns 的默认值为 'no'。
示例: show all yes
-显示所有信息,包括 dns 解析
显示 IPsec 配置。
»netsh »ipsec »dynamic »show »config
C:\Windows>netsh ipsec dynamic show config ? 用法: config 显示 IPsec 配置参数的当前设置。 注释: 示例: show config
从 SPD 中显示主模式筛选器详细信息。
»netsh »ipsec »dynamic »show »mmfilter
C:\Windows>netsh ipsec dynamic show mmfilter ?
用法:
mmfilter [ name = ] <string> | [ all ]
[ [ type = ] (generic | specific) ]
[ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ resolvedns = ] (yes | no) ]
从 SPD 中显示主模式筛选器的详细信息。
参数:
标记 值
name | all -主模式筛选器名称,或 'all'。
type -筛选器类别。可以是 specific 或 generic。
srcaddr -源 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。
srcmask -源地址掩码或 1 到 32 的白骸?
dstmask -目标地址掩码或 1 到 32 的前缀。
resolvedns -值为 'yes' 显示解析的 dns 名称。
注释: 1. 默认 type 参数为 generic。
2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
3. 如果指定了 'all',将显示所有主模式筛选器。
4. 如果指定了源地址或目标地址,将只显示与该地址相关联的筛选器。
5. 如果指定了地址范围,终结点必须为特定地址(非列表或油?和相同
类型地址(两者均应为 v4 或 v6)。
示例: 1. show mmfilter name=mmf
2. show mmfilter all srcaddr=wins dstaddr=192.168.145.112
从 SPD 中显示主模式策略详细信息。
»netsh »ipsec »dynamic »show »mmpolicy
C:\Windows>netsh ipsec dynamic show mmpolicy ?
用法:
mmpolicy [ name = ] <string> | [ all ]
从 SPD 中显示主模式策略的详细信息。
参数:
标记 值
name -主模式策略名称。
注释: 如果指定了 'all',将显示所有主模式策略。
示例: 1. show mmpolicy name=mmp
2. show mmpolicy all
从 SPD 中显示主模式安全关联。
»netsh »ipsec »dynamic »show »mmsas
C:\Windows>netsh ipsec dynamic show mmsas ?
用法:
mmsas [ [ all ] ]
[ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ format = ] (list | table) ]
[ [ resolvedns = ] (yes | no) ]
显示指定地址的主模式安全关联。
参数:
标记 值
all -显示所有主模式踩亓?
srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
format -以屏幕格式或制表符分隔的方式输出。
resolvedns -值为 "yes" 显示解析的 dns 名称。
注释: 1. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
2. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。\
示例: 1. show mmsas
all
2. show mmsas srca=192.168.145.110 dsta=192.168.145
.215
从 SPD 中显示快速模式筛选器详细信息。
»netsh »ipsec »dynamic »show »qmfilter
C:\Windows>netsh ipsec dynamic show qmfilter ?
用法:
qmfilter [ name = ] <string> | [ all ]
[ [ type = ] (generic | specific) ]
[ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ srcport = ] <port> ]
[ [ dstport = ] <port> ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actionoutbound = ] (permit | block | negotiate) ]
[ [ resolvedns = ] (yes | no) ]
从 SPD 中显示快速模式筛选器的详细信息。
参数:
标记 值
name -快速模式筛选器名称。
type -要显示的筛选器类别,可以是 specific 或 generic。
srcaddr -源 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。
srcmask -源地址掩码或 1 到 32 的前缀。
dstmask -目标地址掩码或 1 到 32 的前缀。
protocol -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。
srcport -源端口。值为零表示任意端口。
dstport -目标端口。值为零表示任意端口。
actioninbound -对入站数据包的操作。
actionoutbound -对出站数据包的操作。
resolvedns -值为 "yes" 显示解析的 dns 名称。
注释: 1. 如果未指定类别,则显示 "generic" 和 "specific" 筛选器。
2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同
类型地址(两者均应为 v4 或 v6)。
示例: 1. 显示 qmfilter name=qmf
2. 显示 qmfilter all srcaddr=192.134.135.133 proto=TCP
3. 如果指定 "all",则将显示所有快速模式筛选器。
4. 如果指定源或目标地址名称,
则将只显示与该地址相关联的筛选器。
从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ?
»netsh »ipsec »dynamic »show »qmpolicy
C:\Windows>netsh ipsec dynamic show qmpolicy ?
用法:
qmpolicy [ name = ] <string> | [ all ]
从 SPD 中显示快速模式策略的详细信息。
参数:
标记 值
name -快速模式策略名称。
注释: 如果指定了 'all',将显示所有快速模式策略。
示例: 1. show qmpolicy name=qmp
2. show qmpolicy all
从 SPD 中显示快速模式安全关联。
»netsh »ipsec »dynamic »show »qmsas
C:\Windows>netsh ipsec dynamic show qmsas ?
用法:
qmsas [ [ all ] ]
[ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ format = ] (list | table) ]
[ [ resolvedns = ] (yes | no) ]
显示指定地址的快速模桨踩亓?
参数:
标记 值
all -显示所有快速模式安全关联。
srcaddr -源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
dstaddr -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
protocol -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。
format -屏幕中的输出或制表符分隔格式。
resolvedns -值 "yes" 显示解析的 DNS 名称。
说明: 1. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
2. 如果指定地址范围,终结点必须是特定地址(不是列表或子网),
而且必须是相同的类型(都应该是 v4 或 v6)。
示例: 1. show qmsas all
2. show qmsas srca=192.168.145.110 dsta=192.168.145.215
显示 SPD 中的规则详细信息。
»netsh »ipsec »dynamic »show »rule
C:\Windows>netsh ipsec dynamic show rule ?
用法:
rule [ [ type = ] (transport | tunnel) ]
[ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ srcport = ] <port> ]
[ [ dstport = ] <port> ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actionoutbound = ] (permit | block | negotiate) ]
[ [ resolvedns = ] (yes | no) ]
显示 SPD 中的规则详细信息。
参数:
标记 值
type -要显示的规则类型,可以是 transport 或 tunnel。
srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
srcmask -源地址掩码或一个 1 到 32 的前缀。
dstmask -目标地址掩码或一个 1 到 32 的前缀。
protocol -可以是 ANY,ICMP,TCP,UDP,RAW 或一个整数。
srcport -源端口。值为零表示任意端口。
dstport -目标端口。值为零表示任意端口。
actioninbound -对入站数据包的操作。
actionoutbound -对出站数据包的操作。
resolvedns -值为 "yes" 显示解析的 dns 名称。
注释: 1. type 参数的默认值为 "transport"。
2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
3. 如果指定了源或目标地址名称,将只显示与该地址相关联的规则。
4. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型
地址(两者均应为 v4 或 v6)。
示例: 1. show rule
- shows both transport and tunnel rules
2. show rule type=transport srcaddr=192.134.135.133 proto=TCP
显示命令列表。
»netsh »ipsec »help
C:\Windows>netsh ipsec help ?
用法: help
说明:
显示命令列表。
更改到 `netsh ipsec static' 上下文。
»netsh »ipsec »static
C:\Windows>netsh ipsec static ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 创建新的策略和有关信息。 delete - 删除策略和相关信息。 dump - 显示一个配置脚本。 exportpolicy - 从证书存储中导出所有策略。 help - 显示命令列表。 importpolicy - 从文件导入策略到证书存储。 set - 更改现存策略和相关信息。 show - 显示策略和相关信息的详细信ⅰ? 若需要命令的更多帮助信息,请键入命令,接着是空格, 后面跟 ?。
创建新的策略和有关信息。
»netsh »ipsec »static »add
C:\Windows>netsh ipsec static add ? 下列指令有效: 此上下文中的命令: add filter - 将筛选器添加到筛选器列表。 add filteraction - 创建一个筛选器操作。 add filterlist - 创建一个空的筛选器列表。 add policy - 用默认响应规则创建策略。 add rule - 为指定策略创建一个规则。
将筛选器添加到筛选器列表。
»netsh »ipsec »static »add »filter
C:\Windows>netsh ipsec static add filter ?
用法:
filter [ filterlist = ] <string>
[ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ [ description = ] <string> ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ mirrored = ] (yes | no) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ srcport = ] <port> ]
[ [ dstport = ] <port> ]
将筛选器添加到指定的筛选器列表。
参数:
标记 值
filterlist -筛选器要添加到其中的筛选器列表的名称。
srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、dns 名称或服务器类型。
description -筛选器的简介信息。
protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
mirrored -值为 'Yes' 将创建两个筛选器,每个方向均有一个。
srcmask -源地址掩码或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
dstmask -目标地址掩码或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
srcport -数据包的源端口。值为 0 表示任意端口。
dstport -数据包的目标端口。值为 0 表示任意端口。
注释: 1. 如果筛选器列表不存在,将创建它。
2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
要指定所有计算机地址,请设置 srcaddr/dstaddr=any
3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
4. 如果源是一个服务器类型,则目标为 "me",反之亦然。
5. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。
示例: 1. add filter filterlist=Filter1 192.145.168.0 192.145.168.45
srcmask=24 dstmask=32
2. add filter filterlist=Filter1 srcaddr=DHCP dstaddr=0.0.0.0
protocol=ICMP srcmask=255.255.255.255 dstmask=255.255.255.255
3. add filter filterlist=Filter1 srcaddr=me dstaddr=any
4. add filter filterlist=Filter1 srcaddr= E3D7::51F4:9BC8:00A8:6420 dstaddr= ME
5. add filter filterlist=Filter1 srcaddr= 192.168.2.1-192,168.2.10 dstaddr= ME
创建一个筛选器操作。
»netsh »ipsec »static »add »filteraction
C:\Windows>netsh ipsec static add filteraction ?
用法:
filteraction [ name = ] <string>
[ [ description = ] <string> ]
[ [ qmpfs = ] (yes | no) ]
[ [ inpass = ] (yes | no) ]
[ [ soft = ] (yes | no) ]
[ [ action = ] (permit | block | negotiate) ]
[ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]
创建一个筛选器操作。
参数:
标记 值
name -筛选器操作的名称。
description -筛选器操作类别的简短信息。
qmpfs -设置快速模式完全向前保密的选项。
inpass -接受不安全的通讯,但是始终用 IPsec响应。
这接受 yes 或 no。
soft -允许与没有 IPsec 的计算机进行不安全的通讯。
可以是 yes 或 no。
action -可以是 permit,block 或 negotiate。
qmsecmethods -IPsec 提供是下列格式之一:
ESP[ConfAlg,AuthAlg]:k/s
AH[HashAlg]:k/s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
其中 ConfAlg 可以是 DES 或 3DES 或 None
其中 AuthAlg 可以是 MD5 或 SHA1 或 None
其中 HashAlg 是 MD5 或 SHA1。
其中 k 是 Lifetime(千字节)。
其中 s 是 Lifetime(秒)。
注释: 1. 如果操作不是 negotiate,快速模式安全方法将被忽略
2. 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: add filteraction name=FilterA qmpfs=yes soft=y action=negotiate
qmsec="AH[MD5]:204800k/300s ESP[DES,SHA1]:30000k/480s"
创建一个空的筛选器列表。
»netsh »ipsec »static »add »filterlist
C:\Windows>netsh ipsec static add filterlist ?
用法:
filterlist [ name = ] <string>
[ [ description = ] <string> ]
用指定名称创建一个空的筛选器列表。
参数:
标记 值
name -筛选器列表的名称。
description -筛选器列表的简短信息。
注释:
示例: add filterlist Filter1
用默认响应规则创建策略。
»netsh »ipsec »static »add »policy
C:\Windows>netsh ipsec static add policy ?
用法:
policy [ name = ] <string>
[ [ description = ] <string> ]
[ [ mmpfs = ] (yes | no) ]
[ [ qmpermm = ] <integer> ]
[ [ mmlifetime = ] <integer> ]
[ [ activatedefaultrule = ] (yes | no) ]
[ [ pollinginterval = ] <integer> ]
[ [ assign = ] (yes | no) ]
[ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]
用指定名称创建一个策略。
参数:
标记 值
name -策略的名称。
description -策略的简短信息。
mmpfs -设置主完全向前保密的选项。
qmpermm -每一 IKE 主模式会话的快速模式会话数目。
mmlifetime -为 IKE 的主模式重新生成密钥所需时间(以分钟计)。
activatedefaultrule -激活或禁用默认响应规则。 只在 Windows Vista 之前的 Windows 版本上有效。
pollinginterval -轮询间隔,策略代理在策略存储中
查找更改的间隔时间(以分钟计)。
assign -指定策略为活动或非活动。
mmsecmethods -一个或多个由空格分隔开的安全方法列表,安全方法的格式为
ConfAlg-HashAlg-GroupNum,其中 ConfAlg 可以是 DES 或
3DES,HashAlg 是 MD5 ?SHA1。
GroupNum 可以是 1 (低)、2 (中)、3 (DH2048)。
注释: 1. 如果指定了 mmpfs,qmpermm 将设置为 1。
2. 如果存储为 "domain",则 "assign" 将不起作用。
3. 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: add policy Policy1 mmpfs= yes assign=yes
mmsec="3DES-SHA1-3 DES-MD5-3 3DES-MD5-2"
为指定策略创建一个规则。
»netsh »ipsec »static »add »rule
C:\Windows>netsh ipsec static add rule ?
用法:
rule [ name = ] <string>
[ policy = ] <string>
[ filterlist = ] <string>
[ filteraction = ] <string>
[ [ tunnel = ] (ip | dns) ]
[ [ conntype = ] (lan | dialup | all) ]
[ [ activate = ] (yes | no) ]
[ [ description = ] <string> ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <preshared key> ]
[ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]
用指定的筛选器列表和筛选器操作创建一个规则。
参数:
标记 值
name -规则的名称。
policy -规则所属的策略的名称。
filterlist -要使用的筛选器列表的名称。
filteraction -要使用的筛选器操作的名称。
tunnel -隧道终结点 IP 地址。
conntype -连接类型可以是 lan,dialup 或 all。
activate -如果指定了 yes,则激活策略中的规则。
description -规则的简短信息。
kerberos -如果指定了 yes,则提供 Kerberos 身份验证。
psk -用预共享密钥提供身份验证。
rootca -用指定的根证书提供身份验证,如果指定了
certmap:Yes,将尝试映射此证书
如果指定了 excludecaname:Yes,将排除 CA 名称
注释: 1. 证书,映射和 CA 名称设靡谝胖幸鹄矗谇兜囊沤?
被“\'”所代替。
2. 证书映射只对域成员有效。
3. 可以多次使用 rootca 参数来提供多重证书。
4. 每种身份验证方法的优先级由在命令中的顺序来决定。
5. 如果没有指定身份验证方法,将使用动态默认。
6. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分
发送。
示例: add rule name=Rule policy=Policy filterlist=Filterlist
filteraction=FilterAction kerberos=yes psk="my key"
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West Root
Authority\’ certmap:yes excludecaname:no"
删除策略和相关信息。
»netsh »ipsec »static »delete
C:\Windows>netsh ipsec static delete ? 下列指令有效: 此上下文中的命令: delete all - 删除所有策略,筛选器列表和筛选器操作。 delete filter - 从筛选器列表中删除一个筛选器。 delete filteraction - 删除一个筛选器操作。 delete filterlist - 删除一个筛选器列表。 delete policy - 删除一个策略和它的规则。 delete rule - 从策略中删除一个规则。
删除所有策略,筛选器列表和筛选器操作。
»netsh »ipsec »static »delete »all
C:\Windows>netsh ipsec static delete all ? 用法: all 删除所有策略,筛选器列表和筛选器操作。 参数: 注释: 示例: delete all
从筛选器列表中删除一个筛选器。
»netsh »ipsec »static »delete »filter
C:\Windows>netsh ipsec static delete filter ?
用法:
filter [ filterlist = ] <string>
[ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ srcport = ] <port> ]
[ [ dstport = ] <port> ]
[ [ mirrored = ] (yes | no) ]
从筛选器列表中删除一个筛选器
参数:
标记 值
filterlist -筛选器要添加到其中的筛选器列表的名称。
srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
srcmask -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
dstmask -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
srcport -数据包的源端口。值为 0 表示任意端口。
dstport -数据包的目标端口。值为 0 表示任意端口。
mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。
注释: 1. 从筛选器列表中删除准确匹配的筛选器。
2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
要指定所有计算机地址,请设置 srcaddr/dstaddr=any
3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
4. 如果源为 server,则目标为 "me",反之亦然。
5. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均ξ?v4 或 v6)。
示例: 1. delete filter FilterList1 src=fum.com dst=fum.com
2. delete filter Filter1 srcaddr=me dstaddr=any proto=TCP
3. delete filter Filter1 srcaddr=GATEWAY dstaddr=0.0.0.0 proto=TCP
4. delete filter Filter1 srcaddr=192.168.2.1-192.168.2.10 dstaddr=ME
删除一个筛选器操作。
»netsh »ipsec »static »delete »filteraction
C:\Windows>netsh ipsec static delete filteraction ?
用法:
filteraction [ name = ] <string> | [ all ]
删除筛选器操作。
参数:
标记 值
name | all -筛选器操作的名称,或 all。
注释: 如果指定了 'all',将删除所有筛选器操作。
示例: 1. delete filteraction FilterA
2. delete filteraction all
删除一个筛选器列表。
»netsh »ipsec »static »delete »filterlist
C:\Windows>netsh ipsec static delete filterlist ? 用法: filterlist [name = ] <string> | [ all ] 删除筛选器列表及它的所有相关筛选器。 参数: 标记 值 name | all -筛选器列表的名称,或 all。 Remarks: 如果指定了 'all',将删除所有筛选器。 示例: delete filterlist all
删除一个策略和它的规则。
»netsh »ipsec »static »delete »policy
C:\Windows>netsh ipsec static delete policy ?
用法:
policy [ name = ] <string> | [ all ]
删除策略及它的所有相关规则。
参数:
标记 值
name | all -策略名称,或 all。
注释: 如果指定了 'all',将删除所有策略。
示例: 1. delete policy all
- 删除所有策略
2. delete policy name=Policy1
- 删除名为 'Policy1' 的策略
从策略中删除一个规则。
»netsh »ipsec »static »delete »rule
C:\Windows>netsh ipsec static delete rule ?
用法:
rule [ name = ] <string> | [ id = ] <integer> | [ all ]
[ policy = ] <string>
从策略中删除规则。
参数:
标记 值
name | id | all -规则的名称或 ID,或 all
policy -策略名称。
注释: 1. 如果指定了 'all',将从策略中删除除了默认响应规则以外
的所有规则。
2. 默认响应规则不能被删?
3. 每次删除都将更改 ID。
示例: 1. delete rule id=1 Policy1
-从 Policy1 中删除 id=1 的规则。
2. delete rule all Policy1
-从 Policy1 中删除所有规则。
显示一个配置脚本。
»netsh »ipsec »static »dump
C:\Windows>netsh ipsec static dump ?
用法: dump
说明:
创建一个包含当前配置的脚本文件。如果保存到
文件,此脚本可以用来还原更改的配置设置。
从证书存储中导出所有策略。
»netsh »ipsec »static »exportpolicy
C:\Windows>netsh ipsec static exportpolicy ? 用法: exportpolicy [ file = ] <string> 将所有策略导出到文件。 参数: 标记 值 name -策略要导出到的文件的名称。 注释: 默认情况下在文件名后面加 .ipsec 扩展。 示例: exportpolicy Policy1
显示命令列表。
»netsh »ipsec »static »help
C:\Windows>netsh ipsec static help ?
用法: help
说明:
显示命令列表。
从文件导入策略到证书存储。
»netsh »ipsec »static »importpolicy
C:\Windows>netsh ipsec static importpolicy ? 用法: importpolicy [ file = ] <string> 从指定文件中导入策略。 参数: 标记 值 name -要从中导入策略的文件名。 注释: 示例: importpolicy Policy1.ipsec
更改现存策略和相关信息。
»netsh »ipsec »static »set
C:\Windows>netsh ipsec static set ? 下列指令有效: 此上下文中的命令: set batch - 设置批更新模式。 set defaultrule - 更改默认响应规则。 set filteraction - 更改筛选器操作。 set filterlist - 更改筛选器列表。 set policy - 更改策略。 set rule - 更改规则。 set store - 设置当前策略存储。
设置批更新模式。
»netsh »ipsec »static »set »batch
C:\Windows>netsh ipsec static set batch ? 用法: set batch [mode = ] (enable | disable) 设置批处理更新模式。 参数: mode - 用于批处理更新的模式。
更改默认响应规则。
»netsh »ipsec »static »set »defaultrule
C:\Windows>netsh ipsec static set defaultrule ?
用法:
defaultrule [ policy = ] <string>
[ [ qmpfs = ] (yes | no) ]
[ [ activate = ] (yes | no) ]
[ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <preshared key> ]
[ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]
修改指定策略的默认煊嬖颉?
在 Windows Vista 和 Windows 的更新版本中将忽略此规则。
参数:
标记
值
policy -其默认响应规则将被修改的策略的名称
.
qmpfs -设置快速模式完全向前保密的选项
.
activate -如果指定 "yes" 则激活策略中的规则
.
qmsecmethods -IPsec 按下列其中一种模式提供:
ESP[ConfAlg,AuthAlg]:k/
s
AH[HashAlg]:k/
s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/
s
其中 ConfAlg 可以是 DES、3DES 或 None
.
其中 AuthAlg 可以是 MD5、SHA1 或 None
.
其中 HashAlg 是 MD5 或 SHA1
.
其中 k 是以 KB 为单位的生存时间
.
其中 s 是以秒为单位的生存时间
.
kerberos -如果指定 “yes” 则提供 Kerberos 身份验证
.
psk -使用指定的预共享密钥提供身份验证
.
rootca -使用指定的根证书提供身份验证,
如果指定 certmap:Yes,则尝试映射证书,
如果指定 excludecaname:Yes,则排除 CA 名称
.
说明: 1. 证书、映射和 CA 名称设置都要放在引号中;嵌入的引号用“\”代替
.
2. 证书映射只对域成员有效
.
3. 通过多次使用 rootca 参数可以提供多重证书
.
4. 每种身份验证方法的优先级由它在命令中的顺序决定
.
5. 如果未指定身份验证方法,则使用动态默认
6. 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: set defaultrule Policy1 activate=
y
qmsec="AH[MD5]+ESP[3DES,MD5]:100000k/2000s"
更改筛选器操作。
»netsh »ipsec »static »set »filteraction
C:\Windows>netsh ipsec static set filteraction ?
用法:
filteraction [ name = ] <string> | [ guid = ] <guid>
[ [ newname = ] <string> ]
[ [ description = ] <string> ]
[ [ qmpfs = ] (yes | no) ]
[ [ inpass = ] (yes | no) ]
[ [ soft = ] (yes | no) ]
[ [ action = ] (permit | block | negotiate) ]
[ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]
更改筛选器操作。
参数:
标记 值
name | guid -筛选器操作的名称或 guid。
newname -筛选器操作的新名称。
description -筛选器操作的简短信息。
qmpfs -设置快速模式完全向前保密的选项。
inpass -接受非安全的通讯,但始终用 IPsec 响应。可以
是 yes 或 no。
soft -允许与非 IPsec 的计算机进行非安全的通讯。
它的值可以是 yes 或 no。
action -可以是 permit 或 block 或 negotiate。
qmsecmethods -IPsec 提供是下列格式之一:
ESP[ConfAlg,AuthAlg]:k/s
AH[HashAlg]:k/s
AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
其中 ConfAlg 可以是 DES 或 3DES 或 None。
其中 AuthAlg 梢允?MD5 或 SHA1 或 None。
其中 HashAlg 是 MD5 或 SHA1。
其中 k 是 lifetime(千字节)。
其中 s 是 lifetime(秒)。
3. 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: 1.set filteraction name=test qmsec=ESP[3DES,MD5]:100000k/2000s
2.set filteraction guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
inpass=y
更改筛选器列表。
»netsh »ipsec »static »set »filterlist
C:\Windows>netsh ipsec static set filterlist ?
用法:
filterlist [ name = ] <string> | [ guid = ] <guid>
[ [ newname = ] <string> ]
[ [ description = ] <string> ]
更改筛选器列表名称和描述。
参数:
标记 值
name | guid -筛选器列表的名称或 guid。
newname -筛选器列表的新名称。
description -筛选器的简短信息列表。
示例: 1.set filterlist Filter1 desc=NewFilter1
2.set filterlist guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
newname=FilterName
更改策略。
»netsh »ipsec »static »set »policy
C:\Windows>netsh ipsec static set policy ?
用法:
policy [ name = ] <string> | [ guid = ] <guid>
[ [ newname = ] <string> ]
[ [ description = ] <string> ]
[ [ mmpfs = ] (yes | no) ]
[ [ qmpermm = ] <integer> ]
[ [ mmlifetime = ] <integer> ]
[ [ activatedefaultrule = ] ( yes | no) ]
[ [ pollinginterval = ] <integer> ]
[ [ assign = ] (yes | no) ]
[ [ gponame = ] <string> ]
[ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]
更改策略。
参数:
标记 值
name | guid -策略或 guid 的名称。
newname -新名称
description -简介信息。
mmpfs -设置主密钥完全向前保密。
qmpermm -每一个主模式的快速模式数目。
mmlifetime -重新生成密钥的时间(以分钟计)。
activatedefaultrule -激活默认响应规则。只在 Windows Vista 之前的 Windows 版本中有效。
pollinginterval -在策略存储中查找更改的时间(以分钟计)。
assign -指定策略。
gponame -可以指定策略的本地 AD 组策略对象名称。
在 store 为 domain 时为有效。
mmsecmethods -一个或多个空格分隔的安全方法列表,袷轿?
ConfAlg-HashAlg-GroupNum。
注释: 1. 如果指定了 mmpfs,qmpermm 将设置为 1。
2. 只有将 store 设置为 domain 时,才能指定 GPO 名称。
3. 不推荐使用 DES 和 MD5。提供这些算法
仅用于向下兼容。
示例: 1. set policy name=Policy mmpfs=y gpo=DomainPolicy assign=y
2. set policy guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
newname=NewName gpo=DefaultDomainPolicy assign=y
更改规则。
»netsh »ipsec »static »set »rule
C:\Windows>netsh ipsec static set rule ?
用法:
rule [ name = ] <string> | [id= ] <integer>
[ policy = ] <string>
[ [ newname = ] <string> ]
[ [ description = ] <string> ]
[ [ filterlist = ] <string> ]
[ [ filteraction = ] <string> ]
[ [ tunnel = ] (ip | dns) ]
[ [ conntype = ] (lan | dialup | all) ]
[ [ activate = ] (yes | no) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <preshared key> ]
[ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]
更改策略中的规则。
参数:
标记 值
name | id -规则的名称或 ID。
policy -规则所属的策略的名称。
newname -规则的新名称。
description -规则的简短信息。
filterlist -要使用的筛选器列表的名称。
filteraction -要使用的筛选器操作的名称。
tunnel -隧道 ip 地址或 dns 名称。
conntype -连接类型可以是 lan,dialup 或 all。
activate -如果指定了 yes,则激活策略中的规则。
kerberos -如果指定了 yes,则提供 Kerberos 身份验证。
psk -用指定的预共享密钥提供身份验证。
rootca -用指定的根证书提供身份验证,如果指定了
certmap:Yes,将尝试映射此证书
绻付?excludecaname:Yes,将排除 CA 名称。
注释: 1. 证书,映射和 CA 名称设置要在引号中引起来,内嵌的引号将
被“\'”代替。
2. 证书映射只对域成员有效。
3. 可以多次使用 rootca 参数来提供多重证书。
4. 每种身份验证方法的优先级由在命令中的顺序来决定。
5. 如果没有指定身份验证方法,将使用动态默认。
6. 所有身份验证方法都将被指定的列表所覆盖。
7. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分
发送。
示例: 1. set rule name=Rule policy=Policy activate=yes
rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West
Root Authority\’ certmap:yes excludecaname:no"
2. set rule id=3 Policy newname=RuleNew tunnel=192.165.123.156
设置当前策略存储。
»netsh »ipsec »static »set »store
C:\Windows>netsh ipsec static set store ?
用法:
store [location = ] (local | domain)
[ [ domain = ] <string> ]
设置当前 IPsec 策略存储位置。
参数:
标记 值
location IPsec 策略存储的位置。
domain 域名(只应用于域位置)。
说明: 1. 本地存储包含 IPsec 策略,可以指定来保护
计算机。如果域策略可用,则
应用域策略而不是本地策略。
2. 域存储包含 IPsec 策略,可以指定来
保护域中的一组计算机。
3. 使用"set machine"命令配置远程计算机。
4. 默认存储为本地存储。对存储设置所作的更改
仅在当前 Netsh 会话期间有效。如果需要在
同一存储中从批处理文件运行多个命令,请在
执行批处理文件时使用"Netsh Exec"。
5. 不支持永久存储和永久策略。
示例: 1. set store location=
local
- 使用当前计算机的本卮娲ⅰ?
2. set store location= domain domain=example.microsoft.com
- 使用域策略存储以获取 example.microsoft.com。
显示策略和相关信息的详细信ⅰ?
»netsh »ipsec »static »show
C:\Windows>netsh ipsec static show ? 下列指令有效: 此上下文中的命令: show all - 显示所有策略的详细信息及相关信息。 show filteraction - 显示筛选器操作详细信息。 show filterlist - 显示筛选器列表详细信息。 show gpoassignedpolicy - 显示组分配的策略的详细信息。 show policy - 显示策略详细信息。 show rule - 显示规则的详细信息。 show store - 显示当前策略存储。
显示所有策略的详细信息及相关信息。
»netsh »ipsec »static »show »all
C:\Windows>netsh ipsec static show all ?
用法:
all [ [ format = ] (list | table) ]
[ [ wide = ] (yes | no) ]
显示所有策略,筛选器列表和筛选器操作。
参数:
标记 值
format -以屏幕格式或制表符分隔的方式输出。
wide -如果设置为 no,名称和描述将被截断,
以适应 80 个字符的屏幕宽度。
注释:
示例: show all
显示筛选器操作详细信息。
»netsh »ipsec »static »show »filteraction
C:\Windows>netsh ipsec static show filteraction ?
用法:
filteraction [ name = ] <string> | [ rule = ] <string> | [ all ]
[ [ level = ] (verbose | normal) ]
[ [ format = ] (list | table ) ]
[ [ wide = ] (yes | no) ]
显示筛选器操作的详细信息。
参数:
标记 值
name | rule | all -筛选器操作的名称或 rule 名称或 all。
level -Verbose 或 normal。
format -以屏幕格式或制表符分隔的方式输出
wide -如果设置为 no,名称和描述将被截断,
以适应 80 个字符的屏幕宽度
注释: 如果指定了 'all',则显示所有筛选器操作。
示例: 1. show filteraction FilterAction1
- 显示筛选器操作 FilterAction1 的详细信息
2. show filteraction rule=Rule1
- 显示由规则 Rule1 使用的筛选器操作
3. show filteraction all
- 显示所有筛选器操作
显示筛选器列表详细信息。
»netsh »ipsec »static »show »filterlist
C:\Windows>netsh ipsec static show filterlist ?
用法:
filterlist [ name = ] <string> | [ rule = ] <string> | [ all ]
[ [ level = ] (verbose | normal) ]
[ [ format = ] (list | table ) ]
[ [ resolvedns = ] (yes | no) ]
[ [ wide = ] (yes | no) ]
显示筛选器列表的详细信息。
参数:
标记 值
name | rule | all -筛选器列表的名称或 rule 名称或 all。
level -Verbose 或 normal。
format -以屏幕格式或制表符分隔的方式输出。
resolvedns -值为 'yes' 将强制详细输出显示 IP 地址的当前
DNS 映射,以及存储在筛选器字段中的 DNS 名称。
wide -如果设置为 no,名称和描述将被截断,以适
应 80 个字符的屏幕宽度。
注释: 如果指定了 'all',将显示所有筛选器列表。
示例: show filterlist Filterlist=Filterlist1 resolvedns=yes wide=yes
显示组分配的策略的详细信息。
»netsh »ipsec »static »show »gpoassignedpolicy
C:\Windows>netsh ipsec static show gpoassignedpolicy ?
用法:
gpoassignedpolicy [name = ] <string>
[ [ level = ] (verbose | normal)
显示指定的 GPO 的活动策略的详细信息。
参数:
标记 值
Name -本地 AD 组策略对象名称。
注释: 1. 如果当前 store 为 domain,则需要 name 参数,
否则是不允许的。
示例: 1. show gpoassignedpolicy name=GPO1
- 显示指定到 GPO1 的域策略
2. show gpoassignedpolicy
- 显示此计算机上当前指定的策略。
显示策略详细信息。
»netsh »ipsec »static »show »policy
C:\Windows>netsh ipsec static show policy ?
用法:
policy [ name = ] <string> | [ all ]
[ [ level = ] (verbose | normal) ]
[ [ format = ] (list | table) ]
[ [ wide = ] (yes | no) ]
显示策略的详细信息
参数:
标记 值
name | all -策略名称或‘all’。
level -Verbose 或 normal。
format -以屏幕格式或制表符分隔的方式输出。
wide -如果设置为 “no”,名称和描述将被截断
以适应 80 列的屏幕宽度。
注释:
示例: show policy Policy1 wide=yes format=table
显示规则的详细信息。
»netsh »ipsec »static »show »rule
C:\Windows>netsh ipsec static show rule ?
"
用法:
rule [ name = ] <string> | [ id = ] <integer> ] | [ all ] | [default]
[ policy = ] <string>
[ [ type = ] (tunnel | tranport) ]
[ [ level = ] (verbose | normal) ]
[ [ format = ] (list | table ) ]
[ [ wide = ] (yes | no) ]
显示策略的规则的详细信息。
参数:
标记 值
name | id | all | default -规则的名称或 id,或 all 或 default。
policy -策略名称。
type -规则类别是 transport 或 tunnel。
level -Verbose 或 normal。
format -以屏幕格式或制表符分隔的方式输出。
wide -如果设置为 no,名称和描述将被截断,
以适应 80 个字符的屏幕宽度
注释: 1. 如果指定了 All,则显示所有规则。
2. 如果指定了 type 参数,则需要指定 'all'。
示例: 1. show rule all type=transport policy=Policy1
- 显示 Policy1 的所有传输规则。
2. show rule id=1 policy=Policy1
- 显示策略的第一个规则。
3. show rule default policy=Policy1
- 显示 Policy1 的默认响应规则的详细信息。
显示当前策略存储。
»netsh »ipsec »static »show »store
C:\Windows>netsh ipsec static show store ? 用法: store 示例: show store
- cn -/- de -/- en -
