Microsoft Windows [Version 10.0.19045.3570]
(c) Microsoft Corporation. C:\Windows>netsh ipsec ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 dump - 显示一个配置脚本。 dynamic - 更改到 `netsh ipsec dynamic' 上下文。 help - 显示命令列表。 static - 更改到 `netsh ipsec static' 上下文。 下列的子上下文可用: dynamic static 若需要命令的更多帮助信息,请键入命令,接着是空格, 后面跟 ?。
显示一个配置脚本。
»netsh »ipsec »dump
C:\Windows>netsh ipsec dump ? 用法: dump 说明: 创建一个包含当前配置的脚本文件。如果保存到 文件,此脚本可以用来还原更改的配置设置。
更改到 `netsh ipsec dynamic' 上下文。
»netsh »ipsec »dynamic
C:\Windows>netsh ipsec dynamic ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 将策略,筛选器和操作添加到 SPD。 delete - 从 SPD 中删除策略,筛选器和操作。 dump - 显示一个配置脚本。 help - 显示命令列表。 set - 更改 SPD 中的策略,筛选器和操作。 show - 从 SPD 中显示策略,筛选器和操作。 若需要命令的更多帮助信息,爰朊睿幼攀强崭瘢? 后面跟 ?。
将策略,筛选器和操作添加到 SPD。
»netsh »ipsec »dynamic »add
C:\Windows>netsh ipsec dynamic add ? 下列指令有效: 此上下文中的命令: add mmpolicy - 将主模式策略添加到 SPD。 add qmpolicy - 将快速模式策略添加到 SPD。 add rule - 添加一个规则和相关联的筛选器到 SPD。
将主模式策略添加到 SPD。
»netsh »ipsec »dynamic »add »mmpolicy
C:\Windows>netsh ipsec dynamic add mmpolicy ? 用法: mmpolicy [ name = ] <string> [ [ qmpermm = ] <integer> ] [ [ mmlifetime = ] <integer> ] [ [ softsaexpirationtime = ] <integer> ] [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ] 添加一个主模式策略到 SPD。 参数: 标记 值 name -主模式策略名称。 qmpermm -IKE 的每主模式会话的快速模式会话数目。 mmlifetime -为 IKE 的主模式重新生成密钥所需时间。 softsaexpirationtime -未保护的 SA 的过期时间(分钟)。 mmsecmethods -一个或多个由空格分隔的安全方法列表,格式 为 ConfAlg-HashAlg-GroupNum。 其中 ConfAlg 可以是 DES 或 3DES HashAlg 是 MD5 或 SHA1 GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。 注释: 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: add mmp name=mmp qmpermm=10 mmlifetime=300 softsa=20 mmsec="3DES-SHA1-3 DES-SHA1-2 3DES-MD5-3"
将快速模式策略添加到 SPD。
»netsh »ipsec »dynamic »add »qmpolicy
C:\Windows>netsh ipsec dynamic add qmpolicy ? 用法: qmpolicy [ name = ] <string> [ [ soft = ] (yes | no) ] [ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ] [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ] 添加一个快速模式策略到 SPD。 参数: 标记 值 name -快速模式策略名称。 soft -允许与非 IPsec 的计算机进行不安全的通讯。 这可以是 yes 或 no。 pfsgroup -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。 qmsecmethods -IPsec 提供是下列之一: ESP[ConfAlg,AuthAlg]:k/s AH[HashAlg]:k/s AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s 其中 ConfAlg 可以是 DES 或 3DES 或 None。 其中 AuthAlg 可以是 MD5 或 SHA1 或 None。 其中 HashAlg 是 MD5 或 SHA1。 其中 k 是 lifetime(千字节)。 其中 s 是 lifetime(秒)。 注释: 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: add qmpolicy name=qmp qmsec="AH[MD5]:10000k/24800s ESP[DES,SHA1]:30000k/300s"
添加一个规则和相关联的筛选器到 SPD。
»netsh »ipsec »dynamic »add »rule
C:\Windows>netsh ipsec dynamic add rule ? 用法: rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ mmpolicy = ] <string> [ [ qmpolicy = ] <string> ] [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ srcport = ] <port> ] [ [ dstport = ] <port> ] [ [ mirrored = ] (yes | no) ] [ [ conntype = ] (lan | dialup | all) ] [ [ actioninbound = ] (permit | block | negotiate) ] [ [ actionoutbound = ] (permit | block | negotiate) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ tunneldstaddress = ] (ip | dns) ] [ [ kerberos = ] (yes | no) ] [ [ psk = ] <preshared key> ] [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname: (yes | no)" ] 添加规则。 参数: 标记 值 srcaddr - 源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。 dstaddr -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器名称。 mmpolicy -主要模式策略 qmpolicy -快速模式策略 protocol -可以是 ANY, ICMP, TCP, UDP, RAW 或一个整数。 如果指定端口,则可接受的值为 TCP 或 UDP。 srcport -源端口(0 意味着任意端口) dstport -目标端口(0 意味着任意端口) mirrored -"Yes" 创建两个筛选器,每个方向一个。 conntype -连接类型 actioninbound -用于入站数据包的操作 actionoutbound -用于出站数据包的操作 srcmask -源地址掩码或 1 到 32 之间的前骸H绻?srcaddr 设置为一个 范围则不可用 dstmask -目标地址掩码或 1 到 32 之间的前缀。如果 dstaddr 设置为一个 范围则不可用 tunneldstaddress -隧道目标 IP 地址或 DNS 名称。 kerberos -如果指定 "yes" 则提供 kerberos 身份验证。 psk -使用指定的预共享密钥提供身份验证。 rootca -使用指定的根证书提供身份验证, 如果指定 certmap:Yes,则尝试映射证书, 如果指定 excludecaname:Yes,则排除 CA 名称。 说明: 1. 端口对于 TCP 和 UDP 有效。 2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY 3. actioninbound 和 actionoutbound 的默认值为 "negotiate"。 4. 对于隧道规则,必须将 "mirrored" 设置为 "no"。 5. 证书、映射和 CA 名称设置都必须放在引号中;嵌入的引号用 "\" 代替。 6. 证书映射仅对域成员有效。 7. 通过多次使用 rootca 参数可以提供多重证书。 8. 每个身份验证方法的优先级由它在命令中的顺序决定。 9. 如果未指定身份验证方法,则使用动态默认。 10. 排除根证书颁发机构(CA)名称可以防止将名称作为证书请求的一部分发送。 11. 如果指定地址范围,终结点必须是特定地址(不是列表或子网),而且必须是 相同的类型(都应该是 v4 或 v6)。 示例: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255 rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority" rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root Authority\' certmap:yes excludecaname:no"
从 SPD 中删除策略,筛选器和操作。
»netsh »ipsec »dynamic »delete
C:\Windows>netsh ipsec dynamic delete ? 下列指令有效: 此上下文中的命令: delete all - 从 SPD 中删除所有策略,筛选器和操作。 delete mmpolicy - 从 SPD 中删除主模式策略。 delete qmpolicy - 从 SPD 中删除快速模式策略。 delete rule - 从 SPD 中删除规则及与其相关联的筛选器。 delete sa -
从 SPD 中删除所有策略,筛选器和操作。
»netsh »ipsec »dynamic »delete »all
C:\Windows>netsh ipsec dynamic delete all ? 用法: all 从 SPD 中删除所有策略,筛选器和身份验证方法。 示例: delete all
从 SPD 中删除主模式策略。
»netsh »ipsec »dynamic »delete »mmpolicy
C:\Windows>netsh ipsec dynamic delete mmpolicy ? 用法: mmpolicy [ name = ] <string> | [ all ] 从 SPD 中删除主模式策略。 如果指定了 'all',将删除所有主模式策略。 参数: 标记 值 name -主模式策略名称。 注释: 要删除一个主模式策略,必须先删除所有相关联的主模式 筛选器。 示例: delete mmpolicy name=mmp
从 SPD 中删除快速模式策略。
»netsh »ipsec »dynamic »delete »qmpolicy
C:\Windows>netsh ipsec dynamic delete qmpolicy ? 用法: qmpolicy [ name = ] <string> | [ all ] 从 SPD 中删除快速模式策略。 如果指定了 'all',将删除所有快速模式策略。 参数: 标记 值 name -快速模式策略名称。 备注: 要删除一个快速模式策略,必须先删除所有相关联的快速模式 筛选器。 示例: delete qmpolicy name=qmp
从 SPD 中删除规则及与其相关联的筛选器。
»netsh »ipsec »dynamic »delete »rule
C:\Windows>netsh ipsec dynamic delete rule ? 用法: rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) [ srcport = ] <port> [ dstport = ] <port> [ mirrored = ] (yes | no) [ conntype = ] (lan | dialup | all) [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ tunneldstaddress = ] (ip | dns) ] 从 SPD 中删除规则。 参数: 标记 值 srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。 srcport -源端口。值为 0 表示任意端口。 dstport -目标端口。值为 0 表示任意端口。 mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。 conntype -连接类型可以是 lan、dialup 或 "all"。 srcmask -源地址掩码或 1 到 32 的前缀。 dstmask -目标地址掩码或 1 到 32 的前缀。 tunneldstaddress -隧道目标 ip 地址或 dns 啤? 注释: 1. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me 要指定所有计算机地址,请设置 srcaddr/dstaddr=any 2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY 3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。 示例: delete rule srca=192.168.145.110 dsta=192.168.145.215 tunneldsta=192.168.145.1 proto=tcp srcport=80 dstport=80 mirror=no conntype=lan
»netsh »ipsec »dynamic »delete »sa
C:\Windows>netsh ipsec dynamic delete sa ?
显示一个配置脚本。
»netsh »ipsec »dynamic »dump
C:\Windows>netsh ipsec dynamic dump ? 用法: dump 说明: 创建一个包含当前配置的脚本文件。如果保存到 文件,此脚本可以用来还原更改的配置设置。
显示命令列表。
»netsh »ipsec »dynamic »help
C:\Windows>netsh ipsec dynamic help ? 用法: help 说明: 显示命令列表。
更改 SPD 中的策略,筛选器和操作。
»netsh »ipsec »dynamic »set
C:\Windows>netsh ipsec dynamic set ? 下列指令有效: 此上下文中的命令: set config - 设置 IPSEC 配置和启动时间行为。 set mmpolicy - 更改 SPD 中的主模式策略。 set qmpolicy - 更改 SPD 中的快速模式策略。 set rule - 修改 SPD 中的规则和相关联的筛选器。
设置 IPSEC 配置和启动时间行为。
»netsh »ipsec »dynamic »set »config
C:\Windows>netsh ipsec dynamic set config ? 用法: config [ property = ] (ipsecdiagnostics | ipsecexempt | ipsecloginterval | ikelogging | strongcrlcheck | bootmode | bootexemptions) ] [ value = ] <integer> | <bootmode> | <bootexemptions> ] 配置 IPSec 的参数。 参数: 标记 值 property -属性名称。 value -与属性相对应的值。 注释: 1. 属性的有效值为: ipsecdiagnostics - 0, 1, 2, 3, 4, 5, 6, 7 ikelogging - 0, 1 strongcrlcheck - 0, 1, 2 ipsecloginterval - 60 to 86400 sec ipsecexempt - 0, 1, 2, 3 bootmode - stateful, block, permit bootexemptions - none, "exemption#1 exemption#2 ... exemption#n" 其中引号中的字符串指定引导模式期间 始终允许的协议和端口列表,格式如下: Protocol:SrcPort:DstPort:Direction 其中 protocol 为 ICMP、TCP、UDP、 RAW 或 <整数> 其中 direction 为 inbound 或 outbound 2. 提供 ipsecdiagnostics、ikelogging、ipsecloginterval、bootmod 和 bootexemptions 选项,用于向下兼容。对于 Windows Vista 及以后的 操作系统无效。 3. SrcPort 和 DstPort 仅对于 TCP 和 UDP 有效,对于其他协议, 免除格式为 Protocol:Direction。 4. 端口设置 0 允许任意端口的流量。 5. 立即激活 ikelogging 和 strongcrlcheck; 其他所有属性在下次启动时生效。 示例: 1. set config property=ipsecdiagnostics value=0 2. set config property=bootmode value=stateful 3. set config property=bootexemptions value=none 4. set config property=bootexemptions value="ICMP:inbound TCP:80:80:outbound"
更改 SPD 中的主模式策略。
»netsh »ipsec »dynamic »set »mmpolicy
C:\Windows>netsh ipsec dynamic set mmpolicy ? 用法: mmpolicy [ name = ] <string> [ [ qmpermm = ] <integer> ] [ [ mmlifetime = ] <integer> ] [ [ softsaexpirationtime = ] <integer> ] [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ] 用新参数在 SPD 中更改主模式策略。 参数: 标记 值 name -主模式策略名称。 qmpermm -IKE 的每主模式会话的快速模式会话数目。 mmlifetime -为 IKE 的主模式重新生成密钥所需时间。 softsaexpirationtime -未保护的 SA 的过期时间(分钟)。 mmsecmethods -一个或多个空格分隔的安全方法列表,格式 为 ConfAlg-HashAlg-GroupNum。 其中 ConfAlg 可以是 DES 或 3DES, HashAlg 是 MD5 或 SHA1, GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。 注释: 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: set mmpolicy name=mmp qmpermm=10 mmlife=10 mmsecmethod=3DES-MD5-3
更改 SPD 中的快速模式策略。
»netsh »ipsec »dynamic »set »qmpolicy
C:\Windows>netsh ipsec dynamic set qmpolicy ? 用法: qmpolicy [ name = ] <string> [ [ soft = ] (yes | no) ] [ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ] [ [ qmsecmethods = ] (neg#1 neg#2... neg#n) ] 在 SPD 中更改快速模式策略。 参数: 标记 值 name -快速模式策略名称。 soft -允许与非 IPsec 的计算机进行不安全的通信。 这可以是 yes 或 no。 pfsgroup -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。 qmsecmethods -IPsec 提供是下列之一 ESP[ConfAlg,AuthAlg]:k/s AH[HashAlg]:k/s AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s 其中 ConfAlg 可以是 DES,或 3DES 或 None。 其中 AuthAlg 可以是 MD5,或 SHA1 或 None。 其中 HashAlg 是 MD5 或 SHA1。 其中 k 是 lifetime(千字节)。 其中 s 是 lifetime(秒)。 注释: 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: set qmpolicy name=qmp pfsg=grp3 qmsec="AH[MD5]:100000k/29999s+ESP[DES,SHA1]"
修改 SPD 中的规则和相关联的筛选器。
»netsh »ipsec »dynamic »set »rule
C:\Windows>netsh ipsec dynamic set rule ? 用法: rule [ srcaddr = ] (ip | dns | server) [ dstaddr = ] (ip | dns | server) [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) [ srcport = ] <port> [ dstport = ] <port> [ mirrored = ] (yes | no) [ conntype = ] (lan | dialup | all) [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ tunneldstaddress = ] (ip | dns) ] [ [ mmpolicy = ] <string> ] [ [ qmpolicy = ] <string> ] [ [ actioninbound = ] (permit | block | negotiate) ] [ [ actionoutbound = ] (permit | block | negotiate) ] [ [ kerberos = ] (yes | no) ] [ [ psk = ] <preshared key> ] [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ] 在 SPD 中修改规则及相关的筛选器。 参数: 标记 值 srcaddr - 源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或一个整数。 srcport -源端口(0 表示任意端口) dstport -目标端口(0 表示任意端口) mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。 conntype -连接类型 srcmask -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。 dstmask -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。 tunneldstaddress -隧道目标 ip 地址或 dns 名称。 mmpolicy -主模式策略 qmpolicy -快速模式策略 actioninbound -对入站数据包的操作 actionoutbound -对出站数据包的操作 kerberos -如果指定了‘yes’,则提供 kerberos 身份验证 psk -用指定的预共享密钥提供身份验证 rootca -用指定的根证书提供身份验证, 如果指定了 certmap:Yes,将尝试映射此证书 如果指定了 excludecaname:Yes,将排除 CA 名称 注释: 1. 可以设置 Mmpolicy、qmpolicy、actioninbound、actionoutbound 和 authmethods,其他字段是标识符。 2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY 3. 证书、映射和 CA 名称设置均以引号中引起来,内嵌的引号将替代为 “\"”。 4. 证书映射只对域成员有效。 5. 可以多次使用 rootca 参数来提供多重证书。 6. 每种身份验证方法的优燃队伤诿钪械乃承蚶? 决定。 7. 如果没有指定身份验证方法,将使用动态默认值。 8. 所有身份验证方法都将以指定的列表覆盖。 9. 排除根证书颁发机构(CA)名称可防止将名称作为证书请求的一部分 进行发送。 10. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同 类型的地址(两者均应为 v4 或 v6)。 示例: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32 tunneldst=192.168.145.1 proto=tcp srcport=80 dstport=80 mir=no con=lan qmp=qmp actionin=negotiate actionout=permit 2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32 rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority" rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West Root Authority\’ certmap:yes excludecaname:no"
从 SPD 中显示策略,筛选器和操作。
»netsh »ipsec »dynamic »show
C:\Windows>netsh ipsec dynamic show ? 下列指令有效: 此上下文中的命令: show all - 显示 SPD 中的策略,筛选器,SA 和统计。 show config - 显示 IPsec 配置。 show mmfilter - 从 SPD 中显示主模式筛选器详细信息。 show mmpolicy - 从 SPD 中显示主模式策略详细信息。 show mmsas - 从 SPD 中显示主模式安全关联。 show qmfilter - 从 SPD 中显示快速模式筛选器详细信息。 show qmpolicy - 从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ? show qmsas - 从 SPD 中显示快速模式安全关联。 show rule - 显示 SPD 中的规则详细信息。
显示 SPD 中的策略,筛选器,SA 和统计。
»netsh »ipsec »dynamic »show »all
C:\Windows>netsh ipsec dynamic show all ? 用法: all [ [ resolvedns = ] (yes | no) ] 显示 SPD 中的所有策略,筛选器,SA 和统计的详细信息。 参数: 标记 值 resolvedns -值为 'yes' 显示解析的 dns 名称。 注释: resolvedns 的默认值为 'no'。 示例: show all yes -显示所有信息,包括 dns 解析
显示 IPsec 配置。
»netsh »ipsec »dynamic »show »config
C:\Windows>netsh ipsec dynamic show config ? 用法: config 显示 IPsec 配置参数的当前设置。 注释: 示例: show config
从 SPD 中显示主模式筛选器详细信息。
»netsh »ipsec »dynamic »show »mmfilter
C:\Windows>netsh ipsec dynamic show mmfilter ? 用法: mmfilter [ name = ] <string> | [ all ] [ [ type = ] (generic | specific) ] [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ resolvedns = ] (yes | no) ] 从 SPD 中显示主模式筛选器的详细信息。 参数: 标记 值 name | all -主模式筛选器名称,或 'all'。 type -筛选器类别。可以是 specific 或 generic。 srcaddr -源 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。 srcmask -源地址掩码或 1 到 32 的白骸? dstmask -目标地址掩码或 1 到 32 的前缀。 resolvedns -值为 'yes' 显示解析的 dns 名称。 注释: 1. 默认 type 参数为 generic。 2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。 3. 如果指定了 'all',将显示所有主模式筛选器。 4. 如果指定了源地址或目标地址,将只显示与该地址相关联的筛选器。 5. 如果指定了地址范围,终结点必须为特定地址(非列表或油?和相同 类型地址(两者均应为 v4 或 v6)。 示例: 1. show mmfilter name=mmf 2. show mmfilter all srcaddr=wins dstaddr=192.168.145.112
从 SPD 中显示主模式策略详细信息。
»netsh »ipsec »dynamic »show »mmpolicy
C:\Windows>netsh ipsec dynamic show mmpolicy ? 用法: mmpolicy [ name = ] <string> | [ all ] 从 SPD 中显示主模式策略的详细信息。 参数: 标记 值 name -主模式策略名称。 注释: 如果指定了 'all',将显示所有主模式策略。 示例: 1. show mmpolicy name=mmp 2. show mmpolicy all
从 SPD 中显示主模式安全关联。
»netsh »ipsec »dynamic »show »mmsas
C:\Windows>netsh ipsec dynamic show mmsas ? 用法: mmsas [ [ all ] ] [ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ format = ] (list | table) ] [ [ resolvedns = ] (yes | no) ] 显示指定地址的主模式安全关联。 参数: 标记 值 all -显示所有主模式踩亓? srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 format -以屏幕格式或制表符分隔的方式输出。 resolvedns -值为 "yes" 显示解析的 dns 名称。 注释: 1. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。 2. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。\ 示例: 1. show mmsas all 2. show mmsas srca=192.168.145.110 dsta=192.168.145 .215
从 SPD 中显示快速模式筛选器详细信息。
»netsh »ipsec »dynamic »show »qmfilter
C:\Windows>netsh ipsec dynamic show qmfilter ? 用法: qmfilter [ name = ] <string> | [ all ] [ [ type = ] (generic | specific) ] [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ srcport = ] <port> ] [ [ dstport = ] <port> ] [ [ actioninbound = ] (permit | block | negotiate) ] [ [ actionoutbound = ] (permit | block | negotiate) ] [ [ resolvedns = ] (yes | no) ] 从 SPD 中显示快速模式筛选器的详细信息。 参数: 标记 值 name -快速模式筛选器名称。 type -要显示的筛选器类别,可以是 specific 或 generic。 srcaddr -源 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。 srcmask -源地址掩码或 1 到 32 的前缀。 dstmask -目标地址掩码或 1 到 32 的前缀。 protocol -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。 srcport -源端口。值为零表示任意端口。 dstport -目标端口。值为零表示任意端口。 actioninbound -对入站数据包的操作。 actionoutbound -对出站数据包的操作。 resolvedns -值为 "yes" 显示解析的 dns 名称。 注释: 1. 如果未指定类别,则显示 "generic" 和 "specific" 筛选器。 2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。 3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同 类型地址(两者均应为 v4 或 v6)。 示例: 1. 显示 qmfilter name=qmf 2. 显示 qmfilter all srcaddr=192.134.135.133 proto=TCP 3. 如果指定 "all",则将显示所有快速模式筛选器。 4. 如果指定源或目标地址名称, 则将只显示与该地址相关联的筛选器。
从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ?
»netsh »ipsec »dynamic »show »qmpolicy
C:\Windows>netsh ipsec dynamic show qmpolicy ? 用法: qmpolicy [ name = ] <string> | [ all ] 从 SPD 中显示快速模式策略的详细信息。 参数: 标记 值 name -快速模式策略名称。 注释: 如果指定了 'all',将显示所有快速模式策略。 示例: 1. show qmpolicy name=qmp 2. show qmpolicy all
从 SPD 中显示快速模式安全关联。
»netsh »ipsec »dynamic »show »qmsas
C:\Windows>netsh ipsec dynamic show qmsas ? 用法: qmsas [ [ all ] ] [ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ format = ] (list | table) ] [ [ resolvedns = ] (yes | no) ] 显示指定地址的快速模桨踩亓? 参数: 标记 值 all -显示所有快速模式安全关联。 srcaddr -源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。 dstaddr -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。 protocol -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。 format -屏幕中的输出或制表符分隔格式。 resolvedns -值 "yes" 显示解析的 DNS 名称。 说明: 1. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。 2. 如果指定地址范围,终结点必须是特定地址(不是列表或子网), 而且必须是相同的类型(都应该是 v4 或 v6)。 示例: 1. show qmsas all 2. show qmsas srca=192.168.145.110 dsta=192.168.145.215
显示 SPD 中的规则详细信息。
»netsh »ipsec »dynamic »show »rule
C:\Windows>netsh ipsec dynamic show rule ? 用法: rule [ [ type = ] (transport | tunnel) ] [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ srcport = ] <port> ] [ [ dstport = ] <port> ] [ [ actioninbound = ] (permit | block | negotiate) ] [ [ actionoutbound = ] (permit | block | negotiate) ] [ [ resolvedns = ] (yes | no) ] 显示 SPD 中的规则详细信息。 参数: 标记 值 type -要显示的规则类型,可以是 transport 或 tunnel。 srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 srcmask -源地址掩码或一个 1 到 32 的前缀。 dstmask -目标地址掩码或一个 1 到 32 的前缀。 protocol -可以是 ANY,ICMP,TCP,UDP,RAW 或一个整数。 srcport -源端口。值为零表示任意端口。 dstport -目标端口。值为零表示任意端口。 actioninbound -对入站数据包的操作。 actionoutbound -对出站数据包的操作。 resolvedns -值为 "yes" 显示解析的 dns 名称。 注释: 1. type 参数的默认值为 "transport"。 2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。 3. 如果指定了源或目标地址名称,将只显示与该地址相关联的规则。 4. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型 地址(两者均应为 v4 或 v6)。 示例: 1. show rule - shows both transport and tunnel rules 2. show rule type=transport srcaddr=192.134.135.133 proto=TCP
显示命令列表。
»netsh »ipsec »help
C:\Windows>netsh ipsec help ? 用法: help 说明: 显示命令列表。
更改到 `netsh ipsec static' 上下文。
»netsh »ipsec »static
C:\Windows>netsh ipsec static ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 add - 创建新的策略和有关信息。 delete - 删除策略和相关信息。 dump - 显示一个配置脚本。 exportpolicy - 从证书存储中导出所有策略。 help - 显示命令列表。 importpolicy - 从文件导入策略到证书存储。 set - 更改现存策略和相关信息。 show - 显示策略和相关信息的详细信ⅰ? 若需要命令的更多帮助信息,请键入命令,接着是空格, 后面跟 ?。
创建新的策略和有关信息。
»netsh »ipsec »static »add
C:\Windows>netsh ipsec static add ? 下列指令有效: 此上下文中的命令: add filter - 将筛选器添加到筛选器列表。 add filteraction - 创建一个筛选器操作。 add filterlist - 创建一个空的筛选器列表。 add policy - 用默认响应规则创建策略。 add rule - 为指定策略创建一个规则。
将筛选器添加到筛选器列表。
»netsh »ipsec »static »add »filter
C:\Windows>netsh ipsec static add filter ? 用法: filter [ filterlist = ] <string> [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ [ description = ] <string> ] [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ mirrored = ] (yes | no) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ srcport = ] <port> ] [ [ dstport = ] <port> ] 将筛选器添加到指定的筛选器列表。 参数: 标记 值 filterlist -筛选器要添加到其中的筛选器列表的名称。 srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、dns 名称或服务器类型。 description -筛选器的简介信息。 protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。 mirrored -值为 'Yes' 将创建两个筛选器,每个方向均有一个。 srcmask -源地址掩码或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。 dstmask -目标地址掩码或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。 srcport -数据包的源端口。值为 0 表示任意端口。 dstport -数据包的目标端口。值为 0 表示任意端口。 注释: 1. 如果筛选器列表不存在,将创建它。 2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me 要指定所有计算机地址,请设置 srcaddr/dstaddr=any 3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。 4. 如果源是一个服务器类型,则目标为 "me",反之亦然。 5. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。 示例: 1. add filter filterlist=Filter1 192.145.168.0 192.145.168.45 srcmask=24 dstmask=32 2. add filter filterlist=Filter1 srcaddr=DHCP dstaddr=0.0.0.0 protocol=ICMP srcmask=255.255.255.255 dstmask=255.255.255.255 3. add filter filterlist=Filter1 srcaddr=me dstaddr=any 4. add filter filterlist=Filter1 srcaddr= E3D7::51F4:9BC8:00A8:6420 dstaddr= ME 5. add filter filterlist=Filter1 srcaddr= 192.168.2.1-192,168.2.10 dstaddr= ME
创建一个筛选器操作。
»netsh »ipsec »static »add »filteraction
C:\Windows>netsh ipsec static add filteraction ? 用法: filteraction [ name = ] <string> [ [ description = ] <string> ] [ [ qmpfs = ] (yes | no) ] [ [ inpass = ] (yes | no) ] [ [ soft = ] (yes | no) ] [ [ action = ] (permit | block | negotiate) ] [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ] 创建一个筛选器操作。 参数: 标记 值 name -筛选器操作的名称。 description -筛选器操作类别的简短信息。 qmpfs -设置快速模式完全向前保密的选项。 inpass -接受不安全的通讯,但是始终用 IPsec响应。 这接受 yes 或 no。 soft -允许与没有 IPsec 的计算机进行不安全的通讯。 可以是 yes 或 no。 action -可以是 permit,block 或 negotiate。 qmsecmethods -IPsec 提供是下列格式之一: ESP[ConfAlg,AuthAlg]:k/s AH[HashAlg]:k/s AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s 其中 ConfAlg 可以是 DES 或 3DES 或 None 其中 AuthAlg 可以是 MD5 或 SHA1 或 None 其中 HashAlg 是 MD5 或 SHA1。 其中 k 是 Lifetime(千字节)。 其中 s 是 Lifetime(秒)。 注释: 1. 如果操作不是 negotiate,快速模式安全方法将被忽略 2. 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: add filteraction name=FilterA qmpfs=yes soft=y action=negotiate qmsec="AH[MD5]:204800k/300s ESP[DES,SHA1]:30000k/480s"
创建一个空的筛选器列表。
»netsh »ipsec »static »add »filterlist
C:\Windows>netsh ipsec static add filterlist ? 用法: filterlist [ name = ] <string> [ [ description = ] <string> ] 用指定名称创建一个空的筛选器列表。 参数: 标记 值 name -筛选器列表的名称。 description -筛选器列表的简短信息。 注释: 示例: add filterlist Filter1
用默认响应规则创建策略。
»netsh »ipsec »static »add »policy
C:\Windows>netsh ipsec static add policy ? 用法: policy [ name = ] <string> [ [ description = ] <string> ] [ [ mmpfs = ] (yes | no) ] [ [ qmpermm = ] <integer> ] [ [ mmlifetime = ] <integer> ] [ [ activatedefaultrule = ] (yes | no) ] [ [ pollinginterval = ] <integer> ] [ [ assign = ] (yes | no) ] [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ] 用指定名称创建一个策略。 参数: 标记 值 name -策略的名称。 description -策略的简短信息。 mmpfs -设置主完全向前保密的选项。 qmpermm -每一 IKE 主模式会话的快速模式会话数目。 mmlifetime -为 IKE 的主模式重新生成密钥所需时间(以分钟计)。 activatedefaultrule -激活或禁用默认响应规则。 只在 Windows Vista 之前的 Windows 版本上有效。 pollinginterval -轮询间隔,策略代理在策略存储中 查找更改的间隔时间(以分钟计)。 assign -指定策略为活动或非活动。 mmsecmethods -一个或多个由空格分隔开的安全方法列表,安全方法的格式为 ConfAlg-HashAlg-GroupNum,其中 ConfAlg 可以是 DES 或 3DES,HashAlg 是 MD5 ?SHA1。 GroupNum 可以是 1 (低)、2 (中)、3 (DH2048)。 注释: 1. 如果指定了 mmpfs,qmpermm 将设置为 1。 2. 如果存储为 "domain",则 "assign" 将不起作用。 3. 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: add policy Policy1 mmpfs= yes assign=yes mmsec="3DES-SHA1-3 DES-MD5-3 3DES-MD5-2"
为指定策略创建一个规则。
»netsh »ipsec »static »add »rule
C:\Windows>netsh ipsec static add rule ? 用法: rule [ name = ] <string> [ policy = ] <string> [ filterlist = ] <string> [ filteraction = ] <string> [ [ tunnel = ] (ip | dns) ] [ [ conntype = ] (lan | dialup | all) ] [ [ activate = ] (yes | no) ] [ [ description = ] <string> ] [ [ kerberos = ] (yes | no) ] [ [ psk = ] <preshared key> ] [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ] 用指定的筛选器列表和筛选器操作创建一个规则。 参数: 标记 值 name -规则的名称。 policy -规则所属的策略的名称。 filterlist -要使用的筛选器列表的名称。 filteraction -要使用的筛选器操作的名称。 tunnel -隧道终结点 IP 地址。 conntype -连接类型可以是 lan,dialup 或 all。 activate -如果指定了 yes,则激活策略中的规则。 description -规则的简短信息。 kerberos -如果指定了 yes,则提供 Kerberos 身份验证。 psk -用预共享密钥提供身份验证。 rootca -用指定的根证书提供身份验证,如果指定了 certmap:Yes,将尝试映射此证书 如果指定了 excludecaname:Yes,将排除 CA 名称 注释: 1. 证书,映射和 CA 名称设靡谝胖幸鹄矗谇兜囊沤? 被“\'”所代替。 2. 证书映射只对域成员有效。 3. 可以多次使用 rootca 参数来提供多重证书。 4. 每种身份验证方法的优先级由在命令中的顺序来决定。 5. 如果没有指定身份验证方法,将使用动态默认。 6. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分 发送。 示例: add rule name=Rule policy=Policy filterlist=Filterlist filteraction=FilterAction kerberos=yes psk="my key" rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority" rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West Root Authority\’ certmap:yes excludecaname:no"
删除策略和相关信息。
»netsh »ipsec »static »delete
C:\Windows>netsh ipsec static delete ? 下列指令有效: 此上下文中的命令: delete all - 删除所有策略,筛选器列表和筛选器操作。 delete filter - 从筛选器列表中删除一个筛选器。 delete filteraction - 删除一个筛选器操作。 delete filterlist - 删除一个筛选器列表。 delete policy - 删除一个策略和它的规则。 delete rule - 从策略中删除一个规则。
删除所有策略,筛选器列表和筛选器操作。
»netsh »ipsec »static »delete »all
C:\Windows>netsh ipsec static delete all ? 用法: all 删除所有策略,筛选器列表和筛选器操作。 参数: 注释: 示例: delete all
从筛选器列表中删除一个筛选器。
»netsh »ipsec »static »delete »filter
C:\Windows>netsh ipsec static delete filter ? 用法: filter [ filterlist = ] <string> [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ] [ [ srcmask = ] (mask | prefix) ] [ [ dstmask = ] (mask | prefix) ] [ [ srcport = ] <port> ] [ [ dstport = ] <port> ] [ [ mirrored = ] (yes | no) ] 从筛选器列表中删除一个筛选器 参数: 标记 值 filterlist -筛选器要添加到其中的筛选器列表的名称。 srcaddr -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 dstaddr -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。 protocol -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。 srcmask -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。 dstmask -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。 srcport -数据包的源端口。值为 0 表示任意端口。 dstport -数据包的目标端口。值为 0 表示任意端口。 mirrored -值为 "Yes" 将创建两个筛选器,每个方向均有一个。 注释: 1. 从筛选器列表中删除准确匹配的筛选器。 2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me 要指定所有计算机地址,请设置 srcaddr/dstaddr=any 3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。 4. 如果源为 server,则目标为 "me",反之亦然。 5. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均ξ?v4 或 v6)。 示例: 1. delete filter FilterList1 src=fum.com dst=fum.com 2. delete filter Filter1 srcaddr=me dstaddr=any proto=TCP 3. delete filter Filter1 srcaddr=GATEWAY dstaddr=0.0.0.0 proto=TCP 4. delete filter Filter1 srcaddr=192.168.2.1-192.168.2.10 dstaddr=ME
删除一个筛选器操作。
»netsh »ipsec »static »delete »filteraction
C:\Windows>netsh ipsec static delete filteraction ? 用法: filteraction [ name = ] <string> | [ all ] 删除筛选器操作。 参数: 标记 值 name | all -筛选器操作的名称,或 all。 注释: 如果指定了 'all',将删除所有筛选器操作。 示例: 1. delete filteraction FilterA 2. delete filteraction all
删除一个筛选器列表。
»netsh »ipsec »static »delete »filterlist
C:\Windows>netsh ipsec static delete filterlist ? 用法: filterlist [name = ] <string> | [ all ] 删除筛选器列表及它的所有相关筛选器。 参数: 标记 值 name | all -筛选器列表的名称,或 all。 Remarks: 如果指定了 'all',将删除所有筛选器。 示例: delete filterlist all
删除一个策略和它的规则。
»netsh »ipsec »static »delete »policy
C:\Windows>netsh ipsec static delete policy ? 用法: policy [ name = ] <string> | [ all ] 删除策略及它的所有相关规则。 参数: 标记 值 name | all -策略名称,或 all。 注释: 如果指定了 'all',将删除所有策略。 示例: 1. delete policy all - 删除所有策略 2. delete policy name=Policy1 - 删除名为 'Policy1' 的策略
从策略中删除一个规则。
»netsh »ipsec »static »delete »rule
C:\Windows>netsh ipsec static delete rule ? 用法: rule [ name = ] <string> | [ id = ] <integer> | [ all ] [ policy = ] <string> 从策略中删除规则。 参数: 标记 值 name | id | all -规则的名称或 ID,或 all policy -策略名称。 注释: 1. 如果指定了 'all',将从策略中删除除了默认响应规则以外 的所有规则。 2. 默认响应规则不能被删? 3. 每次删除都将更改 ID。 示例: 1. delete rule id=1 Policy1 -从 Policy1 中删除 id=1 的规则。 2. delete rule all Policy1 -从 Policy1 中删除所有规则。
显示一个配置脚本。
»netsh »ipsec »static »dump
C:\Windows>netsh ipsec static dump ? 用法: dump 说明: 创建一个包含当前配置的脚本文件。如果保存到 文件,此脚本可以用来还原更改的配置设置。
从证书存储中导出所有策略。
»netsh »ipsec »static »exportpolicy
C:\Windows>netsh ipsec static exportpolicy ? 用法: exportpolicy [ file = ] <string> 将所有策略导出到文件。 参数: 标记 值 name -策略要导出到的文件的名称。 注释: 默认情况下在文件名后面加 .ipsec 扩展。 示例: exportpolicy Policy1
显示命令列表。
»netsh »ipsec »static »help
C:\Windows>netsh ipsec static help ? 用法: help 说明: 显示命令列表。
从文件导入策略到证书存储。
»netsh »ipsec »static »importpolicy
C:\Windows>netsh ipsec static importpolicy ? 用法: importpolicy [ file = ] <string> 从指定文件中导入策略。 参数: 标记 值 name -要从中导入策略的文件名。 注释: 示例: importpolicy Policy1.ipsec
更改现存策略和相关信息。
»netsh »ipsec »static »set
C:\Windows>netsh ipsec static set ? 下列指令有效: 此上下文中的命令: set batch - 设置批更新模式。 set defaultrule - 更改默认响应规则。 set filteraction - 更改筛选器操作。 set filterlist - 更改筛选器列表。 set policy - 更改策略。 set rule - 更改规则。 set store - 设置当前策略存储。
设置批更新模式。
»netsh »ipsec »static »set »batch
C:\Windows>netsh ipsec static set batch ? 用法: set batch [mode = ] (enable | disable) 设置批处理更新模式。 参数: mode - 用于批处理更新的模式。
更改默认响应规则。
»netsh »ipsec »static »set »defaultrule
C:\Windows>netsh ipsec static set defaultrule ? 用法: defaultrule [ policy = ] <string> [ [ qmpfs = ] (yes | no) ] [ [ activate = ] (yes | no) ] [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ] [ [ kerberos = ] (yes | no) ] [ [ psk = ] <preshared key> ] [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ] 修改指定策略的默认煊嬖颉? 在 Windows Vista 和 Windows 的更新版本中将忽略此规则。 参数: 标记 值 policy -其默认响应规则将被修改的策略的名称 . qmpfs -设置快速模式完全向前保密的选项 . activate -如果指定 "yes" 则激活策略中的规则 . qmsecmethods -IPsec 按下列其中一种模式提供: ESP[ConfAlg,AuthAlg]:k/ s AH[HashAlg]:k/ s AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/ s 其中 ConfAlg 可以是 DES、3DES 或 None . 其中 AuthAlg 可以是 MD5、SHA1 或 None . 其中 HashAlg 是 MD5 或 SHA1 . 其中 k 是以 KB 为单位的生存时间 . 其中 s 是以秒为单位的生存时间 . kerberos -如果指定 “yes” 则提供 Kerberos 身份验证 . psk -使用指定的预共享密钥提供身份验证 . rootca -使用指定的根证书提供身份验证, 如果指定 certmap:Yes,则尝试映射证书, 如果指定 excludecaname:Yes,则排除 CA 名称 . 说明: 1. 证书、映射和 CA 名称设置都要放在引号中;嵌入的引号用“\”代替 . 2. 证书映射只对域成员有效 . 3. 通过多次使用 rootca 参数可以提供多重证书 . 4. 每种身份验证方法的优先级由它在命令中的顺序决定 . 5. 如果未指定身份验证方法,则使用动态默认 6. 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: set defaultrule Policy1 activate= y qmsec="AH[MD5]+ESP[3DES,MD5]:100000k/2000s"
更改筛选器操作。
»netsh »ipsec »static »set »filteraction
C:\Windows>netsh ipsec static set filteraction ? 用法: filteraction [ name = ] <string> | [ guid = ] <guid> [ [ newname = ] <string> ] [ [ description = ] <string> ] [ [ qmpfs = ] (yes | no) ] [ [ inpass = ] (yes | no) ] [ [ soft = ] (yes | no) ] [ [ action = ] (permit | block | negotiate) ] [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ] 更改筛选器操作。 参数: 标记 值 name | guid -筛选器操作的名称或 guid。 newname -筛选器操作的新名称。 description -筛选器操作的简短信息。 qmpfs -设置快速模式完全向前保密的选项。 inpass -接受非安全的通讯,但始终用 IPsec 响应。可以 是 yes 或 no。 soft -允许与非 IPsec 的计算机进行非安全的通讯。 它的值可以是 yes 或 no。 action -可以是 permit 或 block 或 negotiate。 qmsecmethods -IPsec 提供是下列格式之一: ESP[ConfAlg,AuthAlg]:k/s AH[HashAlg]:k/s AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s 其中 ConfAlg 可以是 DES 或 3DES 或 None。 其中 AuthAlg 梢允?MD5 或 SHA1 或 None。 其中 HashAlg 是 MD5 或 SHA1。 其中 k 是 lifetime(千字节)。 其中 s 是 lifetime(秒)。 3. 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: 1.set filteraction name=test qmsec=ESP[3DES,MD5]:100000k/2000s 2.set filteraction guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF} inpass=y
更改筛选器列表。
»netsh »ipsec »static »set »filterlist
C:\Windows>netsh ipsec static set filterlist ? 用法: filterlist [ name = ] <string> | [ guid = ] <guid> [ [ newname = ] <string> ] [ [ description = ] <string> ] 更改筛选器列表名称和描述。 参数: 标记 值 name | guid -筛选器列表的名称或 guid。 newname -筛选器列表的新名称。 description -筛选器的简短信息列表。 示例: 1.set filterlist Filter1 desc=NewFilter1 2.set filterlist guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF} newname=FilterName
更改策略。
»netsh »ipsec »static »set »policy
C:\Windows>netsh ipsec static set policy ? 用法: policy [ name = ] <string> | [ guid = ] <guid> [ [ newname = ] <string> ] [ [ description = ] <string> ] [ [ mmpfs = ] (yes | no) ] [ [ qmpermm = ] <integer> ] [ [ mmlifetime = ] <integer> ] [ [ activatedefaultrule = ] ( yes | no) ] [ [ pollinginterval = ] <integer> ] [ [ assign = ] (yes | no) ] [ [ gponame = ] <string> ] [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ] 更改策略。 参数: 标记 值 name | guid -策略或 guid 的名称。 newname -新名称 description -简介信息。 mmpfs -设置主密钥完全向前保密。 qmpermm -每一个主模式的快速模式数目。 mmlifetime -重新生成密钥的时间(以分钟计)。 activatedefaultrule -激活默认响应规则。只在 Windows Vista 之前的 Windows 版本中有效。 pollinginterval -在策略存储中查找更改的时间(以分钟计)。 assign -指定策略。 gponame -可以指定策略的本地 AD 组策略对象名称。 在 store 为 domain 时为有效。 mmsecmethods -一个或多个空格分隔的安全方法列表,袷轿? ConfAlg-HashAlg-GroupNum。 注释: 1. 如果指定了 mmpfs,qmpermm 将设置为 1。 2. 只有将 store 设置为 domain 时,才能指定 GPO 名称。 3. 不推荐使用 DES 和 MD5。提供这些算法 仅用于向下兼容。 示例: 1. set policy name=Policy mmpfs=y gpo=DomainPolicy assign=y 2. set policy guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF} newname=NewName gpo=DefaultDomainPolicy assign=y
更改规则。
»netsh »ipsec »static »set »rule
C:\Windows>netsh ipsec static set rule ? 用法: rule [ name = ] <string> | [id= ] <integer> [ policy = ] <string> [ [ newname = ] <string> ] [ [ description = ] <string> ] [ [ filterlist = ] <string> ] [ [ filteraction = ] <string> ] [ [ tunnel = ] (ip | dns) ] [ [ conntype = ] (lan | dialup | all) ] [ [ activate = ] (yes | no) ] [ [ kerberos = ] (yes | no) ] [ [ psk = ] <preshared key> ] [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ] 更改策略中的规则。 参数: 标记 值 name | id -规则的名称或 ID。 policy -规则所属的策略的名称。 newname -规则的新名称。 description -规则的简短信息。 filterlist -要使用的筛选器列表的名称。 filteraction -要使用的筛选器操作的名称。 tunnel -隧道 ip 地址或 dns 名称。 conntype -连接类型可以是 lan,dialup 或 all。 activate -如果指定了 yes,则激活策略中的规则。 kerberos -如果指定了 yes,则提供 Kerberos 身份验证。 psk -用指定的预共享密钥提供身份验证。 rootca -用指定的根证书提供身份验证,如果指定了 certmap:Yes,将尝试映射此证书 绻付?excludecaname:Yes,将排除 CA 名称。 注释: 1. 证书,映射和 CA 名称设置要在引号中引起来,内嵌的引号将 被“\'”代替。 2. 证书映射只对域成员有效。 3. 可以多次使用 rootca 参数来提供多重证书。 4. 每种身份验证方法的优先级由在命令中的顺序来决定。 5. 如果没有指定身份验证方法,将使用动态默认。 6. 所有身份验证方法都将被指定的列表所覆盖。 7. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分 发送。 示例: 1. set rule name=Rule policy=Policy activate=yes rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West Root Authority\’ certmap:yes excludecaname:no" 2. set rule id=3 Policy newname=RuleNew tunnel=192.165.123.156
设置当前策略存储。
»netsh »ipsec »static »set »store
C:\Windows>netsh ipsec static set store ? 用法: store [location = ] (local | domain) [ [ domain = ] <string> ] 设置当前 IPsec 策略存储位置。 参数: 标记 值 location IPsec 策略存储的位置。 domain 域名(只应用于域位置)。 说明: 1. 本地存储包含 IPsec 策略,可以指定来保护 计算机。如果域策略可用,则 应用域策略而不是本地策略。 2. 域存储包含 IPsec 策略,可以指定来 保护域中的一组计算机。 3. 使用"set machine"命令配置远程计算机。 4. 默认存储为本地存储。对存储设置所作的更改 仅在当前 Netsh 会话期间有效。如果需要在 同一存储中从批处理文件运行多个命令,请在 执行批处理文件时使用"Netsh Exec"。 5. 不支持永久存储和永久策略。 示例: 1. set store location= local - 使用当前计算机的本卮娲ⅰ? 2. set store location= domain domain=example.microsoft.com - 使用域策略存储以获取 example.microsoft.com。
显示策略和相关信息的详细信ⅰ?
»netsh »ipsec »static »show
C:\Windows>netsh ipsec static show ? 下列指令有效: 此上下文中的命令: show all - 显示所有策略的详细信息及相关信息。 show filteraction - 显示筛选器操作详细信息。 show filterlist - 显示筛选器列表详细信息。 show gpoassignedpolicy - 显示组分配的策略的详细信息。 show policy - 显示策略详细信息。 show rule - 显示规则的详细信息。 show store - 显示当前策略存储。
显示所有策略的详细信息及相关信息。
»netsh »ipsec »static »show »all
C:\Windows>netsh ipsec static show all ? 用法: all [ [ format = ] (list | table) ] [ [ wide = ] (yes | no) ] 显示所有策略,筛选器列表和筛选器操作。 参数: 标记 值 format -以屏幕格式或制表符分隔的方式输出。 wide -如果设置为 no,名称和描述将被截断, 以适应 80 个字符的屏幕宽度。 注释: 示例: show all
显示筛选器操作详细信息。
»netsh »ipsec »static »show »filteraction
C:\Windows>netsh ipsec static show filteraction ? 用法: filteraction [ name = ] <string> | [ rule = ] <string> | [ all ] [ [ level = ] (verbose | normal) ] [ [ format = ] (list | table ) ] [ [ wide = ] (yes | no) ] 显示筛选器操作的详细信息。 参数: 标记 值 name | rule | all -筛选器操作的名称或 rule 名称或 all。 level -Verbose 或 normal。 format -以屏幕格式或制表符分隔的方式输出 wide -如果设置为 no,名称和描述将被截断, 以适应 80 个字符的屏幕宽度 注释: 如果指定了 'all',则显示所有筛选器操作。 示例: 1. show filteraction FilterAction1 - 显示筛选器操作 FilterAction1 的详细信息 2. show filteraction rule=Rule1 - 显示由规则 Rule1 使用的筛选器操作 3. show filteraction all - 显示所有筛选器操作
显示筛选器列表详细信息。
»netsh »ipsec »static »show »filterlist
C:\Windows>netsh ipsec static show filterlist ? 用法: filterlist [ name = ] <string> | [ rule = ] <string> | [ all ] [ [ level = ] (verbose | normal) ] [ [ format = ] (list | table ) ] [ [ resolvedns = ] (yes | no) ] [ [ wide = ] (yes | no) ] 显示筛选器列表的详细信息。 参数: 标记 值 name | rule | all -筛选器列表的名称或 rule 名称或 all。 level -Verbose 或 normal。 format -以屏幕格式或制表符分隔的方式输出。 resolvedns -值为 'yes' 将强制详细输出显示 IP 地址的当前 DNS 映射,以及存储在筛选器字段中的 DNS 名称。 wide -如果设置为 no,名称和描述将被截断,以适 应 80 个字符的屏幕宽度。 注释: 如果指定了 'all',将显示所有筛选器列表。 示例: show filterlist Filterlist=Filterlist1 resolvedns=yes wide=yes
显示组分配的策略的详细信息。
»netsh »ipsec »static »show »gpoassignedpolicy
C:\Windows>netsh ipsec static show gpoassignedpolicy ? 用法: gpoassignedpolicy [name = ] <string> [ [ level = ] (verbose | normal) 显示指定的 GPO 的活动策略的详细信息。 参数: 标记 值 Name -本地 AD 组策略对象名称。 注释: 1. 如果当前 store 为 domain,则需要 name 参数, 否则是不允许的。 示例: 1. show gpoassignedpolicy name=GPO1 - 显示指定到 GPO1 的域策略 2. show gpoassignedpolicy - 显示此计算机上当前指定的策略。
显示策略详细信息。
»netsh »ipsec »static »show »policy
C:\Windows>netsh ipsec static show policy ? 用法: policy [ name = ] <string> | [ all ] [ [ level = ] (verbose | normal) ] [ [ format = ] (list | table) ] [ [ wide = ] (yes | no) ] 显示策略的详细信息 参数: 标记 值 name | all -策略名称或‘all’。 level -Verbose 或 normal。 format -以屏幕格式或制表符分隔的方式输出。 wide -如果设置为 “no”,名称和描述将被截断 以适应 80 列的屏幕宽度。 注释: 示例: show policy Policy1 wide=yes format=table
显示规则的详细信息。
»netsh »ipsec »static »show »rule
C:\Windows>netsh ipsec static show rule ? " 用法: rule [ name = ] <string> | [ id = ] <integer> ] | [ all ] | [default] [ policy = ] <string> [ [ type = ] (tunnel | tranport) ] [ [ level = ] (verbose | normal) ] [ [ format = ] (list | table ) ] [ [ wide = ] (yes | no) ] 显示策略的规则的详细信息。 参数: 标记 值 name | id | all | default -规则的名称或 id,或 all 或 default。 policy -策略名称。 type -规则类别是 transport 或 tunnel。 level -Verbose 或 normal。 format -以屏幕格式或制表符分隔的方式输出。 wide -如果设置为 no,名称和描述将被截断, 以适应 80 个字符的屏幕宽度 注释: 1. 如果指定了 All,则显示所有规则。 2. 如果指定了 type 参数,则需要指定 'all'。 示例: 1. show rule all type=transport policy=Policy1 - 显示 Policy1 的所有传输规则。 2. show rule id=1 policy=Policy1 - 显示策略的第一个规则。 3. show rule default policy=Policy1 - 显示 Policy1 的默认响应规则的详细信息。
显示当前策略存储。
»netsh »ipsec »static »show »store
C:\Windows>netsh ipsec static show store ? 用法: store 示例: show store
- cn -/- de -/- en -