要创建可以筛选 Computer1 和 Computer2 之间的 TCP 流量的镜像筛选器,请键入:
Computer1+Computer2::TCP
要创建子网范围为 172.31.0.0/255.255.0.0 到 10.0.0.0/255.0.0.0(端口 80)之间的所有 TCP 流量的筛选器,请键入:
172.31.0.0/255.255.0.0:80=10.0.0.0/255.0.0.0:80:TCP
要创建允许本地 IP 地址和 IP 地址为 10.2.1.1 之间流量的镜像筛选器,请键入:
(0+10.2.1.1)
对于 -n 参数,可由空格分割一个或多个协商策略并采用以下的形式:
esp[EncrypAlg,AuthAlg]RekeyPFS[Group] ah[HashAlg] ah[HashAlg]+esp[EncrypAlg,AuthAlg]
其中,EncrypAlg 可以是 none、des 或 3des;AuthAlg 可以是 none、md5 或 sha;HashAlg 可以是 md5 或 sha。不支持 esp[none,none] 配置。sha 参数是指 SHA1 散列算法。
Rekey 参数是可选项,它可以指定千字节的数量(通过在数字后加 K 表示),或秒数(通过在数字后加 S 表示)这些指定值位于快速模式 SA 的 rekey 之前。要指定两个 rekey 的参数,请使用斜线 (/) 将两个数分开。例如,要每隔 1 小时和每 5 兆 的数据流量后 rekey 一次快速模式 SA,请键入:
3600S/5000K
PFS 参数是可选项,该参数可以启用会话密钥完全向前保密。默认情况下,会话密钥完全向前保密是禁用的。
Group 参数是可选项,该参数可指定会话密钥完全向前保密的 Diffie-Hellman 组。对于 Low(1) Diffie-Hellman 组,指定 PFS1 或 P1。对于 Medium(2) Diffie-Hellman 组,指定 PFS2 或 P2。默认情况下,会话密钥完全向前保密的组值来自当前主模式设置值。
如果不指定协商策略,则默认的协商策略如下:
esp[3des,sha] esp[3des,md5] esp[des,sha] esp[des,md5]
如果忽略 -t 参数,则使用 IPSec 传输模式。
对于 -a 参数,由空格分割一种或多种身份验证方式,并使用以下某种形式:
preshare:"PresharedKeyString" kerberos cert:"CAInfo"
PresharedKeyString 参数指定预共享密钥的字符串。CAInfo 参数指定 IP 安全策略管理单元中显示的证书区别名,此时证书被选择为某规则的身份验证方式。PresharedKeyString 和 CAInfo 参数区分大小写。可以使用首字母简化此方法:p, k 或 c。如果忽略 -a 参数,则默认的身份验证方式为 Kerberos。
对于 -1s 参数,单个或多个密钥交换安全方式由空格分割且定义成下面的格式:
EncrypAlg-HashAlg-GroupNum
其中,EncrypAlg 可以是 des 或 3des;HashAlg 可以是 md5 或 sha;GroupNum 可以是 1(对于 Low(1) Diffie-Hellman 组)或 2(对于 Medium(2) Diffie-Hellman 组)。如果忽略 -1s 参数,则默认的密钥交换安全方式是 3des-sha-2、3des-md5-2、des-sha-1 和 des-md5-1。
对于 -1k 参数,可以指定快速模式 SAs 的数量(通过在数字后加 Q 表示)或秒数(通过在数字后面加 S 表示)来 rekey 主模式 SA。要指定两个 rekey 的参数,必须使用斜线 (/) 将两个数分开。例如,要在每 10 个快速模式 SAs 和每隔 1 小时后 rekey 主模式,请键入:
10Q/3600S
如果忽略 -1k 参数,主模式 rekey 的默认值为无限个主模式 SAs 和 480 分钟。
主密钥完全向前保密在默认情况下是禁用的。
对于 -1f 参数,指定主模式筛选器规格的语法与 -1f 参数相同,差别在于不可以指定许可筛选器、阻挡筛选器、端口或协议。如果忽略 -1f 参数,将根据快速模式筛选器自动创建主模式筛选器。
如果忽略 -1e 参数,软 SAs 的过期时间为 300 秒。然而,软 SAs 在未使用 -soft 参数时总是禁用的。
只有动态模式才可使用确认。
如果未指定参数 -dialup 和 -lan,则规则将应用于所有适配器。
未完见下页