Befehl "chtun"
Zweck
Ändert eine Tunneldefinition.
Syntax
Chtun -t. Tunnel-ID -v {4|6} [ -s Quellenhost-IP-Adresse] [ -d dst_host_ip-adresse] [ -m Paketmodus] [ -f FW-Adresse [ -x dst_maske]] [ -e Quellenesp_Algo] [ -a Src_ah_algo]] [ -p Quellenrichtlinie] [ -E dst_esp_algo] [ -A dst_ah_algo]] [ -P Klasse 'dst_policy'] [ -l Lebensdauer] [ -k Quellenbereichsschlüssel] [ -h Quellenschlüssel] [ -K Standardschlüssel (dst_esp_key)] [ -H DST_AH-Schlüssel] [ -n SPI-Quellen-SPI] [ -u Quellenah_Spi] [ -N dst_esp_spi] [ -U DST_AH-SPI] [ -b src_enc_mac_algo] [ -c MAC-Quellenverschlüsselungsschlüssel] [ -B dst_enc_mac_algo] [ -C dst_enc_mac_key]
Beschreibung
Mit dem Befehl chtun können Sie die Definition eines Tunnels zwischen einem lokalen Host und einem Tunnelpartnerhost ändern. Wenn Sie kein Flag angeben, wird der für den Befehl gentun angegebene Wert als der Wert für dieses Feld übernommen. Der Befehl kann auch die automatisch generierten Filterregeln ändern, die der Befehl gentun für den Tunnel erstellt hat.
Flags
| Element | Beschreibung |
|---|---|
| -A Standard_ah_algo] | (nur für manuelle Tunnel) Der Authentifizierungsalgorithmus, der vom Ziel für die Verschlüsselung von IP-Paketen verwendet wird. Die gültigen Werte für -A richten sich nach den auf dem Host installierten Authentifizierungsalgorithmen. Die Liste aller Authentifizierungsalgorithmen kann mit dem Befehl ipsecstat -A angezeigt werden. |
| -a Quellen-AH-Algo] | Der Authentifizierungsalgorithmus, der vom Quellenhost für die Authentifizierung von IP-Paketen verwendet wird. Die gültigen Werte für -A richten sich nach den auf dem Host installierten Authentifizierungsalgorithmen. Die Liste aller Authentifizierungsalgorithmen kann mit dem Befehl ipsecstat -A angezeigt werden. |
| -B dst_enc_mac_algo | (nur für manuelle Tunnel) Der Ziel-ESP-Authentifizierungsalgorithmus (nur neues Headerformat). Die gültigen Werte für -B richten sich nach den auf dem Host installierten Authentifizierungsalgorithmen. Die Liste aller Authentifizierungsalgorithmen kann mit dem Befehl ipsecstat -A angezeigt werden. |
| -b src_enc_mac_algo | (nur für manuelle Tunnel) Der Quellen-ESP-Authentifizierungsalgorithmus (nur neues Headerformat). Die gültigen Werte für -B richten sich nach den auf dem Host installierten Authentifizierungsalgorithmen. Die Liste aller Authentifizierungsalgorithmen kann mit dem Befehl ipsecstat -A angezeigt werden. |
| -C dst_enc_mac_key | (nur für manuelle Tunnel) Der Ziel-ESP-Authentifizierungsschlüssel (nur neues Headerformat). Der Schlüssel muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -c RC-MAC-Schlüssel | (nur für manuelle Tunnel) Der Quellen-ESP-Authentifizierungsschlüssel (nur neues Headerformat). Der Schlüssel muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -d IP-Adresse des Host-Hosts | Die IP-Adresse des Zielhosts. Bei einem Host-Host-Tunnel ist dieser Wert die IP-Adresse der Zielhostschnittstelle, die vom Tunnel verwendet werden soll. Bei einem Host-Firewall-Host-Tunnel ist dies die IP-Adresse eines Zielhosts hinter der Firewall. Ein Hostname kann ebenfalls angegeben werden. In diesem Fall wird die erste IP-Adresse, die der Namensserver für den Hostnamen zurückgibt, verwendet. |
| -E dst_esp_algo | (nur für manuelle Tunnel) Der Verschlüsselungsalgorithmus, der vom Ziel für die Verschlüsselung von IP-Paketen verwendet wird. Die gültigen Werte für -ehängen davon ab, welche Verschlüsselungsalgorithmen auf dem Host installiert wurden. Die Liste aller Verschlüsselungsalgorithmen kann mit dem Befehl ipsecstat -E angezeigt werden. |
| -e Quellenesp_Algo | Der Verschlüsselungsalgorithmus, der vom Quellenhost für die Verschlüsselung von IP-Paketen verwendet wird. Die gültigen Werte für -ehängen davon ab, welche Verschlüsselungsalgorithmen auf dem Host installiert wurden. Die Liste aller Verschlüsselungsalgorithmen kann mit dem Befehl ipsescstat -E angezeigt werden. |
| -f fw-adresse | Die IP-Adresse der Firewall zwischen dem Quellen- und dem Zielhost. Es wird ein Tunnel zwischen der Quelle und der Firewall eingerichtet. Deshalb muss die entsprechende Tunneldefinition auf dem Firewall-Host vorgenommen werden. Mit diesem Flag kann auch ein Hostname angegeben werden. In diesem Fall wird die erste IP-Adresse, die der Namensserver für den Hostnamen zurückgibt, verwendet. Es wird die Verwendung des Standardwerts (tunnel) für das Flag -m erzwungen, wenn das Flag -f angegeben ist. |
| -H Standardschlüssel | Die Schlüsselzeichenfolge für den Ziel-AH. Die Eingabe muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -h Quellenschlüssel | Die Schlüsselzeichenfolge für den Quellen-AH. Die Eingabe muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -K Standardschlüssel (dst_esp_key) | Die Schlüsselzeichenfolge für das Ziel-ESP. Die Eingabe muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -k Schlüssel_des_Quellensystems | Die Schlüsselzeichenfolge für das Quellen-ESP. Dieser Schlüssel wird von der Quelle verwendet, um den Tunnel zu erstellen. Die Eingabe muss eine hexadezimale Zeichenfolge sein, die mit "0x" beginnt. |
| -l Lebensdauer | Die Gültigkeitsdauer des Schlüssels in Minuten. Bei manuellen Tunneln zeigt der Wert dieses Flags die Dauer der Betriebsbereitschaft des Tunnels an. Die gültigen Werte für manuelle Tunnel sind 0-44640. Der Wert 0 gibt an, dass die Betriebsbereitschaft des manuellen Tunnels unbegrenzt ist. |
| -m Paketmodus | Der sichere Paketmodus. Die gültigen Werte sind tunnel und transport. |
| -N Standardbereichsdatei | (nur für manuelle Tunnel) Der Sicherheitsparameterindex für das Ziel-ESP. |
| -n Quellen-SPI | (nur für manuelle Tunnel) Der Sicherheitsparameterindex für das Quellen-ESP. Dieser SPI und die IP-Adresse des Ziels werden verwendet, um die für ESP zu verwendende Sicherheitszuordnung zu bestimmen. |
| -P Standardrichtlinie | (nur für manuelle Tunnel) Die Zielrichtlinie, die angibt, wie die Authentifizierung und/oder Verschlüsselung von IP-Paketen vom Ziel verwendet werden sollen. Wenn Sie ea mit diesem Flag angeben, werden IP-Pakete vor der Authentifizierung verschlüsselt. Wenn Sie ae mit diesem Flag angeben, werden IP-Pakete nach der Authentifizierung verschlüsselt, wohingegen die Angabe von e oder a bewirken, dass die IP-Pakete entweder nur verschlüsselt bzw. nur authentifiziert werden. |
| -p Quellenrichtlinie | Die Quellenrichtlinie, die angibt, wie die Authentifizierung und/oder Verschlüsselung von IP-Paketen von der Quelle verwendet werden sollen. Wenn Sie ea mit diesem Flag angeben, werden IP-Pakete vor der Authentifizierung verschlüsselt. Wenn Sie ae mit diesem Flag angeben, werden IP-Pakete nach der Authentifizierung verschlüsselt, wohingegen die Angabe von e oder a bewirken, dass die IP-Pakete entweder nur verschlüsselt bzw. nur authentifiziert werden. |
| -s Quellenhost-IP-Adresse | Die IP-Adresse des Quellenhosts, d. h. die IP-Adresse der lokalen Hostschnittstelle, die vom Tunnel verwendet werden soll. Ein Hostname kann ebenfalls angegeben werden. In diesem Fall wird die erste IP-Adresse, die der Namensserver für den Hostnamen zurückgibt, verwendet. |
| -t Tunnel-ID | Die Tunnel-ID (ID). Eine lokal eindeutige numerische Kennung für eine bestimmte Tunneldefinition. Der Wert muss mit einer vorhandenen Tunnel-ID übereinstimmen. |
| -U dst_ah_spi | (nur für manuelle Tunnel) Der Sicherheitsparameterindex für den Ziel-AH. |
| -u Quellenah_Spi | (nur für manuelle Tunnel) Der Sicherheitsparameterindex für den Quellen-AH. Dieser SPI und die IP-Adresse des Ziels werden verwendet, um die für AH zu verwendende Sicherheitszuordnung zu bestimmen. |
| -v | Die IP-Version, für die der Tunnel erstellt wird Verwenden Sie für Tunnel der IP-Version 4 den Wert 4. Verwenden Sie für Tunnel der IP-Version 6 den Wert 6. |
| -x Standardmaske | Dieses Flag wird für Host-Firewall-Host-Tunnel verwendet. Der Wert ist die Netzmaske für das sichere Netz hinter einer Firewall. Der mit dem Flag -d angegebene Zielhost gehört zu einem sicheren Netz. Die Kombination der Flags -d und -x ermöglicht dem Quellenhost die Kommunikation mit mehreren Hosts im sicheren Netz über den Quelle-Firewall-Tunnel, der sich im Tunnelmodus befinden muss. Dieses Flag ist nur gültig, wenn -f angegeben ist. |
| -y | (nur für manuelle Tunnel) Das Flag für die Verhinderung von Wiederholungen. Die Verhinderung von Wiederholungen ist nur gültig, wenn der ESP- oder AH-Header das neue Headerformat verwendet (siehe das Flag -z). Die gültigen Werte für das Flag -y Flag sind Y (Yes=Ja) und N (No=Nein). |
| -z | (nur für manuelle Tunnel) Das Flag für das neue Headerformat. Das neue Headerformat reserviert ein Feld im ESP- oder AH-Header für die Verhinderung von Wiederholungen und lässt auch die ESP-Authentifizierung zu. Das Wiedergabefeld wird nur dann verwendet, wenn das Wiedergabeflag (-y) auf Y gesetzt ist. Gültige Werte sind Y (Ja) und N (Nein). |
Sicherheit
Hinweis für Benutzer von RBAC und Trusted AIX® :Dieser Befehl kann privilegierte Operationen ausführen. Privilegierte Operationen können nur von privilegierten Benutzern ausgeführt werden. Weitere Informationen zu Berechtigungen und Autorisierungen finden Sie im Abschnitt "Privileged Command Database" in der Veröffentlichung Security. Eine Liste der Privilegien und Berechtigungen für diesen Befehl finden Sie in den Beschreibungen des Befehls lssecattr und des Unterbefehls getcmdattr.