chtun 命令
用途
更改隧道定义
语法
奇通 -t 隧道标识 - {4|6} [ -s src_host_IP_address] [ -d dst_host_IP_address] [ - pkt_mode] [ -f fw_address [ -x dst_mask]] [ -e src_esp_algo] [ - src_ah_algo]] [ -p src_policy] [ -E dst_esp_algo] [ -一个 dst_ah_algo]] [ - dst_policy] [ -我 生存期] [ -k src_esp_key] [ - src_ah_key] [ -K dst_esp_key] [ -H dst_ah_key] [ -n src_esp_spi] [ 乌 src_ah_spi] [ (N) dst_esp_spi] [ -U dst_ah_spi] [ -b src_enc_mac_algo] [ -c src_enc_mac_key] [ B dst_enc_mac_algo] [ -C dst_enc_mac_key]
描述
使用 chtun 命令更改本地主机和隧道伙伴主机之间的隧道的定义。 如果未指定标志,那么为 gentun 命令给定的值应该保持为该字段给定的值。 它还可以更改 gentun 命令为隧道创建的自动生成过滤规则。
标志
| 项 | 描述 |
|---|---|
| -A dst_ah_algo] | (仅限 manual 隧道)认证算法,由 IP 数据包加密的目标使用。 -A 的有效值取决于主机上安装的是哪种认证算法。 可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。 |
| -a src_ah_algo] | 认证算法,通过 IP 数据包认证的源主机使用。 -A 的有效值取决于主机上安装的是哪种认证算法。 所有认证算法的列表可以通过发出 ipsecstat -A 命令显示。 |
| -B dst_enc_mac_algo | (只用于手动通道)目标主机 ESP 认证算法(仅限于新头格式)。 -B 的有效值取决于主机上安装的是哪种认证算法。 可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。 |
| -b Src_enc_mac_algo | (只用于手动通道)源主机 ESP 认证算法(仅限于新头格式)。 -B 的有效值取决于主机上安装的是哪种认证算法。 可以通过签发 ipsecstat -A 命令来显示所有认证算法的列表。 |
| -C dst_enc_mac_key | (只用于手动通道)目标主机 ESP 认证密钥(仅限于新头格式)。 它必须是以“0x”开头的十六进制字符串。 |
| -c src_enc_mac_key | (只用于手动通道)源 ESP 认证密钥(仅限于新头格式)。 这必须是一个以“Ox”为开始的十六进制字符串。 |
| -d 末端主机 IP 地址 | 目标主机 IP 地址。 对于主机到主机隧道,该值是隧道将使用的目标主机接口的 IP 地址。 对于主机到防火墙到主机隧道,这是防火墙后面的目标主机的 IP 地址。 主机名也是有效的,并且将使用由名称服务器返回的主机名的第一个 IP 地址。 |
| -E dst_esp_algo | (仅限 manual 隧道)加密算法,由 IP 数据包加密的目标使用。 -E 的有效值取决于主机上安装的是哪些加密算法。 可以通过签发 ipsecstat -E 命令来显示所有加密算法的列表。 |
| -e 源代码 | 加密算法,通过 IP 数据包加密的源主机使用。 -E 的有效值取决于主机上安装的是哪些加密算法。 所有加密算法的列表可以通过发出 ipsescstat -E 命令显示。 |
| -f fw_address | 源主机和目标主机之间的防火墙的 IP 地址。 将在源和防火墙之间建立隧道。 因此必须在防火墙主机中进行相应的隧道定义。 还可以使用此标志指定主机名,并且将使用由名称服务器返回的主机名的第一个 IP 地址。 如果指定了 -f,那么强制 -m 标志使用缺省值(tunnel)。 |
| -H dst_ah_key | 目标 AH 的密钥字符串。 输入必须是以“0x”为开始的十六进制字符串。 |
| -h src_ah_key | 源 AH 的密钥字符串。 输入必须是以“0x”为开始的十六进制字符串。 |
| -K dst_esp_key | 目标 ESP 的密钥字符串。 输入必须是以“0x”为开始的十六进制字符串。 |
| -k src_esp_key | 源 ESP 的密钥字符串。 用于源主机创建通道。 输入必须是以“0x”为开始的十六进制字符串。 |
| -l 生存期 | 密钥使用期限,以分计。 对于 manual 隧道,此标志的值指示隧道到期之前的可操作性时间。 对手动通道有效的值为 0 - 44640。 值 0 指示手动通道永远也不会到期。 |
| -m pkt_mode | 安全数据包方式。 该值必须被指定为通道或传送。 |
| -N dst_esp_spi | (只用于手动通道)目标主机 ESP 的安全参数索引。 |
| -n src_esp_spi | (只用于手动通道)源 ESP 的安全参数索引。 此 SPI 和目标 IP 地址用于确定哪个安全性关联用于 ESP。 |
| -P dst_policy | (只用于手动通道)目标主机策略,标识目标主机是如何使用 IP 数据包认证和/或加密的。 如果将此标志的值指定为 ea,那么在认证前 IP 数据包获取加密。 如果指定为 ae,那么它在认证后获取加密,但是单独指定 e 或 a 只对应正在加密的 IP 数据包或正在认证的 IP 数据包。 |
| -p 源策略 | 源策略,标识 IP 数据包认证和/或加密将如何由源使用。 如果将此标志的值指定为 ea,那么在认证前 IP 数据包获取加密。 如果指定为 ae,那么它在认证后获取加密,但是单独指定 e 或 a 只对应正在加密的 IP 数据包或正在认证的 IP 数据包。 |
| -s 源主机 IP 地址 | 源主机 IP 地址,通道所用的本地主机接口的 IP 地址。 主机名仍有效且将使用名称服务器返回的主机名的第一个 IP 地址。 |
| -t 隧道标识 | 隧道标识,用于特殊隧道定义的本地唯一的数字标识。 该值必须匹配现有的隧道标识。 |
| -U dst_ah_spi | (只用于手动通道)目标主机 AH 的安全参数索引。 |
| -u src_ah_spi | (只用于手动通道)源 AH 的安全参数索引。 此 SPI 和目标 IP 地址用于确定哪个安全性关联用于 AH。 |
| -v | 为其创建通道的 IP 版本。 对于 IP 版本 4 隧道,请使用 4的值。 对于 IP 版本 6 隧道,请使用 6的值。 |
| -x dst_mask | 此标志用于主机到防火墙到主机隧道。 该值是防火墙后面的安全网络的网络掩码。 使用 -d 标志指定的目标主机是安全网络的成员。 -d 和
-x 标志的组合允许源主机通过安全防火墙隧道与安全网络中的多个主机通信,并且通信必须在隧道方式下进行。 此标志仅在指定了 -f 时有效。 |
| -y | (只用于手动通道)阻止重播标志。 只有 ESP 或 AH 头使用新头格式时,阻止重播才有效(见 -z 标志)。 -y 标志的有效值为 Y(是)和 N(否)。 |
| -z | (只用于手动通道)新头格式标志。 新的报头格式为重放禁止保留 ESP 或 AH 报头中的字段,并允许 ESP 认证。 仅当重放标志 (-y) 设置为 Y 时,才会使用重放字段。 有效值为 Y (是) 和 N (否)。 |
安全性
RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。