Mandato chtun
Finalidad
Cambia una definición de túnel.
Sintaxis
Chtun -t id_tunelado -v {4|6} [ - dirección_IP_host_src] [ -d dirección_IP_host_estándar] [ -m modalidad_pk] [ F dirección_fm [ -x máscara_dstd]] [ -e src_esp_algo] [ A src_ah_algo]] [ - política_origen] [ -E dst_esp_algo] [ -A dst_ah_algo]] [ -P política_dstd] [ -l tiempo de vida] [ -k clave_esp_src] [ -h clave_ah_srs] [ -K clave_esp_estándar] [ -H dst_ah_key] [ -n src_esp_spi] [ -u src_ah_spi] [ -N dst_esp_spi] [ -U dst_ah_spi] [ -b src_enc_mac_algo] [ C clave_mac_es_origen] [ -B dst_enc_mac_algo] [ C dst_enc_mac_key]
Descripción
Utilice el mandato chtun para cambiar una definición de un túnel entre un host local y un host asociado de túnel. Si no se especifica un distintivo, el valor proporcionado para el mandato gentun debe permanecer como valor para ese campo. También puede cambiar las reglas de filtro generadas automáticamente creadas para el túnel mediante el mandato gentun .
Distintivos
| Elemento | Descripción |
|---|---|
| -A dst_ah_algo] | (Sólo túnelmanual ) Algoritmo de autenticación, que utiliza el destino para el cifrado de paquetes IP. Los valores válidos para -A dependen de los algoritmos de autenticación que se hayan instalado en el host. La lista de todos los algoritmos de autenticación se puede visualizar emitiendo el mandato ipsecstat -A . |
| -a sc_ah_algo] | Algoritmo de autenticación, utilizado por el host de origen para la autenticación de paquetes IP. Los valores válidos para -a dependen de los algoritmos de autenticación que se hayan instalado en el host. La lista de todos los algoritmos de autenticación se puede visualizar emitiendo el mandato ipsecstat -A . |
| -B es_en_dst_mac_algo | (Solo túnelmanual ) Algoritmo de autenticación ESP de destino (solo formato de cabecera nuevo). Los valores válidos para -B dependen de los algoritmos de autenticación que se hayan instalado en el host. La lista de todos los algoritmos de autenticación se puede visualizar emitiendo el mandato ipsecstat -A . |
| -b es_mac_src_enc_algo | (Solo túnelmanual ) Algoritmo de autenticación ESP de origen (solo formato de cabecera nuevo). Los valores válidos para -b dependen de los algoritmos de autenticación que se hayan instalado en el host. La lista de todos los algoritmos de autenticación se puede visualizar emitiendo el mandato ipsecstat -A . |
| -C clave_mac_es_estándar | (Solo túnelmanual ) Clave de autenticación ESP de destino (solo formato de cabecera nuevo). Debe ser una serie hexadecimal iniciada con "0x". |
| -c clave_mac_src | (Solo túnelmanual ) Clave de autenticación ESP de origen (solo formato de cabecera nuevo). Debe ser una serie hexdecimal iniciada con "0x". |
| -d dirección_IP_host_estándar | Dirección IP de host de destino. Para un túnel host-host, este valor es la dirección IP de la interfaz de host de destino que utilizará el túnel. Para un túnel host-cortafuegos-host, es la dirección IP de un host de destino detrás del cortafuegos. Un nombre de host también es válido y se utilizará la primera dirección IP devuelta por el servidor de nombres para el nombre de host. |
| -E dst_esp_algo | (Solo túnelmanual ) Algoritmo de cifrado, que utiliza el destino para el cifrado de paquetes IP. Los valores válidos para -E dependen de qué algoritmos de cifrado se hayan instalado en el host. La lista de todos los algoritmos de cifrado se puede visualizar emitiendo el mandato ipsecstat -E . |
| -e espacio_srs | Algoritmo de cifrado, utilizado por el host de origen para el cifrado de paquetes IP. Los valores válidos para -e dependen de qué algoritmos de cifrado se hayan instalado en el host. La lista de todos los algoritmos de cifrado se puede visualizar emitiendo el mandato ipsescstat -E . |
| -f dirección_fm | Dirección IP del cortafuegos que está entre los hosts de origen y destino. Se establecerá un túnel entre el origen y el cortafuegos. Por lo tanto, la definición de túnel correspondiente debe realizarse en el host de cortafuegos. También se puede especificar un nombre de host con este distintivo y se utilizará la primera dirección IP devuelta por el servidor de nombres para el nombre de host. El distintivo -m se fuerza a utilizar el valor predeterminado (túnel) si se especifica -f . |
| -H clave_ah_dst | La serie de clave para el destino AH. La entrada debe ser una serie hexdecimal iniciada con "0x". |
| -h clave_srs | La serie de clave para el origen AH. La entrada debe ser una serie hexdecimal iniciada con "0x". |
| -K clave_esp_estándar | Serie de clave para ESP de destino. La entrada debe ser una serie hexdecimal iniciada con "0x". |
| -k clave_esp_srs | La serie de clave para el ESP de origen. Lo utiliza el origen para crear el túnel. La entrada debe ser una serie hexdecimal iniciada con "0x". |
| -l tiempo de vida | Tiempo de vida de clave, especificado en minutos. Para túneles manuales , el valor de este distintivo indica la hora de operatividad antes de que caduque el túnel. Los valores válidos para los túneles manuales son 0-44640. El valor 0 indica que el túnel manual nunca caducará. |
| -m modalidad_pk | Modo de paquete seguro. Este valor debe especificarse como túnel o transporte. |
| -N sp_esp_dsti | (Sólomanual túnel) Índice de parámetros de seguridad para el ESP de destino. |
| -n sp_esp_src | (Sólomanual túnel) Índice de parámetros de seguridad para ESP de origen. Esta SPI y la dirección IP de destino se utilizan para determinar qué asociación de seguridad utilizar para ESP. |
| -P política_estándar | (Solo túnelmanual ) Política de destino, identifica cómo el destino debe utilizar la autenticación y/o el cifrado de paquetes IP. Si el valor de este distintivo se especifica como ea, el paquete IP se cifra antes de la autenticación. Si se especifica como ae, se cifra después de la autenticación, mientras que si se especifica e o un solo se corresponde con el paquete IP que se cifra solo o se autentica sólo. |
| -p política_origen | Política de origen, identifica cómo el origen debe utilizar la autenticación y/o el cifrado de paquetes IP. Si el valor de este distintivo se especifica como ea, el paquete IP se cifra antes de la autenticación. Si se especifica como ae, se cifra después de la autenticación, mientras que si se especifica e o un solo se corresponde con el paquete IP que se cifra solo o se autentica sólo. |
| -s dirección_IP_host_src | Dirección IP de host de origen, dirección IP de la interfaz de host local que utilizará el túnel. Un nombre de host también es válido y se utilizará la primera dirección IP devuelta por el servidor de nombres para el nombre de host. |
| -t ID_tunelado | El identificador de túnel (ID), un identificador numérico exclusivo localmente para una definición de túnel determinada. El valor debe coincidir con un ID de túnel existente. |
| -U sp_ah_dst | (Solo túnelmanual ) Índice de parámetros de seguridad para el AH de destino. |
| -u sp_sc_ah_srs | (Solo túnelmanual ) Índice de parámetros de seguridad para el origen AH. Esta SPI y la dirección IP de destino se utilizan para determinar qué asociación de seguridad utilizar para AH. |
| -v | La versión de IP para la que se crea el túnel. Para túneles IP versión 4, utilice el valor de 4. Para túneles IP versión 6, utilice el valor de 6. |
| -x máscara_estándar | Este distintivo se utiliza para túneles host-firewall-host. El valor es la máscara de red para la red segura detrás de un cortafuegos. El host de destino especificado con el distintivo -d es miembro de la red segura. La combinación de los distintivos -d y -x permite las comunicaciones de host de origen con varios hosts en la red segura a través del túnel de cortafuegos de origen, que debe estar en modalidad de túnel. Este distintivo sólo es válido cuando se especifica -f . |
| -y | (Sólo túnelmanual ) Distintivo de prevención de reproducción. La prevención de reproducción sólo es válida cuando la cabecera ESP o AH utiliza el nuevo formato de cabecera (consulte el distintivo -z ). Los valores válidos para el distintivo -y son Y (sí) y N (no). |
| -z | (Sólo túnelmanual ) Nuevo distintivo de formato de cabecera. El nuevo formato de cabecera reserva un campo en la cabecera ESP o AH para la prevención de reproducción y también permite la autenticación ESP. El campo de reproducción sólo se utiliza cuando el distintivo de reproducción (-y) se establece en Y. Los valores válidos son Y (sí) y N (no). |
Seguridad
Usuarios RBAC de atención y usuarios de Trusted AIX®: este mandato puede realizar operaciones con privilegios. Sólo los usuarios con privilegios pueden ejecutar operaciones con privilegios. Para obtener más información sobre autorizaciones y privilegios, consulte el apartado Base de datos de mandatos con privilegios en Seguridad. Para obtener una lista de los privilegios y las autorizaciones asociadas a este mandato, consulte el mandato lssecattr o el submandato getcmdattr.