chtun コマンド
目的
トンネル定義を変更します。
構文
chtun -t tunnel_ID -v {4|6} [ -s src_host_IP_address] [ -d dst_host_IP_address] [ -m pkt_mode] [ -f fw_address [ -x dst_mask]] [ -e src_esp_algo] [ -a src_ah_algo]] [ -p src_policy] [ -E dst_esp_algo] [ -A dst_ah_algo]] [ -P dst_policy] [ -l lifetime] [ -k src_esp_key] [ -h src_ah_key] [ -K dst_esp_key] [ -H dst_ah_key] [ -n src_esp_spi] [ -u src_ah_spi] [ -N dst_esp_spi] [ -U dst_ah_spi] [ -b src_enc_mac_algo] [ -c src_enc_mac_key] [ -B dst_enc_mac_algo] [ -C dst_enc_mac_key]
説明
chtun コマンドを使用して、ローカル・ホストとトンネル・パートナー・ホストとの間のトンネルの定義を変更します。 フラグが指定されなければ、gentun コマンドで指定した値がそのフィールドの値として使われます。 このコマンドは、gentun コマンドによってトンネルのために作成された、自動生成されたフィルター・ルールも変更します。
フラグ
| 項目 | 説明 |
|---|---|
| -A dst_ah_algo] | (手動トンネルのみ) IP パケット暗号化用に宛先によって使用される認証アルゴリズム。 -A の有効な値は、ホストにどの認証アルゴリズムがインストールされているかによります。 すべての認証アルゴリズムのリストは、ipsecstat -A コマンドを出すと、表示することができます。 |
| -a src_ah_algo] | IP パケット確認のために送信元ホストが使用する認証アルゴリズム。 -a の有効な値は、ホストにどの認証アルゴリズムがインストールされているかによります。 ipsecstat -A コマンドを出せば、すべての認証アルゴリズムのリストを表示することができます。 |
| -B dst_enc_mac_algo | (手動トンネルのみ) 宛先 ESP 認証アルゴリズム (新規ヘッダー・フォーマットのみ)。 -B の有効な値は、ホストにどの認証アルゴリズムがインストールされているかによります。 すべての認証アルゴリズムのリストは、ipsecstat -A コマンドを出すと、表示することができます。 |
| -b src_enc_mac_algo | (手動トンネルのみ) 送信元 ESP 認証アルゴリズム (新規ヘッダー・フォーマットのみ)。 -b の有効な値は、ホストにどの認証アルゴリズムがインストールされているかによります。 すべての認証アルゴリズムのリストは、ipsecstat -A コマンドを出すと、表示することができます。 |
| -C dst_enc_mac_key | (手動トンネルのみ) 宛先 ESP 認証キー (新規ヘッダー・フォーマットのみ)。 「0x」で始まる 16 進数文字列でなければなりません。 |
| -c src_enc_mac_key | (手動トンネルのみ) 送信元 ESP 認証キー (新規ヘッダー・フォーマットのみ)。この値は「0x」で始まる 16 進文字列でなければなりません。 |
| -d dst_host_IP_address | 宛先ホスト IP アドレス。ホスト間トンネルの場合には、この値は、トンネルが使用する宛先ホスト・インターフェースの IP アドレスです。 ホスト、ファイアウォールおよびホストの間のトンネルの場合には、これは、ファイアウォールの後ろにある宛先ホストの IP アドレスです。 ホスト名も有効であり、そのホスト名に対してネームサーバーが最初に返す IP アドレスが使用されます。 |
| -E dst_esp_algo | (手動トンネルのみ) IP パケット暗号化のために宛先によって使用される暗号化アルゴリズム。 -E の有効な値は、ホストにどの暗号化アルゴリズムがインストールされているかによります。 ipsecstat -E コマンドを出せば、すべての暗号化アルゴリズムのリストを表示することができます。 |
| -e src_esp_algo | IP パケット暗号化のために送信元ホストが使用する暗号化アルゴリズム。 -e の有効な値は、ホストにどの暗号化アルゴリズムがインストールされているかによります。 ipsescstat -E コマンドを出せば、すべての暗号化アルゴリズムのリストを表示することができます。 |
| -f fw_address | 送信元ホストと宛先ホスト間にあるファイアウォールの IP アドレス。
送信元とファイアウォールとの間にトンネルが確立されます。
そのため、ファイアウォール・ホストで対応するトンネル定義を作成する必要があります。
このフラグによってホスト名を指定することもでき、そのホスト名に対してネームサーバーが最初に返す IP アドレスが使用されます。
-f を指定した場合には、-m フラグは強制的にデフォルトの値 (tunnel) を使用することになります。 |
| -H dst_ah_key | 宛先 AH のキー文字列。入力は「0x」で始まる 16 進文字列でなければなりません。 |
| -h src_ah_key | 送信元 AH のキー文字列。入力は「0x」で始まる 16 進文字列でなければなりません。 |
| -K dst_esp_key | 宛先 ESP のキー文字列。入力は「0x」で始まる 16 進文字列でなければなりません。 |
| -k src_esp_key | 送信元 ESP のキー文字列。 送信元は、これを使ってトンネルを作成します。入力は「0x」で始まる 16 進文字列でなければなりません。 |
| -l lifetime | キー・ライフタイム。分単位で指定します。
手動トンネルの場合には、このフラグの値は、トンネルの有効期限が切れるまでの運用可能な時間を表します。 手動トンネルの有効値は、0 から 44640 です。 値 0 は、手動トンネルが無期限であることを表します。 |
| -m pkt_mode | セキュア・パケット・モード。この値は、tunnel または transport として指定する必要があります。 |
| -N dst_esp_spi | (手動トンネルのみ) 宛先 ESP のセキュリティー・パラメーター索引。 |
| -n src_esp_spi | (手動トンネルのみ) 送信元 ESP のセキュリティー・パラメーター索引。 この SPI および宛先 IP アドレスを使用して、ESP に使用するセキュリティー・アソシエーションを決定します。 |
| -P dst_policy | (手動トンネルのみ) 宛先のポリシー。宛先による IP パケット認証または暗号化、あるいはその両方の使用方法を識別します。 このフラグの値を ea と指定すると、IP パケットは認証の前に暗号化されます。 これを ae と指定すると、認証後に暗号化されます。ただし、e または a と単独に指定した場合には、暗号化のみ、または、認証のみが IP パケットに対して行われます。 |
| -p src_policy | 送信元のポリシー。送信元による IP パケット認証または暗号化、あるいはその両方の使用方法を識別します。 このフラグの値を ea と指定すると、IP パケットは認証の前に暗号化されます。 これを ae と指定すると、認証後に暗号化されます。ただし、e または a と単独に指定した場合には、暗号化のみ、または、認証のみが IP パケットに対して行われます。 |
| -s src_host_IP_address | 送信元ホスト IP アドレス。トンネルが使用するローカル・ホスト・インターフェースの IP アドレス。ホスト名も有効であり、そのホスト名に対してネームサーバーが最初に返す IP アドレスが使用されます。 |
| -t tunnel_ID | トンネル ID。特定のトンネル定義のローカルで固有の数値 ID。この値は、既存のトンネル ID に一致する必要があります。 |
| -U dst_ah_spi | (手動トンネルのみ) 宛先 AH のセキュリティー・パラメーター索引。 |
| -u src_ah_spi | (手動トンネルのみ) 送信元 AH のセキュリティー・パラメーター索引。 この SPI および宛先 IP アドレスを使用して、AH に使用するセキュリティー・アソシエーションを決定します。 |
| -v | トンネルが作成される IP バージョン。 IP バージョン 4 トンネルに対しては、4 の値を使用してください。IP バージョン 6 トンネルに対しては、6 の値を使用してください。 |
| -x dst_mask | このフラグは、ホスト、ファイアウォールおよびホストの間のトンネルに使用します。
この値は、ファイアウォールの後ろにあるセキュア・ネットワークのためのネットワーク・マスクです。
-d フラグによって指定された宛先ホストは、セキュア・ネットワークのメンバーです。
-d フラグと -x フラグを組み合わせて使用すると、送信元ホストは、送信元とファイアウォールとの間のトンネルを通じて、トンネル・モードでなければならないセキュア・ネットワーク内の複数のホストと通信することができます。
このフラグは、-f が指定されている場合にのみ有効です。 |
| -y | (手動トンネルのみ) 再生防止フラグ。 再生防止は、ESP または AH ヘッダーが新しいヘッダー・フォーマット (-z フラグを参照) を使用している場合にのみ有効です。 -y フラグの有効値は、Y (はい) および N (いいえ) です。 |
| -z | (手動トンネルのみ) 新しいヘッダー・フォーマットのフラグ。 新しいヘッダー・フォーマットは、再生防止のために ESP または AH ヘッダーにフィールドを確保します。また、ESP 認証も可能にします。 再生フィールドは再生フラグ (-y) が Y に設定されている場合にのみ使用します。有効値は、Y (はい) および N (いいえ) です。 |
セキュリティー
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドを参照してください。