Windows 10 netsh ipsec 命令

Microsoft Windows [Version 10.0.19045.3570]
(c) Microsoft Corporation. C:\Windows>netsh ipsec ? 下列指令有效: 此上下文中的命令: ? - 显示命令列表。 dump - 显示一个配置脚本。 dynamic - 更改到 `netsh ipsec dynamic' 上下文。 help - 显示命令列表。 static - 更改到 `netsh ipsec static' 上下文。 下列的子上下文可用: dynamic static 若需要命令的更多帮助信息,请键入命令,接着是空格, 后面跟 ?。

显示一个配置脚本。

netsh ipsec dump


C:\Windows>netsh ipsec dump ?

用法: dump

说明:
    创建一个包含当前配置的脚本文件。如果保存到
    文件,此脚本可以用来还原更改的配置设置。

更改到 `netsh ipsec dynamic' 上下文。

netsh ipsec dynamic


C:\Windows>netsh ipsec dynamic ?

下列指令有效:

此上下文中的命令:
?              - 显示命令列表。
add            - 将策略,筛选器和操作添加到 SPD。
delete         - 从 SPD 中删除策略,筛选器和操作。
dump           - 显示一个配置脚本。
help           - 显示命令列表。
set            - 更改 SPD 中的策略,筛选器和操作。
show           - 从 SPD 中显示策略,筛选器和操作。

若需要命令的更多帮助信息,爰朊睿幼攀强崭瘢?
后面跟 ?。

将策略,筛选器和操作添加到 SPD。

netsh ipsec dynamic add


C:\Windows>netsh ipsec dynamic add ?

下列指令有效:

此上下文中的命令:
add mmpolicy   - 将主模式策略添加到 SPD。
add qmpolicy   - 将快速模式策略添加到 SPD。
add rule       - 添加一个规则和相关联的筛选器到 SPD。

将主模式策略添加到 SPD。

netsh ipsec dynamic add mmpolicy


C:\Windows>netsh ipsec dynamic add mmpolicy ?

用法:
  mmpolicy [ name = ] <string>
           [ [ qmpermm = ] <integer>  ]
           [ [ mmlifetime = ] <integer> ]
           [ [ softsaexpirationtime  = ] <integer> ]
           [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]

  添加一个主模式策略到 SPD。

参数:

  标记                    值
  name                   -主模式策略名称。
  qmpermm                -IKE 的每主模式会话的快速模式会话数目。
  mmlifetime             -为 IKE 的主模式重新生成密钥所需时间。
  softsaexpirationtime   -未保护的 SA 的过期时间(分钟)。
  mmsecmethods           -一个或多个由空格分隔的安全方法列表,格式
                          为 ConfAlg-HashAlg-GroupNum。
                          其中 ConfAlg 可以是 DES 或 3DES
                          HashAlg 是 MD5 或 SHA1
                          GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。

注释: 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:     add mmp name=mmp qmpermm=10 mmlifetime=300 softsa=20
          mmsec="3DES-SHA1-3 DES-SHA1-2 3DES-MD5-3"

将快速模式策略添加到 SPD。

netsh ipsec dynamic add qmpolicy


C:\Windows>netsh ipsec dynamic add qmpolicy ?

用法:
  qmpolicy [ name = ] <string>
           [ [ soft = ] (yes | no) ]
           [ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ]
           [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]

  添加一个快速模式策略到 SPD。

参数:

  标记                    值
  name                   -快速模式策略名称。
  soft                   -允许与非 IPsec 的计算机进行不安全的通讯。
                          这可以是 yes 或 no。
  pfsgroup               -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。
  qmsecmethods           -IPsec 提供是下列之一:
                          ESP[ConfAlg,AuthAlg]:k/s
                          AH[HashAlg]:k/s
                          AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
                          其中 ConfAlg 可以是 DES 或 3DES 或 None。
                          其中 AuthAlg 可以是 MD5 或 SHA1 或 None。
                          其中 HashAlg 是 MD5 或 SHA1。
                          其中 k 是 lifetime(千字节)。
                          其中 s 是 lifetime(秒)。

注释: 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:     add qmpolicy name=qmp
          qmsec="AH[MD5]:10000k/24800s ESP[DES,SHA1]:30000k/300s"

添加一个规则和相关联的筛选器到 SPD。

netsh ipsec dynamic add rule


C:\Windows>netsh ipsec dynamic add rule ?

用法:
  rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ mmpolicy = ] <string>
       [ [ qmpolicy = ] <string> ]
       [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
       [ [ srcport = ] <port> ]
       [ [ dstport = ] <port> ]
       [ [ mirrored = ] (yes | no) ]
       [ [ conntype = ] (lan | dialup | all) ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <preshared key> ]
       [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:
       (yes | no)" ]

  添加规则。

参数:

  标记               值
  srcaddr          - 源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
  dstaddr          -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器名称。
  mmpolicy         -主要模式策略
  qmpolicy         -快速模式策略
  protocol         -可以是 ANY, ICMP, TCP, UDP, RAW 或一个整数。
                    如果指定端口,则可接受的值为 TCP 或 UDP。
  srcport          -源端口(0 意味着任意端口)
  dstport          -目标端口(0 意味着任意端口)
  mirrored         -"Yes" 创建两个筛选器,每个方向一个。
  conntype         -连接类型
  actioninbound    -用于入站数据包的操作
  actionoutbound   -用于出站数据包的操作
  srcmask          -源地址掩码或 1 到 32 之间的前骸H绻?srcaddr 设置为一个
                    范围则不可用
  dstmask          -目标地址掩码或 1 到 32 之间的前缀。如果 dstaddr 设置为一个
                    范围则不可用
  tunneldstaddress -隧道目标 IP 地址或 DNS 名称。
  kerberos         -如果指定 "yes" 则提供 kerberos 身份验证。
  psk              -使用指定的预共享密钥提供身份验证。
  rootca           -使用指定的根证书提供身份验证,
                    如果指定 certmap:Yes,则尝试映射证书,
                    如果指定 excludecaname:Yes,则排除 CA 名称。

说明:    1. 端口对于 TCP 和 UDP 有效。
         2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY
         3. actioninbound 和 actionoutbound 的默认值为 "negotiate"。
         4. 对于隧道规则,必须将 "mirrored" 设置为 "no"。
         5. 证书、映射和 CA 名称设置都必须放在引号中;嵌入的引号用 "\" 代替。
         6. 证书映射仅对域成员有效。
         7. 通过多次使用 rootca 参数可以提供多重证书。
         8. 每个身份验证方法的优先级由它在命令中的顺序决定。
         9. 如果未指定身份验证方法,则使用动态默认。
        10. 排除根证书颁发机构(CA)名称可以防止将名称作为证书请求的一部分发送。
        11. 如果指定地址范围,终结点必须是特定地址(不是列表或子网),而且必须是
        相同的类型(都应该是 v4 或 v6)。

示例:    add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
         qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
         rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
         rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
         Authority\' certmap:yes excludecaname:no"

从 SPD 中删除策略,筛选器和操作。

netsh ipsec dynamic delete


C:\Windows>netsh ipsec dynamic delete ?

下列指令有效:

此上下文中的命令:
delete all     - 从 SPD 中删除所有策略,筛选器和操作。
delete mmpolicy - 从 SPD 中删除主模式策略。
delete qmpolicy - 从 SPD 中删除快速模式策略。
delete rule    - 从 SPD 中删除规则及与其相关联的筛选器。
delete sa      - 

从 SPD 中删除所有策略,筛选器和操作。

netsh ipsec dynamic delete all


C:\Windows>netsh ipsec dynamic delete all ?

用法:
  all

  从 SPD 中删除所有策略,筛选器和身份验证方法。

示例:    delete all

从 SPD 中删除主模式策略。

netsh ipsec dynamic delete mmpolicy


C:\Windows>netsh ipsec dynamic delete mmpolicy ?

用法:
  mmpolicy   [ name = ] <string> | [ all ]

  从 SPD 中删除主模式策略。
  如果指定了 'all',将删除所有主模式策略。

参数:

  标记    值
  name   -主模式策略名称。

注释:     要删除一个主模式策略,必须先删除所有相关联的主模式
          筛选器。

示例:     delete mmpolicy name=mmp

从 SPD 中删除快速模式策略。

netsh ipsec dynamic delete qmpolicy


C:\Windows>netsh ipsec dynamic delete qmpolicy ?

用法:
  qmpolicy  [ name = ] <string> | [ all ]

  从 SPD 中删除快速模式策略。
  如果指定了 'all',将删除所有快速模式策略。

参数:

  标记    值
  name   -快速模式策略名称。

备注:     要删除一个快速模式策略,必须先删除所有相关联的快速模式
         筛选器。

示例:     delete qmpolicy name=qmp

从 SPD 中删除规则及与其相关联的筛选器。

netsh ipsec dynamic delete rule


C:\Windows>netsh ipsec dynamic delete rule ?

用法:
  rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>)
       [ srcport = ] <port>
       [ dstport = ] <port>
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]

  从 SPD 中删除规则。

参数:

  标记              值
  srcaddr          -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr          -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。   
  protocol         -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
  srcport          -源端口。值为 0 表示任意端口。
  dstport          -目标端口。值为 0 表示任意端口。
  mirrored         -值为 "Yes" 将创建两个筛选器,每个方向均有一个。
  conntype         -连接类型可以是 lan、dialup 或 "all"  srcmask          -源地址掩码或 1 到 32 的前缀。
  dstmask          -目标地址掩码或 1 到 32 的前缀。
  tunneldstaddress -隧道目标 ip 地址或 dns 啤?

注释:     1. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
             要指定所有计算机地址,请设置 srcaddr/dstaddr=any
          2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY 
          3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。

示例:     delete rule srca=192.168.145.110 dsta=192.168.145.215
          tunneldsta=192.168.145.1
          proto=tcp srcport=80 dstport=80 mirror=no conntype=lan

netsh ipsec dynamic delete sa


C:\Windows>netsh ipsec dynamic delete sa ?

显示一个配置脚本。

netsh ipsec dynamic dump


C:\Windows>netsh ipsec dynamic dump ?

用法: dump

说明:
    创建一个包含当前配置的脚本文件。如果保存到
    文件,此脚本可以用来还原更改的配置设置。

显示命令列表。

netsh ipsec dynamic help


C:\Windows>netsh ipsec dynamic help ?

用法: help

说明:
       显示命令列表。

更改 SPD 中的策略,筛选器和操作。

netsh ipsec dynamic set


C:\Windows>netsh ipsec dynamic set ?

下列指令有效:

此上下文中的命令:
set config     - 设置 IPSEC 配置和启动时间行为。
set mmpolicy   - 更改 SPD 中的主模式策略。
set qmpolicy   - 更改 SPD 中的快速模式策略。
set rule       - 修改 SPD 中的规则和相关联的筛选器。

设置 IPSEC 配置和启动时间行为。

netsh ipsec dynamic set config


C:\Windows>netsh ipsec dynamic set config ?

用法:
  config [ property = ] (ipsecdiagnostics | ipsecexempt | ipsecloginterval |
                      ikelogging | strongcrlcheck | bootmode |
                      bootexemptions) ]
         [ value = ] <integer> | <bootmode> | <bootexemptions> ]

  配置 IPSec 的参数。

参数:

  标记            值
  property       -属性名称。
  value          -与属性相对应的值。

注释:    1. 属性的有效值为:
             ipsecdiagnostics - 0, 1, 2, 3, 4, 5, 6, 7
             ikelogging       - 0, 1
             strongcrlcheck   - 0, 1, 2
             ipsecloginterval - 60 to 86400 sec
             ipsecexempt      - 0, 1, 2, 3
             bootmode         - stateful, block, permit
             bootexemptions   - none, "exemption#1 exemption#2 ... 
                                exemption#n"
                                其中引号中的字符串指定引导模式期间
                                始终允许的协议和端口列表,格式如下:
                                  Protocol:SrcPort:DstPort:Direction
                                    其中 protocol 为 ICMP、TCP、UDP、
                                      RAW 或 <整数>
                                    其中 direction 为 inbound 或 outbound
         2. 提供 ipsecdiagnostics、ikelogging、ipsecloginterval、bootmod 和
            bootexemptions 选项,用于向下兼容。对于 Windows Vista 及以后的
            操作系统无效。
         3. SrcPort 和 DstPort 仅对于 TCP 和 UDP 有效,对于其他协议,
            免除格式为 Protocol:Direction。
         4. 端口设置 0 允许任意端口的流量。
         5. 立即激活 ikelogging 和 strongcrlcheck;
            其他所有属性在下次启动时生效。

示例:     1. set config property=ipsecdiagnostics value=0
          2. set config property=bootmode value=stateful
          3. set config property=bootexemptions value=none
          4. set config property=bootexemptions
             value="ICMP:inbound TCP:80:80:outbound"

更改 SPD 中的主模式策略。

netsh ipsec dynamic set mmpolicy


C:\Windows>netsh ipsec dynamic set mmpolicy ?

用法:
  mmpolicy [ name = ] <string>
           [ [ qmpermm = ] <integer>  ]
           [ [ mmlifetime = ] <integer> ]
           [ [ softsaexpirationtime  = ] <integer> ]
           [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]

  用新参数在 SPD 中更改主模式策略。

参数:

  标记                    值
  name                   -主模式策略名称。
  qmpermm                -IKE 的每主模式会话的快速模式会话数目。
  mmlifetime             -为 IKE 的主模式重新生成密钥所需时间。
  softsaexpirationtime   -未保护的 SA 的过期时间(分钟)。
  mmsecmethods           -一个或多个空格分隔的安全方法列表,格式
                          为 ConfAlg-HashAlg-GroupNum。
                          其中 ConfAlg 可以是 DES 或 3DES,
                          HashAlg 是 MD5 或 SHA1,
                          GroupNum 可以是 1 (Low) 或 2 (Med) 或 3 (DH2048)。

注释: 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:    set mmpolicy name=mmp qmpermm=10 mmlife=10 mmsecmethod=3DES-MD5-3

更改 SPD 中的快速模式策略。

netsh ipsec dynamic set qmpolicy


C:\Windows>netsh ipsec dynamic set qmpolicy ?

用法:
  qmpolicy [ name = ] <string>
           [ [ soft = ] (yes | no) ]
           [ [ pfsgroup = ] (GRP1 | GRP2 | GRP3 | GRPMM | NOPFS) ]
           [ [ qmsecmethods = ] (neg#1 neg#2... neg#n) ]

  在 SPD 中更改快速模式策略。

参数:

  标记                    值
  name                   -快速模式策略名称。
  soft                   -允许与非 IPsec 的计算机进行不安全的通信。
                          这可以是 yes 或 no。
  pfsgroup               -GRP1,GRP2,GRP3,GRPMM,NOPFS(默认)。
  qmsecmethods           -IPsec 提供是下列之一
                          ESP[ConfAlg,AuthAlg]:k/s
                          AH[HashAlg]:k/s
                          AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
                          其中 ConfAlg 可以是 DES,或 3DES 或 None。
                          其中 AuthAlg 可以是 MD5,或 SHA1 或 None。
                          其中 HashAlg 是 MD5 或 SHA1。
                          其中 k 是 lifetime(千字节)。
                          其中 s 是 lifetime(秒)。

注释: 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:    set qmpolicy name=qmp pfsg=grp3
         qmsec="AH[MD5]:100000k/29999s+ESP[DES,SHA1]"

修改 SPD 中的规则和相关联的筛选器。

netsh ipsec dynamic set rule


C:\Windows>netsh ipsec dynamic set rule ?

用法:
  rule [ srcaddr = ] (ip | dns | server)
       [ dstaddr = ] (ip | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>)
       [ srcport = ] <port>
       [ dstport = ] <port>
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ mmpolicy = ] <string> ]
       [ [ qmpolicy = ] <string> ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <preshared key> ]
       [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]

  在 SPD 中修改规则及相关的筛选器。

参数:

  标记              值
  srcaddr          - 源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr          -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  protocol         -可以是 ANY,ICMP,TCP,UDP,RAW,或一个整数。
  srcport          -源端口(0 表示任意端口)
  dstport          -目标端口(0 表示任意端口)
  mirrored         -值为 "Yes" 将创建两个筛选器,每个方向均有一个。
  conntype         -连接类型
  srcmask          -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
  dstmask          -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
  tunneldstaddress -隧道目标 ip 地址或 dns 名称。
  mmpolicy         -主模式策略
  qmpolicy         -快速模式策略
  actioninbound    -对入站数据包的操作
  actionoutbound   -对出站数据包的操作
  kerberos         -如果指定了‘yes’,则提供 kerberos 身份验证
  psk              -用指定的预共享密钥提供身份验证
  rootca           -用指定的根证书提供身份验证,
                    如果指定了 certmap:Yes,将尝试映射此证书
                    如果指定了 excludecaname:Yes,将排除 CA 名称

注释:     1. 可以设置 Mmpolicy、qmpolicy、actioninbound、actionoutbound
             和 authmethods,其他字段是标识符。
          2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY
          3. 证书、映射和 CA 名称设置均以引号中引起来,内嵌的引号将替代为
             “\"”。
          4. 证书映射只对域成员有效。
          5. 可以多次使用 rootca 参数来提供多重证书。
          6. 每种身份验证方法的优燃队伤诿钪械乃承蚶?
             决定。
          7. 如果没有指定身份验证方法,将使用动态默认值。
          8. 所有身份验证方法都将以指定的列表覆盖。
          9. 排除根证书颁发机构(CA)名称可防止将名称作为证书请求的一部分
             进行发送。
         10. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同
             类型的地址(两者均应为 v4 或 v6)。

示例:     1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
             tunneldst=192.168.145.1
             proto=tcp srcport=80 dstport=80 mir=no con=lan
             qmp=qmp actionin=negotiate actionout=permit
          2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
             mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
             rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
             rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West
             Root Authority\’ certmap:yes excludecaname:no"

从 SPD 中显示策略,筛选器和操作。

netsh ipsec dynamic show


C:\Windows>netsh ipsec dynamic show ?

下列指令有效:

此上下文中的命令:
show all       - 显示 SPD 中的策略,筛选器,SA 和统计。
show config    - 显示 IPsec 配置。
show mmfilter  - 从 SPD 中显示主模式筛选器详细信息。
show mmpolicy  - 从 SPD 中显示主模式策略详细信息。
show mmsas     - 从 SPD 中显示主模式安全关联。
show qmfilter  - 从 SPD 中显示快速模式筛选器详细信息。
show qmpolicy  - 从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ?
show qmsas     - 从 SPD 中显示快速模式安全关联。
show rule      - 显示 SPD 中的规则详细信息。

显示 SPD 中的策略,筛选器,SA 和统计。

netsh ipsec dynamic show all


C:\Windows>netsh ipsec dynamic show all ?

用法:
  all [ [ resolvedns = ] (yes | no) ]

  显示 SPD 中的所有策略,筛选器,SA 和统计的详细信息。

参数:

  标记              值
  resolvedns       -值为 'yes' 显示解析的 dns 名称。

注释:     resolvedns 的默认值为 'no'。

示例:     show all yes
          -显示所有信息,包括 dns 解析

显示 IPsec 配置。

netsh ipsec dynamic show config


C:\Windows>netsh ipsec dynamic show config ?

用法:
  config

 显示 IPsec 配置参数的当前设置。

注释:

示例: show config

从 SPD 中显示主模式筛选器详细信息。

netsh ipsec dynamic show mmfilter


C:\Windows>netsh ipsec dynamic show mmfilter ?

用法:
  mmfilter [ name = ] <string> | [ all ]
           [ [ type = ]  (generic | specific) ]
           [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
           [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
           [ [ srcmask = ] (mask | prefix) ]
           [ [ dstmask = ] (mask | prefix) ]
           [ [ resolvedns = ] (yes | no) ]

  从 SPD 中显示主模式筛选器的详细信息。

参数:

  标记         值
  name | all -主模式筛选器名称,或 'all'。
  type       -筛选器类别。可以是 specific 或 generic。
  srcaddr    -源 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。
  dstaddr    -目标 ip 地址(ipv4 或 ipv6),地址范围,DNS 名称或服务器类型。
  srcmask    -源地址掩码或 1 到 32 的白骸?
  dstmask    -目标地址掩码或 1 到 32 的前缀。
  resolvedns -值为 'yes' 显示解析的 dns 名称。

注释:     1. 默认 type 参数为 generic。
          2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
          3. 如果指定了 'all',将显示所有主模式筛选器。
          4. 如果指定了源地址或目标地址,将只显示与该地址相关联的筛选器。
          5. 如果指定了地址范围,终结点必须为特定地址(非列表或油?和相同
             类型地址(两者均应为 v4 或 v6)。

示例:     1. show mmfilter name=mmf
          2. show mmfilter all srcaddr=wins dstaddr=192.168.145.112

从 SPD 中显示主模式策略详细信息。

netsh ipsec dynamic show mmpolicy


C:\Windows>netsh ipsec dynamic show mmpolicy ?

用法:
  mmpolicy [ name = ] <string> | [ all ]

  从 SPD 中显示主模式策略的详细信息。

参数:

  标记    值
  name   -主模式策略名称。

注释:     如果指定了 'all',将显示所有主模式策略。

示例:     1. show mmpolicy name=mmp
          2. show mmpolicy all

从 SPD 中显示主模式安全关联。

netsh ipsec dynamic show mmsas


C:\Windows>netsh ipsec dynamic show mmsas ?

用法:
  mmsas [ [ all ] ]
        [ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
        [ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
        [ [ format = ] (list | table) ]
        [ [ resolvedns = ] (yes | no) ]

  显示指定地址的主模式安全关联。

参数:

  标记         值
  all         -显示所有主模式踩亓?
  srcaddr     -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr     -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  format      -以屏幕格式或制表符分隔的方式输出。
  resolvedns  -值为 "yes" 显示解析的 dns 名称。

注释:     1. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
          2. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。\             


示例:     1. show mmsas  
all
          2. show mmsas srca=192.168.145.110 dsta=192.168.145 
.215

从 SPD 中显示快速模式筛选器详细信息。

netsh ipsec dynamic show qmfilter


C:\Windows>netsh ipsec dynamic show qmfilter ?

用法:
  qmfilter [ name = ] <string> | [ all ]
           [ [ type = ]  (generic | specific) ]
           [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
           [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
           [ [ srcmask = ] (mask | prefix) ]
           [ [ dstmask = ] (mask | prefix) ]
           [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
           [ [ srcport = ] <port> ]
           [ [ dstport = ] <port> ]
           [ [ actioninbound = ] (permit | block | negotiate) ]
           [ [ actionoutbound = ] (permit | block | negotiate) ]
           [ [ resolvedns = ] (yes | no) ]

  从 SPD 中显示快速模式筛选器的详细信息。

参数:

  标记              值
  name             -快速模式筛选器名称。
  type             -要显示的筛选器类别,可以是 specific 或 generic。
  srcaddr          -源 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。
  dstaddr          -目标 IP 地址(IPV4 或 IPV6)、地址范围、dns 名称或服务器类型。
  srcmask          -源地址掩码或 1 到 32 的前缀。
  dstmask          -目标地址掩码或 1 到 32 的前缀。
  protocol         -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。
  srcport          -源端口。值为零表示任意端口。
  dstport          -目标端口。值为零表示任意端口。
  actioninbound    -对入站数据包的操作。
  actionoutbound   -对出站数据包的操作。
  resolvedns       -值为 "yes" 显示解析的 dns 名称。

注释:     1. 如果未指定类别,则显示 "generic""specific" 筛选器。
          2. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
          3. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同
             类型地址(两者均应为 v4 或 v6)。

示例:     1. 显示 qmfilter name=qmf
          2. 显示 qmfilter all srcaddr=192.134.135.133 proto=TCP
          3. 如果指定 "all",则将显示所有快速模式筛选器。
          4. 如果指定源或目标地址名称,
             则将只显示与该地址相关联的筛选器。

从 SPD 中显示焖倌J讲呗韵晗感畔ⅰ?

netsh ipsec dynamic show qmpolicy


C:\Windows>netsh ipsec dynamic show qmpolicy ?

用法:
  qmpolicy [ name = ] <string> | [ all ]

  从 SPD 中显示快速模式策略的详细信息。  

参数:

  标记    值
  name   -快速模式策略名称。

注释:     如果指定了 'all',将显示所有快速模式策略。

示例:     1. show qmpolicy name=qmp
          2. show qmpolicy all

从 SPD 中显示快速模式安全关联。

netsh ipsec dynamic show qmsas


C:\Windows>netsh ipsec dynamic show qmsas ?

用法:
  qmsas [ [ all ] ]
        [ [ srcaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
        [ [ dstaddr =] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
        [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
        [ [ format = ] (list | table) ]
        [ [ resolvedns = ] (yes | no) ]

  显示指定地址的快速模桨踩亓?

参数:

  标记        值
  all        -显示所有快速模式安全关联。
  srcaddr    -源 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
  dstaddr    -目标 IP 地址(IPv4 或 IPv6)、地址范围、DNS 名称或服务器类型。
  protocol   -可以是 ANY、ICMP、TCP、UDP、RAW 或一个整数。
  format     -屏幕中的输出或制表符分隔格式。
  resolvedns -"yes" 显示解析的 DNS 名称。

说明:     1. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
          2. 如果指定地址范围,终结点必须是特定地址(不是列表或子网),
          而且必须是相同的类型(都应该是 v4 或 v6)。

示例:     1. show qmsas all
          2. show qmsas srca=192.168.145.110 dsta=192.168.145.215

显示 SPD 中的规则详细信息。

netsh ipsec dynamic show rule


C:\Windows>netsh ipsec dynamic show rule ?

用法:
  rule   [ [ type = ] (transport | tunnel) ]
         [ [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
         [ [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) ]
         [ [ srcmask = ] (mask | prefix) ]
         [ [ dstmask = ] (mask | prefix) ]
         [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
         [ [ srcport = ] <port> ]
         [ [ dstport = ] <port> ]
         [ [ actioninbound = ] (permit | block | negotiate) ]
         [ [ actionoutbound = ] (permit | block | negotiate) ]
         [ [ resolvedns = ] (yes | no) ]

  显示 SPD 中的规则详细信息。

参数:

  标记              值
  type             -要显示的规则类型,可以是 transport 或 tunnel。
  srcaddr          -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr          -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  srcmask          -源地址掩码或一个 1 到 32 的前缀。
  dstmask          -目标地址掩码或一个 1 到 32 的前缀。
  protocol         -可以是 ANY,ICMP,TCP,UDP,RAW 或一个整数。
  srcport          -源端口。值为零表示任意端口。
  dstport          -目标端口。值为零表示任意端口。
  actioninbound    -对入站数据包的操作。
  actionoutbound   -对出站数据包的操作。
  resolvedns       -值为 "yes" 显示解析的 dns 名称。

注释:     1. type 参数的默认值为 "transport"。
          2. 服务器类型可以是 WINS,DNS,DHCP 或 GATEWAY。
          3. 如果指定了源或目标地址名称,将只显示与该地址相关联的规则。
          4. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型
             地址(两者均应为 v4 或 v6)。

示例:     1. show rule
           - shows both transport and tunnel rules
          2. show rule type=transport srcaddr=192.134.135.133 proto=TCP

显示命令列表。

netsh ipsec help


C:\Windows>netsh ipsec help ?

用法: help

说明:
       显示命令列表。

更改到 `netsh ipsec static' 上下文。

netsh ipsec static


C:\Windows>netsh ipsec static ?

下列指令有效:

此上下文中的命令:
?              - 显示命令列表。
add            - 创建新的策略和有关信息。
delete         - 删除策略和相关信息。
dump           - 显示一个配置脚本。
exportpolicy   - 从证书存储中导出所有策略。
help           - 显示命令列表。
importpolicy   - 从文件导入策略到证书存储。
set            - 更改现存策略和相关信息。
show           - 显示策略和相关信息的详细信ⅰ?

若需要命令的更多帮助信息,请键入命令,接着是空格,
后面跟 ?。

创建新的策略和有关信息。

netsh ipsec static add


C:\Windows>netsh ipsec static add ?

下列指令有效:

此上下文中的命令:
add filter     - 将筛选器添加到筛选器列表。
add filteraction - 创建一个筛选器操作。
add filterlist - 创建一个空的筛选器列表。
add policy     - 用默认响应规则创建策略。
add rule       - 为指定策略创建一个规则。

将筛选器添加到筛选器列表。

netsh ipsec static add filter


C:\Windows>netsh ipsec static add filter ?

用法:
  filter [ filterlist = ] <string>
         [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
         [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
         [ [ description = ] <string> ]
         [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
         [ [ mirrored = ] (yes  |  no) ]
         [ [ srcmask = ] (mask | prefix) ]
         [ [ dstmask = ] (mask | prefix) ]
         [ [ srcport = ] <port> ]
         [ [ dstport = ] <port> ]

  将筛选器添加到指定的筛选器列表。

参数:

  标记           值
  filterlist    -筛选器要添加到其中的筛选器列表的名称。
  srcaddr       -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr       -目标 ip 地址(ipv4 或 ipv6)、dns 名称或服务器类型。
  description   -筛选器的简介信息。
  protocol      -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
  mirrored      -值为 'Yes' 将创建两个筛选器,每个方向均有一个。
  srcmask       -源地址掩码或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
  dstmask       -目标地址掩码或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
  srcport       -数据包的源端口。值为 0 表示任意端口。
  dstport       -数据包的目标端口。值为 0 表示任意端口。

注释:  1. 如果筛选器列表不存在,将创建它。
          2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
             要指定所有计算机地址,请设置 srcaddr/dstaddr=any
               3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
          4. 如果源是一个服务器类型,则目标为 "me",反之亦然。
          5. 如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均应为 v4 或 v6)。

示例:      1. add filter filterlist=Filter1 192.145.168.0 192.145.168.45
          srcmask=24 dstmask=32
          2. add filter filterlist=Filter1 srcaddr=DHCP dstaddr=0.0.0.0
          protocol=ICMP srcmask=255.255.255.255 dstmask=255.255.255.255
          3. add filter filterlist=Filter1 srcaddr=me dstaddr=any
          4. add filter filterlist=Filter1 srcaddr= E3D7::51F4:9BC8:00A8:6420 dstaddr= ME
          5. add filter filterlist=Filter1 srcaddr= 192.168.2.1-192,168.2.10 dstaddr= ME

创建一个筛选器操作。

netsh ipsec static add filteraction


C:\Windows>netsh ipsec static add filteraction ?

用法:
  filteraction [ name = ] <string>
               [ [ description = ] <string> ]
               [ [ qmpfs = ] (yes | no) ]
               [ [ inpass  = ] (yes | no) ]
               [ [ soft = ] (yes | no) ]
               [ [ action = ] (permit | block | negotiate) ]
               [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]

  创建一个筛选器操作。

参数:

  标记          值
  name         -筛选器操作的名称。
  description  -筛选器操作类别的简短信息。
  qmpfs        -设置快速模式完全向前保密的选项。
  inpass       -接受不安全的通讯,但是始终用 IPsec响应。
                这接受 yes 或 no。
  soft         -允许与没有 IPsec 的计算机进行不安全的通讯。
                可以是 yes 或 no。
  action       -可以是 permit,block 或 negotiate。
  qmsecmethods -IPsec 提供是下列格式之一:
                ESP[ConfAlg,AuthAlg]:k/s
                AH[HashAlg]:k/s
                AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
                其中 ConfAlg 可以是 DES 或 3DES 或 None
                其中 AuthAlg 可以是 MD5 或 SHA1 或 None
                其中 HashAlg 是 MD5 或 SHA1。
                其中 k 是 Lifetime(千字节)。
                其中 s 是 Lifetime(秒)。

注释: 1. 如果操作不是 negotiate,快速模式安全方法将被忽略
          2. 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例: add filteraction name=FilterA qmpfs=yes soft=y action=negotiate
          qmsec="AH[MD5]:204800k/300s ESP[DES,SHA1]:30000k/480s"

创建一个空的筛选器列表。

netsh ipsec static add filterlist


C:\Windows>netsh ipsec static add filterlist ?

用法:
  filterlist [ name = ] <string>
             [ [ description = ] <string> ]

  用指定名称创建一个空的筛选器列表。

参数:

  标记          值
  name         -筛选器列表的名称。
  description  -筛选器列表的简短信息。

注释:

示例: add filterlist Filter1

用默认响应规则创建策略。

netsh ipsec static add policy


C:\Windows>netsh ipsec static add policy ?

用法:
  policy [ name = ] <string>
         [ [ description = ] <string> ]
         [ [ mmpfs = ] (yes | no) ]
         [ [ qmpermm = ] <integer> ]
         [ [ mmlifetime = ] <integer> ]
         [ [ activatedefaultrule = ] (yes | no) ]
         [ [ pollinginterval = ] <integer> ]
         [ [ assign = ] (yes | no) ]
         [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]

  用指定名称创建一个策略。

参数:

  标记                  值
  name                 -策略的名称。
  description          -策略的简短信息。
  mmpfs                -设置主完全向前保密的选项。
  qmpermm              -每一 IKE 主模式会话的快速模式会话数目。
  mmlifetime           -为 IKE 的主模式重新生成密钥所需时间(以分钟计)。
  activatedefaultrule  -激活或禁用默认响应规则。 只在 Windows Vista 之前的 Windows 版本上有效。
  pollinginterval      -轮询间隔,策略代理在策略存储中
查找更改的间隔时间(以分钟计)。
  assign               -指定策略为活动或非活动。
  mmsecmethods         -一个或多个由空格分隔开的安全方法列表,安全方法的格式为
                        ConfAlg-HashAlg-GroupNum,其中 ConfAlg 可以是 DES 或 
                        3DES,HashAlg 是 MD5 ?SHA1。
                        GroupNum 可以是 1 (低)、2 (中)、3 (DH2048)。

注释:     1. 如果指定了 mmpfs,qmpermm 将设置为 1。
          2. 如果存储为 "domain",则 "assign" 将不起作用。
          3. 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:        add policy Policy1 mmpfs= yes assign=yes
          mmsec="3DES-SHA1-3 DES-MD5-3 3DES-MD5-2"

为指定策略创建一个规则。

netsh ipsec static add rule


C:\Windows>netsh ipsec static add rule ?

用法:
  rule [ name = ] <string>
       [ policy = ] <string>
       [ filterlist = ] <string> 
       [ filteraction = ] <string> 
       [ [ tunnel = ] (ip | dns) ]
       [ [ conntype = ] (lan | dialup | all) ]
       [ [ activate = ] (yes | no) ]
       [ [ description = ] <string> ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <preshared key> ]
       [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]

  用指定的筛选器列表和筛选器操作创建一个规则。

参数:

  标记           值
  name          -规则的名称。
  policy        -规则所属的策略的名称。
  filterlist    -要使用的筛选器列表的名称。
  filteraction  -要使用的筛选器操作的名称。
  tunnel        -隧道终结点 IP 地址。
  conntype      -连接类型可以是 lan,dialup 或 all。
  activate      -如果指定了 yes,则激活策略中的规则。
  description   -规则的简短信息。
  kerberos      -如果指定了 yes,则提供 Kerberos 身份验证。
  psk           -用预共享密钥提供身份验证。
  rootca        -用指定的根证书提供身份验证,如果指定了
                 certmap:Yes,将尝试映射此证书
                 如果指定了 excludecaname:Yes,将排除 CA 名称

注释:     1. 证书,映射和 CA 名称设靡谝胖幸鹄矗谇兜囊沤?
             被“\'”所代替。
          2. 证书映射只对域成员有效。
          3. 可以多次使用 rootca 参数来提供多重证书。
          4. 每种身份验证方法的优先级由在命令中的顺序来决定。
          5. 如果没有指定身份验证方法,将使用动态默认。
          6. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分
             发送。

示例:     add rule name=Rule policy=Policy filterlist=Filterlist
          filteraction=FilterAction kerberos=yes psk="my key"
          rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
          rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West Root
          Authority\’ certmap:yes excludecaname:no"

删除策略和相关信息。

netsh ipsec static delete


C:\Windows>netsh ipsec static delete ?

下列指令有效:

此上下文中的命令:
delete all     - 删除所有策略,筛选器列表和筛选器操作。
delete filter  - 从筛选器列表中删除一个筛选器。
delete filteraction - 删除一个筛选器操作。
delete filterlist - 删除一个筛选器列表。
delete policy  - 删除一个策略和它的规则。
delete rule    - 从策略中删除一个规则。

删除所有策略,筛选器列表和筛选器操作。

netsh ipsec static delete all


C:\Windows>netsh ipsec static delete all ?

用法:
  all

  删除所有策略,筛选器列表和筛选器操作。

参数:

注释:

示例: delete all

从筛选器列表中删除一个筛选器。

netsh ipsec static delete filter


C:\Windows>netsh ipsec static delete filter ?

用法:  
  filter [ filterlist = ] <string>
         [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
         [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
         [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <integer>) ]
         [ [ srcmask = ] (mask | prefix) ]
         [ [ dstmask = ] (mask | prefix) ]
         [ [ srcport = ] <port> ]
         [ [ dstport = ] <port> ]
         [ [ mirrored = ] (yes | no) ]

   从筛选器列表中删除一个筛选器

参数:

  标记          值
  filterlist   -筛选器要添加到其中的筛选器列表的名称。
  srcaddr      -源 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。
  dstaddr      -目标 ip 地址(ipv4 或 ipv6)、地址范围、dns 名称或服务器类型。   
  protocol     -可以是 ANY,ICMP,TCP,UDP,RAW,或者一个整数。
  srcmask      -源地址掩码,或一个 1 到 32 的前缀。如果 srcaddr 设置为某一范围,则不适用。
  dstmask      -目标地址掩码,或一个 1 到 32 的前缀。如果 dstaddr 设置为某一范围,则不适用。
  srcport      -数据包的源端口。值为 0 表示任意端口。
  dstport      -数据包的目标端口。值为 0 表示任意端口。
  mirrored     -值为 "Yes" 将创建两个筛选器,每个方向均有一个。

注释:     1. 从筛选器列表中删除准确匹配的筛选器。
          2. 要指定当前计算机地址,请设置 srcaddr/dstaddr=me
             要指定所有计算机地址,请设置 srcaddr/dstaddr=any
          3. 服务器类型可以是 WINS、DNS、DHCP 或 GATEWAY。
          4. 如果源为 server,则目标为 "me",反之亦然。 
          5.  如果指定了地址范围,终结点必须为特定地址(非列表或子网)和相同类型地址(两者均ξ?v4 或 v6)。

示例:     1. delete filter FilterList1 src=fum.com dst=fum.com
          2. delete filter Filter1 srcaddr=me dstaddr=any proto=TCP
          3. delete filter Filter1 srcaddr=GATEWAY dstaddr=0.0.0.0 proto=TCP
          4. delete filter Filter1 srcaddr=192.168.2.1-192.168.2.10 dstaddr=ME

删除一个筛选器操作。

netsh ipsec static delete filteraction


C:\Windows>netsh ipsec static delete filteraction ?

用法:
  filteraction [ name = ] <string> | [ all ]

  删除筛选器操作。

参数:

  标记            值
  name | all     -筛选器操作的名称,或 all。

注释:     如果指定了 'all',将删除所有筛选器操作。

示例:     1. delete filteraction FilterA
          2. delete filteraction all

删除一个筛选器列表。

netsh ipsec static delete filterlist


C:\Windows>netsh ipsec static delete filterlist ?

用法:
  filterlist [name = ] <string> | [ all ]

  删除筛选器列表及它的所有相关筛选器。

参数:

  标记          值
  name | all   -筛选器列表的名称,或 all。

Remarks: 如果指定了 'all',将删除所有筛选器。

示例:     delete filterlist all

删除一个策略和它的规则。

netsh ipsec static delete policy


C:\Windows>netsh ipsec static delete policy ?

用法:
  policy [ name = ] <string> | [ all ]

  删除策略及它的所有相关规则。

参数:

  标记          值
  name | all   -策略名称,或 all。

注释:     如果指定了 'all',将删除所有策略。

示例:     1. delete policy all
           - 删除所有策略
          2. delete policy name=Policy1
           - 删除名为 'Policy1' 的策略

从策略中删除一个规则。

netsh ipsec static delete rule


C:\Windows>netsh ipsec static delete rule ?

用法:
  rule [ name = ] <string> | [ id = ] <integer> | [ all ]
       [ policy = ] <string>

  从策略中删除规则。
  
参数:

  标记              值
  name | id | all  -规则的名称或 ID,或 all
  policy           -策略名称。

注释:     1. 如果指定了 'all',将从策略中删除除了默认响应规则以外
             的所有规则。
          2. 默认响应规则不能被删?
          3. 每次删除都将更改 ID。

示例:     1. delete rule id=1 Policy1
            -从 Policy1 中删除 id=1 的规则。
          2. delete rule all Policy1
            -从 Policy1 中删除所有规则。

显示一个配置脚本。

netsh ipsec static dump


C:\Windows>netsh ipsec static dump ?

用法: dump

说明:
    创建一个包含当前配置的脚本文件。如果保存到
    文件,此脚本可以用来还原更改的配置设置。

从证书存储中导出所有策略。

netsh ipsec static exportpolicy


C:\Windows>netsh ipsec static exportpolicy ?

用法:
  exportpolicy [ file = ] <string>

  将所有策略导出到文件。

参数:

  标记       值
  name       -策略要导出到的文件的名称。

注释: 默认情况下在文件名后面加 .ipsec 扩展。

示例: exportpolicy Policy1

显示命令列表。

netsh ipsec static help


C:\Windows>netsh ipsec static help ?

用法: help

说明:
       显示命令列表。

从文件导入策略到证书存储。

netsh ipsec static importpolicy


C:\Windows>netsh ipsec static importpolicy ?

用法: 
  importpolicy [ file = ] <string>

  从指定文件中导入策略。

参数:

  标记       值
  name       -要从中导入策略的文件名。

注释:

示例: importpolicy Policy1.ipsec

更改现存策略和相关信息。

netsh ipsec static set


C:\Windows>netsh ipsec static set ?

下列指令有效:

此上下文中的命令:
set batch      - 设置批更新模式。
set defaultrule - 更改默认响应规则。
set filteraction - 更改筛选器操作。
set filterlist - 更改筛选器列表。
set policy     - 更改策略。
set rule       - 更改规则。
set store      - 设置当前策略存储。

设置批更新模式。

netsh ipsec static set batch


C:\Windows>netsh ipsec static set batch ?

用法:
  set batch [mode = ] (enable | disable) 

  设置批处理更新模式。

参数:

mode - 用于批处理更新的模式。

更改默认响应规则。

netsh ipsec static set defaultrule


C:\Windows>netsh ipsec static set defaultrule ?

用法:
  defaultrule [ policy = ] <string>
              [ [ qmpfs = ] (yes | no) ]
              [ [ activate = ] (yes | no) ]
              [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]
              [ [ kerberos = ] (yes | no) ]
              [ [ psk = ] <preshared key> ]
              [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]

  修改指定策略的默认煊嬖颉?
  在 Windows Vista 和 Windows 的更新版本中将忽略此规则。


参数:

  标记
值
  policy       -其默认响应规则将被修改的策略的名称
.
  qmpfs        -设置快速模式完全向前保密的选项
.
  activate     -如果指定 "yes" 则激活策略中的规则
.
  qmsecmethods -IPsec 按下列其中一种模式提供:
                ESP[ConfAlg,AuthAlg]:k/
s
                AH[HashAlg]:k/
s
                AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/
s
                其中 ConfAlg 可以是 DES、3DES 或 None
.
                其中 AuthAlg 可以是 MD5、SHA1 或 None
.
                其中 HashAlg 是 MD5 或 SHA1
.
                其中 k 是以 KB 为单位的生存时间
.
                其中 s 是以秒为单位的生存时间
.
  kerberos     -如果指定 “yes” 则提供 Kerberos 身份验证
.
  psk          -使用指定的预共享密钥提供身份验证
.
  rootca       -使用指定的根证书提供身份验证,
                如果指定 certmap:Yes,则尝试映射证书,
                如果指定 excludecaname:Yes,则排除 CA 名称
.

说明:     1. 证书、映射和 CA 名称设置都要放在引号中;嵌入的引号用“\”代替
.
          2. 证书映射只对域成员有效
.
          3. 通过多次使用 rootca 参数可以提供多重证书
.
          4. 每种身份验证方法的优先级由它在命令中的顺序决定
.
          5. 如果未指定身份验证方法,则使用动态默认
          6. 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:     set defaultrule Policy1 activate=
y
          qmsec="AH[MD5]+ESP[3DES,MD5]:100000k/2000s"

更改筛选器操作。

netsh ipsec static set filteraction


C:\Windows>netsh ipsec static set filteraction ?

用法:
  filteraction [ name = ] <string> | [ guid = ] <guid>
               [ [ newname = ] <string> ]
               [ [ description = ] <string> ]
               [ [ qmpfs = ] (yes | no) ]
               [ [ inpass  = ] (yes | no) ]
               [ [ soft = ] (yes | no)  ]
               [ [ action = ] (permit | block | negotiate) ]
               [ [ qmsecmethods = ] (neg#1 neg#2 ... neg#n) ]

  更改筛选器操作。

参数:

  标记           值
  name | guid   -筛选器操作的名称或 guid。
  newname       -筛选器操作的新名称。
  description   -筛选器操作的简短信息。
  qmpfs         -设置快速模式完全向前保密的选项。
  inpass        -接受非安全的通讯,但始终用 IPsec 响应。可以
                 是 yes 或 no。
  soft          -允许与非 IPsec 的计算机进行非安全的通讯。
                 它的值可以是 yes 或 no。
  action        -可以是 permit 或 block 或 negotiate。
  qmsecmethods  -IPsec 提供是下列格式之一:
                 ESP[ConfAlg,AuthAlg]:k/s
                 AH[HashAlg]:k/s
                 AH[HashAlg]+ESP[ConfAlg,AuthAlg]:k/s
                 其中 ConfAlg 可以是 DES 或 3DES 或 None。
                 其中 AuthAlg 梢允?MD5 或 SHA1 或 None。
                 其中 HashAlg 是 MD5 或 SHA1。
                 其中 k 是 lifetime(千字节)。
                 其中 s 是 lifetime(秒)。
          3. 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:    1.set filteraction name=test qmsec=ESP[3DES,MD5]:100000k/2000s
         2.set filteraction guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
           inpass=y

更改筛选器列表。

netsh ipsec static set filterlist


C:\Windows>netsh ipsec static set filterlist ?

用法:
  filterlist [ name = ] <string> | [ guid = ] <guid>
             [ [ newname = ] <string> ]
             [ [ description = ] <string> ]

  更改筛选器列表名称和描述。

参数:

  标记          值
  name | guid  -筛选器列表的名称或 guid。
  newname      -筛选器列表的新名称。
  description  -筛选器的简短信息列表。

示例:     1.set filterlist Filter1 desc=NewFilter1
          2.set filterlist guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
                newname=FilterName

更改策略。

netsh ipsec static set policy


C:\Windows>netsh ipsec static set policy ?

用法:
  policy [ name = ] <string> | [ guid = ] <guid>
         [ [ newname = ] <string> ]
         [ [ description = ] <string> ]
         [ [ mmpfs = ] (yes | no) ]
         [ [ qmpermm = ] <integer> ]
         [ [ mmlifetime = ] <integer> ]
         [ [ activatedefaultrule = ] ( yes | no) ]
         [ [ pollinginterval = ] <integer> ]
         [ [ assign = ] (yes | no) ]
         [ [ gponame = ] <string> ]
         [ [ mmsecmethods = ] (sec#1 sec#2 ... sec#n) ]

  更改策略。

参数:

  标记                 值
  name | guid         -策略或 guid 的名称。
  newname             -新名称
  description         -简介信息。
  mmpfs               -设置主密钥完全向前保密。
  qmpermm             -每一个主模式的快速模式数目。
  mmlifetime          -重新生成密钥的时间(以分钟计)。
  activatedefaultrule -激活默认响应规则。只在 Windows Vista 之前的 Windows 版本中有效。
  pollinginterval     -在策略存储中查找更改的时间(以分钟计)。
  assign              -指定策略。
  gponame             -可以指定策略的本地 AD 组策略对象名称。
                       在 store 为 domain 时为有效。
  mmsecmethods        -一个或多个空格分隔的安全方法列表,袷轿?
                       ConfAlg-HashAlg-GroupNum。
注释:     1. 如果指定了 mmpfs,qmpermm 将设置为 1。
          2. 只有将 store 设置为 domain 时,才能指定 GPO 名称。
          3. 不推荐使用 DES 和 MD5。提供这些算法
             仅用于向下兼容。

示例:     1. set policy name=Policy mmpfs=y gpo=DomainPolicy assign=y
          2. set policy guid={11E6E97E-0031-49f5-AC7D-5F2FE99BABAF}
             newname=NewName gpo=DefaultDomainPolicy assign=y

更改规则。

netsh ipsec static set rule


C:\Windows>netsh ipsec static set rule ?

用法:
  rule [ name = ] <string> | [id= ] <integer>
       [ policy = ] <string>
       [ [ newname = ] <string> ]
       [ [ description = ] <string> ]
       [ [ filterlist = ] <string> ]
       [ [ filteraction = ] <string> ]
       [ [ tunnel = ] (ip | dns) ]
       [ [ conntype = ] (lan | dialup | all) ]
       [ [ activate = ] (yes | no) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <preshared key> ]
       [ [ rootca = ] "<certificate> certmap:(yes | no) excludecaname:(yes | no)" ]

  更改策略中的规则。

参数:

  标记           值
  name | id     -规则的名称或 ID。
  policy        -规则所属的策略的名称。
  newname       -规则的新名称。
  description   -规则的简短信息。
  filterlist    -要使用的筛选器列表的名称。
  filteraction  -要使用的筛选器操作的名称。
  tunnel        -隧道 ip 地址或 dns 名称。
  conntype      -连接类型可以是 lan,dialup 或 all。
  activate      -如果指定了 yes,则激活策略中的规则。
  kerberos      -如果指定了 yes,则提供 Kerberos 身份验证。
  psk           -用指定的预共享密钥提供身份验证。
  rootca        -用指定的根证书提供身份验证,如果指定了
                 certmap:Yes,将尝试映射此证书
                 绻付?excludecaname:Yes,将排除 CA 名称。

注释:     1. 证书,映射和 CA 名称设置要在引号中引起来,内嵌的引号将
             被“\'”代替。
          2. 证书映射只对域成员有效。
          3. 可以多次使用 rootca 参数来提供多重证书。
          4. 每种身份验证方法的优先级由在命令中的顺序来决定。
          5. 如果没有指定身份验证方法,将使用动态默认。
          6. 所有身份验证方法都将被指定的列表所覆盖。
          7. 排除根证书颁发机构(CA)名称防止将名称作为证书请求的一部分
             发送。

示例:     1. set rule name=Rule policy=Policy activate=yes
             rootca="C=US,O=MSFT,CN=\’Microsoft North, South, East, and West
             Root Authority\’ certmap:yes excludecaname:no"
          2. set rule id=3 Policy newname=RuleNew tunnel=192.165.123.156

设置当前策略存储。

netsh ipsec static set store


C:\Windows>netsh ipsec static set store ?

用法:
  store [location = ] (local | domain)
        [ [ domain = ] <string> ]

设置当前 IPsec 策略存储位置。

参数:

  标记        值
  location    IPsec 策略存储的位置。
  domain      域名(只应用于域位置)。

说明:   1. 本地存储包含 IPsec 策略,可以指定来保护
           计算机。如果域策略可用,则
           应用域策略而不是本地策略。
        2. 域存储包含 IPsec 策略,可以指定来
           保护域中的一组计算机。
        3. 使用"set machine"命令配置远程计算机。
        4. 默认存储为本地存储。对存储设置所作的更改
           仅在当前 Netsh 会话期间有效。如果需要在
           同一存储中从批处理文件运行多个命令,请在
           执行批处理文件时使用"Netsh Exec"。
        5. 不支持永久存储和永久策略。


示例: 1. set store location=
local
         - 使用当前计算机的本卮娲ⅰ?

      2. set store location= domain domain=example.microsoft.com
         - 使用域策略存储以获取 example.microsoft.com。

显示策略和相关信息的详细信ⅰ?

netsh ipsec static show


C:\Windows>netsh ipsec static show ?

下列指令有效:

此上下文中的命令:
show all       - 显示所有策略的详细信息及相关信息。
show filteraction - 显示筛选器操作详细信息。
show filterlist - 显示筛选器列表详细信息。
show gpoassignedpolicy - 显示组分配的策略的详细信息。
show policy    - 显示策略详细信息。
show rule      - 显示规则的详细信息。
show store     - 显示当前策略存储。

显示所有策略的详细信息及相关信息。

netsh ipsec static show all


C:\Windows>netsh ipsec static show all ?

用法:
  all  [ [ format = ] (list | table) ]
       [ [ wide = ] (yes | no) ]

  显示所有策略,筛选器列表和筛选器操作。

参数:

  标记          值
  format       -以屏幕格式或制表符分隔的方式输出。
  wide         -如果设置为 no,名称和描述将被截断,
                以适应 80 个字符的屏幕宽度。

注释:

示例: show all

显示筛选器操作详细信息。

netsh ipsec static show filteraction


C:\Windows>netsh ipsec static show filteraction ?

用法:
  filteraction  [ name = ] <string>  | [ rule = ] <string> | [ all ]
                [ [ level = ] (verbose | normal) ]
                [ [ format = ] (list | table ) ]
                [ [ wide = ] (yes | no) ]

  显示筛选器操作的详细信息。

参数:

  标记                值
  name | rule | all  -筛选器操作的名称或 rule 名称或 all。
  level              -Verbose 或 normal。
  format             -以屏幕格式或制表符分隔的方式输出
  wide               -如果设置为 no,名称和描述将被截断,
                      以适应 80 个字符的屏幕宽度

注释:     如果指定了 'all',则显示所有筛选器操作。

示例:     1. show filteraction FilterAction1
           - 显示筛选器操作 FilterAction1 的详细信息
          2. show filteraction rule=Rule1
           - 显示由规则 Rule1 使用的筛选器操作
          3. show filteraction all
           - 显示所有筛选器操作

显示筛选器列表详细信息。

netsh ipsec static show filterlist


C:\Windows>netsh ipsec static show filterlist ?

用法:
  filterlist [ name = ] <string> | [ rule = ] <string> | [ all ]
             [ [ level = ] (verbose | normal) ]
             [ [ format = ] (list | table ) ]
             [ [ resolvedns = ] (yes | no) ]
             [ [ wide = ] (yes | no) ]

  显示筛选器列表的详细信息。

参数:

  标记                值
  name | rule | all  -筛选器列表的名称或 rule 名称或 all。
  level              -Verbose 或 normal。
  format             -以屏幕格式或制表符分隔的方式输出。
  resolvedns         -值为 'yes' 将强制详细输出显示 IP 地址的当前
                      DNS 映射,以及存储在筛选器字段中的 DNS 名称。
  wide               -如果设置为 no,名称和描述将被截断,以适
                      应 80 个字符的屏幕宽度。

注释:   如果指定了 'all',将显示所有筛选器列表。

示例: show filterlist Filterlist=Filterlist1 resolvedns=yes wide=yes

显示组分配的策略的详细信息。

netsh ipsec static show gpoassignedpolicy


C:\Windows>netsh ipsec static show gpoassignedpolicy ?

用法:
  gpoassignedpolicy [name = ] <string>
                    [ [ level = ] (verbose | normal)

  显示指定的 GPO 的活动策略的详细信息。

参数:

  标记           值
  Name          -本地 AD 组策略对象名称。

注释:     1. 如果当前 store 为 domain,则需要 name 参数,
             否则是不允许的。

示例:     1. show gpoassignedpolicy name=GPO1
           - 显示指定到 GPO1 的域策略
          2. show gpoassignedpolicy
           - 显示此计算机上当前指定的策略。

显示策略详细信息。

netsh ipsec static show policy


C:\Windows>netsh ipsec static show policy ?

用法:
  policy [ name = ] <string> | [ all ]
         [ [ level = ] (verbose | normal) ]
         [ [ format = ] (list | table) ]
         [ [ wide = ] (yes | no) ]

  显示策略的详细信息

参数:

  标记           值
  name | all    -策略名称或‘all’。
  level         -Verbose 或 normal。
  format        -以屏幕格式或制表符分隔的方式输出。
  wide          -如果设置为 “no”,名称和描述将被截断
                 以适应 80 列的屏幕宽度。

注释:

示例: show policy Policy1 wide=yes format=table

显示规则的详细信息。

netsh ipsec static show rule


C:\Windows>netsh ipsec static show rule ?
"
用法:
  rule [ name = ] <string>  | [ id = ] <integer> ] | [ all ] | [default]
       [ policy = ] <string> 
       [ [ type = ] (tunnel | tranport) ]
       [ [ level = ] (verbose | normal) ]
       [ [ format = ] (list | table ) ]
       [ [ wide = ] (yes | no) ]

  显示策略的规则的详细信息。

参数:

  标记                        值
  name | id | all | default  -规则的名称或 id,或 all 或 default。
  policy                     -策略名称。
  type                       -规则类别是 transport 或 tunnel。
  level                      -Verbose 或 normal。
  format                     -以屏幕格式或制表符分隔的方式输出。
  wide                       -如果设置为 no,名称和描述将被截断,
                              以适应 80 个字符的屏幕宽度

注释:     1. 如果指定了 All,则显示所有规则。
          2. 如果指定了 type 参数,则需要指定 'all'。

示例:     1. show rule all type=transport policy=Policy1
           - 显示 Policy1 的所有传输规则。
          2. show rule id=1 policy=Policy1
           - 显示策略的第一个规则。
          3. show rule default policy=Policy1
           - 显示 Policy1 的默认响应规则的详细信息。

显示当前策略存储。

netsh ipsec static show store


C:\Windows>netsh ipsec static show store ?

用法:
  store

示例: show store



- cn -/- de -/- en -









Windows-10


... Windows 10 FAQ
... Windows 10 How To


Windows 10 How To


... Windows 11 How To
... Windows 10 FAQ



HTTP: ... console/en/index.htm
0.234
7791
Change PC name Windows 10/11! Wordpad erscheint in der Taskleiste das Fenster ist nicht sichtbar? Windows 10 Mail turn off round circle logos / profile pictures! Set files to status hidden on Windows 11 or 10! So geben Sie Emoji mit der Touch-Tastatur (Bildschirmtastatur) ein auf Windows 10! Single click to execute or open a file on Windows 11, 10, ...! Turn off or Enable trim support for SSD on Windows 11, 10, 8.1! Does Windows 10 support the Cool'n'Quiet or power saving mode? Zeit gesteuertes Ereignis und Reaktivierung Timer aktivieren, deaktivieren? Make all windows transparent under MS Windows OS!



(0)