'\" te .\" Copyright (c) 2012, 2013, Oracle and/or its affiliates.All rights reserved. .TH ikeadm 1M "2012 年 10 月 9 日" "SunOS 5.11" "系统管理命令" .SH 名称 ikeadm \- 处理 Internet 密钥交换 (Internet Key Exchange, IKE) 参数和状态 .SH 用法概要 .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] get [debug | priv | stats | defaults] .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] set [debug | priv] [level] [file] .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] [get | del] [p1 | ikesa | rule | preshared] [id] .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] add [rule | preshared] { \fIdescription\fR } .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] token [login | logout] \fIPKCS#11_Token_Object\fR .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] [read | write] [rule | preshared | certcache] \fIfile\fR .fi .LP .nf \fBikeadm\fR [\fB-np\fR] [\fB-v\fR {1|2}] dump [p1 | ikesa | rule | preshared | certcache | groups | encralgs | authalgs] .fi .LP .nf \fBikeadm\fR [\fB-v\fR {1|2}] [\fB-np\fR] flush [p1 | ikesa | certcache] .fi .LP .nf \fBikeadm\fR help [get | set | add | del | read | write | dump | flush | token] .fi .SH 描述 .sp .LP \fBikeadm\fR 实用程序从 Internet 密钥交换 (Internet Key Exchange, \fBIKE\fR) 协议守护进程 \fBin.iked\fR(1M) 检索信息,并处理此守护进程的配置。 .sp .LP \fBikeadm\fR 实用程序与运行的 Internet 密钥交换 (Internet Key Exchange, IKE) 守护进程通信。此实用程序可以从运行的守护进程检索信息或者更改其配置而不重新启动该守护进程。有两个 IKE 协议守护进程 \fBin.iked\fR(1M) 和 \fBin.ikev2d\fR(1M),分别支持 Internet 密钥交换协议的版本 1 和 2。 .sp .LP \fBikeadm\fR 实用程序提供了可以替代 \fBike.config\fR(4) 和 \fBikev2.config\fR(4) 中描述的配置文件的配置机制。此外,它还提供了唯一的接口用于收集仅来自运行的守护进程的统计信息和其他信息。 .sp .LP \fBikeadm\fR 支持一系列操作,可对支持的一个或多个对象类型执行这些操作。当在不带任何参数的情况下调用时,\fBikeadm\fR 将进入交互模式,这会在标准输出中输出一个提示,并接受来自标准输入的命令,直到到达文件结尾为止。 .sp .LP 由于 \fBikeadm\fR 处理敏感加密信息,因此您必须是超级用户或者被授予了 "Network IPsec Management"(网络 IPsec 管理)权限配置文件才能使用此命令。此外,某些可用命令还要求在特权模式下运行此守护进程,此模式在启动守护进程时建立。 .sp .LP 有关如何安全地使用此命令的详细信息,请参见\fB\fR“安全性”部分。 .SH 选项 .sp .LP 支持以下选项: .sp .ne 2 .mk .na \fB\fB-n\fR\fR .ad .sp .6 .RS 4n 防止在报告操作时尝试以符号方式输出主机和网络名称。此选项非常有用,例如,当关闭或无法访问所有名称服务器时。 .RE .sp .ne 2 .mk .na \fB\fB-p\fR\fR .ad .sp .6 .RS 4n 偏执。不输出任何加密材料,即使在保存安全关联时。启用此标志时输出 \fBX\fR,而非实际的十六进制数字。 .RE .sp .ne 2 .mk .na \fB\fB-v\fR {\fB1\fR|\fB2\fR} \fR .ad .sp .6 .RS 4n IKE 版本号。如果 \fBin.iked\fR(1M) 或 \fBin.ikev2d\fR(1M) 守护进程中只有一个在运行,此标志是可选的。否则,此标志指定 IKE 守护进程的哪个版本是此操作的目标。 .RE .SH 用法 .SS "命令" .sp .LP 所支持的命令如下: .sp .ne 2 .mk .na \fB\fBadd\fR\fR .ad .sp .6 .RS 4n 添加指定对象。此选项可用于向当前(正在运行的)IKE 配置添加新的策略规则或新的预先共享的密钥。新的预先共享的密钥值仅能由正在运行的 \fBikeadm\fR 以交互方式输入。请参见“安全性”部分。添加的规则或密钥使用相应的 \fIid\fR-\fI值\fR对指定,如\fB\fR“Id 格式”部分中所述。 .RE .sp .ne 2 .mk .na \fB\fBdel\fR\fR .ad .sp .6 .RS 4n 从 IKE 守护进程的当前配置中删除一个或多个特定对象。此操作适用于 \fBIKE\fR(阶段 1)\fBSA\fR、IKEv2 IKE \fBSA\fR、策略规则和预先共享的密钥。按照“Id 格式”\fB\fR中的说明指定要删除的对象。 .RE .sp .ne 2 .mk .na \fB\fBdump\fR\fR .ad .sp .6 .RS 4n 显示 IKE 守护进程已知的指定类型的所有对象。此选项可用于显示所有阶段 1 \fBSA\fR、IKEv2 IKE \fBSA\fR、策略规则、预先共享的密钥、实现的 Diffie-Helman 组、可用于阶段 1 或 IKE SA 的加密和验证算法或证书高速缓存。此命令可能会生成大量输出。 .RE .sp .ne 2 .mk .na \fB\fBflush\fR\fR .ad .sp .6 .RS 4n 从 IKE 守护进程删除所有 \fBIKE\fR(阶段 1)\fBSA\fR、IKEv2 IKE SA 或缓存的证书。 .sp 请注意,刷新 \fBcertcache\fR 还将使用添加或删除的任何新证书更新 IKEv1(负作用)。请注意,IKEv2 没有公开的证书高速缓存。 .RE .sp .ne 2 .mk .na \fB\fBget\fR\fR .ad .sp .6 .RS 4n 查找并显示指定对象。可用于查看当前调试或特权级别、守护进程的全局统计信息和缺省值、特定 \fBIKE\fR(阶段 1)\fBSA\fR、IKEv2 IKE SA、策略规则或预先共享的密钥。后面三种对象类型要求传入标识信息;下面介绍了每种对象类型的相应规范。 .RE .sp .ne 2 .mk .na \fB\fBhelp\fR\fR .ad .sp .6 .RS 4n 列显简要的命令摘要,或者当后跟有命令时,列显有关此命令的信息。 .RE .sp .ne 2 .mk .na \fB\fBread\fR\fR .ad .sp .6 .RS 4n 通过从缺省位置或指定文件读取策略规则或预先共享的密钥,更新当前 IKE 配置。 .RE .sp .ne 2 .mk .na \fB\fBset\fR\fR .ad .sp .6 .RS 4n 调整当前调试或特权级别。如果要修改调试级别,可以选择性地指定输出文件;如果守护进程正在后台运行,并且当前未输出到文件,\fB必须\fR指定输出文件。更改特权级别时,调整只能是降低访问级别;不能使用 \fBikeadm\fR 提高访问级别。请注意特权级别仅适用于 IKEv1。 .RE .sp .ne 2 .mk .na \fB\fBwrite\fR\fR .ad .sp .6 .RS 4n 将当前 IKE/IKEv2 策略规则集或预先共享的密钥集写入到指定文件。必须指定目标文件。此命令不能用于覆盖现有配置文件。 .RE .sp .ne 2 .mk .na \fB\fBtoken\fR\fR .ad .sp .6 .RS 4n 登录 PKCS#11 令牌对象并授予对加密材料的访问,或者注销并使对加密材料的访问无效。 .sp 具有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的普通用户可以运行 \fBtoken\fR。 .RE .SS "对象类型" .sp .ne 2 .mk .na \fBdebug\fR .ad .sp .6 .RS 4n 指定守护进程的调试级别。此选项确定守护进程提供的有关其操作的输出的数量和类型。调试级别实际为位掩码,并且各个位支持不同类型的信息。 .sp .in +2 .nf IKEv1 and IKEv2 Certificate management 0x00000001 cert Key management 0x00000002 key Operational 0x00000004 op Phase 1 SA creation 0x00000008 phase1 Phase 2 SA creation 0x00000010 phase2 PF_KEY interface 0x00000020 pfkey Policy management 0x00000040 policy Proposal construction 0x00000080 prop Door interface 0x00000100 door Config file processing 0x00000200 config Label processing 0x00000400 label IKEv2 only Packet processing 0x00000800 packet Audit interaction 0x00002000 audit Additional Notes 0x00004000 note Threading issues 0x00008000 thread Extra PF_KEY dumps 0x00010000 pfkeymsg Verbose 0x00006204 verbose All debug flags 0x0001ffff all .fi .in -2 .sp 当指定调试级别时,可指定编号(十进制或十六进制)或昵称字符串。例如,\fB88\fR、\fB0x58\fR 和 \fBphase1\fR+\fBphase2\fR+\fBpolicy\fR 均等效,并且将启用调试以便创建 \fBphase 1\fR \fBsa\fR、\fBphase 2 sa\fR 和策略管理。此外,还可以使用昵称字符串删除特定类型的信息;\fBall-op\fR 的作用是启用\fB除\fR操作消息以外的所有调试;它等效于编号 \fB1019\fR 或 \fB0x3fb\fR。 .RE .sp .ne 2 .mk .na \fBpriv\fR .ad .sp .6 .RS 4n 仅限 IKEv1 .sp 指定守护进程的访问特权级别。可能值有: .sp .in +2 .nf Description Level Nickname Base level 0 base Access to preshared key info 1 modkeys Access to keying material 2 keymat .fi .in -2 .sp 缺省情况下,在基本级别启动 \fBin.iked\fR。命令行选项可用于在更高级别启动守护进程。\fBikeadm\fR 可用于降低级别,但不能用于提升级别。 .sp 数字级别或昵称可用于指定目标特权级别。 .sp 有关 \fBconfig/admin_privilege\fR SMF 属性的说明,请参见 \fBin.iked\fR(1M)。此属性允许您建立基线特权级别,\fBikeadm\fR 随后可以修改该级别。 .sp 为了获取、添加、删除、转储、读取或写入预先共享的密钥,特权级别必须至少能够授予对预先共享的密钥信息的访问。但是,当查看预先共享的密钥(使用获取或转储命令)时,仅当特权级别能够授予对加密材料的访问时,才能使用密钥本身。当查看阶段 1 \fBSA\fR 时,也会出现此种情况。 .RE .sp .ne 2 .mk .na \fBstats\fR .ad .sp .6 .RS 4n 守护进程的全局统计信息。 .sp IKEv1 stats 包括成功和失败的阶段 1 SA 创建操作。 .sp 报告的统计信息包括: .RS +4 .TP .ie t \(bu .el o 本地实体启动的当前 P1 \fBSA\fR 的计数 .RE .RS +4 .TP .ie t \(bu .el o 本地实体作为响应器的当前 P1 \fBSA\fR 的计数 .RE .RS +4 .TP .ie t \(bu .el o 本地实体自引导以来启动的所有 P1 \fBSA\fR 的计数。 .RE .RS +4 .TP .ie t \(bu .el o 本地实体自引导以来作为响应器的所有 P1 \fBSA\fR 的计数 .RE .RS +4 .TP .ie t \(bu .el o 自引导以来尝试的所有 \fBP1\fR \fBSA\fR 的计数(其中本地实体是启动器);包括失败的尝试 .RE .RS +4 .TP .ie t \(bu .el o 自引导以来尝试的所有 P1 \fBSA\fR 的计数(其中本地实体是响应器);包括失败的尝试 .RE .RS +4 .TP .ie t \(bu .el o 启动 \fBP1\fR \fBSA\fR 的所有失败尝试的计数,出现失败的原因是因为同级设备未响应 .RE .RS +4 .TP .ie t \(bu .el o 启动 P1 \fBSA\fR 的所有失败尝试的计数,其中统计设备已响应 .RE .RS +4 .TP .ie t \(bu .el o 同级设备作为启动器的所有失败 \fBP1\fR \fBSA\fR 的计数 .RE .RS +4 .TP .ie t \(bu .el o 是否使用了 PKCS#11 库以及装载的 PKCS#11 库(如果适用)。请参见 \fBike.config\fR(4)。 .RE IKEv2 stats 包括成功和失败的 IKE SA 创建操作。 .RS +4 .TP .ie t \(bu .el o 所有成功的 IKEv2 SA 创建操作的计数 .RE .RS +4 .TP .ie t \(bu .el o 所有失败的 IKEv2 SA 创建操作的计数 .RE .RS +4 .TP .ie t \(bu .el o 所有成功的 IKEv2 密钥重设操作的计数 .RE .RS +4 .TP .ie t \(bu .el o 所有失败的 IKEv2 密钥重设操作的计数 .RE .RS +4 .TP .ie t \(bu .el o 所有内存分配故障的计数 .RE .RE .sp .ne 2 .mk .na \fBdefaults\fR .ad .sp .6 .RS 4n 仅限 IKEv1 .sp 显示 \fBin.iked\fR 守护进程使用的缺省值。某些值可在守护进程配置文件中覆盖(请参见 \fBike.config\fR(4));对于这些值,令牌名称显示在 \fBget defaults\fR 输出中。此输出将反映配置令牌已更改缺省值的位置。 .sp 如果同级系统提出有效的备用提案,或者可根据 \fBike.config\fR 中建立的基于规则的值覆盖缺省值,则可以忽略缺省值。此种情况下,\fBget defaults\fR 命令继续显示缺省值,而不是用于覆盖缺省值的值。 .RE .sp .ne 2 .mk .na \fBikesa\fR .ad .sp .6 .RS 4n IKEv2 IKE SA。\fBikesa\fR 对象通过 IP 地址对或本地 SPI 标识;标识格式如下所述。 .RE .sp .ne 2 .mk .na \fBp1\fR .ad .sp .6 .RS 4n \fBIKE\fR 阶段 1 \fBSA\fR。\fBp1\fR 对象通过 \fBIP\fR 地址对或 cookie 对标识;标识格式如下所述。 .RE .sp .ne 2 .mk .na \fBrule\fR .ad .sp .6 .RS 4n \fBIKE\fR 策略规则,定义位于指定的本地标识和远程标识之间的阶段 1 或 IKEv2 IKE SA 的可接受安全特征。规则通过其标签标识;标识格式如下所述。 .RE .sp .ne 2 .mk .na \fBpreshared\fR .ad .sp .6 .RS 4n 预先共享的密钥,包括适用标识符。在 IKEv1 中,\fBpreshared\fR 密钥通过 IP 地址对或标识对进行标识。在 IKEv2 中,\fBpreshared\fR 密钥通过其规则标签进行标识。标识格式如下所述。 .RE .SS "Id 格式" .sp .LP \fBadd\fR、\fBdel\fR 和 \fBget\fR 等命令要求在命令行中指定其他信息。对于删除和获取命令,所有所需操作仅为以最简单的方式标识给定对象;对于添加命令,必须指定完整对象。 .sp .LP 在大多数情况下,使用一对值可以实现最简单的标识。对于 \fBIP\fR 地址,以点记法(适用于 IPv4 地址)、冒号分隔的十六进制格式(适用于 IPv6 地址)或主机名称数据库中存在的主机名的形式先后指定本地地址和远程地址。如果指定扩展为多个地址的主机名,则将多次执行请求的操作(对每个可能的地址组合各执行一次)。 .sp .LP 标识对由后跟有远程类型-值对的本地类型-值对组成。有效类型包括: .sp .ne 2 .mk .na \fBprefix\fR .ad .sp .6 .RS 4n 地址前缀。 .RE .sp .ne 2 .mk .na \fBfqdn\fR .ad .sp .6 .RS 4n 全限定域名。 .RE .sp .ne 2 .mk .na \fBdomain\fR .ad .sp .6 .RS 4n 域名,fqdn 的同义词。 .RE .sp .ne 2 .mk .na \fBuser_fqdn\fR .ad .sp .6 .RS 4n \fIuser\fR@fqdn 格式的用户标识。(仅限 IKEv1) .RE .sp .ne 2 .mk .na \fBmailbox\fR .ad .sp .6 .RS 4n \fBuser_fqdn\fR 的同义词。 .RE .sp .LP 一个 Cookie 对由在创建阶段 1 安全关联 (Security Association, \fBSA\fR) 时为其分配的两个 Cookie 组成;首先是启动器的 Cookie,其次是响应者的 Cookie。Cookie 是一个 64 位数值。 .sp .LP 最后,标签(用于标识策略规则)是在创建规则时分配给规则的字符串。 .sp .LP 为 add 命令格式化规则或预先共享的密钥时应遵循 \fBin.iked\fR 或 \fBin.ikev2d\fR 配置文件的格式规则。两种规则都由一系列包含在花括号(\fB{\fR 和 \fB}\fR)中的 ID-值对组成。对于 IKEv1,有关格式化规则和预先共享的密钥的详细信息,请参见 \fBike.config\fR(4) 和 \fBike.preshared\fR(4)。对于 IKEv2,有关其格式化规则,请参见 \fBikev2.config\fR(4) 和 \fBikev2.preshared\fR(4)。 .SH 安全 .sp .LP 具有 "Network IPsec Management"(网络 IPsec 管理)权限配置文件的授权用户可以使用 \fBikeadm\fR 命令输入密钥加密信息。如果对手获取了对此类信息的访问,则会影响 IPsec 通信的安全。使用 \fBikeadm\fR 命令时,应考虑下列问题。 .RS +4 .TP .ie t \(bu .el o \fBTTY\fR 是否会通过网络(交互模式)? .sp 如果是,加密材料的安全即为此 \fBTTY\fR 的通信的网络路径的安全。使用 \fBikeadm\fR(而非明文 telnet 或 rlogin 会话)具有一定的风险。甚至本地窗口也可能受到读取存在的窗口事件的隐藏程序的攻击。 .RE .RS +4 .TP .ie t \(bu .el o 文件是否能通过网络访问,或者是否可供用户读取(读/写命令)? .sp 挂载在网络中的文件可在读取时被对手发现。包含加密材料的完全公开文件同样存在风险。 .RE .sp .LP 如果您的源地址是可通过网络查找的主机,并且您的命名系统本身已泄密,使用的所有名称都将不再值得信任。 .sp .LP 管理加密材料的命令通常不允许在命令行上指定加密材料。这是因为此加密材料可能最终出现在 shell 历史文件中或者对运行 \fBps\fR(1) 的其他用户可见,因此可能会泄密。 .sp .LP 安全漏洞通常在工具的不当应用中产生,而不存在于工具自身中。建议管理员在使用 \fBikeadm\fR 命令时应小心谨慎。最安全的运行模式可能是在控制台或其他硬连接 \fBTTY\fR 中运行。 .sp .LP 有关此主题的其他信息,请参见 Matt Blaze 在 Bruce Schneier 编著的《\fIApplied Cryptography: Protocols, Algorithms, and Source Code in C.\fR》中撰写的后记。 .SH 示例 .LP \fB示例 1 \fR清空所有阶段 1 或 IKEv2 IKE 安全关联 .sp .LP IKEv1: .sp .LP 下面的命令清空所有阶段 1 安全关联: .sp .in +2 .nf example# \fBikeadm flush p1\fR .fi .in -2 .sp .sp .LP IKEv2: .sp .LP 下面的命令清空所有 IKEv2 IKE 安全关联: .sp .in +2 .nf example# \fBikeadm flush ikesa\fR .fi .in -2 .sp .LP \fB示例 2 \fR显示所有阶段 1 或 IKEv2 IKE 安全关联 .sp .LP IKEv1: .sp .LP 下面的命令显示所有阶段 1 安全关联: .sp .in +2 .nf example# \fBikeadm dump p1\fR .fi .in -2 .sp .sp .LP IKEv2: .sp .LP 下面的命令显示所有 IKEv2 IKE 安全关联: .sp .in +2 .nf example# \fBikeadm dump ikesa\fR .fi .in -2 .sp .LP \fB示例 3 \fR删除特定阶段 1 安全关联 .sp .LP 下面的命令删除指定阶段 1 或 IKEv2 IKE 安全关联: .sp .LP IKEv1: .sp .in +2 .nf example# \fBikeadm del p1 local_ip remote_ip\fR .fi .in -2 .sp .sp .LP IKEv2: .sp .in +2 .nf example# \fBikeadm del ikesa local_ip remote_ip\fR .fi .in -2 .sp .sp .LP \&...或者: .sp .in +2 .nf example# \fBikeadm del ikesa 0x49bf01d5c7585ea8\fR .fi .in -2 .sp .sp .LP 请注意,以上命令中的值 \fB0x49bf01d5c7585ea8\fR,是 \fBikeadm dump ikesa\fR 显示的 IKE SA 的本地 SPI。 .LP \fB示例 4 \fR从文件中添加规则 .sp .LP 下面的命令用于从文件中添加规则: .sp .in +2 .nf example# \fBikeadm add rule rule_file\fR .fi .in -2 .sp .LP \fB示例 5 \fR添加预先共享的密钥 .sp .LP 下面的命令添加预先共享的密钥: .sp .LP IKEv1: .sp .in +2 .nf example# \fBikeadm\fR ikeadm> \fBadd preshared { localidtype ip localid local_ip remoteidtype ip remoteid remote_ip ike_mode main key 1234567890abcdef1234567890abcdef }\fR .fi .in -2 .sp .sp .LP IKEv2: .sp .in +2 .nf example# \fBikeadm\fR ikeadm> \fBadd preshared { label "existing rule label" key 0x4b6562652e0a }\fR .fi .in -2 .sp .LP \fB示例 6 \fR将所有预先共享的密钥保存到文件 .sp .LP 下面的命令将所有预先共享的密钥保存到文件: .sp .in +2 .nf example# \fBikeadm write preshared target_file\fR .fi .in -2 .sp .LP \fB示例 7 \fR查看特定规则 .sp .LP 下面的命令用于查看特定规则: .sp .in +2 .nf example# \fBikeadm get rule rule_label\fR .fi .in -2 .sp .LP \fB示例 8 \fR从 \fBike.config\fR 读入新规则 .sp .LP 下面的命令从 ike.config 文件读入新规则: .sp .in +2 .nf example# \fBikeadm read rules\fR .fi .in -2 .sp .LP \fB示例 9 \fR降低特权级别 .sp .LP 下面的命令降低 IKEv1 的特权级别: .sp .in +2 .nf example# \fBikeadm set priv base\fR .fi .in -2 .sp .LP \fB示例 10 \fR查看调试级别 .sp .LP 下面的命令显示当前调试级别: .sp .in +2 .nf example# \fBikeadm get debug\fR .fi .in -2 .sp .LP \fB示例 11 \fR使用 stats 检验 IKEv1 中的硬件加速器 .sp .LP 下面的示例显示统计信息如何在末尾包含可选行,以便指示 IKE 是否使用 PKCS#11 库来加快公钥操作的速度(如果适用)。 .sp .in +2 .nf example# \fBikeadm get stats\fR Phase 1 SA counts: Current: initiator: 0 responder: 0 Total: initiator: 21 responder: 27 Attempted:initiator: 21 responder: 27 Failed: initiator: 0 responder: 0 initiator fails include 0 time-out(s) PKCS#11 library linked in from /opt/system/core-osonn/lib/libpkcs11.so example# .fi .in -2 .sp .LP \fB示例 12 \fR显示 IKEv1 中的证书高速缓存 .sp .LP 下面的命令显示证书高速缓存以及关联私钥的状态(如果适用): .sp .in +2 .nf example# \fBikeadm dump certcache\fR .fi .in -2 .sp .LP \fB示例 13 \fR登录 PKCS#11 令牌 .sp .LP 下面的命令显示如何登录 PKCS#11 令牌对象以及如何解除锁定私钥: .sp .in +2 .nf example# \fBikeadm token login "Sun Metaslot"\fR Enter PIN for PKCS#11 token: ikeadm: PKCS#11 operation successful .fi .in -2 .sp .SH 退出状态 .sp .LP 将返回以下退出值: .sp .ne 2 .mk .na \fB\fB0\fR\fR .ad .RS 13n .rt 成功完成。 .RE .sp .ne 2 .mk .na \fB\fB非零值\fR\fR .ad .RS 13n .rt 出现错误。在标准错误中写入相应错误消息。 .RE .SH 属性 .sp .LP 有关下列属性的说明,请参见 \fBattributes\fR(5): .sp .sp .TS tab() box; cw(2.75i) |cw(2.75i) lw(2.75i) |lw(2.75i) . 属性类型属性值 _ 可用性network/ike _ 接口稳定性Committed(已确定) .TE .SH 另请参见 .sp .LP \fBps\fR(1)、\fBin.iked\fR(1M)、\fBin.ikev2d\fR(1M)、\fBike.config\fR(4)、\fBikev2.config\fR(4)、\fBike.preshared\fR(4)、\fBikev2.preshared\fR(4)、\fBattributes\fR(5)、\fBipsec\fR(7P) .sp .LP Bruce Schneier 编著的《\fIApplied Cryptography: Protocols, Algorithms, and Source Code in C\fR》第 2 版,John Wiley & Sons 出版,纽约,1996 年。 .SH 附注 .sp .LP 由于 \fBin.iked\fR 和 \fBin.ikev2d\fR 只能在全局区域和独占 IP 区域中运行,因此该命令在共享 IP 区域中不起作用。