IPSEC_AUTO
NAME
ipsec_auto - 控制IPsec连接
SYNOPSIS
ipsec auto [--show] [--showonly] [--asynchronous]
[--config configfile] [--verbose] operation connection
EXAMPLES
ipsec auto { --add | --delete | --replace | --up | --down } connection
ipsec auto { --status | --ready } connection
ipsec auto { --route | --unroute } connection
ipsec auto [--utc] [--listall | --rereadall] [--rereadsecrets] [--listcerts] [--listpubkeys] [--checkpubkeys] [--listcacerts | --rereadcacerts] [--listcrls | --rereadcrls]
[[--listocspcerts | --rereadocspcerts ] [--listocsp | --purgeocsp ]] [--listacerts | --rereadacerts] [--listaacerts | --rereadaacerts] [--listgroups | --rereadgroups]
DESCRIPTION
Auto
--add 增加一个连接信息到pluto内部数据库;如果pluto已存在同名则失败。
--delete 从pluto数据库中删除一个连接信息(同时拆除由这条信息建立起来的隧道);如果不存在则失败。
--replace 相当于先 --delete 再进行 --add 操作,用于替换pluto中的连接信息。当策略组文件发生变化时要进行
--rereadgroups操作。
--up 操作通知pluto根据内部数据库信息进行隧道连接建立。
--down 通知pluto拆除隧道连接。
通常情况下,pluto进行
--up 操作建立隧道连接同时也会建立一条路由。然而,路由的建立只能由
--route 实现。???
通常情况下,pluto进行
--down 操作后,路由还会存在,使用
--unroute 操作可以删除 (
--delete 也会隐藏删除)
--ready 通知pluto监听对端的连接请求。 在
--ready 前执行
--up 不能正常工作。
--status 通知pluto输出当前连接状态
--rereadsecrets 通知pluto重新加载
/etc/ipsec.secrets 文件。通常是在
--ready 时加载的
--rereadcacerts 把
/etc/ipsec.d/cacerts/ 目录中的证书文件加载到pluto CA证书列表中
--rereadaacerts 把
/etc/ipsec.d/aacerts/ 目录中的证书文件加载到pluto权威授权证书(AA)列表中
--rereadocspcerts 把
/etc/ipsec.d/ocspcerts/ 目录中的证书文件加载到pluto OCSP证书列表中
--rereadacerts 把
/etc/ipsec.d/acerts/ 目录中的证书文件加载到pluto的属性证书列表中
--rereadcrls 把
/etc/ipsec.d/clrs/ 目录中的CRL证书加载到pluto CRL证书列表中
--rereadall 相当于加载上面所有以
--reread* 开头的内容
--listpubkeys 列出IKE协商中从对端接收到的RSA公钥和本地在
ipsec.conf 中配置的RSA公钥
--listcerts 列出本地在所有证书信息
--checkpubkeys 列出过期的X509证书
--listcacerts 列出本地
/etc/ipsec.d/cacerts/ 目录中的CA证书,或IKE协商中接收到的PKCS#7封装的CA证书
--listaacerts 列出本地
/etc/ipsec.d/aacerts/ 目录中的AA证书
--listocspcerts 列出本地
/etc/ipsec.d/ocspcerts/ 目录中的OCSP证书,或从OCSP服务器中接收到的证书
--listacerts 列出本
/etc/ipsec.d/acerts/ 目录顺的属性证书
--listgroups 列出在
ipsec.conf 中定义的所有连接组,或者在X509属性证书中的组
--listcainfos 列出
ipsec.conf 中CA证书信息
--listcrls 列出本地
/etc/ipsec.d/crls/ 目录中的CRL证书,或从HTTP/LDAP服务器上动态获取的CRL证书
--listocsp 列出从OCSP服务器获取的证书状态
--purgeocsp 清除证书cache信息
--listall 列出所有信息
--showonly 显示运行命令,但不执行
--asynchronous
--verbose 输出详细信息
ipsec_whack(8)
--config 指定IPsec配置文件(缺省
/etc/ipsec.conf)
FILES
/etc/ipsec.conf 缺省IPSEC配置文件
/etc/ipsec.d/ X509和机会加密(OE)文件
/var/run/pluto/ipsec.info
%defaultroute 信息
/var/run/pluto/pluto.ctl Pluto命令socket