Arquivo da categoria ‘Parte 11’

Pagina 461 – 505

Publicado: 13 de outubro de 2009 por tshingo em Parte 11

show global

Exibe os parâmetros globais de configuração.

Sintaxe

show global [[store=]{active | persistent}]

Parâmetros

[[ store=]{active | persistent}]

Especifica se serão exibidas informações ativas (active) ou persistentes (persistent). A seleção padrão é active.

show interface

Exibe informações sobre todas as interfaces, ou sobre uma determinada interface.

Sintaxe

show interface [[interface=]Seqüência_de_Caracteres] [[level=]{normal | verbose}] [[store=]{active | persistent}]

Parâmetros

[[ interface=] Seqüência_de_Caracteres]

Especifica um nome de interface ou índice.

[[ level=]{normal | verbose}]

Especifica se será exibida uma linha por interface (normal) ou se serão exibidas informações adicionais para cada interface (verbose). Quando não for especificada nenhuma interface, a seleção padrão será normal. Quando for especificada uma interface, a seleção padrão será verbose.

[[ store=]{active | persistent}]

Especifica se serão exibidas interfaces ativas (active) ou persistentes (persistent). A seleção padrão é active.

show joins

Exibe todos os endereços multicast IPv6 ou todos os endereços multicast de uma determinada interface.

Sintaxe

show joins [[interface=]Seqüência_de_Caracteres] [[level=]{normal | verbose}]

Parâmetros

[[ interface=] Seqüência_de_Caracteres]

Especifica um nome de interface ou índice.

[[ level=]{normal | verbose}]

Especifica se será exibida uma linha por interface (normal) ou se serão exibidas informações adicionais para cada interface (verbose). Quando não for especificada nenhuma interface, a seleção padrão será normal. Quando for especificada uma interface, a seleção padrão será verbose.

show mobility

Exibe os parâmetros de configuração de mobilidade.

Sintaxe

show mobility [[store=]{active | persistent}]

Parâmetros

[[ store=]{active | persistent}]

Especifica se serão exibidas informações ativas (active) ou persistentes (persistent). A seleção padrão é active.

show neighbors

Exibe entradas do cache vizinho. Se for especificada uma interface, exibirá apenas o cache dessa interface. Se também for especificado um endereço, exibirá apenas a entrada do cache vizinho.

Sintaxe

show neighbors [[interface=]Seqüência_de_Caracteres] [[address=]Endereço_IPv6]

Parâmetros

[[ interface=] Seqüência_de_Caracteres]

Especifica um nome de interface ou índice.

[[ address=] Endereço_IPv6]

Especifica o endereço do vizinho.

show prefixpolicy

Exibe as entradas da tabela de diretivas de prefixo usadas na seleção de endereços de origem e de destino.

Sintaxe

show prefixpolicy [[store=]{active | persistent}]

Parâmetros

[[ store=]{active | persistent}]

Especifica se serão exibidas informações ativas (active) ou persistentes (persistent). A seleção padrão é active.

show privacy

Exibe os parâmetros de configuração de privacidade.

Sintaxe

show privacy [[store=]{active | persistent}]

Parâmetros

[[ store=]{active | persistent}]

Especifica se serão exibidas informações ativas (active) ou persistentes (persistent). A seleção padrão é active.

show routes

Exibe as entradas da tabela de rotas.

Sintaxe

show routes [[level=]{normal | verbose}] [[store=]{active | persistent}]

Parâmetros

[[ level=]{normal | verbose}]

Especifica se serão exibidas apenas as rotas normais (normal) ou as rotas usadas para auto-retorno (verbose). A seleção padrão é normal.

[[ store=]{active | persistent}]

Especifica se serão exibidas rotas ativas (active) ou persistentes (persistent). A seleção padrão é active.

show siteprefixes

Exibe a tabela de prefixos de sites.

Sintaxe

show siteprefixes

desinstalar

Desinstala o IPv6.

Sintaxe

desinstalar

Netsh interface IPv6 6to4

Você pode usar os comandos a seguir no contexto netsh interface IPv6 6to4 para exibir a configuração ou configurar o serviço 6to4 em um host 6to4 ou em um roteador 6to4. Para obter mais informações sobre como usar o serviço 6to4, consulte Tráfego IPv6 entre nós em vários sites da Internet (6to4).

Para obter mais informações sobre o Netsh, consulte Visão geral sobre o netsh.

set interface

Configura o serviço 6to4 em uma interface.

Sintaxe

set interface [name=] Nome_da_Interface [[routing=] {enabled | disabled | default}]

Parâmetros

[ name=] Nome_da_Interface

Obrigatório. Especifica o nome da interface cuja configuração de serviço 6to4 você deseja definir. Nome_da_Interface deve corresponder ao nome da interface especificado em Conexões de Rede. Se Nome_da_Interface contiver algum espaço, ele deverá ficar entre aspas.

[[ routing=] {enabled | disabled | default}]

Especifica se o encaminhamento de pacotes 6to4 recebidos na interface será habilitado, desabilitado ou definido com o valor padrão.

Comentários

  • Este comando habilita, desabilita ou define com o valor padrão o comportamento de roteamento do serviço 6to4 em uma interface especificada.

A configuração padrão do parâmetro routing= é enabled, que habilita o roteamento em interfaces particulares se o compartilhamento de conexão com a Internet (ICS) for usado.

Observação

  • O Compartilhamento de Conexão com a Internet e a Ponte de Rede não estão incluídos no Windows Server 2003, Web Edition, no Windows Server 2003, Datacenter Edition e nas versões baseadas em Itanium da versão original dos sistemas operacionais Windows Server 2003.

show interface

Exibe a configuração de roteamento do serviço 6to4 em todas as interfaces ou em uma interface especificada.

Sintaxe

show interface [[name=] Nome_da_Interface]

Parâmetros

[[ name=] Nome_da_Interface]

Especifica o nome da interface cuja configuração de serviço 6to4 você deseja exibir. Nome_da_Interface deve corresponder ao nome da interface especificado em Conexões de Rede. Se Nome_da_Interface contiver algum espaço, ele deverá ficar entre aspas.

Comentários

  • Se um nome de interface não for especificado, as configurações 6to4 de todas as interfaces serão exibidas.

set relay

Configura o nome do roteador de retransmissão 6to4 do serviço 6to4. Além disso, especifica com que freqüência o nome será resolvido e o estado do componente de retransmissão do serviço 6to4.

Sintaxe

set relay [[name=] {Nome_DNS_de_Retransmissão | default}] [[state=] {enabled | disabled | automatic | default}] [[interval=] {Intervalo_de_Resolução | default}]

Parâmetros

[[ name=] { Nome_DNS_de_Retransmissão| default}]

Especifica o nome de domínio totalmente qualificado (FQDN) de um roteador de retransmissão 6to4 na Internet IPv4 (Nome_DNS_de_Retransmissão) ou define o nome de retransmissão para o valor padrão 6to4.ipv6.microsoft.com (default).

[[ state=] {enabled | disabled | automatic | default}]

Especifica se o estado do componente de retransmissão do serviço 6to4 será habilitado, desabilitado ou habilitado automaticamente quando um endereço IPv4 público for configurado ou definido com o valor padrão.

[[ interval=] { Intervalo_de_Resolução| default}]

Especifica, em minutos, com que freqüência o nome do roteador de retransmissão será resolvido (Intervalo_de_Resolução) ou define o intervalo de resolução com o valor padrão de 1440 minutos (default).

Comentários

  • O roteador de retransmissão 6to4 fornece um ponto de acesso entre a Internet IPv4 e o 6bone (a parte IPv6 nativa da Internet). Para acessar os recursos 6bone em um roteador 6to4, esse roteador encapsula o tráfego 6to4 com um cabeçalho IPv4 e o envia ao endereço IPv4 do roteador de retransmissão 6to4. O roteador de retransmissão 6to4 remove o cabeçalho IPv4 e encaminha o tráfego ao 6bone. Para fazer o tráfego de retorno, o roteador de retransmissão 6to4 encapsula o tráfego IPv6 e o envia ao roteador 6to4 no site do host 6to4.
  • O nome padrão do roteador de retransmissão 6to4 é 6to4.ipv6.microsoft.com.
  • O estado padrão é automatic, que habilita o encaminhamento do tráfego IPv6 nativo para um roteador de retransmissão quando um endereço IPv4 público é atribuído a qualquer interface.
  • O intervalo de resolução padrão é 1440 minutos (por dia).

show relay

Exibe a configuração do roteador de retransmissão para o serviço 6to4.

Sintaxe

show relay

set routing

Define o estado do roteamento e a inclusão dos prefixos de endereço de site local nos anúncios de roteador enviados pelo roteador 6to4.

Sintaxe

set routing [[routing=] {enabled | disabled | automatic | default}] [[sitelocals=] {enabled | disabled | default}]

Parâmetros

[[ routing=] {enabled | disabled | automatic | default}]

Especifica se o estado do roteamento em um roteador 6to4 será habilitado, desabilitado ou habilitado automaticamente quando o compartilhamento de conexão com a Internet (ICS) for habilitado ou definido com o valor padrão.

[[ sitelocals=] {enabled | disabled | default}]

Especifica se o anúncio dos prefixos de endereço de site local e dos prefixos de endereço 6to4 será habilitado, desabilitado ou definido com o valor padrão.

Comentários

  • A configuração padrão do parâmetro routing= é automatic, que habilita o roteamento em interfaces particulares quando o ICS é usado.
  • A configuração padrão do parâmetro sitelocals= é enabled, que habilita o anúncio dos prefixos de sites locais quando os endereços de sites locais são configurados em interfaces particulares.

Observação

  • O Compartilhamento de Conexão com a Internet e a Ponte de Rede não estão incluídos no Windows Server 2003, Web Edition, no Windows Server 2003, Datacenter Edition e nas versões baseadas em Itanium da versão original dos sistemas operacionais Windows Server 2003.

show routing

Exibe a configuração de roteamento do serviço 6to4.

Sintaxe

show routing

set state

Configura o estado do serviço 6to4.

Sintaxe

set state [[state=] {enabled | disabled | default}] [[undoonstop=] {enabled | disabled | default}] [[6over4=] {enabled | disabled | default}]

Parâmetros

[[ state=] {enabled | disabled | default}]

Especifica se o estado do serviço 6to4 será habilitado, desabilitado ou definido com o valor padrão.

[[ undoonstop=] {enabled | disabled | default}]

Especifica se a reversão de todas as configurações automáticas executadas pelo serviço 6to4 ocorrerá quando a interrupção do serviço estiver habilitada, desabilitada ou definida com o valor padrão.

Comentários

  • A configuração padrão do parâmetro state= é enabled, que habilita o serviço 6to4.
  • A configuração padrão do parâmetro undoonstop= é enabled, que reverte todas as configurações automáticas executadas pelo serviço 6to4 quando este é interrompido.

show state

Exibe o estado do serviço 6to4.

Sintaxe

show state

redefinir

Redefine o serviço 6to4.

Sintaxe

redefinir

Netsh interface ipv6 isatap

O protocolo ISATAP (protocolo de endereçamento de encapsulamento automático intrasite) é um mecanismo de atribuição de endereço e encapsulamento para comunicação entre nós IPv6/IPv4 em um site IPv4. Ele está descrito no documento provisório intitulado “Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)” (draft-ietf-ngtrans-isatap-00.txt). Você pode usar os comandos a seguir para configurar o roteamento ISATAP.

set router

Especifica as informações de roteamento do protocolo ISATAP, incluindo o nome do roteador, estado e intervalo de resolução.

Sintaxe

set router [[name=]{Seqüência_de_Caracteres | default}] [[state=]{Enabled | Disabled | Default}] [[interval]=Inteiro]

Parâmetros

[[ name=]{ Seqüência_de_Caracteres| default}]

Especifica se uma seqüência de caracteres nomeará o roteador. Se default for especificado, o sistema usará o nome padrão.

[[ state=]{Enabled | Disabled | Default}]

Especifica se o roteamento ISATAP retransmitirá pacotes entre as sub-redes.

[[ interval]=Inteiro]

Especifica o intervalo de resolução do roteador, em minutos. O intervalo padrão é 1440 (24 horas).

Exemplos

O exemplo de comando a seguir define o nome do roteador como isatap, habilita o roteador e define o intervalo de resolução como 120 minutos:

set router isatap enabled 120

show router

Exibe informações de configuração sobre o roteamento ISATAP.

Sintaxe

show router

Comentários

Esse comando exibe o nome do roteador, o estado de retransmissão e o intervalo de resolução.

***

Comandos netsh para Interface Portproxy

Os comandos Netsh Interface Portproxy oferecem uma ferramenta de linha de comando para ser usada na administração de servidores que funcionam como proxies entre aplicativos e redes IPv4 e IPv6. Você pode usar esses comandos para estabelecer um serviço de proxy das seguintes maneiras:

  • Mensagens de aplicativos e de computadores configurados pelo IPv4 enviadas a outros aplicativos e computadores configurados pelo IPv4.
  • Mensagens de aplicativos e de computadores configurados pelo IPv4 enviadas a aplicativos e computadores configurados pelo IPv6.
  • Mensagens de aplicativos e de computadores configurados pelo IPv4 enviadas a aplicativos e computadores configurados pelo IPv4.
  • Mensagens de aplicativos e de computadores configurados pelo IPv6 enviadas a outros aplicativos e computadores configurados pelo IPv6.

Ao gravar arquivos em lotes ou scripts usando esses comandos, cada comando deve ser precedido por netsh interface portproxy. Por exemplo, ao usar o comando delete v4tov6 para especificar que o servidor portproxy exclua uma porta IPv4 e um endereço da lista de endereços IPv4 escutados pelo servidor, o arquivo em lotes ou script deve usar esta sintaxe:

netsh interface portproxy delete v4tov6listenport= {Inteiro | Nome_do_Serviço} [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Você pode executar esses comandos no prompt de comando da família Windows Server 2003 ou no do contexto Netsh interface portproxy. Para que esses comandos funcionem no prompt de comando da família Windows Server 2003, você deve digitar netsh interface portproxy antes de digitar os comandos e parâmetros como são exibidos na sintaxe abaixo. É possível que existam diferenças funcionais entre os comandos de contexto Netsh no Windows 2000 e a família de produtos Windows Server 2003.

Para obter mais informações sobre o netsh, consulte Visão geral sobre o netsh e Inserir um contexto netsh.

Para exibir a sintaxe do comando, clique em um comando:

add v4tov4

Especifica que o servidor portproxy escuta as mensagens enviadas a uma porta e um endereço IPv4 determinados, e mapeia uma porta e um endereço IPv4 a que serão enviadas as mensagens recebidas após estabelecer uma conexão TCP separada.

Sintaxe

add v4tov4listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv4 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_serviço}] [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para escuta.

connectaddress

Especifica o endereço IPv4 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv4 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

add v4tov6

Especifica que o servidor portproxy escuta as mensagens enviadas a uma porta e um endereço IPv4 determinados, e mapeia uma porta e um endereço IPv6 a que serão enviadas as mensagens recebidas após estabelecer uma conexão TCP separada.

Sintaxe

add v4tov6listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv6 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para escuta.

connectaddress

Especifica o endereço IPv6 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv4 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

add v6tov4

Especifica que o servidor portproxy escuta as mensagens enviadas a uma porta e um endereço IPv6 determinados, e mapeia uma porta e um endereço IPv4 a que serão enviadas as mensagens recebidas após estabelecer uma conexão TCP separada.

Sintaxe

add v6tov4listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv4 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para escuta.

connectaddress

Especifica o endereço IPv4 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv6 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

add v6tov6

Especifica que o servidor portproxy escuta as mensagens enviadas a uma porta e um endereço IPv6 determinados, e mapeia uma porta e um endereço IPv6 a que serão enviadas as mensagens recebidas após estabelecer uma conexão TCP separada.

Sintaxe

add v6tov6listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv6 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para escuta.

connectaddress

Especifica o endereço IPv6 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv6 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

delete v4tov4

Especifica que o servidor portproxy excluirá um endereço IPv4 da lista de portas e endereços IPv4 escutados pelo servidor.

Sintaxe

delete v4tov4listenport= {Inteiro | Nome_do_Serviço} [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica a porta IPv4 a ser excluída.

listenaddress

Especifica o endereço IPv4 a ser excluído. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

delete v4tov6

Especifica que o servidor portproxy excluirá um endereço e uma porta IPv4 da lista de endereços IPv4 escutados pelo servidor.

Sintaxe

delete v4tov6listenport= {Inteiro | Nome_do_Serviço} [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica a porta IPv4 a ser excluída.

listenaddress

Especifica o endereço IPv4 a ser excluído. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

delete v6tov4

Especifica que o servidor portproxy excluirá um endereço e uma porta IPv6 da lista de endereços IPv6 escutados pelo servidor.

Sintaxe

delete v6tov4listenport= {Inteiro | Nome_do_Serviço} [[listenaddress=] {Endereço_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica a porta IPv6 a ser excluída.

listenaddress

Especifica o endereço IPv6 a ser excluído. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

delete v6tov6

Especifica que o servidor portproxy excluirá um endereço IPv6 da lista de endereços IPv6 escutados pelo servidor.

Sintaxe

delete v6tov6listenport= {Inteiro | Nome_do_Serviço} [[listenaddress=] {Endereço_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica a porta IPv6 a ser excluída.

listenaddress

Especifica o endereço IPv6 a ser excluído. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

redefinir

Redefine o estado de configuração do IPv6.

Sintaxe

redefinir

set v4tov4

Modifica os valores dos parâmetros de uma entrada existente no servidor portproxy criada com o comando add v4tov4, ou adiciona uma nova entrada à lista que mapeia os pares porta/endereço.

Sintaxe

set v4tov4listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv4 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para escuta.

connectaddress

Especifica o endereço IPv4 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv4 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

Comentários

  • É possível alterar quaisquer valores de parâmetro referentes a uma entrada de servidor portproxy existente. Se não forem fornecidos valores, nenhuma alteração será feita.

set v4tov6

Modifica os valores dos parâmetros de uma entrada existente no servidor portproxy criada com o comando add v4tov6, ou adiciona uma nova entrada à lista que mapeia os pares porta/endereço.

Sintaxe

set v4tov6listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv6 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv4| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para escuta.

connectaddress

Especifica o endereço IPv6 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv4 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

Comentários

  • É possível alterar quaisquer valores de parâmetro referentes a uma entrada de servidor portproxy existente. Se não forem fornecidos valores, nenhuma alteração será feita.

set v6tov4

Modifica os valores dos parâmetros de uma entrada existente no servidor portproxy criada com o comando add v6tov4, ou adiciona uma nova entrada à lista que mapeia os pares porta/endereço.

Sintaxe

set v6tov4listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv4 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereço_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para escuta.

connectaddress

Especifica o endereço IPv4 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv4 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv6 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

Comentários

  • É possível alterar quaisquer valores de parâmetro referentes a uma entrada de servidor portproxy existente. Se não forem fornecidos valores, nenhuma alteração será feita.

set v6tov6

Modifica os valores dos parâmetros de uma entrada existente no servidor portproxy criada com o comando add v6tov6, ou adiciona uma nova entrada à lista que mapeia os pares porta/endereço.

Sintaxe

set v6tov6listenport= {Inteiro | Nome_do_Serviço} [[connectaddress=] {Endereço_IPv6 | Nome_do_Host}] [[connectport=] {Inteiro | Nome_do_Serviço}] [[listenaddress=] {Endereçi_IPv6| Nome_do_Host}] [[protocol=]tcp]

Parâmetros

listenport

Necessário. Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para escuta.

connectaddress

Especifica o endereço IPv6 para conexão. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado nenhum endereço, o padrão será o computador local.

connectport

Especifica, pelo número da porta ou nome do serviço, a porta IPv6 para conexão. Se connectport não for especificado, o padrão será o valor de listenport no computador local.

listenaddress

Especifica o endereço IPv6 para escuta. Os valores aceitáveis são o endereço IP, o nome NetBIOS do computador ou o nome DNS do computador. Se não for especificado um endereço, o padrão será o computador local.

protocolo

Especifica o protocolo a ser usado. No momento, há suporte somente para o protocolo TCP.

/?

Exibe ajuda no prompt de comando.

Comentários

  • É possível alterar quaisquer valores de parâmetro referentes a uma entrada de servidor portproxy existente. Se não forem fornecidos valores, nenhuma alteração será feita.

show all

Exibe todos os parâmetros de portproxy, incluindo pares porta/endereço de v4tov4, v4tov6, v6tov4 e v6tov6.

Sintaxe

show all

show v4tov4

Exibe os parâmetros de portproxy para v4tov4.

Sintaxe

show v4tov4

show v4tov6

Exibe os parâmetros de portproxy para v4tov6.

Sintaxe

show v4tov6

show v6tov4

Exibe os parâmetros de portproxy para v6tov4.

Sintaxe

show v6tov4

show v6tov6

Exibe os parâmetros de portproxy para v6tov6.

Sintaxe

show v6tov6

***

Comandos netsh para segurança IP

Comandos Netsh do IPSec

Os comandos Netsh do IPSec fornecem uma alternativa totalmente equivalente ao gerenciamento baseado em console e recursos de diagnóstico fornecidos pelos snap-ins <b>Gerenciamento de diretivas de segurança IP</b> e <b>Monitor de segurança IP</b> disponíveis no Console de gerenciamento Microsoft (MMC). Usando comandos Netsh no IPSec você pode configurar e exibir configurações de modo principal do IPSec dinâmico, configurações de modo rápido, regras e parâmetros de configuração.

Administrar o IPSec da linha de comando é especialmente útil quando você desejar:

  • Criar um script de configuração do IPSec.
  • Estender a segurança e a gerenciabilidade do IPSec configurando os seguintes recursos, que não estão disponíveis no snap-in <b>Gerenciamento de diretivas de segurança IP</b>: Diagnósticos de IPSec, isolamentos de tráfego padrão, verificação em alto grau da lista de certificados revogados (CRL), log de IKE (Oakley), intervalos de log, segurança de inicialização de computador e isolamentos de tráfego de inicialização de computador.

Você pode executar esses comandos no prompt de comando da família Windows Server 2003 ou no prompt de comando do contexto netsh ipsec. Para que esses comandos funcionem no prompt de comando da família Windows Server™ 2003, você deve digitar netsh ipsec antes de digitar os comandos e parâmetros como são exibidos na sintaxe abaixo.

Comandos de modo estático netsh ipsec

Você pode usar os comandos netsh ipsec static para executar as mesmas tarefas de gerenciamento e de monitoramento que você executa usando os consoles Gerenciamento de Diretivas de Segurança IP e Monitor de Segurança IP. Usando esses comandos, você pode criar, modificar e atribuir diretivas IPSec sem afetar imediatamente a configuração da diretiva IPSec ativa.

Comandos netsh ipsec de modo dinâmico

Você pode usar os comandos netsh ipsec dynamic para exibir o estado do IPSec ativo e para atingir imediatamente a configuração da diretiva IPsec ativa. Esses comandos configuram diretamente o banco de dados de diretiva de segurança (SPD). As alterações feitas em uma diretiva IPSec enquanto estiver usando esses comandos são válidas somente enquanto o serviço IPSec estiver sendo executado. Se o serviço IPSec for interrompido, as configurações de diretiva dinâmica são descartadas. Apesar de a maioria desses comandos ser aplicada imediatamente, vários comandos de configuração ainda requerem que você reinicie o serviço IPSec ou o computador para que sejam aplicados. Para obter mais informações sobre esses comandos, consulte as descrições de sintaxe dos comandos netsh ipsec dynamic set config.

Cuidado

  • Como o Agente de Diretivas IPSec não interpreta os comandos netsh ipsec dynamic, você deve conhecer as diretivas IKE de modo principal e de modo rápido para usá-los de forma eficaz. Cuidado ao usar esses comandos, pois é possível criar configurações de diretiva IPSec inválidas sem aviso.

Observações

  • Os comandos Netsh do IPSec podem ser usados somente para configurar diretivas IPSec em computadores que executam membros da família Windows Server™ 2003.
    Para usar a linha de comando para configurar as diretivas IPSec em computadores que executam Windows XP, use o Ipseccmd.exe, que é fornecido no CD do Windows XP, na pasta \Support\Tools. Para usar a linha de comando para configurar as diretivas IPSec em computadores que executam o Windows 2000, use o Ipseccmd.exe, que é fornecido com o Windows 2000 Server Resource Kit.
  • Para obter mais informações sobre o netsh, consulte Visão geral sobre o netsh e Inserir um contexto netsh.
  • Para obter mais informações sobre os comandos Netsh, consulte O utilitário de linha de comando Netsh.

Netsh ipsec

Os comandos a seguir estão disponíveis no prompt ipsec>, com raiz no ambiente netsh.

Observação

  • Apesar de o comando dump estar disponível no prompt ipsec, ele não é funcional.

Para exibir a sintaxe, clique em um comando:

estático

Vai para o contexto estático

Sintaxe

estático

Parâmetros

nenhum

dinâmico

Vai para o contexto dinâmico.

Sintaxe

dinâmico

Parâmetros

nenhum

Netsh ipsec static

Os comandos a seguir estão disponíveis no prompt ipsec static>, com raiz no ambiente netsh.

Para exibir a sintaxe, clique em um comando:

add filter

Adiciona um filtro à lista de filtros especificados.

Sintaxe

add filter filterlist=srcaddr=dstaddr= [description=][protocol=][mirrored=] [srcmask=][dstmask=][srcport=] [dstport=]

Parâmetros

filterlist=Seqüência

Necessário. Especifica o nome da lista de filtros à qual o filtro é adicionado. Cada filtro define um conjunto específico de tráfego de rede de entrada ou saída que deve ser protegido.

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ description=Seqüência]

Fornece informações sobre o filtro IP.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além das informações sobre endereçamento, você desejar filtrar um protocolo IP específico. O valor padrão é ANY, indicando que todos os protocolos serão usados para o filtro.

[ mirrored={yes | no}]

Especifica se um filtro espelhado deve ou não ser criado. Use yes para criar dois filtros com base nas configurações de filtro — um para o tráfego para o destino e outro para o tráfego proveniente do destino. O valor padrão é yes.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask={Máscara | Prefixo}

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes a serem filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ srcport=Porta]

Especifica o número da porta de origem dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados de qualquer porta. O padrão é any.

[ dstport=Porta]

Especifica o número da porta de destino dos pacotes a serem filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Se for especificado 0, serão filtrados os pacotes enviados para qualquer porta. O padrão é any.

Comentários

  • Se a lista de filtros não existir, ela será criada.
  • Não crie uma lista de filtros com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).
  • Para filtrar quaisquer pacotes enviados de ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.
  • Para filtrar os pacotes enviados de ou para qualquer computador, você poderá usar srcaddr=Any ou dstaddr=Any.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add filteraction

Cria uma ação de filtro com os métodos de segurança de modo rápido especificados.

Sintaxe

add filteractionname= [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da ação de filtro a ser criada.

[ description=Seqüência]

Fornece informações sobre a ação de filtro.

[ qmpfs={yes | no}]

Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária. O valor padrão é no.

[ inpass={yes | no}]

Especifica se deve ser permitido que um pacote de entrada que corresponda à lista de filtros configurados fique sem proteção, mas exija comunicação protegida por IPSec durante a resposta. O valor padrão é no.

[ soft={yes | no}]

Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec. O valor padrão é no.

[ action={permit | block | negotiate}]

Especifica se deve ser permitido o tráfego sem negociar a segurança IP. Se permit for especificado, o tráfego será transmitido ou recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada com a lista especificada de métodos de segurança. O valor padrão é negotiate.

[ qmsecmethods=”Neg1Neg2“]

Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato: {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] Onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg

Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1.

k

Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s

Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários

  • Não crie uma ação de filtro com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as ações de filtro IPSec (por exemplo, delete filteraction all).
  • Se action=permit ou action=block for especificado, e os parâmetros qmsecmethods forem especificados, os parâmetros qmsecmethods não serão usados. Além disso, se qmpfs=yes, inpass=yes ou soft=yes for especificado, esses parâmetros também não serão usados.
  • A regeneração da chave da sessão terá início com base em qualquer intervalo, seja em segundos ou quilobytes, que for atingido primeiro. Se você não configurar novos intervalos, serão usados os intervalos padrão.
  • Se você não especificar qmsecmethods= (métodos de segurança de modo rápido), os seguintes valores padrão serão usados:
  • ESP [3DES, SHA1]:100000k/3600s
  • ESP [3DES, SHA1]:100000k/3600s
  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add filterlist

Cria uma lista de filtros vazia com o nome especificado.

Sintaxe

add filterlistname= [description=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da lista de filtros a ser criada.

[ description=Seqüência]

Fornece informações sobre a lista de filtros.

Comentários

  • Não crie uma lista de filtros com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add policy

Cria uma diretiva IPSec com o nome especificado.

Sintaxe

add policyname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][mmsecmethods=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da diretiva IPSec a ser criada.

[ description=Seqüência]

Fornece informações sobre a diretiva IPSec.

[ mmpfs={yes | no}]

Especifica se o sigilo total na transferência (PFS) de chave mestre deverá ou não ser habilitado. Se yes for especificado, as autoridades de segurança de modo principal são autenticadas novamente e o novo material de chave da chave mestra é negociado toda vez que o material da chave de sessão de uma autoridade de segurança de modo principal for necessária. O valor padrão é no.

[ qmpermm=Inteiro]

Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão. O valor padrão é 0, indicando que um número ilimitado de associações de segurança de modo rápido pode ser derivado da associação de segurança de modo principal.

[ mmlifetime=Inteiro]

Especifica depois de quantos minutos será gerada uma nova chave mestre. O valor padrão é 480 minutos.

[ activatedefaultrule={yes | no}]

Especifica se a regra de resposta padrão deverá ser ativada para essa diretiva IPSec. O valor padrão é yes.

[ pollinginterval=Inteiro]

Especifica com que freqüência a IPSec verifica se há necessidade de alterações nessa diretiva. O valor padrão é 180 minutos.

[ assign={yes | no}]

Especifica se deseja atribuir esta diretiva IPSec (somente uma diretiva IPSec pode ser atribuída). O valor padrão é no.

[ mmsecmethods=”SecMeth1SecMeth2“]

Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlgHashAlgGroupNumb, onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfAlg pode ser DES (padrão de criptografia de dados) ou 3DES.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

GroupNum

Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários

  • Não crie uma diretiva com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec (por exemplo, delete policy all).
  • Se uma diretiva estiver atribuída no momento e você atribuir uma nova diretiva, a diretiva vigente terá sua atribuição removida automaticamente.
  • Se set store=domain for especificado (quando a diretiva IPSec estiver armazenada no Active Directory), assign não terá efeito. Para atribuir uma diretiva a um objeto de Diretiva de Grupo, você deve primeiro criar uma diretiva usando o comando add policy e, em seguida, usar o comando set store.
  • Se mmpfs=yes for especificado (o PFS de chave mestre será habilitado), por padrão qmperm será definido como 1 e não poderá ser configurado, porque cada nova sessão fará com que o material de chave mestre seja renegociado.
  • Se você não especificar mmsecmethods= (métodos de segurança de troca de chaves), serão usados os seguintes valores padrão:
  • 3DES-SHA1-2
  • 3DES-MD5-2
  • 3DES-SHA1-3
  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.
  • Se o número de negociações de modo rápido exceder o valor definido para o número de negociações de modo rápido por negociação de modo principal durante a vida útil do modo principal, um novo modo de negociação principal ocorre.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

add rule

Cria uma regra que vincula a diretiva IPSec, a lista de filtros e a ação de filtro especificadas aos métodos de autenticação especificados.

Sintaxe

add rulename=policy=filterlist=filteraction=[tunnel=][conntype=] [activate=][description=][kerberos=][psk=][rootca=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da regra IPSec a ser criada.

policy=Seqüência

Necessário. Especifica o nome da diretiva IPSec que contém esta regra.

filterlist=Seqüência

Necessário. Especifica o nome da lista de filtros IP desta regra.

filteraction=Seqüência

Necessário. Especifica o nome da ação de filtro desta regra.

[ tunnel={Endereço_IP | Nome_DNS}]

Especifica o endereço IP ou o nome DNS da extremidade do encapsulamento referente ao modo de encapsulamento. Por padrão, esta opção não é especificada e o modo de transporte é usado.

[ conntype={lan | dialup | all}]

Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões. O valor padrão é all.

[ activate={ yes | no}]

Especifica se esta regra deve ser ativada para a diretiva IPSec especificada. O valor padrão é yes.

[ description=Seqüência]

Fornece informações sobre a regra.

[ kerberos={yes | no}]

Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]

Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca=”Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} “]

Especifica as opções de autenticação de certificado, onde:

Seqüência

Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}

Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}

Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários

  • Não crie uma regra com o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as regras IPSec (por exemplo, delete rule all).
  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.
  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.
  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\’).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.
  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.
  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.
  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.
  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.

delete all

Exclui todas as diretivas, listas de filtros e ações de filtro IPSec.

Sintaxe

delete all

Parâmetros

Nenhum.

delete filter

Exclui um filtro de uma lista de filtros que corresponde aos parâmetros especificados.

Sintaxe

delete filter filterlist=srcaddr=dstaddr=[protocol=] [srcmask=][dstmask=][srcport=] [dstport=][mirrored=]

Parâmetros

filterlist=Seqüência

Necessário. Especifica o nome da lista de filtros à qual o filtro foi adicionado.

srcaddr={Me | Any | Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de origem, o nome DNS ou o tipo de servidor do tráfego IP que está sendo correspondido. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

dstaddr={Me | Any |Endereço_IP | Nome_DNS | Tipo_de_Servidor}

Necessário. Especifica o endereço IP de destino, o nome DNS ou o tipo de servidor do tráfego IP que está sendo correspndido. É possível usar WINS, DNS, DHCP ou gateway para Tipo_de_Servidor.

[ protocol={ANY | ICMP |TCP| UDP | RAW | Inteiro }]

Especifica o protocolo IP se, além de serem abordadas informações, um protocolo IP específico for filtrado. Um valor de ANY corresponde os filtros a uma configuração de protocolo any.

[ srcmask={Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de origem ou o prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ dstmask= {Máscara | Prefixo}]

Especifica a máscara de sub-rede do endereço de destino ou o valor do prefixo dos pacotes que estão sendo filtrados. É possível especificar um valor de prefixo de 1 a 32. O valor padrão é a máscara de 255.255.255.255.

[ srcport=Porta]

Especifica o número da porta de origem dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde os filtros a uma configuração de porta de origem any.

[ dstport=Porta]

Especifica o número da porta de destino dos pacotes que estão sendo filtrados. Essa opção somente será aplicável se você estiver filtrando pacotes TCP ou UDP. Um valor de 0 corresponde os filtros a uma configuração de porta de destino any.

[ mirrored={yes | no}]

Especifica se um filtro espelhado foi criado.

Comentários

  • Este comando exclui somente um filtro que corresponde aos parâmetros exatos especificados.
  • Se nenhum parâmetro opcional for especificado, todos os filtros que correspondem aos parâmetros especificados (necessários) são excluídos.
  • Para excluir um filtro de pacotes enviados do computador ou para o computador, você poderá usar srcaddr=Me ou dstaddr=Me.
  • Para excluir um filtro de pacotes enviados de qualquer computador ou para qualquer computador, você pode usarsrcaddr=Any ou dstaddr=Any.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete filteraction

Exclui a ação de filtro especificada ou todas as ações de filtro.

Sintaxe

delete filteractionname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da ação de filtro a ser excluída. Se all for especificado, todas as ações de filtro são excluídas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete filterlist

Exclui a lista de filtros especificada ou todas as listas de filtros.

Sintaxe

delete filterlistname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da lista de filtros a ser excluída. Se all for especificado, todas as listas de filtro são excluídas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete policy

Exclui a diretiva IPSec especificada e todas as regras associadas ou todas as diretivas IPSec.

Sintaxe

delete policyname= | all

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec a ser excluída. Se all for especificado, todas as diretivas IPSec são excluídas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

delete rule

Exclui uma regra especificada ou todas as regras da diretiva IPSec especificada.

Sintaxe

delete rulename= | ID= | allpolicy=

Parâmetros

name=Seqüência| ID=Inteiro| all

Necessário. Especifica a regra a ser excluída. Se o nome da regra ou a identificação da regra (o número que identifica a posição da regra na lista de regras da diretiva) for especificado, a regra correspondente é excluída. Se all for especificado, todas as regras são excluídas.

policy=Seqüência

Necessário. Especifica o nome da diretiva da qual uma ou mais regras são excluídas.

Comentários

  • Não é possível excluir a regra de resposta padrão.
  • Depois que uma regra for excluída, todas as identificações das regras restantes são alteradas de forma apropriada.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

exportpolicy

Exporta todas as informações de diretiva IPSec para o arquivo especificado.

Sintaxe

exportpolicyfile=

Parâmetros

file=Seqüência

Necessário. Especifica o nome do arquivo para o qual as informações sobre a diretiva IPSec são exportadas.

Comentários

  • Por padrão, quando uma diretiva IPSec é importada em um arquivo, a extensão .ipsec é adicionada ao nome de arquivo.
  • Para aprimorar a interoperabilidade em um ambiente misto com computadores que executam o Windows 2000, limite o nome do arquivo para o qual as informações sobre a diretiva devem ser salvas em 60 caracteres.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

importpolicy

Importa todas as informações de diretiva IPSec do arquivo IPSec especificado.

Sintaxe

importpolicyfile=

Parâmetros

file=Seqüência

Necessário. Especifica o nome do arquivo do qual as informações sobre a diretiva IPSec são importadas.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

restorepolicyexamples

Restaura as diretivas IPSec padrão.

Sintaxe

restorepolicyexamplesrelease=

Parâmetros

release={win2K | Win2003}

Necessário. Especifica a versão das diretivas IPSec padrão que estão sendo restauradas. Se win2K for especificado, as diretivas IPSec padrão que foram fornecidas com o Windows 2000 serão restauradas. Se Win2003 for especificado, as diretivas IPSec padrão que foram fornecidas com a família Windows Server™ 2003 serão restauradas.

Comentários

  • A restauração das diretivas IPSec padrão substituirá quaisquer alterações nas diretivas padrão, nas listas de filtro e nas ações de filtro originais, mesmo quando os nomes das diretivas padrão tiverem sido alterados. Se você tiver modificado esses itens e não desejar que essas modificações sejam substituídas, não restaure as diretivas padrão.
  • Você só pode restaurar as diretivas IPSec padrão para diretivas IPSec com base em computador. Não é possível restaurar as diretivas IPSec padrão para diretivas IPSec no Active Directory.

set defaultrule

Modifica a regra de resposta padrão da diretiva especificada.

Sintaxe

set defaultrulepolicy=[qmpfs=][activate=] [qmsecmethods=][kerberos=][psk=][rootca=]

Parâmetros

policy=Seqüência

Necessário. Especifica o nome da diretiva IPSec da qual a regra de resposta padrão deve ser modificada.

[ qmpfs={yes | no}]

Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária. O valor padrão é no.

[ activate={yes | no}]

Especifica se esta regra deve ser ativada para a diretiva IPSec especificada. O valor padrão é yes.

[ qmsecmethods=”Neg1Neg2“]

Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato: {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] Onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg

Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1.

k

Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s

Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

[ kerberos={yes | no}]

Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]

Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca=”Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} “]

Especifica as opções de autenticação de certificado, onde:

Seqüência

Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}

Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}

Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários

  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.
  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.
  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\’).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.
  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.
  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.
  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.
  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.
  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.
  • ConfAlg e AuthAlg não podem ser definidos como none.

set filteraction

Modifica uma ação de filtro.

Sintaxe

set filteractionname= | guid=[newname=] [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

Parâmetros

name=Seqüência| guid= guid

Necessário. Especifica o nome ou identificador global exclusivo (GUID) da ação de filtro a ser modificada.

[ newname=Seqüência]

Especifica o novo nome da ação de filtro.

[ description=Seqüência]

Fornece informações sobre a ação de filtro.

[ qmpfs={yes | no}]

Especifica se o sigilo total na transferência (PFS) de chave de sessão será ou não habilitado. Se yes for especificado, o novo material de chave mestre será negociado sempre que uma nova chave de sessão for necessária.

[ inpass={yes | no}]

Especifica se deve ser permitido que um pacote de entrada que corresponda à lista de filtros configurados fique sem proteção, mas exija comunicação protegida por IPSec durante a resposta.

[ soft={yes | no}]

Especifica se deverão ser usadas comunicações sem segurança em outros computadores que não ofereçam suporte a IPSec ou quando ocorrerem falhas nas negociações de IPSec com um computador com suporte a IPSec.

[ action={permit | block | negotiate}]

Especifica se deve ser permitido o tráfego sem negociar a segurança IP. Se permit for especificado, o tráfego será transmitido ou recebido sem que a segurança IP seja negociada ou aplicada. Se block for especificado, o tráfego será bloqueado. Se negotiate for especificado, a segurança IP será usada, com a lista especificada de métodos de segurança.

[ qmsecmethods=”Neg1Neg2“]

Especifica um ou mais métodos de segurança, separados por espaços e definidos pelo seguinte formato: {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] Onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfigAlg pode ser DES (padrão de criptografia de dados), 3DES ou none.

AuthAlg

Especifica o algoritmo de integridade. AuthAlg pode ser MD5 (Message Digest 5), SHA1 (Secure Hash Algorithm 1) ou none.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

k

Especifica a vida útil da chave da sessão em quilobytes. Depois que um número especificado de quilobytes de dados for transferido, uma nova chave de sessão para a autoridade de segurança de modo rápido é gerada. O valor padrão é 100.000 quilobytes.

s

Especifica a vida útil da chave da sessão em segundos. O valor padrão é 3600 segundos.

Comentários

  • Se você especificar um novo nome para a ação de filtro, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as ações de filtro IPSec (por exemplo, delete filteraction all).
  • Se action=permit ouaction=block for especificado, não defina qmpfs=yes, inpass=yes ou soft=yes.
  • A regeneração da chave da sessão terá início com base em qualquer intervalo, seja em segundos ou quilobytes, que for atingido primeiro. Se você não configurar novos intervalos, serão usados os intervalos padrão.
  • Se qmsecmethods= (métodos de segurança de modo rápido) não forem especificados anteriormente para esta ação de filtro, os seguintes valores padrão serão usados:
  • ESP [3DES, SHA1]:100000s/3600k
  • ESP [3DES, MD5]:100000s/3600k
  • A ordem de preferência de cada método de segurança de modo rápido é determinada pela ordem na qual foi especificado no comando.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set filterlist

Modifica uma lista de filtro.

Sintaxe

set filterlistname= [newname=] [description=]

Parâmetros

name=Seqüência

Necessário. Especifica o nome da lista de filtros a ser modificada.

[ newname=Seqüência]

Especifica o novo nome da lista de filtro.

[ description=Seqüência]

Fornece informações sobre a lista de filtros.

Comentários

  • Se você especificar um novo nome para a lista de filtro, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as listas de filtros IPSec (por exemplo, delete filterlist all).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set policy

Modifica uma diretiva IPSec.

Sintaxe

set policyname=newname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][gponame=][mmsecmethods=]

Parâmetros

name=Seqüência| guid=guid

Necessário. Especifica o nome ou o GUID da diretiva IPSec a ser modificada.

newname=Seqüência

Necessário. Especifica o novo nome da diretiva IPSec.

[ description=Seqüência]

Fornece informações sobre a diretiva IPSec.

[ mmpfs={yes | no}]

Especifica se o sigilo total na transferência (PFS) de chave mestre deverá ou não ser habilitado. Se yes for especificado, as autoridades de segurança de modo principal são autenticadas novamente e o novo material de chave da chave mestra é negociado toda vez que o material da chave de sessão de uma autoridade de segurança de modo principal for necessária.

[ qmpermm=Inteiro]

Especifica quantas vezes o material de chave mestre poderá ser usado para originar a chave da sessão.

[ mmlifetime=Inteiro]

Especifica depois de quantos minutos será gerada uma nova chave mestre.

[ activatedefaultrule={yes | no}]

Especifica se a regra de resposta padrão deverá ser ativada para essa diretiva IPSec.

[ pollinginterval=Inteiro]

Especifica com que freqüência a IPSec verifica se há necessidade de alterações nessa diretiva. O valor padrão é 180 minutos.

[ assign={yes | no}]

Especifica se esta diretiva IPSec será atribuída.

[ gponame=Seqüência]

Especifica o nome do objeto de Diretiva de Grupo ao qual a diretiva IPSec ativa está atribuída. Este parâmetro é aplicável somente se você estiver configurando uma diretiva para um computador que seja membro do domínio do Active Directory.

[ mmsecmethods=”SecMeth1SecMeth2“]

Especifica um ou mais métodos de segurança de troca de chaves, separados por espaços e definidos pelo seguinte formato: ConfAlgHashAlgGroupNumb, onde:

ConfAlg

Especifica o algoritmo de criptografia. ConfAlg pode ser DES (padrão de criptografia de dados) ou 3DES.

HashAlg

Especifica a função de hash. HashAlg pode ser MD5 (Message Digest 5) ou SHA1 (Secure Hash Algorithm 1).

GroupNum

Especifica o grupo Diffie-Hellman a ser usado para o material de chave básico GroupNumb pode ser: 1 (baixo, protege com 768 bits de material de chave), 2 (médio, protege com 1.024 bits) e 3 (alto, protege como 2.048 bits).

Comentários

  • Se especificar um novo nome para a diretiva, não use o nome all. Se você fizer isso, criará um conflito com a opção netsh ipsec para selecionar todas as diretivas IPSec (por exemplo, delete policy all).
  • Se set store=domain for especificado (quando a diretiva IPSec for armazenada no Active Directory), assign não tem efeito.
  • Se mmpfs=yes for especificado (o PFS de chave mestre será habilitado), por padrão qmperm será definido como 1 e não poderá ser configurado, porque cada nova sessão fará com que o material de chave mestre seja renegociado.
  • Os computadores IPSec deverão ter, pelo menos, um método de segurança de troca de chaves em comum (um método que utilize as mesmas configurações), caso contrário as negociações não terão êxito.
  • Você só poderá especificar o nome de um objeto de Diretiva de Grupo se set store=domain.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

set rule

Modifica uma regra em uma diretiva IPSec.

Sintaxe

set rulename= | ID=policy= [newname=][description=][filterlist=] [filteraction=] [tunnel=][conntype=] [activate=][kerberos=][psk=][rootca=]

Parâmetros

name=Seqüência| ID=Integer

Necessário. Especifica o nome ou a identificação (o número que identifica a posição da regra na lista de regras de diretiva) da regra a ser modificada.

policy=Seqüência

Necessário. Especifica o nome da diretiva IPSec que contém esta regra.

[ newname=Seqüência]

Especifica o novo nome da regra.

[ description=Seqüência]

Fornece informações sobre a regra.

[ filterlist=Seqüência

Especifica o nome da lista de filtros IP desta regra.

[ filteraction=Seqüência

Especifica o nome da ação de filtro desta regra.

[ tunnel={Endereço_IP | Nome_DNS}]

Especifica o endereço IP ou o nome DNS da extremidade do encapsulamento referente ao modo de encapsulamento.

[ conntype={lan | dialup | all}]

Especifica se a regra se aplica somente a conexões dial-up ou de acesso remoto, a conexões de rede local (LAN) ou a todas as conexões.

[ activate={yes | no}]

Especifica se esta regra deve ser ativada para a diretiva IPSec especificada.

[ kerberos={yes | no}]

Especifica se o protocolo Kerberos V5 deve ser usado como método de autenticação.

[ psk=Seqüência]

Especifica a seqüência a ser usada na chave pré-compartilhada, caso uma chave pré-compartilhada seja usada como método de autenticação.

[ rootca=”Seqüênciacertmap:{ yes| no} excludecaname:{ yes| no} “]

Especifica as opções de autenticação de certificado, onde:

Seqüência

Especifica o nome distinto do certificado, caso um certificado seja usado como método de autenticação.

certmap:{ yes|no}

Especifica se o mapeamento de certificado para conta deve ser habilitado. Você pode habilitar o mapeamento certificado para conta para verificar se o certificado está sendo usado por um computador confiável.

excludecaname:{ yes|no}

Especifica se deverá ser excluída da solicitação de certificado a lista de nomes de autoridades de certificação raiz confiáveis com base nos quais um certificado é aceito.

Comentários

  • Você só poderá usar a autenticação por meio do protocolo Kerberos V5 ou o mapeamento de certificado para conta para os computadores que participarem de um domínio do Active Directory.
  • Embora só possa usar uma chave pré-compartilhada para autenticação, você poderá usar vários certificados especificando o parâmetro rootca uma vez, para cada certificado que deseja usar.
  • Todos os parâmetros de autenticação de certificado devem ser colocados entre aspas. As aspas internas devem ser substituídas por uma barra invertida antecedidas de um apóstrofo (\’).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • A ordem de precedência de cada método de autenticação é determinada pela ordem especificada no comando.
  • Se nenhum método de autenticação for especificado, serão usados métodos padrão dinâmicos. Por padrão, as diretivas IPSec usam a autenticação Kerberos V5. Se o computador tiver um certificado de computador, qualquer autoridade de certificação raiz ao qual o certificado de computador esteja encadeado também é usada para autenticação.
  • Se excludecaname:yes for especificado, a lista de autoridades de certificação raiz confiáveis não será enviada como parte da solicitação de certificado, o que impedirá a possível revelação de informações confidenciais sobre as relações de confiança de um computador. Para aprimorar a segurança referente a computadores conectados à Internet, especifique esta opção.
  • O uso da autenticação de chave pré-compartilhada não é recomendável porque é um método de autenticação relativamente fraco. Além disso, as chaves pré-compartilhadas são armazenadas em texto sem formatação.
  • Os computadores IPSec devem ter, pelo menos, um método de autenticação em comum; caso contrário, a comunicação não será bem-sucedida.
  • A modificação dos métodos de autenticação substituirá todos os métodos de autenticação anteriores, mesmo se esse métodos forem diferentes. Por exemplo, se kerberos=yes e psk=yes tiverem sido especificados anteriormente e você especificar kerberos=no, o parâmetro psk=yes também será substituído e a autenticação de chave pré-compartilhada não será mais usada.

set store

Define o local de armazenamento da diretiva IPSec atual.

Sintaxe

set storelocation= [domain=]

Parâmetros

location={local | persistent | domain}

Necessário. Especifica o local de armazenamento da diretiva IPSec.

[ domain=]

Especifica o nome do domínio no qual a diretiva IPSec é armazenada, se a diretiva for armazenada no Active Directory (quando location=domain for especificado).

Comentários

  • O comando set store funciona somente do ambiente do netsh, ou seja:
  • Se você executa este comando do prompt de comando para o contexto netsh ipsec).
  • Se você executa um arquivo em lotes usando o comando netsh.exe.
  • O armazenamento persistente contém diretivas IPSec que podem ser atribuídas para proteger o computador na inicialização, antes que a diretiva local ou a diretiva baseada em domínio seja aplicada. Uma diretiva IPSec persistente fornece segurança no caso de falha porque ela permanece em efeito independentemente da diretiva local ou da diretiva baseada em domínio ser aplicada ou não (por exemplo, uma diretiva IPSec pode não ser aplicada se for corrompida). Para segurança aprimorada, é recomendável que você crie e atribua uma diretiva persistente.
  • O armazenamento local contém diretivas IPSec que podem ser atribuídas para proteger este computador. Se uma diretiva de domínio estiver disponível, ela é aplicada em vez da diretiva local.
  • O armazenamento de domínio contém diretivas IPSec que podem ser atribuídas a grupos protegidos de computador em um domínio.
  • É recomendável que a diretiva persistente seja a mais restritita de todas as diretivas. As diretivas de domínio e locais devem complementar as diretivas persistentes.
  • Use o comando set machine para configurar um computador remoto.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.

show all

Exclui informações sobre configuração para todas as diretivas IPSec, regras, listas de filtros e ações de filtro.

Sintaxe

show all [format=] [wide=]

Parâmetros

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]

Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários

  • Como o comando show all poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show all
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show filteraction

Exibe informações sobre a configuração de uma ou mais ações de filtro.

Sintaxe

show filteractionname= | rule= | all [level=][format=] [wide=]

Parâmetros

name=Seqüência| rule=Seqüência| all

Necessário. Especifica uma ou mais açõe de filtro para as quais as informações sobre configuração devem ser exibidas. Sename for especificado, a ação de filtro com o nome especificado é exibida. Serule for especificado, todas as ações de filtro associadas à regra especificada são exibidas. Se all for especificado, todas as ações de filtro são exibidas.

[ level={verbose | normal}]

Especifica o nível de informações a ser exibido. Se verbose for especificado, as informações sobre os métodos de segurança, o local do armazenamento de diretivas e a indicação de que o sigilo total na transferência de chave está habilitado são exibidos, além das informações básicas sobre a ação de filtro. O valor padrão é normal.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]

Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show filteraction poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show filteraction, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show filteractionNome | Regra | all [level=verbose | normal]
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show filteractionNome | Regra | all [level=verbose | normal] >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show filterlist

Exibe informações sobre a configuração de uma ou mais listas de filtro.

Sintaxe

show filterlistname= | rule= | all [level=][format=][resolvedns=] [wide=]

Parâmetros

name=Seqüência| rule=Seqüência| all

Necessário. Especifica uma ou mais listas de filtro a serem exibidas. Sename for especificado, a lista de filtro com o nome especificado é exibida. Serule for especificado, todas as listas de filtro associadas à regra especificada são exibidas. Se all for especificado, todas as listas de filtro são exibidas.

[ level={verbose | normal}]

Especifica o nível de informações a ser exibido. Se verbose for especificado, a origem, o destino e o tipo de tráfego IP definido por cada filtro serão exibidos, além das informações básicas sobre a lista de filtros. O valor padrão é normal.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ resolvedns={yes | no}]

Especifica se o nome do sistema de nomes de domínios (DNS) ou o nome NETBIOS do computador será resolvido com um endereço IP quando forem exibidas origens ou destinos. Se for especificado yes, level também deverá ser definido como verbose, caso contrário os nomes DNS não serão exibidos. O valor padrão é no.

[ wide={yes | no}]

Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show filterlist poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show all, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show filterlistNome | regra | all [level=verbose | normal][resolvedns=yes | no
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show filterlistNome | regra | all [level=verbose | normal][resolvedns=yes | no >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show gpoassignedpolicy

Exibe informações sobre configuração para a diretiva IPSec ativa atribuída ao objeto de Diretiva de Grupo especificado.

Sintaxe

show gpoassignedpolicy [name= ]

Parâmetros

[ name=Seqüência]

Especifica o nome do objeto de Diretiva de Grupo ao qual a diretiva IPSec ativa está atribuída. Se nenhum nome for especificado, a diretiva IPSec local será exibida.

Comentários

  • Você só poderá especificar o nome de um objeto de Diretiva de Grupo se set store=domain.
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
    Para salvar a saída em um arquivo de texto referente ao comando how gpossignedpolicy, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show gpoassignedpolicy [Nome]
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show gpoassignedpolicy [Nome] >Nome_do_Arquivo.txt

show policy

Exibe informações sobre a configuração da diretiva IPSec especificada ou de todas as diretivas IPSec.

Sintaxe

show policyname= | all [level=] [format=] [wide=]

Parâmetros

name=Seqüência| all

Necessário. Especifica o nome da diretiva IPSec a ser exibida ou, se all for especificado, que todas as diretivas IPSec são exibidas.

[ level={verbose | normal}]

Especifica o nível de informações a ser exibido. Se verbose for especificado, os métodos de segurança e o método de autenticação são exibidos, além das informações sobre as ações e regras de filtro. O valor padrão é normal.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]

Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários

  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show policy poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show policy, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show policyNome | all >Nome_do_Arquivo.txt
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show policyNome | all >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

show rule

Exibe informações sobre configuração para uma regra de uma diretiva especificada ou para todas as regras de uma diretiva especificada.

Sintaxe

show rulename= | ID= | all | defaultpolicy= [type=][level=][format=] [wide=]

Parâmetros

name={Seqüência | ID=Inteiro | all | default}

Necessário. Especifica uma ou mais regras a serem exibidas. Se o nome da regra ou a identificação da regra (o número que identifica a posição da regra na lista de regras da diretiva) for especificado, a regra correspondente é exibida. Se all for especificado, todas as regras da diretiva especificada são exibidas. Se default for especificado, a regra de resposta padrão é exibida.

policy=Seqüência

Necessário. Especifica o nome da diretiva para a qual a regra especificada, ou todas as regras, é exibida.

[ type={transport | tunnel}]

Especifica se todas as regras de transporte ou todas as regras de encapsulamento serão exibidas. O valor padrão é exibir todas as regras.

[ level={verbose | normal}]

Especifica o nível de informações a ser exibido. Se verbose for especificado, as informações sobre as ações de filtro associadas são exibidas, além das informações básicas sobre a regra. O valor padrão é normal.

[ format={list | table}]

Especifica se as informações sobre configuração de IPSec deverão ser exibidas no formato de tela ou delimitado por tabulações. O valor padrão é list, indicando que a saída será exibida no formato de tela.

[ wide={yes | no}]

Especifica se será permitido que as informações sobre configuração de IPSec ultrapassem a largura da tela de 80 caracteres. O valor padrão é no, indicando que a exibição das informações sobre configuração está limitada ao tamanho da tela.

Comentários

  • Se você usar o parâmetro type, você deve também usar o parâmetro all (você deve especificar show rule all).
  • Todos os parâmetros de seqüência fazem distinção entre maiúsculas e minúsculas.
  • Como o comando show rule poderá gerar uma saída longa, de rolagem rápida, é aconselhável salvar a saída em um arquivo de texto, a menos que você só necessite ver partes limitadas dela.
    Para salvar a saída em um arquivo de texto referente ao comando show rule, siga um destes procedimentos:
    Se você estiver no ambiente de netsh (netsh>)
  1. No prompt netsh, digite:
    set file open Nome_do_Arquivo.txt
  2. Em seguida, digite:
    ipsec static show ruleNome | ID | all | defaultDiretiva [level=verbose | normal]
  3. Para interromper o envio da saída e fechar o arquivo, digite:
    set file close

Se não estiver no ambiente de netsh

  • No prompt de comando, digite:
    netsh ipsec static show ruleNome | ID | all | defaultDiretiva [level=verbose | normal] >Nome_do_Arquivo.txt

                        Para interromper a saída das informações sobre configuração de IPSec, você deverá sair do programa Netsh seguindo um destes procedimentos:

  • Feche a janela do programa Netsh clicando no ícone X no canto superior direito da janela.
  • Use o Gerenciador de Tarefas para finalizar o programa Netsh.

Netsh ipsec dynamic

Os comandos a seguir estão disponíveis no prompt ipsec dynamic >, com raiz no ambiente netsh.

Para exibir a sintaxe, clique em um comando: