static

无

dynamic

无

add filter filterlist=srcaddr=dstaddr= [description=][protocol=][mirrored=] [srcmask=][dstmask=][srcport=] [dstport=]

filterlist=字符串

必需。指定要向其中添加筛选器的筛选器列表的名称。每个筛选器定义了一组要保护的入站或出站网络通讯。

srcaddr={ Me| Any| IPAddress| DNSName| ServerType}

必需。指定 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

dstaddr={Me | Any |IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ description=字符串]

提供有关 IP 筛选器的信息。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

指定 IP 协议（除了寻址信息以外，如果要筛选特定的 IP 协议）。默认值为 ANY，表示该筛选器可以使用所有协议。

[ mirrored={yes | no}]

指定是否创建镜像筛选器。使用 yes 可以基于筛选器设置创建两个筛选器，一个用于到目标的通讯，一个用于来自目标的通讯。默认值为 yes。

[ srcmask={Mask | Prefix}]

指定将被筛选的数据包源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}

指定将被筛选的数据包目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ srcport=Port]

指定将被筛选的数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则来自任何端口的数据包都将被筛选。默认设置为任意值。

[ dstport=Port]

指定将被筛选的数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则发送到任何端口的数据包都将被筛选。默认设置为任意值。

• 如果筛选器列表不存在，则创建此列表。
  
  
• 不要创建名称为 all 的筛选器列表。这样做会与选择所有 IPSec 筛选器列表的 netsh ipsec 选项（例如 delete filterlist all）产生冲突。
  
  
• 要筛选进出特定计算机的任何数据包，可以使用 srcaddr=Me 或 dstaddr=Me。
  
  
• 要筛选进出任何计算机的数据包，可以使用 srcaddr=Any 或 dstaddr=Any。
  
  
• 所有字符串参数都区分大小写。
  
  

add filteractionname= [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

name=字符串

必需。指定要创建的筛选器操作的名称。

[ description=字符串]

提供有关筛选器操作的信息。

[ qmpfs={yes | no}]

指定是否启用会话密钥完全向前保密 (PFS)。如果指定 yes，则每当要求新的会话密钥时都需要重新协商新的主密钥材料。默认值为 no。

[ inpass={yes | no}]

指定是否允许与配置的筛选器列表匹配的传入数据包不采取安全措施，但是要求答复时提供采取安全措施的 IPSec 通讯。默认值为 no。

[ soft={yes | no}]

指定当其他计算机不支持 IPSec 时，或者与具有 IPSec 功能的计算机进行 IPSec 协商失败时，是否重新使用不安全的通讯。默认值为 no。

[ action={permit | block | negotiate}]

指定是否允许通讯而不协商 IP 安全性。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，传输或接收通讯。如果指定 block，则通讯将被阻止。如果指定 negotiate，则将使用带有指定安全措施列表的 IP 安全。默认值为 negotiate。

[ qmsecmethods="Neg1Neg2"]

指定由空格分隔并按以下格式定义的一个或多个安全措施： {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] 其中：

ConfAlg

指定加密算法。ConfigAlg 可以是 DES（数据加密标准）、3DES 或无。

AuthAlg

指定完整性算法。AuthAlg 可以是 MD5（消息摘要 5）、SHA1（安全哈希算法 1）或无。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1。

k

指定以千字节为单位的会话密钥生命周期。传输了指定千字节的数据后，会为快速模式 SA 生成新的会话密钥。默认值为 100000 千字节。

s

指定以秒为单位的会话密钥生命周期。默认值是 3600 秒。

• 不要创建名为 all 的筛选器操作。这样做会与选择所有 IPSec 筛选器操作的 netsh ipsec 选项（例如 delete filteraction all）产生冲突。
  
  
• 如果指定了 action=permit 或 action=block，并且指定了 qmsecmethods 参数，将不使用 qmsecmethods 参数。此外，如果指定了 qmpfs=yes、inpass=yes 或 soft=yes，也不会使用这些参数。
  
  
• 启动会话密钥的重新生成基于首先到达的时间间隔（秒或千字节）。如果未配置新间隔，则将使用默认间隔。
  
  
• 如果未指定 qmsecmethods=（快速模式安全措施），则将使用以下默认值：
  
  
  • ESP [3DES, SHA1]:100000k/3600s
    
    
  • ESP [3DES, MD5]:100000k/3600s
    
    
• 在命令中指定的每个快速模式安全措施的顺序决定了该安全措施的首选顺序。
  
  
• 所有字符串参数都区分大小写。
  
  

add filterlistname= [description=]

name=字符串

必需。指定要创建的筛选器列表的名称。

[ description=字符串]

提供有关筛选器列表的信息。

• 不要创建名称为 all 的筛选器列表。这样做会与选择所有 IPSec 筛选器列表的 netsh ipsec 选项（例如 delete filterlist all）产生冲突。
  
  
• 所有字符串参数都区分大小写。
  
  

add policyname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][mmsecmethods=]

name=字符串

必需。指定要创建的 IPSec 策略的名称。

[ description=字符串]

提供有关 IPSec 策略的信息。

[ mmpfs={yes | no}]

指定是否启用主密钥完全向前保密 (PFS)。如果指定 yes，则主模式安全 SA 将被重新验证，而且每当要求提供快速模式 SA 的会话密钥材料时都需要协商新的主密钥的密钥材料。默认值为 no。

[ qmpermm=Integer]

指定主密钥材料可用来派生会话密钥的次数。默认值为 0，这意味着可以从主模式 SA 派生出无限多个快速模式 SA。

[ mmlifetime=Integer]

指定生成新主密钥所需的分钟数。默认值为 480 分钟。

[ activatedefaultrule={yes | no}]

指定是否为该 IPSec 策略激活默认响应规则。默认设置为 yes。

[ pollinginterval=Integer]

指定为了解该策略的变化而进行轮询的频率。默认值为 180 分钟。

[ assign={yes | no}]

指定是否指派该 IPSec 策略（只能指派一个 IPSec 策略）。默认值是 no。

[ mmsecmethods="SecMeth1SecMeth2"]

指定由空格分隔并按以下格式定义的一个或多个密钥交换安全措施：ConfAlg-HashAlg-GroupNumb，其中：

ConfAlg

指定加密算法。ConfAlg 可以是 DES（数据加密标准）或 3DES。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1（安全哈希算法 1）。

GroupNum

指定用于基本密钥材料的 Diffie-Hellman 组。GroupNumb 可以为：1（低，使用 768 位密钥材料保护），2（中等，使用 1024 位保护）以及 3（高，使用 2048 位保护）。

• 不要创建名为 all 的策略。这样做可能会与 netsh ipsec 选项产生冲突，因为它会选择所有 IPSec 策略（例如 delete policy all）。
  
  
• 由于只能指派一个 IPSec 策略，如果当前已指派了策略并指派了新的策略，则当前指派的策略将自动解除指派。
  
  
• 如果指定了 set store=domain（当 IPSec 策略存储在 Active Directory 中时），则 assign 将无效。要为组策略对象指派策略，必须先使用 add policy 命令创建策略，然后使用 set store 命令。
  
  
• 如果指定 mmpfs=yes（启用主密钥 PFS），则 qmperm 的默认设置为 1 且不可配置，因为每一个新会话都将使主密钥的密钥材料被重新协商。
  
  
• 如果未指定 mmsecmethods=（密钥交换安全措施），则使用如下默认值：
  
  
  • 3DES-SHA1-2
    
    
  • 3DES-MD5-2
    
    
  • 3DES-SHA1-3
    
    
• IPSec 双方都必须具有至少一个通用的密钥交换安全措施（使用相同设置的措施），否则协商将会失败。
  
  
• 在主模式生存期内，如果快速模式协商数超过按照主模式协商为快速模式协商数设置的值，将发生新的主模式协商。
  
  
• 所有字符串参数都区分大小写。
  
  

add rulename=policy=filterlist=filteraction=[tunnel=][conntype=] [activate=][description=][kerberos=][psk=][rootca=]

name=字符串

必需。指定要创建的 IPSec 策略的名称。

policy=字符串

必需。指定包含该规则的 IPSec 策略的名称。

filterlist=字符串

必需。指定适用于该规则的 IP 筛选器列表的名称。

filteraction=字符串

必需。指定适用于该规则的 IP 筛选器操作的名称。

[ tunnel={IPAddress | DNSName}]

为隧道模式指定隧道端点的 IP 地址或 DNS 名称。默认情况下，没有指定该选项并且使用传输模式。

[ conntype={lan | dialup | all}]

指定该规则是仅应用于远程访问、拨号连接或局域网 (LAN) 连接，还是应用于所有连接。默认值为 all。

[ activate={yes | no}]

指定是否为指定的 IPSec 策略激活该规则。默认设置为 yes。

[ description=字符串]

提供有关该规则的信息。

[ kerberos={yes | no}]

指定是否将 Kerberos V5 协议作为身份验证方法。

[ psk=字符串]

如果将预共享的密钥作为身份验证方法，则指定用于该预共享密钥的字符串。

[ rootca="Stringcertmap:{yes| no} excludecaname:{yes| no} "]

指定证书身份验证选项，其中：

String

如果将证书作为身份验证方法，则指定该证书的可分辨名称。

certmap:{yes|no}

指定是否启用证书到帐户的映射。可以启用证书到帐户映射，以验证证书是否正在被受信任的计算机使用。

excludecaname:{yes|no}

指定是否从证书申请中排除受信任的根 CA 名称列表（从中接受证书）。

• 不要创建名为 all 的规则。这样做会与选择所有 IPSec 规则的 netsh ipsec 选项（例如 delete rule all）产生冲突。
  
  
• 对于作为 Active Directory 域成员的计算机，只能使用 Kerberos V5 身份验证或证书到帐户的映射。
  
  
• 尽管只能使用一个预共享的密钥进行身份验证，但是如果为每个要使用的证书都指定一次 rootca 参数，则可以使用多个证书。
  
  
• 所有的证书身份验证参数都必须包含在引号中。嵌入式引号标记必须用后面跟撇号的反斜杠替换 (\')。
  
  
• 所有字符串参数都区分大小写。
  
  
• 在命令中为每个身份验证方法指定的顺序决定了该方法的首选顺序。
  
  
• 如果未指定身份验证方法，则使用动态的默认值。默认情况下，IPSec 策略使用 Kerberos V5 身份验证。如果该计算机具有计算机证书，则与该计算机证书链接的任意根 CA 也可用作身份验证。
  
  
• 如果指定了 excludecaname:yes，则受信任的根 CA 的列表不作为证书申请的一部分被发送，从而杜绝了有关计算机信任关系的敏感信息泄漏的可能性。要增强连接到 Internet 的计算机的安全性，请指定该选项。
  
  
• 不推荐使用预共享密钥身份验证方法，因为相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。
  
  
• IPSec 双方都必须有至少一个通用身份验证方法，否则通讯将失败。
  
  

delete all

无。

delete filter filterlist=srcaddr=dstaddr=[protocol=] [srcmask=][dstmask=][srcport=] [dstport=][mirrored=]

filterlist=字符串

必需。指定向其中添加筛选器的筛选器列表的名称。

srcaddr={Me | Any | IPAddress | DNSName | ServerType}

必需。指定被匹配的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

dstaddr={Me | Any |IPAddress | DNSName | ServerType}

必需。指定当前匹配的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

除了寻址信息外，如果筛选某个特定的 IP 协议，则指定该 IP 协议。值为 ANY 表示与协议设置为 any 的筛选器匹配。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ srcport=Port]

指定当前被筛选数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值为 0 表示与源端口设置为 any 的筛选器匹配。

[ dstport=Port]

指定当前被筛选数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值为 0 表示与目标端口设置为 any 的筛选器匹配。

[ mirrored={yes | no}]

指定是否创建镜像筛选器。

• 该命令只删除与所指定的参数完整匹配的筛选器。
  
  
• 如果没有指定可选参数，则会删除与指定的（必需）参数相匹配的所有筛选器。
  
  
• 要将筛选进出计算机的任何数据包的筛选器删除，可以使用 srcaddr=Me 或 dstaddr=Me。
  
  
• 要将筛选进出任何计算机的数据包的筛选器删除，可以使用 srcaddr=Any 或 dstaddr=Any。
  
  
• 所有字符串参数都区分大小写。
  
  

delete filteractionname= | all

name=字符串| all

必需。指定要删除的筛选操作的名称。或者，如果指定 all，则删除所有筛选操作。

• 所有字符串参数都区分大小写。
  
  

delete filterlistname= | all

name=字符串| all

必需。指定要删除的筛选器列表的名称。或者，如果指定 all，则删除所有筛选器列表。

• 所有字符串参数都区分大小写。
  
  

delete policyname= | all

name=字符串| all

必需。指定要删除的 IPSec 策略的名称。或者，如果指定 all，则删除所有 IPSec 策略。

• 所有字符串参数都区分大小写。
  
  

delete rulename= | ID= | allpolicy=

name=字符串| ID=Integer| all

必需。指定要删除的规则。如果指定了规则名称或规则 ID（用来标识规则在策略规则列表中的位置的编号），则删除相应的规则。如果指定了 all，则删除所有规则。

policy=字符串

必需。指定从中删除一个或多个规则的策略的名称。

• 不能删除默认的响应规则。
  
  
• 删除规则后，剩余规则的所有 ID 将相应发生更改。
  
  
• 所有字符串参数都区分大小写。
  
  

exportpolicyfile=

file=字符串

必需。指定将 IPSec 策略信息导出到其中的文件的名称。

• 默认情况下，当 IPSec 策略被导入文件时，该文件名称将添加 .ipsec 扩展名。
  
  
• 为增强混合环境中运行 Windows 2000 的计算机之间的互操作性，请将用于保存策略信息的文件的名称限制在 60 个字符以内。
  
  
• 所有字符串参数都区分大小写。
  
  

importpolicyfile=

file=字符串

必需。指定从中导入 IPSec 策略信息的文件的名称。

• 所有字符串参数都区分大小写。
  
  

restorepolicyexamplesrelease=

release={ win2K| Win2003}

必需。指定当前所还原的默认 IPSec 策略的版本。如果指定了 win2K，将还原 Windows 2000 附带的默认 IPSec 策略。如果指定了 Win2003，将还原 Windows Server™ 2003 家族产品附带的默认 IPSec 策略。

• 还原默认的 IPSec 策略，将覆盖对原始默认策略、筛选器列表和筛选器操作的所有更改，即使这些配置项的名称已经更改也是如此。如果已经修改了这些项并且不想让修改被覆盖，则不要还原默认策略。
  
  
• 只能还原基于计算机的 IPSec 策略的默认 IPSec 策略。不能还原 Active Directory 中 IPSec 策略的默认 IPSec 策略。
  
  

set defaultrulepolicy=[qmpfs=][activate=] [qmsecmethods=][kerberos=][psk=][rootca=]

policy=字符串

必需。指定其默认响应规则已被修改的 IPSec 策略的名称。

[ qmpfs={yes | no}]

指定是否启用会话密钥完全向前保密 (PFS)。如果指定 yes，则每当要求新的会话密钥时都需要重新协商新的主密钥材料。默认值为 no。

[ activate={yes | no}]

指定是否为指定的 IPSec 策略激活该规则。默认设置为 yes。

[ qmsecmethods="Neg1Neg2"]

指定由空格分隔并按以下格式定义的一个或多个安全措施： {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] 其中：

ConfAlg

指定加密算法。ConfigAlg 可以是 DES（数据加密标准）、3DES 或无。

AuthAlg

指定完整性算法。AuthAlg 可以是 MD5（消息摘要 5）、SHA1（安全哈希算法 1）或无。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1。

k

指定以千字节为单位的会话密钥生命周期。传输了指定千字节的数据后，会为快速模式 SA 生成新的会话密钥。默认值为 100,000 千字节。

s

指定以秒为单位的会话密钥生命周期。默认值是 3600 秒。

[ kerberos={yes | no}]

指定是否将 Kerberos V5 协议作为身份验证方法。

[ psk=字符串]

如果将预共享的密钥作为身份验证方法，则指定用于该预共享密钥的字符串。

[ rootca="Stringcertmap:{yes| no} excludecaname:{yes| no} "]

指定证书身份验证选项，其中：

String

如果将证书作为身份验证方法，则指定该证书的可分辨名称。

certmap:{yes|no}

指定是否启用证书到帐户的映射。可以启用证书到帐户映射，以验证证书是否正在被受信任的计算机使用。

excludecaname:{yes|no}

指定是否从证书申请中排除受信任的根 CA 名称列表（从中接受证书）。

• 对于作为 Active Directory 域成员的计算机，只能使用 Kerberos V5 身份验证或证书到帐户的映射。
  
  
• 尽管只能使用一个预共享的密钥进行身份验证，但是如果为每个要使用的证书都指定一次 rootca 参数，则可以使用多个证书。
  
  
• 所有的证书身份验证参数都必须包含在引号中。嵌入式引号标记必须用后面跟撇号的反斜杠替换 (\')。
  
  
• 所有字符串参数都区分大小写。
  
  
• 在命令中为每个身份验证方法指定的顺序决定了该方法的首选顺序。
  
  
• 如果未指定身份验证方法，则使用动态的默认值。默认情况下，IPSec 策略使用 Kerberos V5 身份验证。如果该计算机具有计算机证书，则与该计算机证书链接的任意根 CA 也可用作身份验证。
  
  
• 如果指定了 excludecaname:yes，则受信任的根 CA 的列表不作为证书申请的一部分被发送，从而杜绝了有关计算机信任关系的敏感信息泄漏的可能性。要增强连接到 Internet 的计算机的安全性，请指定该选项。
  
  
• 不推荐使用预共享密钥身份验证方法，因为相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。
  
  
• IPSec 双方都必须有至少一个通用身份验证方法，否则通讯将失败。
  
  
• 修改身份认证方法将会覆盖所有以前的身份认证方法，即使以前的身份认证方法有所不同。例如，如果已指定了 kerberos=yes 和 psk=yes，而后又指定了 kerberos=no，则 psk=yes 参数也将被覆盖，而且不再使用预共享的密钥身份验证。
  
  
• 不能将 ConfAlg 和 AuthAlg 同时设置为无。
  
  

set filteractionname= | guid=[newname=] [description=][qmpfs=][inpass=] [soft=][action=][qmsecmethods=]

name=字符串| guid= guid

必需。指定要修改的筛选器操作的名称或全局唯一标识符 (GUID)。

[ newname=字符串]

指定筛选器操作的新名称。

[ description=字符串]

提供有关筛选器操作的信息。

[ qmpfs={yes | no}]

指定是否启用会话密钥完全向前保密 (PFS)。如果指定 yes，则每当要求新的会话密钥时都需要重新协商新的主密钥材料。

[ inpass={yes | no}]

指定是否允许与配置的筛选器列表匹配的传入数据包不采取安全措施，但是要求答复时提供采取安全措施的 IPSec 通讯。

[ soft={yes | no}]

指定当其他计算机不支持 IPSec 时，或者与具有 IPSec 功能的计算机进行 IPSec 协商失败时，是否重新使用不安全的通讯。

[ action={permit | block | negotiate}]

指定是否允许通讯而不协商 IP 安全性。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，传输或接收通讯。如果指定 block，则通讯将被阻止。如果指定了 negotiate，则使用带有指定安全措施列表的 IP 安全。

[ qmsecmethods="Neg1Neg2"]

指定由空格分隔并按以下格式定义的一个或多个安全措施： {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] 其中：

ConfAlg

指定加密算法。ConfigAlg 可以是 DES（数据加密标准）、3DES 或无。

AuthAlg

指定完整性算法。AuthAlg 可以是 MD5（消息摘要 5）、SHA1（安全哈希算法 1）或无。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1（安全哈希算法 1）。

k

指定以千字节为单位的会话密钥生命周期。传输了指定千字节的数据后，会为快速模式 SA 生成新的会话密钥。默认值为 100000 千字节。

s

指定以秒为单位的会话密钥生命周期。默认值是 3600 秒。

• 为筛选器操作指定新名称时，不要使用名称 all。这样做会与选择所有 IPSec 筛选器操作的 netsh ipsec 选项（例如 delete filteraction all）产生冲突。
  
  
• 如果指定了 action=permit 或 action=block，请不要设置 qmpfs=yes、inpass=yes 或 soft=yes。
  
  
• 启动会话密钥的重新生成基于首先到达的时间间隔（秒或千字节）。如果未配置新间隔，则将使用默认间隔。
  
  
• 如果以前没有为该筛选器操作指定 qmsecmethods=（快速模式安全方法），将使用以下默认设置：
  
  
  • ESP [3DES, SHA1]:100000s/3600k
    
    
  • ESP [3DES, MD5]:100000s/3600k
    
    
• 在命令中指定的每个快速模式安全措施的顺序决定了该安全措施的首选顺序。
  
  
• 所有字符串参数都区分大小写。
  
  

set filterlistname= [newname=] [description=]

name=字符串

必需。指定要修改的筛选器列表的名称。

[ newname=字符串]

指定筛选器列表的新名称。

[ description=字符串]

提供有关筛选器列表的信息。

• 为筛选器列表指定新名称时，不要使用名称 all。这样做会与选择所有 IPSec 筛选器列表的 netsh ipsec 选项（例如 delete filterlist all）产生冲突。
  
  
• 所有字符串参数都区分大小写。
  
  

set policyname=newname= [description=][mmpfs=][qmpermm=] [mmlifetime=][activatedefaultrule=][pollinginterval=][assign=][gponame=][mmsecmethods=]

name=字符串| guid=guid

必需。指定要修改的 IPSec 策略的名称或 GUID。

newname=字符串

必需。为 IPSec 策略指定新名称。

[ description=字符串]

提供有关 IPSec 策略的信息。

[ mmpfs={yes | no}]

指定是否启用主密钥完全向前保密 (PFS)。如果指定 yes，则主模式安全 SA 将被重新验证，而且每当要求提供快速模式 SA 的会话密钥材料时都需要协商新的主密钥的密钥材料。

[ qmpermm=Integer]

指定主密钥材料可用来派生会话密钥的次数。

[ mmlifetime=Integer]

指定生成新主密钥所需的分钟数。

[ activatedefaultrule={yes | no}]

指定是否为该 IPSec 策略激活默认响应规则。

[ pollinginterval=Integer]

指定为了解该策略的变化而进行轮询的频率。默认值为 180 分钟。

[ assign={yes | no}]

指定是否指派该 IPSec 策略。

[ gponame=字符串]

指定为其指派 IPSec 策略的组策略对象的名称。只有在为作为 Active Directory 域成员的计算机配置策略时，该参数才是适用的。

[ mmsecmethods="SecMeth1SecMeth2"]

指定由空格分隔并按以下格式定义的一个或多个密钥交换安全措施：ConfAlg-HashAlg-GroupNumb，其中：

ConfAlg

指定加密算法。ConfAlg 可以是 DES（数据加密标准）或 3DES。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1（安全哈希算法 1）。

GroupNum

指定用于基本密钥材料的 Diffie-Hellman 组。GroupNumb 可以为：1（低，使用 768 位密钥材料保护），2（中等，使用 1024 位保护）以及 3（高，使用 2048 位保护）。

• 如果为策略指定新的名称，请不要使用名称 all。这样做会与选择所有 IPSec 策略的 netsh ipsec 选项（例如 delete policy all）产生冲突。
  
  
• 如果指定了 set store=domain（当 IPSec 策略存储在 Active Directory 中时），assign 将无效。
  
  
• 如果指定 mmpfs=yes（启用主密钥 PFS），则 qmperm 的默认设置为 1 且不可配置，因为每一个新会话都将使主密钥的密钥材料被重新协商。
  
  
• IPSec 双方都必须具有至少一个通用的密钥交换安全措施（使用相同设置的措施），否则协商将会失败。
  
  
• 如果设置为 set store=domain，则只能指定一个组策略对象名称。
  
  
• 所有字符串参数都区分大小写。
  
  

set rulename= | ID=policy= [newname=][description=][filterlist=] [filteraction=] [tunnel=][conntype=] [activate=][kerberos=][psk=][rootca=]

name=字符串| ID=Integer

必需。指定要修改的规则的名称或 ID（标识规则在策略规则列表中的位置的编号）。

policy=字符串

必需。指定包含该规则的 IPSec 策略的名称。

[ newname=字符串]

指定规则的新名称。

[ description=字符串]

提供有关该规则的信息。

[ filterlist=字符串]

指定适用于该规则的 IP 筛选器列表的名称。

[ filteraction=字符串]

指定适用于该规则的 IP 筛选器操作的名称。

[ tunnel={IPAddress | DNSName}]

为隧道模式指定隧道端点的 IP 地址或 DNS 名称。

[ conntype={lan | dialup | all}]

指定该规则是仅应用于远程访问、拨号连接或局域网 (LAN) 连接，还是应用于所有连接。

[ activate={yes | no}]

指定是否为指定的 IPSec 策略激活该规则。

[ kerberos={yes | no}]

指定是否将 Kerberos V5 协议作为身份验证方法。

[ psk=字符串]

如果将预共享的密钥作为身份验证方法，则指定用于该预共享密钥的字符串。

[ rootca="Stringcertmap:{yes| no} excludecaname:{yes| no} "]

指定证书身份验证选项，其中：

String

如果将证书作为身份验证方法，则指定该证书的可分辨名称。

certmap:{yes|no}

指定是否启用证书到帐户的映射。可以启用证书到帐户映射，以验证证书是否正在被受信任的计算机使用。

excludecaname:{yes|no}

指定是否从证书申请中排除受信任的根 CA 名称列表（从中接受证书）。

• 对于作为 Active Directory 域成员的计算机，只能使用 Kerberos V5 身份验证或证书到帐户的映射。
  
  
• 尽管只能使用一个预共享的密钥进行身份验证，但是如果为每个要使用的证书都指定一次 rootca 参数，则可以使用多个证书。
  
  
• 所有的证书身份验证参数都必须包含在引号中。嵌入式引号标记必须用后面跟撇号的反斜杠替换 (\')。
  
  
• 所有字符串参数都区分大小写。
  
  
• 在命令中为每个身份验证方法指定的顺序决定了该方法的首选顺序。
  
  
• 如果未指定身份验证方法，则使用动态的默认值。默认情况下，IPSec 策略使用 Kerberos V5 身份验证。如果该计算机具有计算机证书，则与该计算机证书链接的任意根 CA 也可用作身份验证。
  
  
• 如果指定了 excludecaname:yes，则受信任的根 CA 的列表不作为证书申请的一部分被发送，从而杜绝了有关计算机信任关系的敏感信息泄漏的可能性。要增强连接到 Internet 的计算机的安全性，请指定该选项。
  
  
• 不推荐使用预共享密钥身份验证方法，因为相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。
  
  
• IPSec 双方都必须有至少一个通用身份验证方法，否则通讯将失败。
  
  
• 修改身份认证方法将会覆盖所有以前的身份认证方法，即使以前的身份认证方法有所不同。例如，如果已指定了 kerberos=yes 和 psk=yes，而后又指定了 kerberos=no，则 psk=yes 参数也将被覆盖，而且不再使用预共享的密钥身份验证。
  
  

set storelocation= [domain=]

location={local | persistent | domain}

必需。指定 IPSec 策略的存储位置。

[ domain=]

如果策略存储在 Active Directory 中（当指定 location=domain 时），则指定存储 IPSec 策略的域的名称。

• set store 命令仅在 netsh 上下文中有效，就是说：
  
  
  • 如果从 netsh ipsec 上下文的命令提示符下运行该命令；
    
    
  • 如果通过使用 netsh.exe 命令运行批处理文件。
    
    
• 持久存储中包含 IPSec 策略，通过指派这些策略，可以保护该计算机在启动时（在应用本地策略或基于域的策略之前）的安全。一旦出现故障，持久 IPSec 策略将提供安全保护，因为无论应用的是本地策略还是基于域的策略（例如，如果 IPSec 策略被破坏，则可能不会应用该策略），持久 IPSec 策略都将保持有效。为了增强安全性，建议您创建并指派持久策略。
  
  
• 可以指派本地存储中包含的 IPSec 策略来保护该计算机的安全。如果域策略可用，将应用域策略而不是本地策略。
  
  
• 可以指派域存储中包含的 IPSec 策略来保护域中计算机组的安全。
  
  
• 建议将持久策略设置为所有策略中限制性最严格的策略。域策略和本地策略应当补充持久策略。
  
  
• 使用 set machine 命令来配置远程计算机。
  
  
• 所有字符串参数都区分大小写。
  
  

show all [format=] [wide=]

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ wide={yes | no}]

指定是否允许 IPSec 配置信息的显示超过 80 个字符的屏幕宽度。默认值为 no，表示配置信息的显示限制在屏幕宽度之内。

• 由于 show all 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show all 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show filteractionname= | rule= | all [level=][format=] [wide=]

name=字符串| rule=字符串| all

必需。指定一个或多个将显示其配置信息的筛选器操作。如果指定了 name，将显示具有指定名称的筛选器操作。如果指定了 rule，将显示与指定的规则关联的所有筛选器操作。如果指定了 all，将显示所有筛选器操作。

[ level={verbose | normal}]

指定要显示的信息的级别。如果指定了 verbose，除了基本筛选器操作信息以外，还将显示有关安全方法、策略存储位置以及是否启用会话密钥完全向前保密 (PFS) 的信息。默认值为 normal。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ wide={yes | no}]

指定是否允许 IPSec 配置信息的显示超过 80 个字符的屏幕宽度。默认值为 no，表示配置信息的显示限制在屏幕宽度之内。

• 所有字符串参数都区分大小写。
  
  
• 由于 show filteraction 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show filteraction 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show filteractionName | Rule | all [level=verbose | normal]
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show filteractionName | Rule | all [level=verbose | normal] >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show filterlistname= | rule= | all [level=][format=][resolvedns=] [wide=]

name=字符串| rule=字符串| all

必需。指定要显示的一个或多个筛选器列表。如果指定了 name，将显示具有指定名称的筛选器列表。如果指定了 rule，将显示与指定的规则关联的所有筛选器列表。如果指定了 all，将显示所有筛选器列表。

[ level={verbose | normal}]

指定要显示的信息的级别。如果指定了 verbose，除了基本筛选器列表信息以外，还将显示由每个筛选器所定义的 IP 通讯的源、目标和类型。默认值为 normal。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。如果指定了 yes，则还必须将 level 设置为 verbose，否则将不显示 DNS 名称。默认值为 no。

[ wide={yes | no}]

指定是否允许 IPSec 配置信息的显示超过 80 个字符的屏幕宽度。默认值为 no，表示配置信息的显示限制在屏幕宽度之内。

• 所有字符串参数都区分大小写。
  
  
• 由于 show filterlist 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show all 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show filterlistName | rule | all [level=verbose | normal][resolvedns=yes | no
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show filterlistName | rule | all [level=verbose | normal][resolvedns=yes | no >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show gpoassignedpolicy [name= ]

[ name=字符串]

指定为其指派活动 IPSec 策略的组策略对象的名称。如果没有指定名称，将显示本地 IPSec 策略。

• 如果设置为 set store=domain，则只能指定一个组策略对象名称。
  
  
• 所有字符串参数都区分大小写。
  
  要将 show gpossignedpolicy 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show gpoassignedpolicy [Name]
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show gpoassignedpolicy [Name] >FileName.txt
    
    

show policyname= | all [level=] [format=] [wide=]

name=字符串| all

必需。指定要显示的 IPSec 策略的名称，或者如果指定了 all，则显示所有 IPSec 策略。

[ level={verbose | normal}]

指定要显示的信息的级别。如果指定了 verbose，除了有关筛选器操作和规则的信息以外，还将显示安全方法和身份验证方法。默认值为 normal。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ wide={yes | no}]

指定是否允许 IPSec 配置信息的显示超过 80 个字符的屏幕宽度。默认值为 no，表示配置信息的显示限制在屏幕宽度之内。

• 所有字符串参数都区分大小写。
  
  
• 由于 show policy 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show policy 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show policyName | all >FileName.txt
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show policyName | all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show rulename= | ID= | all | defaultpolicy= [type=][level=][format=] [wide=]

name={字符串 | ID=Integer | all | default}

必需。指定要显示的一个或多个规则。如果指定了规则名称或规则 ID（用来标识规则在策略规则列表中的位置的编号），将显示相应的规则。如果指定了 all，将显示指定策略的所有规则。如果指定了 default，将显示默认响应规则。

policy=字符串

必需。指定要显示其指定规则或所有规则的策略的名称。

[ type={transport | tunnel}]

指定是否显示所有传输规则或所有隧道规则。默认值是显示所有规则。

[ level={verbose | normal}]

指定要显示的信息的级别。如果指定了 verbose，除了显示与规则有关的基本信息以外，还将显示与关联的筛选器操作有关的信息。默认值为 normal。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ wide={yes | no}]

指定是否允许 IPSec 配置信息的显示超过 80 个字符的屏幕宽度。默认值为 no，表示配置信息的显示限制在屏幕宽度之内。

• 如果使用 type 参数，还必须使用 all 参数（必须指定 show rule all）。
  
  
• 所有字符串参数都区分大小写。
  
  
• 由于 show rule 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show rule 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec static show ruleName | ID | all | defaultPolicy [level=verbose | normal]
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec static show ruleName | ID | all | defaultPolicy [level=verbose | normal] >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

add mmpolicyname= [qmpermm=] [mmlifetime=][softsaexpirationtime=][mmsecmethods=]

name=字符串

必需。指定要创建的 IPSec 策略的名称。

[ qmpermm=Integer]

指定主密钥材料可用来派生会话密钥的次数。默认值为 0，这意味着可以从主模式 SA 派生出无限多个快速模式 SA。

[ mmlifetime=Integer]

指定生成新主密钥所需的分钟数。默认值为 480 分钟。

[ softsaexpirationtime=Integer]

指定未受保护的安全关联存活的分钟数。默认值为 480 分钟。

[ mmsecmethods="SecMeth1SecMeth2"]

指定由空格分隔并按以下格式定义的一个或多个密钥交换安全措施：ConfAlg-HashAlg-GroupNumb，其中：

ConfAlg

指定加密算法。ConfAlg 可以是 DES 或 3DES。

HashAlg

指定哈希函数。HashAlg 可以是 MD5 或 SHA1。

GroupNum

指定用于基本密钥材料的 Diffie-Hellman 组。GroupNumb 可以为：1（低，使用 768 位密钥材料保护），2（中等，使用 1024 位保护）以及 3（高，使用 2048 位保护）。

• 不要创建名称为 all 的主模式策略。这样做会与选择所有主模式 IPSec 策略的 netsh ipsec 选项（例如 delete mmpolicy all）产生冲突。
  
  
• 在主模式生命周期内，如果快速模式协商数超过按照主模式协商为快速模式协商数设置的值，将发生新的主模式协商。
  
  
• 如果未指定 mmsecmethods=（密钥交换安全措施），则使用如下默认值：
  
  
  • 3DES-SHA1-2
    
    
  • 3DES-MD5-2
    
    
  • 3DES-SHA1-3
    
    
• IPSec 双方都必须具有至少一个通用的密钥交换安全措施（使用相同设置的措施），否则协商将会失败。
  
  
• 所有字符串参数都区分大小写。
  
  

add qmpolicyname= [soft=][pfsgroup=][qmsecmethods=]

name=字符串

必需。指定要创建的 IPSec 快速模式策略的名称。

[ soft={yes | no}]

指定当其他计算机不支持 IPSec 时，或者与具有 IPSec 功能的计算机进行 IPSec 协商失败时，是否重新使用不安全的通讯。默认值为 no。

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

指定用于会话密钥 PFS 的 Diffie-Hellman 组。如果指定 grp1，则使用“组 1”（低）。如果指定 grp2，则使用“组 2”（中）。如果指定 grp3，则使用“组 2048”（高）。如果指定 grpmm，则从当前主模式设置中提取组值。默认值为 nopfs，表示会话密钥 PFS 已被禁用。

[ qmsecmethods="Neg1Neg2"]

指定由空格分隔并按以下格式定义的一个或多个安全措施： {ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] 其中：

ConfAlg

指定加密算法。ConfigAlg 可以是 DES（数据加密标准）、3DES 或无。

AuthAlg

指定完整性算法。AuthAlg 可以是 MD5（消息摘要 5）、SHA1（安全哈希算法 1）或无。

HashAlg

指定哈希函数。HashAlg 可以是 MD5（消息摘要 5）或 SHA1（安全哈希算法 1）。

k

指定以千字节为单位的会话密钥生命周期。传输了指定千字节的数据后，会为快速模式 SA 生成新的会话密钥。默认值为 100000 千字节。

s

指定以秒为单位的会话密钥生命周期。默认值是 3600 秒。

• 不要创建名称为 all 的快速模式策略。这样做会与选择所有 IPSec 快速模式策略的 netsh ipsec 选项（例如 delete qmpolicy all）产生冲突。
  
  
• 如果未指定 qmsecmethods=（快速模式安全措施），则将使用以下默认值：
  
  
  • ESP [3DES, SHA1]100000k/3600s
    
    
  • ESP [3DES, MD5]100000k/3600s
    
    
• 不能将 ConfAlg 和 AuthAlg 同时设置为无。
  
  
• IPSec 双方必须启用相同的 pfsgroup（就是说，通讯双方都必须将相同的 Diffie-Hellman 组用于会话密钥 PFS），否则通讯将失败。
  
  
• 为了获得增强的安全性，请不要使用 Diffie-Hellman“组 1”。为获得最佳安全性，请尽可能使用“组 2048”。当需要保证与 Windows 2000 和 Windows XP 的互操作性时，请使用组 2。
  
  
• 所有字符串参数都区分大小写。
  
  

add rulesrcaddr=dstaddr=mmpolicy=[qmpolicy=][protocol=][srcport=][dstport=][mirrored=][conntype=][actioninbound=][actionoutbound=][srcmask=][dstmask=][tunneldstaddress=][kerberos=][psk=][rootca=]

srcaddr={Me | Any | IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

dstaddr={Me | Any |IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

mmpolicy=字符串

必需。指定主模式策略的名称。

[ qmpolicy=]字符串

指定快速模式策略的名称。如果指定了 actioninbound=negotiate 或 actionoutbound=negotiate，则是必需的。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

指定 IP 协议（如果除了地址信息还想筛选特定的 IP 协议）。默认值为 ANY，表示该筛选器可以使用所有协议。

[ srcport=Port]

指定将被筛选的数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则来自任何端口的数据包都将被筛选。默认设置为任意值。

[ dstport=Port]

指定将被筛选的数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则发送到任何端口的数据包都将被筛选。默认设置为任意值。

[ mirrored={yes | no}]

指定是否创建镜像筛选器。使用 yes 可以基于筛选器设置创建两个筛选器，一个用于到目标的通讯，一个用于来自目标的通讯默认设置为 yes。

[ conntype={lan | dialup | all}]

指定该规则是仅应用于远程访问、拨号连接或局域网 (LAN) 连接，还是应用于所有连接。默认值为 all。

[ actioninbound={permit | block | negotiate}]

指定 IPSec 要为入站通讯执行的操作。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，接收通讯。如果指定 block，则通讯将被阻止。如果指定 negotiate，将使用 IP 安全，并使用在主模式和快速模式策略中指定的安全方法列表。默认值为 negotiate。

[ actionoutbound={permit | block | negotiate}]

指定 IPSec 要为出站通讯执行的操作。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，发送通讯。如果指定 block，则通讯将被阻止。如果指定 negotiate，将使用 IP 安全，并使用在主模式和快速模式策略中指定的安全方法列表。默认值为 negotiate。

[ srcmask={Mask | Prefix}]

指定将被筛选的数据包源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定将被筛选的数据包目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ tunneldstaddress={IPAddress | DNSName}]

指定是否使用隧道技术进行通讯，如果允许，则指定隧道目标（隧道另一端的计算机或网关）的 IP 地址或 DNS 名称。

[ kerberos={yes | no}]

指定是否将 Kerberos V5 协议作为身份验证方法。

[ psk=字符串]

如果将预共享的密钥作为身份验证方法，则指定用于该预共享密钥的字符串。

[ rootca="Stringcertmap:{yes| no} excludecaname:{yes| no} "]

指定证书身份验证选项，其中：

String

如果将证书作为身份验证方法，则指定该证书的可分辨名称。

certmap:{yes|no}

指定是否启用证书到帐户的映射。可以启用证书到帐户映射，以验证证书是否正在被受信任的计算机使用。

excludecaname:{yes|no}

指定是否从证书申请中排除受信任的根 CA 名称列表（从中接受证书）。

• 不要创建名为 all 的规则。这样做会与选择所有 IPSec 规则的 netsh ipsec 选项（例如 delete rule all）产生冲突。
  
  
• 如果入站和出站通讯的筛选器操作（actioninbound 和 actionoutbound）设置为 Permit 或 Block，则不要求快速模式筛选器。
  
  
• 如果指定了隧道规则，则应当将 mirror 设置为 no（mirror 的默认设置为 yes）。对于 IPSec 隧道，必须创建两个规则：一个规则描述将通过隧道发送的通讯（出站通讯），另一个则描述将通过隧道接收的通讯（入站）。然后创建两个规则，这些规则使用策略中的入站与出站筛选器列表。
  
  
• 要筛选进出特定计算机的任何数据包，可以使用 srcaddr=Me 或 dstaddr=Me。
  
  
• 要筛选进出任何计算机的数据包，可以使用 srcaddr=Any 或 dstaddr=Any。
  
  
• 对于作为 Active Directory 域成员的计算机，只能使用 Kerberos V5 身份验证或证书到帐户的映射。
  
  
• 尽管只能使用一个预共享的密钥进行身份验证，但是如果为每个要使用的证书都指定一次 rootca 参数，则可以使用多个证书。
  
  
• 所有的证书身份验证参数都必须包含在引号中。嵌入式引号标记必须用后面跟撇号的反斜杠替换 (\')。
  
  
• 所有字符串参数都区分大小写。
  
  
• 在命令中为每个身份验证方法指定的顺序决定了该方法的首选顺序。
  
  
• 如果未指定身份验证方法，则使用动态的默认值。默认情况下，IPSec 策略使用 Kerberos V5 身份验证。如果该计算机具有计算机证书，则与该计算机证书链接的任意根 CA 也可用作身份验证。
  
  
• 如果指定了 excludecaname:yes，则受信任的根 CA 的列表不作为证书申请的一部分被发送，从而杜绝了有关计算机信任关系的敏感信息泄漏的可能性。要增强连接到 Internet 的计算机的安全性，请指定该选项。
  
  
• 不推荐使用预共享密钥身份验证方法，因为相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。
  
  
• IPSec 双方都必须有至少一个通用身份验证方法，否则通讯将失败。
  
  

delete all

无。

delete mmpolicyname= | all

name=字符串| all

必需。指定要删除的 IPSec 主模式策略的名称。或者，如果指定了 all，则删除所有 IPSec 主模式策略。

• 如果有规则与主模式策略关联，必须先删除规则然后才能删除策略。
  
  
• 所有字符串参数都区分大小写。
  
  

delete qmpolicy [name=] | [all]

name=字符串| all

必需。指定要删除的 IPSec 快速模式策略的名称。或者，如果指定了 all，则删除所有 IPSec 快速模式策略。

• 如果有规则与快速模式策略关联，则必须先删除规则然后才能删除策略。
  
  
• 所有字符串参数都区分大小写。
  
  

delete rulesrcaddr=dstaddr=protocol=srcport=dstport=mirrored=conntype=[srcmask=][dstmask=][tunneldstaddress=]

srcaddr={Me | Any | IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

dstaddr={Me | Any |IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

protocol={ANY | ICMP |TCP| UDP | RAW | Integer }

必需。指定用于筛选器的 IP 协议。

srcport=Port

必需。指定当前被筛选数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值 0 表示与源端口设置为 0 或 any 的筛选器匹配。

dstport=Port

必需。指定当前被筛选数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值 0 表示与目标端口设置为 0 或 any 的筛选器匹配。

mirrored={yes | no}

必需。指定是否使用镜像的筛选器创建了规则。

conntype={lan | dialup | all}

必需。指定将要删除的规则是仅应用于远程访问、拨号连接或局域网 (LAN) 连接，还是应用于所有连接。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ tunneldstaddress={IPAddress | DNSName}]

指定是否使用隧道技术进行通讯，如果允许，则指定隧道目标（隧道另一端的计算机或网关）的 IP 地址或 DNS 名称。

• 要筛选进出特定计算机的任何数据包，可以使用 srcaddr=Me 或 dstaddr=Me。
  
  
• 要筛选进出任何计算机的数据包，可以使用 srcaddr=Any 或 dstaddr=Any。
  
  

set config [property=] [value=]

[ property=]{ipsecdiagnostics value= | ipsecexempt value= | ipsecloginterval value= | ikelogging value= | strongcrlcheck value= | bootmode value= | bootexemptions value=}

必需。指定要创建或修改的 IPSec 设置的名称，以及该设置的值， 其中：

ipsecdiagnostics value={0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}

指定是否启用 IPSec 诊断日志记录，如果启用，则提供哪个级别的日志记录。默认值是 0，表示禁用日志记录。如果更改该设置的值，必须重新启动计算机才能使新的值生效。 可以指定下列其他值，以启用其他级别的日志记录：

• 如果指定 1，将在系统日志中记录损坏的 SPI 数据包（“安全参数索引 (SPI)”不正确的数据包的总数）、IKE 协商失败、IPSec 处理失败、接收到的其数据包语法无效的数据包，以及其他错误。未进行身份验证的哈希（“Clear text received when should have been secured”事件除外）也将记录在日志中。
  
  
• 如果指定 2，系统日志中将记录入站每数据包丢弃事件。
  
  
• 如果指定 3，则执行级别 1 和级别 2 日志。此外，还会记录意外的明文事件（以明文形式发送或接收的数据包）。
  
  
• 如果指定 4，系统日志中将记录出站每数据包丢弃事件。
  
  
• 如果指定 5，则执行级别 1 和级别 4 日志。
  
  
• 如果指定 6，则执行级别 2 和级别 4 日志。
  
  
• 如果指定 7，则执行所有级别的记录。
  
  

ipsecexempt value={ 0 | 1 | 2 | 3}

指定是否修改默认 IPSec 通讯免除（不能通过 IPSec 筛选器但仍然允许的通讯）。默认值是 3，表示只从 IPSec 筛选中免除 IKE 通讯。如果更改该设置的值，必须重新启动计算机才能使新的值生效。 可以指定下列其他值：

• 如果指定 0，将从 IPSec 筛选中免除多播、广播、RSVP、Kerberos 和 IKE 通讯。
  
  
• 如果指定 1，则不从 IPSec 筛选中免除 Kerberos 和 RSVP 通讯（免除多播、广播和 IKE 通讯）。
  
  
• 如果指定 2，则不从 IPSec 筛选中免除多播和广播通讯（但免除 RSVP、Kerberos 和 IKE 通讯）。
  
  

ipsecloginterval value={Integer}

指定间隔多少秒之后将 IPSec 事件日志发送到系统日志。对于 Integer，有效值的范围是从 60 到 86400。默认值为 3600。如果更改该设置的值，必须重新启动计算机才能使新的值生效。

ikelogging value={0 | 1}

指定是否启用 IKE (Oakley) 日志记录，以生成有关 SA 建立过程的详细信息。默认值是 0，表示禁用 IKE 日志记录。

strongcrlcheck value={ 0 | 1 | 2}

指定要使用的 CRL 检查的级别。如果指定 0，则禁用 CRL 检查。如果指定 1，则使用标准的 CRL 检查，并且只有当确实要吊销证书时，证书验证才会失败。如果指定 2，则使用强 CRL 检查，并且如果发生任何 CRL 检查错误，证书验证都会失败。默认值为 1。

bootmode value={stateful | block | permit}

指定当计算机启动时需要 IPSec 才能执行的操作。如果指定 stateful，则在计算机启动过程中只允许下列通讯：启动过程中由计算机在启动的出站通讯、为了响应出站通讯而发送的入站通讯和 DHCP 通讯。如果指定 block，则会阻塞所有入站和出站通讯，直到应用了本地 IPSec 策略或基于域的 IPSec 策略为止。如果指定了 permit，将传输和接收所有通讯。默认值为 stateful。如果使用状态筛选，或者指定在计算机启动期间阻塞通讯，还可以使用 bootexemptions 参数来指定在计算机启动期间要从 IPSec 筛选中免除的通讯类型。 如果更改该设置的值，必须重新启动计算机才能使新的值生效。

bootexemptions value=Exemption1Exemption2

指定从启动安全免除的一个或多个 IPSec 通讯，它们以空格分隔并按下列 TCP 和 UDP 通讯格式定义：protocol:srcport:dstport:direction 和下列非 TCP/UDP 通讯格式：protocol:direction，其中：

protocol={ ICMP| TCP| UDP| RAW| Integer }

指定在计算机启动期间从 IPSec 筛选中免除的 IP 协议类型。

srcport=Port

指定要在计算机启动期间从 IPSec 筛选中免除的数据包的源端口号。值为 0 意味着免除任何源端口。

dstport=Port

指定要在计算机启动期间从 IPSec 筛选中免除的数据包的目标端口号。值为 0 意味着免除任何目标端口。

direction={ inbound | outbound}

指定要在计算机启动期间从 IPSec 筛选中免除的通讯的方向。

• 如果 CRL 分发点必须能够通过网络访问到，并且只能在没有发生 CRL 检查错误的情况下验证证书，则使用强 CRL 检查（设置 property=strongcrlcheck value=2）。
  
  
• 如果 IPSec 策略不使用 Kerberos 作为身份验证方法，则 IPSec 只能协商 Kerberos 通讯的安全关联。如果身份验证必须使用 Kerberos，则必须通过使用 ipsecexempt 参数来免除 Kerberos 通讯。
  
  
• 在 Windows 2000 和 Windows XP 中，默认情况下，IPSec 筛选会免除所有的广播、多播、Internet 密钥交换 (IKE)、Kerberos 和资源保留协议 (RSVP) 通讯。在 Windows Server™ 2003 家族中，默认情况下，IPSec 筛选只免除 IKE 通讯。现在 IPSec 筛选器会对所有其他通讯类型进行匹配，您可以专门为多播和广播通讯配置阻止或允许筛选器操作（IPSec 并不为多播和广播通讯进行安全关联协商）。
  
  该更改会影响到 IPSec 的默认行为，应当验证为 Windows 2000 或 Windows XP 而设计的 IPSec 策略的行为，并确定是否配置显式的允许筛选器来允许特定的通讯类型。若要恢复 Windows 2000 和 Windows XP 中 IPSec 策略的默认行为，请编辑下列注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec。添加名为 NoDefaultExempt 的新 DWORD 值，并对它赋值为 0。有关向注册表项中添加值的详细信息，请参阅向注册表项添加值。
  
  

警告

• 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机上任何有价值的数据。
  
  
• 修改启动安全中的 IPSec 通讯免除（即修改参数 bootexemptions=）将覆盖启动安全中的所有以前的免除。
  
  

set mmpolicyname= [qmperm=][mmlifetime=][softsaexpirationtime=][mmsecmethods=]

name=字符串

必需。指定要修改的 IPSec 主模式策略的名称。

[ qmpermm=Integer]

指定使用主密钥材料派生出会话密钥的次数。值为 0 意味着可以从主模式 SA 派生出无数次的快速模式 SA。

[ mmlifetime=Integer]

指定生成新主密钥所需的分钟数。

[ softsaexpirationtime=Integer]

指定未受保护的安全关联存活的分钟数。

[ mmsecmethods="SecMeth1SecMeth2"]

指定一个或多个密钥交换安全方法，这些方法由空格分隔并按下列格式定义：ConfAlg-HashAlg-GroupNumb，其中：

ConfAlg

指定加密算法。ConfAlg 可以是 DES 或 3DES。

HashAlg

指定哈希函数。HashAlg 可以是 MD5 或 SHA1。

GroupNum

指定用于基本密钥材料的 Diffie-Hellman 组。GroupNumb 可以为：1（低，使用 768 位密钥材料保护），2（中等，使用 1024 位保护）以及 3（高，使用 2048 位保护）。

• IPSec 双方都必须具有至少一个通用的密钥交换安全措施（使用相同设置的措施），否则协商将会失败。
  
  
• 在主模式生存期内，如果快速模式协商数超过按照主模式协商为快速模式协商数设置的值，将发生新的主模式协商。
  
  
• 所有字符串参数都区分大小写。
  
  

set qmpolicyname= [soft=][pfsgroup=][qmsecmethods=]

name=字符串

必需。指定快速模式策略的名称。

[ soft={yes | no}]

指定当其他计算机不支持 IPSec 时，或者与具有 IPSec 功能的计算机进行 IPSec 协商失败时，是否重新使用不安全的通讯。

[ pfsgroup={grp1 | grp2 | grp3 | grpmm | nopfs}]

指定用于会话密钥 PFS 的 Diffie-Hellman 组。如果指定 grp1，则使用“组 1”（低）。如果指定 grp2，则使用“组 2”（中）。如果指定 grp3，则使用“组 2048”（高）。如果指定 grpmm，则从当前主模式设置中提取组值。值为 nopfs 表示禁用会话密钥 PFS。

[ qmsecmethods="Neg1Neg2"]

指定一个或多个安全措施，这些措施以空格分隔并按下列格式定义：{ESP [ConfAlg,AuthAlg]:k/s | AH [HashAlg]:k/s | AH [HashAlg+ESPConfAlg,AuthAlg]:k/s}] 其中：

ConfAlg

指定加密算法。ConfigAlg 可以是 DES（数据加密标准）、3DES 或无。

AuthAlg

指定完整性算法。AuthAlg 可以是 MD5（消息摘要 5）、SHA1（安全哈希算法 1）或无。

HashAlg

指定哈希函数。HashAlg 可以是 MD5 或 SHA1。

k

指定以千字节为单位的会话密钥生命周期。传输了指定千字节的数据后，会为快速模式 SA 生成新的会话密钥。默认值为 100000 千字节。

s

指定以秒为单位的会话密钥生命周期。默认值是 3600 秒。

• 在命令中指定的每个快速模式安全措施的顺序决定了该安全措施的首选顺序。
  
  
• IPSec 双方必须启用相同的 pfsgroup（就是说，通讯双方都必须将相同的 Diffie-Hellman 组用于会话密钥 PFS），否则通讯将失败。
  
  
• 为了获得增强的安全性，请不要使用 Diffie-Hellman“组 1”。为获得最佳安全性，请尽可能使用“组 2048”。当需要保证与 Windows 2000 和 Windows XP 的互操作性时，请使用组 2。
  
  
• 所有字符串参数都区分大小写。
  
  

set rulesrcaddr=dstaddr=protocol=srcport=dstport=mirrored=conntype= [srcmask=][dstmask=][tunneldstaddress=][mmpolicy=][qmpolicy=][actioninbound=][actionoutbound=][kerberos=][psk=][rootca=]

srcaddr={Me | Any | IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

dstaddr={Me | Any |IPAddress | DNSName | ServerType}

必需。指定 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

protocol={ANY | ICMP |TCP| UDP | RAW | Integer }

必需。指定用于筛选器的 IP 协议。

srcport=Port

必需。指定当前被筛选数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值 0 表示与源端口设置为 0 或 any 的筛选器匹配。

dstport=Port

必需。指定当前被筛选数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。值 0 表示与目标端口设置为 0 或 any 的筛选器匹配。

mirrored={yes | no}

必需。指定是否使用镜像的筛选器创建了规则。

conntype={lan | dialup | all}

必需。指定该规则是仅应用于远程访问、拨号连接或局域网 (LAN) 连接，还是应用于所有连接。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ tunneldstaddress={IPAddress | DNSName}]

指定是否使用隧道技术进行通讯，如果允许，则指定隧道目标（隧道另一端的计算机或网关）的 IP 地址或 DNS 名称。

[ mmpolicy=字符串]

指定主模式策略的名称。

[ qmpolicy=字符串]

指定快速模式策略的名称。

[ actioninbound={permit | block | negotiate}]

指定 IPSec 要为入站通讯执行的操作。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，接收通讯。如果指定 block，则通讯将被阻止。如果指定 negotiate，将使用 IP 安全，并使用在主模式和快速模式策略中指定的安全方法列表。

[ actionoutbound={permit | block | negotiate}]

指定 IPSec 要为出站通讯执行的操作。如果指定 permit，则可在不协商或不应用 IP 安全的情况下，发送通讯。如果指定 block，则通讯将被阻止。如果指定 negotiate，将使用 IP 安全，并使用在主模式和快速模式策略中指定的安全方法列表。

[ kerberos={yes | no}]

指定是否将 Kerberos V5 协议作为身份验证方法。

[ psk=字符串]

如果将预共享的密钥作为身份验证方法，则指定用于该预共享密钥的字符串。

[ rootca="Stringcertmap:{yes| no} excludecaname:{yes| no} "]

指定证书身份验证选项，其中：

String

如果将证书作为身份验证方法，则指定该证书的可分辨名称。

certmap:{yes|no}

指定是否启用证书到帐户的映射。可以启用证书到帐户映射，以验证证书是否正在被受信任的计算机使用。

excludecaname:{yes|no}

指定是否从证书申请中排除受信任的根 CA 名称列表（从中接受证书）。

• 可以修改下列参数：mmpolicy=、qmpolicy=、actioninbound= 和 actionoutbound=。其他所有参数均用于标识想要修改的规则，因此不能修改它们。
  
  
• 如果入站和出站通讯的筛选器操作（actioninbound 和 actionoutbound）设置为 Permit 或 Block，则不要求快速模式筛选器。
  
  
• 如果指定了隧道规则，则应当将 mirror 设置为 no（mirror 的默认设置为 yes）。进行隧道操作时，必须手动创建下面两个规则：其中一个规则描述通过隧道发出的通讯（出站通讯），另一个规则描述通过隧道接收的通讯（入站通讯）。然后创建两个规则，这些规则使用策略中的入站与出站筛选器列表。
  
  
• 要筛选进出特定计算机的任何数据包，可以使用 srcaddr=Me 或 dstaddr=Me。
  
  
• 要筛选进出任何计算机的数据包，可以使用 srcaddr=Any 或 dstaddr=Any。
  
  
• 对于作为 Active Directory 域成员的计算机，只能使用 Kerberos V5 身份验证或证书到帐户的映射。
  
  
• 尽管只能使用一个预共享的密钥进行身份验证，但是如果为每个要使用的证书都指定一次 rootca 参数，则可以使用多个证书。
  
  
• 所有的证书身份验证参数都必须包含在引号中。嵌入式引号标记必须用后面跟撇号的反斜杠替换 (\')。
  
  
• 所有字符串参数都区分大小写。
  
  
• 在命令中为每个身份验证方法指定的顺序决定了该方法的首选顺序。
  
  
• 如果未指定身份验证方法，则使用动态的默认值。默认情况下，IPSec 策略使用 Kerberos V5 身份验证。如果该计算机具有计算机证书，则与该计算机证书链接的任意根 CA 也可用作身份验证。
  
  
• 如果指定了 excludecaname:yes，则受信任的根 CA 的列表不作为证书申请的一部分被发送，从而杜绝了有关计算机信任关系的敏感信息泄漏的可能性。要增强连接到 Internet 的计算机的安全性，请指定该选项。
  
  
• 不推荐使用预共享密钥身份验证方法，因为相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。
  
  
• IPSec 双方都必须有至少一个通用身份验证方法，否则通讯将失败。
  
  
• 修改身份认证方法将会覆盖所有以前的身份认证方法，即使以前的身份认证方法有所不同。例如，如果已指定了 kerberos=yes 和 psk=yes，而后又指定了 kerberos=no，则 psk=yes 参数也将被覆盖，而且不再使用预共享的密钥身份验证。
  
  

show all [resolvedns=]

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。

• 由于 show all 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show all 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show config

无。

• 要将 show config 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show config
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show config >FileName.txt
    
    

show mmfiltername= | all [type=] srcaddr=dstadd= [srcmask=][dstmask=] [resolvedns=]

name=字符串| all

必需。指定要显示的 IPSec 主模式筛选器的名称。或者，如果指定 all，则显示所有 IPSec 主模式筛选器。

type={generic | specific}

指定是否显示一般的或指定的主模式筛选器。默认值为 generic。

[ srcaddr={Me | Any |IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ dstaddr={Me | Any | IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。默认值为 no。

• 所有字符串参数都区分大小写。
  
  
• 由于 show mmfilter 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show mmfilter 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show mmfilterName | all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    ipsec dynamic show mmfilterName | all >=FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show mmpolicyname= | all

name=字符串| all

必需。指定要显示的 IPSec 主模式策略的名称。或者，如果指定 all，则显示所有 IPSec 主模式策略。

• 所有字符串参数都区分大小写。
  
  
• 由于 show mmpolicy 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show mmpolicy 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show mmpolicyName | all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    ipsec dynamic show mmpolicyName | all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show mmsas [all] [srcaddr=][dstaddr=][format=] [resolvedns=]

[ all]

指定显示所有主模式安全关联。

[ srcaddr={Me | Any |IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ dstaddr={Me | Any | IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。默认值为 no。

• 如果没有指定参数，将显示所有主模式安全关联。
  
  
• 所有字符串参数都区分大小写。
  
  
• 由于 show mmsas 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show mmsas 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show mmsas
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show mmsas >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show qmfiltername= | all [type=] [srcaddr=][dstaddr=][srcmask=][dstmask=][protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

name=字符串| all

必需。指定要显示的 IPSec 快速模式筛选器的名称，或者，如果指定 all，则显示所有 IPSec 快速模式筛选器。

[ type={generic | specific}]

指定是否显示一般的或指定的快速模式筛选器。默认值为 generic。

[ srcaddr={Me | Any |IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ dstaddr={Me | Any | IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

除了寻址信息外，如果筛选某个特定的 IP 协议，则指定该 IP 协议。默认值为 ANY，表示该筛选器可以使用所有协议。

[ srcport=Port]

指定当前被筛选数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则来自任何端口的数据包都将被筛选。默认设置为任意值。

[ dstport=Port]

指定当前被筛选数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则发送到任何端口的数据包都将被筛选。默认设置为任意值。

[ actioninbound={permit | block | negotiate}]

指定 IPSec 要为入站通讯执行的操作。默认值为 negotiate。

[ actionoutbound={permit | block | negotiate}]

指定 IPSec 要为出站通讯执行的操作。默认值为 negotiate。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。默认值为 no。

• 所有字符串参数都区分大小写。
  
  
• 由于 show qmfilter 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show qmfilter 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show qmfilter Name | all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show qmfilter Name | all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show qmpolicyname= | all

name=字符串| all

必需。指定要显示的 IPSec 快速模式策略的名称。或者，如果指定 all，则显示所有 IPSec 快速模式策略。

• 所有字符串参数都区分大小写。
  
  
• 由于 show qmpolicy 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show qmpolicy 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show qmpolicyName | all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show qmpolicyName | all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show qmsas [all][srcaddr=][dstaddr=][protocol=][format=][resolvedns=]

[ all]

指定显示所有 IPSec 快速模式安全关联。

[ srcaddr={Me | Any |IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ dstaddr={Me | Any |IPAddress | DNSName | ServerType]

指定当前被筛选的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

除了寻址信息外，如果某个特定的 IP 协议用于安全关联，则指定该 IP 协议。默认值为 ANY，表示安全关联可以使用所有协议。

[ format={list | table}]

指定以屏幕格式还是以制表符分隔的格式显示 IPSec 配置信息。默认值为 list，表示以屏幕格式显示输出。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。默认值为 no。

• 由于 show qmsas 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show qmsas 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show qmsas all
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show qmsas all >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show rule [type=][srcaddr=] [dstaddr=][srcmask=][dstmask=] [protocol=][srcport=][dstport=][actioninbound=][actionoutbound=][resolvedns=]

[ type={transport | tunnel}]

指定是否显示传输规则或隧道规则。默认值是显示所有规则。

[ srcaddr={Me | Any |IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的源 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ dstaddr={Me | Any | IPAddress | DNSName | ServerType}]

指定当前被筛选的 IP 通讯的目标 IP 地址、DNS 名称或服务器类型。ServerType 可以使用 WINS、DNS、DHCP 或 gateway。

[ srcmask={Mask | Prefix}]

指定当前被筛选数据包的源地址子网掩码或前缀。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ dstmask={Mask | Prefix}]

指定当前被筛选数据包的目标地址子网掩码或前缀值。可以指定从 1 到 32 这个范围内的前缀值，子网掩码的默认值为 255.255.255.255。

[ protocol={ANY | ICMP |TCP| UDP | RAW | Integer }]

除了寻址信息外，如果某个特定的 IP 协议用于规则，则指定该 IP 协议。默认值为 ANY，表示该规则可以使用所有协议。

[ srcport=Port]

指定当前被筛选数据包的源端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则来自任何端口的数据包都将被筛选。默认设置为任意值。

[ dstport=Port]

指定当前被筛选数据包的目标端口号。该选项仅适用于筛选 TCP 或 UDP 数据包。如果指定为 0，则发送到任何端口的数据包都将被筛选。默认设置为任意值。

[ actioninbound={permit | block | negotiate}]

指定 IPSec 要为入站通讯执行的操作。默认值为 negotiate。

[ actionoutbound={permit | block | negotiate}]

指定 IPSec 要为出站通讯执行的操作。默认值为 negotiate。

[ resolvedns={yes | no}]

指定当显示源和目标时是否解析与 IP 地址相关的域名系统 (DNS) 或 NETBIOS 计算机名称。默认值为 no。

• 所有字符串参数都区分大小写。
  
  
• 由于 show rule 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show rule 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show rule
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show rule >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。
    
    

show stats [type=]

[ type=all| ike| ipsec]

指定要显示的 IPSec 统计信息。如果指定 all，将显示 IPSec 主模式和快速模式统计信息。如果指定 ike，只显示 IPSec 主模式统计信息。如果指定 ipsec，只显示 IPSec 快速模式统计信息。

• 由于 show stats 命令可能会产生冗长和快速滚动的输出，所以可以考虑将输出保存在一个文本文件中，除非您仅需查看有限的部分。
  
  要将 show stats 命令的输出保存在一个文本文件中，请执行以下操作之一：
  
  如果您在 netsh 环境中 (netsh>)
  
  
  1. 在 netsh 提示符下，键入：
     
     set file open FileName.txt
     
     
  2. 然后键入：
     
     ipsec dynamic show stats
     
     
  3. 要停止发送输出并关闭文件，请键入：
     
     set file close
     
     
  如果您不在 netsh 环境中
  
  
  • 在命令提示符下，键入：
    
    netsh ipsec dynamic show stats >FileName.txt
    
    
• 要停止输出 IPSec 配置信息，必须通过执行以下操作之一退出 Netsh：
  
  
  • 单击 Netsh 窗口右上角的“X”图标关闭该窗口。
    
    
  • 使用“任务管理器”结束 Netsh 程序。