← Back to branch summary

~ubuntu-branches/ubuntu/quantal/iproute/quantal-proposed

« back to all changes in this revision

Viewing changes to man/man8/ip-xfrm.8

  • Committer: Package Import Robot
  • Author(s): Colin Watson
  • Date: 2012-05-22 14:10:07 UTC
  • mfrom: (1.1.15) (23.1.9 sid)
  • Revision ID: package-import@ubuntu.com-20120522141007-uuwicj2cx2x71vfb
Tags: 20120319-1ubuntu1
* Resynchronise with Debian.  Remaining changes:
  - Mark iproute as Multi-Arch: foreign.
  - Add cross-building support.

Show diffs side-by-side

added added

removed removed

Lines of Context:
man/man8/ip-xfrm.8
 
1
.TH IP\-XFRM 8 "20 Dec 2011" "iproute2" "Linux"
 
2
.SH "NAME"
 
3
ip-xfrm \- transform configuration
 
4
.SH "SYNOPSIS"
 
5
.sp
 
6
.ad l
 
7
.in +8
 
8
.ti -8
 
9
.B ip
 
10
.RI "[ " OPTIONS " ]"
 
11
.B xfrm
 
12
.RI " { " COMMAND " | "
 
13
.BR help " }"
 
14
.sp
 
15
 
 
16
.ti -8
 
17
.B "ip xfrm"
 
18
.IR XFRM-OBJECT " { " COMMAND " | "
 
19
.BR help " }"
 
20
.sp
 
21
 
 
22
.ti -8
 
23
.IR XFRM-OBJECT " :="
 
24
.BR state " | " policy " | " monitor
 
25
.sp
 
26
 
 
27
.ti -8
 
28
.BR "ip xfrm state" " { " add " | " update " } "
 
29
.IR ID " [ " ALGO-LIST " ]"
 
30
.RB "[ " mode
 
31
.IR MODE " ]"
 
32
.RB "[ " mark
 
33
.I MARK
 
34
.RB "[ " mask
 
35
.IR MASK " ] ]"
 
36
.RB "[ " reqid
 
37
.IR REQID " ]"
 
38
.RB "[ " seq
 
39
.IR SEQ " ]"
 
40
.RB "[ " replay-window
 
41
.IR SIZE " ]"
 
42
.RB "[ " replay-seq
 
43
.IR SEQ " ]"
 
44
.RB "[ " replay-oseq
 
45
.IR SEQ " ]"
 
46
.RB "[ " flag
 
47
.IR FLAG-LIST " ]"
 
48
.RB "[ " sel
 
49
.IR SELECTOR " ] [ " LIMIT-LIST " ]"
 
50
.RB "[ " encap
 
51
.IR ENCAP " ]"
 
52
.RB "[ " coa
 
53
.IR ADDR "[/" PLEN "] ]"
 
54
.RB "[ " ctx
 
55
.IR CTX " ]"
 
56
 
 
57
.ti -8
 
58
.B "ip xfrm state allocspi"
 
59
.I ID
 
60
.RB "[ " mode
 
61
.IR MODE " ]"
 
62
.RB "[ " mark
 
63
.I MARK
 
64
.RB "[ " mask
 
65
.IR MASK " ] ]"
 
66
.RB "[ " reqid
 
67
.IR REQID " ]"
 
68
.RB "[ " seq
 
69
.IR SEQ " ]"
 
70
.RB "[ " min
 
71
.I SPI
 
72
.B max
 
73
.IR SPI " ]"
 
74
 
 
75
.ti -8
 
76
.BR "ip xfrm state" " { " delete " | " get " } "
 
77
.I ID
 
78
.RB "[ " mark
 
79
.I MARK
 
80
.RB "[ " mask
 
81
.IR MASK " ] ]"
 
82
 
 
83
.ti -8
 
84
.BR "ip xfrm state" " { " deleteall " | " list " } ["
 
85
.IR ID " ]"
 
86
.RB "[ " mode
 
87
.IR MODE " ]"
 
88
.RB "[ " reqid
 
89
.IR REQID " ]"
 
90
.RB "[ " flag
 
91
.IR FLAG-LIST " ]"
 
92
 
 
93
.ti -8
 
94
.BR "ip xfrm state flush" " [ " proto
 
95
.IR XFRM-PROTO " ]"
 
96
 
 
97
.ti -8
 
98
.BR "ip xfrm state count"
 
99
 
 
100
.ti -8
 
101
.IR ID " :="
 
102
.RB "[ " src
 
103
.IR ADDR " ]"
 
104
.RB "[ " dst
 
105
.IR ADDR " ]"
 
106
.RB "[ " proto
 
107
.IR XFRM-PROTO " ]"
 
108
.RB "[ " spi
 
109
.IR SPI " ]"
 
110
 
 
111
.ti -8
 
112
.IR XFRM-PROTO " :="
 
113
.BR esp " | " ah " | " comp " | " route2 " | " hao
 
114
 
 
115
.ti -8
 
116
.IR ALGO-LIST " := [ " ALGO-LIST " ] " ALGO
 
117
 
 
118
.ti -8
 
119
.IR ALGO " :="
 
120
.RB "{ " enc " | " auth " | " comp " } " 
 
121
.IR ALGO-NAME " " ALGO-KEY " |"
 
122
.br
 
123
.B  aead
 
124
.IR ALGO-NAME " " ALGO-KEY " " ALGO-ICV-LEN  " |"
 
125
.br
 
126
.B auth-trunc
 
127
.IR ALGO-NAME " " ALGO-KEY " " ALGO-TRUNC-LEN
 
128
 
 
129
.ti -8
 
130
.IR MODE " := "
 
131
.BR transport " | " tunnel " | " ro " | " in_trigger " | " beet
 
132
 
 
133
.ti -8
 
134
.IR FLAG-LIST " := [ " FLAG-LIST " ] " FLAG
 
135
 
 
136
.ti -8
 
137
.IR FLAG " :="
 
138
.BR noecn " | " decap-dscp " | " nopmtudisc " | " wildrecv " | " icmp " | " af-unspec " | " align4
 
139
 
 
140
.ti -8
 
141
.IR SELECTOR " :="
 
142
.RB "[ " src
 
143
.IR ADDR "[/" PLEN "] ]"
 
144
.RB "[ " dst
 
145
.IR ADDR "[/" PLEN "] ]"
 
146
.RB "[ " dev
 
147
.IR DEV " ]"
 
148
.br
 
149
.RI "[ " UPSPEC " ]"
 
150
 
 
151
.ti -8
 
152
.IR UPSPEC " := "
 
153
.BR proto " {"
 
154
.IR PROTO " |"
 
155
.br
 
156
.RB "{ " tcp " | " udp " | " sctp " | " dccp " } [ " sport
 
157
.IR PORT " ]"
 
158
.RB "[ " dport
 
159
.IR PORT " ] |"
 
160
.br
 
161
.RB "{ " icmp " | " ipv6-icmp " | " mobility-header " } [ " type
 
162
.IR NUMBER " ]"
 
163
.RB "[ " code
 
164
.IR NUMBER " ] |"
 
165
.br
 
166
.BR gre " [ " key
 
167
.RI "{ " DOTTED-QUAD " | " NUMBER " } ] }"
 
168
 
 
169
.ti -8
 
170
.IR LIMIT-LIST " := [ " LIMIT-LIST " ]"
 
171
.B limit
 
172
.I LIMIT
 
173
 
 
174
.ti -8
 
175
.IR LIMIT " :="
 
176
.RB "{ " time-soft " | " time-hard " | " time-use-soft " | " time-use-hard " }"
 
177
.IR "SECONDS" " |"
 
178
.br
 
179
.RB "{ " byte-soft " | " byte-hard " }"
 
180
.IR SIZE " |"
 
181
.br
 
182
.RB "{ " packet-soft " | " packet-hard " }"
 
183
.I COUNT
 
184
 
 
185
.ti -8
 
186
.IR ENCAP " :="
 
187
.RB "{ " espinudp " | " espinudp-nonike " }"
 
188
.IR SPORT " " DPORT " " OADDR
 
189
 
 
190
.ti -8
 
191
.BR "ip xfrm policy" " { " add " | " update " }"
 
192
.I SELECTOR
 
193
.B dir
 
194
.I DIR
 
195
.RB "[ " ctx
 
196
.IR CTX " ]"
 
197
.RB "[ " mark
 
198
.I MARK
 
199
.RB "[ " mask
 
200
.IR MASK " ] ]"
 
201
.RB "[ " index
 
202
.IR INDEX " ]"
 
203
.RB "[ " ptype
 
204
.IR PTYPE " ]"
 
205
.RB "[ " action
 
206
.IR ACTION " ]"
 
207
.RB "[ " priority
 
208
.IR PRIORITY " ]"
 
209
.RB "[ " flag
 
210
.IR FLAG-LIST " ]"
 
211
.RI "[ " LIMIT-LIST " ] [ " TMPL-LIST " ]"
 
212
 
 
213
.ti -8
 
214
.BR "ip xfrm policy" " { " delete " | " get " }"
 
215
.RI "{ " SELECTOR " | "
 
216
.B index
 
217
.IR INDEX " }"
 
218
.B dir
 
219
.I DIR
 
220
.RB "[ " ctx
 
221
.IR CTX " ]"
 
222
.RB "[ " mark
 
223
.I MARK
 
224
.RB "[ " mask
 
225
.IR MASK " ] ]"
 
226
.RB "[ " ptype
 
227
.IR PTYPE " ]"
 
228
 
 
229
.ti -8
 
230
.BR "ip xfrm policy" " { " deleteall " | " list " }"
 
231
.RI "[ " SELECTOR " ]"
 
232
.RB "[ " dir
 
233
.IR DIR " ]"
 
234
.RB "[ " index
 
235
.IR INDEX " ]"
 
236
.RB "[ " ptype
 
237
.IR PTYPE " ]"
 
238
.RB "[ " action
 
239
.IR ACTION " ]"
 
240
.RB "[ " priority
 
241
.IR PRIORITY " ]"
 
242
 
 
243
.ti -8
 
244
.B "ip xfrm policy flush"
 
245
.RB "[ " ptype
 
246
.IR PTYPE " ]"
 
247
 
 
248
.ti -8
 
249
.B "ip xfrm policy count"
 
250
 
 
251
.ti -8
 
252
.IR SELECTOR " :="
 
253
.RB "[ " src
 
254
.IR ADDR "[/" PLEN "] ]"
 
255
.RB "[ " dst
 
256
.IR ADDR "[/" PLEN "] ]"
 
257
.RB "[ " dev
 
258
.IR DEV " ]"
 
259
.RI "[ " UPSPEC " ]"
 
260
 
 
261
.ti -8
 
262
.IR UPSPEC " := "
 
263
.BR proto " {"
 
264
.IR PROTO " |"
 
265
.br
 
266
.RB "{ " tcp " | " udp " | " sctp " | " dccp " } [ " sport
 
267
.IR PORT " ]"
 
268
.RB "[ " dport
 
269
.IR PORT " ] |"
 
270
.br
 
271
.RB "{ " icmp " | " ipv6-icmp " | " mobility-header " } [ " type
 
272
.IR NUMBER " ]"
 
273
.RB "[ " code
 
274
.IR NUMBER " ] |"
 
275
.br
 
276
.BR gre " [ " key
 
277
.RI "{ " DOTTED-QUAD " | " NUMBER " } ] }"
 
278
 
 
279
.ti -8
 
280
.IR DIR " := "
 
281
.BR in " | " out " | " fwd
 
282
 
 
283
.ti -8
 
284
.IR PTYPE " := "
 
285
.BR main " | " sub
 
286
 
 
287
.ti -8
 
288
.IR ACTION " := "
 
289
.BR allow " | " block
 
290
 
 
291
.ti -8
 
292
.IR FLAG-LIST " := [ " FLAG-LIST " ] " FLAG
 
293
 
 
294
.ti -8
 
295
.IR FLAG " :="
 
296
.BR localok " | " icmp
 
297
 
 
298
.ti -8
 
299
.IR LIMIT-LIST " := [ " LIMIT-LIST " ]"
 
300
.B limit
 
301
.I LIMIT
 
302
 
 
303
.ti -8
 
304
.IR LIMIT " :="
 
305
.RB "{ " time-soft " | " time-hard " | " time-use-soft " | " time-use-hard " }"
 
306
.IR "SECONDS" " |"
 
307
.br
 
308
.RB "{ " byte-soft " | " byte-hard " }"
 
309
.IR SIZE " |"
 
310
.br
 
311
.RB "{ " packet-soft " | " packet-hard " }"
 
312
.I COUNT
 
313
 
 
314
.ti -8
 
315
.IR TMPL-LIST " := [ " TMPL-LIST " ]"
 
316
.B tmpl
 
317
.I TMPL
 
318
 
 
319
.ti -8
 
320
.IR TMPL " := " ID
 
321
.RB "[ " mode
 
322
.IR MODE " ]"
 
323
.RB "[ " reqid
 
324
.IR REQID " ]"
 
325
.RB "[ " level
 
326
.IR LEVEL " ]"
 
327
 
 
328
.ti -8
 
329
.IR ID " :="
 
330
.RB "[ " src
 
331
.IR ADDR " ]"
 
332
.RB "[ " dst
 
333
.IR ADDR " ]"
 
334
.RB "[ " proto
 
335
.IR XFRM-PROTO " ]"
 
336
.RB "[ " spi
 
337
.IR SPI " ]"
 
338
 
 
339
.ti -8
 
340
.IR XFRM-PROTO " :="
 
341
.BR esp " | " ah " | " comp " | " route2 " | " hao
 
342
 
 
343
.ti -8
 
344
.IR MODE " := "
 
345
.BR transport " | " tunnel " | " ro " | " in_trigger " | " beet
 
346
 
 
347
.ti -8
 
348
.IR LEVEL " :="
 
349
.BR required " | " use
 
350
 
 
351
.ti -8
 
352
.BR "ip xfrm monitor" " [ " all " |"
 
353
.IR LISTofXFRM-OBJECTS " ]"
 
354
 
 
355
.in -8
 
356
.ad b
 
357
 
 
358
.SH DESCRIPTION
 
359
 
 
360
xfrm is an IP framework for transforming packets (such as encrypting
 
361
their payloads). This framework is used to implement the IPsec protocol
 
362
suite (with the
 
363
.B state
 
364
object operating on the Security Association Database, and the
 
365
.B policy
 
366
object operating on the Security Policy Database). It is also used for
 
367
the IP Payload Compression Protocol and features of Mobile IPv6.
 
368
 
 
369
.SS ip xfrm state add - add new state into xfrm
 
370
 
 
371
.SS ip xfrm state update - update existing state in xfrm
 
372
 
 
373
.SS ip xfrm state allocspi - allocate an SPI value
 
374
 
 
375
.SS ip xfrm state delete - delete existing state in xfrm
 
376
 
 
377
.SS ip xfrm state get - get existing state in xfrm
 
378
 
 
379
.SS ip xfrm state deleteall - delete all existing state in xfrm
 
380
 
 
381
.SS ip xfrm state list - print out the list of existing state in xfrm
 
382
 
 
383
.SS ip xfrm state flush - flush all state in xfrm
 
384
 
 
385
.SS ip xfrm state count - count all existing state in xfrm
 
386
 
 
387
.TP
 
388
.IR ID
 
389
is specified by a source address, destination address,
 
390
.RI "transform protocol " XFRM-PROTO ","
 
391
and/or Security Parameter Index
 
392
.IR SPI "."
 
393
 
 
394
.TP
 
395
.I XFRM-PROTO
 
396
specifies a transform protocol:
 
397
.RB "IPsec Encapsulating Security Payload (" esp "),"
 
398
.RB "IPsec Authentication Header (" ah "),"
 
399
.RB "IP Payload Compression (" comp "),"
 
400
.RB "Mobile IPv6 Type 2 Routing Header (" route2 "), or"
 
401
.RB "Mobile IPv6 Home Address Option (" hao ")."
 
402
 
 
403
.TP
 
404
.I ALGO-LIST
 
405
specifies one or more algorithms
 
406
.IR ALGO
 
407
to use. Algorithm types include
 
408
.RB "encryption (" enc "),"
 
409
.RB "authentication (" auth "),"
 
410
.RB "authentication with a specified truncation length (" auth-trunc "),"
 
411
.RB "authenticated encryption with associated data (" aead "), and"
 
412
.RB "compression (" comp ")."
 
413
For each algorithm used, the algorithm type, the algorithm name
 
414
.IR ALGO-NAME ","
 
415
and the key
 
416
.I ALGO-KEY
 
417
must be specified. For
 
418
.BR aead ","
 
419
the Integrity Check Value length
 
420
.I ALGO-ICV-LEN
 
421
must additionally be specified.
 
422
For
 
423
.BR auth-trunc ","
 
424
the signature truncation length
 
425
.I ALGO-TRUNC-LEN
 
426
must additionally be specified.
 
427
 
 
428
.TP
 
429
.I MODE
 
430
specifies a mode of operation:
 
431
.RB "IPsec transport mode (" transport "), "
 
432
.RB "IPsec tunnel mode (" tunnel "), "
 
433
.RB "Mobile IPv6 route optimization mode (" ro "), "
 
434
.RB "Mobile IPv6 inbound trigger mode (" in_trigger "), or "
 
435
.RB "IPsec ESP Bound End-to-End Tunnel Mode (" beet ")."
 
436
 
 
437
.TP
 
438
.I FLAG-LIST
 
439
contains one or more of the following optional flags:
 
440
.BR noecn ", " decap-dscp ", " nopmtudisc ", " wildrecv ", " icmp ", "
 
441
.BR af-unspec ", or " align4 "."
 
442
 
 
443
.TP
 
444
.IR SELECTOR
 
445
selects the traffic that will be controlled by the policy, based on the source
 
446
address, the destination address, the network device, and/or
 
447
.IR UPSPEC "."
 
448
 
 
449
.TP
 
450
.IR UPSPEC
 
451
selects traffic by protocol. For the
 
452
.BR tcp ", " udp ", " sctp ", or " dccp
 
453
protocols, the source and destination port can optionally be specified.
 
454
For the
 
455
.BR icmp ", " ipv6-icmp ", or " mobility-header
 
456
protocols, the type and code numbers can optionally be specified.
 
457
For the
 
458
.B gre
 
459
protocol, the key can optionally be specified as a dotted-quad or number.
 
460
Other protocols can be selected by name or number
 
461
.IR PROTO "."
 
462
 
 
463
.TP
 
464
.I LIMIT-LIST
 
465
sets limits in seconds, bytes, or numbers of packets.
 
466
 
 
467
.TP
 
468
.I ENCAP
 
469
encapsulates packets with protocol
 
470
.BR espinudp " or " espinudp-nonike ","
 
471
.RI "using source port " SPORT ", destination port "  DPORT
 
472
.RI ", and original address " OADDR "."
 
473
 
 
474
.SS ip xfrm policy add - add a new policy
 
475
 
 
476
.SS ip xfrm policy update - update an existing policy
 
477
 
 
478
.SS ip xfrm policy delete - delete an existing policy
 
479
 
 
480
.SS ip xfrm policy get - get an existing policy
 
481
 
 
482
.SS ip xfrm policy deleteall - delete all existing xfrm policies
 
483
 
 
484
.SS ip xfrm policy list - print out the list of xfrm policies
 
485
 
 
486
.SS ip xfrm policy flush - flush policies
 
487
 
 
488
.SS ip xfrm policy count - count existing policies
 
489
 
 
490
.TP
 
491
.IR SELECTOR
 
492
selects the traffic that will be controlled by the policy, based on the source
 
493
address, the destination address, the network device, and/or
 
494
.IR UPSPEC "."
 
495
 
 
496
.TP
 
497
.IR UPSPEC
 
498
selects traffic by protocol. For the
 
499
.BR tcp ", " udp ", " sctp ", or " dccp
 
500
protocols, the source and destination port can optionally be specified.
 
501
For the
 
502
.BR icmp ", " ipv6-icmp ", or " mobility-header
 
503
protocols, the type and code numbers can optionally be specified.
 
504
For the
 
505
.B gre
 
506
protocol, the key can optionally be specified as a dotted-quad or number.
 
507
Other protocols can be selected by name or number
 
508
.IR PROTO "."
 
509
 
 
510
.TP
 
511
.I DIR
 
512
selects the policy direction as
 
513
.BR in ", " out ", or " fwd "."
 
514
 
 
515
.TP
 
516
.I CTX
 
517
sets the security context.
 
518
 
 
519
.TP
 
520
.I PTYPE
 
521
can be
 
522
.BR main " (default) or " sub "."
 
523
 
 
524
.TP
 
525
.I ACTION
 
526
can be
 
527
.BR allow " (default) or " block "."
 
528
 
 
529
.TP
 
530
.I PRIORITY
 
531
is a number that defaults to zero.
 
532
 
 
533
.TP
 
534
.I FLAG-LIST
 
535
contains one or both of the following optional flags:
 
536
.BR local " or " icmp "."
 
537
 
 
538
.TP
 
539
.I LIMIT-LIST
 
540
sets limits in seconds, bytes, or numbers of packets.
 
541
 
 
542
.TP
 
543
.I TMPL-LIST
 
544
is a template list specified using
 
545
.IR ID ", " MODE ", " REQID ", and/or " LEVEL ". "
 
546
 
 
547
.TP
 
548
.IR ID
 
549
is specified by a source address, destination address,
 
550
.RI "transform protocol " XFRM-PROTO ","
 
551
and/or Security Parameter Index
 
552
.IR SPI "."
 
553
 
 
554
.TP
 
555
.I XFRM-PROTO
 
556
specifies a transform protocol:
 
557
.RB "IPsec Encapsulating Security Payload (" esp "),"
 
558
.RB "IPsec Authentication Header (" ah "),"
 
559
.RB "IP Payload Compression (" comp "),"
 
560
.RB "Mobile IPv6 Type 2 Routing Header (" route2 "), or"
 
561
.RB "Mobile IPv6 Home Address Option (" hao ")."
 
562
 
 
563
.TP
 
564
.I MODE
 
565
specifies a mode of operation:
 
566
.RB "IPsec transport mode (" transport "), "
 
567
.RB "IPsec tunnel mode (" tunnel "), "
 
568
.RB "Mobile IPv6 route optimization mode (" ro "), "
 
569
.RB "Mobile IPv6 inbound trigger mode (" in_trigger "), or "
 
570
.RB "IPsec ESP Bound End-to-End Tunnel Mode (" beet ")."
 
571
 
 
572
.TP
 
573
.I LEVEL
 
574
can be
 
575
.BR required " (default) or " use "."
 
576
 
 
577
.SS ip xfrm monitor - state monitoring for xfrm objects
 
578
The xfrm objects to monitor can be optionally specified.
 
579
 
 
580
.SH AUTHOR
 
581
Manpage by David Ward