该 netsh ras 命令管理远程访问服务 (RAS) 设置。 RAS 为远程用户提供网络连接,例如 VPN 或拨号连接。 通过使用此命令,管理员可以配置、监控远程访问功能并排除故障,包括用户身份验证、连接配置文件和服务器设置。
Syntax
netsh ras [aaaa | add | delete | diagnostics | dump | help | ip | ipv6 | set | show | ?]
netsh ras aaaa add acctserver [name=]server [secret=]secret [init-score=]InitialScore [port=]port
[timeout=]timeout [messages=]ENABLED|DISABLED
netsh ras aaaa add authserver [name=]server [secret=]secret [init-score=]InitialScore [port=]port
[timeout=]timeout [signature=]ENABLED|DISABLED
netsh ras aaaa delete acctserver [name=]server
netsh ras aaaa delete authserver [name=]server
netsh ras aaaa set accounting [provider=]WINDOWS|RADIUS|NONE
netsh ras aaaa set acctserver [name=]server [secret=]secret [init-score=]InitialScore [port=]port
[timeout=]timeout [messages=]ENABLED|DISABLED
netsh ras aaaa set authentication [name=]server [secret=]secret [init-score=]InitialScore [port=]port
[timeout=]timeout [messages=]ENABLED|DISABLED
netsh ras aaaa set authserver [name=]server [secret=]secret [init-score=]InitialScore [port=]port
[timeout=]timeout [signature=]ENABLED|DISABLED
netsh ras aaaa set ipsecpolicy [psk=]ENABLED|DISABLED [secret=]<Pre-shared key>
netsh ras aaaa show <accounting>
netsh ras aaaa show acctserver [name=]server
netsh ras aaaa show <authentication>
netsh ras aaaa show authserver [name=]server
netsh ras aaaa show <ipsecpolicy>
netsh ras add authtype [type=]PAP|MD5CHAP|MSCHAPv2|EAP|CERT
netsh ras add link [type=]SWC|LCP
netsh ras add multilink [type=]MULTI|BACP
netsh ras add registeredserver [domain=]domain [server=]server
netsh ras delete authtype [type=]PAP|MD5CHAP|MSCHAPv2|EAP|CERT
netsh ras delete link [type=]SWC|LCP
netsh ras delete multilink [type=]MULTI|BACP
netsh ras delete registeredserver [domain=]domain [server=]server
netsh ras diagnostics <dump>
netsh ras diagnostics set cmtracing [state=]ENABLED|DISABLED
netsh ras diagnostics set loglevel [events=]error|warn|all|none
netsh ras diagnostics set modemtracing [state=]ENABLED|DISABLED
netsh ras diagnostics set rastracing [component=]component [state=]ENABLED|DISABLED
netsh ras diagnostics set securityeventlog [state=]ENABLED|DISABLED
netsh ras diagnostics set tracefacilities [state=]ENABLED|DISABLED|CLEAR
netsh ras diagnostics show <all> <cmtracing> <configuration> <installation>
<loglevel> <logs> <modemtracing> <rastracing>
<securityeventlog> <tracefascilities>
netsh ras dump
netsh ras ip add range [from=] [to=]
netsh ras ip delete pool
netsh ras ip delete range [from=] [to=]
netsh ras ip dump
netsh ras ip set access [mode=]ALL|SERVERONLY
netsh ras ip set addrassign [method=]AUTO|POOL
netsh ras ip set addrreq [mode=]ALLOW|DENY
netsh ras ip set broadcastnameresolution [mode=]ENABLED|DISABLED
netsh ras ip set negotiation [mode=]ALLOW|DENY
netsh ras ip set preferredadapter [name=]<interface_name>
netsh ras ipv6 dump
netsh ras ipv6 set access [mode=]ALL|SERVERONLY
netsh ras ipv6 set negotiation [mode=]ALLOW|DENY
netsh ras ipv6 set prefix [prefix=]<IPv6 prefix>
netsh ras ipv6 set routeradvertise [mode=]ENABLED|DISABLED
netsh ras ipv6 show <config>
netsh ras set authmode [mode=]STANDARD|NODCC|BYPASS
netsh ras set client [name=]<str_clientname> [state=]disconnect|resetstats
netsh ras set conf [confstate=]ENABLED|DISABLED
netsh ras set ikev2connection [idletimeout=]<idle_timeout> [nwoutagetime=]<nw_outage_time>
netsh ras set ikev2saexpiry [saexpirytime=]<sa_expiry_time> [sadatasizelimit=]<sa_datasize_limit>
netsh ras set portstatus [name=]<port_name>
netsh ras set sstp-ssl-cert [name=]certname [hash=]<hash>
netsh ras set type [ipv4rtrtype=]lanonly|lananddd|none [ipv6rtrtype=]lanonly|lananddd|none [rastype=]IPv4|IPv6|BOTH|NONE
netsh ras set user [name=]<username> [dialin=]PERMIT|DENY|POLICY [cbpolicy=]NONE|CALLER|ADMIN [cbnumber=]<callback number>
netsh ras set wanports [device=]<devicename> [rasinonly=]enabled|disabled [ddinout=]enabled|disabled [ddoutonly=]enabled|disabled [phone=]<phonenumber> [maxports=]<numports>
netsh ras show activeservers
netsh ras show authmode
netsh ras show authtype
netsh ras show client [name=]<str_clientname>
netsh ras show conf
netsh ras show ikev2connection
netsh ras show ikev2saexpiry
netsh ras show link
netsh ras show multilink
netsh ras show portstatus [name=]<port_name> [state=]<enum>
netsh ras show registeredserver
netsh ras show sstp-ssl-cert
netsh ras show status
netsh ras show type
netsh ras show user [name=]<username> [mode=]PERMIT|REPORT
netsh ras show wanports [device=]<devicename>
Parameters
| Command | Description |
|---|---|
拉斯 aaaa add |
将一个或多个条目插入 AAAA 表中。 acctserver - 添加 RADIUS 记帐服务器。 authserver - 添加 RADIUS 身份验证服务器。 请参阅子参数的 备注 。 |
拉斯 aaaa delete |
从 AAAA 表中删除一个或多个条目。 acctserver - 删除 RADIUS 记帐服务器。 authserver - 删除 RADIUS 身份验证服务器。 请参阅子参数的 备注 。 |
拉斯 aaaa set accounting |
指定哪个服务处理远程访问连接的记帐。 Options are: windows - 使用 Windows 安全性进行会计作。 radius - 将记帐数据发送到配置的 RADIUS 服务器。 none - 禁用会计。 不保留连接活动的记录。 |
拉斯 aaaa set acctserver |
配置要用于记帐的 RADIUS 服务器的 IP 地址或名称。 请参阅子参数的 备注 。 |
拉斯 aaaa set authentication |
指定用于对远程访问连接进行身份验证的服务。 Options are: windows - 使用 Windows 安全性进行身份验证。 radius - 使用配置的 RADIUS 服务器进行身份验证。 |
拉斯 aaaa set authserver |
配置 RADIUS 服务器的 IP 地址或名称以传递身份验证请求。 请参阅子参数的 备注 。 |
拉斯 aaaa set ipsecpolicy |
为 L2TP 连接设置 IPsec 策略。
psk 确定是否为 L2TP 连接启用了使用预共享密钥的自定义 IPsec 策略。 Options are: enabled - 允许将自定义 IPsec 策略与指定的预共享密钥一起使用。 disabled - 使用默认的基于证书颁发机构的 IPsec 策略。 secret- 指定设置为 时要使用的pskenabled预共享密钥。 |
拉斯 aaaa show accounting |
显示当前会计提供程序。 |
拉斯 aaaa show acctserver |
显示有关记帐服务器的详细信息。 如果未使用 提供 name=服务器名称,则显示所有已配置的记帐服务器。 |
拉斯 aaaa show authentication |
显示身份验证提供程序。 |
拉斯 aaaa show authserver |
显示有关认证服务器的详细信息。 如果未使用 提供 name=服务器名称,则显示所有已配置的记帐服务器。 |
拉斯 aaaa show ipsecpolicy |
显示 L2TP 连接的 IPsec 策略。 路由和远程访问服务必须正在运行才能获得结果。 |
拉斯 add authtype |
指定远程访问服务器尝试与连接客户端协商的身份验证类型。 服务器按从最安全到最不安全的顺序协商身份验证方法。 一旦客户端和服务器就身份验证类型达成一致,点对点协议 (PPP) 协商将根据相关 RFC 标准进行。 有关身份验证子参数,请参阅 备注 。 |
拉斯 add link |
添加到 PPP 协商的链接属性列表中。 有关链接子参数,请参阅 备注 。 |
拉斯 add multilink |
添加到 PPP 协商的多链路类型列表中。 请参阅多链路子参数的 备注 。 |
拉斯 add registeredserver |
将指定的 Windows 计算机注册为指定域的 Active Directory (AD) 中的远程访问服务器。 请参阅 和 domain 子参数的server备注。 |
拉斯 delete authtype |
从远程访问服务器协商的类型列表中删除身份验证类型。 有关身份验证子参数,请参阅 备注 。 |
拉斯 delete link |
从 PPP 协商的链路属性列表中删除。 有关链接子参数,请参阅 备注 。 |
拉斯 delete multilink |
从已协商的多链路 PPP 类型列表中删除。 请参阅多链路子参数的 备注 。 |
拉斯 delete registeredserver |
从指定域的 AD 中注册的远程访问服务器列表中取消注册指定的 Windows 计算机。 请参阅 和 domain 子参数的server备注。 |
拉斯 diagnostics set |
执行以下作之一: cmtracing - 启用或禁用连接管理器跟踪,该跟踪记录与连接建立和管理相关的事件。 loglevel - 设置路由和远程访问服务 (RRAS) 的全局日志级别。 选项包括 error、 、 warnall或 none。 modemtracing - 在网络连接期间启用或禁用调制解调器设置和消息的详细跟踪。 rastracing - 启用或禁用指定 RRAS 组件的扩展跟踪,以帮助进行故障排除。 要跟踪所有组件,请使用 state=*。 以下列表描述了可用的组件: - rasman - rasppp - rasauth - rasip - rasl2tp - raspptp - rassstp - rasgre - raseap - rasqec - rasmobility - rascustom securityeventlog - 启用或禁用安全事件的日志记录。 可以使用事件查看器查看安全事件日志。 tracefacilities - 启用、禁用或清除所有 RRAS 组件的扩展跟踪。 请参阅子参数的 state备注。 |
拉斯 dump 拉斯 diagnostics dump 拉斯 ip dump 拉斯 ipv6 dump |
创建包含当前上下文配置的脚本。 该脚本可以保存到文件中,并在设置被更改或需要在另一个系统上复制时用于恢复设置。 |
拉斯 ip add range 拉斯 ip delete range |
添加或删除远程访问服务器使用的fromto静态 IP 地址池范围,并作为格式中的X.X.X.X范围。 |
拉斯 ip delete pool |
从静态 IP 地址池中删除所有范围。 |
拉斯 ip set access |
设置要授予的访问级别类型。 请参阅子参数的 mode备注。 |
拉斯 ip set addrassign |
设置远程访问服务器将 IP 地址分配给客户端设备的方法。 Options are: auto - 使用 DHCP 自动将 IP 地址分配给客户端。 如果 DHCP 服务器不可用,则服务器将分配一个随机专用 IP 地址。 pool - 从远程访问服务器配置的地址池中分配 IP 地址。 |
拉斯 ip set addrreq |
指定是否允许拨入客户端请求自己的 IP 地址。 请参阅子参数的 mode备注。 |
拉斯 ip set broadcastnameresolution |
指定是启用还是禁用使用 NetBIOS over TCP/IP 进行广播名称解析。 请参阅子参数的 mode备注。 |
拉斯 ip set negotiation |
指定远程访问服务器是否允许为它接受的任何客户端连接配置 IPv4。 请参阅子参数的 mode备注。 |
拉斯 ip set preferredadapter |
指定路由和远程访问服务的首选适配器。 请参阅子参数的 name备注。 |
拉斯 ipv6 set access |
设置要为 IPv6 授予的访问级别类型。 请参阅子参数的 mode备注。 |
拉斯 ipv6 set negotiation |
指定远程访问服务器是否允许为它接受的任何客户端连接配置 IPv6。 请参阅子参数的 mode备注。 |
拉斯 ipv6 set prefix |
设置远程访问服务器用于以 格式 prefix=X:X:X:X::播发给客户端设备的静态 IPv6 前缀。 |
拉斯 ipv6 set routeradvertise |
指定服务器上的路由器通告模式。 请参阅子参数的 mode备注。 |
拉斯 ipv6 show config |
显示当前远程访问 IPv6 配置。 |
拉斯 set authmode |
设置拨入客户端应使用的身份验证模式。 请参阅子参数的 mode备注。 |
拉斯 set client |
断开连接或重置附加到客户端设备的用户名的统计信息。 请参阅 和 state 子参数的name备注。 |
拉斯 set conf |
使用 confstate=配置 RAS enabled 是(打开)还是disabled(关闭)。 如果设置为 disabled,则还会删除所有配置。 |
拉斯 set ikev2connection |
设置 IKEv2 客户端连接的空闲超时和网络中断时间值。 idletimeout - 设置 IKEv2 客户端连接的空闲超时(以分钟为单位)。 如果客户端在此期间处于非活动状态,则连接将断开。 有效范围为 5 分钟至 2,879 分钟(少于 48 小时)。 nwoutagetime - 设置 IKEv2 客户端连接的网络中断时间(以分钟为单位)。 如果网络在此期间不可用,则连接将终止。 最小值为 2 分钟。 |
拉斯 set ikev2saexpiry |
设置 IKEv2 安全关联 (SA) 过期控制。 saexpirytime - 设置 IKEv2 客户端连接的 SA 到期时间(以分钟为单位)。 最小值为 5 分钟,最大值为 2879 分钟(小于 48 小时)。 sadatasizelimit - 设置 IKEv2 连接的 SA 数据大小限制(以兆字节为单位)。 最小值为 1 MB。 |
拉斯 set portstatus |
重置 RAS 端口的统计信息。 如果未指定名称,则重置所有活动端口统计信息。 请参阅子参数的 name备注。 |
拉斯 set sstp-ssl-cert |
配置当前的安全套接字隧道协议 (SSTP) 证书。 name - 指定要用于 SSTP 的证书名称。 hash - 指定要用于 SSTP 的证书的 SHA-1 哈希。 |
拉斯 set type |
在设备上配置路由器和 RAS 角色。 Options are: ipv4rtrtype - 设置 IPv4 路由器模式: - lanonly:计算机充当仅限 LAN 的路由器,不支持即用拨号或 VPN 连接。 - lananddd:计算机既充当局域网路由器,又充当需求拨号路由器,支持 VPN 连接。 - none:计算机未启用为 IPv4 路由器。 ipv6rtrtype - 设置 IPv6 路由器模式: - lanonly:计算机充当仅限 LAN 的路由器,不支持即用拨号或 VPN 连接。 - lananddd:计算机既充当局域网路由器,又充当需求拨号路由器,支持 VPN 连接。 - none:计算机未启用为 IPv6 路由器。 rastype - 设置 RAS 配置: - ipv4:配置为 IPv4 的远程访问服务器。 - ipv6:配置为 IPv6 的远程访问服务器。 - both:配置为 IPv4 和 IPv6 的远程访问服务器。 - none:未配置为 RAS。 |
拉斯 set user |
配置用户远程访问属性。 Options are: username - 用户的登录名。 dialin - 确定是否允许用户拨入: - PERMIT:允许用户拨入。 - DENY:阻止用户拨入。 - POLICY:使用远程访问策略来确定拨入权限。 该 POLICY 选项不适用于混合模式域中的用户。 对于这些用户, POLICY 被视为 DENY. cbpolicy - 指定用户的回调策略。 回调允许服务器回调用户以节省调用成本: - NONE:不允许回调。 - CALLER:用户可以在呼叫时指定回拨号码。 - ADMIN:服务器始终以指定的回调号码呼叫用户。 cbnumber- 使用的cbpolicyADMIN回调号码设置为 。 |
拉斯 set wanports |
配置 RAS WAN 端口的选项。 device - 指定 WAN 端口的设备名称。 rasinonly - 启用 (enabled) 或禁用 (disabled) 入站远程访问连接。 ddinout - 启用 (enabled) 或禁用 (disabled) 需求拨号入站和出站路由连接。 ddoutonly - 启用 (enabled) 或禁用 (disabled) 需求拨号出站路由连接。 phone - 设置设备的电话号码。 接受字符串值,例如电话号码、VPI/VCI 或 IP 地址。 maxports - 指定设备可用的最大端口数。 |
拉斯 show |
根据以下参数之一显示信息: activeservers - 显示来自远程访问服务器的广告。 authmode - 显示当前的身份验证模式。 authtype - 列出已启用的身份验证类型。 client - 显示连接的远程访问客户端及其状态。 要显示特定客户端,请添加 name=. conf - 显示服务器的配置状态。 ikev2connection - 显示 IKEv2 连接的空闲超时和网络中断设置。 ikev2saexpiry - 显示 IKEv2 SA 过期控制。 link - 列出要协商的 PPP 链路属性。 multilink - 列出要协商的 PPP 多链路类型。 portstatus - 显示 RAS 端口的当前状态。 要显示特定端口及其状态,请使用 name= 和 state= 子参数。 registeredserver - 指示计算机是否在 AD 中注册为远程访问服务器。 sstp-ssl-cert - 显示当前的 SSTP 证书配置。 status - 显示路由和远程访问服务器状态。 type - 显示计算机上配置的路由器和 RAS 角色。 user - 显示用户的远程访问属性。 要显示特定的用户属性,请使用 name= 和 mode= 子参数。 wanports - 显示 RAS WAN 端口的配置选项。 |
help或? |
显示当前上下文中的命令及其描述的列表。 |
Remarks
name - 指定 RADIUS 服务器或客户端设备的 DNS 名称或 IP 地址、用户名、网络接口名称或网络端口名称。
secret - 定义用于客户端和 RADIUS 服务器之间身份验证的共享密钥。
init-score - 设置服务器的初始优先级分数。 分数越高表示优先级越高。
port - 指示用于向 RADIUS 服务器发送身份验证或记帐请求的端口号。
timeout - 确定在将 RADIUS 服务器标记为不可用之前等待响应的时间(以秒为单位)。
messages - 控制是否将记帐开/关消息发送到 RADIUS 服务器。 Options are:
EnabledDisabled
server - 指定要注册为远程访问服务器的 DNS 名称或计算机名称。 如果省略,则该命令将注册运行它的计算机。
domain - 指定应注册服务器的 AD 域。 如果省略,则默认使用计算机的主域。
state - 对于诊断,设置跟踪和日志记录选项。 选项包括:Enable、Disable 和 Clear。 对于客户端设备, disconnect 删除指定的客户端并 resetstats 重置指定客户端的统计计数器,例如接收的数据包、错误计数、会话计数器等,而无需断开客户端的连接。 对于设备上的 RAS 端口,它显示指定端口设置为的状态,例如:
- 非作(非作端口)
- 断开连接(端口断开连接或未激活)
- callingback(如果端口是回调端口)
- 监听(端口正在监听来电)
- 正在进行身份验证(正在对连接的用户进行身份验证)
- connected(已认证和已连接)
- initializing(初始化端口以供使用)
mode - 是一个多用途参数,它可以在其中执行以下作:
- 为设备授予访问级别,选项包括
all客户端能够访问远程访问服务器及其连接到的任何网络,以及serveronly客户端仅访问远程访问服务器的位置。 - 您可以
allow对deny客户端连接进行 IP 协商,如果拨入客户端可以请求自己的 IP 地址。 -
enable当其他解析方法不可用时,可以或disable广播名称解析,其中 RAS 客户端解析本地子网上的 NetBIOS 名称。 - 您可以
enable或disable路由器通告。 默认路由是具有零长度前缀 ()::/0的路由。 若要将自身通告为默认路由器,必须使用已发布的默认路由 (::/0) 配置充当 IPv6 路由器的计算机。 - 您可以确定是否应对拨入客户端进行身份验证。 Options are:
-
STANDARD- 所有设备都必须进行身份验证。 -
NODCC- 直连设备未经过身份验证。 -
BYPASS- 任何设备都不需要身份验证。
-
- 您可以使用以下语言来
report筛选用户远程访问信息,以显示所有用户,并permit仅显示拨入权限设置为 PERMIT 的用户。
type - 这是远程访问服务器用于协商的身份验证类型、链接属性 PPP 或多链路 PPP。 Options are:
Authentication
PAP- 密码身份验证协议。 以明文形式传输凭据,是最不安全的身份验证方法。MD5CHAP- 使用 MD5 哈希质询握手身份验证协议。 凭据由具有 MD5 加密的质询-响应机制保护。MSCHAPv2- Microsoft 质询握手身份验证协议版本 2。 提供比早期版本增强的安全性,包括相互身份验证和更强的加密。EAP- 可扩展身份验证协议。 支持多种身份验证方法,例如智能卡、证书和令牌设备,允许灵活和可扩展的身份验证。CERT- IKEv2 连接的基于证书的身份验证。 使用数字证书来验证身份并建立安全连接。
Link PPP
SWC- 使用 Microsoft 点对点压缩 (MPPC) 实现基于软件的压缩,从而减小传输数据的大小以优化带宽使用。LCP- 激活 PPP 协议套件中的链路控制协议 (LCP) 扩展,允许协商链路参数和管理 PPP 连接。
Multilink PPP
MULTI- 启用多链路 PPP 会话,允许将多个物理链路组合成一个逻辑连接,以增加带宽和冗余。BACP- 激活带宽分配控制协议,在多链路 PPP 会话中动态管理多个链路之间的带宽分配,以优化性能。
Examples
要添加名为“AcctSrv1”的新 RADIUS 记帐服务器,其共享密钥为 P@ssw0rd、初始分数为 50、侦听 UDP 端口 1813、30 秒超时并启用记帐消息,请运行以下命令:
netsh ras aaaa add acctserver name=AcctSrv1 secret=P@ssw0rd init-score=50 port=1813 timeout=30 messages=ENABLED
若要删除名为“AuthSrv1”的现有 RADIUS 身份验证服务器,请运行以下命令:
netsh ras aaaa delete authserver name=AuthSrv1
若要为传入 RAS 连接启用 MS-CHAPv2 身份验证,请运行以下命令:
netsh ras add authtype type=MSCHAPv2
要从 RAS 中删除 LCP 链路控制协议,请运行以下命令:
netsh ras delete link type=LCP
若要仅记录警告级别的 RAS 诊断事件,请运行以下命令:
netsh ras diagnostics set loglevel events=warn
若要将“以太网 2”指定为 RAS IP 连接的首选网络适配器,请运行以下命令:
netsh ras ip set preferredadapter name="Ethernet 2"
若要设置 RAS 分发给客户端的 IPv6 前缀 2001:0db8:85a3::/64,请运行以下命令:
netsh ras ipv6 set prefix prefix=2001:0db8:85a3::/64
要将 IKEv2 SA 设置为在 1 小时(3,600 秒)或传输 1 GB(1,073,741,824 字节)数据后过期,请运行以下命令:
netsh ras set ikev2saexpiry saexpirytime=3600 sadatasizelimit=1073741824
若要显示完整的 RAS 配置,请运行以下命令:
netsh ras show conf