Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm

Syntax

Hierarchy Level

Description

Configure um tipo de algoritmo de autenticação.

Nota:

Tenha em mente os seguintes pontos ao configurar o algoritmo de autenticação em uma proposta do IPsec:

  • Quando ambas as extremidades de um túnel VPN IPsec contêm a mesma proposta IKE, mas diferentes propostas de IPsec, ocorre um erro e o túnel não está estabelecido nesse cenário. Por exemplo, se uma ponta do túnel contiver o roteador 1 configurado com o algoritmo de autenticação como hmac-sha-256-128 e a outra ponta do túnel contiver o roteador 2 configurado com o algoritmo de autenticação como hmac-md5-96, o túnel de VPN não está estabelecido.

  • Quando ambas as extremidades de um túnel IPsec VPN contêm IKE mesma proposta, mas diferentes propostas de IPsec, e quando uma ponta do túnel contém duas propostas IPsec para verificar se um algoritmo menos seguro é selecionado ou não, ocorre um erro e o túnel não é estabelecido. Por exemplo, se você configurar dois algoritmos de autenticação para uma proposta IPsec como hmac-sha-256-128 e hmac-md5-96 em uma ponta do túnel, o roteador 1, e se você configurar o algoritmo para uma proposta IPsec como hmac-md5-96 na outra ponta do túnel, o roteador 2, o túnel não está estabelecido e o número de propostas não é incompatibilidade.

  • Quando você configura duas propostas de IPsec em ambas as extremidades de um túnel, como as e declarações em nível de hierarquia em um do túnel, o roteador 1 (com os algoritmos em duas declarações sucessivas para especificar a ordem), e as e declarações no nível da hierarquia em um do túnel, o roteador 2 (com os algoritmos em duas declarações sucessivas para especificar a ordem, que é a ordem reversa do roteador 1), o túnel é estabelecido nesta combinação como esperado, porque o número de propostas é o mesmo em ambas as extremidades e eles contêm o mesmo conjunto de authentication-algorithm hmac-sha-256-128authentication- algorithm hmac-md5-96[edit services ipsec-vpn ipsec proposal proposal-name]authentication-algorithm hmac-md5-96authentication- algorithm hmac-sha-256-128[edit services ipsec-vpn ipsec proposal proposal-name] algoritmos. Entretanto, o algoritmo de autenticação selecionado é hmac-md5-96 e não o algoritmo mais forte do hmac-sha-256-128. Esse método de seleção do algoritmo ocorre porque a primeira proposta de correspondência é selecionada. Além disso, para uma proposta padrão, independentemente de o roteador ter suporte para o algoritmo de criptografia Advanced Encryption Standard (AES), o algoritmo de 3des-cbc é escolhido e não o algoritmo aes-cfb, que é por causa do primeiro algoritmo da proposta padrão a ser selecionado. No cenário amostral descrito aqui, no roteador 2, se você reverter a ordem da configuração do algoritmo na proposta de maneira que ela seja a mesma ordem especificada no roteador 1, o hmac-sha-256-128 é selecionado como o método de autenticação.

  • Você deve estar consciente da ordem das propostas em uma política IPsec no momento da configuração, caso queira que a combinação de propostas ocorra em uma determinada ordem de preferência, como o algoritmo mais forte a ser considerado em primeiro lugar quando uma correspondência é feita quando ambas as políticas dos dois colegas têm uma proposta.

Options

algorithm— Especifique um dos seguintes tipos de algoritmos de autenticação:

  • aes-128-cmac-96— código de autenticação de mensagens baseado em cifra (AES128, 96 bits).

  • hmac-sha-1-96— código de autenticação de mensagens baseado em hash (SHA1, 96 bits).

  • md5— Message digest 5.

  • Padrão: hmac-sha-1-96

    Nota:

    O padrão não é exibido na saída do comando, a menos que uma chave ou cadeia show bgp bmp de chaves também esteja configurada.

Required Privilege Level

roteamento — Para exibir essa instrução na configuração.

roteamento-controle — para adicionar essa instrução à configuração.

Release Information

Declaração lançada na versão 7.6 do Junos OS.

Declaração lançada para BGP Junos OS Release 8.0.

Declaração lançada para BMP no Junos OS Release 13.2X51-D15 para a Série QFX.

Declaração lançada para BMP na versão 13.3 do Junos OS.