Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração de uma política de IKE

Configuração de uma política de IKE para chaves pré-compartilhadas

Uma política de IKE define uma combinação de parâmetros de segurança (propostas de IKE) a serem usados durante a negociação da IKE. Ela define um endereço peer, a chave pré-compartilhada para os pares e as propostas necessárias para essa conexão. Durante a negociação da IKE, a IKE procura uma política de IKE que seja a mesma para ambos os pares. O peer que inicia a negociação envia todas as suas políticas para o peer remoto, e o peer remoto tenta encontrar uma correspondência.

Uma correspondência é feita quando ambas as políticas dos dois pares têm uma proposta que contém os mesmos atributos configurados. Se a vida útil não for idêntica, a vida útil mais curta entre as duas políticas (do host e do peer) é usada. A chave pré-compartilhada configurada também deve combinar com o peer.

Para garantir que pelo menos uma proposta corresponda à proposta de um peer remoto, você pode criar várias propostas priorizadas em cada peer. Faça isso configurando a(s) proposta(s) e associando-as a uma política de IKE e, opcionalmente, priorizando a lista na policy declaração, onde elas são avaliadas em ordem de lista.

Inclua a policy declaração no nível de [edit security ike] hierarquia e especifique um destino de túnel IPsec como endereço peer:

As tarefas para configurar uma política de IKE são:

Configurando a descrição para uma política de IKE

Para especificar uma descrição de uma política IKE, inclua a description declaração no nível de [edit security ike policy ike-peer-address] hierarquia:

Configuração do modo para uma política de IKE

A política de IKE tem dois modos: agressivo e principal. Por padrão, o modo principal é habilitado. O modo principal usa seis mensagens, em três trocas, para estabelecer o IKE SA. (Essas três etapas são a negociação de SA da IKE, uma troca de chaves da Diffie-Hellman e autenticação do peer.) O modo principal também permite que um peer ocultar sua identidade.

O modo agressivo também estabelece uma SA IKE autenticada e chaves. No entanto, o modo agressivo usa metade do número de mensagens, tem menos poder de negociação e não fornece proteção de identidade. O peer pode usar o modo agressivo ou principal para iniciar a negociação do IKE; o peer remoto aceita o modo enviado pelo peer.

Para configurar o modo de política IKE, inclua a mode declaração e especifique aggressive ou main no nível de [edit security ike policy ike-peer-address] hierarquia:

Para o Junos OS no modo FIPS, a opção agressiva para IKEv1 não é suportada com a declaração de modo no nível hierárquico [edit services ipsec-vpn ike policy policy-name] .

Configuração da chave pré-compartilhada para uma política de IKE

As chaves pré-compartilhadas da política de IKE autenticam os pares. Você deve configurar manualmente uma chave pré-compartilhada, que deve combinar com a de seus pares. A chave pré-compartilhada pode ser uma chave de texto ASCII (alfanumérico) ou uma chave hexadecimal.

Um certificado local é uma alternativa à chave pré-compartilhada. Uma operação de confirmação falha se uma chave pré-compartilhada ou um certificado local não estiver configurado.

Para configurar uma chave pré-compartilhada da política de IKE, inclua a pre-shared-key declaração no nível de [edit security ike policy ike-peer-address] hierarquia:

Associação de propostas com uma política de IKE

A proposta de política de IKE é uma lista de uma ou mais propostas associadas a uma política de IKE.

Para configurar uma proposta de política de IKE, inclua a proposals declaração no nível da [edit security ike policy ike-peer-address] hierarquia e especifique um ou mais nomes de propostas:

Veja também

Exemplo: Configuração de uma política de IKE

Definir duas políticas de IKE : a política 10.1.1.2 e a política 10.1.1.1. Cada política está associada proposal-1 e proposal-2.

Nota:

As atualizações da proposta de IKE e configuração de políticas atuais não são aplicadas à SA IKE atual; as atualizações são aplicadas a novos SAs IKE.

Se você quiser que as novas atualizações surtiram efeito imediato, você deve limpar as associações de segurança IKE existentes para que elas sejam restabelecidas com a configuração alterada. Para obter informações sobre como limpar a associação de segurança IKE atual, consulte o CLI Explorer.
Nota:

Ao configurar vários túneis IPSec entre os pares IPSec, os túneis IPSec podem terminar em vários endereços locais em uma interface física de um peer IPSec e vice-versa.

Veja também