Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Syntax

Hierarchy Level

Description

as políticas IKE definem uma combinação de parâmetros de segurança (IKE propostas) a serem usados durante IKE de negociação, incluindo endereço de peer, a chave pré-compartilhada para determinado peer e as propostas necessárias para essa conexão. Durante a IKE, IKE busca por uma política IKE que seja a mesma para ambos os pares. O peer que inicia a negociação envia todas as suas políticas para o peer remoto, e o peer remoto tenta encontrar uma combinação.

IKE propostas na declaração são avaliadas por ordem de lista, de cima para baixo, para que, ao criar a política, especifique a proposta de maior prioridade primeiro, seguido da próxima maior prioridade e assim por policy diante.

Options

policy-name— Nome da política IKE de segurança. O nome da política pode ter até 32 caracteres alfanuméricos.

certificate— Especifique o uso de um certificado digital para autenticar o iniciador e o beneficiário da rede privada virtual (VPN).

description description— Especifique a descrição da IKE política.

mode—Defina o modo usado para Internet Key Exchange (IKE) (IKE) negociações da Fase 1. Use o modo agressivo somente quando você precisar iniciar uma IKE de chaves sem proteção de ID, como quando uma unidade de peer tiver um endereço IP atribuído dinamicamente. O protocolo IKEv2 não negocia a configuração do modo. O dispositivo elimina as SAs existentes IKE e IPsec ao atualizar a configuração na mode IKE política.

  • aggressive— Modo agressivo.

  • main— Modo principal. O modo principal é o método de troca de chaves recomendado porque ele oculta as identidades das partes durante a troca de chaves.

    A configuração para servidores de VPN em grupo ou membros não é suportada quando o gateway remoto tem um endereço dinâmico mode main e o método de autenticação é pre-shared-keys .

pre-shared-key— Defina uma chave pré-compartilhada para uma IKE política. O dispositivo elimina as SAs existentes IKE e IPsec ao atualizar a configuração na pre-shared-key IKE política.

  • ascii-text key— Especifique uma string de 1 a 255 caracteres de texto ASCII para a chave. Para incluir os caracteres especiais, inclua toda a cadeia de chaves ou ( ) [ ] ! & ? | o caractere especial entre aspas; por exemplo ou “str)ng”str”)”ng . Não é permitido outro uso das citações na string. Com des-cbc a criptografia, a chave contém 8 caracteres ASCII. Com 3des-cbc a criptografia, a chave contém 24 caracteres ASCII.

  • hexadecimal key— Especifique uma string de 1 a 255 caracteres hexadecimal para a chave. Os caracteres devem ser dígitos hexadecimais 09 por meio, ou letras por a meio ou por fAF meio. Com des-cbc a criptografia, a chave contém 16 caracteres hexadecimal. Com 3des-cbc a criptografia, a chave contém 48 caracteres hexadecimal.

seeded-pre-shared-key— Defina uma chave pré-compartilhada semeada no formato ASCII ou hexadecimal para uma IKE de segurança. A seeded-pre-shared-key chave principal é usada para gerar a para os pre-shared-key peers. Assim, cada peer terá uma pre-shared-key diferença. A vantagem dessa opção é que cada conexão de peer com o gateway terá uma chave pré-compartilhada diferente, portanto, se um dos peers for comprometido, os outros peers não serão pre-shared-key impactados.

As chaves pré-compartilhadas por peer são geradas usando a chave-mestre configurada como seeded-pre-shared-key e compartilhada entre os peers. Para exibir a chave pré-compartilhada do peer, execute o comando, compartilhe e configure a chave pré-compartilhada exibida no dispositivo do peer como chave show security ike pre-shared-key pré-compartilhada (em formato ASCII). A chave principal só está configurada no dispositivo de gateway e não compartilhada a nenhum ponto.

Você pode recuperar a chave pré-compartilhada por peer usando show security ike pre-shared-key user-id peer ike-id master-key master key o ou show security ike pre-shared-key user-id peer ike-id gateway gateway name comando.

  • ascii-text key— Configure uma string de 1 a 255 caracteres de texto ASCII para a chave. Para incluir os caracteres especiais, inclua toda a cadeia de chaves ou ( ) [ ] ! & ? | o caractere especial entre aspas; por exemplo ou “str)ng”str”)”ng . Não é permitido outro uso das citações na string.

  • hexadecimal key— Especifique uma string de 1 a 255 caracteres hexadecimal para a chave. Os caracteres devem ser dígitos hexadecimais 09 por meio, ou letras por a meio ou por fAF meio.

proposal-set— Especifique um conjunto de Internet Key Exchange (IKE) propostas (IKE) padrão.

proposals proposal-name— Especifique até quatro propostas de Fase 1 para uma IKE de segurança. Se você incluir várias propostas, use o mesmo grupo Diffie-Hellman em todas as propostas.

reauth-frequency number— Configure a frequência de reauttenticação para acionar uma nova reauttenticação IKEv2. A reauttenticação cria uma nova IKE SA, cria SAs novas crianças no IKE SA e, em seguida, elimina a antiga IKE SA. Essa opção é desabilitada por padrão. umber de IKE chaves que ocorrem antes da reauttenticação ocorrer. Se reauth-frequency for, a reauttenticação ocorre sempre que há uma IKE 1 chave. Se reauth-frequency2 for, a reauttenticação ocorre em todos os outros IKE rekey. Se reauth-frequency3 for, a reauttenticação ocorre a cada IKE rekey.

  • Padrão: 0 (desativar)

  • Gama: 0-100

Required Privilege Level

segurança — para exibir essa instrução na configuração.

controle de segurança — para adicionar essa instrução à configuração.

Release Information

Declaração modificada na Versão 8.5 do Junos OS.

Suporte e suiteb-gcm-128 opções suiteb-gcm-256 adicionadas no Junos OS Release 12.1X45-D10.

Suporte para policy-oids opção adicionada no Junos OS Release 12.3X48-D10.

Suporte para trusted-ca opção adicionada no Junos OS Release 18.1R1.

Suporte para reauth-frequency opção adicionada no Junos OS Release 15.1X49-D60.

Suporte para seeded-pre-shared-key opção adicionada na versão 21.1R1 do Junos OS.