Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IPsec)

Syntax

Hierarchy Level

Description

Defina uma política IPsec. Uma política IPsec define uma combinação de parâmetros de segurança (propostas IPsec) usados durante a negociação IPsec. Ela define o Segredo de Encaminhamento Perfeito (PFS) e as propostas necessárias para a conexão.

Options

Nome

Nome da política IPsec.

Descrição

Insira texto descritivo para uma política IPsec.

chaves de segredo de encaminhamento perfeito

Especifique Perfect Forward Secrecy (PFS) como o método usado pelo dispositivo para gerar a chave de criptografia. PFS gera cada nova chave de criptografia independentemente da chave anterior. O dispositivo elimina os SAs IPsec existentes ao atualizar a perfect-forward-secrecy configuração na política IPsec.

  • Valores:

    • group1—Algoritmo Modular Exponencial (MODP) de 768 bits.

    • group2— Algoritmo DE MODP de 1024 bits.

    • group5— Algoritmo DE MODP de 1536 bits.

    • group14—grupo MODP de 2048 bits.

    • group15— Algoritmo DE MODP de 3072 bits.

    • group16— Algoritmo DE MODP de 4096 bits.

    • group19—256 bits aleatórios Grupos de curva elíptica modulo um algoritmo Prime (grupos ECP).

    • group20— Algoritmo de grupos ECP aleatórios de 384 bits.

    • group21— Algoritmo de grupos ECP aleatórios de 521 bits.

    • group24— Grupo MODP de 2048 bits com subgrupo de ordem principal de 256 bits.

conjunto de propostas

Defina um conjunto de propostas IPsec padrão.

  • Valores:

    • básico — conjunto de propostas básicas do IPsec. esp-des-sha e esp-des-md5.

      • Encapsulamento do protocolo Security Payload (ESP)

      • Algoritmo de criptografia — algoritmo de criptografia DES-CBC

      • Algoritmo de autenticação — algoritmo de autenticação SHA1 ou MD5

    • compatível — conjunto de propostas compatíveis com IPsec. esp-3des-sha, esp-3des-md5, esp-des-sha e esp-des-md5.

      • protocolo ESP

      • Algoritmo de criptografia — algoritmo de criptografia 3DES-CBC ou DES-CBC

      • Algoritmo de autenticação — algoritmo de autenticação SHA1 ou MD5

    • prime-128— Fornece o seguinte conjunto de propostas:

      • Encapsulamento do protocolo Security Payload (ESP)

      • Algoritmo de criptografia — Advanced Encryption Standard Galois/Counter mode (AES-GCM)128 bits

      • Algoritmo de autenticação — Nenhum (a AES-GCM fornece criptografia e autenticação)

      Essa opção não é suportada no grupo VPNv2.

    • prime-256— Fornece o seguinte conjunto de propostas:

      • protocolo ESP

      • Algoritmo de criptografia — AES-GCM de 256 bits

      • Algoritmo de autenticação — Nenhum (a AES-GCM fornece criptografia e autenticação)

      Essa opção não é suportada no grupo VPNv2.

    • standard—esp-3des-sha e esp-aes128-sha

      • protocolo ESP

      • Algoritmo de criptografia — 3DES-CBC ou algoritmo de criptografia de 128 bits AES-CBC

      • Algoritmo de autenticação — algoritmo de autenticação SHA1

    • suiteb-gcm-128— Fornece o seguinte conjunto de propostas:

      • protocolo ESP

      • Algoritmo de criptografia — AES-GCM de 128 bits

      • Algoritmo de autenticação — Nenhum (a AES-GCM fornece criptografia e autenticação)

      Essa opção não é suportada no grupo VPNv2.

    • suiteb-gcm-256— Fornece o seguinte conjunto de propostas:

      • protocolo ESP

      • Algoritmo de criptografia — AES-GCM de 256 bits

      • Algoritmo de autenticação — Nenhum (a AES-GCM fornece criptografia e autenticação)

      Essa opção não é suportada no grupo VPNv2.

nome das propostas

Especifique até quatro propostas de Fase 2 para uma política IPsec. Se você incluir várias propostas, use o mesmo grupo Diffie-Hellman em todas as propostas.

As propostas são avaliadas na ordem em que aparecem na lista, de cima para baixo, para especificar a prioridade mais alta primeiro, seguido da próxima maior prioridade, e assim por diante.

Required Privilege Level

segurança — para exibir essa instrução na configuração.

controle de segurança — para adicionar essa instrução à configuração.

Release Information

Declaração modificada na Versão 8.5 do Junos OS.

O suporte ao grupo 14 é adicionado na Versão 11.1 do Junos OS.

Suporte para group14 opções adicionadas na Versão 11.1 do Junos OS.

Suporte a group19 , group20 e opções group24 adicionadas no Junos OS Release 12.1X45-D10.

group15, group16 e group21 opções introduzidas no Junos OS Release 19.1R1 na linha SR5000 de dispositivos com junos-ike pacote instalado.

Suporte e suiteb-gcm-128 opções suiteb-gcm-256 adicionadas no Junos OS Release 12.1X45-D10. Suporte e prime-128 opções prime-256 adicionadas no Junos OS Release 15.1X49-D40.

A partir da versão 20.2R1 Junos OS, mudamos a descrição do texto da ajuda quanto às opções de NOT RECOMMENDEDgroup1group2 CLI, e group5 .

Suporte para group15 , group16 e opções group21 adicionadas no Junos OS Release 20.3R1 em vSRX instâncias com junos-ike o pacote instalado.

Suporte a , e opções adicionadas no group15group16group21 Junos OS Release 21.1R1 em vSRX 3.0 instâncias com junos-ike o pacote instalado.