Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

security-association (IPSec)

语法

层次结构级别

描述

配置要应用于 OSPF 或 OSPFv3 接口或虚拟链路的手动 IPsec 安全关联 (SA)。IPsec 可以为 OSPF 或 OSPFv3 路由数据包提供身份验证和机密性。

选项

sa-name

SA 的名称。

description

指定 SA 的文本描述。

direction

手动 SA 的方向。对于此功能,方向必须为 bidirectional。在两个方向上使用相同的算法、密钥或 SPI 解密和验证传入和传出流量,这与在两个方向上使用不同属性的入站和出站 SA 不同。

  • 值: algorithm— 对数据包数据进行身份验证的哈希算法。它可以是以下项之一:

    • hmac-md5-96— 生成 128 位摘要。这是默认设置。

    • hmac-sha1-96— 生成 160 位摘要。

    • hmac-sha-256— 生成 256 位摘要。

    • hmac-sha-384— 生成 384 位摘要。

    • hmac-sha-512— 生成 512 位摘要。

    从 Junos OS 版本 22.2R1 开始,MX240、MX480 和 MX960 与 MX-SPC3、运行 iked 进程的 SRX 系列防火墙和 vSRX 虚拟防火墙支持所有列出的身份验证算法。

    key- 身份验证密钥的类型。它可以是以下项之一:

    • ascii-text key- ASCII 文本键。对于 hmac-md5-96,密钥为 16 个 ASCII 字符;对于 hmac-sha1-96,密钥为 20 个 ASCII 字符。

    • hexadecimal key- 十六进制键。对于 hmac-md5-96,密钥为 32 个十六进制字符;对于 hmac-sha1-96,密钥为 40 个十六进制字符。

  • 值: encryption- 为手动安全关联 (SA) 配置加密算法和密钥。它可以是以下项之一:

    • algorithm— 为内部路由引擎到路由引擎 IPsec 安全关联 (SA) 配置选择加密算法。

      • des-cbc- 块大小为 8 字节(64 位)且密钥大小为 48 位的加密算法。

      • 3des-cbc- 块大小为 8 字节(64 位)且密钥大小为 192 位的加密算法。

        对于 3des-cbc,我们建议前 8 个字节不同于第二个 8 个字节,第二个 8 个字节与第三个 8 个字节相同。

      • aes-128-cbc— 密钥大小为 16 字节的高级加密算法;其密钥大小为 128 位长。
      • aes-192-cbc- 密钥大小为 24 字节的高级加密算法;其密钥大小为 192 位长。
      • aes-256-cbc- 密钥大小为 32 字节的高级加密算法;其密钥大小为 256 位长。

      从 Junos OS 版本 22.2R1 开始,MX240、MX480 和 MX960 与 MX-SPC3、SRX 系列防火墙和运行 iked 进程的 vSRX 虚拟防火墙支持所有列出的加密算法。

    • key- 加密密钥的类型。它可以是以下项之一:

      • ascii-text key- ASCII 文本键。 des-cbc 对于选项,密钥包含 8 个 ASCII 字符;对于 3des-cbc,密钥包含 24 个 ASCII 字符。

      • hexadecimal key- 十六进制键。对于选项 des-cbc ,键包含 16 个十六进制字符;对于 3des-cbc 选项,键包含 48 个十六进制字符。

protocol

为手动安全关联 (SA) 定义 IPsec 协议。协议可以是以下协议之一:

  • ah—认证头协议。如果配置 AH 协议,则必须配置身份验证算法和密钥。

  • esp— 封装安全有效负载 (ESP) 协议。这是默认设置。

    如果配置 ESP 协议,则必须配置身份验证算法和/或加密算法。如果您未配置 ESP 协议,并且未配置身份验证或加密算法,则我们不提供身份验证或加密支持。

spi spi-value

为安全关联 (SA) 配置安全参数索引 (SPI)。一个任意值,用于唯一标识要在接收主机上使用的 SA(数据包中的目标地址)。

  • 范围: 256 到 16,639

mode

SA 模式。对于此功能,模式必须为 transport

所需权限级别

视图级别 - 在配置中查看此语句。

控制级别 - 将此语句添加到配置中。

发布信息

在 Junos OS 12.1X46-D20 版中引入的语句。

Junos OS 版本 22.2R1 中为 MX240、MX480 和 MX960 添加了身份验证算法配置选项 hmac-md5-96、hmac-sha1-96、hmac-sha1-96、hmac-sha-256、hmac-sha-384 和 hmac-sha-512。

Junos OS 22.2R1 版中为 MX240、MX480 和 MX960 添加了加密算法配置选项:des-cbc、3des-cbc、aes-128-cbc、aes-192-cbc 和 aes-256-cbc,适用于运行 iked 进程的 MX240、MX480 和 MX960。