proposal-set (Security IKE)
语法
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
层次结构级别
[edit security ike policy policy-name]
描述
指定一组默认的互联网密钥交换 (IKE) 提议。
prime-128
和prime-256
提议集需要 IKEv2 和基于证书的身份验证。
选项
basic
—包括一组基本的两个 IKE 提议:提议 1 — 预共享密钥、数据加密标准 (DES) 加密、Diffie-Hellman (DH) 组 1 和安全散列算法 1 (SHA-1) 身份验证。
提议 2 — 预共享密钥、DES 加密以及 DH 组 1 和消息摘要 5 (MD5) 身份验证。
compatible
—包括一组四个常用的 IKE 建议:提议 1 — 预共享密钥、三重 DES (3DES) 加密以及 Diffie-Hellman (DH) 组 2(DH 组 2)和 SHA-1 身份验证。
提议 2 — 预共享密钥、3DES 加密以及 DH 组 2 和 MD5 身份验证。
提议 3 — 预共享密钥、DES 加密以及 DH 组 2 和 SHA-1 身份验证。
提议 4 — 预共享密钥、DES 加密以及 DH 组 2 和 MD5 身份验证。
prime-128
- 提供以下提议集(组 VPNv2 不支持此选项):身份验证方法 — 椭圆曲线数字签名算法 (ECDSA) 256 位签名。
Diffie-Hellman Group - 19.
加密算法 — 高级加密标准 (AES) 128 位伽罗瓦/计数器模式 (GCM)。
身份验证算法 - 无(AES-GCM 同时提供加密和身份验证)。
使用此选项时,
prime-128
还应在 [edit security ipsec policy policy-name proposal-set
] 层次结构级别进行配置。
prime-256
- 提供以下提议集(组 VPNv2 不支持此选项):身份验证方法 — ECDSA 384 位签名。
Diffie-Hellman Group - 20。
加密算法 — AES 256 位 GCM。
身份验证算法 - 无(AES-GCM 同时提供加密和身份验证)。
使用此选项时,
prime-256
还应在 [edit security ipsec policy policy-name proposal-set
] 层次结构级别进行配置。
standard
—包括一组标准的两个 IKE 提议:提议 1— 预共享密钥、3DES 加密以及 DH 组 2 和 SHA-1 身份验证。
提议 2 — 预共享密钥、AES 128 位加密以及 DH 组 2 和 SHA-1 身份验证。
suiteb-gcm-128
- 提供以下套件 B 提议集(组 VPNv2 不支持此选项):身份验证方法 — ECDSA 256 位签名
Diffie-Hellman Group - 19
加密算法—高级加密标准 (AES) 128 位密码块链接 (CBC)
身份验证算法 — SHA-256
suiteb-gcm-256
- 提供以下套件 B 提议集(组 VPNv2 不支持此选项):身份验证方法 — ECDSA 384 位签名
Diffie-Hellman Group - 20
加密算法 — AES 256 位 CBC
身份验证算法 — SHA-384
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
Junos OS 8.5 版中引入的语句。Junos suiteb-gcm-128
OS 12.1X45-D10 版中的支持和 suiteb-gcm-256
添加的选项。Junos prime-128
OS 15.1X49-D40 版中对 Junos OS 的支持和 prime-256
添加的选项。
从 Junos OS 20.2R1 版开始,我们更改了 CLI 选项 、 以及standard
使用软件包运行 junos-ike
iked 进程的 SRX 系列防火墙的帮助文本说明NOT RECOMMENDED
。 compatible
basic