最低安全性关联配置
以下章节显示了为 IPsec 服务设置安全关联 (SA) 所需的最低配置:
最低手动 SA 配置
要定义手册 SA 配置,必须至少在层次结构级别包含 [edit services ipsec-vpn rule rule-name term term-name then manual] 以下语句:
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
最低动态 SA 配置
要定义动态 SA 配置,您必须至少在层次结构级别包含 [edit services ipsec-vpn] 以下语句:
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha-256); authentication-method pre-shared-keys; dh-group (group1 | group2 | group5 |group14 | group15 | group16 | group19 | group20 | group24); encryption-algorithm algorithm; } policy policy-name { proposals [ ike-proposal-names ]; pre-shared-key (ascii-text key | hexadecimal key); version (1 | 2); mode (aggressive | main); } } ipsec { policy policy-name { proposals [ ipsec-proposal-names ]; } proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); encryption-algorithm algorithm; protocol (ah | esp | bundle); } }
注意:
version通过层次结构级别的[edit services ipsec-vpn ike policy name]语句,您可以配置要支持的特定 IKE 版本。mode仅当version选项设置为 1时,才需要层次结构级别的[edit services ipsec-vpn ike policy name]语句。
您还必须在层次结构级别包含[edit services ipsec-vpn rule rule-name term term-name then dynamic]该ipsec-policy语句。
特定于平台的 最小安全性关联配置 行为
| 平台 |
差异 |
|---|---|
| MX 系列 |
默认情况下,所有 MX 系列路由器均支持 IKEv1 和 IKEv2。 |