Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm (Services IPsec)

语法

层次结构级别

描述

配置对数据包数据进行身份验证的 IPsec 散列算法。

注意:

在 IPsec 提议中配置身份验证算法时,请始终注意以下事项:

  • 如果 IPsec VPN 隧道的两端都包含相同的协议IKE提议,但不同的 IPsec 提议,将发生错误,并且此情景中未建立隧道。例如,如果通道的一端包含使用认证算法配置为 hmac-sha-256-128 的路由器 1,隧道另一端包含使用认证算法配置为 hmac-md5-96 的路由器 2,则 VPN 隧道未建立。

  • 如果 IPsec VPN 隧道的两端均包含相同的 IKE 提议但不同的 IPsec 提议,并且隧道一端包含两个 IPsec 提议,则检查是否选择了安全性较低算法,则会出现错误且未建立隧道。例如,如果将 IPsec 提议在隧道一端、路由器 1 上的 hmac-sha-256-128 和 hmac-md5-96 配置为 hmac-md5-96,并且将 IPsec 提议算法配置为通道另一端路由器 2 的 hmac-md5-96,则隧道未建立,并且提议数不匹配。

  • 在隧道两端配置两个 IPsec 提议时,如其中一个隧道的层次结构级别中的 和 语句、路由器 1 authentication- algorithm hmac-sha-256-128 [edit services ipsec-vpn ipsec proposal proposal-name] authentication-algorithm hmac-md5-96(两个连续语句中的算法用于指定顺序)以及 层次结构级别中的 和 语句(路由器 2(使用两个连续语句中的算法来指定顺序,authentication-algorithm hmac-sha-256-128 authentication- algorithm hmac-md5-96 [edit services ipsec-vpn ipsec proposal proposal-name] 路由器 1 的反向顺序),按预期按此组合建立隧道,因为两端上提议的数量相同,并且包含相同的算法集。但是,所选的认证算法是 hmac-md5-96,而不是 hmac-sha-256-128 的强算法。由于选择了第一个匹配提议,因此会采用此算法选择方法。此外,对于默认提议,无论路由器是否支持高级加密标准 (AES) 加密算法,都选择 3des-cbc 算法,而不是 aes-cfb 算法,这是因为在选择默认提议中第一个算法。在此处介绍的示例情景中,在路由器 2 上,如果您反向提议中的算法配置顺序,以便其顺序与路由器 1 上指定的顺序相同,hmac-sha-256-128 将被选为认证方法。

  • 如果您希望以某种优先顺序进行提议匹配,例如当两个对等方的策略都有一个提议时,首先考虑最强算法,则必须了解配置时 IPsec 策略中的提议顺序。

  • 此证书不支持验证算法 hmac-sha-256-128 MX104 通用路由平台。

选项

hmac-md5-96— 生成 128 位摘要。

hmac-sha-256-128— 生成 256 位摘要。

hmac-sha1-96— 生成 160 位摘要。

所需的权限级别

admin— 要查看配置中的此语句。

admin-control — 要将此语句添加至配置中。

发布信息

在版本 7.4 Junos OS之前引入的语句。