Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

身份验证算法

语法

层次结构级别

说明

配置身份验证算法类型。

注:

在 IPsec 建议中配置身份验证算法时,请记住以下几点:

  • 如果 IPsec VPN 隧道的两端都包含相同的 IKE 建议,但 IPsec 方案不同,则会发生错误,并且不会在此情况下建立隧道。例如,如果一个通道的一端包含配置为作为 hmac-sha-256-128 的身份验证算法的路由器1,并且隧道的另一端包含配置为 hmac-md5-96 的路由器2,则 VPN 通道未建立.

  • 当 IPsec VPN 通道的两端都包含相同的 IKE 建议,但 IPsec 方案不同,并且当该通道的一端包含两个 IPsec 建议来检查是否选择了不太安全的算法时,将发生错误且不会建立隧道。例如,如果您在通道的一端将 IPsec 建议的两种身份验证算法配置为 hmac-sha-256-128 和 hmac-md5-96,并将 IPsec 建议的算法配置为 hmac-md5-96 (在隧道另一端),则路由器2未建立隧道,建议的数量不匹配。

  • 在隧道两端配置两个 IPsec 方案时,例如,路由器1(两authentication-algorithm hmac-sha-256-128authentication- algorithm hmac-md5-96连续语句中[edit services ipsec-vpn ipsec proposal proposal-name]的算法用于指定顺序)中的 and 语句,以及 "和" authentication-algorithm hmac-md5-96authentication- algorithm hmac-sha-256-128[edit services ipsec-vpn ipsec proposal proposal-name]层次结构级别上的语句,路由器2(两个连续语句中的算法用于指定顺序(路由器1的反向顺序),通道按预期方式在此组合中建立,因为方案数量在两端相同,并且包含相同的算法集。但是,所选的身份验证算法为 hmac-sha-1-96,而不是更强的 hmac-sha-256-128 算法。这种算法选择方法是因为选择了第一个匹配的建议。此外,对于默认建议,无论路由器是否支持高级加密标准(AES)加密算法,都将选择3des 算法,而不是 AES-cfb 算法,这是由于默认建议中的第一种算法被选中。在此处介绍的示例情景中,如果您颠倒了计划书中的算法配置顺序,使其与路由器1上指定的顺序相同,则将 "hmac-sha-256-128" 选作身份验证方法。

  • 如果您希望匹配的计划书以特定的优先顺序发生,例如在 t 的两个策略都进行匹配时要考虑的最强算法,则必须注意在配置时在 IPsec 策略中的计划顺序。这两位同行有提议。

选项

algorithm— 指定以下类型的认证算法之一:

  • aes-128-cmac-96—基于密码的消息认证代码(AES128,96 位)。

  • hmac-sha-1-96—基于散列的消息认证代码(SHA1,96 位)。

  • md5—消息摘要 5。

  • 本币 hmac-sha-1-96

    注:

    除非同时配置了钥匙或钥匙链,否则show bgp bmp缺省值不会显示在命令的输出中。

所需的权限级别

路由 — 在配置中查看此语句。

路由控制 - 要将此语句添加至配置中。

发布信息

Junos OS 版本7.6 中引入的语句。

在 8.0 BGP中为Junos OS引入了语句。

在 QFX 系列的 Junos OS Release 13.2 X51-D15 中引入 BMP 的声明。

在 Junos OS 版本13.3 中引入 BMP 的声明。