Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全关联概述

要使用 IPsec 安全服务,请在主机之间创建 SA。SA 是一种单工连接,允许两台主机通过 IPsec 安全地相互通信。有两种类型的 SA:手动和动态。

  • 手动 SA 不需要协商;所有值(包括键)都是静态的,并在配置中指定。手动 SA 静态定义要使用的安全参数索引 (SPI) 值、算法和密钥,并要求隧道两端的配置匹配。每个对等方必须具有相同的配置选项才能进行通信。

  • 动态 SA 需要额外配置。使用动态 SA,您可以先配置 IKE ,然后再配置 SA。IKE 创建动态安全关联;它协商 IPsec 的 SA。IKE 配置定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。然后,此连接用于动态商定动态 IPsec SA 使用的密钥和其他数据。首先协商 IKE SA,然后用于保护确定动态 IPsec SA 的协商。

  • 设置用户级隧道或 SA,包括隧道属性协商和密钥管理。这些隧道也可以在同一安全通道之上刷新和终止。

IPsec 的 Junos OS 实施支持两种安全模式(传输模式隧道模式)。

相关文档