Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

为 ES PIC 配置 IPsec 提议

IPsec 提议列出了要与远程 IPsec 对等方协商的协议和算法(安全服务)。

要配置 IPsec 提议并定义其属性,请在层次结构级别包含以下语句 [edit security ipsec]

为 ES PIC 配置 IPsec 提议的任务包括:

配置 IPsec 提议的身份验证算法

要配置 IPsec 身份验证算法,请在层次结构级别包含authentication-algorithm[edit security ipsec proposal ipsec-proposal-name]语句:

身份验证算法可以是以下算法之一:

  • hmac-md5-96— 对数据包数据进行身份验证的哈希算法。它生成 128 位摘要。只有 96 位用于身份验证。

  • hmac-sha1-96— 对数据包数据进行身份验证的哈希算法。它生成 160 位摘要。只有 96 位用于身份验证。

配置 IPsec 提议的说明

要指定 IPsec 提议的说明,请在层次结构级别包含 description 以下语句 [edit security ipsec proposal ipsec-proposal-name]

为 IPsec 提议配置加密算法

要配置 IPsec 加密算法,请在层次结构级别包含encryption-algorithm[edit security ipsec proposal ipsec-proposal-name]语句:

加密算法可以是以下算法之一:

  • 3des-cbc- 块大小为 24 字节的加密算法;其密钥大小为 192 位长。

  • des-cbc—块大小为 8 字节的加密算法;它的密钥大小为

  • 48 位长。

    注意:

    建议使用三重 DES 密码块链接 (3DES-CBC) 加密算法。

配置 IPsec SA 的生存期

IPsec 生存期选项设置 IPsec SA 的生存期。当 IPsec SA 过期时,它将替换为新的 SA(和 SPI)或终止。新的 SA 具有新的身份验证和加密密钥以及 SPI;但是,如果不更改提案,算法可能会保持不变。如果未配置生存期,并且响应方未发送生存期,则生存期为 28,800 秒。

要配置 IPsec 生存期,请包含语句并lifetime-seconds指定层次结构级别的秒数(180 到 86,400):[edit security ipsec proposal ipsec-proposal-name]

注意:

创建动态 SA 时,将使用两种类型的生存期:硬生存期和软生存期。硬生存期指定 SA 的生存期。软生存期(派生自硬生存期)通知 IPsec 密钥管理系统 SA 即将过期。这允许密钥管理系统在硬生存期到期之前协商新的 SA。指定生存期时,将指定硬生存期。

为动态 IPsec SA 配置协议

protocol 语句设置动态 SA 的协议。ESP 协议可以支持身份验证和/或加密。AH 协议用于强身份验证。AH 还会对 IP 数据包进行身份验证。该 bundle 选项使用 AH 身份验证和 ESP 加密;它不使用 ESP 身份验证,因为 AH 提供更强的 IP 数据包身份验证。

要为动态 SA 配置协议,请在层次结构级别包含 protocol 语句 [edit security ipsec proposal ipsec-proposal-name]

参见