配置 IKE 策略

为预共享密钥配置 IKE 策略

IKE 策略定义要在 IKE 协商期间使用的安全参数组合（IKE 提议）。它定义对等方地址、给定对等方的预共享密钥以及该连接所需的建议。在 IKE 协商期间，IKE 会查找在两个对等方上相同的 IKE 策略。启动协商的对等方将其所有策略发送给远程对等方，远程对等方尝试查找匹配项。

当来自两个对等方的两个策略都具有包含相同配置属性的建议时，将进行匹配。如果生存期不相同，则使用两个策略（来自主机和对等方）之间的较短生存期。配置的预共享密钥还必须与其对等方匹配。

要确保至少有一个提议与远程对等方的提议匹配，您可以在每个对等方创建多个优先级建议。为此，请配置提议并将其与 IKE 策略关联，并选择性地在语句中 policy 确定列表的优先级，其中按列表顺序评估它们。

policy在层次结构级别包含[edit security ike]语句，并将 IPsec 隧道目标指定为对等地址：

配置 IKE 策略的任务包括：

要指定 IKE 策略的说明，请在层次结构级别包含 description 语句 [edit security ike policy ike-peer-address] ：

IKE 策略有两种模式：主动模式和主模式。默认情况下，主模式处于启用状态。主模式在三次交换中使用六条消息来建立 IKE SA。（这三个步骤是 IKE SA 协商、 Diffie-Hellman 密钥交换和对等方身份验证。主模式还允许对等方隐藏其身份。

主动模式还会建立经过身份验证的 IKE SA 和密钥。但是，主动模式使用一半的消息数，具有较少的协商能力，并且不提供身份保护。对等方可以使用积极或主模式启动 IKE 协商;远程对等方接受对等方发送的模式。

要配置 IKE 策略模式，请包含mode语句并在层次结构级别指定 aggressive [edit security ike policy ike-peer-address] 或main：

对于 FIPS 模式下的 Junos OS，层次结构级别的模式语句 [edit services ipsec-vpn ike policy policy-name] 不支持 IKEv1 的积极选项。

IKE 策略预共享密钥对等方进行身份验证。您必须手动配置预共享密钥，该密钥必须与其对等方的密钥匹配。预共享密钥可以是 ASCII 文本（字母数字）密钥或十六进制密钥。

本地证书是预共享密钥的替代方法。如果未配置预共享密钥或本地证书，则提交操作将失败。

要配置 IKE 策略预共享密钥，请在层次结构级别包含 pre-shared-key 语句 [edit security ike policy ike-peer-address] ：

IKE 策略建议是与 IKE 策略关联的一个或多个建议的列表。

要配置 IKE 策略提议，请在层次结构级别包含 proposals 该语句 [edit security ike policy ike-peer-address] ，并指定一个或多个提议名称：

定义两个 IKE 策略：策略 10.1.1.2 和策略 10.1.1.1。每个策略都与 proposal-1 和 proposal-2相关联。

注意：

对当前 IKE 提议和策略配置的更新不会应用于当前 IKE SA;更新将应用于新的 IKE SA。

如果希望新更新立即生效，则必须清除现有 IKE 安全关联，以便使用更改后的配置重新建立这些关联。有关如何清除当前 IKE 安全关联的信息，请参阅 CLI 资源管理器。

注意：

在 IPSec 对等方之间配置多个 IPSec 隧道时，IPSec 隧道可以在 IPSec 对等方物理接口上的多个本地地址上终止，反之亦然。