policy (Security IKE)
Syntax
policy policy-name {
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids [ oid ];
trusted-ca {
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
description description;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
seeded-pre-shared-key (ascii-text key | hexadecimal key);
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
proposals proposal-name;
reauth-frequency number;
}
Hierarchy Level
[edit security ike]
Description
IKE 策略定义了要在 IKE 协商期间使用的安全参数(IKE 提议)的组合,包括对等方地址、给定对等方的前共享密钥以及此连接所需的提议。在 IKE 协商期间,IKE 会查找两个对等方均相同的 IKE 策略。启动协商的对等方将其所有策略发送至远程对等方,远程对等方尝试查找匹配项。
语句中的 IKE 提议按列表顺序(从上至下)进行评估,因此在 policy 创建策略时,首先指定最高优先级提议,然后是下一个最高优先级,依此类此类。
Options
policy-name—IKE 策略的名称。策略名称最多可以长 32 个字母数字字符。
certificate—指定数字证书的使用情况,以验证虚拟专用网络 (VPN) 发起方和接收方。
description description—指定 IKE 策略的说明。
mode—定义用于互联网密钥交换 (IKE) 第 1 阶段协商的模式。只有当您需要启动 IKE 密钥交换而无需 ID 保护时,才使用积极模式,就像对等方单元有动态分配的 IP 地址一样。IKEv2 协议不会使用模式配置进行协商。更新 IKE 策略中的配置时 mode ,设备将删除现有 IKE 和 IPsec SA。
-
aggressive—积极模式。 -
main—主模式。主模式是建议的密钥交换方法,因为它在密钥交换期间隐藏了双方的身份。当远程网关具有动态地址且身份验证方法为
pre-shared-keys时,不支持为组 VPN 服务器或成员配置mode main。
pre-shared-key—定义 IKE 策略的前共享密钥。更新 IKE 策略中的配置时 pre-shared-key ,设备将删除现有 IKE 和 IPsec SA。
-
ascii-text key— 为密钥指定 1 到 255 个 ASCII 文本字符串。要将特殊字符()[]!&?|括起来,请将整个密钥字符串或特殊字符括在引号中;例如“str)ng”或str”)”ng。不允许在字符串中其他使用引号。通过des-cbc加密,密钥包含 8 个 ASCII 字符。通过3des-cbc加密,密钥包含 24 个 ASCII 字符。 -
hexadecimal key— 为密钥指定 1 到 255 个十六进制字符串。字符必须是十六倍的数字0通过9,或字母a通过f或A通过F。通过des-cbc加密,密钥包含 16 个十六字体字符。通过3des-cbc加密,密钥包含 48 个十六字体字符。
seeded-pre-shared-key— 为 IKE 策略定义 ASCII 或六进制格式的种子预共享密钥。主 seeded-pre-shared-key 键用于为对等方生成 pre-shared-key 。因此,每个对等方将有不同的。pre-shared-key 此选项的优势在于,连接到网关的每个对等方连接都将有不同的预共享密钥,因此,如果一个对等方的 pre-shared-key 密钥遭到入侵,则其他对等方不会受到影响。
对等方预共享密钥使用跨对等方配置和 seeded-pre-shared-key 共享的主密钥生成。要查看对等方的预共享密钥,请执行 show security ike pre-shared-key 命令,在对等方设备中共享并配置显示的预共享密钥作为预共享密钥(ASCII 格式)。主密钥仅在网关设备中配置,不会共享给任何对等方。
您可以使用 show security ike pre-shared-key user-id peer ike-id master-key master key 或 show security ike pre-shared-key user-id peer ike-id gateway gateway name 命令检索对等方预共享密钥。
-
ascii-text key— 为密钥配置一串 1 到 255 个 ASCII 文本字符。要将特殊字符()[]!&?|括起来,请将整个密钥字符串或特殊字符括在引号中;例如“str)ng”或str”)”ng。不允许在字符串中其他使用引号。 -
hexadecimal key0通过9,或字母a通过f或A通过F。
proposal-set—指定一组默认互联网密钥交换 (IKE) 提议。
proposals proposal-name— 为 IKE 策略指定最多四个第 1 阶段提议。如果包含多个提议,请在所有提议中使用相同的 Diffie-Hellman 组。
reauth-frequency number—配置重新验证频率以触发新的 IKEv2 重新认证。再授权创建新的 IKE SA,在 IKE SA 中创建新儿童 SA,然后删除旧的 IKE SA。此选项默认禁用。重新验证之前发生的 IKE 密钥的琥珀色。如果 reauth-frequency 是 1,每次有 IKE 重新密钥时都会发生重新验证。如果 reauth-frequency 是 2,则会在所有其他 IKE 重新密钥中进行重新认证。如果 reauth-frequency 是 3,则每三分之一的 IKE 重新密钥都会发生重新验证。
-
默认:0(禁用)
-
范围:0-100
Required Privilege Level
安全性 — 要在配置中查看此语句。
安全控制 — 要将此语句添加到配置中。
Release Information
在 Junos OS 版本 8.5 中修改的语句。
suiteb-gcm-128 Junos OS 版本 12.1X45-D10 中添加的支持和suiteb-gcm-256选项。
policy-oids支持在 Junos OS 12.3X48-D10 版中添加选项。
trusted-ca支持在 Junos OS 版本 18.1R1 中添加的选项。
reauth-frequency支持在 Junos OS 版本 15.1X49-D60 中添加的选项。
seeded-pre-shared-key支持在 Junos OS 版本 21.1R1 中添加的选项。