Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Syntax

Hierarchy Level

Description

IKE 策略定义了要在 IKE 协商期间使用的安全参数(IKE 提议)的组合,包括对等方地址、给定对等方的前共享密钥以及此连接所需的提议。在 IKE 协商期间,IKE 会查找两个对等方均相同的 IKE 策略。启动协商的对等方将其所有策略发送至远程对等方,远程对等方尝试查找匹配项。

语句中的 IKE 提议按列表顺序(从上至下)进行评估,因此在 policy 创建策略时,首先指定最高优先级提议,然后是下一个最高优先级,依此类此类。

Options

policy-name—IKE 策略的名称。策略名称最多可以长 32 个字母数字字符。

certificate—指定数字证书的使用情况,以验证虚拟专用网络 (VPN) 发起方和接收方。

description description—指定 IKE 策略的说明。

mode—定义用于互联网密钥交换 (IKE) 第 1 阶段协商的模式。只有当您需要启动 IKE 密钥交换而无需 ID 保护时,才使用积极模式,就像对等方单元有动态分配的 IP 地址一样。IKEv2 协议不会使用模式配置进行协商。更新 IKE 策略中的配置时 mode ,设备将删除现有 IKE 和 IPsec SA。

  • aggressive—积极模式。

  • main—主模式。主模式是建议的密钥交换方法,因为它在密钥交换期间隐藏了双方的身份。

    当远程网关具有动态地址且身份验证方法为pre-shared-keys时,不支持为组 VPN 服务器或成员配置mode main

pre-shared-key—定义 IKE 策略的前共享密钥。更新 IKE 策略中的配置时 pre-shared-key ,设备将删除现有 IKE 和 IPsec SA。

  • ascii-text key— 为密钥指定 1 到 255 个 ASCII 文本字符串。要将特殊字符 ( ) [ ] ! & ? | 括起来,请将整个密钥字符串或特殊字符括在引号中;例如 “str)ng”str”)”ng。不允许在字符串中其他使用引号。通过 des-cbc 加密,密钥包含 8 个 ASCII 字符。通过 3des-cbc 加密,密钥包含 24 个 ASCII 字符。

  • hexadecimal key— 为密钥指定 1 到 255 个十六进制字符串。字符必须是十六倍的数字 0 通过 9,或字母 a 通过 fA 通过 F。通过 des-cbc 加密,密钥包含 16 个十六字体字符。通过 3des-cbc 加密,密钥包含 48 个十六字体字符。

seeded-pre-shared-key— 为 IKE 策略定义 ASCII 或六进制格式的种子预共享密钥。主 seeded-pre-shared-key 键用于为对等方生成 pre-shared-key 。因此,每个对等方将有不同的。pre-shared-key 此选项的优势在于,连接到网关的每个对等方连接都将有不同的预共享密钥,因此,如果一个对等方的 pre-shared-key 密钥遭到入侵,则其他对等方不会受到影响。

对等方预共享密钥使用跨对等方配置和 seeded-pre-shared-key 共享的主密钥生成。要查看对等方的预共享密钥,请执行 show security ike pre-shared-key 命令,在对等方设备中共享并配置显示的预共享密钥作为预共享密钥(ASCII 格式)。主密钥仅在网关设备中配置,不会共享给任何对等方。

您可以使用 show security ike pre-shared-key user-id peer ike-id master-key master keyshow security ike pre-shared-key user-id peer ike-id gateway gateway name 命令检索对等方预共享密钥。

  • ascii-text key— 为密钥配置一串 1 到 255 个 ASCII 文本字符。要将特殊字符 ( ) [ ] ! & ? | 括起来,请将整个密钥字符串或特殊字符括在引号中;例如 “str)ng”str”)”ng。不允许在字符串中其他使用引号。

  • hexadecimal key— 为密钥指定 1 到 255 个十六进制字符串。字符必须是十六倍的数字 0 通过 9,或字母 a 通过 fA 通过 F

proposal-set—指定一组默认互联网密钥交换 (IKE) 提议。

proposals proposal-name— 为 IKE 策略指定最多四个第 1 阶段提议。如果包含多个提议,请在所有提议中使用相同的 Diffie-Hellman 组。

reauth-frequency number—配置重新验证频率以触发新的 IKEv2 重新认证。再授权创建新的 IKE SA,在 IKE SA 中创建新儿童 SA,然后删除旧的 IKE SA。此选项默认禁用。重新验证之前发生的 IKE 密钥的琥珀色。如果 reauth-frequency1,每次有 IKE 重新密钥时都会发生重新验证。如果 reauth-frequency2,则会在所有其他 IKE 重新密钥中进行重新认证。如果 reauth-frequency3,则每三分之一的 IKE 重新密钥都会发生重新验证。

  • 默认:0(禁用)

  • 范围:0-100

Required Privilege Level

安全性 — 要在配置中查看此语句。

安全控制 — 要将此语句添加到配置中。

Release Information

在 Junos OS 版本 8.5 中修改的语句。

suiteb-gcm-128 Junos OS 版本 12.1X45-D10 中添加的支持和suiteb-gcm-256选项。

policy-oids支持在 Junos OS 12.3X48-D10 版中添加选项。

trusted-ca支持在 Junos OS 版本 18.1R1 中添加的选项。

reauth-frequency支持在 Junos OS 版本 15.1X49-D60 中添加的选项。

seeded-pre-shared-key支持在 Junos OS 版本 21.1R1 中添加的选项。