proposal-set (Security IKE)
Syntax
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
Hierarchy Level
[edit security ike policy policy-name]
Description
指定一组默认互联网密钥交换(IKE)提议。
prime-128和prime-256建议集需要 IKEv2 和基于证书的身份验证。
Options
basic— 包括两套基本IKE提议:提议 1 —预共享密钥、数据加密标准 (DES) 加密以及 Diffie-Hellman (DH) 组 1 和安全散列算法 1 (SHA-1) 认证。
提议 2 —预共享密钥、DES 加密、DH 组 1 和消息摘要 5 (MD5) 认证。
compatible— 包括一组四个常用的IKE提议:提议 1 —预共享密钥、三重 DES (3DES) 加密以及 Diffie-Hellman (DH) 组 2(DH 组 2)和 SHA-1 身份验证。
提议 2 —预共享密钥、3DES 加密以及 DH 组 2 和 MD5 认证。
提议 3 —预共享密钥、DES 加密以及 DH 组 2 和 SHA-1 身份验证。
提议 4 —预共享密钥、DES 加密以及 DH 组 2 和 MD5 认证。
prime-128— 提供以下提议集(VPNv2 组不支持此选项):身份验证方法— 椭圆曲线数字签名算法 (ECDSA) 256 位签名。
Diffie-Hellman 组 — 19。
加密算法—高级加密标准 (AES) 128 位 Galois/计数器模式 (GCM)。
认证算法 — 无(AES-GCM 同时提供加密和身份验证)。
使用此选项时,
prime-128还应在 [edit security ipsec policy policy-name proposal-set] 层次结构级别上配置。
prime-256— 提供以下提议集(VPNv2 组不支持此选项):认证方法 —ECDSA 384 位签名。
Diffie-Hellman 组 — 20。
加密算法—AES 256 位 GCM。
认证算法 — 无(AES-GCM 同时提供加密和身份验证)。
使用此选项时,
prime-256还应在 [edit security ipsec policy policy-name proposal-set] 层次结构级别上配置。
standard— 包括一组标准两个IKE提议:提议 1— 预共享密钥、3DES 加密以及 DH 组 2 和 SHA-1 身份验证。
提议 2 —预共享密钥、AES 128 位加密以及 DH 组 2 和 SHA-1 身份验证。
suiteb-gcm-128— 提供以下 Suite B 提议集(VPNv2 组不支持此选项):身份验证方法 — ECDSA 256 位签名
Diffie-Hellman 组 — 19
加密算法—高级加密标准 (AES) 128 位密码组链接 (CBC)
使用 CBC 模式而非 GCM。
身份验证算法 — SHA-256
suiteb-gcm-256— 提供以下 Suite B 提议集(VPNv2 组不支持此选项):身份验证方法 — ECDSA 384 位签名
Diffie-Hellman 组 — 20
加密算法 —AES 256 位 CBC
使用 CBC 模式而非 GCM。
身份验证算法 — SHA-384
Required Privilege Level
安全 — 在配置中查看此语句。
安全控制 - 要将此语句添加至配置中。
Release Information
Junos OS 版本8.5 中引入的语句。Junos OS 版本suiteb-gcm-128 12.1 suiteb-gcm-256 x45-D10 中添加的支持和选项。Junos OS Release prime-128 15.1 prime-256 x 49-D40 中添加的支持和选项。
从 Junos OS 版20.2R1开始,我们已将帮助文本说明更改为 CLI NOT RECOMMENDED 选项 、 和 basiccompatiblestandard 。