proposal (Security IKE)
语法
proposal proposal-name {
authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512);
authentication-method(certificates | dsa-signatures | ecdsa-signatures-256 | ecdsa-signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521);
description description;
dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 | group15 | group16 | group21);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
层次结构级别
[edit security ike]
说明
定义 IKE 提议。
选项
proposal-name- IKE 提议的名称。提议名称最多可有 32 个字母数字字符。
authentication-algorithm-配置互联网密钥交换 (IKE) 身份验证散列算法,用于对数据包数据进行身份验证。它可以是以下算法之一:
-
md5- 生成 128 位摘要。 -
sha-256- 生成 256 位摘要。 -
sha-384- 生成 384 位摘要。 -
在电源模式 IPSec 模式和正常模式下 —
-
sha1- 生成 160 位摘要。 -
sha-512- 生成 512 位的摘要。
-
更新 authentication-algorithm IKE 提议或 IPsec 提议中的配置时,设备将删除现有 IPsec SA。
authentication-method- 指定设备用于验证互联网密钥交换 (IKE) 消息源的方法。选项 pre-shared-keys 是指预共享密钥,这是两个参与方在开始隧道协商之前都必须拥有的用于加密和解密的密钥。其他选项指的是数字签名类型,即确认证书持有人身份的证书。更新 IKE 提议中的配置时,authentication-method设备将删除现有 IPsec SA。
-
certificates-无论发起方和响应方使用的证书类型如何,您都可以建立 IKEv2 和 IPsec SA 隧道。选项authentication-method certificates不能与 IKEv1 一起使用。 -
dsa-signatures- 指定使用数字签名算法 (DSA)。 -
ecdsa-signatures-256- 指定使用 联邦信息处理标准 (FIPS) 数字签名标准 (DSS) 186-3 中规定的 256 位椭圆曲线 secp256r1 的椭圆曲线 DSA (ECDSA)。 -
ecdsa-signatures-384- 指定使用 FIPS DSS 186-3 中规定的 384 位椭圆曲线 secp384r1 的 ECDSA。 -
pre-shared-keys- 指定在身份验证期间使用预共享密钥(即在两个对等方之间共享的密钥)来识别彼此之间的对等方。必须为每个对等方配置相同的密钥。这是默认方法。 -
rsa-signatures- 指定使用支持加密和数字签名的公钥算法。 -
ecdsa-signatures-521- 指定使用 521 位椭圆曲线 secp521r1 的 ECDSA。
description description- 文本说明 IKE 提议。
dh-group- 指定 IKE Diffie-Hellman 组。
encryption-algorithm- 为 IKE 提议配置加密算法。
lifetime-seconds seconds- 指定 IKE 安全关联 (SA) 的生存期(以秒为单位)。当 SA 到期时,它将被新的 SA 和安全参数索引 (SPI) 取代或终止。
-
范围:180 至 86,400 秒
-
默认:28,800 秒
必需的权限级别
安全性 — 可在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 8.5 版中修改的语句。
dh-group group 14 Junos OS 11.1 版支持和dsa-signatures添加。
sha-384group24ecdsa-signatures-256ecdsa-signatures-384group19group20支持 Junos OS 12.1X45-D10 版中添加的 、 和选项。
ecdsa-signatures-256 Junos OS 12.1X45-D10 版支持和ecdsa-signatures-384添加选项。
sha-512group15group21group16ecdsa-signatures-521支持在已安装软件包的 SRX5000 系列上的 Junos OS 19.1R1 版中添加的 、 和junos-ike选项。
支持身份验证算法 (SH1:hmac-sha1-96) 添加到 Junos OS 19.3R1 版中的 vSRX 虚拟防火墙中,适用于电源模式 IPSec 模式,以及正常模式下的现有支持。
group15group16支持已安装软件包的 vSRX 虚拟防火墙实例的 Junos OS 20.3R1 版中添加的 junos-ike 、 和group21选项。
group15group16支持已安装软件包的 vSRX 虚拟防火墙 3.0 实例上的 Junos OS 21.1R1 版中添加的 junos-ike 、 和group21选项。
certificates支持在 Junos OS 22.4R1 版中为 MX240、MX480 和 MX960(USF 模式)添加选项,支持 SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 和 vSRX 虚拟防火墙 3.0(运行已获认证进程)。