authentication-algorithm
Syntax
authentication-algorithm algorithm;
Hierarchieebene
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
Beschreibung
Konfigurieren Sie einen Authentifizierungsalgorithmustyp.
Beachten Sie die folgenden Punkte, wenn Sie den Authentifizierungsalgorithmus in einem IPsec-Vorschlag konfigurieren:
Wenn beide Enden eines IPsec-VPN-Tunnels denselben IKE-Vorschlag, aber unterschiedliche IPsec-Vorschläge enthalten, tritt ein Fehler auf, und der Tunnel wird in diesem Szenario nicht eingerichtet. Wenn sich beispielsweise an einem Ende des Tunnels Router 1 befindet, der mit dem Authentifizierungsalgorithmus hmac-sha- 256-128 konfiguriert ist, und am anderen Ende des Tunnels Router 2 mit dem Authentifizierungsalgorithmus hmac-md5-96 konfiguriert ist, wird der VPN-Tunnel nicht eingerichtet.
Wenn beide Enden eines IPsec-VPN-Tunnels denselben IKE-Vorschlag, aber unterschiedliche IPsec-Vorschläge enthalten, und wenn ein Ende des Tunnels zwei IPsec-Vorschläge enthält, um zu prüfen, ob ein weniger sicherer Algorithmus ausgewählt wurde oder nicht, tritt ein Fehler auf, und der Tunnel wird nicht eingerichtet. Wenn Sie z. B. zwei Authentifizierungsalgorithmen für einen IPsec-Vorschlag als hmac-sha-256-128 und hmac-md5-96 an einem Ende des Tunnels, Router 1, konfigurieren, und wenn Sie den Algorithmus für einen IPsec-Vorschlag als hmac-md5-96 am anderen Ende des Tunnels, Router 2, konfigurieren, wird der Tunnel nicht eingerichtet, und die Anzahl der Vorschläge stimmt nicht überein.
Wenn Sie zwei IPsec-Vorschläge an beiden Enden eines Tunnels konfigurieren, z. B. die und-Anweisungen
authentication- algorithm hmac-md5-96auf der Hierarchieebene in einem der Tunnel, Router 1 (mit den Algorithmen in zwei aufeinanderfolgenden Anweisungen, um die Reihenfolge anzugeben) und die and-Anweisungenauthentication- algorithm hmac-sha-256-128auf der Hierarchieebene auf einem der[edit services ipsec-vpn ipsec proposal proposal-name][edit services ipsec-vpn ipsec proposal proposal-name]Tunnel, Router 2 (mit den Algorithmen in zwei aufeinanderfolgenden Anweisungen, um dieauthentication-algorithm hmac-sha-256-128authentication-algorithm hmac-md5-96Reihenfolge anzugeben, Dies ist die umgekehrte Reihenfolge von Router 1), wird der Tunnel in dieser Kombination wie erwartet eingerichtet, da die Anzahl der Vorschläge an beiden Enden gleich ist und sie denselben Satz von Algorithmen enthalten. Der ausgewählte Authentifizierungsalgorithmus ist jedoch hmac-md5-96 und nicht der stärkere Algorithmus von hmac-sha-256-128. Diese Methode der Auswahl des Algorithmus erfolgt, weil der erste passende Vorschlag ausgewählt wird. Unabhängig davon, ob der Router den AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard) unterstützt, wird für einen Standardvorschlag der 3des-cbc-Algorithmus und nicht der aes-cfb-Algorithmus ausgewählt, da der erste Algorithmus im Standardvorschlag ausgewählt wurde. Wenn Sie in dem hier beschriebenen Beispielszenario auf Router 2 die Reihenfolge der Algorithmuskonfiguration im Vorschlag umkehren, sodass sie dieselbe Reihenfolge wie die auf Router 1 angegebene ist, wird hmac-sha-256-128 als Authentifizierungsmethode ausgewählt.Sie müssen die Reihenfolge der Vorschläge in einer IPsec-Richtlinie zum Zeitpunkt der Konfiguration kennen, wenn Sie möchten, dass der Abgleich von Vorschlägen in einer bestimmten Präferenzreihenfolge erfolgt, z. B. der stärkste Algorithmus, der zuerst berücksichtigt werden soll, wenn eine Übereinstimmung hergestellt wird, wenn beide Richtlinien von den beiden Peers einen Vorschlag haben.
Optionen
algorithm– Geben Sie einen der folgenden Typen von Authentifizierungsalgorithmen an:
aes-128-cmac-96– Verschlüsselungsbasierter Nachrichtenauthentifizierungscode (AES128, 96 Bit).hmac-sha-1-96– Hash-basierter Nachrichtenauthentifizierungscode (SHA1, 96 Bit).md5(Nachrichten-Digest 5.)
Standard:
hmac-sha-1-96Hinweis:Der Standardwert wird in der Ausgabe des
show bgp bmpBefehls nicht angezeigt, es sei denn, ein Schlüssel oder Schlüsselbund ist ebenfalls konfiguriert.
Erforderliche Berechtigungsstufe
routing: Zum Anzeigen dieser Anweisung in der Konfiguration.
routing-control: Zum Hinzufügen dieser Anweisung zur Konfiguration.
Informationen zur Veröffentlichung
Diese Erklärung wurde in Junos OS Version 7.6 eingeführt.
Anweisung für BGP in Junos OS Version 8.0 eingeführt.
Erklärung für BMP in Junos OS Version 13.2X51-D15 für die QFX-Serie.
Erklärung für BMP in Junos OS Version 13.3 eingeführt.