Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm

Syntax

Hierarchieebene

Beschreibung

Konfigurieren Sie einen Authentifizierungsalgorithmustyp.

HINWEIS:

Beachten Sie die folgenden Punkte, wenn Sie den Authentifizierungsalgorithmus in einem IPsec-Vorschlag konfigurieren:

  • Wenn beide Enden eines IPsec-VPN-Tunnels den gleichen IKE-Vorschlag, aber unterschiedliche IPsec-Vorschläge enthalten, tritt ein Fehler auf und der Tunnel ist in diesem Szenario nicht eingerichtet. Wenn beispielsweise ein Ende des Tunnels Router 1 enthält, der mit dem Authentifizierungsalgorithmus hmac-sha- 256-128 konfiguriert ist und das andere Ende des Tunnels Router 2 enthält, der mit dem Authentifizierungsalgorithmus hmac-md5-96 konfiguriert ist, wird der VPN-Tunnel nicht eingerichtet.

  • Wenn beide Enden eines IPsec-VPN-Tunnels denselben IKE-Vorschlag, aber unterschiedliche IPsec-Vorschläge enthalten, und wenn ein Ende des Tunnels zwei IPsec-Vorschläge enthält, um zu überprüfen, ob ein weniger sicherer Algorithmus ausgewählt ist oder nicht, tritt ein Fehler auf und der Tunnel wird nicht eingerichtet. Wenn Sie beispielsweise zwei Authentifizierungsalgorithmen für einen IPsec-Vorschlag als hmac-sha-256-128 und hmac-md5-96 an einem Ende des Tunnels, Router 1, konfigurieren, und wenn Sie den Algorithmus für einen IPsec-Vorschlag als hmac-md5-96 am anderen Ende des Tunnels, Router 2, konfigurieren, ist der Tunnel nicht eingerichtet und die Anzahl der Vorschläge stimmen nicht überein.

  • Wenn Sie zwei IPsec-Vorschläge an beiden Enden eines Tunnels konfigurieren, z. B. den authentication-algorithm hmac-sha-256-128 und authentication- algorithm hmac-md5-96 Anweisungen auf Hierarchieebene [edit services ipsec-vpn ipsec proposal proposal-name] auf einem des Tunnels, Router 1 (mit den Algorithmen in zwei aufeinander folgenden Anweisungen, um die Reihenfolge anzugeben) und die authentication-algorithm hmac-md5-96 und authentication- algorithm hmac-sha-256-128 Anweisungen auf [edit services ipsec-vpn ipsec proposal proposal-name] der Hierarchieebene auf einem des Tunnels, Router 2 (mit den Algorithmen in zwei aufeinander folgenden Anweisungen, um die Reihenfolge anzugeben, das ist die umgekehrte Reihenfolge von Router 1), wird der Tunnel wie erwartet in dieser Kombination eingerichtet, da die Anzahl der Vorschläge an beiden Enden gleich ist und die gleichen Algorithmen enthalten. Der ausgewählte Authentifizierungsalgorithmus ist jedoch hmac-md5-96 und nicht der stärkere Algorithmus von hmac-sha-256-128. Diese Methode zur Auswahl des Algorithmus tritt auf, weil der erste übereinstimmende Vorschlag ausgewählt wurde. Außerdem wird für einen Standardvorschlag unabhängig davon, ob der Router den Verschlüsselungsalgorithmus advanced Encryption Standard (AES) unterstützt, der 3des-cbc-Algorithmus ausgewählt und nicht der aes-cfb-Algorithmus, was darauf zurückzuführen ist, dass der erste Algorithmus im Standardvorschlag ausgewählt wird. Im hier beschriebenen Beispielszenario wird auf Router 2 als Authentifizierungsmethode hmac-sha-256-128 ausgewählt, wenn Sie die Reihenfolge der Algorithmuskonfiguration im Vorschlag so umkehren, dass es sich um die gleiche Reihenfolge wie auf Router 1 handelt.

  • Sie müssen die Reihenfolge der Vorschläge in einer IPsec-Richtlinie zum Zeitpunkt der Konfiguration kennen, wenn Sie möchten, dass der Abgleich von Vorschlägen in einer bestimmten Reihenfolge erfolgt, z. B. der stärkste Algorithmus, der zuerst berücksichtigt werden muss, wenn eine Übereinstimmung vorgenommen wird, wenn beide Richtlinien der beiden Peers einen Vorschlag haben.

Optionen

algorithm– Geben Sie einen der folgenden Arten von Authentifizierungsalgorithmen an:

  • aes-128-cmac-96— Cipher-basierter Nachrichtenauthentifizierungscode (AES128, 96 Bits).

  • hmac-sha-1-96— Hash-basierter Nachrichtenauthentifizierungscode (SHA1, 96 Bits).

  • md5– Message Digest 5.

  • Standard: hmac-sha-1-96

    HINWEIS:

    Der Standard wird in der Ausgabe des show bgp bmp Befehls nicht angezeigt, es sei denn, ein Schlüssel oder eine Schlüsselkette ist ebenfalls konfiguriert.

Erforderliche Berechtigungsstufe

Routing: Diese Anweisung wird in der Konfiguration angezeigt.

routing-control: So fügen Sie diese Anweisung zur Konfiguration hinzu.

Versionsinformationen

Erklärung eingeführt in Junos OS Version 7.6.

Erklärung für BGP in Junos OS Version 8.0 eingeführt.

Erklärung für BMP in Junos OS Version 13.2X51-D15 für die QFX-Serie eingeführt.

Erklärung für BMP in Junos OS Version 13.3 eingeführt.