Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm

Syntax

Hierarchy Level

Description

Konfigurieren Sie einen Authentifizierungsalgorithmustyp.

Anmerkung:

Berücksichtigen Sie die folgenden Punkte, wenn Sie den Authentifizierungsalgorithmus in einem IPsec-Angebot konfigurieren:

  • Wenn beide Enden eines IPsec-VPN-Tunnels den gleichen IKE, aber verschiedene IPsec-Angebote enthalten, tritt ein Fehler auf und der Tunnel wird in diesem Szenario nicht festgelegt. Wenn z. B. ein Ende des Tunnels Router 1 enthält, der mit dem Authentifizierungsalgorithmus als hhai-sha-256-128 konfiguriert ist, und das andere Ende des Tunnels Router 2 enthält, der mit dem Authentifizierungsalgorithmus als h noch nicht konfiguriert ist, wird der VPN-Tunnel nicht festgelegt.

  • Wenn beide Enden eines IPSec-VPN-Tunnels den gleichen IKE-Vorschlag, jedoch unterschiedliche IPsec-Angebote enthalten, und wenn ein Ende des Tunnels zwei IPsec-Angebote enthält, um zu prüfen, ob ein weniger sicherer Algorithmus ausgewählt ist, tritt ein Fehler auf und der Tunnel wird nicht eingerichtet. Wenn Sie z. B. zwei Authentifizierungsalgorithmen für einen IPsec-Vorschlag als hsec-sha-256-128 und holl-md5-96 an einem Ende des Tunnels, Router 1 konfigurieren und wenn Sie den Algorithmus für einen IPsec-Vorschlag als holl-md5-96 am anderen Ende des Tunnels, Router 2 konfigurieren, wird der Tunnel nicht festgelegt und die Anzahl der Angebote nicht festgelegt.

  • Wenn Sie an beiden Enden eines Tunnels zwei IPsec-Angebote konfigurieren, wie die Hierarchieebene und die Anweisungen in einem Tunnel, Router 1 (mit den Algorithmen in zwei aufeinander folgenden Anweisungen, um die Reihenfolge anzugeben) und die Anweisungen auf der Hierarchieebene auf einem authentication-algorithm hmac-sha-256-128authentication- algorithm hmac-md5-96[edit services ipsec-vpn ipsec proposal proposal-name]authentication-algorithm hmac-md5-96authentication- algorithm hmac-sha-256-128 Tunnel, Router 2 (mit den Algorithmen [edit services ipsec-vpn ipsec proposal proposal-name] in zwei nachfolgenden Anweisungen, um die Reihenfolge zu spezifizieren, d. h. die umgekehrte Reihenfolge von Router 1), wird der Tunnel wie erwartet in dieser Kombination eingerichtet, da die Anzahl der Angebote an beiden Enden gleich ist und sie den gleichen Algorithmus enthalten. Bei dem ausgewählten Authentifizierungsalgorithmus handelt es sich jedoch um h netzwerkbasierte 5-96-Algorithmen und nicht um den stärkeren Algorithmus von hhai-sha-256-128. Diese Methode zur Auswahl des Algorithmus erfolgt, da der erste entsprechende Vorschlag ausgewählt wird. Für einen Standardvorschlag wird unabhängig davon, ob der Router den AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard) unterstützt, der 3des-cbc-Algorithmus ausgewählt und nicht der aes-cfb-Algorithmus. Dies liegt am ersten Algorithmus im ausgewählten Standardvorschlag. In dem hier beschriebenen Beispielszenario auf Router 2 wird die Reihenfolge der Algorithmuskonfiguration im Angebot umgekehrt, sodass diese in der gleichen Reihenfolge wie auf Router 1 angegeben ist. Als Authentifizierungsmethode wird hstellungs-sha-256-128 ausgewählt.

  • Sie müssen sich die Reihenfolge der Angebote in einer IPsec-Richtlinie zum Zeitpunkt der Konfiguration bewusst sein, wenn Sie möchten, dass die Angebote in einer bestimmten Reihenfolge bevorzugt abschneiden. Dazu gehört ein stärkster Algorithmus, der zunächst berücksichtigt werden kann, wenn eine Übereinstimmung getroffen wird, wenn beide Richtlinien von den beiden Peers einen Vorschlag erhalten.

Options

algorithm— Geben Sie eine der folgenden Typen von Authentifizierungsalgorithmen an:

  • aes-128-cmac-96- Cipher-basierter Nachrichtenauthentifizierungscode (AES128, 96 Bit).

  • hmac-sha-1-96Hash-basierter Nachrichtenauthentifizierungscode (SHA1, 96 Bit).

  • md5— Message Digest 5.

  • Standard: hmac-sha-1-96

    Anmerkung:

    Die Standardeinstellung wird nur in der Ausgabe des Befehls angezeigt, wenn ein Schlüssel oder eine Schlüsselkette show bgp bmp ebenfalls konfiguriert ist.

Required Privilege Level

Routing: Diese Anweisung wird in der Konfiguration angezeigt.

Routing-Steuerung: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Erklärung eingeführt in Junos OS Version 7.6.

Statement eingeführt für BGP in Junos OS Version 8.0.

Statement eingeführt für BMP im Junos OS release 13.2X51-D15 für die QFX-Serie.

Erklärung für BMP in Junos OS Version 13.3 eingeführt.