Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Sicherheitszuordnungen

Um IPsec-Sicherheitsdienste verwenden zu können, erstellen Sie Sicherheitszuordnungenzwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, mittels IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von Sicherheitszuordnungen: manuelle und dynamische.

  • Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen. Alle Werte, einschließlich der Schlüssel, sind statisch und werden in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte, Algorithmen und Schlüssel (Security Parameter Index) und erfordern übereinstimmende Konfigurationen an beiden Enden des Tunnels. Jeder Peer muss über die gleichen konfigurierten Optionen für die Kommunikation verfügen.

  • Dynamische Sicherheitszuordnungen erfordern zusätzliche Konfigurationen. Bei dynamischen Sicherheitszuordnungen konfigurieren Sie zuerst IKE und dann die Sicherheitszuordnung. IKE erstellt dynamische Sicherheitsassoziationen. Er handelt Sicherheitszuordnungen für IPsec aus. Die IKE-Konfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. Diese Verbindung wird dann verwendet, um Schlüssel und andere Daten, die von der dynamischen IPsec-Sicherheitszuordnung verwendet werden, dynamisch zu vereinbaren. Die IKE-Sicherheitszuordnung wird zuerst ausgehandelt und dann verwendet, um die Verhandlungen zu schützen, die die dynamischen IPsec-Sicherheitszuordnungen bestimmen.

  • Richten Sie Tunnel oder SAs auf Benutzerebene ein, einschließlich Tunnelattributverhandlungen und Schlüsselverwaltung. Diese Tunnel können auch auf demselben sicheren Kanal aktualisiert und beendet werden.

Die Junos OS-Implementierung von IPsec unterstützt zwei Sicherheitsmodi (Transportmodus und Tunnelmodus).

Zugehörige Dokumentation