Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

manual (Security IPsec)

Syntax

Hierarchieebene

Beschreibung

Definieren einer manuellen IPsec-Sicherheitszuordnung (SA).

Optionen

authentication algorithm

Hash-Algorithmus zur Authentifizierung von Paketdaten. Es kann sich um eine der folgenden

  • hmac-md5-96– Erzeugt einen 128-Bit-Digest.

  • hmac-sha-256-128— Bietet Datenursprungsauthentifizierung und Integritätsschutz. Diese Version des hmac-sha-256-Authentifikators erstellt einen 256-Bit-Digest und spezifiziert die Kürzung auf 128 Bits.

  • hmac-sha1-96– Hash-Algorithmus zur Authentifizierung von Paketdaten Es erzeugt einen 160-Bit-Digest. Für die Authentifizierung werden nur 96 Bits verwendet.

  • authentication key— Art des Authentifizierungsschlüssels Es kann eine der folgenden sein:

    • ascii-text key— ASCII-Textschlüssel. Für hmac-md5-96besteht der Schlüssel aus 16 ASCII-Zeichen; für hmac-sha1-96 besteht der Schlüssel aus 20 ASCII-Zeichen.

    • hexadecimal key— Hexadezimalschlüssel. Der hmac-md5-96Schlüssel besteht aus 32 Hexadezimalzeichen, der hmac-sha1-96 Schlüssel aus 40 Hexadezimalzeichen.
encryption algorithm

Wählen Sie den Verschlüsselungsalgorithmus für die interne Konfiguration der Routing-Engine-zu-Routing-Engine IPsec Security Association (SA) aus. Es kann eine der folgenden sein:

  • des-cbc— Verschlüsselungsalgorithmus mit einer Blockgröße von 8 Bytes (64 Bits) und einer Schlüsselgröße von 48 Bit.

  • 3des-cbc— Verschlüsselungsalgorithmus mit einer Blockgröße von 8 Bytes (64 Bits) und einer Schlüsselgröße von 192 Bits.

    Für 3des-cbcwird empfohlen, dass die ersten 8 Bytes sich von den zweiten 8 Bytes unterscheiden und die zweiten 8 Bytes mit den dritten 8 Bytes identisch sind.

  • aes-128-cbc– Advanced Encryption Standard (AES) 128-Bit-Verschlüsselungsalgorithmus.

  • aes-128-gcm– Advanced Encryption Standard (AES) 128-Bit-Verschlüsselungsalgorithmus.

  • aes-192-cbc— Advanced Encryption Standard (AES) 192-Bit-Verschlüsselungsalgorithmus.

  • aes-256-cbc— Advanced Encryption Standard (AES) 256-Bit-Verschlüsselungsalgorithmus.

  • aes-256-gcm— Advanced Encryption Standard (AES) 256-Bit-Verschlüsselungsalgorithmus.

  • encryption key— Art des Verschlüsselungsschlüssels Es kann eine der folgenden sein:

    • ascii-text key— ASCII-Textschlüssel. Für die des-cbc Option enthält der Schlüssel 8 ASCII-Zeichen; für 3des-cbcenthält der Schlüssel 24 ASCII-Zeichen.

    • hexadecimal key— Hexadezimalschlüssel. Für die des-cbc Option enthält der Schlüssel 16 Hexadezimalzeichen; für die 3des-cbc Option enthält der Schlüssel 48 Hexadezimalzeichen.
external-interface

Angeben der ausgehenden Schnittstelle für die manuelle Sicherheitszuordnung
gateway

Für eine manuelle Sicherheitszuordnung geben Sie die IPv4- oder IPv6-Adresse des Peers an
protocol

Definieren eines IPsec-Protokolls für die manuelle Sicherheitszuordnung

  • Werte:

    • ah – Authentifizierungs-Header-Protokoll

    • esp – ESP-Protokoll (Um das ESP-Protokoll zu verwenden, müssen Sie die Tunnel-Anweisung auch auf der Hierarchieebene [edit security ipsec security-association sa-name mode] verwenden)
spi

Konfigurieren Sie einen Security Parameter Index (SPI) für eine Security Association (SA). Ein beliebiger Wert, der eindeutig identifiziert, welche Sicherheitszuordnung (SA) auf dem empfangenden Host (die Zieladresse im Paket) verwendet werden soll.

  • Bereich: 256 bis 16.639

Erforderliche Berechtigungsstufe

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.

Versionsinformationen

Anweisung in Junos OS Version 8.5 geändert. Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden.

Unterstützung für hmac-sha-256-128 zusätzliche SRX5400-, SRX5600- und SRX5800-Geräte in Junos OS Version 12.1X46-D20. Unterstützung für Authentifizierungsalgorithmen (SHA1: hmac-sha1-96 und SHA2: hmac-sha-256-128) im PowerMode-IPsec-Modus (PMI) wird für SRX4100, SRX4200 und vSRX in Junos OS Version 19.3R1 eingeführt. Unterstützung für vSRX 3.0 wird in Junos OS Version 20.1R1 eingeführt.

Unterstützung für Cipher-Algorithmen aes-128-cbc, aes-192-cbc und aes-256-cbc im PowerMode IPsec-Modus (PMI) wird für SRX4100, SRX4200 und vSRX in Junos OS Release 19.3R1 eingeführt. Unterstützung für vSRX 3.0 wird in Junos OS Version 20.1R1 eingeführt.

Verwandte Themen