Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IPsec)

Syntax

Hierarchy Level

Description

Definieren einer IPsec-Richtlinie. Eine IPsec-Richtlinie definiert eine Kombination aus Sicherheitsparametern (IPsec-Vorschlägen), die während der IPsec-Aushandlung verwendet werden. Darin werden das Perfect Forward Secrecy (PFS) und die für die Verbindung erforderlichen Vorschläge definiert.

Options

Name

Name der IPsec-Richtlinie.

Beschreibung

Geben Sie beschreibenden Text für eine IPsec-Richtlinie ein.

Perfect Forward Secrecy-Schlüssel

Geben Sie Perfect Forward Secrecy (PFS) als Methode an, die das Gerät zur Generierung des Verschlüsselungsschlüssels verwendet. PFS generiert jeden neuen Verschlüsselungsschlüssel unabhängig vom vorherigen Schlüssel. Das Gerät löscht vorhandene IPsec-SAs, wenn Sie die Konfiguration in der perfect-forward-secrecy IPsec-Richtlinie aktualisieren.

  • Werte:

    • group1—768-Bit Modular Exponential (MODP)-Algorithmus.

    • group2—1024-Bit MODP-Algorithmus.

    • group5—1536-Bit MODP-Algorithmus.

    • group14—2048-Bit MODP-Gruppe.

    • group15—3072-Bit MODP-Algorithmus.

    • group16—4096-Bit MODP-Algorithmus.

    • group19—256-Bit-Zufallsalgorithmus für elliptische Kurvengruppen modulo a Prime (ECP-Gruppen).

    • group20— 384-Bit-Zufalls-ECP-Gruppen-Algorithmus.

    • group21— 521-Bit-Zufalls-ECP-Gruppen-Algorithmus.

    • group24—2048-Bit-MODP-Gruppe mit 256-Bit-Primzahlreihenfolge-Untergruppe.

Vorschlagssatz

Definieren Sie eine Reihe von Standard-IPsec-Vorschlägen.

  • Werte:

    • basic – IPsec-Basisvorschlagssatz. esp-des-sha und esp-des-md5.

      • Encapsulating Security Payload (ESP)-Protokoll

      • Verschlüsselungsalgorithmus – DES-CBC-Verschlüsselungsalgorithmus

      • Authentifizierungsalgorithmus – SHA1- oder MD5-Authentifizierungsalgorithmus

    • kompatibel – IPsec-kompatibler Vorschlagssatz. esp-3des-sha, esp-3des-md5, esp-des-sha und esp-des-md5.

      • ESP-Protokoll

      • Verschlüsselungsalgorithmus – 3DES-CBC- oder DES-CBC-Verschlüsselungsalgorithmus

      • Authentifizierungsalgorithmus – SHA1- oder MD5-Authentifizierungsalgorithmus

    • prime-128— Bietet den folgenden Vorschlagssatz:

      • Encapsulating Security Payload (ESP)-Protokoll

      • Verschlüsselungsalgorithmus – Advanced Encryption Standard Galois/Counter Mode (AES-GCM)128-Bit

      • Authentifizierungsalgorithmus – Keine (AES-GCM bietet sowohl Verschlüsselung als auch Authentifizierung)

      Diese Option wird auf Gruppen-VPNv2 nicht unterstützt.

    • prime-256— Bietet den folgenden Vorschlagssatz:

      • ESP-Protokoll

      • Verschlüsselungsalgorithmus – AES-GCM 256-Bit

      • Authentifizierungsalgorithmus – Keine (AES-GCM bietet sowohl Verschlüsselung als auch Authentifizierung)

      Diese Option wird auf Gruppen-VPNv2 nicht unterstützt.

    • standard— esp-3des-sha und esp-aes128-sha

      • ESP-Protokoll

      • Verschlüsselungsalgorithmus – 3DES-CBC- oder AES-CBC-128-Bit-Verschlüsselungsalgorithmus

      • Authentifizierungsalgorithmus – SHA1-Authentifizierungsalgorithmus

    • suiteb-gcm-128— Bietet den folgenden Vorschlagssatz:

      • ESP-Protokoll

      • Verschlüsselungsalgorithmus – AES-GCM 128-Bit

      • Authentifizierungsalgorithmus – Keine (AES-GCM bietet sowohl Verschlüsselung als auch Authentifizierung)

      Diese Option wird auf Gruppen-VPNv2 nicht unterstützt.

    • suiteb-gcm-256— Bietet den folgenden Vorschlagssatz:

      • ESP-Protokoll

      • Verschlüsselungsalgorithmus – AES-GCM 256-Bit

      • Authentifizierungsalgorithmus – Keine (AES-GCM bietet sowohl Verschlüsselung als auch Authentifizierung)

      Diese Option wird auf Gruppen-VPNv2 nicht unterstützt.

Vorschläge Name des Vorschlags

Geben Sie bis zu vier Phase-2-Vorschläge für eine IPsec-Richtlinie an. Wenn Sie mehrere Vorschläge enthalten, verwenden Sie in allen Vorschlägen dieselbe Diffie-Hellman-Gruppe.

Vorschläge werden in der Reihenfolge ausgewertet, in der sie in der Liste erscheinen, von oben nach unten, also geben Sie die höchste Priorität zuerst an, gefolgt von der nächsthöchsten Priorität usw.

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Anweisung geändert in Junos OS Version 8.5.

Unterstützung für Gruppe 14 wird in Junos OS Version 11.1 hinzugefügt.

Unterstützung für group14 Optionen, die in Junos OS Version 11.1 hinzugefügt wurden.

Unterstützung für group19, group20und group24 Optionen in Junos OS Version 12.1X45-D10 hinzugefügt.

group15, group16und group21 Optionen, die in Junos OS Version 19.1R1 auf Geräten der SR5000-Reihe mit installiertem junos-ike Paket eingeführt werden.

Unterstützung für suiteb-gcm-128 und suiteb-gcm-256 Optionen in Junos OS Version 12.1X45-D10. Unterstützung für prime-128 und prime-256 Optionen in Junos OS Version 15.1X49-D40.

Ab Junos OS Version 20.2R1 haben wir die Hilfetextbeschreibung NOT RECOMMENDED für die CLI-Optionen group1geändert, group2und group5.

Unterstützung für group15, group16und group21 Optionen, die in Junos OS Version 20.3R1 auf vSRX-Instanzen mit installiertem junos-ike Paket hinzugefügt werden.

Unterstützung für group15, group16und group21 Optionen, die in Junos OS Version 21.1R1 auf vSRX 3.0-Instanzen mit installiertem junos-ike Paket hinzugefügt werden.