authentication-algorithm
Syntaxe
authentication-algorithm algorithm;
Niveau hiérarchique
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
Description
Configurez un type d’algorithme d’authentification.
Gardez à l’esprit les points suivants lorsque vous configurez l’algorithme d’authentification dans une proposition IPsec :
Lorsque les deux extrémités d’un tunnel VPN IPsec contiennent la même proposition IKE mais des propositions IPsec différentes, une erreur se produit et le tunnel n’est pas établi dans ce scénario. Par exemple, si une extrémité du tunnel contient le routeur 1 configuré avec l’algorithme d’authentification hmac-sha- 256-128 et l’autre extrémité du tunnel contient le routeur 2 configuré avec l’algorithme d’authentification hmac-md5-96, le tunnel VPN n’est pas établi.
Lorsque les deux extrémités d’un tunnel VPN IPsec contiennent la même proposition IKE mais différentes propositions IPsec, et lorsqu’une extrémité du tunnel contient deux propositions IPsec pour vérifier si un algorithme moins sécurisé est sélectionné ou non, une erreur se produit et le tunnel n’est pas établi. Par exemple, si vous configurez deux algorithmes d’authentification pour une proposition IPsec comme hmac-sha-256-128 et hmac-md5-96 à une extrémité du tunnel, routeur 1, et si vous configurez l’algorithme d’une proposition IPsec comme hmac-md5-96 à l’autre bout du tunnel, routeur 2, le tunnel n’est pas établi et le nombre de propositions est incompatible.
Lorsque vous configurez deux propositions IPsec aux deux extrémités d’un tunnel, telles que les
authentication-algorithm hmac-sha-256-128déclarations etauthentication- algorithm hmac-md5-96au niveau de la[edit services ipsec-vpn ipsec proposal proposal-name]hiérarchie sur l’un du tunnel, le routeur 1 (avec les algorithmes dans deux déclarations successives pour spécifier l’ordre), et lesauthentication-algorithm hmac-md5-96déclarations etauthentication- algorithm hmac-sha-256-128au niveau de la[edit services ipsec-vpn ipsec proposal proposal-name]hiérarchie sur l’un des tunnels, routeur 2 (avec les algorithmes en deux déclarations successives pour spécifier l’ordre, qui est l’ordre inverse du routeur 1), le tunnel est établi dans cette combinaison comme prévu parce que le nombre de propositions est le même aux deux extrémités et qu’elles contiennent le même ensemble d’algorithmes. Cependant, l’algorithme d’authentification sélectionné est hmac-md5-96 et non l’algorithme le plus fort de hmac-sha-256-128. Cette méthode de sélection de l’algorithme se produit parce que la première proposition de correspondance est sélectionnée. En outre, pour une proposition par défaut, que le routeur prend en charge ou non l’algorithme de chiffrement AES (Advanced Encryption Standard), l’algorithme 3des-cbc est choisi et non l’algorithme aes-cfb, ce qui est dû au premier algorithme sélectionné dans la proposition par défaut. Dans l’exemple de scénario décrit ici, sur le routeur 2, si vous inversez l’ordre de configuration de l’algorithme dans la proposition afin qu’il soit dans le même ordre que celui spécifié sur le routeur 1, hmac-sha-256-128 est sélectionné comme méthode d’authentification.Vous devez connaître l’ordre des propositions dans une stratégie IPsec au moment de la configuration si vous souhaitez que l’appariement des propositions s’effectue dans un certain ordre de préférence, par exemple l’algorithme le plus fort à prendre en compte en premier lorsqu’une correspondance est effectuée lorsque les deux stratégies des deux pairs ont une proposition.
Options
algorithm: spécifiez l’un des types d’algorithmes d’authentification suivants :
aes-128-cmac-96— Code d’authentification des messages basé sur le chiffrement (AES128, 96 bits).hmac-sha-1-96— Code d’authentification des messages basé sur le hachage (SHA1, 96 bits).md5— Résumé des messages 5.
Par défaut:
hmac-sha-1-96REMARQUE :La valeur par défaut n’est pas affichée dans la sortie de la
show bgp bmpcommande, sauf si une clé ou une chaîne de clés est également configurée.
Niveau de privilège requis
routage : pour afficher cette déclaration dans la configuration.
routage-contrôle : pour ajouter cette déclaration à la configuration.
Informations de publication
Déclaration introduite dans la version 7.6 de Junos OS.
Déclaration introduite pour BGP dans Junos OS version 8.0.
Déclaration introduite pour BMP dans la version 13.2X51-D15 de Junos OS pour la gamme QFX Series.
Déclaration introduite pour BMP dans la version 13.3 de Junos OS.