Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm

Syntaxe

Niveau hiérarchique

Description

Configurez un type d’algorithme d’authentification.

Remarque :

Gardez à l’esprit les points suivants lorsque vous configurez l’algorithme d’authentification dans une proposition IPsec :

  • Lorsque les deux extrémités d’un tunnel VPN IPsec contiennent la même proposition IKE, mais des propositions IPsec différentes, une erreur se produit et le tunnel n’est pas établi dans ce scénario. Par exemple, si une extrémité du tunnel contient le routeur 1 configuré avec l’algorithme d’authentification comme hmac-sha-256-128 et que l’autre extrémité du tunnel contient le routeur 2 configuré avec l’algorithme d’authentification comme hmac-md5-96, le tunnel VPN n’est pas établi.

  • Lorsque les deux extrémités d’un tunnel VPN IPsec contiennent la même proposition IKE, mais différentes propositions IPsec, et lorsqu’une extrémité du tunnel contient deux propositions IPsec pour vérifier si un algorithme moins sécurisé est sélectionné ou non, une erreur se produit et le tunnel n’est pas établi. Par exemple, si vous configurez deux algorithmes d’authentification pour une proposition IPsec comme hmac-sha-256-128 et hmac-md5-96 sur une extrémité du tunnel, routeur 1, et si vous configurez l’algorithme pour une proposition IPsec comme hmac-md5-96 à l’autre extrémité du tunnel, routeur 2, le tunnel n’est pas établi et le nombre de propositions incompatibles.

  • Lorsque vous configurez deux propositions IPsec aux deux extrémités d’un tunnel, telles que les authentication-algorithm hmac-sha-256-128 et authentication- algorithm hmac-md5-96 les instructions au niveau de la [edit services ipsec-vpn ipsec proposal proposal-name] hiérarchie sur l’un des tunnels, le routeur 1 (avec les algorithmes dans deux instructions successives pour spécifier l’ordre), et les authentication-algorithm hmac-md5-96 et authentication- algorithm hmac-sha-256-128 les instructions au niveau de la [edit services ipsec-vpn ipsec proposal proposal-name] hiérarchie sur l’un des tunnels, routeur 2 (avec les algorithmes dans deux instructions successives pour spécifier l’ordre, c’est-à-dire l’ordre inverse du routeur 1), le tunnel est établi dans cette combinaison comme prévu car le nombre de propositions est le même sur les deux extrémités et ils contiennent le même ensemble d’algorithmes. Cependant, l’algorithme d’authentification sélectionné est hmac-md5-96 et non l’algorithme plus puissant de hmac-sha-256-128. Cette méthode de sélection de l’algorithme se produit car la première proposition correspondante est sélectionnée. En outre, pour une proposition par défaut, que le routeur prenne en charge ou non l’algorithme de chiffrement AES (Advanced Encryption Standard), l’algorithme 3des-cbc est choisi, et non l’algorithme aes-cfb, en raison du premier algorithme de la proposition par défaut sélectionné. Dans le scénario décrit ici, sur le routeur 2, si vous inversez l’ordre de configuration de l’algorithme dans la proposition, de sorte qu’il s’agit du même ordre que celui spécifié sur le routeur 1, hmac-sha-256-128 est sélectionné comme méthode d’authentification.

  • Vous devez être au courant de l’ordre des propositions dans une politique IPSec au moment de la configuration si vous souhaitez que la correspondance des propositions se produise dans un certain ordre de préférence, par exemple l’algorithme le plus fort à considérer en premier lorsqu’une correspondance est faite lorsque les deux stratégies des deux pairs ont une proposition.

Options

algorithm— Spécifiez l’un des types d’algorithmes d’authentification suivants :

  • aes-128-cmac-96— Code d’authentification des messages basé sur le chiffrement (AES128, 96 bits).

  • hmac-sha-1-96— Code d’authentification des messages basé sur le hachage (SHA1, 96 bits).

  • md5— Message digest 5.

  • Par défaut: hmac-sha-1-96

    Remarque :

    La valeur par défaut n’est pas affichée dans la sortie de la show bgp bmp commande, sauf si une clé ou une chaîne de clés est également configurée.

Niveau de privilège requis

routage : pour afficher cet énoncé dans la configuration.

contrôle du routage : pour ajouter cette instruction à la configuration.

Informations de mise à jour

Déclaration présentée dans Junos OS version 7.6.

Déclaration introduite pour BGP dans Junos OS version 8.0.

Déclaration présentée pour BMP dans Junos OS version 13.2X51-D15 pour la gamme QFX Series.

Déclaration présentée pour BMP dans Junos OS version 13.3.