Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

policy (Security IPsec)

Syntaxe

Niveau hiérarchique

Description

Définissez une stratégie IPsec. Une stratégie IPsec définit une combinaison de paramètres de sécurité (propositions IPsec) utilisés lors de la négociation IPsec. Il définit le perfect forward secrecy (PFS) et les propositions nécessaires pour la connexion.

Options

name

Nom de la stratégie IPsec.
description

Saisissez le texte descriptif d’une stratégie IPsec.
perfect-forward-secrecy keys

Spécifiez Perfect Forward Secrecy (PFS) comme méthode utilisée par l’équipement pour générer la clé de chiffrement. PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. L’équipement supprime les SPsec existants lorsque vous mettez à jour la perfect-forward-secrecy configuration dans la stratégie IPsec.

  • Valeurs:

    • group1— Algorithme MODP (Modular Exponentiel) 768 bits.

    • group2— Algorithme MODP 1024 bits.

    • group5— Algorithme MODP 1536 bits.

    • group14— groupe MODP 2048 bits.

    • group15— Algorithme MODP 3072 bits.

    • group16— Algorithme MODP 4 096 bits.

    • group19— Algorithme de groupes de courbe elliptique aléatoires de 256 bits modulo a Prime (groupes ECP).

    • group20— Algorithme de groupes ECP aléatoires de 384 bits.

    • group21— Algorithme de groupes ECP aléatoires de 521 bits.

    • group24— Groupe MODP 2048 bits avec sous-groupe d’ordre premier 256 bits.
proposal-set

Définissez un ensemble de propositions IPsec par défaut.

  • Valeurs:

    • basique : ensemble de propositions de base IPsec. esp-des-sha et esp-des-md5.

      • Protocole ESP (Encapsulating Security Payload)

      • Algorithme de chiffrement : algorithme de chiffrement DES-CBC

      • Algorithme d’authentification : algorithme d’authentification SHA1 ou MD5

    • compatible : ensemble de propositions compatibles IPsec. esp-3des-sha, esp-3des-md5, esp-des-sha et esp-des-md5.

      • Protocole ESP

      • Algorithme de chiffrement : 3DES-CBC ou ALGORITHME DE CHIFFREMENT DES-CBC

      • Algorithme d’authentification : algorithme d’authentification SHA1 ou MD5

    • prime-128— Fournit l’ensemble de propositions suivants :

      • Protocole ESP (Encapsulating Security Payload)

      • Algorithme de chiffrement — Advanced Encryption Standard Galois/Counter mode (AES-GCM)128 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur VPNv2 de groupe.

    • prime-256— Fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 256 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur VPNv2 de groupe.

    • standard—esp-3des-sha et esp-aes128-sha

      • Protocole ESP

      • Algorithme de chiffrement : 3DES-CBC ou algorithme de chiffrement 128 bits AES-CBC

      • Algorithme d’authentification — Algorithme d’authentification SHA1

    • suiteb-gcm-128— Fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 128 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur VPNv2 de groupe.

    • suiteb-gcm-256— Fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 256 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur VPNv2 de groupe.
proposals proposal-name

Spécifiez jusqu’à quatre propositions de phase 2 pour une stratégie IPsec. Si vous incluez plusieurs propositions, utilisez le même groupe Diffie-Hellman dans toutes les propositions.

Les propositions sont évaluées dans l’ordre où elles apparaissent sur la liste, de haut en bas, alors spécifiez la priorité la plus élevée d’abord, suivie de la prochaine priorité la plus élevée, et ainsi de suite.

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration modifiée dans Junos OS version 8.5.

La prise en charge du groupe 14 est ajoutée dans la version 11.1 de Junos OS.

Prise en charge des group14 options ajoutées dans la version 11.1 de Junos OS.

Prise en charge de group19, group20et group24 des options ajoutées dans la version 12.1X45-D10 de Junos OS.

group15, group16et group21 les options introduites dans la version 19.1R1 de Junos OS sur la gamme d’équipements SR5000 avec junos-ike package installé.

Prise en charge suiteb-gcm-128 et suiteb-gcm-256 options ajoutées dans la version 12.1X45-D10 de Junos OS. Prise en charge prime-128 et prime-256 options ajoutées dans la version 15.1X49-D40 de Junos OS.

À partir de la version 20.2R1 de Junos OS, nous avons modifié la description du texte d’aide en ce qui concerne NOT RECOMMENDED les options group1group2CLI et group5 les équipements exécutant IKED avec junos-ike le package installé.

Prise en charge group15de , group16et group21 des options ajoutées dans la version 20.3R1 de Junos OS sur les instances de pare-feu virtuel vSRX avec junos-ike package installé.

Prise en charge group15de , group16et group21 des options ajoutées dans la version 21.1R1 de Junos OS sur les instances vSRX Virtual Firewall 3.0 avec junos-ike package installé.

Rubriques connexes