Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IPsec)

Syntax

Hierarchy Level

Description

Définir une stratégie IPsec. Une stratégie IPsec définit une combinaison de paramètres de sécurité (propositions IPsec) utilisés lors des négociations IPsec. Il définit le secret de transfert parfait (PFS) et les propositions nécessaires à la connexion.

Options

nom

Nom de la stratégie IPsec.

description

Saisissez du texte descriptif pour une stratégie IPsec.

secrets de transfert parfaits

Indiquez le secret de transfert parfait (PFS) comme méthode utilisée par l’équipement pour générer la clé de chiffrement. Le PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. L’équipement supprime les AS IPsec existants lorsque vous mettez à jour la perfect-forward-secrecy configuration dans la stratégie IPsec.

  • Valeurs:

    • group1— Algorithme MODP (Modular Exponential) 768 bits.

    • group2—Algorithme MODP 1 024 bits.

    • group5— Algorithme MODP 1 536 bits.

    • group14— groupe MODP 2048 bits.

    • group15—Algorithme MODP 3072 bits.

    • group16: algorithme MODP 4 096 bits.

    • group19—Algorithme de courbes elliptiques aléatoires de 256 bits modulo a Prime (groupes ECP).

    • group20—Algorithme de groupes ECP aléatoires de 384 bits.

    • group21— Algorithme de groupes ECP aléatoires de 521 bits.

    • group24— Groupe MODP 2048 bits avec sous-groupe de l’ordre primaire de 256 bits.

ensemble de propositions

Définissez un ensemble de propositions IPsec par défaut.

  • Valeurs:

    • basique : ensemble de propositions de base IPsec. esp-des-sha et esp-des-md5.

      • Protocole ESP (Encapsulating Security Payload)

      • Algorithme de chiffrement : algorithme de chiffrement DES-CBC

      • Algorithme d’authentification : algorithme d’authentification SHA1 ou MD5

    • compatible : ensemble de propositions compatibles IPsec. esp-3des-sha, esp-3des-md5, esp-des-sha et esp-des-md5.

      • Protocole ESP

      • Algorithme de chiffrement : algorithme de chiffrement 3DES-CBC ou DES-CBC

      • Algorithme d’authentification : algorithme d’authentification SHA1 ou MD5

    • prime-128: fournit l’ensemble de propositions suivants :

      • Protocole ESP (Encapsulating Security Payload)

      • Algorithme de chiffrement : advanced Encryption Standard Galois/Counter mode (AES-GCM)128 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur Group VPNv2.

    • prime-256: fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 256 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur Group VPNv2.

    • standard—esp-3des-sha et esp-aes128-sha

      • Protocole ESP

      • Algorithme de chiffrement : algorithme de chiffrement 3DES-CBC ou AES-CBC 128 bits

      • Algorithme d’authentification : algorithme d’authentification SHA1

    • suiteb-gcm-128: fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 128 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur Group VPNv2.

    • suiteb-gcm-256: fournit l’ensemble de propositions suivants :

      • Protocole ESP

      • Algorithme de chiffrement : AES-GCM 256 bits

      • Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification)

      Cette option n’est pas prise en charge sur Group VPNv2.

propositions nom de proposition

Spécifiez jusqu’à quatre propositions de phase 2 pour une politique IPSec. Si vous incluez plusieurs propositions, utilisez le même groupe Diffie-Hellman dans toutes les propositions.

Les propositions sont évaluées dans l’ordre dans lequel elles apparaissent sur la liste, de haut en bas, précisez donc la priorité la plus élevée d’abord, suivie de la prochaine priorité la plus élevée, et ainsi de suite.

Required Privilege Level

sécurité : pour afficher cet énoncé dans la configuration.

security-control : pour ajouter cette instruction à la configuration.

Release Information

Instruction modifiée dans Junos OS version 8.5.

La prise en charge du groupe 14 est ajoutée à Junos OS version 11.1.

Prise en charge des group14 options ajoutées dans Junos OS Version 11.1.

Prise en charge de group19, group20et group24 options ajoutées à Junos OS Version 12.1X45-D10.

group15, group16et group21 les options introduites dans Junos OS Version 19.1R1 sur la gamme d’équipements SR5000 avec junos-ike package installé.

suiteb-gcm-128 Prise en charge et suiteb-gcm-256 options ajoutées dans Junos OS Version 12.1X45-D10. prime-128 Prise en charge et prime-256 options ajoutées dans Junos OS Version 15.1X49-D40.

À partir de Junos OS Version 20.2R1, nous avons modifié la description du texte d’aide en ce qui concerne NOT RECOMMENDED les options group1CLI , group2et group5.

Prise en charge de group15, group16et group21 options ajoutées à Junos OS Version 20.3R1 sur les instances vSRX avec junos-ike package installé.

Prise en charge de group15, group16et group21 des options ajoutées à Junos OS Version 21.1R1 sur les instances vSRX 3.0 avec junos-ike package installé.