proposal-set (Security IKE)
Syntaxe
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
Niveau hiérarchique
[edit security ike policy policy-name]
Description
Spécifiez un ensemble de propositions Internet Key Exchange (IKE) par défaut.
Les prime-128 ensembles de prime-256 propositions nécessitent une IKEv2 et une authentification basée sur des certificats.
Options
basic— Comprend un ensemble de deux propositions d’IKE :Proposition 1 : clé prépartage, chiffrement DES (Data Encryption Standard), authentification Diffie-Hellman (DH) de groupe 1 et authentification SHA-1 (Secure Hash Algorithm 1).
Proposition 2 : clé prépartage, chiffrement DES et authentification du groupe DH 1 et du message digest 5 (MD5).
compatible— Inclut un ensemble de quatre propositions IKE couramment utilisées :Proposition 1 : clé prépartage, chiffrement triple DES (3DES) et authentification Diffie-Hellman (DH) de groupe 2 (groupe 2) et SHA-1.
Proposition 2 : clé prépartage, chiffrement 3DES et authentification des groupes DH 2 et MD5.
Proposition 3 : clé prépartage, chiffrement DES et authentification des groupes DH 2 et SHA-1.
Proposition 4 : clé prépartage, chiffrement DES et authentification des groupes DH 2 et MD5.
prime-128: fournit l’ensemble de propositions suivant (cette option n’est pas prise en charge sur VPNv2 du groupe) :Méthode d’authentification : algorithme de signature numérique de courbe elliptique (ECDSA) 256 bits.
Groupe Diffie-Hellman — 19.
Algorithme de chiffrement : Advanced Encryption Standard (AES) 128 bits Galois/Counter Mode (GCM).
Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification).
Lorsque cette option est utilisée,
prime-128elle doit également être configurée au niveau de la hiérarchie [edit security ipsec policy policy-name proposal-set]
prime-256: fournit l’ensemble de propositions suivant (cette option n’est pas prise en charge sur VPNv2 du groupe) :Méthode d’authentification : signatures ECDSA 384 bits.
Groupe Diffie-Hellman — 20.
Algorithme de chiffrement : GCM 256 bits AES.
Algorithme d’authentification : aucun (AES-GCM fournit à la fois le chiffrement et l’authentification).
Lorsque cette option est utilisée,
prime-256elle doit également être configurée au niveau de la hiérarchie [edit security ipsec policy policy-name proposal-set]
standard— Inclut un ensemble standard de deux propositions IKE :Proposition 1 : clé prépartage, chiffrement 3DES et authentification des groupes DH 2 et SHA-1.
Proposition 2 : clé prépartage, chiffrement AES 128 bits et authentification DH 2 et SHA-1.
-
suiteb-gcm-128: fournit l’ensemble de propositions suite B suivant (cette option n’est pas prise en charge sur VPNv2 du groupe) :-
Méthode d’authentification : signatures ECDSA 256 bits
-
Groupe Diffie-Hellman —19
-
Algorithme de chiffrement — Advanced Encryption Standard (AES) 128 bits Galois Counter Mode (GCM)
Le mode GCM est utilisé à la place de CBC.
-
Algorithme d’authentification : SHA-256
-
suiteb-gcm-256: fournit l’ensemble de propositions suite B suivant (cette option n’est pas prise en charge sur VPNv2 du groupe) :Méthode d’authentification : signatures ECDSA 384 bits
Diffie-Hellman Group—20
Algorithme de chiffrement : AES GCM 256 bits
Le mode GCM est utilisé à la place de CBC.
Algorithme d’authentification : SHA-384
Niveau de privilège requis
sécurité : pour afficher cette déclaration dans la configuration.
contrôle de sécurité : pour ajouter cette déclaration à la configuration.
Informations de publication
Déclaration introduite dans la version 8.5 de Junos OS. Prise en charge suiteb-gcm-128 et suiteb-gcm-256 options ajoutées dans la version 12.1X45-D10 de Junos OS. Prise en charge prime-128 et prime-256 options ajoutées dans la version 15.1X49-D40 de Junos OS.
À partir de la version 20.2R1 de Junos OS, nous avons modifié la description du texte d’aide en ce qui concerne NOT RECOMMENDED les options basicCLI , compatibleet standard.