proposal (Security IKE)
Syntaxe
proposal proposal-name {
authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512);
authentication-method(certificates | dsa-signatures | ecdsa-signatures-256 | ecdsa-signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521);
description description;
dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 | group15 | group16 | group21);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
Niveau hiérarchique
[edit security ike]
Description
Définir une proposition IKE.
Options
proposal-name— Nom de la proposition IKE. Le nom de la proposition peut être de 32 caractères alphanumériques.
authentication-algorithm— Configurez l’algorithme de hachage d’authentification Internet Key Exchange (IKE) qui authentifie les données des paquets. Il peut s’agir de l’un des algorithmes suivants :
-
md5— Produit un digest 128 bits. -
sha-256— Produit un digest 256 bits. -
sha-384: produit une synthèse 384 bits. -
En mode d’alimentation IPSec et en mode normal:
-
sha1— Produit un digest 160 bits. -
sha-512— Produit un digest 512 bits.
-
L’équipement supprime les SPsec existants lorsque vous mettez à jour la authentication-algorithm configuration dans la proposition IKE ou dans la proposition IPsec.
authentication-method: spécifiez la méthode utilisée par l’équipement pour authentifier la source des messages Internet Key Exchange (IKE). L’option pre-shared-keys se réfère à une clé prépartage, qui est une clé de chiffrement et de déchiffrement que les deux participants doivent avoir avant de commencer les négociations de tunnel. Les autres options se réfèrent aux types de signatures numériques, qui sont des certificats qui confirment l’identité du détenteur du certificat. L’équipement supprimeles SAs IPsec existants lorsque vous mettez à jour la authentication-method configuration dans la proposition IKE.
-
certificates: vous pouvez établir les tunnels IKEv2 et IPsec SA quel que soit le type de certificat utilisé sur l’instigateur et le répondant. L’optionauthentication-method certificatesne peut pas être utilisée avec IKEv1. -
dsa-signatures: spécifiez que l’algorithme de signature numérique (DSA) est utilisé. -
ecdsa-signatures-256: spécifiez que la courbe elliptique DSA (ECDSA) à l’aide de la courbe elliptique 256 bits secp256r1, telle que spécifiée dans la Norme fédérale de traitement de l’information (FIPS) Digital Signature Standard (DSS) 186-3, est utilisée. -
ecdsa-signatures-384: spécifiez l’ECDSA à l’aide de la courbe elliptique 384 bits secp384r1, comme spécifié dans le DSS FIPS 186-3. -
pre-shared-keys: spécifiez qu’une clé prépartage, c’est-à-dire une clé secrète partagée entre les deux pairs, est utilisée lors de l’authentification pour identifier les pairs l’un à l’autre. La même clé doit être configurée pour chaque pair. Il s’agit de la méthode par défaut. -
rsa-signatures: spécifiez qu’un algorithme à clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé. -
ecdsa-signatures-521: spécifiez que l’ECDSA utilise la courbe elliptique 521 bits secp521r1.
description description— Texter la description de la proposition IKE.
dh-group: spécifiez le groupe Ike Diffie-Hellman.
encryption-algorithm— Configurez un algorithme de chiffrement pour une proposition IKE.
lifetime-seconds seconds: spécifiez la durée de vie (en quelques secondes) d’une association de sécurité (SA) IKE. Lorsque le SA expire, il est remplacé par un nouvel index SA et des paramètres de sécurité (SPI) ou terminé.
-
Gamme: Entre 180 et 86 400 secondes
-
Par défaut: 28,800 seconde
Niveau de privilège requis
sécurité : pour afficher cette déclaration dans la configuration.
contrôle de sécurité : pour ajouter cette déclaration à la configuration.
Informations de publication
Déclaration modifiée dans Junos OS version 8.5.
Prise en charge dh-group group 14 et dsa-signatures ajout de Junos OS version 11.1.
Prise en charge sha-384de , ecdsa-signatures-256, ecdsa-signatures-384, group19group20et group24 des options ajoutées dans junos OS version 12.1X45-D10.
Prise en charge ecdsa-signatures-256 et ecdsa-signatures-384 options ajoutées dans la version 12.1X45-D10 de Junos OS.
Prise en charge sha-512de , group15, group16, group21et ecdsa-signatures-521 des options ajoutées dans la version 19.1R1 de Junos OS sur la gamme SRX5000 avec junos-ike package installé.
Prise en charge de l’algorithme d’authentification (SH1 : hmac-sha1-96) ajouté au pare-feu virtuel vSRX dans la version 19.3R1 de Junos OS pour le mode Power Mode IPSec, ainsi que la prise en charge existante en mode normal.
Prise en charge group15de , group16et group21 des options ajoutées dans la version 20.3R1 de Junos OS sur les instances de pare-feu virtuel vSRX avec junos-ike package installé.
Prise en charge group15de , group16et group21 des options ajoutées dans la version 21.1R1 de Junos OS sur les instances vSRX Virtual Firewall 3.0 avec junos-ike package installé.
Prise en charge de certificates l’option ajoutée dans la version 22.4R1 de Junos OS sur MX240, MX480 et MX960 en mode USF, SRX1500, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 et pare-feu virtuel vSRX 3.0 exécutant un processus iked.