Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

proposal (Security IPsec)

構文

階層レベル

説明

IPsecプロポーザルを定義します。IPsecプロポーザルは、リモート IPsec ピアとネゴシエートするプロトコルとアルゴリズム(セキュリティ サービス)をリストします。

オプション

proposal-name

IPsecプロポーザルの名前。
authentication-algorithm

IPsec認証アルゴリズムを設定します。認証アルゴリズムは、パケット データを認証するハッシュ アルゴリズムです。次の 6 つのアルゴリズムのいずれかを指定できます。

  • 値:

    データを認証するハッシュ アルゴリズムは、次のいずれかになります。

    • hmac-md5-96- 128 ビットのダイジェストを生成します。

    • hmac-sha-256-128- データ送信元の認証と整合性保護を提供します。このバージョンの hmac-sha-256 オーセンティケータは、256 ビットのダイジェストを生成し、128 ビットへの切り捨てを指定します。

    • hmac-sha1-96- パケット データを認証するハッシュ アルゴリズム。160 ビットのダイジェストが生成されます。認証に使用されるのは 96 ビットのみです。

    • hmac-sha-512- 512 ビットのダイジェストを生成します。

    • hmac-sha-384- 384 ビットのダイジェストを生成します。

    • hmac-sha-256-96- HMAC-SHA-256-96 認証アルゴリズム(非 RFC 準拠)
description

IPsecプロポーザルのテキスト記述
encryption-algorithm

暗号化アルゴリズムを定義します。IPsecプロポーザル内の設定を更新する encryption-algorithm と、デバイスは既存のIPsec SAを削除します。

  • 値:

    • 3des-cbc- ブロック サイズ 8 バイト(64 ビット)、鍵サイズ 192 ビットの暗号化アルゴリズム。

    • aes-128-cbc- 高度暗号化標準(AES)128ビット暗号化アルゴリズム。

    • aes-128-gcm- AES ガロア/カウンター モード(GCM)128 ビット暗号化アルゴリズム。

      IKEプロポーザルの場合、AES 128ビット認証暗号化アルゴリズムはIKEv2でのみサポートされます。このオプションを使用する場合は、[aes-128-gcmedit security ipsec proposal proposal-name] 階層レベルで設定する必要があり、 オプションは authentication-algorithm [edit security ike proposal proposal-name] 階層レベルで設定しないでください。

      IPsecプロポーザルで 、 aes-192-gcm、または aes-256-gcm 暗号化アルゴリズムが設定されている場合aes-128-gcm、対応するIKEプロポーザルでAES-GCM暗号化アルゴリズムを設定することは必須ではありません。

    • aes-192-cbc- AES 192 ビット暗号化アルゴリズム。

    • aes-192-gcm- AES GCM 192 ビット暗号化アルゴリズム。

    • aes-256-cbc- AES 256 ビット暗号化アルゴリズム。

    • aes-256-gcm- AES GCM 256 ビット暗号化アルゴリズム。

      IKEプロポーザルの場合、AES 256ビット認証暗号化アルゴリズムはIKEv2でのみサポートされます。このオプションを使用する場合は、[aes-256-gcmedit security ipsec proposal proposal-name] 階層レベルで設定する必要があり、 オプションは authentication-algorithm [edit security ike proposal proposal-name] 階層レベルで設定しないでください。

    • des-cbc- ブロック サイズ 8 バイト(64 ビット)、鍵サイズ 48 ビットの暗号化アルゴリズム。
extended-sequence-number

extended-sequence-numberオプションを使用して、ESN サポートを有効にします。ESN により、IPsec はシーケンス番号に 64 ビットのシーケンス番号を使用できます。ESN が有効になっていない場合、既定では 32 ビットのシーケンス番号が使用されます。アンチリプレイが無効になっている場合は、ESN が有効になっていないことを確認します。
lifetime-kilobytes

IPsecセキュリティアソシエーション(SA)のライフタイム(キロバイト単位)を指定します。このステートメントが設定されていない場合、SAのライフタイムに使用されるキロバイト数は無制限です。

  • 範囲: 64 から 4,294,967,294 キロバイト
lifetime-seconds

有効期間 (秒)

  • 範囲: 180 から 86400

  • デフォルト: 3600 秒
protocol

手動または動的セキュリティアソシエーション(SA)のIPsecプロトコルを定義します。

  • 値:

    • ah—認証ヘッダー

    • esp - カプセル化されたセキュリティ ペイロード ヘッダー

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース7.4より前に導入されたステートメント。

extended-sequence-number Junos OS リリース 19.4R1 で導入された オプション。

Junos OSリリース20.2R1から、CLIオプション 、 、 3des-cbc、および des-cbc が、 パッケージがインストールされた状態でjunos-ikeikedプロセスを実行しているデバイスのヘルプテキストの説明NOT RECOMMENDEDを変更hmac-sha1-96しました。hmac-md5-96

hmac-sha-512hmac-sha-384 SRX5K-SPC3カードを搭載したSRX5000デバイスラインのJunos OSリリース19.1R1で導入されたオプション。

aes-128-gcmvSRX仮想ファイアウォールのJunos OSリリース15.1X49-D70で追加された、 、 aes-192-gcmaes-256-gcm オプションのサポート。

aes-128-gcmJunos OSリリース12.1X45-D10で追加された、 、 aes-192-gcmaes-256-gcm オプションのサポート。

hmac-sha-256-128 Junos OSリリース12.1X46-D20のSRX5400、SRX5600、およびSRX5800デバイスへの追加のサポート。

 lifetime-kilobytes Junos OSリリース23.4R1で、ikedプロセスを実行しているIPsec VPNでオプションのサポートが追加されました。

関連ドキュメント