Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

policy (Security IPsec)

構文

階層レベル

説明

IPsecポリシーを定義します。IPsec ポリシーは、IPsec ネゴシエーション時に使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。完全転送機密保持(PFS)と、接続に必要なプロポーザルを定義します。

オプション

name

IPsecポリシーの名前。
description

IPsec ポリシーの説明テキストを入力します。
perfect-forward-secrecy keys

デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を指定します。PFS は、以前の鍵とは独立して、新しい暗号鍵を生成します。IPsecポリシーで設定を更新する perfect-forward-secrecy と、デバイスは既存のIPsec SAを削除します。

  • 値:

    • group1- 768ビットModularExponential(MODP)アルゴリズム。

    • group2- 1024 ビット MODP アルゴリズム。

    • group5- 1536 ビット MODP アルゴリズム。

    • group14- 2048 ビット MODP グループ。

    • group15- 3072 ビット MODP アルゴリズム。

    • group16- 4096 ビット MODP アルゴリズム。

    • group19- 256 ビットのランダム楕円曲線グループ法則(ECP グループ)アルゴリズム。

    • group20- 384ビットランダムECPグループアルゴリズム。

    • group21- 521ビットランダムECPグループアルゴリズム。

    • group24- 256 ビット素数位数サブグループを持つ 2048 ビット MODP グループ。
proposal-set

デフォルトのIPsecプロポーザルのセットを定義します。

  • 値:

    • basic:IPsec 基本プロポーザル セット。esp-des-sha と esp-des-md5 です。

      • カプセル化セキュリティペイロード(ESP)プロトコル

      • 暗号化アルゴリズム - DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 または MD5 認証アルゴリズム

    • compatible—IPsec互換のプロポーザルセット。esp-3des-sha、esp-3des-md5、esp-des-sha、esp-des-md5。

      • ESP プロトコル

      • 暗号化アルゴリズム - 3DES-CBC または DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 または MD5 認証アルゴリズム

    • prime-128- 以下のプロポーザルセットを提供します。

      • カプセル化セキュリティペイロード(ESP)プロトコル

      • 暗号化アルゴリズム - 高度な暗号化標準ガロア/カウンター モード(AES-GCM)128 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供します)

      このオプションは、グループ VPNv2 ではサポートされていません。

    • prime-256- 以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供します)

      このオプションは、グループ VPNv2 ではサポートされていません。

    • standard—esp-3des-sha と esp-aes128-sha

      • ESP プロトコル

      • 暗号化アルゴリズム - 3DES-CBC または AES-CBC 128 ビット暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 認証アルゴリズム

    • suiteb-gcm-128- 以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 128 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供します)

      このオプションは、グループ VPNv2 ではサポートされていません。

    • suiteb-gcm-256- 以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供します)

      このオプションは、グループ VPNv2 ではサポートされていません。
proposals proposal-name

IPsecポリシーのフェーズ2プロポーザルを最大4つ指定します。複数のプロポーザルを含める場合は、すべてのプロポーザルで同じ Diffie-Hellman グループを使用します。

プロポーザルは、リストに表示されている順序で上から下に評価されるため、最初に最も高い優先度を指定し、次に高い優先度を指定します。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース8.5で修正されたステートメント。

グループ 14 のサポートは Junos OS リリース 11.1 で追加されました。

Junos OSリリース11.1で追加されたオプションのサポート group14

group19Junos OSリリース12.1X45-D10で追加された、 、 group20group24 オプションのサポート。

group15group16group21 および オプションは、パッケージがインストールされたSR5000シリーズのデバイスの junos-ike Junos OSリリース19.1R1で導入されました。

suiteb-gcm-128 Junos OSリリース12.1X45-D10で追加された および suiteb-gcm-256 オプションのサポート。prime-128 Junos OSリリース15.1X49-D40で追加された および prime-256 オプションのサポート。

Junos OSリリース20.2R1から、CLIオプション group1group2group5 および パッケージがインストールされた状態でjunos-ikeIKEDを実行しているデバイスのヘルプテキストの説明NOT RECOMMENDEDを変更しました。

group15パッケージがインストールされたvSRX仮想ファイアウォールインスタンスjunos-ikeのJunos OSリリース20.3R1に追加された、 、 group16group21 オプションのサポート。

group15パッケージがインストールされたvSRX仮想ファイアウォール3.0インスタンスjunos-ikeのJunos OSリリース21.1R1に追加された、 、 group16group21 オプションのサポート。

関連ドキュメント