Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

proposal (Security IPsec)

構文

階層レベル

説明

IPsecプロポーザルを定義します。IPsecプロポーザルは、リモートIPsecピアとネゴシエートするプロトコルとアルゴリズム(セキュリティサービス)をリストします。

オプション

proposal-name

IPsecプロポーザルの名前。

認証アルゴリズム

IPsec 認証アルゴリズムを設定します。認証アルゴリズムは、パケット データを認証するハッシュ アルゴリズムです。これは、6 つのアルゴリズムの 1 つを使用できます。

  • 値:

    データを認証するハッシュ アルゴリズムは、以下のいずれかを可能にできます。

    • hmac-md5-96—128 ビットダイジェストを生成します。

    • hmac-sha-256-128:データ起点の認証と整合性の保護を提供します。このバージョンの hmac-sha-256 オーセンティケータは、256 ビットダイジェストを生成し、128 ビットへの切り捨てを指定します。

    • hmac-sha1-96—パケット データを認証するハッシュ アルゴリズム。160ビットダイジェストを生成します認証には 96 ビットしか使用されません。

    • hmac-sha-512—512 ビットダイジェストを生成します。

    • hmac-sha-384—384 ビットのダイジェストを生成します。

    • hmac-sha-256-96—HMAC-SHA-256-96 認証アルゴリズム(RFC 準拠以外)

説明

IPsecプロポーザルのテキスト説明

暗号化アルゴリズム

暗号化アルゴリズムを定義します。IPsecプロポーザルの設定を更新すると、デバイスは既存のIPsec SA encryption-algorithm を削除します。

  • 値:

    • 3des-cbc—ブロック サイズが 8 バイト(64 ビット)で、鍵サイズが 192 ビットの暗号化アルゴリズムです。

    • aes-128-cbc—AES(Advanced Encryption Standard)128 ビット暗号化アルゴリズム。

    • aes-128-gcm—AES Galois/Counter Mode(GCM)128 ビット暗号化アルゴリズム。

      サービス プロIKEでは、AES 128 ビット認証暗号化アルゴリズムが IKEv2 でのみサポートされています。このオプションを使用する場合、 [ ] 階層レベルで設定する必要があります。オプションは [ ] 階層レベル aes-128-gcm edit security ipsec proposal proposal-name authentication-algorithm edit security ike proposal proposal-name で設定する必要はありません。

      、または暗号化アルゴリズムがIPsecプロポーザルで設定されている場合、対応するプロポーザルで aes-128-gcm aes-192-gcm aes-256-gcm AES-GCM暗号化アルゴリズムを設定IKEされます。

    • aes-192-cbc—AES 192 ビット暗号化アルゴリズム。

    • aes-192-gcm—AES GCM 192 ビット暗号化アルゴリズム。

    • aes-256-cbc—AES 256 ビット暗号化アルゴリズム。

    • aes-256-gcm—AES GCM 256 ビット暗号化アルゴリズム。

      サービス プロIKEでは、AES 256 ビット認証暗号化アルゴリズムが IKEv2 でのみサポートされています。このオプションを使用する場合、 [ ] 階層レベルで設定する必要があります。オプションは [ ] 階層レベル aes-256-gcm edit security ipsec proposal proposal-name authentication-algorithm edit security ike proposal proposal-name で設定する必要はありません。

    • des-cbc—8バイト(64ビット)およびキーサイズ48ビットのブロックサイズを持つ暗号化アルゴリズム。

拡張シーケンス番号

オプションを extended-sequence-number 使用して ESN のサポートを有効にします。ESN では、IPsec でシーケンス番号に 64 ビットのシーケンス番号を使用できます。ESN が有効になっていない場合は、デフォルトで 32 ビット シーケンス番号が使用されます。アンチリプレイが無効になっているときに ESN が有効になっていないか確認します。

ライフタイム キロバイト

IPsec SA(セキュリティ アソシエーション)のライフタイム(キロバイト)を指定します。このステートメントが設定されていない場合、SAライフタイムに使用されるキロバイト数は無制限です。

  • 範囲 :64~1048,576 キロバイト

ライフタイム(秒)

ライフタイム(秒)

  • 範囲 :180~86400

  • デフォルト :3600 秒

プロトコル

手動または動的 SA(セキュリティ アソシエーション)に対して IPsec プロトコルを定義します。

  • 値:

    • ah— 認証ヘッダー

    • esp — カプセル化セキュリティ ペイロード ヘッダー

必須の権限レベル

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

リリース情報

リリース 7.4 Junos OS前に導入されたステートメント。

extended-sequence-number リリースリリースでJunos OSされたオプション19.4R1。

リリース Junos OS から20.2R1 CLI、 のオプション 、 の 2 つのオプションに関するヘルプ テキストの説明を NOT RECOMMENDED hmac-md5-96 変更しました hmac-sha1-96 3des-cbc des-cbc

hmac-sha-512hmac-sha-384SRX5K-SPC3カードJunos OSデバイス19.1R1デバイスのSRX5000 シリーズリリースリリースで導入されたオプション。

リリース で追加された 、および のJunos OS aes-128-gcm aes-192-gcm aes-256-gcm オプション15.1X49-D70サポートvSRX。

リリース リリース aes-128-gcmaes-192-gcm 追加 aes-256-gcm された 、 Junos OS オプション12.1X45-D10。

リリース hmac-sha-256-128 リリースのデバイスSRX5400、SRX5600、SRX5800追加のJunos OSサポート12.1X46-D20。