Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Syntax

Hierarchy Level

Description

IKEでは、IKE ネゴシエーション中に使用するセキュリティ パラメーター(IKE プロポーザル)の組み合わせを定義します。たとえば、ピア アドレス、特定のピアの事前共有鍵、その接続に必要なプロポーザルなどです。ネゴシエーションのIKE、IKEピア上で同IKEポリシーを必要とします。ネゴシエーションを開始するピアは、そのすべてのポリシーをリモート ピアに送信し、リモート ピアは一致を見つけようとします。

IKEのプロポーザルはトップからボトムまで、リストの順序で評価されます。ポリシーを作成する場合は、最も優先度の高いプロポーザルの後に、次に高い優先度を指定します。 policy

Options

policy-name—ポリシーのIKE。ポリシー名は最大32文字の英数字で指定できます。

certificate—デジタル証明書の使用量を指定して、VPN(仮想プライベート ネットワーク)イニシエーターと受信者を認証します。

description description—ポリシー適用ポリシーのIKEします。

mode—ネットワーク ネゴシエーション(インターネット鍵交換)IKE モードを定義します。アグレッシブモードは、ピアユニットに IP アドレスが動的に割り当てられている場合に、ID 保護なしで IKE キー交換を開始する必要がある場合にのみ使用します。IKEv2 プロトコルは、モード設定を使用してネゴシエートしません。IKE ポリシーのmode設定を更新すると、デバイスによって既存の IKE と IPsec sa が削除されます。

  • aggressive:アグレッシブ モード。

  • main—メイン モード。主要モードは、キー交換時に当事者のアイデンティティが隠されるため、推奨されるキー交換方法です。

    リモートmode mainゲートウェイがダイナミックアドレスを持ち、認証方法がpre-shared-keysの場合、グループ VPN サーバーまたはメンバーの構成はサポートされません。

pre-shared-key—ポリシー適用ポリシーの事前共有鍵IKEします。IKE ポリシーのpre-shared-key設定を更新すると、デバイスによって既存の IKE と IPsec sa が削除されます。

  • ascii-text key—キーに1~255のASCIIテキスト文字の文字列を指定します。@ +文字-=使用することはできません。( ) [特殊]文字{を含める}には、キー文字列全体または特殊文字のいずれかを引用符で囲みます。 , ;たとえば“str)ng”str”)”ngなどがあります。文字列内でその他の引用符を使用することはできません。des-cbc暗号化では、8個の ASCII 文字が含まれています。暗号化3des-cbcを使用すると、24個の ASCII 文字がキーに含まれます。

  • hexadecimal key—鍵の 1~255 16 進文字の文字列を指定します。文字は09、16進数、文字、 afAまたはその間Fで指定しなければなりません。暗号化des-cbcを使用する場合、このキーには16個の16進数文字が含まれています。暗号化3des-cbcを使用した場合、キーには48の16進数文字が含まれます。

seeded-pre-shared-key—シード済みの事前共有鍵を ASCII 形式または 16 進形式で指定してIKEします。は seeded-pre-shared-key 、ピアの生成に使用されるマスター pre-shared-key キーです。したがって、各ピアは異なっています pre-shared-key 。このオプションの利点は、ゲートウェイへの各ピア接続が異なる事前共有鍵を持つという点です。そのため、ピアの 1 つが侵害された場合でも、他のピアには影響を pre-shared-key 与えるはありません。

ピアの事前共有鍵は、ピア間で設定および共有されているマスター キー seeded-pre-shared-key を使用して生成されます。ピアの事前共有キーを表示するには、コマンドを実行し、ピアのデバイスで表示された事前共有キーをASCII形式で共有キーとして共有および設定 show security ike pre-shared-key します。マスター キーはゲートウェイ デバイスでのみ設定され、どのピアにも共有されません。

または コマンドを使用して、ピアの事前共有鍵を show security ike pre-shared-key user-id peer ike-id master-key master key 取得 show security ike pre-shared-key user-id peer ike-id gateway gateway name できます。

  • ascii-text-key—キーに 1~255 ASCII テキスト文字の文字列を設定します。@ +文字-=使用することはできません。( ) [特殊]文字{を含める}には、キー文字列全体または特殊文字のいずれかを引用符で囲みます。 , ;たとえば“str)ng”str”)”ngなどがあります。文字列内でその他の引用符を使用することはできません。

  • hexadecimal-key—鍵の 1~255 16 進文字の文字列を指定します。文字は09、16進数、文字、 afAまたはその間Fで指定しなければなりません。

proposal-set—デフォルトのプロポーザルのセットインターネット鍵交換をIKEします。

proposals proposal-name:ポリシー適用ポリシーに対して、最大 4 つのフェーズ 1 のIKEします。複数の提案を含める場合は、すべての提案で同じ Diffie-hellman グループを使用します。

reauth-frequency number—再認証頻度を設定して、新しい IKEv2 再認証をトリガーします。再認証によって新しい IKE SA が作成され、IKE SA 内に新しい子 Sa が作成されるとともに、古い IKE SA を削除します。このオプションはデフォルトで無効になっています。再認証IKE前に実行されるリキーの数が多い。がreauth-frequencyある1場合は、IKE キー更新が発生するたびに再認証が行われます。Is reauth-frequency2存在する場合、再認証は他の IKE キー更新のたびに行われます。がreauth-frequencyある3場合は、3回目の IKE キー更新ごとに再認証が行われます。

  • 0 (無効)

  • 0-100

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

文は Junos OS リリース8.5 で変更されています。

Junos OS のsuiteb-gcm-128リリースsuiteb-gcm-256 12.1 x45 で追加されたサポートとオプション

Junos OS Release policy-oids 12.3 X48-D10 に追加されたオプションをサポートします。

Junos OS リリースtrusted-ca 18.1 で追加されたオプションをサポートします。

リリースリリース reauth-frequency で追加されたオプションJunos OSサポート15.1X49-D60。

リリース seeded-pre-shared-key 21.1R1 Junos OS オプションのサポート