Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

policy (Security IPsec)

構文

階層レベル

説明

IPsecポリシーを定義します。IPsecポリシーは、IPsecネゴシエーション中に使用されるセキュリティパラメーター(IPsecプロポーザル)の組み合わせを定義します。Perfect Forward Secrecy(PFS)と接続に必要なプロポーザルを定義します。

オプション

name

IPsec ポリシーの名前。
description

IPsec ポリシーの説明テキストを入力します。
perfect-forward-secrecy keys

暗号化キーの生成にデバイスが使用する方法として、完全転送機密保持(PFS)を指定します。PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。IPsecポリシーの設定を更新すると、デバイスは既存の perfect-forward-secrecy IPsec SAを削除します。

  • 値:

    • group1- 768 ビット モジュラー指数(MODP)アルゴリズム。

    • group2-1024 ビット MODP アルゴリズム。

    • group5- 1536 ビット MODP アルゴリズム。

    • group14- 2048 ビット MODP グループ。

    • group15-3072 ビット MODP アルゴリズム。

    • group16- 4096 ビット MODP アルゴリズム。

    • group19- 256 ビットランダム楕円曲線グループmodulo a Prime(ECP グループ)アルゴリズム。

    • group20- 384 ビットランダム ECP グループ アルゴリズム。

    • group21- 521 ビットランダム ECP グループ アルゴリズム。

    • group24- 256 ビットプライム順序サブグループを持つ 2048 ビット MODP グループ。
proposal-set

デフォルトの IPsec プロポーザルのセットを定義します。

  • 値:

    • basic — IPsec 基本プロポーザル セット。esp-des-sha および esp-des-md5 です。

      • ESP(セキュリティ ペイロードのカプセル化)プロトコル

      • 暗号化アルゴリズム - DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 または MD5 認証アルゴリズム

    • 互換—IPsec 互換プロポーザル セット。esp-3des-sha、esp-3des-md5、esp-des-sha、esp-des-md5。

      • ESP プロトコル

      • 暗号化アルゴリズム - 3DES-CBC または DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 または MD5 認証アルゴリズム

    • prime-128—以下のプロポーザルセットを提供します。

      • ESP(セキュリティ ペイロードのカプセル化)プロトコル

      • 暗号化アルゴリズム-高度暗号化標準ガロア/カウンター モード(AES-GCM)128 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、グループVPNv2ではサポートされていません。

    • prime-256—以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、グループVPNv2ではサポートされていません。

    • standard—esp-3des-sha および esp-aes128-sha

      • ESP プロトコル

      • 暗号化アルゴリズム -3DES-CBC または AES-CBC 128 ビット暗号化アルゴリズム

      • 認証アルゴリズム - SHA1 認証アルゴリズム

    • suiteb-gcm-128—以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 128 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、グループVPNv2ではサポートされていません。

    • suiteb-gcm-256—以下のプロポーザルセットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム - なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、グループVPNv2ではサポートされていません。
proposals proposal-name

IPsecポリシーに対して、最大4つのフェーズ2プロポーザルを指定します。複数のプロポーザルを含む場合、すべてのプロポーザルで同じDiffie-Hellmanグループを使用します。

プロポーザルはリストに表示される順序で評価されます。そのため、優先順位が最も高いものが最初に、次に優先度が高いものを指定します。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ制御—設定にこのステートメントを追加します。

リリース情報

Junos OSリリース8.5で変更されたステートメント。

グループ 14 のサポートが Junos OS リリース 11.1 に追加されました。

group14 Junos OS リリース 11.1 で追加されたオプションのサポート。

group19Junos OS リリース 12.1X45-D10 で追加された 、 group20group24 オプションのサポート。

group15group16、 、 、および group21 パッケージがインストールされたデバイスのSR5000シリーズのJunos OSリリース19.1R1でjunos-ike導入されたオプション。

suiteb-gcm-128 Junos OS リリース 12.1X45-D10 で追加された および suiteb-gcm-256 オプションのサポート。prime-128 Junos OS リリース 15.1X49-D40 で追加された および prime-256 オプションのサポート。

Junos OS リリース 20.2R1 以降、ヘルプ テキストの説明NOT RECOMMENDEDを CLI オプション group1group2group5に変更しました。

group15パッケージがインストールされた Junos OS リリース 20.3R1 on vSRX インスタンスの Junos OS リリース 20.3R1 で追加された 、 group16group21 オプションのjunos-ikeサポート。

group15パッケージがインストールされた Junos OS リリース 21.1R1 on vSRX 3.0 インスタンスの Junos OS リリース 21.1R1 で追加された 、 group16group21 、 オプションのjunos-ikeサポート。

関連項目