Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IPsec)

Syntax

Hierarchy Level

Description

IPsec ポリシーを定義します。IPsec ポリシーは、IPsec ネゴシエーションで使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。PFS(Perfect Forward Secrecy)と、接続に必要なプロポーザルを定義します。

Options

お名前

IPsec ポリシーの名前。

関する

IPsec ポリシーの記述テキストを入力します。

perfect-forward-secrecy 鍵

デバイスが暗号化キーを生成するために使用する方法として、PFS (完全順秘密) を指定します。PFS は、以前のキーとは別に新しい暗号化キーを1つずつ生成します。IPsec ポリシーでperfect-forward-secrecy構成を更新すると、デバイスによって既存の ipsec sa が削除されます。

  • 指定

    • group1—768 ビットモジュラー指数(MODP)アルゴリズム。

    • group2—1024 ビット MODP アルゴリズム。

    • group5—1,536 ビット MODP アルゴリズム。

    • group14—2048 ビットの MODP Group。

    • group15—3072 ビット MODP アルゴリズム。

    • group16—4096 ビット MODP アルゴリズム。

    • group19—256 ビットのランダム楕円曲線グループ係数(ECP グループ)アルゴリズムです。

    • group20—384 ビットのランダム ECP グループ アルゴリズム。

    • group21—521 ビットのランダム ECP グループ アルゴリズム。

    • group24—256 ビットの素数注文サブグループを持つ 2048 ビットの MODP Group。

proposal-set

一連のデフォルト IPsec 案を定義します。

  • 指定

    • basic — IPsec基本プロポーザル セット。esp-des-sha および esp-des-md5 です。

      • ESP (カプセル化セキュリティーペイロード) プロトコル

      • 暗号化アルゴリズム - DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム — SHA1 または MD5 認証アルゴリズム

    • 互換—IPsec互換プロポーザル セット。esp-3des-sha、esp-3des-md5、esp-des-sha、esp-des-md5 の 3 つの機能を使用します。

      • ESP プロトコル

      • 暗号化アルゴリズム - 3DES-CBC または DES-CBC 暗号化アルゴリズム

      • 認証アルゴリズム — SHA1 または MD5 認証アルゴリズム

    • prime-128—次のプロポーザル セットを提供します。

      • ESP (カプセル化セキュリティーペイロード) プロトコル

      • 暗号化アルゴリズム - 高度な暗号化規格 Galois/Counter mode(AES-GCM)128 ビット

      • 認証アルゴリズム — なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、Group VPNv2 ではサポートされていません。

    • prime-256—次のプロポーザル セットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム — なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、Group VPNv2 ではサポートされていません。

    • standard—esp-3des-sha および esp-aes128-sha

      • ESP プロトコル

      • 暗号化アルゴリズム - 3DES-CBC または AES-CBC 128 ビット暗号化アルゴリズム

      • 認証アルゴリズム — SHA1 認証アルゴリズム

    • suiteb-gcm-128—次のプロポーザル セットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 128 ビット

      • 認証アルゴリズム — なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、Group VPNv2 ではサポートされていません。

    • suiteb-gcm-256—次のプロポーザル セットを提供します。

      • ESP プロトコル

      • 暗号化アルゴリズム - AES-GCM 256 ビット

      • 認証アルゴリズム — なし(AES-GCM は暗号化と認証の両方を提供)

      このオプションは、Group VPNv2 ではサポートされていません。

プロ ポーザルのプロポーザル名

IPsec ポリシーの最大 4 フェーズ 2 のプロポー ザルを指定 します。複数の提案を含める場合は、すべての提案で同じ Diffie-hellman グループを使用します。

プロポーザルはリストに表示された順に評価され、上位の優先度が最初に指定され、その後に次に最も優先度が高くなります。

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

文は Junos OS リリース8.5 で変更されています。

グループ14のサポートは Junos OS リリース11.1 で追加されています。

Junos OS リリースgroup14 11.1 で追加されたオプションをサポートします。

Junos OS のリリース 12.1 x45 group24で追加された、、およびオプションをサポートします。 group19group20

group15group16、、および group21 パッケージがインストールされた SR5000 Junos OSのデバイス19.1R1リリース リリース で導入された junos-ike オプション。

Junos OS のsuiteb-gcm-128リリースsuiteb-gcm-256 12.1 x45 で追加されたサポートとオプションJunos OS Release prime-128 15.1 prime-256 x49-D40 で追加されたサポートとオプションです。

リリース Junos OS リリース 20.2R1 CLI、 のオプション 、 のオプションに関するヘルプ テキストの説明を NOT RECOMMENDEDgroup1 変更しました group2group5

パッケージが group15 インストール group16 されたインスタンスのインスタンスでJunos OS 、 、 20.3R1 オプションvSRX group21junos-ike サポート。

パッケージがインストールされた vSRX 3.0 インスタンスで Junos OS リリース group15group16group21 21.1R1 で追加された 、および の junos-ike オプション。