proposal (Security IKE)
構文
proposal proposal-name {
authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512);
authentication-method(certificates | dsa-signatures | ecdsa-signatures-256 | ecdsa-signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521);
description description;
dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 | group15 | group16 | group21);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
階層レベル
[edit security ike]
説明
IKEプロポーザルを定義します。
オプション
proposal-name- IKEプロポーザルの名前。プロポーザル名は、最大 32 文字の英数字を使用できます。
authentication-algorithm— パケット データを認証する IKE(インターネット鍵交換)認証ハッシュ アルゴリズムを構成します。次のいずれかのアルゴリズムを使用できます。
-
md5-128 ビットダイジェストを生成します。 -
sha-256-256 ビットダイジェストを生成します。 -
sha-384-384 ビット ダイジェストを生成します。 -
電力モードのIPSecモードおよび通常モードでは:
-
sha1-160 ビット ダイジェストを生成します。 -
sha-512-512 ビット ダイジェストを生成します。
-
IKEプロポーザル内の設定を更新しても、デバイスは既存の authentication-algorithm IPsec SAを削除しません。IPsecプロポーザル内の設定を更新すると、デバイスは既存の authentication-algorithm IPsec SAを削除します。
authentication-method— デバイスが IKE(インターネット鍵交換)メッセージの送信元の認証に使用する方法を指定します。オプションは pre-shared-keys 、事前共有鍵を指します。これは、両方の参加者がトンネルネゴシエーションを開始する前に持っている必要がある暗号化と復号化の鍵です。その他のオプションは、証明書所有者の身元を確認する証明書であるデジタル署名のタイプを参照します。IKEプロポーザル内の設定を更新しても、デバイスは既存の authentication-method IPsec SAを削除しません。
-
certificates—開始側と応答側で使用される証明書の種類に関係なく、IKEv2 および IPsec SA トンネルを確立できます。オプションはauthentication-method certificatesIKEv1 では使用できません。 -
dsa-signatures— DSA(デジタル署名アルゴリズム)を使用することを指定します。 -
ecdsa-signatures-256— 連邦情報処理標準(FIPS)デジタル署名規格(DSS)186-3で指定されているとおり、256ビット楕円曲線secp256r1を使用して楕円曲線DSA(ECDSA)を使用することを指定します。 -
ecdsa-signatures-384— FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用した ECDSA を使用することを指定します。 -
pre-shared-keys—事前共有鍵(2 つのピア間で共有される秘密鍵)を認証時に使用して、相互にピアを識別するように指定します。各ピアに同じキーを設定する必要があります。これはデフォルトの方法です。 -
rsa-signatures—暗号化とデジタル署名をサポートする公開鍵アルゴリズムを使用することを指定します。 -
ecdsa-signatures-521— 521 ビット楕円曲線 secp521r1 を使用した ECDSA を使用することを指定します。
description description- IKEプロポーザルの説明をテキストで入力します。
dh-group-IKE Diffie-Hellmanグループを指定します。
encryption-algorithm- IKEプロポーザルの暗号化アルゴリズムを設定します。
lifetime-seconds seconds—IKEセキュリティアソシエーション(SA)のライフタイム(秒単位)を指定します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。
-
範囲:180~86,400秒
-
既定:28,800 秒
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ制御—設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で変更されたステートメント。
dh-group group 14 Junos OS リリース 11.1 での および dsa-signatures 追加のサポート。
sha-384ecdsa-signatures-256group19ecdsa-signatures-384group20Junos OS リリース 12.1X45-D10 で追加された 、および group24 オプションのサポート。
ecdsa-signatures-256 Junos OS リリース 12.1X45-D10 で追加された および ecdsa-signatures-384 オプションのサポート。
sha-512パッケージがインストールされたSRX5000シリーズデバイスjunos-ikeのJunos OSリリース19.1R1で追加された、 group21group15group16ecdsa-signatures-521 、および オプションのサポート。
認証アルゴリズム(SH1: hmac-sha1-96)が、電源モード IPSec モードで Junos OS リリース 19.3R1 の vSRX に追加され、通常モードでの既存のサポートと共に追加されました。
group15パッケージがインストールされた Junos OS リリース 20.3R1 on vSRX インスタンスの Junos OS リリース 20.3R1 で追加された 、 group16、 group21 オプションのjunos-ikeサポート。
group15パッケージがインストールされた Junos OS リリース 21.1R1 on vSRX 3.0 インスタンスの Junos OS リリース 21.1R1 で追加された 、 group16group21 、 オプションのjunos-ikeサポート。
certificates IKedプロセスを実行しているUSFモード、SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、およびvSRX3.0で実行されているMX240、MX480、MX960のJunos OSリリース22.4R1で追加されたオプションのサポート。