authentication-algorithm
Sintaxis
authentication-algorithm algorithm;
Nivel de jerarquía
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
Descripción
Configure un tipo de algoritmo de autenticación.
Tenga en cuenta los siguientes puntos cuando configure el algoritmo de autenticación en una propuesta de IPsec:
Cuando ambos extremos de un túnel VPN de IPsec contienen la misma propuesta de IKE pero diferentes propuestas de IPsec, se produce un error y el túnel no se establece en este escenario. Por ejemplo, si un extremo del túnel contiene el enrutador 1 configurado con el algoritmo de autenticación como hmac-sha- 256-128 y el otro extremo del túnel contiene el enrutador 2 configurado con el algoritmo de autenticación como hmac-md5-96, el túnel VPN no se establece.
Cuando ambos extremos de un túnel VPN IPsec contienen la misma propuesta de ICR pero diferentes propuestas de IPsec y cuando un extremo del túnel contiene dos propuestas de IPsec para comprobar si está seleccionado o no un algoritmo menos seguro, se produce un error y no se establece el túnel. Por ejemplo, si configura dos algoritmos de autenticación para una propuesta IPsec como hmac-sha-256-128 y hmac-md5-96 en un extremo del túnel, el enrutador 1, y si configura el algoritmo para una propuesta de IPsec como hmac-md5-96 en el otro extremo del túnel, enrutador 2, el túnel no está establecido y el número de propuestas no coincide.
Cuando se configuran dos propuestas de IPsec en ambos extremos de un túnel, como las
authentication-algorithm hmac-sha-256-128instrucciones yauthentication- algorithm hmac-md5-96en el[edit services ipsec-vpn ipsec proposal proposal-name]nivel jerárquico en uno de los túneles, el enrutador 1 (con los algoritmos en dos instrucciones sucesivas para especificar el orden) y lasauthentication-algorithm hmac-md5-96instrucciones yauthentication- algorithm hmac-sha-256-128en el[edit services ipsec-vpn ipsec proposal proposal-name]nivel jerárquico en uno de los túneles, enrutador 2 (con los algoritmos en dos instrucciones sucesivas para especificar el orden, que es el orden inverso del enrutador 1), el túnel se establece en esta combinación como se esperaba porque el número de propuestas es el mismo en ambos extremos y contienen el mismo conjunto de algoritmos. Sin embargo, el algoritmo de autenticación seleccionado es hmac-md5-96 y no el algoritmo más fuerte de hmac-sha-256-128. Este método de selección del algoritmo se produce porque se selecciona la primera propuesta coincidente. Además, para una propuesta predeterminada, independientemente de si el enrutador admite el algoritmo de cifrado de estándar de cifrado avanzado (AES), se elige el algoritmo 3des-cbc y no el algoritmo aes-cfb, que se debe al primer algoritmo de la propuesta predeterminada seleccionado. En el caso de ejemplo descrito aquí, en el enrutador 2, si invierte el orden de la configuración del algoritmo en la propuesta para que sea el mismo orden que el especificado en el enrutador 1, hmac-sha-256-128 se selecciona como método de autenticación.Debe tener en cuenta el orden de las propuestas de una política de IPsec en el momento de la configuración, si desea que la coincidencia de propuestas se produzca en un determinado orden de preferencia, como el algoritmo más fuerte que se debe considerar primero cuando se hace una coincidencia cuando ambas políticas de los dos pares tienen una propuesta.
Opciones
algorithm—Especifique uno de los siguientes tipos de algoritmos de autenticación:
aes-128-cmac-96—Código de autenticación de mensajes basado en cifrado (AES128, 96 bits).hmac-sha-1-96—Código de autenticación de mensajes basado en hash (SHA1, 96 bits).md5—Resumen del mensaje 5.
Predeterminado:
hmac-sha-1-96Nota:El valor predeterminado no se muestra en el resultado del
show bgp bmpcomando a menos que también se configure una clave o una cadena de claves.
Nivel de privilegio requerido
enrutamiento: para ver esta instrucción en la configuración.
enrutamiento-control: para agregar esta instrucción a la configuración.
Información de versión
Declaración introducida en la versión 7.6 de Junos OS.
Declaración introducida para BGP en Junos OS versión 8.0.
Declaración presentada para BMP en junos OS versión 13.2X51-D15 para la serie QFX.
Declaración introducida para BMP en junos OS versión 13.3.