Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

proposal (Security IPsec)

Sintaxis

Nivel jerárquico

Descripción

Defina una propuesta IPsec. Una propuesta IPsec enumera los protocolos y algoritmos (servicios de seguridad) que se negociarán con el par IPsec remoto.

Opciones

proposal-name

Nombre de la propuesta IPsec.
authentication-algorithm

Configure el algoritmo de autenticación IPsec. El algoritmo de autenticación es el algoritmo hash que autentica los datos del paquete. Puede ser uno de seis algoritmos:

  • Valores:

    El algoritmo hash para autenticar datos puede ser uno de los siguientes:

    • hmac-md5-96: produce un resumen de 128 bits.

    • hmac-sha-256-128: proporciona autenticación de origen de datos y protección de la integridad. Esta versión del autenticador hmac-sha-256 produce un resumen de 256 bits y especifica el truncamiento a 128 bits.

    • hmac-sha1-96: algoritmo hash que autentica los datos de los paquetes. Produce un digest de 160 bits. Sólo se utilizan 96 bits para la autenticación.

    • hmac-sha-512: produce un resumen de 512 bits.

    • hmac-sha-384: produce un resumen de 384 bits.

    • hmac-sha-256-96—Algoritmo de autenticación HMAC-SHA-256-96 (no compatible con RFC)
description

Descripción textual de la propuesta IPsec
encryption-algorithm

Definir algoritmo de cifrado. El dispositivo elimina las SA de IPsec existentes al actualizar la encryption-algorithm configuración en la propuesta de IPsec.

  • Valores:

    • 3des-cbc—Algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un tamaño de clave de 192 bits.

    • aes-128-cbc—Algoritmo de cifrado AES de 128 bits (Advanced Encryption Standard).

    • aes-128-gcm—Algoritmo de cifrado AES Galois/Counter Mode (GCM) de 128 bits.

      Para una propuesta IKE, el algoritmo de cifrado autenticado AES de 128 bits solo es compatible con IKEv2. Cuando se utiliza esta opción, aes-128-gcm debe configurarse en el nivel de jerarquía [edit security ipsec proposal proposal-name] y la authentication-algorithm opción no debe configurarse en el nivel de jerarquía [edit security ike proposal proposal-name].

      aes-192-gcmCuando aes-128-gcmse configuran , o aes-256-gcm algoritmos de cifrado en la propuesta IPsec, no es obligatorio configurar el algoritmo de cifrado AES-GCM en la propuesta de IKE correspondiente.

    • aes-192-cbc—Algoritmo de cifrado AES de 192 bits.

    • aes-192-gcm—Algoritmo de cifrado AES GCM de 192 bits.

    • aes-256-cbc—Algoritmo de cifrado AES de 256 bits.

    • aes-256-gcm—Algoritmo de cifrado AES GCM de 256 bits.

      Para una propuesta IKE, el algoritmo de cifrado autenticado AES de 256 bits solo es compatible con IKEv2. Cuando se utiliza esta opción, aes-256-gcm debe configurarse en el nivel de jerarquía [edit security ipsec proposal proposal-name] y la authentication-algorithm opción no debe configurarse en el nivel de jerarquía [edit security ike proposal proposal-name].

    • des-cbc—Algoritmo de cifrado con tamaño de bloque de 8 bytes (64 bits) y tamaño de clave de 48 bits.
extended-sequence-number

Use la opción para habilitar la extended-sequence-number compatibilidad con ESN. ESN permite que IPsec use números de secuencia de 64 bits para el número de secuencia. Si ESN no está habilitado, se usará el número de secuencia de 32 bits de forma predeterminada. Asegúrese de que ESN no esté habilitado cuando la antirreproducción esté deshabilitada.
lifetime-kilobytes

Especifique la duración (en kilobytes) de una asociación de seguridad (SA) IPsec. Si esta instrucción no está configurada, el número de kilobytes utilizados para la duración de SA es ilimitado.

  • Rango: 64 a 4.294.967.294 kilobytes
lifetime-seconds

Vida útil en segundos.

  • Rango: 180 a 86400

  • Valor predeterminado: 3600 segundos
protocol

Defina el protocolo IPsec para una asociación de seguridad (SA) manual o dinámica.

  • Valores:

    • ah: encabezado de autenticación

    • esp: encabezado de carga de seguridad encapsulada

Nivel de privilegio requerido

security: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Información de la versión

Declaración introducida antes de Junos OS versión 7.4.

extended-sequence-number introducido en Junos OS versión 19.4R1.

A partir de Junos OS versión 20.2R1, hemos cambiado la descripción del texto de ayuda en cuanto NOT RECOMMENDED a las opciones hmac-md5-96de CLI , 3des-cbchmac-sha1-96, y des-cbc para los dispositivos que ejecutan el proceso iked con junos-ike el paquete instalado.

hmac-sha-512 y hmac-sha-384 opciones introducidas en Junos OS versión 19.1R1 en SRX5000 línea de dispositivos con tarjeta SRX5K-SPC3.

Compatibilidad con aes-128-gcm, aes-192-gcmy aes-256-gcm opciones agregadas en Junos OS versión 15.1X49-D70 para firewall virtual vSRX.

Compatibilidad con aes-128-gcm, aes-192-gcmy aes-256-gcm opciones agregadas en Junos OS versión 12.1X45-D10.

Compatibilidad con hmac-sha-256-128 dispositivos agregados a SRX5400, SRX5600 y SRX5800 en Junos OS versión 12.1X46-D20.

 lifetime-kilobytes La compatibilidad con la opción con VPN IPsec que ejecuta el proceso iked se agregó en la versión 23.4R1 de Junos OS.

Documentación relacionada