Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

proposal (Security IPsec)

Syntax

Hierarchy Level

Description

Definir una propuesta de IPsec. Una propuesta de IPsec enumera protocolos y algoritmos (servicios de seguridad) que se negociarán con el par IPsec remoto.

Options

nombre de la propuesta

Nombre de la propuesta IPsec.

algoritmo de autenticación

Configure el algoritmo de autenticación IPsec. El algoritmo de autenticación es el algoritmo hash que autentica los datos del paquete. Puede ser uno de seis algoritmos:

  • Valores

    El algoritmo hash para autenticar datos puede ser uno de los siguientes:

    • hmac-md5-96: produce un resumen de 128 bits.

    • hmac-sha-256-128: proporciona autenticación de origen de datos y protección de la integridad. Esta versión del autenticador HMAC-SHA-256 produce un resumen de 256 bits y especifica el truncamiento en los bits 128.

    • hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce un resumen de 160 bits. Para la autenticación, solo se utilizan 96 bits.

    • hmac-sha-512: produce un resumen de 512 bits.

    • hmac-sha-384: produce un resumen de 384 bits.

    • hmac-sha-256-96— Algoritmo de autenticación HMAC-SHA-256-96 (no compatible con RFC)

descriptiva

Descripción de texto de la propuesta de IPsec

algoritmo de cifrado

Defina un algoritmo de cifrado. El dispositivo elimina las asociaciones de IPsec existentes cuando se actualiza encryption-algorithm la configuración en la propuesta IPSec.

  • Valores

    • 3des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un tamaño de clave de 192 bits.

    • aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).

    • aes-128-gcm— Algoritmo de cifrado de 128 bits en modo Galois/Modo contador (GCM) AES.

      Para una ICR propuesta, el algoritmo de cifrado autenticado de AES de 128 bits solo se admite con IKEv2. Cuando se utiliza esta opción, aes-128-gcm debe configurarse en eledit security ipsec proposal proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].

      Cuando , o algoritmos de cifrado se configuran en la propuesta de IPsec, no es obligatorio configurar el algoritmo de cifrado aes-128-gcmaes-192-gcm AES-GCM en la propuesta de aes-256-gcm ICR correspondiente.

    • aes-192-cbc— Algoritmo de cifrado AES de 192 bits.

    • aes-192-gcm— Algoritmo de cifrado AES GCM de 192 bits.

    • aes-256-cbc— Algoritmo de cifrado AES de 256 bits.

    • aes-256-gcm— Algoritmo de cifrado AES GCM de 256 bits.

      Para una ICR propuesta, el algoritmo de cifrado autenticado de AES de 256 bits solo se admite con IKEv2. Cuando se utiliza esta opción, aes-256-gcm debe configurarse en eledit security ipsec proposal proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].

    • des-cbc: algoritmo de cifrado con un tamaño de bloque de 8 bytes (64 bits) y un tamaño de clave de 48 bits.

número de secuencia extendida

Utilice la extended-sequence-number opción para habilitar la compatibilidad con ESN. ESN permite a IPsec utilizar números de secuencia de 64 bits para el número de secuencia. Si ESN no está habilitado, se utilizará el número de secuencia de 32 bits de forma predeterminada. Asegúrese de que ESN no está habilitado cuando la opción anti-Replay está desactivada.

duración: kilobytes

Especifique la duración (en kilobytes) de una asociación de seguridad IPsec (SA). Si esta instrucción no está configurada, el número de kilobytes utilizados para la vigencia de la SA es ilimitado.

  • Varían 64 a 1.048.576 kilobytes

segundos de vida útil

Duración en segundos.

  • Varían del 180 al 86400

  • Predeterminada 3600 segundos

Protocolo

Definir el protocolo IPsec para un manual o asociación de seguridad dinámica (SA).

  • Valores

    • ah: encabezado de autenticación

    • esp: encabezado Carga de seguridad encapsulada

Required Privilege Level

seguridad: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Release Information

Declaración presentada antes Junos OS versión 7,4.

extended-sequence-number que se introduce en la Junos OS versión 19.4R1.

A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones NOT RECOMMENDEDhmac-md5-96hmac-sha1-96 CLI, 3des-cbc y des-cbc .

hmac-sha-512y hmac-sha-384 las opciones introducidas en Junos os versión 19.1 R1 en la línea de SRX5000 de los dispositivos con SRX5K-SPC3 Card.

Compatibilidad con aes-128-gcmlas aes-192-gcmopciones, aes-256-gcm y, que se agregan en Junos os versión 15.1-D70 para vSRX.

Soporte para aes-128-gcm, aes-192-gcmy aes-256-gcm opciones agregadas en Junos os de la versión 12.1 x45-D10.

Compatibilidad con hmac-sha-256-128 dispositivos agregados a SRX5400, SRX5600 y SRX5800 en Junos os versión 12.1 X46-D20.