Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Sintaxis

Nivel jerárquico

Descripción

Las políticas de ICR definen una combinación de parámetros de seguridad (propuestas de ICR) que se utilizarán durante la negociación de IKE, incluida la dirección par, la clave previamente compartida para el par dado y las propuestas necesarias para esa conexión. Durante la negociación de IKE, IKE busca una política IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto, y el par remoto intenta encontrar una coincidencia.

Las propuestas de ICR en la policy instrucción se evalúan en orden de lista, de arriba abajo, por lo que al crear la política, especifique primero la propuesta de prioridad más alta, seguida de la siguiente prioridad más alta, y así sucesivamente.

Opciones

policy-name— Nombre de la política de IKE. El nombre de la política puede tener hasta 32 caracteres alfanuméricos.

certificate: especifique el uso de un certificado digital para autenticar al iniciador y al destinatario de la red privada virtual (VPN).

description description: especifique la descripción de la política de IKE.

mode: defina el modo utilizado para las negociaciones de fase 1 del intercambio de claves por red (IKE). Utilice el modo agresivo solo cuando necesite iniciar un intercambio de claves IKE sin protección de ID, como cuando una unidad par tiene una dirección IP asignada dinámicamente. El protocolo IKEv2 no negocia el uso de la configuración del modo. El dispositivo elimina las SA IKE e IPsec existentes cuando actualiza la mode configuración en la política IKE.

  • aggressive— Modo agresivo.

  • main— Modo principal. El modo principal es el método de intercambio de claves recomendado porque oculta las identidades de las partes durante el intercambio de claves.

    mode main La configuración para servidores VPN de grupo o miembros no se admite cuando la puerta de enlace remota tiene una dirección dinámica y el método de autenticación es pre-shared-keys.

pre-shared-key: permite definir una clave previamente compartida para una política de IKE. El dispositivo elimina las SA IKE e IPsec existentes cuando actualiza la pre-shared-key configuración en la política IKE.

  • ascii-text key: especifique una cadena de 1 a 255 caracteres de texto ASCII para la clave. Para incluir los caracteres ( ) [ ] ! & ? | especiales, incluya toda la cadena de clave o el carácter especial entre comillas; por ejemplo “str)ng” o str”)”ng. No se permite otro uso de comillas dentro de la cadena. Con des-cbc el cifrado, la clave contiene 8 caracteres ASCII. Con 3des-cbc el cifrado, la clave contiene 24 caracteres ASCII.

  • hexadecimal key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos hexadecimales 0 a través 9de , o letras a a través f o A a través Fde . Con des-cbc el cifrado, la clave contiene 16 caracteres hexadecimales. Con 3des-cbc el cifrado, la clave contiene 48 caracteres hexadecimales.

seeded-pre-shared-key: permite definir una clave previamente compartida en formato ASCII o hexadecimal para una política IKE. La seeded-pre-shared-key es una clave maestra que se utiliza para generar el pre-shared-key para los pares. Por lo tanto, cada par tendrá diferentes pre-shared-key. La ventaja de esta opción es que cada conexión par a puerta de enlace tendrá distinta clave previamente compartida, por lo que si uno de los pares pre-shared-key está comprometido, entonces los otros pares no se verán afectados.

Las claves previamente compartidas del par se generan mediante la clave maestra configurada como seeded-pre-shared-key y compartida entre los pares. Para ver la clave precompartida del par, ejecute el show security ike pre-shared-key comando, comparta y configure la clave previamente compartida mostrada en el dispositivo del par como clave previamente compartida (en formato ASCII). La clave maestra solo se configura en el dispositivo de puerta de enlace y no se comparte con ningún par.

Puede recuperar la clave previamente compartida del par mediante el show security ike pre-shared-key user-id peer ike-id master-key master key comando o show security ike pre-shared-key user-id peer ike-id gateway gateway name .

  • ascii-text key: configure una cadena de 1 a 255 caracteres de texto ASCII para la clave. Para incluir los caracteres ( ) [ ] ! & ? | especiales, incluya toda la cadena de clave o el carácter especial entre comillas; por ejemplo “str)ng” o str”)”ng. No se permite otro uso de comillas dentro de la cadena.

  • hexadecimal key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos hexadecimales 0 a través 9de , o letras a a través f o A a través Fde .

proposal-set: especifique un conjunto de propuestas predeterminadas de intercambio de claves por red (IKE).

proposals proposal-name: especifique hasta cuatro propuestas de fase 1 para una política de ICR. Si incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.

reauth-frequency number: configure la frecuencia de reautorización para activar una nueva reautorización IKEv2. La reautorización crea una nueva SA de IKE, crea nuevas SA secundarias dentro de la SA de IKE y, a continuación, elimina la SA de IKE antigua. Esta opción está deshabilitada de forma predeterminada. umber de las claves de IKE que se producen antes de que se produzca la reautorización. Si reauth-frequency es 1, la reautorización se produce cada vez que hay una reclave de IKE. Si reauth-frequency es 2, la reautorización se produce en cada otra reclave de IKE. Si reauth-frequency es 3, la reautorización se produce en cada tercera reclave de IKE.

  • Predeterminado: 0 (deshabilitar)

  • Gama: 0-100

Nivel de privilegio requerido

seguridad: para ver esta instrucción en la configuración.

control de seguridad: para agregar esta instrucción a la configuración.

Información de la versión

Instrucción modificada en la versión 8.5 de Junos OS.

suiteb-gcm-128 Compatibilidad y suiteb-gcm-256 opciones agregadas en Junos OS versión 12.1X45-D10.

Compatibilidad con la policy-oids opción agregada en Junos OS versión 12.3X48-D10.

Compatibilidad con la trusted-ca opción agregada en Junos OS versión 18.1R1.

Compatibilidad con la reauth-frequency opción agregada en junos OS versión 15.1X49-D60.

Compatibilidad con la seeded-pre-shared-key opción agregada en la versión 21.1R1 de Junos OS.