Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IKE)

Syntax

Hierarchy Level

Description

ICR políticas definen una combinación de parámetros de seguridad (propuestas ICR de ICR) que se usarán durante una negociación, incluida la dirección par, la clave previamente compartida para el par determinado y las propuestas necesarias para esa conexión. Durante la ICR, ICR busca una política de ICR que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto intenta encontrar una coincidencia.

ICR propuestas en la instrucción se evalúan en orden de lista, de arriba a abajo, por lo que al crear la política, especifique primero la propuesta de prioridad más alta, seguida de la siguiente prioridad más alta, y así policy sucesivamente.

Options

policy-name: nombre de la ICR política. El nombre de la Directiva puede tener hasta 32 caracteres alfanuméricos.

certificate: permite especificar el uso de un certificado digital para autenticar al iniciador y al destinatario de la red privada virtual (VPN).

description description: especifique la descripción de ICR política.

mode: permite definir el modo utilizado para Intercambio de claves por red (ICR) de fase 1. Use el modo de borrado solo cuando necesite iniciar un intercambio de claves ICR sin protección de ID, como cuando una unidad del mismo nivel tiene asignada dinámicamente una dirección IP. El protocolo IKEv2 no negocia el uso de la configuración del modo. El dispositivo elimina las asociaciones de ICR e IPsec existentes cuando actualiza la mode configuración en la Directiva ICR.

  • aggressive— Modo agresivo.

  • main: modo principal. El modo principal es el método recomendado de intercambio de claves, ya que oculta las identidades de las partes durante el intercambio de claves.

    No mode main se admite la configuración de miembros o servidores VPN de grupo cuando la puerta de enlace remota tiene una dirección dinámica y pre-shared-keysel método de autenticación es.

pre-shared-key: defina una clave previamente compartida para una política ICR común. El dispositivo elimina las asociaciones de ICR e IPsec existentes cuando actualiza la pre-shared-key configuración en la Directiva ICR.

  • ascii-text key: especifique una cadena de 1 a 255 caracteres de texto ASCII para la clave. @ + Caracteres - o = no están permitidos. Para ( ) [ ] { incluir los } caracteres , especiales, escriba toda la cadena de tecla o bien el carácter especial entre comillas ; ; por ejemplo “str)ng” , str”)”ngo. No se permite el uso de comillas dentro de la cadena. Con des-cbc el cifrado, la clave contiene 8 caracteres ASCII. Con 3des-cbc el cifrado, la clave contiene 24 caracteres ASCII.

  • hexadecimal key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos 0 hexadecimales 9a través a de f , A o Fletras a o through. Con des-cbc el cifrado, la clave contiene 16 caracteres hexadecimales. Con 3des-cbc el cifrado, la clave contiene 48 caracteres hexadecimales.

seeded-pre-shared-key: defina una clave precompartida seed en formato ASCII o hexadecimal para una política ICR común. La seeded-pre-shared-key es una clave maestra que se utiliza para generar el para los pre-shared-key pares. Por lo tanto, cada par tendrá pre-shared-key diferente. La ventaja de esta opción es que cada conexión de par a puerta de enlace tendrá una clave previamente compartida diferente, por lo que si uno de los pares está comprometido, entonces los otros pares no se verán pre-shared-key afectados.

Las claves par previamente compartidas se generan mediante la clave maestra configurada como seeded-pre-shared-key y compartida entre los pares. Para ver la clave previamente compartida del par, ejecute el comando, comparta y configure la clave previamente compartida mostrada en el dispositivo del par como clave previamente compartida show security ike pre-shared-key (en formato ASCII). La clave maestra solo está configurada en el dispositivo de puerta de enlace y no se comparte con ningún par.

Puede recuperar la clave par previamente compartida mediante el show security ike pre-shared-key user-id peer ike-id master-key master key comando show security ike pre-shared-key user-id peer ike-id gateway gateway name o.

  • ascii-text-key: configure una cadena de 1 a 255 caracteres de texto ASCII para la clave. @ + Caracteres - o = no están permitidos. Para ( ) [ ] { incluir los } caracteres , especiales, escriba toda la cadena de tecla o bien el carácter especial entre comillas ; ; por ejemplo “str)ng” , str”)”ngo. No se permite el uso de comillas dentro de la cadena.

  • hexadecimal-key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos 0 hexadecimales 9a través a de f , A o Fletras a o through.

proposal-set: especifique un conjunto de propuestas Intercambio de claves por red predeterminadas (ICR).

proposals proposal-name: especifique hasta cuatro propuestas de fase 1 para una ICR política. Si incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.

reauth-frequency number: configure la frecuencia de reauteticación para activar una nueva reauteticación IKEv2. La reautenticación crea una nueva SA ICR, crea nuevas SA secundarias en el ICR SA y, a continuación, elimina la antigua ICR SA. Esta opción está deshabilitada de forma predeterminada. umber de ICR de claves que se producen antes de que se produzca la reauauticación. Si reauth-frequency es 1así, la nueva autenticación se ejecuta cada vez que se produce una regeneración de claves de ICR. Si reauth-frequency es 2así, la nueva autenticación se produce en todos los demás ICR las claves de regeneración. Si reauth-frequency es 3así, la nueva autenticación se produce cada tres ICR regeneración de claves.

  • Predeterminada 0 (deshabilitar)

  • Varían 0-100

Required Privilege Level

seguridad: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Release Information

Instrucción modificada en Junos OS versión 8,5.

Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10.

Compatibilidad con policy-oids la opción agregada en Junos os versión 12.3 X48-D10.

Soporte para trusted-ca la opción añadida en Junos os versión 18.1 R1.

Compatibilidad con reauth-frequency la opción agregada en Junos OS versión 15.1X49-D60.

Compatibilidad con seeded-pre-shared-key la opción agregada en Junos OS versión 21.1R1.