Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

policy (Security IKE)

Sintaxis

Nivel de jerarquía

Descripción

Las políticas de ICR definen una combinación de parámetros de seguridad (propuestas de IKE) que se usarán durante la negociación de IKE, incluyendo la dirección del par, la clave previamente compartida para el par dado y las propuestas necesarias para esa conexión. Durante la negociación de IKE, IKE busca una política de IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto intenta encontrar una coincidencia.

Las propuestas de ICR en la policy declaración se evalúan en orden de lista, de arriba a abajo, de modo que al crear la política, especifique primero la propuesta de prioridad más alta, seguida de la siguiente prioridad más alta, y así sucesivamente.

Opciones

policy-name—Nombre de la política de ICR. El nombre de política puede tener hasta 32 caracteres alfanuméricos.

certificate: especifique el uso de un certificado digital para autenticar al iniciador y al destinatario de la red privada virtual (VPN).

description description: especifique la descripción de la política de ICR.

mode— Defina el modo utilizado para las negociaciones de fase 1 del intercambio de claves por internet (IKE). Utilice el modo agresivo solo cuando necesite iniciar un intercambio de claves IKE sin protección de ID, como cuando una unidad par tiene una dirección IP asignada dinámicamente. El protocolo IKEv2 no negocia el uso de la configuración del modo. El dispositivo elimina las SA IKE e IPsec existentes cuando actualiza la mode configuración en la política de IKE.

  • aggressive— Modo agresivo.

  • main— Modo principal. El modo principal es el método de intercambio de claves recomendado, ya que oculta las identidades de las partes durante el intercambio de claves.

    No se admite la mode main configuración para miembros o servidores VPN de grupo cuando la puerta de enlace remota tiene una dirección dinámica y el método de autenticación es pre-shared-keys.

pre-shared-key— Defina una clave previamente compartida para una política de IKE. El dispositivo elimina las SA IKE e IPsec existentes cuando actualiza la pre-shared-key configuración en la política de IKE.

  • ascii-text key— Especifique una cadena de 1 a 255 caracteres de texto ASCII para la clave. Para incluir los caracteres ( ) [ ] ! & ? | especiales, encierre toda la cadena de teclas o el carácter especial entre comillas; por ejemplo “str)ng” , o str”)”ng. No se permite otro uso de comillas dentro de la cadena. Con des-cbc el cifrado, la clave contiene 8 caracteres ASCII. Con 3des-cbc el cifrado, la clave contiene 24 caracteres ASCII.

  • hexadecimal key— Especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos 0 hexadecimales a través 9de , o letras a a través f o A a través de F. Con des-cbc el cifrado, la clave contiene 16 caracteres hexadecimales. Con 3des-cbc el cifrado, la clave contiene 48 caracteres hexadecimales.

seeded-pre-shared-key— Defina una clave seed precompartida en formato ASCII o hexadecimal para una política IKE. Es seeded-pre-shared-key una clave maestra que se utiliza para generar el pre-shared-key para los pares. Por lo tanto, cada par tendrá diferentes pre-shared-key. La ventaja de esta opción es que cada conexión de par a la puerta de enlace tendrá una clave precompartida diferente, por lo que si uno de los pares pre-shared-key se ve afectado, los otros pares no se verán afectados.

Las claves par precompartidas se generan mediante la clave maestra configurada como seeded-pre-shared-key y compartida entre los pares. Para ver la clave precompartida del par, ejecute el show security ike pre-shared-key comando, comparta y configure la clave previamente compartida que se muestra en el dispositivo del par como clave precompartida (en formato ASCII). La clave maestra solo se configura en el dispositivo de puerta de enlace y no se comparte con ningún par.

Puede recuperar la clave par previamente compartida mediante el show security ike pre-shared-key user-id peer ike-id master-key master key comando or show security ike pre-shared-key user-id peer ike-id gateway gateway name .

  • ascii-text key— Configure una cadena de 1 a 255 caracteres de texto ASCII para la clave. Para incluir los caracteres ( ) [ ] ! & ? | especiales, encierre toda la cadena de teclas o el carácter especial entre comillas; por ejemplo “str)ng” , o str”)”ng. No se permite otro uso de comillas dentro de la cadena.

  • hexadecimal key— Especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los caracteres deben ser dígitos 0 hexadecimales a través 9de , o letras a a través f o A a través de F.

proposal-set— Especifique un conjunto de propuestas predeterminadas de intercambio de claves por internet (IKE).

proposals proposal-name: especifique hasta cuatro propuestas de fase 1 para una política de IKE. Si incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.

reauth-frequency number: configure la frecuencia de reautenticación para activar una nueva reautenticación IKEv2. La reautenticación crea una nueva SA de IKE, crea nuevas SA secundarias dentro de la SA de IKE y, luego, elimina la SA de IKE antigua. Esta opción está deshabilitada de forma predeterminada. una de las reenclaves de ICR que se produce antes de que se produzca la reautoentificación. Si reauth-frequency es 1, la reautoentificación se produce cada vez que hay una rekey de ICR. Si reauth-frequency es 2, la reautenticación se produce en todas las demás rekey de ICR. Si reauth-frequency es 3, la reautoentificación se produce en cada tercera rekey de ICR.

  • Predeterminado: 0 (deshabilitar)

  • Gama: 0-100

Nivel de privilegio requerido

security: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Información de versión

Instrucción modificada en Junos OS versión 8.5.

Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos OS versión 12.1X45-D10.

Compatibilidad con la policy-oids opción agregada en Junos OS versión 12.3X48-D10.

Compatibilidad con la trusted-ca opción agregada en la versión 18.1R1 de Junos OS.

Compatibilidad con la reauth-frequency opción agregada en Junos OS versión 15.1X49-D60.

Compatibilidad con la seeded-pre-shared-key opción agregada en la versión 21.1R1 de Junos OS.

Temas relacionados