Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

policy (Security IPsec)

Syntax

Hierarchy Level

Description

Definir una directiva IPsec. Una política de IPsec define una combinación de parámetros de seguridad (propuestas de IPsec) utilizados durante la negociación de IPsec. Define perfect forward secrecy (PFS) y las propuestas necesarias para la conexión.

Options

extensión

Nombre de la directiva IPsec.

descriptiva

Escriba texto descriptivo para una política IPsec.

claves de confidencialidad directa perfectas

Especifique confidencialidad directa perfecta (PFS) como método que utiliza el dispositivo para generar la clave de cifrado. PFS genera cada nueva clave de cifrado de forma independiente de la clave anterior. El dispositivo elimina las SA existentes de IPsec cuando se actualiza perfect-forward-secrecy la configuración en la directiva IPSec.

  • Valores

    • group1— Algoritmo de exponencial modular (MODP) de 768 bits.

    • group2— Algoritmo MODP de 1024 bits.

    • group5— Algoritmo MODP de 1536 bits.

    • group14— grupo MODP de 2048 bits.

    • group15— algoritmo MODP de 3072 bits.

    • group16— Algoritmo MODP de 4096 bits.

    • group19— Módulos de grupos de curva elíptica aleatorios de 256 bits un algoritmo prime (grupos ECP).

    • group20— Algoritmo de grupos ECP aleatorios de 384 bits.

    • group21— Algoritmo de grupos ECP aleatorios de 521 bits.

    • group24— Grupo MODP de 2048 bits con subgrupo de orden principal de 256 bits.

proposal-set

Defina un conjunto de propuestas IPsec predeterminadas.

  • Valores

    • basic: conjunto de propuestas básicas de IPsec. esp-des-sha y esp-des-md5.

      • Protocolo ESP (carga de seguridad de encapsulación)

      • Algoritmo de cifrado: algoritmo de cifrado DES-CBC

      • Algoritmo de autenticación: algoritmo de autenticación SHA1 o MD5

    • compatible: conjunto de propuestas compatibles con IPsec. esp-3des-sha, esp-3des-md5, esp-des-sha y esp-des-md5.

      • Protocolo ESP

      • Algoritmo de cifrado: algoritmo de cifrado 3DES-CBC o DES-CBC

      • Algoritmo de autenticación: algoritmo de autenticación SHA1 o MD5

    • prime-128: proporciona el siguiente conjunto de propuestas:

      • Protocolo ESP (carga de seguridad de encapsulación)

      • Algoritmo de cifrado: modo Galois/Counter estándar de cifrado avanzado (AES-GCM) de 128 bits

      • Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación)

      Esta opción no se admite en VPNv2 de grupo.

    • prime-256: proporciona el siguiente conjunto de propuestas:

      • Protocolo ESP

      • Algoritmo de cifrado: AES-GCM de 256 bits

      • Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación)

      Esta opción no se admite en VPNv2 de grupo.

    • standard— esp-3des-sha y esp-aes128-sha

      • Protocolo ESP

      • Algoritmo de cifrado: algoritmo de cifrado 3DES-CBC o AES-CBC de 128 bits

      • Algoritmo de autenticación: algoritmo de autenticación SHA1

    • suiteb-gcm-128: proporciona el siguiente conjunto de propuestas:

      • Protocolo ESP

      • Algoritmo de cifrado: AES-GCM de 128 bits

      • Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación)

      Esta opción no se admite en VPNv2 de grupo.

    • suiteb-gcm-256: proporciona el siguiente conjunto de propuestas:

      • Protocolo ESP

      • Algoritmo de cifrado: AES-GCM de 256 bits

      • Algoritmo de autenticación: ninguna (AES-GCM proporciona tanto cifrado como autenticación)

      Esta opción no se admite en VPNv2 de grupo.

proposals proposal-name

Especifique hasta cuatro propuestas de fase 2 para una política IPsec. Si incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.

Las propuestas se evalúan en el orden en que aparecen en la lista, de arriba abajo, así que especifique la prioridad más alta primero, seguida de la siguiente prioridad más alta, y así sucesivamente.

Required Privilege Level

seguridad: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Release Information

Instrucción modificada en Junos OS versión 8,5.

La compatibilidad con el grupo 14 se agrega en Junos OS versión 11,1.

Compatibilidad con group14 las opciones agregadas en Junos OS versión 11,1.

Soporte para group19, group20y group24 opciones agregadas en Junos os de la versión 12.1 x45-D10.

group15, group16 y las opciones group21 introducidas en Junos OS versión 19.1R1 dispositivos serie SRX.

Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10. Soporte para prime-128 y prime-256 opciones agregadas en Junos os Release 15.1 x49-D40.

A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones NOT RECOMMENDEDgroup1group2 CLI, group5 y group14 .