Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

proposal-set (Security IKE)

Sintaxis

Nivel jerárquico

Descripción

Especifique un conjunto de propuestas predeterminadas de intercambio de claves por red (IKE).

Los prime-128 conjuntos de propuestas y prime-256 requieren IKEv2 y autenticación basada en certificados.

Opciones

  • basic: incluye un conjunto básico de dos propuestas de ICR:

    • Propuesta 1: clave previamente compartida, cifrado estándar de cifrado de datos (DES) y grupo Diffie-Hellman (DH) 1 y autenticación del algoritmo hash seguro 1 (SHA-1).

    • Propuesta 2: clave previamente compartida, cifrado DES y autenticación del grupo DH 1 y síntesis de mensajes 5 (MD5).

  • compatible: incluye un conjunto de cuatro propuestas de ICR de uso común:

    • Propuesta 1: clave previamente compartida, cifrado triple DES (3DES) y grupo Diffie-Hellman (DH) 2 (grupo DH 2) y autenticación SHA-1.

    • Propuesta 2: clave previamente compartida, cifrado 3DES y autenticación DH de los grupos 2 y MD5.

    • Propuesta 3: clave previamente compartida, cifrado DES y autenticación DH de los grupos 2 y SHA-1.

    • Propuesta 4: clave previamente compartida, cifrado DES y autenticación DH de los grupos 2 y MD5.

  • prime-128: proporciona el siguiente conjunto de propuestas (esta opción no se admite en vpNv2 de grupo):

    • Método de autenticación: algoritmo de firma digital de curva elíptica (ECDSA) firmas de 256 bits.

    • Grupo Diffie-Hellman: 19.

    • Algoritmo de cifrado: estándar de cifrado avanzado (AES) Modo galois/contador de 128 bits (GCM).

    • Algoritmo de autenticación: ninguno (AES-GCM proporciona cifrado y autenticación).

    Cuando se usa esta opción, prime-128 también se debe configurar en el nivel de jerarquía [edit security ipsec policy policy-name proposal-set].

  • prime-256: proporciona el siguiente conjunto de propuestas (esta opción no se admite en vpNv2 de grupo):

    • Método de autenticación: firmas DE ECDSA de 384 bits.

    • Grupo Diffie-Hellman: 20.

    • Algoritmo de cifrado: AES GCM de 256 bits.

    • Algoritmo de autenticación: ninguno (AES-GCM proporciona cifrado y autenticación).

    Cuando se usa esta opción, prime-256 también se debe configurar en el nivel de jerarquía [edit security ipsec policy policy-name proposal-set].

  • standard: incluye un conjunto estándar de dos propuestas de ICR:

    • Propuesta 1: clave previamente compartida, cifrado 3DES y autenticación DH de los grupos 2 y SHA-1.

    • Propuesta 2: clave previamente compartida, cifrado AES de 128 bits y autenticación de grupo DH 2 y SHA-1.

  • suiteb-gcm-128: proporciona el siguiente conjunto de propuestas de suite B (esta opción no se admite en VPNv2 del grupo):

    • Método de autenticación: firmas ECDSA de 256 bits

    • Grupo Diffie-Hellman: 19

    • Algoritmo de cifrado: estándar de cifrado avanzado (AES) Modo de contador de Galois de 128 bits (GCM)

      El modo GCM se utiliza en lugar de CBC.

    • Algoritmo de autenticación: SHA-256

  • suiteb-gcm-256: proporciona el siguiente conjunto de propuestas de suite B (esta opción no se admite en VPNv2 del grupo):

    • Método de autenticación: firmas DE ECDSA de 384 bits

    • Grupo Diffie-Hellman: 20

    • Algoritmo de cifrado: AES GCM de 256 bits

      El modo GCM se utiliza en lugar de CBC.

    • Algoritmo de autenticación: SHA-384

Nivel de privilegio requerido

seguridad: para ver esta instrucción en la configuración.

control de seguridad: para agregar esta instrucción a la configuración.

Información de la versión

Instrucción introducida en la versión 8.5 de Junos OS. suiteb-gcm-128 Compatibilidad y suiteb-gcm-256 opciones agregadas en Junos OS versión 12.1X45-D10. prime-128 Compatibilidad y prime-256 opciones agregadas en Junos OS versión 15.1X49-D40.

A partir de junos OS versión 20.2R1, hemos cambiado la descripción del texto de ayuda en cuanto NOT RECOMMENDED a las opciones basicde CLI , compatibley standard.