Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

authentication-algorithm

Syntax

Hierarchy Level

Description

Настройте тип алгоритма аутентификации.

Прим.:

При настройке алгоритма аутентификации в предложении IPsec помните следующее:

  • Когда оба конца ТУННЕЛЯ IPsec VPN содержат одно и то же IKE, но разные предложения IPsec, возникает ошибка, и туннель не установлен в этом сценарии. Например, если один конец туннеля содержит маршрутизатор 1, настроенный с помощью алгоритма аутентификации как hmac-sha-256-128, а другой конец туннеля содержит маршрутизатор 2, настроенный с помощью алгоритма аутентификации как hmac-md5-96, ТУННЕЛЬ VPN не установлен.

  • Когда оба конца туннеля IPsec VPN содержат одно и то же предложение IKE но разные предложения IPsec, а когда один конец туннеля содержит два предложения IPsec, чтобы проверить, выбран ли менее защищенный алгоритм или нет, возникает ошибка и туннель не установлен. Например, если настроить два алгоритма аутентификации для предложения IPsec как hmac-sha-256-128 и hmac-md5-96 на одном конце туннеля, маршрутизатор 1, и если настроить алгоритм для предложения IPsec как hmac-md5-96 на другом конце туннеля, маршрутизатор 2, туннель не будет установлен и число предложений не будет установлено.

  • При настройке двух предложений IPsec на обоих концах туннеля, таких как и утверждения на уровне иерархии на одном authentication-algorithm hmac-sha-256-128authentication- algorithm hmac-md5-96 из туннелей, маршрутизатор 1 (с алгоритмами в двух последовательных утверждениях для указания порядка), а также а также утверждения на уровне иерархии на одном из туннелей [edit services ipsec-vpn ipsec proposal proposal-name]authentication-algorithm hmac-md5-96authentication- algorithm hmac-sha-256-128 маршрутизатора 2 (с помощью алгоритмов в двух последовательных утверждениях для указания порядка, которым является обратный порядок маршрутизатора [edit services ipsec-vpn ipsec proposal proposal-name] 1), туннель устанавливается в эту комбинацию, как и ожидалось, поскольку число предложений на обоих концах одинаково и содержит один и тот же набор алгоритмов. Однако выбранный алгоритм аутентификации - hmac-md5-96, а не более сильного алгоритма hmac-sha-256-128. Этот способ выбора алгоритма возникает из-за того, что выбирается первое предложение со совпадением. Кроме того, для предложения по умолчанию, независимо от того, поддерживает ли маршрутизатор алгоритм шифрования Advanced Encryption Standard (AES), выбирается алгоритм 3des-cbc, а не алгоритм aes-cfb, который был из-за первого алгоритма в выбранном предложении по умолчанию. В примере сценария, описанного здесь, на маршрутизаторе 2, если изменить порядок конфигурации алгоритма в предложении, чтобы он был тем же порядке, что и определенный на маршрутизаторе 1, в качестве метода аутентификации выбран hmac-sha-256-128.

  • Необходимо знать порядок предложений в политике IPsec во время настройки, если необходимо, чтобы совпадение предложений происходило в определенном порядке предпочтения, например, самый мощный алгоритм, который следует учитывать при совпадении, когда обе политики от двух одноранговых сторон имеют предложение.

Options

algorithm— Укажите один из следующих типов алгоритмов аутентификации:

  • aes-128-cmac-96- Код аутентификации сообщений на основе шифра (AES128, 96 бит).

  • hmac-sha-1-96—Код аутентификации сообщений на основе хеширования (SHA1, 96 бит).

  • md5— Дайджест сообщений 5.

  • По умолчанию: hmac-sha-1-96

    Прим.:

    Значение по умолчанию не отображается в выходных данных команды, если не настроены ключ или show bgp bmp цепочка ключей.

Required Privilege Level

routing — для просмотра этого утверждения в конфигурации.

routing-control — добавление этого утверждения в конфигурацию.

Release Information

Утверждение, представленная Junos OS версии 7.6.

Утверждение, введенная BGP в Junos OS 8.0.

Утверждение, введенная для BMP Junos OS в 13.2X51-D15 для серия QFX.

Утверждение, введенная для BMP Junos OS версии 13.3.