Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

了解扩展序列号(ESN)

 

从 Junos OS Release 19.4 R1 开始,在 SRX5400、SRX5600 和 SRX5600 设备上使用 SPC3,扩展序列号(ESN)提供从用于序列号的默认32位序列号启用64位的能力。当设备的顺序不正确时,将会重新生成安全关联。

可以为每个 IPsec VPN 启用扩展序列号(ESN),以便 VPN 使用扩展序列号,两个节点必须一致同意它们能够使用 ESN。

ESN 是在 IPsec 建议下手动配置的。

您可以使用set extended-sequence-numberedit security ipsec proposal proposal-name级别的命令启用 ESN。

ESN 支持:

  • IPv4 和 IPv6 数据包

  • AH 和 ESP 协议

  • 独立的机密性和完整性算法(数据平面中的封装/和解封装)

  • 组合的机密性和完整性算法(数据平面中的封装/和解封装)

  • PowerMode IPsec

  • 确定序列号的较高序位(Seqh)

  • 使用64位序列号管理和使用反重播窗口

配置 ESN 时,在隧道建立期间会发送 ESN 的转换值1,以指示我们意图使用 ESN。如果对等方响应1,则将使用 ESN,如果对等方响应为0,则表示该对等或未配置为使用 ESN。

  • 包含值为0的 ESN 转换的建议“do not use extended sequence numbers”。

  • 包含值为1的 ESN 转换的提议意味着“use extended sequence numbers

  • 包含两个 ESN 变换的提议,值为0和1表示“I support both normal and extended sequence numbers, you choose”。

注意

ESN 仅与 IKEv2 一起受支持。