了解扩展序列号(ESN)
从 Junos OS Release 19.4 R1 开始,在 SRX5400、SRX5600 和 SRX5600 设备上使用 SPC3,扩展序列号(ESN)提供从用于序列号的默认32位序列号启用64位的能力。当设备的顺序不正确时,将会重新生成安全关联。
可以为每个 IPsec VPN 启用扩展序列号(ESN),以便 VPN 使用扩展序列号,两个节点必须一致同意它们能够使用 ESN。
ESN 是在 IPsec 建议下手动配置的。
您可以使用set extended-sequence-numberedit security ipsec proposal proposal-name级别的命令启用 ESN。
[edit] set security ipsec proposal ipsec_prop protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; lifetime-seconds 220; extended-sequence-number;
ESN 支持:
IPv4 和 IPv6 数据包
AH 和 ESP 协议
独立的机密性和完整性算法(数据平面中的封装/和解封装)
组合的机密性和完整性算法(数据平面中的封装/和解封装)
PowerMode IPsec
确定序列号的较高序位(Seqh)
使用64位序列号管理和使用反重播窗口
配置 ESN 时,在隧道建立期间会发送 ESN 的转换值1,以指示我们意图使用 ESN。如果对等方响应1,则将使用 ESN,如果对等方响应为0,则表示该对等或未配置为使用 ESN。
包含值为0的 ESN 转换的建议“do not use extended sequence numbers”。
包含值为1的 ESN 转换的提议意味着“use extended sequence numbers”
包含两个 ESN 变换的提议,值为0和1表示“I support both normal and extended sequence numbers, you choose”。
ESN 仅与 IKEv2 一起受支持。