authentication-algorithm
Sintaxe
authentication-algorithm algorithm;
Nível de hierarquia
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
Descrição
Configure um tipo de algoritmo de autenticação.
Tenha em mente os seguintes pontos ao configurar o algoritmo de autenticação em uma proposta de IPsec:
Quando ambas as extremidades de um túnel VPN IPsec contêm a mesma proposta IKE, mas propostas IPsec diferentes, ocorre um erro e o túnel não está estabelecido neste cenário. Por exemplo, se uma extremidade do túnel contém o roteador 1 configurado com o algoritmo de autenticação como hmac-sha-256-128 e a outra extremidade do túnel contém o roteador 2 configurado com o algoritmo de autenticação como hmac-md5-96, o túnel VPN não está estabelecido.
Quando ambas as extremidades de um túnel VPN IPsec contêm a mesma proposta IKE, mas propostas IPsec diferentes, e quando uma extremidade do túnel contém duas propostas de IPsec para verificar se um algoritmo menos seguro é selecionado ou não, ocorre um erro e o túnel não está estabelecido. Por exemplo, se você configurar dois algoritmos de autenticação para uma proposta IPsec como hmac-sha-256-128 e hmac-md5-96 em uma extremidade do túnel, roteador 1, e se você configurar o algoritmo para uma proposta IPsec como hmac-md5-96 na outra extremidade do túnel, roteador 2, o túnel não está estabelecido e o número de propostas de incompatibilidade.
Quando você configura duas propostas IPsec em ambas as extremidades de um túnel, como o
authentication-algorithm hmac-sha-256-128eauthentication- algorithm hmac-md5-96as declarações no[edit services ipsec-vpn ipsec proposal proposal-name]nível de hierarquia em um do túnel, o roteador 1 (com os algoritmos em duas declarações sucessivas para especificar a ordem), e asauthentication-algorithm hmac-md5-96declaraçõesauthentication- algorithm hmac-sha-256-128no[edit services ipsec-vpn ipsec proposal proposal-name]nível de hierarquia em um do túnel, roteador 2 (com os algoritmos em duas declarações sucessivas para especificar a ordem, que é a ordem inversa do roteador 1), o túnel é estabelecido nessa combinação, como esperado, porque o número de propostas é o mesmo em ambas as extremidades e contêm o mesmo conjunto de algoritmos. No entanto, o algoritmo de autenticação selecionado é hmac-md5-96 e não o algoritmo mais forte do hmac-sha-256-128. Esse método de seleção do algoritmo ocorre porque a primeira proposta de correspondência é selecionada. Além disso, para uma proposta padrão, independentemente de o roteador suportar o algoritmo de criptografia Advanced Encryption Standard (AES), o algoritmo 3des-cbc é escolhido e não o algoritmo aes-cfb, o que se deve ao primeiro algoritmo na proposta padrão que está sendo selecionado. No cenário de amostra descrito aqui, no roteador 2, se você reverter a ordem da configuração do algoritmo na proposta para que seja a mesma ordem especificada no roteador 1, o hmac-sha-256-128 é selecionado como o método de autenticação.Você deve estar ciente da ordem das propostas em uma política IPsec no momento da configuração se quiser que a correspondência de propostas aconteça em uma determinada ordem de preferência, como o algoritmo mais forte a ser considerado primeiro quando uma correspondência é feita quando ambas as políticas dos dois pares têm uma proposta.
Opções
algorithm— Especifique um dos seguintes tipos de algoritmos de autenticação:
aes-128-cmac-96— código de autenticação de mensagem baseado em cifra (AES128, 96 bits).hmac-sha-1-96— Código de autenticação de mensagem baseado em hash (SHA1, 96 bits).md5— Digestão da mensagem 5.
Padrão:
hmac-sha-1-96Nota:O padrão não é exibido na saída do comando a
show bgp bmpmenos que uma chave ou cadeia de chave também esteja configurada.
Nível de privilégio exigido
roteamento — Para visualizar essa declaração na configuração.
controle de roteamento — Para adicionar essa declaração à configuração.
Informações de versão
Declaração introduzida no Junos OS Release 7.6.
Declaração introduzida para BGP no Junos OS Release 8.0.
Declaração introduzida para BMP no Junos OS Release 13.2X51-D15 para a Série QFX.
Declaração introduzida para BMP no Junos OS Release 13.3.