proposal (Security IPsec)
语法
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha-256-96 | hmac-sha-384 | hmac-sha-512 | hmac-sha1-96);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-192-gcm | aes-256-cbc | aes-256-gcm | des-cbc);
extended-sequence-number;
lifetime-kilobytes kilobytes;
lifetime-seconds seconds;
protocol (ah | esp);
}
层次结构级别
[edit security ipsec]
描述
定义 IPsec 提议。IPsec 提议列出了要与远程 IPsec 对等方协商的协议和算法(安全服务)。
选项
| proposal-name | IPsec 提议的名称。 |
| authentication-algorithm | 配置 IPsec 身份验证算法。身份验证算法是对数据包数据进行身份验证的哈希算法。它可以是以下六种算法之一:
|
| description | IPsec 提议的文本说明 |
| encryption-algorithm | 定义加密算法。更新
|
| extended-sequence-number | 使用该 |
| lifetime-kilobytes | 指定 IPsec 安全关联 (SA) 的生存期(以千字节为单位)。如果未配置此语句,则用于 SA 生存期的千字节数不受限制。
|
| lifetime-seconds | 生存期(以秒为单位)。
|
| protocol | 为手动或动态安全关联 (SA) 定义 IPsec 协议。
|
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 7.4 版之前引入的语句。
extended-sequence-number Junos OS 19.4R1 版中引入的选项。
从 Junos OS 20.2R1 版开始,我们更改了 CLI 选项 、 以及3des-cbc运行 iked 进程并安装了软件包的junos-ike设备的帮助文本说明NOT RECOMMENDED。des-cbc hmac-sha1-96hmac-md5-96
hmac-sha-512 以及 hmac-sha-384 Junos OS 19.1R1 版中在配备 SRX5K-SPC3 卡的设备上SRX5000系列中引入的选项。
aes-128-gcm支持 、 和aes-192-gcmaes-256-gcm在适用于 vSRX 虚拟防火墙的 Junos OS 版本 15.1X49-D70 中添加的选项。
aes-128-gcm支持 、 和 aes-256-gcm Junos aes-192-gcmOS 12.1X45-D10 版中添加的选项。
支持 hmac-sha-256-128 在 Junos OS 12.1X46-D20 版中添加SRX5400、SRX5600和SRX5800设备。
Junos OS 23.4R1 版中添加了对lifetime-kilobytes运行 iked 进程的 IPsec VPN 选项的支持。