policy (Security IKE)
语法
policy policy-name {
blocklist blocklist-name;
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids [ oid ];
trusted-ca {
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
description description;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
seeded-pre-shared-key (ascii-text key | hexadecimal key);
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
proposals proposal-name;
reauth-frequency number;
}
层次结构级别
[edit security ike]
描述
IKE 策略定义了要在 IKE 协商期间使用的安全参数(IKE 提议)的组合,包括对等地址、给定对等体的预共享密钥以及该连接所需的提议。在 IKE 协商期间,IKE 会查找两个对等体上相同的 IKE 策略。发起协商的对等体将其所有策略发送到远程对等体,远程对等体尝试查找匹配项。
语句中的 policy IKE 提议按列表顺序从上到下进行评估,因此在创建策略时,请先指定最高优先级的提议,然后是下一个最高优先级,依此类推。
选项
policy-name— IKE 策略的名称。策略名称最长可达 32 个字母数字字符。
blocklist blocklist-name- 指定相应远程对等体的 IKE 身份阻止列表的名称。阻止列表用于在 IKE SA 协商身份验证阶段阻止 IKE-ID。
certificate- 指定使用数字证书对虚拟专用网络 (VPN) 发起方和接收方进行身份验证。有关更多信息,请参阅 证书。
description description- 指定 IKE 策略的描述。
mode— 定义用于互联网密钥交换 (IKE) 第 1 阶段协商的模式。仅当需要在没有 ID 保护的情况下发起 IKE 密钥交换时(例如,对等设备具有动态分配的 IP 地址时),才使用主动模式。IKEv2 协议不使用模式配置进行协商。更新 mode IKE 策略中的配置时,设备会删除现有的 IKE 和 IPsec SA。
-
aggressive- 激进模式。 -
main- 主模式。Main 模式是推荐的密钥交换方法,因为它在密钥交换期间隐藏了各方的身份。当远程网关具有动态地址且身份验证方法为
pre-shared-keys时,不支持为组 VPN 服务器或成员进行配置mode main。
pre-shared-key— 为 IKE 策略定义预共享密钥。更新 pre-shared-key IKE 策略中的配置时,设备会删除现有的 IKE 和 IPsec SA。
-
ascii-text key- 为键指定 1 到 255 个 ASCII 文本字符的字符串。要包含特殊字符(])?&!|[,请将整个键字符串或特殊字符括在引号中;例如“str)ng”或 .str”)”ng不允许在字符串中以其他方式使用引号。加密后des-cbc,密钥包含 8 个 ASCII 字符。加密后3des-cbc,密钥包含 24 个 ASCII 字符。 -
hexadecimal key- 为密钥指定 1 到 255 个十六进制字符的字符串。字符必须是十六进制数字0到9,或者a字母 到f或AF到 。使用加密时des-cbc,密钥包含 16 个十六进制字符。使用加密时3des-cbc,密钥包含 48 个十六进制字符。
seeded-pre-shared-key— 为 IKE 策略定义 ASCII 或十六进制格式的种子预共享密钥。这是 seeded-pre-shared-key 用于为对等体生成 的主 pre-shared-key 密钥。因此,每个对等节点将具有不同 pre-shared-key的 .此选项的优点是,每个对等体连接到网关都将具有不同的预共享密钥,因此,如果其中一个对等体 pre-shared-key 的密钥被泄露,则其他对等体不会受到影响。
对等体预共享密钥是使用配置为 seeded-pre-shared-key 对等体并在对等体之间共享的主密钥生成的。要查看对等体的预共享密钥,请执行 show security ike pre-shared-key 命令,共享并在对等体设备中显示的预共享密钥配置为预共享密钥(ASCII 格式)。主密钥仅在网关设备中配置,不共享给任何对等体。
您可以使用 or show security ike pre-shared-key user-id peer ike-id gateway gateway name 命令检索对等预共享密钥show security ike pre-shared-key user-id peer ike-id master-key master key。
-
ascii-text key- 为密钥配置 1 到 255 个 ASCII 文本字符的字符串。要包含特殊字符(])?&!|[,请将整个键字符串或特殊字符括在引号中;例如“str)ng”或 .str”)”ng不允许在字符串中以其他方式使用引号。 -
hexadecimal key0到9,或者a字母 到f或AF到 。
proposal-set- 指定一组默认 Internet 密钥交换 (IKE) 提议。
proposals proposal-name— 为 IKE 策略指定最多四个第 1 阶段提议。如果包含多个提案,请在所有提案中使用相同的 Diffie-Hellman 组。
reauth-frequency number- 配置重新身份验证频率以触发新的 IKEv2 重新身份验证。重新身份验证会创建新的 IKE SA,在 IKE SA 中创建新的子 SA,然后删除旧的 IKE SA。默认情况下,此选项处于禁用状态。在重新验证之前发生的 IKE 重新密钥的琥珀色。如果 reauth-frequency 是 , 1则每次有 IKE 重新密钥时都会进行重新验证。如果 reauth-frequency 为 , 2则每隔一个 IKE 重新密钥进行一次重新验证。如果 reauth-frequency 是 , 3则每三个 IKE 重新密钥进行一次重新身份验证。
-
默认值: 0(禁用)
-
范围: 0-100
所需的权限级别
security — 要在配置中查看此语句。
security-control—要将此语句添加到配置中。
版本信息
在 Junos OS 8.5 版中修改的语句。
在 suiteb-gcm-128 Junos OS 12.1X45-D10 版中添加的支持和 suiteb-gcm-256 选项。
支持 policy-oids Junos OS 12.3X48-D10 版中添加的选项。
支持 trusted-ca Junos OS 18.1R1 版中添加的选项。
支持 reauth-frequency Junos OS 15.1X49-D60 版中添加的选项。
支持在 seeded-pre-shared-key Junos OS 21.1R1 版中添加的选项。
支持在 blocklist Junos OS 23.4R1 版中添加的选项。