authentication-algorithm
構文
authentication-algorithm algorithm;
階層レベル
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
説明
認証アルゴリズムのタイプを設定します。
IPsecプロポーザルで認証アルゴリズムを設定する際は、以下の点に注意してください。
IPsec VPN トンネルの両端に同じ IKE プロポーザルがあり、IPsec プロポーザルが異なる場合、エラーが発生し、このシナリオではトンネルが確立されません。例えば、トンネルの一方の端にhmac-sha- 256-128として認証アルゴリズムで設定されたルーター1が含まれ、トンネルの他方の端にhmac-md5-96として認証アルゴリズムで設定されたルーター2が含まれる場合、VPNトンネルは確立されません。
IPsec VPN トンネルの両端に同じ IKE プロポーザルがあり、IPsec プロポーザルが異なる場合、トンネルの一方の端に、安全性の低いアルゴリズムが選択されていないかチェックするための 2 つの IPsec プロポーザルが含まれている場合、エラーが発生し、トンネルは確立されません。例えば、トンネルの一方の端(ルーター1)でIPsecプロポーザルの2つの認証アルゴリズムをhmac-sha-256-128とhmac-md5-96として設定し、トンネルのもう一方の端(ルーター2)でIPsecプロポーザルのアルゴリズムをhmac-md5-96として設定した場合、トンネルは確立されず、プロポーザルの数が一致しません。
トンネルの両端に 2 つの IPsec プロポーザルを設定する場合、例えば、
authentication-algorithm hmac-sha-256-128authentication- algorithm hmac-md5-96トンネルの一方の階層レベルにある[edit services ipsec-vpn ipsec proposal proposal-name]と のステートメント、ルーター 1(順序を指定するために連続する 2 つのステートメントにアルゴリズムを使用)、authentication-algorithm hmac-md5-96およびauthentication- algorithm hmac-sha-256-128トンネルの 1 つの階層レベルで と ステートメント[edit services ipsec-vpn ipsec proposal proposal-name]を設定すると、ルーター 2(順序を指定するために、 ルーター 1) の場合、プロポーザルの数が同じで、同じアルゴリズム セットが含まれているため、この組み合わせでトンネルが確立されます。ただし、選択された認証アルゴリズムは hmac-md5-96 であり、hmac-sha-256-128 のより強力なアルゴリズムではありません。このアルゴリズムの選択方法は、最初に一致するプロポーザルが選択されるために発生します。また、デフォルトプロポーザルでは、ルーターが高度暗号化標準(AES)暗号化アルゴリズムをサポートしているかどうかに関係なく、aes-cfbアルゴリズムではなく3des-cbcアルゴリズムが選択されます。これは、デフォルトプロポーザルの最初のアルゴリズムが選択されるためです。ここで説明するサンプル シナリオでは、ルーター 2 で、ルーター 1 で指定された順序と同じ順序になるようにプロポーザル内のアルゴリズム設定の順序を逆にすると、認証方法として hmac-sha-256-128 が選択されます。2 つのピアの両方のポリシーにプロポーザルがある場合に、一致が行われたときに最も強いアルゴリズムが最初に考慮されるなど、プロポーザルのマッチングを特定の順序で行う場合は、設定時に IPsec ポリシーのプロポーザルの順序を認識しておく必要があります。
オプション
algorithm- 以下の認証アルゴリズムタイプのいずれかを指定します。
aes-128-cmac-96- 暗号ベースのメッセージ認証コード(AES128、96 ビット)。hmac-sha-1-96- ハッシュベースのメッセージ認証コード(SHA1、96 ビット)。md5- メッセージ ダイジェスト 5。
既定:
hmac-sha-1-96メモ:キーまたはキーチェーンも設定されていない限り、デフォルトはコマンドの出力
show bgp bmpに表示されません。
必要な権限レベル
routing—設定でこのステートメントを表示します。
routing-controlー設定にこのステートメントを追加します。
リリース情報
Junos OS リリース 7.6で導入されたステートメント。
Junos OSリリース8.0のBGPで導入されたステートメント。
QFXシリーズのJunos OSリリース13.2X51-D15でBMPに対して導入されたステートメント。
Junos OSリリース13.3のBMPで導入されたステートメント。