policy (Security IKE)
構文
policy policy-name {
blocklist blocklist-name;
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids [ oid ];
trusted-ca {
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
description description;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
seeded-pre-shared-key (ascii-text key | hexadecimal key);
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256);
proposals proposal-name;
reauth-frequency number;
}
階層レベル
[edit security ike]
説明
IKE ポリシーは、ピア アドレス、特定のピアの事前共有鍵、その接続に必要なプロポーザルなど、IKE ネゴシエーション中に使用されるセキュリティ パラメータ(IKE プロポーザル)の組み合わせを定義します。IKE ネゴシエーション中に、IKE は両方のピアで同じ IKE ポリシーを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。
ステートメント内の policy IKEプロポーザルは、上から下へのリスト順に評価されるため、ポリシーの作成時には、最初に優先度の高いプロポーザルを指定し、次に優先度の高いプロポーザルを指定します。
オプション
policy-name- IKE ポリシーの名前。ポリシー名には、最大 32 文字の英数字を使用できます。
blocklist blocklist-name—対応するリモートピアのIKE IDブロックリストの名前を指定します。ブロックリストは、IKE SA ネゴシエーションの認証フェーズ中に IKE-ID をブロックするために使用されます。
certificate- 仮想プライベート ネットワーク(VPN)のイニシエーターと受信者を認証するためのデジタル証明書の使用を指定します。詳細については、「 証明書」を参照してください。
description description- IKEポリシーの説明を指定します。
mode- インターネット鍵交換(IKE)フェーズ1ネゴシエーションに使用するモードを定義します。アグレッシブ モードは、ピア ユニットに動的に割り当てられた IP アドレスがある場合など、ID 保護なしで IKE 鍵交換を開始する必要がある場合のみにしてください。IKEv2 プロトコルは、モード構成を使用してネゴシエートしません。IKE ポリシー内の設定を更新する mode と、デバイスは既存の IKE および IPsec SA を削除します。
-
aggressive- アグレッシブ モード。 -
main- メイン モード。メイン モードは、鍵交換中に当事者の ID を隠すため、推奨される鍵交換方法です。リモート ゲートウェイに動的アドレスがあり、認証方法が
pre-shared-keysの場合、グループ VPN サーバーまたはメンバーの構成mode mainはサポートされていません。
pre-shared-key- IKE ポリシーの事前共有キーを定義します。IKE ポリシー内の設定を更新する pre-shared-key と、デバイスは既存の IKE および IPsec SA を削除します。
-
ascii-text key- キーに 1 から 255 の ASCII テキスト文字の文字列を指定します。特殊文字を含めるには、キー文字列全体または特殊文字(!&|][?)を引用符で囲みます(例“str)ng”str”)”ng:や)。その他の文字列内での引用符の使用は許可されていません。暗号化ではdes-cbc、キーには 8 文字の ASCII 文字が含まれます。暗号化を使用すると3des-cbc、キーには 24 文字の ASCII 文字が含まれます。 -
hexadecimal key- キーに 1 から 255 の 16 進文字の文字列を指定します。文字は、 から までの 16 進数字0、または から9またはfAまでのF文字aである必要があります。暗号化ではdes-cbc、キーには 16 個の 16 進文字が含まれます。暗号化では3des-cbc、キーには 48 個の 16 進文字が含まれます。
seeded-pre-shared-key- IKE ポリシーに対して、シードされた事前共有キーを ASCII または 16 進形式で定義します。は seeded-pre-shared-key 、ピアの を生成する pre-shared-key ために使用されるマスター キーです。したがって、各ピアは異なる pre-shared-key.このオプションの利点は、ゲートウェイへの各ピア接続が異なる事前共有キーを持つため、ピアの 1 つが侵害されても、他のピア pre-shared-key は影響を受けないことです。
ピア事前共有鍵は、 として seeded-pre-shared-key 構成され、ピア間で共有されるマスター鍵を使用して生成されます。ピアの事前共有キーを表示するには、コマンドを実行し show security ike pre-shared-key 、ピアのデバイスに表示された事前共有キーを事前共有キー(ASCII形式)として共有および設定します。マスター キーはゲートウェイ デバイスでのみ設定され、どのピアとも共有されません。
ピア事前共有鍵は、 show security ike pre-shared-key user-id peer ike-id master-key master key または show security ike pre-shared-key user-id peer ike-id gateway gateway name コマンドを使用して取得できます。
-
ascii-text key- キーに 1 から 255 文字の ASCII テキスト文字の文字列を設定します。特殊文字を含めるには、キー文字列全体または特殊文字(!&|][?)を引用符で囲みます(例“str)ng”str”)”ng:や)。その他の文字列内での引用符の使用は許可されていません。 -
hexadecimal key0、または から9またはfAまでのF文字aである必要があります。
proposal-set- デフォルトの IKE(インターネット鍵交換)プロポーザルのセットを指定します。
proposals proposal-name- IKE ポリシーに対して最大 4 つのフェーズ 1 プロポーザルを指定します。複数のプロポーザルを含める場合は、すべてのプロポーザルで同じ Diffie-Hellman グループを使用します。
reauth-frequency number- 新しいIKEv2再認証をトリガーするために、再認証の頻度を設定します。再認証によって、新しい IKE SA が作成され、IKE SA 内に新しい子 SA が作成された後、古い IKE SA が削除されます。このオプションはデフォルトで無効になっています。再認証が行われる前に発生する IKE 鍵更新のアンバー。 reauth-frequency である場合 1、IKE の鍵更新のたびに再認証が行われます。 reauth-frequency である場合 2、IKE鍵更新の窮地で再認証が1回行われます。 reauth-frequency の場合 3、IKE 鍵更新 3 回ごとに再認証が行われます。
-
デフォルト: 0 (無効)
-
範囲: 0-100
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で修正されたステートメント。
suiteb-gcm-128 Junos OSリリース12.1X45-D10で追加された および suiteb-gcm-256 オプションのサポート。
policy-oids Junos OSリリース12.3X48-D10で追加された オプションのサポート。
trusted-ca Junos OSリリース18.1R1で追加された オプションのサポート。
reauth-frequency Junos OSリリース15.1X49-D60で追加された オプションのサポート。
seeded-pre-shared-key Junos OSリリース21.1R1で追加された オプションのサポート。
blocklist Junos OSリリース23.4R1で追加された オプションのサポート。