authentication-algorithm
Sintaxis
authentication-algorithm algorithm;
Nivel jerárquico
[edit logical-systems logical-system-name protocols bgp], [edit logical-systems logical-system-name protocols bgp group group-name], [edit logical-systems logical-system-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit logical-systems logical-system-name routing-instances routing-instance-name protocols ldp session session-address], [edit logical-systems logical-system-name routing-options bmp], [edit logical-systems logical-system-name routing-options bmp station station-name], [edit protocols bgp], [edit protocols bgp group group-name], [edit protocols bgp group group-name neighbor address], [edit protocols ldp session session-address], [edit routing-instances routing-instance-name protocols bgp], [edit routing-instances routing-instance-name protocols bgp group group-name], [edit routing-instances routing-instance-name protocols bgp group group-name neighbor address], [edit routing-instances routing-instance-name protocols ldp session session-address], [edit routing-options bmp], [edit routing-options bmp station station-name]
Descripción
Configure un tipo de algoritmo de autenticación.
Tenga en cuenta los siguientes puntos cuando configure el algoritmo de autenticación en una propuesta IPsec:
Cuando ambos extremos de un túnel VPN IPsec contienen la misma propuesta de IKE pero diferentes propuestas IPsec, se produce un error y el túnel no se establece en este escenario. Por ejemplo, si un extremo del túnel contiene el enrutador 1 configurado con el algoritmo de autenticación como hmac-sha- 256-128 y el otro extremo del túnel contiene el enrutador 2 configurado con el algoritmo de autenticación como hmac-md5-96, el túnel VPN no se establece.
Cuando ambos extremos de un túnel VPN IPsec contienen la misma propuesta de IKE pero diferentes propuestas IPsec, y cuando un extremo del túnel contiene dos propuestas IPsec para comprobar si se ha seleccionado o no un algoritmo menos seguro, se produce un error y el túnel no se establece. Por ejemplo, si configura dos algoritmos de autenticación para una propuesta IPsec como hmac-sha-256-128 y hmac-md5-96 en un extremo del túnel, enrutador 1, y si configura el algoritmo para una propuesta IPsec como hmac-md5-96 en el otro extremo del túnel, enrutador 2, el túnel no se establece y el número de propuestas no coincide.
Cuando se configuran dos propuestas IPsec en ambos extremos de un túnel, como las
authentication-algorithm hmac-sha-256-128instrucciones yauthentication- algorithm hmac-md5-96en el[edit services ipsec-vpn ipsec proposal proposal-name]nivel de jerarquía de uno de los túneles, el enrutador 1 (con los algoritmos de dos instrucciones sucesivas para especificar el orden) y lasauthentication-algorithm hmac-md5-96instrucciones yauthentication- algorithm hmac-sha-256-128en el[edit services ipsec-vpn ipsec proposal proposal-name]nivel de jerarquía de uno de los túneles, enrutador 2 (con los algoritmos en dos instrucciones sucesivas para especificar el orden, que es el orden inverso del enrutador 1), el túnel se establece en esta combinación como se esperaba porque el número de propuestas es el mismo en ambos extremos y contienen el mismo conjunto de algoritmos. Sin embargo, el algoritmo de autenticación seleccionado es hmac-md5-96 y no el algoritmo más fuerte de hmac-sha-256-128. Este método de selección del algoritmo se produce porque se selecciona la primera propuesta coincidente. Además, para una propuesta predeterminada, independientemente de si el enrutador admite el algoritmo de cifrado del Estándar de cifrado avanzado (AES), se elige el algoritmo 3des-cbc y no el algoritmo aes-cfb, que se debe a que se selecciona el primer algoritmo de la propuesta predeterminada. En el escenario de ejemplo descrito aquí, en el enrutador 2, si invierte el orden de la configuración del algoritmo en la propuesta para que sea el mismo orden que el especificado en el enrutador 1, se selecciona hmac-sha-256-128 como método de autenticación.Debe conocer el orden de las propuestas en una directiva IPsec en el momento de la configuración si desea que la coincidencia de las propuestas se realice en un determinado orden de preferencia, como el algoritmo más fuerte que se considerará primero cuando se realiza una coincidencia cuando ambas directivas de los dos pares tienen una propuesta.
Opciones
algorithm: especifique uno de los siguientes tipos de algoritmos de autenticación:
aes-128-cmac-96—Código de autenticación de mensajes basado en cifrado (AES128, 96 bits).hmac-sha-1-96: código de autenticación de mensajes basado en hash (SHA1, 96 bits).md5—Resumen del mensaje 5.
Predeterminado:
hmac-sha-1-96Nota:El valor predeterminado no se muestra en la salida del
show bgp bmpcomando a menos que también se configure una llave o un llavero.
Nivel de privilegio requerido
enrutamiento: para ver esta instrucción en la configuración.
routing-control: para agregar esta instrucción a la configuración.
Información de la versión
Declaración introducida en Junos OS versión 7.6.
Instrucción introducida para BGP en Junos OS versión 8.0.
Instrucción introducida para BMP en Junos OS versión 13.2X51-D15 para la serie QFX.
Instrucción introducida para BMP en Junos OS versión 13.3.