Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de una política de IKE

Configuración de una política de IKE para claves previamente compartidas

Una política de IKE define una combinación de parámetros de seguridad (propuestas de IKE) que se utilizarán durante la negociación de IKE. Define una dirección par, la clave previamente compartida para el par dado y las propuestas necesarias para esa conexión. Durante la negociación de IKE, IKE busca una política de IKE que sea la misma en ambos pares. El par que inicia la negociación envía todas sus directivas al par remoto y el par remoto intenta encontrar una coincidencia.

Se realiza una coincidencia cuando ambas directivas de los dos pares tienen una propuesta que contiene los mismos atributos configurados. Si las duraciones no son idénticas, se utiliza la vida útil más corta entre las dos políticas (del host y del par). La clave previamente compartida configurada también debe coincidir con su par.

Para asegurarse de que al menos una propuesta coincida con la propuesta de un par remoto, puede crear varias propuestas priorizadas en cada par. Para ello, configure las propuestas, asociándolas a una política de IKE y, opcionalmente, priorizando la lista en la policy instrucción, donde se evalúan en orden de lista.

Incluya la policy instrucción en el nivel de jerarquía y especifique un destino de [edit security ike] túnel IPsec como dirección del mismo nivel:

Las tareas para configurar una política de IKE son:

Configuración de la descripción de una política de IKE

Para especificar una descripción para una política de IKE, incluya la description instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:

Configuración del modo para una política de IKE

La política de IKE tiene dos modos: agresivo y principal. De forma predeterminada, el modo principal está habilitado. El modo principal utiliza seis mensajes, en tres intercambios, para establecer la SA de IKE. (Estos tres pasos son la negociación de IKE SA, un intercambio de claves Diffie-Hellman y la autenticación del par). El modo principal también permite que un par oculte su identidad.

El modo agresivo también establece una SA de IKE autenticada y claves. Sin embargo, el modo agresivo utiliza la mitad del número de mensajes, tiene menos poder de negociación y no proporciona protección de identidad. El par puede utilizar el modo agresivo o principal para iniciar la negociación IKE; El par remoto acepta el modo enviado por el par.

Para configurar el modo de política de IKE, incluya la mode instrucción y especifique aggressive o main en el nivel de [edit security ike policy ike-peer-address] jerarquía:

Para Junos OS en modo FIPS, la opción agresiva para IKEv1 no se admite con la instrucción mode en el nivel de [edit services ipsec-vpn ike policy policy-name] jerarquía.

Configuración de la clave previamente compartida para una política de IKE

Las claves previamente compartidas por la política de IKE autentican a los pares. Debe configurar manualmente una clave previamente compartida, que debe coincidir con la de su par. La clave previamente compartida puede ser una clave de texto ASCII (alfanumérica) o una clave hexadecimal.

Un certificado local es una alternativa a la clave previamente compartida. Se produce un error en una operación de confirmación si no se configura una clave previamente compartida o un certificado local.

Para configurar una clave previamente compartida de política de IKE, incluya la pre-shared-key instrucción en el nivel de [edit security ike policy ike-peer-address] jerarquía:

Asociación de propuestas con una política de IKE

La propuesta de política de IKE es una lista de una o más propuestas asociadas a una política de ICR.

Para configurar una propuesta de política de IKE, incluya la instrucción en el nivel de jerarquía y especifique uno o varios nombres de proposals [edit security ike policy ike-peer-address] propuesta:

Ver también

Ejemplo: configuración de una política de IKE

Defina dos políticas de IKE : política 10.1.1.2 y política 10.1.1.1. Cada política está asociada con proposal-1 y proposal-2.

Nota:

Las actualizaciones de la propuesta de IKE actual y la configuración de políticas no se aplican a la SA de IKE actual; las actualizaciones se aplican a las nuevas SA de IKE.

Si desea que las nuevas actualizaciones surtan efecto inmediato, debe borrar las asociaciones de seguridad de IKE existentes para que se restablezcan con la configuración cambiada. Para obtener información acerca de cómo borrar la asociación de seguridad IKE actual, consulte el Explorador de CLI.
Nota:

Cuando se configuran varios túneles IPSec entre pares IPSec, los túneles IPSec pueden terminar en varias direcciones locales en una interfaz física de un par IPSec y viceversa.

Ver también