Perfis de acesso IKE
Um perfil de acesso à Internet Key Exchange (IKE) é usado para negociar associações de segurança IKE e IPsec com peer s dinâmicos. Você pode configurar apenas um perfil de túnel por conjunto de serviços para todos os pares dinâmicos. A chave pré-compartilhada configurada no perfil é usada para autenticação de IKE de todos os pares dinâmicos que terminam nesse conjunto de serviços. Você também pode usar o método de certificado digital para autenticação de IKE com pares dinâmicos. Inclua a ike-policy policy-name
declaração no [edit access profile profile-name client * ike]
nível de hierarquia. policy-name
é o nome da política de IKE que você define no nível de [edit services ipsec-vpn ike policy policy-name]
hierarquia.
O perfil do túnel IKE especifica todas as informações de que você precisa para concluir a negociação da IKE. Cada protocolo tem sua própria hierarquia de declaração dentro da declaração do cliente para configurar pares de valor de atributo específicos do protocolo, mas apenas uma configuração de cliente é permitida para cada perfil. A seguir, a hierarquia de configuração.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } dead-peer-detection{ interval seconds threshold number } ike-policy policy-name; initiate-dead-peer-detection; interface-id string-value; ipsec-policy ipsec-policy; pre-shared-key (ascii-text character-string | hexadecimal hexadecimal-digits); reverse-route } } }
Para pares dinâmicos, o Junos OS oferece suporte apenas ao modo principal IKE com a chave pré-compartilhada e os métodos de certificado digital. Neste modo, um endereço IPv6 ou IPv4 é usado para identificar um peer de túnel para obter a chave pré-compartilhada ou informações de certificado digital. O valor *
do cliente (curinga) significa que a configuração dentro desse perfil é válida para todos os pares dinâmicos que terminam dentro do conjunto de serviços que acessam este perfil.
A declaração a seguir compõe o perfil IKE:
allowed-proxy-pair
— Durante a negociação de IKE da fase 2, o peer remoto fornece seu endereço de rede (remote
) e o endereço de rede de seus pares (local
). Como vários túneis dinâmicos são autenticados pelo mesmo mecanismo, essa declaração deve incluir a lista de possíveis combinações. Se o peer dinâmico não apresentar uma combinação válida, a negociação de IKE da fase 2 falhará.
Por padrão, remote 0.0.0.0/0 local 0.0.0.0/0
é usado se nenhum valor estiver configurado.
dead-peer-detection
— Habilite o dispositivo a usar a detecção de peer (DPD) inativo. DPD é um método usado por dispositivos para verificar a existência atual e a disponibilidade de dispositivos peer IPsec. Um dispositivo realiza essa verificação enviando cargas de notificação de Fase 1 de IKE criptografadas (R-U-THERE) aos pares e à espera de reconhecimentos de DPD (R-U-THERE-ACK). Use a opçãointerval
para especificar os segundos entre quais mensagens devem ser enviadas. Use a opçãothreshold
para especificar o número máximo de mensagens (1-10) a serem enviadas.ike-policy
— Nome da política de IKE que define o certificado digital local ou a chave pré-compartilhada usada para autenticar o peer dinâmico durante a negociação da IKE. Você deve incluir esta declaração para usar o método de certificado digital para autenticação de IKE com um peer dinâmico. Você define a política de IKE no nível de[edit services ipsec-vpn ike policy policy-name]
hierarquia.initiate-dead-peer-detection
— Detecta pares mortos em túneis IPsec dinâmicos.interface-id
— Identificador de interface, um atributo obrigatório usado para obter as informações lógicas da interface de serviço para a sessão.ipsec-policy
— Nome da política de IPsec que define as informações da política de IPsec para a sessão. Você define a política de IPsec no nível hierárquica[edit services ipsec-vpn ipsec policy policy-name]
. Se nenhuma política for definida, qualquer política proposta pelo peer dinâmico é aceita.pre-shared-key
— Chave usada para autenticar o peer dinâmico durante a negociação da fase 1 do IKE. Essa chave é conhecida por ambas as extremidades por meio de um mecanismo seguro fora de banda. Você pode configurar o valor emhexadecimal
ouascii-text
formato. É um valor obrigatório.reverse-route
—(Roteadores da Série M e série MX com apenas UM AS ou MultiServices PIC) Configure uma rota reversa para túneis IPsec dinâmicos de endpoint.