Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

vpn (Security)

Sintaxe

Nível de hierarquia

Descrição

Configure uma VPN IPsec. Uma VPN fornece um meio pelo qual computadores remotos se comunicam com segurança em uma WAN pública, como a Internet. Uma conexão VPN pode vincular duas LANs (VPN de site para site) ou um usuário de discagem remota e uma LAN. O tráfego que flui entre esses dois pontos passa por recursos compartilhados, como roteadores, switches e outros equipamentos de rede que compõem a WAN pública. Para proteger a comunicação vpn enquanto passam pela WAN, os dois participantes criam um túnel de segurança IP (IPsec). O IPsec é um conjunto de protocolos relacionados para proteger criptograficamente as comunicações na Camada de Pacotes IP.

Opções

vpn-name

Nome da VPN.
bind-interface

Configure a interface do túnel à qual a rede virtual privada (VPN) baseada em rotas está vinculada.
copy-outer-dscp

Habilite a cópia do ponto de código de serviços diferenciados (DSCP) (DSCP+ECN) do campo do cabeçalho IP externo criptografado até a mensagem de texto simples de cabeçalho IP interna no caminho da descriptografia. O benefício em habilitar esse recurso é que, após a descriptografia do IPsec, pacotes de texto claros podem seguir as regras internas de CoS (DSCP+ECN).
distribution-profile

Especifique um perfil de distribuição para distribuir túneis. A opção distribution-profile é introduzida para dar ao administrador a opção de selecionar quais PICs no chassi devem lidar com túneis associados a um determinado objeto VPN. Se os perfis padrão, como default-spc3-profile ou default-spc2-profile não forem selecionados, um novo perfil definido pelo usuário pode ser selecionado. Em um perfil, você precisa mencionar o slot flexível pic concentrador (FPC) e o número PIC. Quando esse perfil está associado a um objeto VPN, todos os túneis correspondentes são distribuídos por esses PIC's.

  • Valores:

    • padrão-spc2-profile — grupo padrão para distribuir túneis apenas no SPC2

    • padrão-spc3-profile — grupo padrão para distribuir túneis apenas no SPC3

    • nome do perfil de distribuição — nome do perfil de distribuição.
df-bit

Especifique como o dispositivo lida com o bit Don't Fragment (DF) no cabeçalho externo.

Nos dispositivos SRX5400, SRX5600 e SRX5800, a configuração df-bit para VPN só funciona se o tamanho do pacote original for menor que o MTU da interface st0, e maior do que a sobrecarga ipsec de interface externa.

  • Valores:

    • clear— Limpar (desativar) o bit DF do cabeçalho externo. Esse é o padrão.

    • copy— Copie o bit do DF para o cabeçalho externo.

    • set— Defina (habilite) o bit DF no cabeçalho externo.
establish-tunnels

Especifique quando o IKE é ativado: imediatamente após a configuração das informações de VPN e as alterações de configuração serem comprometidas, ou apenas quando o tráfego de dados flui. Se essa configuração não for especificada, o IKE só será ativado quando o tráfego de dados flui.

  • Valores:

    • immediately— O IKE é ativado imediatamente após as alterações na configuração de VPN serem comprometidas.

      Começando pelo Junos OS Release 15.1X49-D70, uma mensagem de aviso é exibida se você configurar a opção establish-tunnels immediately para um gateway IKE com group-ike-id ou shared-ike-id tipos de usuário IKE (por exemplo, com AutoVPN ou uma VPN de acesso remoto). A opção establish-tunnels immediately não é apropriada para essas VPNs porque vários túneis VPN podem estar associados a uma única configuração vpn. Comprometer a configuração será bem-sucedido, no entanto, a establish-tunnels immediately configuração é ignorada. O estado da interface do túnel estará ativa o tempo todo, o que não ocorreu em versões anteriores quando a opção establish-tunnels immediately foi configurada.

    • on-traffic— O IKE só é ativado quando o tráfego de dados flui e deve ser negociado com o gateway peer. Esse é o comportamento padrão.

    • responder-only— Responde às negociações da IKE que são iniciadas pelo gateway peer, mas não iniciam negociações de IKE a partir do dispositivo. Essa opção é necessária quando o gateway peer de outro fornecedor espera o protocolo e os valores de porta no seletor de tráfego a partir do gateway de iniciação. responder-only opção adicionada no Junos OS Release 19.1R1.

      Essa opção é suportada em um processo iked unificado que não é habilitado por padrão. Os administradores devem executar o request system software add optional://junos-ike.tgz comando para carregar o junos-ike pacote.

    • responder-only-no-rekey— A opção não estabelece nenhum túnel VPN do dispositivo, então o túnel VPN é iniciado a partir do peer remoto. Um túnel estabelecido não inicia nenhuma reloucação do dispositivo e conta com o peer remoto para iniciar esse rekeying. Se a relquisionamento não ocorrer, o túnel será derrubado após a dura duração da vida útil expirar.

      Essa opção é suportada em um processo iked unificado que não é habilitado por padrão. Os administradores devem executar o request system software add optional://junos-ike.tgz comando para carregar o junos-ike pacote.
ike

Defina uma VPN IPsec com chave IKE.
manual

Defina uma associação manual de segurança IPsec (SA).
multi-sa

Negocie várias associações de segurança (SAs) com base na escolha da configuração. Várias SAs negociam com o mesmo seletor de tráfego na mesma SA IKE.
traffic-selector

Configure vários conjuntos de prefixo de endereço IP local, prefixo remoto de endereço IP, faixa de porta de origem, alcance da porta de destino e protocolo como seletor de tráfego para um túnel IPsec.
match-direction

Direção para a qual a correspondência de regras é aplicada

  • Valores:

    • entrada — Combine entre a entrada e a interface

    • saída — Combine com a saída da interface
passive-mode-tunneling

Sem verificações ativas de pacotes IP antes do encapsulamento IPSec
tunnel-mtu

Tamanho máximo de pacote de transmissão

  • Gama: 256 a 9192
udp-encapsulation

(Opcional) Use a porta de destino UDP especificada para o cabeçalho UDP que é apensado ao encapsulamento ESP. Habilite o encaminhamento de vários caminhos do tráfego IPsec adicionando um cabeçalho UDP ao encapsulamento IPsec de pacotes. Fazer isso aumenta a taxa de transferência do tráfego IPsec. Se você não habilita o encapsulamento de UDP, todo o tráfego IPsec segue um único caminho adiante em vez de usar vários caminhos disponíveis.

  • Gama: 1025 a 65536. Não use 4500.

  • Padrão: Se você não incluir a declaração de udp-dest-port, a porta de destino UDP padrão é 4565.
vpn-monitor

Configure configurações para monitoramento de VPN.

As declarações restantes são explicadas separadamente. Consulte o CLI Explorer.

Nível de privilégio necessário

segurança — Para ver essa declaração na configuração.

controle de segurança — para adicionar essa declaração à configuração.

Informações de lançamento

Declaração introduzida no Junos OS Release 8.5.

Suporte para endereços IPv6 adicionados no Junos OS Release 11.1.

Suporte para adição copy-outer-dscp no Junos OS Release 15.1X49-D30.

verify-path palavra-chave e destination-ip adicionada no Junos OS Release 15.1X49-D70.

packet-size opção adicionada no Junos OS Release 15.1X49-D120.

Suporte paraterm, protocol, , source-port, metricdestination-porte description opções introduzidas no Junos OS Release 21.1R1.

Tópicos relacionados