Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

dynamic (Security)

语法

层次结构级别

描述

指定具有动态 IPv4 或 IPv6 地址的远程网关的标识符。此语句用于设置具有未指定 IPv4 或 IPv6 地址的网关的 VPN。

选项

connections-limit

配置组配置文件支持的并发连接数。当达到最大连接数时,将不再允许尝试访问 IPsec VPN 的动态虚拟专用网络 (VPN) 端点拨号用户开始互联网密钥交换 (IKE) 协商。此配置适用于 SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200和SRX4600设备和 vSRX 实例,以及为 AutoVPN 配置的SRX5400、SRX5600和SRX5800设备。

distinguished-name

指定一个可分辨名称作为具有动态 IP 地址的远程网关的标识符。

general-ikeid

禁用 IKE ID 验证。如果启用此选项,则新的 iked 进程将跳过 IKE ID 验证。跳过 IKE ID 验证后,新的 iked 进程仍会根据 IKE 标准继续进行身份验证。 general-ikeid 是一个可选的配置语句。

hostname

网络连接设备在网络上的已知名称。可与对等方的 X.509 PKI 证书匹配的完全限定域名 (FQDN) 或部分 FQDN。部分 FQDN 与对等设备证书中备用主题字段的最右侧部分匹配。例如,部分 FQDN example.net 可以将设备与其证书的备用使用者字段中的 host1.example.net 或 host2.example.net 匹配。请注意,部分 FQDN example.net 与 host1.example.network.com 或 host2.net.com 不匹配 example.net 因为不是备用主题字段中最右侧的值。对于 AutoVPN,当有多个对等方共享一个通用域名时,部分 FQDN 与 ike-user-type group-ike-id 相结合,可用于识别特定的远程用户或对等方。

ike-user-type

为远程访问连接配置 IKE 用户的类型。

  • 值:

    • group-ike-id - 由一组远程访问用户共享的电子邮件地址或完全限定域名 (FQDN),以便每个用户无需配置单独的 IKE 配置文件。配置组 IKE ID 时,每个用户的 IKE ID 是特定于用户的部件和所有组 IKE ID 用户通用的部件的串联。例如,用户 Bob 可能会使用“Bob.example.net”作为其完整 IKE ID,其中“.example.net”对所有用户通用。完整的 IKE ID 用于唯一标识每个用户连接。组 IKE ID 要求根据 VPN 连接期间提供的用户名生成唯一的预共享密钥,可使用命令查看 show security ike pre-shared-key 该用户名。

    • shared-ike-id — 由大量远程访问用户共享的电子邮件地址,以便每个用户无需配置单独的 IKE 配置文件。配置共享 IKE ID 后,所有用户将共享一个 IKE ID 和一个 IKE 预共享密钥。每个用户都通过强制 XAuth 阶段进行身份验证,在该阶段中,单个用户的凭据通过外部 RADIUS 服务器或本地访问数据库进行验证。共享 IKE ID 需要 XAuth。

inet

使用 IPV4 地址标识动态对等方。

inet6

使用 IPV6 地址标识动态对等方。

reject-duplicate-connection

拒绝来自重复 IKE-ID 的新连接。

user-at-hostname

使用电子邮件地址。

所需权限级别

安全性 - 在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

在 Junos OS 8.5 版中修改的语句。支持 Junos OS 11.1 版中添加的选项 inet6

general-ikeid 在 Junos OS 21.1R1 版中引入了层次结构下 [edit security ike gateway gateway-name dynamic] 的选项。