dynamic (Security)
语法
dynamic { connections-limit number; distinguished-name { container container-string; wildcard wildcard-string } general-ikeid; hostname domain-name; ike-user-type (group-ike-id | shared-ike-id); inet ip-address; inet6 ipv6-address; reject-duplicate-connection; user-at-hostname e-mail-address; }
层次结构级别
[edit security ike gateway gateway-name]
描述
指定具有动态 IPv4 或 IPv6 地址的远程网关的标识符。此语句用于设置具有未指定 IPv4 或 IPv6 地址的网关的 VPN。
选项
connections-limit | 配置组配置文件支持的并发连接数。当达到最大连接数时,将不再允许尝试访问 IPsec VPN 的动态虚拟专用网络 (VPN) 端点拨号用户开始互联网密钥交换 (IKE) 协商。此配置适用于 SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200和SRX4600设备和 vSRX 实例,以及为 AutoVPN 配置的SRX5400、SRX5600和SRX5800设备。 |
distinguished-name | 指定一个可分辨名称作为具有动态 IP 地址的远程网关的标识符。 |
general-ikeid | 禁用 IKE ID 验证。如果启用此选项,则新的 iked 进程将跳过 IKE ID 验证。跳过 IKE ID 验证后,新的 iked 进程仍会根据 IKE 标准继续进行身份验证。 |
hostname | 网络连接设备在网络上的已知名称。可与对等方的 X.509 PKI 证书匹配的完全限定域名 (FQDN) 或部分 FQDN。部分 FQDN 与对等设备证书中备用主题字段的最右侧部分匹配。例如,部分 FQDN example.net 可以将设备与其证书的备用使用者字段中的 host1.example.net 或 host2.example.net 匹配。请注意,部分 FQDN example.net 与 host1.example.network.com 或 host2.net.com 不匹配 example.net 因为不是备用主题字段中最右侧的值。对于 AutoVPN,当有多个对等方共享一个通用域名时,部分 FQDN 与 ike-user-type group-ike-id 相结合,可用于识别特定的远程用户或对等方。 |
ike-user-type | 为远程访问连接配置 IKE 用户的类型。
|
inet | 使用 IPV4 地址标识动态对等方。 |
inet6 | 使用 IPV6 地址标识动态对等方。 |
reject-duplicate-connection | 拒绝来自重复 IKE-ID 的新连接。 |
user-at-hostname | 使用电子邮件地址。 |
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 8.5 版中修改的语句。支持 Junos OS 11.1 版中添加的选项 inet6
。
general-ikeid
在 Junos OS 21.1R1 版中引入了层次结构下 [edit security ike gateway gateway-name dynamic]
的选项。