group-vpn
语法
group-vpn { member { ike { gateway gateway-name; policy; proposal; traceoptions; } ipsec { vpn vpn-name { df-bit (clear | copy | set); exclude rule rule-name { source-address ip-address/mask; destination-address ip-address/mask; application application; } fail-open rule rule-name { source-address ip-address/mask; destination-address ip-address/mask; application application; } group id; group-vpn-external-interface interface; ike-gateway gateway-name; recovery-probe; } } } server { group name { anti-replay-time-window milliseconds; description description; group-id number; ike-gateway gateway-name; ipsec-sa; member-threshold number; server-cluster; } ike { gateway gateway-name; policy; proposal; } ipsec { proposal proposal-name; } traceoptions (Security Group VPN); } }
层次结构级别
[edit security]
描述
在 VPNv2 组中配置组 VPN。组 VPNv2 扩展了 IPsec 体系结构,以支持由一组安全设备共享的 SA。使用组 VPNv2,可以通过在外部标头中保留原始源和目标 IP 地址来实现任意到任意连接。
选项
member | 配置组 VPN 成员。 |
ike | 在组成员上配置 IPsec 组 VPN。 |
policy | 配置 IKE 策略。 |
proposal | 定义 IKE 提议。您可以配置一个或多个 IKE 提议。每个提议都是一个 IKE 属性列表,用于保护 IKE 主机与其对等方之间的 IKE 连接。 |
traceoptions | 配置组 VPN 跟踪选项以帮助解决 IKE 或服务器问题。 |
ipsec | 为组成员上的第 2 阶段交换配置 IPsec。 |
vpn | 为组成员上的第 2 阶段交换配置 IPsec VPN。 |
server | 配置组 VPN 服务器。 |
group | 在组服务器上配置组 VPN。 |
anti-replay-time-window | 配置反重放时间(以毫秒为单位)。指定一个介于 1 到 60,000 之间的值。每个 IPsec 数据包都包含一个时间戳。组成员检查数据包的时间戳是否在配置 |
description | 组的说明。 |
group-id number | 此组 VPN 的标识符。指定一个介于 1 到 4,294,967,295 之间的值。 |
ike-gateway gateway-name | 定义第 1 阶段协商的组成员。可以配置此选项的多个实例。当组成员将其注册请求发送到服务器时,服务器会检查是否为该组配置了该成员。 |
ipsec-sa | 配置要下载到成员的组 SA。可以将多个组 SA 下载到组成员。 |
member-threshold | 指定组中可以接受的最大组 VPN 成员数。没有默认号码。 |
server-cluster | 为指定组配置组解释域 (GDOI) 组控制器/密钥服务器 (GCKS) 群集。组 VPN 服务器群集中的所有服务器都必须是 SRX 系列防火墙。 |
server-member-communication | 启用和配置服务器到成员的通信。配置这些选项后,组成员会在当前密钥过期之前收到新密钥。 |
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
Junos OS 10.2 版中引入的语句。