Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ike (Security IPsec VPN)

语法

层次结构级别

描述

定义以 IKE 为密钥的 IPsec VPN。

选项

anti-replay-window-size

要启用该 anti-replay-window-size 选项,首先需要为每个 VPN 对象或在全局级别配置该选项。您可以在 64 到 8192(2 的幂)范围内配置防重放窗口大小。如果未配置防重放窗口大小,则窗口大小默认为64。如果在全局和 VPN 对象级别都配置了命令,则 anti-replay-window-size VPN 对象上的配置优先于全局配置。

anti-replay-window-size 仅在安装了 SRX5K-SPC3 卡SRX5000线路上受支持。

gateway-name

远程 IKE 网关的名称。

idle-time

指定在没有流量时删除安全关联 (SA) 的最长时间空闲时间。

  • 默认: 禁用

  • 范围: 60 到 999,999 秒

install-interval

指定允许在设备上安装重新键入的出站安全关联 (SA) 的最大秒数。

  • 默认:

    • 1 秒,早于 Junos OS 23.4R1 版(无 iked 进程)

    • 从带有 iked 进程的 Junos OS 23.4R1 版开始:
      • 3 秒,适用于 IKEv1 发起方和 IKEv2 响应方。

      • 0 秒,对于其余方案

  • 范围: 0 到 10 秒。

    您可以从 CLI 配置 0-10 秒,并且仅在数据平面中对 IKEv1 发起方或 IKEv2 响应方生效。CLI 配置的值优先于默认值。

ipsec-policy

指定 IPsec 策略名称。

no-anti-replay

禁用 IPsec 的防重放检查功能。防重放是一项 IPsec 功能,可以检测数据包何时被攻击者拦截然后重放。默认情况下,防重放检查处于启用状态。

proxy-identity

(可选)指定要在协商中使用的 IPsec 代理 ID。默认值是基于 IKE 网关的身份。如果 IKE 网关是 IPv6 站点到站点网关,则默认代理 ID 为 ::/0。如果 IKE 网关是 IPv4 网关或者动态端点或拨号网关,则默认代理 ID 为 0.0.0.0/0。

  • local— 为代理身份指定本地 IPv4 或 IPv6 地址和子网掩码。

  • remote— 为代理身份指定远程 IPv4 或 IPv6 地址和子网掩码。

  • service— 指定要保护的服务(端口和协议组合)。服务的名称由 ( )Interface Host-Inbound Trafficsystem-services ()Zone Host-Inbound Traffic 定义system-services

其余语句将单独解释。请参阅 CLI 资源管理器

所需权限级别

安全性 - 在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

Junos OS 8.5 版中引入的语句。支持。

语句 anti-replay-window-size 在 Junos OS 19.2R1 版中引入。

Junos OS 23.4R1 版中添加了对 idle-time 运行 iked 进程的 IPsec VPN 的支持和 install-interval 选项。