IKE 访问配置文件
互联网密钥交换 (IKE) 访问配置文件用于与动态对等方协商 IKE 和 IPsec 安全关联。每个服务集只能为所有动态对等方配置一个隧道配置文件。配置文件中配置的预共享密钥用于对在该服务集中终止的所有动态对等方的 IKE 身份验证。您还可以使用数字证书方法与动态对等方一起进行 IKE 身份验证。在层次结构级别中[edit access profile profile-name client * ike]包含语ike-policy policy-name句。policy-name是您在层级定义的 IKE 策略的[edit services ipsec-vpn ike policy policy-name]名称。
IKE 隧道配置文件指定完成 IKE 协商所需的所有信息。每个协议在客户端语句中都有自己的语句层次结构,用于配置协议特定属性值对,但每个配置文件只允许一个客户端配置。以下为配置层次结构。
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } dead-peer-detection{ interval seconds threshold number } ike-policy policy-name; initiate-dead-peer-detection; interface-id string-value; ipsec-policy ipsec-policy; pre-shared-key (ascii-text character-string | hexadecimal hexadecimal-digits); reverse-route } } }
对于动态对等方,Junos OS 仅支持采用预共享密钥和数字证书方法的 IKE 主模式。在此模式下,IPv6 或 IPv4 地址用于识别隧道对等方,以获取预共享密钥或数字证书信息。客户端值 * (通配符)表示,此配置文件中的配置对于访问此配置文件的服务集内终止的所有动态对等方均有效。
以下语句组成了 IKE 配置文件:
allowed-proxy-pair—在第 2 阶段 IKE 协商期间,远程对等方会提供其网络地址 (remote) 及其对等方的网络地址 (local)。由于多个动态隧道通过相同的机制进行身份验证,因此此语句必须包含可能的组合列表。如果动态对等方没有提供有效的组合,则第 2 阶段 IKE 协商将失败。
默认情况下, remote 0.0.0.0/0 local 0.0.0.0/0 未配置值时使用。
dead-peer-detection—使设备能够使用失效对等方检测 (DPD)。DPD 是设备用来验证 IPsec 对等设备当前存在和可用性的方法。设备通过向对等方发送加密 IKE 第 1 阶段通知有效负载 (R-U-THERE) 并等待 DPD 确认 (R-U-THERE-ACK) 来执行此验证。使用 选项interval指定应发送哪些消息之间的秒数。使用threshold选项指定要发送的最大消息数 (1-10)。ike-policy— IKE 策略的名称,用于定义本地数字证书或用于在 IKE 协商期间验证动态对等方身份的预共享密钥。您必须包括此语句,才能使用数字证书方法与动态对等方进行 IKE 认证。您可在[edit services ipsec-vpn ike policy policy-name]层次结构级别定义 IKE 策略。initiate-dead-peer-detection—在动态 IPsec 隧道上检测死对等方。interface-id—接口标识符,用于派生会话逻辑服务接口信息的必需属性。ipsec-policy—定义会话 IPsec 策略信息的 IPsec 策略名称。您可在[edit services ipsec-vpn ipsec policy policy-name]层次结构级别定义 IPsec 策略。如果未设置策略,则接受动态对等方提出的任何策略。pre-shared-key— 用于在 IKE 第 1 阶段协商期间验证动态对等方的密钥。此密钥通过带外安全机制在两端都已知。您可以以或ascii-text格式配置值hexadecimal。这是一个强制性的价值。reverse-route—(仅限 AS 或多服务 PIC 的 M 系列和 MX 系列路由器)为动态端点 IPsec 隧道配置反向路由。