为 IPsec 动态端点隧道配置 IKE 访问配置文件
对于所有动态对等方,每个服务集只能配置一个隧道配置文件。配置文件中配置的预共享密钥用于对在该服务集中终止的所有动态对等方进行 IKE 身份验证。
IKE 隧道配置文件指定完成 IKE 协商所需的所有信息。有关访问配置文件的详细信息,请参阅 Junos 系统基础知识配置指南。
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
注意:
对于动态对等方,Junos OS 仅支持采用预共享密钥身份验证方法的 IKE 主 模式。在此模式下,IPv4 或 IPv6 地址用于标识隧道对等方以获取预共享密钥信息。 客户端 值 * (通配符)表示此配置文件中的配置对访问此配置文件的服务集中终止的所有动态对等方有效。
以下语句是 IKE 配置文件的各个部分:
允许代理对 — 在第 2 阶段 IKE 协商期间,远程对等方提供其网络地址(远程)和对等方的网络地址(本地)。由于多个动态隧道通过同一机制进行身份验证,因此此语句必须包含可能的组合列表。如果动态对等方未提供有效的组合,则第 2 阶段 IKE 协商将失败。
默认情况下,如果未配置任何值,则使用远程 0.0.0.0/0 本地 0.0.0.0/0。
预共享密钥 — 用于在 IKE 第 1 阶段协商期间对动态对等方进行身份验证的必需密钥。此密钥必须在隧道的两端配置,并通过带外安全机制进行分发。您可以使用 十六进制 或 ASCII 文本 格式配置键值。
接口 ID — 接口标识符,用于派生会话的逻辑服务接口信息的必需属性。
ipsec 策略 — 定义会话的 IPsec 策略信息的 IPsec 策略的名称。您可以在层次结构级别定义 IPsec 策略
[edit services ipsec-vpn ipsec policy policy-name]。如果未设置策略,则接受动态对等方提出的任何策略。