Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

group (Security Group VPN)

语法

层次结构级别

说明

在组服务器上配置组 VPN。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。

选项

name- 组的名称。

  • anti-replay-time-window milliseconds- 配置反播放时间(以毫秒为单位)。指定 1 到 60,000 的值。

    我们建议在 VPNv2 组设备上配置 NTP,以确保反回放操作正确。

    在重负载下运行虚拟机管理程序的主机的 vSRX 实例上运行的组成员可能会遇到问题,可以通过重新配置 anti-replay-time-window 值来纠正。如果未传输与组成员上的 IPsec 策略匹配的数据,请检查输出中的 show security group-vpn member ipsec statistics D3P 错误。确保 NTP 运行正常。如果存在错误,请 anti-replay-time-window 调整值。

  • description description-组说明。

  • group-id number- 此组 VPN 的标识符。指定 1 到 4,294,967,295 的值。

  • ike-gateway gateway-name- 定义第 1 阶段协商的组成员。此选项可以配置多个实例。当组成员向服务器发送其注册请求时,服务器会检查成员是否为该组配置了成员。

  • ipsec-sa name- 配置要下载给成员的组 SA。可以将多个组 SA 下载到组成员。

  • member-threshold number- 指定可在组中接受的最大组 VPN 成员数。必须在根服务器和组服务器群集中的所有子服务器上配置相同的 member-threshold 值。

    可以为一个组配置的最大编号取决于组服务器平台。此外,在组服务器上配置的所有组的数字之和 member-threshold 不得超过组服务器平台的容量。

  • server-cluster-为指定组配置组解释域 (GDOI) 组控制器/密钥服务器 (GCKS) 群集。一个组 VPN 服务器群集中的所有服务器都必须是 SRX 系列设备。

  • server-member-communication-启用和配置服务器到成员通信。配置这些选项后,组成员会在当前密钥到期之前收到新密钥。

必需的权限级别

安全性 — 可在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

在 Junos OS 10.2 版中引入的语句

member-threshold 在适用于 vSRX 的 Junos OS 15.1X49-D30 版中引入的选项。