group (Security Group VPN)
语法
group name {
anti-replay-time-window milliseconds;
description description;
group-id number;
ike-gateway gateway-name;
ipsec-sa name {
match-policy policy-name {
destination ip-address/netmask;
destination-port number;
protocol number;
source ip-address/netmask;
source-port number;
}
proposal proposal-name;
}
member-threshold number;
server-cluster {
ike-gateway gateway-name;
retransmission-period seconds;
server-role (root-server | sub-server);
}
server-member-communication {
certificate certificate-id;
communication-type (unicast);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
number-of-retransmission number;
retransmission-period seconds;
sig-hash-algorithm (sha-256 | sha-384);
}
}
层次结构级别
[edit security group-vpn server]
说明
在组服务器上配置组 VPN。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备和 vSRX 实例支持 VPNv2 组。
选项
name- 组的名称。
anti-replay-time-window milliseconds- 配置反播放时间(以毫秒为单位)。指定 1 到 60,000 的值。我们建议在 VPNv2 组设备上配置 NTP,以确保反回放操作正确。
在重负载下运行虚拟机管理程序的主机的 vSRX 实例上运行的组成员可能会遇到问题,可以通过重新配置
anti-replay-time-window值来纠正。如果未传输与组成员上的 IPsec 策略匹配的数据,请检查输出中的show security group-vpn member ipsec statisticsD3P 错误。确保 NTP 运行正常。如果存在错误,请anti-replay-time-window调整值。description description-组说明。group-id number- 此组 VPN 的标识符。指定 1 到 4,294,967,295 的值。ike-gateway gateway-name- 定义第 1 阶段协商的组成员。此选项可以配置多个实例。当组成员向服务器发送其注册请求时,服务器会检查成员是否为该组配置了成员。ipsec-sa name- 配置要下载给成员的组 SA。可以将多个组 SA 下载到组成员。member-threshold number- 指定可在组中接受的最大组 VPN 成员数。必须在根服务器和组服务器群集中的所有子服务器上配置相同的member-threshold值。可以为一个组配置的最大编号取决于组服务器平台。此外,在组服务器上配置的所有组的数字之和
member-threshold不得超过组服务器平台的容量。server-cluster-为指定组配置组解释域 (GDOI) 组控制器/密钥服务器 (GCKS) 群集。一个组 VPN 服务器群集中的所有服务器都必须是 SRX 系列设备。server-member-communication-启用和配置服务器到成员通信。配置这些选项后,组成员会在当前密钥到期之前收到新密钥。
必需的权限级别
安全性 — 可在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 10.2 版中引入的语句
member-threshold 在适用于 vSRX 的 Junos OS 15.1X49-D30 版中引入的选项。