Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchy Level

Description

配置 IPsec VPN。VPN 提供了一种让远程计算机通过公共 WAN(例如互联网)安全通信的方法。VPN 连接可以链接两个 LAN(站点到站点 VPN)或一个远程拨号用户和一个 LAN。这两点之间的流量通过共享资源,如路由器、交换机和其他构成公共 WAN 的网络设备。为了在通过 WAN 时保护 VPN 通信的安全,两个参与方会创建一个 IP 安全 (IPsec) 隧道。IPsec 是一套相关协议,用于在 IP 数据包层加密地保护通信。

Options

vpn 名称

VPN 名称。

绑定接口

配置基于路由的虚拟专用网 (VPN) 与之绑定的通道接口。

复制外部 dscp

允许将差异服务代码点 (DSCP) (外部 DSCP+ECN) 字段从外部 IP 报头加密数据包复制到解密路径上的内部 IP 标头纯文本消息。启用此功能的好处是,IPsec 解密后,清除文本数据包可以遵循内部 CoS (DSCP+ECN) 规则。

分配配置文件

指定分配配置文件以分配隧道。引入此 distribution-profile 选项时,管理员可以选择机箱中的哪些 PIC 应处理与某个 VPN 对象关联的隧道。如果选择默认配置文件(如 default-spc3-profiledefault-spc2-profile 未被选中),则可以选择新的用户定义配置文件。在配置文件中,您需要提及灵活 PIC 集中器 (FPC) 插槽和 PIC 编号。当此类配置文件与 VPN 对象相关联时,所有匹配的隧道均分布在这些 PIC 中。

  • 值:

    • 默认 spc2 配置文件 — 默认组,仅用于在 SPC2 上分配隧道

    • 默认 -spc3 配置文件 — 默认组,仅用于在 SPC3 上分配隧道

    • 分配配置文件名称 — 分配配置文件的名称。

df 位

指定设备如何处理外部标头中的不分段 (DF) 位。

在 SRX5400、SRX5600 和 SRX5800 设备上,只有当原始数据包大小小于 st0 接口 MTU 且大于外部接口-ipsec 开销时,VPN 的 DF 位配置才会工作。

  • 值:

    • clear—从外部标头清除(禁用)DF 位。这是默认值。

    • copy—将 DF 位复制到外部标头。

    • set—将 DF 位设置在外部标头中(启用)。

建立隧道

指定 IKE 何时激活:立即配置 VPN 信息并提交配置更改,或者仅在数据流量流时完成。如果未指定此配置,IKE 将仅在数据信息流时激活。

  • 值:

    • immediately—在提交 VPN 配置更改后,IKE 会立即激活。

      从 Junos OS 15.1X49-D70 版开始,如果您为具有或 shared-ike-id IKE 用户类型的 IKE 网关group-ike-id配置establish-tunnels immediately了选项(例如使用 AutoVPN 或远程访问 VPN),将显示警告消息。该 establish-tunnels immediately 选项不适合这些 VPN,因为多个 VPN 隧道可能与单个 VPN 配置相关联。提交配置将成功,但是 establish-tunnels immediately 配置将被忽略。隧道接口的状态将一直开动,在配置选项时 establish-tunnels immediately ,在之前的版本中并非如此。

    • on-traffic—IKE 仅在数据流量流时才激活,必须与对等网关协商。这是默认行为。

    • responder-only— 响应由对等网关发起但不会从设备启动 IKE 协商的 IKE 协商。当另一家供应商的对等网关从发起网关中查看信息流选择器中的协议和端口值时,需要此选项。 responder-only 选项,在 Junos OS 19.1R1 版中添加。

      此选项在默认未启用的统一墨水进程中受支持。管理员必须执行 request system software add optional://junos-ike.tgz 命令才能加载 junos-ike 软件包。

    • responder-only-no-rekey—选项不会从设备上建立任何 VPN 隧道,因此 VPN 隧道将从远程对等方启动。已建立的隧道不会从设备开始任何重新密钥,并依靠远程对等方启动此重新密钥。如果未进行重新密钥,则隧道在硬生存期过期后被关闭。

      此选项在默认未启用的统一墨水进程中受支持。管理员必须执行 request system software add optional://junos-ike.tgz 命令才能加载 junos-ike 软件包。

艾克

定义 IKE 密钥 IPsec VPN。

手册

定义手动 IPsec 安全关联 (SA)。

多 sa

根据配置选择协商多个安全关联 (SA)。多个 SA 与同一 IKE SA 上的同一流量选择器协商。

流量选择器

将多组本地 IP 地址前缀、远程 IP 地址前缀、源端口范围、目标端口范围和协议配置为 IPsec 隧道的信息流选择器。

匹配方向

应用规则匹配的方向

  • 值:

    • 输入 — 接口输入匹配

    • 输出 — 接口输出匹配

被动模式隧道

IPSec 封装前无主动 IP 数据包检查

隧道 -mtu

最大传输数据包大小

  • 范围:256 至 9192

udp 封装

(可选)将指定的 UDP 目标端口用于附加到 ESP 封装的 UDP 标头。通过在数据包的 IPsec 封装中添加 UDP 标头,实现 IPsec 流量的多路径转发。这样做会提高 IPsec 流量的吞吐量。如果不启用 UDP 封装,所有 IPsec 流量都遵循单个转发路径,而不是使用多个可用路径。

  • 范围:1025 至 65536。请勿使用 4500。

  • 默认:如果未包含 udp-dest-port 语句,默认 UDP 目标端口为 4565。

vpn 监控器

配置用于 VPN 监控的设置。

其余语句将单独解释。请参阅 CLI Explorer

Required Privilege Level

安全性 — 要在配置中查看此语句。

安全控制 — 要将此语句添加到配置中。

Release Information

在 Junos OS 8.5 版中引入的语句。

支持 Junos OS 版本 11.1 中添加的 IPv6 地址。

copy-outer-dscp支持在 Junos OS 15.1X49-D30 版中添加。

verify-path 关键字并在 destination-ip Junos OS 版本 15.1X49-D70 中添加。

packet-size 选项,在 Junos OS 15.1X49-D120 版中添加。

termprotocoldestination-portsource-portmetric支持 Junos OS 版本 21.1R1 中引入的、和description选项。