Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

dynamic (Security)

Syntax

Hierarchy Level

Description

Geben Sie die Kennung für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse an. Verwenden Sie diese Anweisung, um ein VPN mit einem Gateway einzurichten, das eine unspezifische IPv4- oder IPv6-Adresse aufweist.

Options

Verbindungen begrenzen

Konfigurieren Sie die Anzahl der gleichzeitigen Verbindungen, die das Gruppenprofil unterstützt. Wenn die maximale Anzahl von Verbindungen erreicht wird, dürfen keine dynamischen VPN-Endpunkte mehr Benutzer einwählen, die versuchen, auf ein IPsec-VPN zuzugreifen, mit den Verhandlungen über Internet Key Exchange (IKE) beginnen. Diese Konfiguration gilt für Geräte wie SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500, SRX4100, SRX4200, SRX4600 und vSRX-Instanzen sowie für Für AutoVPN konfigurierte SrX5400-, SRX5600- und SRX5800-Geräte.

Distinguished Name

Geben Sie einen definierten Namen als Identifikator für das Remote-Gateway mit einer dynamischen IP-Adresse an.

allgemein-ikeid

Deaktiviert die IKE-ID-Validierung. Wenn diese Option aktiviert ist, überspringt der neue iked-Prozess die IKE-ID-Validierung. Nach dem Überspringen der IKE ID-Validierung setzt der neue iked-Prozess weiterhin die Authentifizierung gemäß dem IKE-Standard fort. general-ikeid ist eine optionale Konfigurationsanweisung.

Hostname

Name, unter dem ein mit dem Netzwerk verbundenes Gerät in einem Netzwerk bekannt ist. Ein vollständig qualifizierter Domänenname (FQDN) oder partieller FQDN, der mit dem X.509 PKI-Zertifikat eines Peers übereinstimmen kann. Ein teilweises FQDN wird im Zertifikat des Peer-Geräts mit dem rechten Teil des alternativen Betrefffelds abgegleicht. Die teilweise FQDN-example.net kann beispielsweise Geräte mit host1.example.net oder host2.example.net im alternativen Betrefffeld ihrer Zertifikate übereinstimmen. Beachten Sie, dass die teilweise FQDN-example.net nicht mit host1.example.network.com oder host2.net.com übereinstimmt, da example.net im alternativen Betrefffeld nicht der am besten geeignete Wert ist. Bei AutoVPN kann ein teilweises FQDN in Kombination mit ike-user-type group-ike-id verwendet werden, um einen bestimmten remoten Benutzer oder Peer zu identifizieren, wenn mehrere Peers einen gemeinsamen Domänennamen haben.

IKE-Benutzertyp

Konfigurieren Sie den Typ des IKE-Benutzers für eine Remotezugriffsverbindung.

  • Werte:

    • group-ike-id: E-Mail-Adresse oder vollständig qualifizierter Domänenname (FQDN), die von einer Gruppe von Remotezugriffsbenutzern gemeinsam genutzt werden, sodass kein separates IKE-Profil konfiguriert werden muss. Wenn Gruppen-IKE-IDs konfiguriert werden, ist die IKE-ID jedes Benutzers eine Verkettung eines benutzerspezifischen Teils und eines Teils, das allen IKE-ID-Benutzern der Gruppe gemeinsam ist. Der Benutzer Bob kann beispielsweise "Bob.example.net" als vollständige IKE-ID verwenden, bei der ".example.net" allen Benutzern gemeinsam ist. Die vollständige IKE-ID wird verwendet, um jede Benutzerverbindung eindeutig zu identifizieren. Gruppen-IKE-IDs erfordern die Erstellung eines eindeutigen Preshared-Schlüssels basierend auf dem bei der VPN-Verbindung angegebenen Benutzernamen, der mit dem show security ike pre-shared-key Befehl angezeigt werden kann.

    • shared-ike-id: E-Mail-Adresse, die von einer großen Anzahl von Remotezugriffsbenutzern gemeinsam genutzt wird, sodass jeder Benutzer kein separates IKE-Profil konfigurieren muss. Wenn eine gemeinsam genutzte IKE-ID konfiguriert ist, teilen sich alle Benutzer eine einzige IKE-ID und einen einzigen IKE-Preshared-Schlüssel. Jeder Benutzer wird über die obligatorische XAuth-Phase authentifiziert, in der die Anmeldeinformationen einzelner Benutzer entweder mit einem externen RADIUS-Server oder mit einer lokalen Zugriffsdatenbank überprüft werden. XAuth ist für freigegebene IKE-IDs erforderlich.

Inet

Verwenden Sie eine IPV4-Adresse, um den dynamischen Peer zu identifizieren.

inet6

Verwenden Sie eine IPV6-Adresse, um den dynamischen Peer zu identifizieren.

Ablehnen-Duplikat-Verbindung

Neue Verbindung von doppelter IKE-ID ablehnen.

Benutzer-at-Hostname

Verwenden Sie eine E-Mail-Adresse.

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Anweisung geändert in Junos OS Version 8.5. Unterstützung für die inet6 in Junos OS Version 11.1 hinzugefügte Option.

general-ikeid[edit security ike gateway gateway-name dynamic] unter Hierarchie wird in Junos OS Version 21.1R1 eingeführt.