gateway (Security IKE)
Syntax
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-address-or-hostname];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
general-ikeid;
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
Hierarchieebene
[edit security ike]
Beschreibung
Konfigurieren Sie ein IKE-Gateway.
Optionen
| gateway-name | Name des Gateways. |
||||
| address | Geben Sie die IPv4- oder IPv6-Adresse oder den Hostnamen des primären IKE-Gateways (Internet Key Exchange) und bis zu vier Backup-Gateways an.
|
||||
| aaa | Geben Sie an, dass zusätzlich zur IKE Phase 1-Authentifizierung für Remotebenutzer, die versuchen, auf einen VPN-Tunnel zuzugreifen, eine erweiterte Authentifizierung durchgeführt wird. |
||||
| advpn | Aktivieren Sie das Auto Discovery VPN (ADVPN)-Protokoll auf dem angegebenen Gateway. ADVPN richtet dynamisch VPN-Tunnel zwischen Spokes ein, um das Routing des Datenverkehrs durch den Hub zu vermeiden. |
||||
| dead-peer-detection | Ermöglichen Sie dem Gerät die Verwendung von Dead Peer Detection (DPD). |
||||
| dynamic | Geben Sie den Bezeichner für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse an. Verwenden Sie diese Anweisung, um ein VPN mit einem Gateway einzurichten, das eine nicht spezifizierte IPv4- oder IPv6-Adresse hat. |
||||
| external-interface | Name der Schnittstelle, die verwendet werden soll, um Datenverkehr an das IPsec-VPN zu senden. Geben Sie die ausgehende Schnittstelle für IKE-SAs an. Diese Schnittstelle ist mit einer Zone verbunden, die als Netzbetreiber fungiert und firewallsicherheit für sie bietet. |
||||
| fragmentation | Deaktivieren Sie die IKEv2-Paketfragmentierung und konfigurieren Sie optional die maximale Größe einer IKEv2-Nachricht, bevor die Nachricht in Fragmente aufgeteilt wird, die einzeln verschlüsselt und authentifiziert werden.
|
||||
| general-ikeid | Akzeptieren Sie Peer-IKE-ID im Allgemeinen. |
||||
| ike-policy | Geben Sie die IKE-Richtlinie an, die für das Gateway verwendet werden soll. |
||||
| local-address | Lokale IP-Adresse für IKE-Verhandlungen. Geben Sie die lokale Gateway-Adresse an. Mehrere Adressen derselben Adressfamilie können auf einer externen physischen Schnittstelle zu einem VPN-Peer konfiguriert werden. Wenn dies der Fall ist, empfehlen wir die Der |
||||
| local-identity | Geben Sie die lokale IKE-Identität an, die im Exchange mit dem Ziel-Peer gesendet werden soll, um die Kommunikation herzustellen. |
||||
| nat-keepalive | Geben Sie das Intervall an, in dem NAT-Keepalive-Pakete (Sekunden) gesendet werden können, damit die NAT-Übersetzung fortgesetzt wird. Der Standardwert wurde in Junos OS Version 12.1X46-D10 von 5 Sekunden auf 20 Sekunden geändert.
|
||||
| no-nat-traversal | Deaktivieren Sie den IPSec-NAT-Traversal. Deaktiviert die UDP-Kapselung von IPsec-Kapselungs-ESP-Paketen (Security Payload), auch bekannt als Network Address Translation Traversal (NAT-T). NAT-T ist standardmäßig aktiviert. |
||||
| tcp-encap-profile | Geben Sie das TCP-Kapselungsprofil an, das für TCP-Verbindungen für Ras-Clients verwendet werden soll. |
||||
| version | Geben Sie die IKE-Version an, die zum Initiieren der Verbindung verwendet werden soll.
|
Erforderliche Berechtigungsstufe
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 8.5. Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden. Die inet6 In Junos OS Version 11.1 hinzugefügte Option. Unterstützung für die advpn in Junos OS Version 12.3X48-D10 hinzugefügte Option.
Die Option fragmentation wird in Junos OS Version 15.1X49-D80 eingeführt.
general-ikeid option under [edit security ike gateway gateway-name dynamic] hierarchy wird in Junos OS Version 21.1R1 eingeführt.