gateway (Security IKE)
Syntax
gateway gateway-name { aaa { access-profile access-profile { config-payload-password config-payload-password; } client { password; username; } } address [ip-address-or-hostname]; advpn { suggester { disable; } partner { connection-limit number; idle-threshold packets/sec; idle-time seconds; disable; } } dead-peer-detection { (always-send | optimized | probe-idle-tunnel); interval seconds; threshold number; } dynamic { connections-limit number; distinguished-name { container container-string; wildcard wildcard-string } general-ikeid; hostname domain-name; ike-user-type (group-ike-id | shared-ike-id); inet ip-address; inet6 ipv6-address; reject-duplicate-connection; user-at-hostname e-mail-address; } external-interface external-interface-name; fragmentation { disable; size bytes; } general-ikeid; ike-policy policy-name; local-address (ipv4-address | ipv6-address); local-identity { (distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address); } nat-keepalive seconds; no-nat-traversal; remote-identity { (distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address); } tcp-encap-profile profile-name; version (v1-only | v2-only); }
Hierarchieebene
[edit security ike]
Beschreibung
Konfigurieren Sie ein IKE-Gateway.
Optionen
gateway-name | Name des Gateways. |
||||
address | Geben Sie die IPv4- oder IPv6-Adresse oder den Hostnamen des primären IKE-Gateways (Internet Key Exchange) und bis zu vier Backup-Gateways an.
|
||||
aaa | Geben Sie an, dass zusätzlich zur IKE Phase 1-Authentifizierung für Remotebenutzer, die versuchen, auf einen VPN-Tunnel zuzugreifen, eine erweiterte Authentifizierung durchgeführt wird. |
||||
advpn | Aktivieren Sie das Auto Discovery VPN (ADVPN)-Protokoll auf dem angegebenen Gateway. ADVPN richtet dynamisch VPN-Tunnel zwischen Spokes ein, um das Routing des Datenverkehrs durch den Hub zu vermeiden. |
||||
dead-peer-detection | Ermöglichen Sie dem Gerät die Verwendung von Dead Peer Detection (DPD). |
||||
dynamic | Geben Sie den Bezeichner für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse an. Verwenden Sie diese Anweisung, um ein VPN mit einem Gateway einzurichten, das eine nicht spezifizierte IPv4- oder IPv6-Adresse hat. |
||||
external-interface | Name der Schnittstelle, die verwendet werden soll, um Datenverkehr an das IPsec-VPN zu senden. Geben Sie die ausgehende Schnittstelle für IKE-SAs an. Diese Schnittstelle ist mit einer Zone verbunden, die als Netzbetreiber fungiert und firewallsicherheit für sie bietet. |
||||
fragmentation | Deaktivieren Sie die IKEv2-Paketfragmentierung und konfigurieren Sie optional die maximale Größe einer IKEv2-Nachricht, bevor die Nachricht in Fragmente aufgeteilt wird, die einzeln verschlüsselt und authentifiziert werden.
|
||||
general-ikeid | Akzeptieren Sie Peer-IKE-ID im Allgemeinen. |
||||
ike-policy | Geben Sie die IKE-Richtlinie an, die für das Gateway verwendet werden soll. |
||||
local-address | Lokale IP-Adresse für IKE-Verhandlungen. Geben Sie die lokale Gateway-Adresse an. Mehrere Adressen derselben Adressfamilie können auf einer externen physischen Schnittstelle zu einem VPN-Peer konfiguriert werden. Wenn dies der Fall ist, empfehlen wir die Der |
||||
local-identity | Geben Sie die lokale IKE-Identität an, die im Exchange mit dem Ziel-Peer gesendet werden soll, um die Kommunikation herzustellen. |
||||
nat-keepalive | Geben Sie das Intervall an, in dem NAT-Keepalive-Pakete (Sekunden) gesendet werden können, damit die NAT-Übersetzung fortgesetzt wird. Der Standardwert wurde in Junos OS Version 12.1X46-D10 von 5 Sekunden auf 20 Sekunden geändert.
|
||||
no-nat-traversal | Deaktivieren Sie den IPSec-NAT-Traversal. Deaktiviert die UDP-Kapselung von IPsec-Kapselungs-ESP-Paketen (Security Payload), auch bekannt als Network Address Translation Traversal (NAT-T). NAT-T ist standardmäßig aktiviert. |
||||
tcp-encap-profile | Geben Sie das TCP-Kapselungsprofil an, das für TCP-Verbindungen für Ras-Clients verwendet werden soll. |
||||
version | Geben Sie die IKE-Version an, die zum Initiieren der Verbindung verwendet werden soll.
|
Erforderliche Berechtigungsstufe
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 8.5. Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden. Die inet6
In Junos OS Version 11.1 hinzugefügte Option. Unterstützung für die advpn
in Junos OS Version 12.3X48-D10 hinzugefügte Option.
Die Option fragmentation
wird in Junos OS Version 15.1X49-D80 eingeführt.
general-ikeid
option under [edit security ike gateway gateway-name dynamic]
hierarchy wird in Junos OS Version 21.1R1 eingeführt.