Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

gateway (Security IKE)

Syntax

Hierarchieebene

Beschreibung

Konfigurieren Sie ein IKE-Gateway.

Optionen

gateway-name

Name des Gateways.

address

Geben Sie die IPv4- oder IPv6-Adresse oder den Hostnamen des primären IKE-Gateways (Internet Key Exchange) und bis zu vier Backup-Gateways an.

  • Werte:

    • Adresse: IPv4- oder IPv6-Adresse oder Hostname eines IKE-Gateways.

aaa

Geben Sie an, dass zusätzlich zur IKE Phase 1-Authentifizierung für Remotebenutzer, die versuchen, auf einen VPN-Tunnel zuzugreifen, eine erweiterte Authentifizierung durchgeführt wird.

advpn

Aktivieren Sie das Auto Discovery VPN (ADVPN)-Protokoll auf dem angegebenen Gateway. ADVPN richtet dynamisch VPN-Tunnel zwischen Spokes ein, um das Routing des Datenverkehrs durch den Hub zu vermeiden.

dead-peer-detection

Ermöglichen Sie dem Gerät die Verwendung von Dead Peer Detection (DPD).

dynamic

Geben Sie den Bezeichner für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse an. Verwenden Sie diese Anweisung, um ein VPN mit einem Gateway einzurichten, das eine nicht spezifizierte IPv4- oder IPv6-Adresse hat.

external-interface

Name der Schnittstelle, die verwendet werden soll, um Datenverkehr an das IPsec-VPN zu senden. Geben Sie die ausgehende Schnittstelle für IKE-SAs an. Diese Schnittstelle ist mit einer Zone verbunden, die als Netzbetreiber fungiert und firewallsicherheit für sie bietet.

fragmentation

Deaktivieren Sie die IKEv2-Paketfragmentierung und konfigurieren Sie optional die maximale Größe einer IKEv2-Nachricht, bevor die Nachricht in Fragmente aufgeteilt wird, die einzeln verschlüsselt und authentifiziert werden.

disable

Deaktiviert die IKEv2-Fragmentierung. IKEv2-Fragmentierung ist standardmäßig aktiviert.

size bytes

Maximale Größe (in Bytes) einer IKEv2-Nachricht, bevor sie in Fragmente aufgeteilt wird. Die Größe gilt sowohl für IPv4- als auch für IPv6-Nachrichten.

  • Bereich: 500 bis 1.300 Bytes

  • Standard: 576 Bytes für IPv4-Nachrichten und 1280 Bytes für IPv6-Nachrichten

general-ikeid

Akzeptieren Sie Peer-IKE-ID im Allgemeinen.

ike-policy

Geben Sie die IKE-Richtlinie an, die für das Gateway verwendet werden soll.

local-address

Lokale IP-Adresse für IKE-Verhandlungen. Geben Sie die lokale Gateway-Adresse an. Mehrere Adressen derselben Adressfamilie können auf einer externen physischen Schnittstelle zu einem VPN-Peer konfiguriert werden. Wenn dies der Fall ist, empfehlen wir die local-address Konfiguration. Wenn auf einer externen physischen Schnittstelle nur eine IPv4- und eine IPv6-Adresse konfiguriert ist, local-address ist eine Konfiguration nicht erforderlich.

Der local-address Wert muss eine IP-Adresse sein, die auf einer Schnittstelle auf dem Gerät der SRX-Serie konfiguriert ist. Wir empfehlen, dass sie local-address zur externen Schnittstelle des IKE-Gateways gehören. Wenn die lokale Adresse nicht zur externen Schnittstelle des IKE-Gateways gehört, muss sich die Schnittstelle in derselben Zone wie die externe Schnittstelle des IKE-Gateways befinden, und eine zoneninterne Sicherheitsrichtlinie muss so konfiguriert werden, dass der Datenverkehr zugelassen wird. Der local-address Wert und die Remote-IKE-Gateway-Adresse müssen in derselben Adressfamilie sein, entweder IPv4 oder IPv6.

local-identity

Geben Sie die lokale IKE-Identität an, die im Exchange mit dem Ziel-Peer gesendet werden soll, um die Kommunikation herzustellen.

nat-keepalive

Geben Sie das Intervall an, in dem NAT-Keepalive-Pakete (Sekunden) gesendet werden können, damit die NAT-Übersetzung fortgesetzt wird. Der Standardwert wurde in Junos OS Version 12.1X46-D10 von 5 Sekunden auf 20 Sekunden geändert.

  • Standard: 20

  • Bereich: 1 bis 300

no-nat-traversal

Deaktivieren Sie den IPSec-NAT-Traversal. Deaktiviert die UDP-Kapselung von IPsec-Kapselungs-ESP-Paketen (Security Payload), auch bekannt als Network Address Translation Traversal (NAT-T). NAT-T ist standardmäßig aktiviert.

tcp-encap-profile

Geben Sie das TCP-Kapselungsprofil an, das für TCP-Verbindungen für Ras-Clients verwendet werden soll.

version

Geben Sie die IKE-Version an, die zum Initiieren der Verbindung verwendet werden soll.

  • Werte:

    • Nur v1: Die Verbindung muss mit IKE Version 1 initiiert werden. Dies ist der Standard.

    • Nur v2: Die Verbindung muss mit IKE Version 2 initiiert werden

Erforderliche Berechtigungsstufe

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.

Versionsinformationen

Erklärung eingeführt in Junos OS Version 8.5. Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden. Die inet6 In Junos OS Version 11.1 hinzugefügte Option. Unterstützung für die advpn in Junos OS Version 12.3X48-D10 hinzugefügte Option.

Die Option fragmentation wird in Junos OS Version 15.1X49-D80 eingeführt.

general-ikeid option under [edit security ike gateway gateway-name dynamic] hierarchy wird in Junos OS Version 21.1R1 eingeführt.