gateway (Security IKE)
Syntax
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-address-or-hostname];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
general-ikeid;
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
Hierarchy Level
[edit security ike]
Description
Konfigurieren Sie ein IKE Gateway.
Options
| Gateway-Name | Name des Gateways. |
||||
| Adresse | Geben Sie die IPv4- oder IPv6-Adresse bzw. den Hostnamen des primären Internet Key Exchange-Gateways (IKE) sowie bis zu vier Backup-Gateways an.
|
||||
| Aaa | Legen Sie fest, dass eine erweiterte Authentifizierung zusätzlich zur IKE Phase 1-Authentifizierung für Remotebenutzer ausgeführt wird, die versuchen, auf einen VPN-Tunnel zu zugreifen. |
||||
| Advpn | Aktivieren des Auto Discovery VPN (ADVPN)-Protokolls auf dem angegebenen Gateway. ADVPN stellt dynamisch VPN-Tunnel zwischen Spokes her, um Datenverkehr durch den Hub zu vermeiden. |
||||
| Dead Peer Detection | Ermöglichen Sie die Verwendung von Dead Peer Detection (DPD) auf dem Gerät. |
||||
| Dynamische | Kennung für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse angeben. Mit dieser Anweisung können Sie ein VPN mit einem Gateway einrichten, das über eine unbekannte IPv4- oder IPv6-Adresse verfügt. |
||||
| externe Schnittstelle | Name der Schnittstelle, die zum Senden von Datenverkehr an das IPSec-VPN verwendet wird. Geben Sie die ausgehende Schnittstelle für IKE-SAs an. Diese Schnittstelle ist mit einer Zone verknüpft, die als Carrier agiert und firewallsicherheit für sie bietet. |
||||
| Fragmentierung | Deaktivieren Sie die IKEv2-Paketfragmentierung, und konfigurieren Sie optional die maximale Größe einer IKEv2-Nachricht, bevor die Nachricht in fragmente aufgeteilt wird, die einzeln verschlüsselt und authentifiziert sind.
|
||||
| general-ikeid | Akzeptieren Sie die IKE-ID im Allgemeinen. |
||||
| ike-Richtlinie | Geben Sie die IKE An, die für das Gateway verwendet werden soll. |
||||
| Lokale Adresse | Lokale IP-Adresse für IKE Aussprache. Geben Sie die lokale Gatewayadresse an. Es können mehrere Adressen in derselben Adressfamilie an einer externen physischen Schnittstelle zu einem VPN-Peer konfiguriert werden. Wenn dies der Fall ist, empfehlen wir eine Der Wert muss eine IP-Adresse sein, die an einer Schnittstelle des Geräts der |
||||
| Lokale Identität | Geben Sie die lokale IKE-Identität an, die an den Exchange-Peer gesendet werden soll, um die Kommunikation zu herstellen. |
||||
| NAT-Keepalive | Geben Sie das Intervall an, in dem NAT Pakete (Sekunden) gesendet werden können, sodass NAT weitergeht. Der Standardwert wurde in der Veröffentlichungsversion von 5 Sekunden auf 20 Junos OS 5 Sekunden 12.1X46-D10.
|
||||
| no-nat-traversal | DEAKTIVIEREN SIE IPSec-NAT-Traversal. Deaktiviert die UDP-Einkapselung von IPsec-Einkapselung von Security Payload (ESP)-Paketen, die auch als Network Address Translation Traversal (NAT-T) bekannt sind. NAT-T ist standardmäßig aktiviert. |
||||
| TCP-Einkapselungsprofil | Geben Sie das TCP-Einkapselungsprofil an, das für TCP-Verbindungen für Remote-Zugriffsclients verwendet werden soll. |
||||
| Version | Geben Sie die IKE-Version an, die zum Herstellen der Verbindung verwendet werden soll.
|
Required Privilege Level
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security Control: Um diese Aussage der Konfiguration hinzuzufügen.
Release Information
Statement eingeführt in Junos OS Version 8.5. Unterstützung für in Version 11.1 Junos OS hinzugefügte IPv6-Adressen. Die inet6 in Version Junos OS 11.1 hinzugefügte Option. Unterstützung der im advpn Veröffentlichungsversions-Junos OS hinzugefügten 12.3X48-D10.
Option fragmentation wird in der Junos OS Release 15.1X49-D80.
general-ikeid Option unter [edit security ike gateway gateway-name dynamic] Hierarchie wird in der Junos OS Version 21.1R1 eingeführt.