Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

gateway (Security IKE)

Syntax

Hierarchy Level

Description

Konfigurieren Sie ein IKE Gateway.

Options

Gateway-Name

Name des Gateways.

Adresse

Geben Sie die IPv4- oder IPv6-Adresse bzw. den Hostnamen des primären Internet Key Exchange-Gateways (IKE) sowie bis zu vier Backup-Gateways an.

  • Werte:

    • Adresse: IPv4- oder IPv6-Adresse oder Hostname eines IKE Gateways.

Aaa

Legen Sie fest, dass eine erweiterte Authentifizierung zusätzlich zur IKE Phase 1-Authentifizierung für Remotebenutzer ausgeführt wird, die versuchen, auf einen VPN-Tunnel zu zugreifen.

Advpn

Aktivieren des Auto Discovery VPN (ADVPN)-Protokolls auf dem angegebenen Gateway. ADVPN stellt dynamisch VPN-Tunnel zwischen Spokes her, um Datenverkehr durch den Hub zu vermeiden.

Dead Peer Detection

Ermöglichen Sie die Verwendung von Dead Peer Detection (DPD) auf dem Gerät.

Dynamische

Kennung für das Remote-Gateway mit einer dynamischen IPv4- oder IPv6-Adresse angeben. Mit dieser Anweisung können Sie ein VPN mit einem Gateway einrichten, das über eine unbekannte IPv4- oder IPv6-Adresse verfügt.

externe Schnittstelle

Name der Schnittstelle, die zum Senden von Datenverkehr an das IPSec-VPN verwendet wird. Geben Sie die ausgehende Schnittstelle für IKE-SAs an. Diese Schnittstelle ist mit einer Zone verknüpft, die als Carrier agiert und firewallsicherheit für sie bietet.

Fragmentierung

Deaktivieren Sie die IKEv2-Paketfragmentierung, und konfigurieren Sie optional die maximale Größe einer IKEv2-Nachricht, bevor die Nachricht in fragmente aufgeteilt wird, die einzeln verschlüsselt und authentifiziert sind.

Deaktivieren

Deaktiviert IKEv2-Fragmentierung. IKEv2-Fragmentierung ist standardmäßig aktiviert.

Bytes der Größe

Maximale Größe, in Bytes, einer IKEv2-Nachricht, bevor sie in Fragmente aufgeteilt wird. Die Größe gilt sowohl für IPv4- als auch für IPv6-Nachrichten.

  • Bereich: 500 bis 1.300 Byte

  • Standard: 576 Bytes für IPv4-Nachrichten und 1.280 Bytes für IPv6-Nachrichten

general-ikeid

Akzeptieren Sie die IKE-ID im Allgemeinen.

ike-Richtlinie

Geben Sie die IKE An, die für das Gateway verwendet werden soll.

Lokale Adresse

Lokale IP-Adresse für IKE Aussprache. Geben Sie die lokale Gatewayadresse an. Es können mehrere Adressen in derselben Adressfamilie an einer externen physischen Schnittstelle zu einem VPN-Peer konfiguriert werden. Wenn dies der Fall ist, empfehlen wir eine local-address Konfiguration. Wenn auf einer externen physischen Schnittstelle nur eine IPv4- und eine IPv6-Adresse konfiguriert sind, ist local-address eine Konfiguration nicht erforderlich.

Der Wert muss eine IP-Adresse sein, die an einer Schnittstelle des Geräts der local-address SRX-Serie konfiguriert ist. Wir empfehlen, local-address dass diese zur externen Schnittstelle des gateways IKE gehören. Wenn lokale Adressen nicht zur externen Schnittstelle des IKE-Gateways gehören, muss sich die Schnittstelle derselben Zone wie die externe Schnittstelle des IKE-Gateways befinden. Und eine zoneninterne Sicherheitsrichtlinie muss so konfiguriert werden, dass der Datenverkehr ermöglicht wird. Der Wert und die IKE Gateway-Adresse müssen sich in der gleichen Adressfamilie local-address (IPv4 oder IPv6) finden.

Lokale Identität

Geben Sie die lokale IKE-Identität an, die an den Exchange-Peer gesendet werden soll, um die Kommunikation zu herstellen.

NAT-Keepalive

Geben Sie das Intervall an, in dem NAT Pakete (Sekunden) gesendet werden können, sodass NAT weitergeht. Der Standardwert wurde in der Veröffentlichungsversion von 5 Sekunden auf 20 Junos OS 5 Sekunden 12.1X46-D10.

  • Standard: 20

  • Bereich: 1 bis 300

no-nat-traversal

DEAKTIVIEREN SIE IPSec-NAT-Traversal. Deaktiviert die UDP-Einkapselung von IPsec-Einkapselung von Security Payload (ESP)-Paketen, die auch als Network Address Translation Traversal (NAT-T) bekannt sind. NAT-T ist standardmäßig aktiviert.

TCP-Einkapselungsprofil

Geben Sie das TCP-Einkapselungsprofil an, das für TCP-Verbindungen für Remote-Zugriffsclients verwendet werden soll.

Version

Geben Sie die IKE-Version an, die zum Herstellen der Verbindung verwendet werden soll.

  • Werte:

    • Nur v1– Die Verbindung muss mithilfe von Version 1 IKE initiiert werden. Das ist der Standard.

    • Nur v2– Die Verbindung muss mit der Version IKE 2 initiiert werden

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Aussage der Konfiguration hinzuzufügen.

Release Information

Statement eingeführt in Junos OS Version 8.5. Unterstützung für in Version 11.1 Junos OS hinzugefügte IPv6-Adressen. Die inet6 in Version Junos OS 11.1 hinzugefügte Option. Unterstützung der im advpn Veröffentlichungsversions-Junos OS hinzugefügten 12.3X48-D10.

Option fragmentation wird in der Junos OS Release 15.1X49-D80.

general-ikeid Option unter [edit security ike gateway gateway-name dynamic] Hierarchie wird in der Junos OS Version 21.1R1 eingeführt.