vpn (Security)
Syntax
vpn vpn-name { bind-interface interface-name; df-bit (clear | copy | set); distribution-profile (default-spc2-profile | default-spc3-profile | distribution-profile-name); copy-outer-dscp; establish-tunnels (immediately | on-traffic | responder-only | responder-only-no-rekey); match-direction (input | output); passive-mode-tunneling; tunnel-mtu tunnel-mtu; udp-encapsulate <dest-port dest-port>; ike { anti-replay-window-size anti-replay-window-size; gateway gateway-name; idle-time seconds; install-interval seconds; ipsec-policy ipsec-policy-name; no-anti-replay; proxy-identity { local ip-prefix; remote ip-prefix; service (any | service-name); } } manual { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-256-cbc | aes-256-gcm | des-cbc); key (ascii-text key | hexadecimal key); } external-interface external-interface-name; gateway ip-address; protocol (ah | esp); spi spi-value; } multi-sa { forwarding-class (expedited-forwarding | assured-forwarding | best-effort | network-control); } traffic-selector traffic-selector-name { local-ip ip-address/netmask; remote-ip ip-address/netmask; protocol protocol_name/protocol_id; source-port low-high; destination-port low-high; metric metric_value; description description_value; term term_name { local-ip ip-address/netmask; remote-ip ip-address/netmask; protocol protocol_name/protocol_id; source-port low-high; destination-port low-high; } } vpn-monitor { destination-ip ip-address; optimized; source-interface interface-name; verify-path { destination-ip ip-address; packet-size bytes; } } }
Hierarchieebene
[edit security ipsec]
Beschreibung
Konfigurieren Sie ein IPsec-VPN. Ein VPN bietet eine Möglichkeit, mit der Remote-Computer sicher über ein öffentliches WAN wie das Internet kommunizieren. Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-Wählbenutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, durch gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation während der Übertragung durch das WAN zu sichern, erstellen die beiden Teilnehmer einen IP Security (IPsec)-Tunnel. IPsec ist eine Suite verwandter Protokolle zur kryptografischen Sicherung der Kommunikation auf der IP-Paketschicht.
Optionen
vpn-name | Name des VPN. |
bind-interface | Konfigurieren Sie die Tunnelschnittstelle, an die das routenbasierte virtuelle private Netzwerk (VPN) gebunden ist. |
copy-outer-dscp | Aktivieren Sie das Kopieren des DSCP -Feldes (Differenzierte Services Code Point) (äußeres DSCP+ECN)-Feld aus dem äußeren verschlüsselten IP-Header in die innere IP-Header-Klartextnachricht auf dem Entschlüsselungspfad. Der Vorteil bei der Aktivierung dieser Funktion besteht darin, dass Klartextpakete nach der IPsec-Entschlüsselung den inneren CoS-Regeln (DSCP+ECN) folgen können. |
distribution-profile | Geben Sie ein Verteilungsprofil zum Verteilen von Tunneln an. Die
|
df-bit | Geben Sie an, wie das Gerät das "Don't Fragment"-Bit (DF) im äußeren Header verarbeitet. Auf SRX5400-, SRX5600- und SRX5800-Geräten funktioniert die DF-Bit-Konfiguration für VPN nur, wenn die ursprüngliche Paketgröße kleiner als die St0-Schnittstellen-MTU ist und größer ist als der externe Schnittstellen-ipsec-Overhead.
|
establish-tunnels | Geben Sie an, wann IKE aktiviert ist: unmittelbar nach der Konfiguration von VPN-Informationen und Konfigurationsänderungen oder nur, wenn der Datenverkehr fließt. Wenn diese Konfiguration nicht angegeben wird, wird IKE nur aktiviert, wenn der Datenverkehr fließt.
|
ike | Definieren eines IKE-keyed IPsec-VPN. |
manual | Definieren einer manuellen IPsec-Sicherheitszuordnung (SA). |
multi-sa | Aushandlung mehrerer Sicherheitszuordnungen (Security Association, SAs) basierend auf der Wahl der Konfiguration. Mehrere SAs werden mit demselben Datenverkehrs-Selektor auf derselben IKE SA ausgehandelt. |
traffic-selector | Konfigurieren Sie mehrere Sätze von lokalem IP-Adresspräfix, Remote-IP-Adresspräfix, Quellportbereich, Zielportbereich und Protokoll als Datenverkehrsauswahl für einen IPsec-Tunnel. |
match-direction | Richtung, für die die Regelgleich angewendet wird
|
passive-mode-tunneling | Keine aktiven IP-Paketprüfungen vor der IPSec-Kapselung |
tunnel-mtu | Maximale Übertragungspaketgröße
|
udp-encapsulation | (Optional) Verwenden Sie den angegebenen UDP-Zielport für den UDP-Header, der an die ESP-Kapselung angefügt wird. Aktivieren Sie die mehrfache Pfadweiterleitung von IPsec-Datenverkehr, indem Sie der IPsec-Kapselung von Paketen einen UDP-Header hinzufügen. Dadurch erhöht sich der Durchsatz des IPsec-Datenverkehrs. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzelnen Vorwärtspfad, anstatt mehrere verfügbare Pfade zu verwenden.
|
vpn-monitor | Konfigurieren Sie Einstellungen für die VPN-Überwachung. |
Die übrigen Aussagen werden separat erläutert. Siehe CLI-Explorer.
Erforderliche Berechtigungsstufe
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 8.5.
Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden.
Unterstützung für copy-outer-dscp
hinzugefügt in Junos OS Version 15.1X49-D30.
verify-path
Keyword und destination-ip
in Junos OS Release 15.1X49-D70 hinzugefügt.
packet-size
Option in Junos OS Version 15.1X49-D120 hinzugefügt.
Unterstützung für term
, protocol
, , source-port
, destination-port
, metric
und description
Optionen, die in Junos OS Version 21.1R1 eingeführt wurden.