Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchy Level

Description

Konfigurieren Sie ein IPSec-VPN. Ein VPN bietet eine Möglichkeit, mit der Remotecomputer sicher über ein öffentliches WAN wie das Internet kommunizieren. Eine VPN-Verbindung kann zwei LANs (Site-to-Site VPN) oder einen Remote-Einwahlbenutzer mit einem LAN verbinden. Der Datenverkehr zwischen diesen beiden Punkten fließt über gemeinsame Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation zu sichern, während sie das WAN passieren, erstellen die beiden Teilnehmer einen IP-Sicherheits-Tunnel (IPsec). IPsec ist eine Suite verwandter Protokolle zur verschlüsselungstechnischen Sicherung der Kommunikation auf der IP-Paketebene.

Options

VPN-Name

Name des VPN.

Bind-Schnittstelle

Konfigurieren Sie die Tunnelschnittstelle, an die das routenbasierte virtuelle private Netzwerk (VPN) gebunden ist.

copy-outer-dscp

Ermöglichen das Kopieren des DSCP-Feldes (Outer DSCP+ECN) von dem verschlüsselten äußeren IP-Header-Paket in die innere IP-Header-Klartextnachricht auf dem Entschlüsselungspfad. Der Vorteil bei der Aktivierung dieser Funktion besteht darin, dass Clear Text-Pakete nach der IPsec-Entschlüsselung den internen CoS-Regeln (DSCP+ECN) folgen können.

Vertriebsprofil

Geben Sie ein Verteilungsprofil zum Verteilen von Tunneln an. Die distribution-profile Option wird eingeführt, um dem Administrator die Option zu geben, zu wählen, welche PICs im Gehäuse Tunnel verarbeiten sollten, die mit einem bestimmten VPN-Objekt verknüpft sind. Wenn die Standardprofile wie default-spc3-profile z. B. markiert sind oder default-spc2-profile nicht ausgewählt werden, kann ein neues benutzerdefiniertes Profil ausgewählt werden. In einem Profil müssen Sie den Flexible PIC Concentrator (FPC)-Steckplatz und die PIC-Nummer erwähnen. Wenn ein solches Profil mit einem VPN-Objekt verknüpft ist, werden alle übereinstimmenden Tunnel über diese PIC's verteilt.

  • Werte:

    • default-spc2-profile – Standardgruppe für die Verteilung von Tunneln nur auf SPC2

    • Default-SPC3-Profil – Standardgruppe für die Verteilung von Tunneln nur auf SPC3

    • Name des Verteilungsprofils – Name des Vertriebsprofils.

DF-Bit

Geben Sie an, wie das Gerät das DF-Bit (Don't Fragment) im äußeren Header verarbeitet.

Auf SRX5400-, SRX5600- und SRX5800-Geräten funktioniert die DF-Bit-Konfiguration für VPN nur dann, wenn die ursprüngliche Paketgröße kleiner als die ST0-Schnittstellen-MTU und größer als der externe Schnittstellen-IPSec-Overhead ist.

  • Werte:

    • clear— Löschen (deaktivieren) Sie das DF-Bit aus dem äußeren Header. Dies ist der Standard.

    • copy— Kopieren Sie das DF-Bit in den äußeren Header.

    • set— Setzen (Aktivieren) des DF-Bit im äußeren Header.

Einrichtungstunnel

Geben Sie an, wann IKE aktiviert ist: direkt nach der Konfiguration von VPN-Informationen und der Einrichtung von Konfigurationsänderungen oder erst dann, wenn der Datenverkehr fließt. Wenn diese Konfiguration nicht angegeben ist, wird IKE nur aktiviert, wenn der Datenverkehr fließt.

  • Werte:

    • immediately— IKE wird sofort aktiviert, nachdem VPN-Konfigurationsänderungen vorgenommen wurden.

      Beginnend mit Junos OS Version 15.1X49-D70 wird eine Warnmeldung angezeigt, wenn Sie die establish-tunnels immediately Option für ein IKE-Gateway mit group-ike-id oder shared-ike-id IKE-Benutzertypen (z. B. mit AutoVPN oder einem Remotezugriffs-VPN) konfigurieren. Die establish-tunnels immediately Option ist für diese VPNs nicht geeignet, da mehrere VPN-Tunnel einer einzelnen VPN-Konfiguration zugeordnet werden können. Das Bestätigen der Konfiguration wird erfolgreich sein, die establish-tunnels immediately Konfiguration wird jedoch ignoriert. Der Status der Tunnelschnittstelle ist ständig verfügbar, was bei der Konfiguration der establish-tunnels immediately Option in früheren Versionen nicht der Fall war.

    • on-traffic— IKE wird nur aktiviert, wenn der Datenverkehr fließt und mit dem Peer-Gateway ausgehandelt werden muss. Dies ist das Standardverhalten.

    • responder-only— Reagiert auf IKE-Verhandlungen, die vom Peer-Gateway eingeleitet werden, aber keine IKE-Verhandlungen vom Gerät aus initiieren. Diese Option ist erforderlich, wenn das Peer-Gateway eines anderen Anbieters die Protokoll- und Portwerte im Datenverkehrs-Selektor vom initiierenden Gateway erwartet. responder-only Option hinzugefügt in Junos OS Version 19.1R1.

      Diese Option wird bei einem einheitlichen, standardmäßig nicht aktivierten iked-Prozess unterstützt. Administratoren müssen den request system software add optional://junos-ike.tgz Befehl ausführen, um das junos-ike Paket zu laden.

    • responder-only-no-rekey—Option richtet keinen VPN-Tunnel vom Gerät aus ein, sodass der VPN-Tunnel vom Remote-Peer initiiert wird. Ein etablierter Tunnel startet keine Neuschlüsselung vom Gerät und verlässt sich bei der Einleitung dieses Rekeyings auf den Remote-Peer. Wenn keine erneute Schlüsselung erfolgt, wird der Tunnel nach Ablauf der harten Lebensdauer heruntergefahren.

      Diese Option wird bei einem einheitlichen, standardmäßig nicht aktivierten iked-Prozess unterstützt. Administratoren müssen den request system software add optional://junos-ike.tgz Befehl ausführen, um das junos-ike Paket zu laden.

Ike

Definieren Sie ein IKE-schlüsseltes IPsec-VPN.

Manuell

Definieren Sie eine manuelle IPsec-Sicherheitszuordnung (SA).

Multi-Sa

Aushandeln mehrerer Sicherheitszuweisungen (SAs) basierend auf der Konfigurationsauswahl. Mehrere SAs werden mit demselben Datenverkehrs-Selektor auf derselben IKE SA ausgehandelt.

Datenverkehrs-Selektor

Konfigurieren Sie mehrere Sätze von lokalem IP-Adressen-Präfix, Remote-IP-Adressen-Präfix, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll als Datenverkehrs-Selektor für einen IPsec-Tunnel.

Match-Direction

Richtung, für die die Regelgleichung angewendet wird

  • Werte:

    • Eingang– Bei Eingang an Schnittstelle anpassen

    • Ausgabe – Übereinstimmung bei der Ausgabe von der Schnittstelle

Passivmodus-Tunneling

Keine aktiven IP-Paketprüfungen vor der IPSec-Einkapselung

Tunnel-MTU

Maximale Übertragungspaketgröße

  • Bereich: 256 bis 9192

UDP-Einkapselung

(Optional) Verwenden Sie den angegebenen UDP-Zielport für den UDP-Header, der an die ESP-Einkapselung angehängt wird. Aktivieren Sie die Weiterleitung mehrerer Pfade für IPsec-Datenverkehr, indem Sie der IPsec-Einkapselung von Paketen einen UDP-Header hinzufügen. Dadurch wird der Durchsatz des IPsec-Datenverkehrs erhöht. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzelnen Weiterleitungspfad, anstatt mehrere verfügbare Pfade zu verwenden.

  • Bereich: 1025 bis 65536. Verwenden Sie 4500 nicht.

  • Standard: Wenn Sie die udp-dest-port-Anweisung nicht enthalten, ist der Standard-UDP-Zielport 4565.

VPN-Monitor

Konfigurieren Sie Einstellungen für die VPN-Überwachung.

Die übrigen Aussagen werden gesondert erklärt. Siehe CLI-Explorer.

Required Privilege Level

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security Control: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Erklärung eingeführt in Junos OS Version 8.5.

Unterstützung für in Junos OS Version 11.1 hinzugefügte IPv6-Adressen.

Unterstützung für copy-outer-dscp hinzugefügt in Junos OS Version 15.1X49-D30.

verify-path Stichwort hinzugefügt und destination-ip in Junos OS Version 15.1X49-D70 hinzugefügt.

packet-size Option hinzugefügt in Junos OS Version 15.1X49-D120.

Unterstützung für term, protocolsource-port, , destination-portmetric, und description Optionen, die in Junos OS Version 21.1R1 eingeführt werden.