Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchieebene

Beschreibung

Konfigurieren Sie ein IPsec-VPN. Ein VPN bietet eine Möglichkeit, mit der Remote-Computer sicher über ein öffentliches WAN wie das Internet kommunizieren. Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-Wählbenutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, durch gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation während der Übertragung durch das WAN zu sichern, erstellen die beiden Teilnehmer einen IP Security (IPsec)-Tunnel. IPsec ist eine Suite verwandter Protokolle zur kryptografischen Sicherung der Kommunikation auf der IP-Paketschicht.

Optionen

vpn-name

Name des VPN.

bind-interface

Konfigurieren Sie die Tunnelschnittstelle, an die das routenbasierte virtuelle private Netzwerk (VPN) gebunden ist.

copy-outer-dscp

Aktivieren Sie das Kopieren des DSCP -Feldes (Differenzierte Services Code Point) (äußeres DSCP+ECN)-Feld aus dem äußeren verschlüsselten IP-Header in die innere IP-Header-Klartextnachricht auf dem Entschlüsselungspfad. Der Vorteil bei der Aktivierung dieser Funktion besteht darin, dass Klartextpakete nach der IPsec-Entschlüsselung den inneren CoS-Regeln (DSCP+ECN) folgen können.

distribution-profile

Geben Sie ein Verteilungsprofil zum Verteilen von Tunneln an. Die distribution-profile Option wird eingeführt, um dem Administrator die Option zu geben, auszuwählen, welche PICs im Gehäuse Tunnel behandeln sollen, die einem bestimmten VPN-Objekt zugeordnet sind. Wenn die Standardprofile wie z. B default-spc3-profile . oder default-spc2-profile nicht ausgewählt sind, kann ein neues benutzerdefiniertes Profil ausgewählt werden. In einem Profil müssen Sie den Flexible PIC Concentrator (FPC)-Steckplatz und die PIC-Nummer erwähnen. Wenn ein solches Profil mit einem VPN-Objekt verknüpft ist, werden alle übereinstimmenden Tunnel auf diese PIC's verteilt.

  • Werte:

    • default-spc2-profile – Standardgruppe für die Verteilung von Tunneln nur auf SPC2

    • default-spc3-profile – Standardgruppe für die Verteilung von Tunneln nur auf SPC3

    • distribution-profile-name – Name des Verteilungsprofils.

df-bit

Geben Sie an, wie das Gerät das "Don't Fragment"-Bit (DF) im äußeren Header verarbeitet.

Auf SRX5400-, SRX5600- und SRX5800-Geräten funktioniert die DF-Bit-Konfiguration für VPN nur, wenn die ursprüngliche Paketgröße kleiner als die St0-Schnittstellen-MTU ist und größer ist als der externe Schnittstellen-ipsec-Overhead.

  • Werte:

    • clear— Deaktivieren Sie das DF-Bit aus dem äußeren Header. Dies ist der Standard.

    • copy– Kopieren Sie das DF-Bit in den äußeren Header.

    • set— Festlegen (aktivieren) des DF-Bits im äußeren Header.

establish-tunnels

Geben Sie an, wann IKE aktiviert ist: unmittelbar nach der Konfiguration von VPN-Informationen und Konfigurationsänderungen oder nur, wenn der Datenverkehr fließt. Wenn diese Konfiguration nicht angegeben wird, wird IKE nur aktiviert, wenn der Datenverkehr fließt.

  • Werte:

    • immediately— IKE wird sofort nach dem Vornehmen von VPN-Konfigurationsänderungen aktiviert.

      Ab Junos OS Version 15.1X49-D70 wird eine Warnmeldung angezeigt, wenn Sie die establish-tunnels immediately Option für ein IKE-Gateway mit group-ike-id oder shared-ike-id für IKE-Benutzertypen konfigurieren (z. B. mit AutoVPN oder einem Remote-Zugriffs-VPN). Die establish-tunnels immediately Option ist für diese VPNs nicht geeignet, da mehrere VPN-Tunnel mit einer einzigen VPN-Konfiguration verknüpft sein können. Das Festlegen der Konfiguration ist erfolgreich, die establish-tunnels immediately Konfiguration wird jedoch ignoriert. Der Zustand der Tunnelschnittstelle ist ständig verfügbar, was in früheren Versionen nicht der Fall war, als die establish-tunnels immediately Option konfiguriert wurde.

    • on-traffic— IKE wird nur aktiviert, wenn der Datenverkehr fließt, und muss mit dem Peer-Gateway ausgehandelt werden. Dies ist das Standardverhalten.

    • responder-only— Reagiert auf IKE-Verhandlungen, die vom Peer-Gateway initiiert werden, initiiert jedoch keine IKE-Verhandlungen vom Gerät aus. Diese Option ist erforderlich, wenn das Peer-Gateway eines anderen Anbieters die Protokoll- und Portwerte in der Datenverkehrsauswahl vom initiierenden Gateway erwartet. responder-only Option in Junos OS Version 19.1R1 hinzugefügt.

      Diese Option wird auf einem einheitlichen iked-Prozess unterstützt, der standardmäßig nicht aktiviert ist. Administratoren müssen den request system software add optional://junos-ike.tgz Befehl ausführen, um das junos-ike Paket zu laden.

    • responder-only-no-rekey— Option richtet keinen VPN-Tunnel vom Gerät aus ein, sodass der VPN-Tunnel vom Remote-Peer initiiert wird. Ein etablierter Tunnel startet keine Neuschlüsselung des Geräts und verlässt sich darauf, dass der Remote-Peer diese Neuschlüsselung initiiert. Wenn keine Neuschlüsselung erfolgt, wird der Tunnel nach Ablauf der Hard-Lifetime zum Erliegen gebracht.

      Diese Option wird auf einem einheitlichen iked-Prozess unterstützt, der standardmäßig nicht aktiviert ist. Administratoren müssen den request system software add optional://junos-ike.tgz Befehl ausführen, um das junos-ike Paket zu laden.

ike

Definieren eines IKE-keyed IPsec-VPN.

manual

Definieren einer manuellen IPsec-Sicherheitszuordnung (SA).

multi-sa

Aushandlung mehrerer Sicherheitszuordnungen (Security Association, SAs) basierend auf der Wahl der Konfiguration. Mehrere SAs werden mit demselben Datenverkehrs-Selektor auf derselben IKE SA ausgehandelt.

traffic-selector

Konfigurieren Sie mehrere Sätze von lokalem IP-Adresspräfix, Remote-IP-Adresspräfix, Quellportbereich, Zielportbereich und Protokoll als Datenverkehrsauswahl für einen IPsec-Tunnel.

match-direction

Richtung, für die die Regelgleich angewendet wird

  • Werte:

    • Input – Übereinstimmung bei Eingabe an Schnittstelle

    • Ausgabe – Übereinstimmung bei Ausgabe über Schnittstelle

passive-mode-tunneling

Keine aktiven IP-Paketprüfungen vor der IPSec-Kapselung

tunnel-mtu

Maximale Übertragungspaketgröße

  • Bereich: 256 bis 9192

udp-encapsulation

(Optional) Verwenden Sie den angegebenen UDP-Zielport für den UDP-Header, der an die ESP-Kapselung angefügt wird. Aktivieren Sie die mehrfache Pfadweiterleitung von IPsec-Datenverkehr, indem Sie der IPsec-Kapselung von Paketen einen UDP-Header hinzufügen. Dadurch erhöht sich der Durchsatz des IPsec-Datenverkehrs. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzelnen Vorwärtspfad, anstatt mehrere verfügbare Pfade zu verwenden.

  • Bereich: 1025 bis 65536. 4500 nicht verwenden.

  • Standard: Wenn Sie die udp-dest-port-Anweisung nicht einschließen, ist der UDP-Zielport standardmäßig 4565.

vpn-monitor

Konfigurieren Sie Einstellungen für die VPN-Überwachung.

Die übrigen Aussagen werden separat erläutert. Siehe CLI-Explorer.

Erforderliche Berechtigungsstufe

Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.

Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.

Versionsinformationen

Erklärung eingeführt in Junos OS Version 8.5.

Unterstützung für IPv6-Adressen, die in Junos OS Version 11.1 hinzugefügt wurden.

Unterstützung für copy-outer-dscp hinzugefügt in Junos OS Version 15.1X49-D30.

verify-path Keyword und destination-ip in Junos OS Release 15.1X49-D70 hinzugefügt.

packet-size Option in Junos OS Version 15.1X49-D120 hinzugefügt.

Unterstützung für term, protocol, , source-port, destination-port, metricund description Optionen, die in Junos OS Version 21.1R1 eingeführt wurden.