vpn (Security)
Syntax
vpn vpn-name { bind-interface interface-name; df-bit (clear | copy | set); distribution-profile (default-spc2-profile | default-spc3-profile | distribution-profile-name); copy-outer-dscp; establish-tunnels (immediately | on-traffic | responder-only | responder-only-no-rekey); match-direction (input | output); passive-mode-tunneling; tunnel-mtu tunnel-mtu; udp-encapsulate <dest-port dest-port>; ike { anti-replay-window-size anti-replay-window-size; gateway gateway-name; idle-time seconds; install-interval seconds; ipsec-policy ipsec-policy-name; no-anti-replay; proxy-identity { local ip-prefix; remote ip-prefix; service (any | service-name); } } manual { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-256-cbc | aes-256-gcm | des-cbc); key (ascii-text key | hexadecimal key); } external-interface external-interface-name; gateway ip-address; protocol (ah | esp); spi spi-value; } multi-sa { forwarding-class (expedited-forwarding | assured-forwarding | best-effort | network-control); } traffic-selector traffic-selector-name { local-ip ip-address/netmask; remote-ip ip-address/netmask; protocol protocol_name/protocol_id; source-port low-high; destination-port low-high; metric metric_value; description description_value; term term_name { local-ip ip-address/netmask; remote-ip ip-address/netmask; protocol protocol_name/protocol_id; source-port low-high; destination-port low-high; } } vpn-monitor { destination-ip ip-address; optimized; source-interface interface-name; verify-path { destination-ip ip-address; packet-size bytes; } } }
Hierarchy Level
[edit security ipsec]
Description
Konfigurieren Sie ein IPSec-VPN. Ein VPN bietet eine Möglichkeit, mit der Remotecomputer sicher über ein öffentliches WAN wie das Internet kommunizieren. Eine VPN-Verbindung kann zwei LANs (Site-to-Site VPN) oder einen Remote-Einwahlbenutzer mit einem LAN verbinden. Der Datenverkehr zwischen diesen beiden Punkten fließt über gemeinsame Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation zu sichern, während sie das WAN passieren, erstellen die beiden Teilnehmer einen IP-Sicherheits-Tunnel (IPsec). IPsec ist eine Suite verwandter Protokolle zur verschlüsselungstechnischen Sicherung der Kommunikation auf der IP-Paketebene.
Options
VPN-Name | Name des VPN. |
Bind-Schnittstelle | Konfigurieren Sie die Tunnelschnittstelle, an die das routenbasierte virtuelle private Netzwerk (VPN) gebunden ist. |
copy-outer-dscp | Ermöglichen das Kopieren des DSCP-Feldes (Outer DSCP+ECN) von dem verschlüsselten äußeren IP-Header-Paket in die innere IP-Header-Klartextnachricht auf dem Entschlüsselungspfad. Der Vorteil bei der Aktivierung dieser Funktion besteht darin, dass Clear Text-Pakete nach der IPsec-Entschlüsselung den internen CoS-Regeln (DSCP+ECN) folgen können. |
Vertriebsprofil | Geben Sie ein Verteilungsprofil zum Verteilen von Tunneln an. Die
|
DF-Bit | Geben Sie an, wie das Gerät das DF-Bit (Don't Fragment) im äußeren Header verarbeitet. Auf SRX5400-, SRX5600- und SRX5800-Geräten funktioniert die DF-Bit-Konfiguration für VPN nur dann, wenn die ursprüngliche Paketgröße kleiner als die ST0-Schnittstellen-MTU und größer als der externe Schnittstellen-IPSec-Overhead ist.
|
Einrichtungstunnel | Geben Sie an, wann IKE aktiviert ist: direkt nach der Konfiguration von VPN-Informationen und der Einrichtung von Konfigurationsänderungen oder erst dann, wenn der Datenverkehr fließt. Wenn diese Konfiguration nicht angegeben ist, wird IKE nur aktiviert, wenn der Datenverkehr fließt.
|
Ike | Definieren Sie ein IKE-schlüsseltes IPsec-VPN. |
Manuell | Definieren Sie eine manuelle IPsec-Sicherheitszuordnung (SA). |
Multi-Sa | Aushandeln mehrerer Sicherheitszuweisungen (SAs) basierend auf der Konfigurationsauswahl. Mehrere SAs werden mit demselben Datenverkehrs-Selektor auf derselben IKE SA ausgehandelt. |
Datenverkehrs-Selektor | Konfigurieren Sie mehrere Sätze von lokalem IP-Adressen-Präfix, Remote-IP-Adressen-Präfix, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll als Datenverkehrs-Selektor für einen IPsec-Tunnel. |
Match-Direction | Richtung, für die die Regelgleichung angewendet wird
|
Passivmodus-Tunneling | Keine aktiven IP-Paketprüfungen vor der IPSec-Einkapselung |
Tunnel-MTU | Maximale Übertragungspaketgröße
|
UDP-Einkapselung | (Optional) Verwenden Sie den angegebenen UDP-Zielport für den UDP-Header, der an die ESP-Einkapselung angehängt wird. Aktivieren Sie die Weiterleitung mehrerer Pfade für IPsec-Datenverkehr, indem Sie der IPsec-Einkapselung von Paketen einen UDP-Header hinzufügen. Dadurch wird der Durchsatz des IPsec-Datenverkehrs erhöht. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzelnen Weiterleitungspfad, anstatt mehrere verfügbare Pfade zu verwenden.
|
VPN-Monitor | Konfigurieren Sie Einstellungen für die VPN-Überwachung. |
Die übrigen Aussagen werden gesondert erklärt. Siehe CLI-Explorer.
Required Privilege Level
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security Control: Um diese Anweisung der Konfiguration hinzuzufügen.
Release Information
Erklärung eingeführt in Junos OS Version 8.5.
Unterstützung für in Junos OS Version 11.1 hinzugefügte IPv6-Adressen.
Unterstützung für copy-outer-dscp
hinzugefügt in Junos OS Version 15.1X49-D30.
verify-path
Stichwort hinzugefügt und destination-ip
in Junos OS Version 15.1X49-D70 hinzugefügt.
packet-size
Option hinzugefügt in Junos OS Version 15.1X49-D120.
Unterstützung für term
, protocol
source-port
, , destination-port
metric
, und description
Optionen, die in Junos OS Version 21.1R1 eingeführt werden.