traffic-selector
Syntax
traffic-selector traffic-selector-name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
preference pref_value;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
metric metric_value;
description description_value;
term term_name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
}
}
Hierarchieebene
[edit security ipsec vpn vpn-name]
Beschreibung
Ein Datenverkehrsauswahl ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zu erlauben, wenn der Datenverkehr einem angegebenen Paar aus lokalem IP-Adressbereich, Remote-IP-Adressbereich, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll entspricht. Diese Funktionalität wird nur für IKEv2 unterstützt.
In den Junos OS-Versionen vor 21.1R1 unterstützen wir ein Paar aus lokalem IP-Präfix und Remote-IP-Präfix pro IPsec-Tunnel für die Filterung des Datenverkehrs durch IPsec-Tunnel. Ab Junos OS Version 21.1R1 können Sie mehrere Sätze von lokalem IP-Präfix, Remote-IP-Präfix, Quellportbereich, Zielportbereich und Protokoll für die Datenverkehrsauswahl konfigurieren.
Das bedeutet, dass mehrere Sätze von IP-Adressbereichen, Portbereichen und Protokollen Teil derselben Datenverkehrsauswahl sein können, wie in RFC 7296 definiert. In dieser Funktionalität wird das Konzept des Begriffs in die Datenverkehrs-Selektoren eingeführt. Jeder Begriff definiert eine Reihe von lokalem IP-Bereich, Remote-IP-Bereich, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll. Alle kombinierten Bedingungen sind Teil einer einzelnen IPsec-SA. Die Begriffe in einer einzigen Datenverkehrsauswahl können sowohl IPv4- als auch IPv6-Adresse haben. Daher hat eine einzelne IPsec SA sowohl IPv4 als auch IPv6 als lokale und Remote-IP-Adressen. In jeder Datenverkehrsauswahl werden maximal 200 Begriffe unterstützt.
Wenn Sie mehrere Datenverkehrs-Selektoren konfigurieren, führt jeder Datenverkehrsauswahl zu einer separaten Aushandlung, die zu mehreren IPsec-Tunneln führt. Wenn Sie jedoch mehrere Begriffe unter einer Datenverkehrsauswahl konfigurieren, führt diese Konfiguration zu einer einzelnen IPsec-SA-Aushandlung mit mehreren IP-Präfixen, Ports und Protokollen.
Es ist obligatorisch, mindestens ein lokales IP-Präfix und ein Remote-IP-Präfix für eine Datenverkehrsauswahl zu konfigurieren. Andere Parameter sind optional.
Wenn mehrere Datenverkehrs-Selektoren überlappende Routen haben, wird für die Weiterleitungsentscheidung ein Tie-Breaker der Routing-Metrik verwendet.
Verwenden Sie den Befehlrequest system software add optional://junos-ike.tgz, um das erforderliche Junos-Paket zur Unterstützung dieser Funktionen auf Ihrer Firewall der SRX-Serie zu installieren.
Aus Gründen der Abwärtskompatibilität unterstützen wir die Konfiguration von IP-Präfixen direkt in der [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name] Hierarchie.
Verwenden Sie [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name term term-name] die Hierarchieebene, um mehrere Sätze von IP-Adressbereichen, Portbereichen und Protokollen für dieselbe Datenverkehrsauswahl wie in RFC 7296 definiert zu konfigurieren.
Sie sollten nicht dieselben Werte für verschiedene Datenverkehrsauswahlen für dasselbe IKE-Gateway konfigurieren. Dies ist keine gültige Datenverkehrsauswahlkonfiguration. Wenn Sie mehrere Datenverkehrs-Selektoren mit denselben Werten konfigurieren, kann es je nach Peerkonfiguration zu einer unbeabsichtigten hohen CPU-Auslastung kommen.
Optionen
| local-ip ip-address/netmask |
Eine lokale IP-Adresse oder ein lokales Subnetz, das durch das lokale VPN-Gerät geschützt ist. |
| remote-ip ip-address/netmask |
Eine Remote-IP-Adresse oder ein Remote-Subnetz, das durch das Peer-VPN-Gerät geschützt ist. |
| preference pref_value |
Lokaler Voreinstellungswert der Datenverkehrsauswahl für eine Bestimmte,
|
| term term_name |
Definieren Sie eine Reihe von lokalem IP-Bereich, Remote-IP-Bereich, Quell-Port-Bereich, Ziel-Port-Bereich und Protokoll. Alle kombinierten Bedingungen sind Teil einer einzelnen IPsec-SA. In jeder Datenverkehrsauswahl werden maximal 200 Begriffe unterstützt. Es ist optional, diesen Parameter zu konfigurieren. |
| protocol protocol_name/protocol_id |
Transportprotokollliste für eine Datenverkehrsauswahl für einen IPsec-Tunnel. Es ist optional, diesen Parameter zu konfigurieren. Wenn das Protokoll nicht konfiguriert ist, wird davon ausgegangen, dass "beliebiges" Protokoll konfiguriert ist.
|
| source-port low-high |
Quell-Portbereich von niedrigeren bis höheren Portnummern. Es ist optional, diesen Parameter zu konfigurieren. Wenn kein Port, sondern nur das Protokoll konfiguriert ist, wird für quellbasierte Portbereiche für dieses Protokoll als "any" angenommen.
|
| destination-port low-high |
Zielportbereich von niedrigeren bis höheren Portnummern. Es ist optional, diesen Parameter zu konfigurieren. Wenn kein Port, sondern nur das Protokoll konfiguriert ist, wird port "any" für Zielportbereiche für dieses Protokoll angenommen.
|
| metric metric_value |
Tie-Breaker, wenn mehrere Datenverkehrs-Selektoren überschneidende Routen haben, um den am besten bevorzugten Pfad zu wählen. Es ist optional, diesen Parameter zu konfigurieren. |
| description description_value |
Datenverkehrsauswahl oder Beschreibung. Es ist optional, diesen Parameter zu konfigurieren. Es ist optional, diesen Parameter zu konfigurieren.
|
Erforderliche Berechtigungsstufe
Sicherheit: Diese Anweisung wird in der Konfiguration angezeigt.
Security-Control: So fügen Sie diese Anweisung zur Konfiguration hinzu.
Versionsinformationen
Erklärung eingeführt in Junos OS Version 12.1X46-D10.
term, protocol, , source-port, destination-port, metric, und description optionen, die in Junos OS Version 21.1R1 eingeführt wurden.
preference pref_value in Junos OS Version 22.2R1 eingeführt.