gateway (Security IKE)
Syntaxe
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-address-or-hostname];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
general-ikeid;
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
node-local;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
Niveau hiérarchique
[edit security ike]
Description
Configurez une passerelle IKE.
Options
| gateway-name |
Nom de la passerelle. |
||||
| address |
Spécifiez l’adresse IPv4 ou IPv6 ou le nom d’hôte de la passerelle Internet Key Exchange (IKE) principale et jusqu’à quatre passerelles de sauvegarde.
|
||||
| aaa |
Spécifiez que l’authentification étendue est effectuée en plus de l’authentification de phase 1 IKE pour les utilisateurs distants qui tentent d’accéder à un tunnel VPN. |
||||
| advpn |
Activez le protocole ADVPN (Auto Discovery VPN) sur la passerelle spécifiée. ADVPN établit dynamiquement des tunnels VPN entre les spokes afin d’éviter le routage du trafic via le Hub. |
||||
| dead-peer-detection |
Activez l’équipement à utiliser la détection des pairs morts (DPD). |
||||
| dynamic |
Spécifiez l’identifiant de la passerelle distante avec une adresse IPv4 ou IPv6 dynamique. Utilisez cette déclaration pour configurer un VPN avec une passerelle avec une adresse IPv4 ou IPv6 non spécifiée. |
||||
| external-interface |
Nom de l’interface à utiliser pour envoyer du trafic vers le VPN IPsec. Spécifiez l’interface sortante pour les EA IKE. Cette interface est associée à une zone qui agit comme son opérateur, ce qui lui assure la sécurité du pare-feu. |
||||
| fragmentation |
Désactiver la fragmentation des paquets IKEv2 et, éventuellement, configurer la taille maximale d’un message IKEv2 avant que le message ne soit divisé en fragments chiffrés et authentifiés individuellement.
|
||||
| general-ikeid |
Accepter l’IKE-ID pair en général. |
||||
| ike-policy |
Spécifiez la stratégie IKE à utiliser pour la passerelle. |
||||
| local-address |
Adresse IP locale pour les négociations IKE. Spécifiez l’adresse de la passerelle locale. Plusieurs adresses d’une même famille d’adresses peuvent être configurées sur une interface physique externe pour un pair VPN. Si c’est le cas, nous vous recommandons de La |
||||
| local-identity |
Spécifiez l’identité IKE locale à envoyer dans l’échange avec l’homologue de destination pour établir la communication. |
||||
| nat-keepalive |
Spécifiez l’intervalle auquel les paquets de maintien NAT (secondes) peuvent être envoyés afin que la traduction NAT se poursuive. La valeur par défaut est passée de 5 secondes à 20 secondes dans la version 12.1X46-D10 de Junos OS.
|
||||
| node-local | Marquez un tunnel VPN IPsec entre les nœuds multinode haute disponibilité et un équipement VPN homologue en tant que tunnel local de nœud. Les tunnels locaux de nœud prennent en charge des protocoles de routage dynamiques qui facilitent l’ajout dynamique des routes par l’équipement. Ces routes restent locales vers un nœud et ne sont liées à aucun groupe de redondance de services (SRG). Utilisez cette option uniquement pour la haute disponibilité multinode. | ||||
| no-nat-traversal |
Désactiver la traversée NAT IPSec. Désactive l’encapsulation UDP des paquets ESP (Network Address Translation Traversal) (NAT-T). NAT-T est activé par défaut. |
||||
| tcp-encap-profile |
Spécifiez le profil d’encapsulation TCP à utiliser pour les connexions TCP pour les clients d’accès distants. |
||||
| version |
Spécifiez la version IKE à utiliser pour lancer la connexion.
|
Niveau de privilège requis
sécurité : pour afficher cette déclaration dans la configuration.
contrôle de sécurité : pour ajouter cette déclaration à la configuration.
Informations de publication
Déclaration introduite dans la version 8.5 de Junos OS. Prise en charge des adresses IPv6 ajoutées dans la version 11.1 de Junos OS. L’option inet6 ajoutée à Junos OS version 11.1. Prise en charge de l’option advpn ajoutée dans la version 12.3X48-D10 de Junos OS.
Cette option fragmentation est introduite dans la version 15.1X49-D80 de Junos OS.
Cette option node-local est introduite dans la version 23.2R1 de Junos OS.
general-ikeid sous [edit security ike gateway gateway-name dynamic] hiérarchie est introduite dans la version 21.1R1 de Junos OS.