Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntaxe

Niveau hiérarchique

Description

Configurez un VPN IPsec. Un VPN permet aux ordinateurs distants de communiquer en toute sécurité sur un WAN public comme Internet. Une connexion VPN peut relier deux RÉSEAUX LOCAUX (VPN de site à site) ou un utilisateur distant et un LAN. Le trafic qui transite entre ces deux points passe par des ressources partagées telles que les routeurs, commutateurs et autres équipements réseau qui composent le WAN public. Pour sécuriser les communications VPN tout en passant par le WAN, les deux participants créent un tunnel IP Security (IPsec). IPsec est une suite de protocoles associés pour sécuriser cryptographiquement les communications au niveau de la couche de paquets IP.

Options

vpn-name

Nom du VPN.

bind-interface

Configurez l’interface tunnel à laquelle le réseau privé virtuel (VPN) basé sur le routage est lié.

copy-outer-dscp

Activez la copie du champ DSCP (DSCP+ ECN) du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. L’avantage de cette fonctionnalité est qu’après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles coS internes (DSCP+ECN).

distribution-profile

Spécifiez un profil de distribution pour distribuer les tunnels. L’option distribution-profile est introduite pour donner à l’administrateur la possibilité de sélectionner quels PIC du châssis doivent gérer les tunnels associés à un objet VPN donné. Si les profils par défaut tels que default-spc3-profile ou default-spc2-profile non sont sélectionnés, un nouveau profil défini par l’utilisateur peut être sélectionné. Dans un profil, vous devez mentionner l’emplacement FPC (Flexible PIC Concentrateor) et le numéro PIC. Lorsqu’un tel profil est associé à un objet VPN, tous les tunnels correspondants sont distribués sur ces PIC.

  • Valeurs:

    • profil spc2 par défaut : groupe par défaut pour la distribution de tunnels sur SPC2 uniquement

    • default-spc3-profile : groupe par défaut pour la distribution de tunnels sur SPC3 uniquement

    • nom du profil de distribution : nom du profil de distribution.

df-bit

Spécifiez comment l’équipement gère le bit Don’t Fragment (DF) dans l’en-tête externe.

Sur les équipements SRX5400, SRX5600 et SRX5800, la configuration DF-bit pour VPN ne fonctionne que si la taille du paquet d’origine est inférieure à l’interface st0 MTU et supérieure à la charge d’interface externe-ipsec.

  • Valeurs:

    • clear: effacez (désactivez) le DF bit de l’en-tête externe. C’est la valeur par défaut.

    • copy: copiez le bit DF dans l’en-tête externe.

    • set— Définissez (activez) le bit DF dans l’en-tête externe.

establish-tunnels

Spécifiez quand l’IKE est activé : immédiatement après que les informations VPN sont configurées et que les modifications de configuration sont validées, ou uniquement lorsque le trafic de données circule. Si cette configuration n’est pas spécifiée, l’IKE n’est activé que lorsque le trafic de données circule.

  • Valeurs:

    • immediately— L’IKE est activé immédiatement après que les modifications de configuration VPN sont validées.

      À partir de la version Junos OS 15.1X49-D70, un message d’avertissement s’affiche si vous configurez l’option establish-tunnels immediately d’une passerelle IKE avec ou shared-ike-id des group-ike-id types d’utilisateurs IKE (par exemple, avec AutoVPN ou un VPN d’accès distant). L’option establish-tunnels immediately n’est pas adaptée à ces VPN, car plusieurs tunnels VPN peuvent être associés à une configuration VPN unique. La validation de la configuration réussira, mais la establish-tunnels immediately configuration est ignorée. L’état de l’interface du tunnel sera en permanence opérationnel, ce qui n’était pas le cas dans les versions précédentes lors de la configuration de l’option establish-tunnels immediately .

    • on-traffic— L’IKE n’est activé que lorsque le trafic de données circule et doit être négocié avec la passerelle peer. Il s’agit du comportement par défaut.

    • responder-only: répond aux négociations IKE initiées par la passerelle peer, mais n’initie pas les négociations IKE à partir de l’équipement. Cette option est requise lorsque la passerelle homologue d’un autre fournisseur attend les valeurs de protocole et de port dans le sélecteur de trafic à partir de la passerelle de lancement. responder-only ajoutée à Junos OS version 19.1R1.

      Cette option est prise en charge sur un processus unifié qui n’est pas activé par défaut. Les administrateurs doivent exécuter la request system software add optional://junos-ike.tgz commande pour charger le junos-ike package.

    • responder-only-no-rekey— L’option n’établit aucun tunnel VPN à partir de l’équipement, de sorte que le tunnel VPN est initié à partir de l’homologue distant. Un tunnel établi ne commence pas à rekeying à partir de l’équipement et s’appuie sur l’homologue distant pour lancer cette re-clé. Si la re-clé n’a pas lieu, le tunnel est mis hors service après l’expiration de la durée de vie difficile.

      Cette option est prise en charge sur un processus unifié qui n’est pas activé par défaut. Les administrateurs doivent exécuter la request system software add optional://junos-ike.tgz commande pour charger le junos-ike package.

ike

Définissez un VPN IPsec à clé IKE.

manual

Définissez une association manuelle de sécurité IPsec (SA).

multi-sa

Négociez plusieurs associations de sécurité (AS) en fonction du choix de configuration. Plusieurs SA négocient avec le même sélecteur de trafic sur le même IKE SA.

traffic-selector

Configurez plusieurs ensembles de préfixe d’adresse IP locale, de préfixe d’adresse IP distante, de plage de ports source, de plage de ports de destination et de protocole en tant que sélecteur de trafic pour un tunnel IPsec.

match-direction

Direction pour laquelle la correspondance des règles est appliquée

  • Valeurs:

    • entrée : correspondance entre l’entrée et l’interface

    • sortie : correspondance sur la sortie de l’interface

passive-mode-tunneling

Aucune vérification active des paquets IP avant l’encapsulation IPSec

tunnel-mtu

Taille maximale des paquets de transmission

  • Gamme: 256 à 9192

udp-encapsulation

(Facultatif) Utilisez le port de destination UDP spécifié pour l’en-tête UDP ajouté à l’encapsulation ESP. Activez le transfert de plusieurs chemins du trafic IPsec en ajoutant un en-tête UDP à l’encapsulation IPsec des paquets. Cela augmente le débit du trafic IPsec. Si vous n’activez pas l’encapsulation UDP, tout le trafic IPsec suit un seul chemin de transfert plutôt que d’utiliser plusieurs chemins disponibles.

  • Gamme: 1025 à 65536. N’utilisez pas 4 500.

  • Par défaut: Si vous n’incluez pas l’instruction udp-dest-port, le port de destination UDP par défaut est 4565.

vpn-monitor

Configurez les paramètres de la surveillance VPN.

Les autres déclarations sont expliquées séparément. Voir CLI Explorer.

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration introduite dans la version 8.5 de Junos OS.

Prise en charge des adresses IPv6 ajoutées dans la version 11.1 de Junos OS.

Prise en charge de copy-outer-dscp Junos OS version 15.1X49-D30.

verify-pathdestination-ip et ajouté à junos OS version 15.1X49-D70.

packet-size ajoutée dans la version 15.1X49-D120 de Junos OS.

Prise en charge de term, protocol, source-port, destination-port, et metricdescription des options introduites dans la version 21.1R1 de Junos OS.