Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

traffic-selector

Syntaxe

Niveau hiérarchique

Description

Un sélecteur de trafic est un accord entre pairs IKE pour autoriser le trafic à passer par un tunnel, si le trafic correspond à une paire spécifiée de plages d’adresses IP locales, de plage d’adresses IP distantes, de plage de ports source, de plage de ports de destination et de protocole. Cette fonctionnalité n’est prise en charge que pour IKEv2.

Dans les versions junos OS antérieures à 21.1R1, nous prenons en charge une paire de préfixes IP locaux et de préfixe IP distant par tunnel IPsec pour le filtrage du trafic via le tunnel IPsec. À partir de la version 21.1R1 de Junos OS, vous pouvez configurer plusieurs ensembles de préfixes IP locaux, de préfixe IP distant, de plage de ports source, de plage de ports de destination et de protocole pour la sélection du trafic.

Cela signifie que plusieurs ensembles de plages d’adresses IP, de plages de ports et de protocoles peuvent faire partie du même sélecteur de trafic défini dans la RFC 7296. Dans cette fonctionnalité, le concept de terme est introduit dans les sélecteurs de trafic. Chaque terme définit une plage IP locale, une plage IP distante, une plage de ports source, une plage de ports de destination et un protocole. Tous les termes combinés feront partie d’une seule IPsec SA. Les termes d’un seul sélecteur de trafic peuvent avoir une adresse IPv4 et IPv6. Par conséquent, une seule SA IPsec dispose d’adresses IPv4 et IPv6 en tant qu’adresses IP locales et distantes. Un maximum de 200 termes sont pris en charge dans chaque sélecteur de trafic.

Lorsque vous configurez plusieurs sélecteurs de trafic, chaque sélecteur de trafic conduit à une négociation distincte qui aboutit à plusieurs tunnels IPsec. Toutefois, si vous configurez plusieurs termes dans un seul sélecteur de trafic, cette configuration se traduit par une négociation SA IPsec unique avec plusieurs préfixes, ports et protocoles IP.

Il est obligatoire de configurer un préfixe IP local et un préfixe IP distant pour un sélecteur de trafic. D’autres paramètres sont facultatifs.

Si plusieurs sélecteurs de trafic ont des routes qui se chevauchent, une métrique de routage est utilisée pour la décision de transfert.

Pour installer le package Junos requis pour prendre en charge cette fonctionnalité sur votre équipement SRX Series, utilisez la commande request system software add optional://junos-ike.tgz.

Pour une rétrocompatibilité, nous prenons en charge la configuration des préfixes IP directement sous la [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name] hiérarchie.

Utilisez [edit security ipsec vpn vpn-name traffic-selector traffic-selector-name term term-name] le niveau hiérarchique pour configurer plusieurs ensembles de plages d’adresses IP, de plages de ports et de protocoles pour le même sélecteur de trafic défini dans la RFC 7296.

Vous ne devez pas configurer les mêmes valeurs pour différents sélecteurs de trafic pour la même passerelle IKE. Il ne s’agit pas d’une configuration de sélecteur de trafic valide. Si vous configurez plusieurs sélecteurs de trafic avec les mêmes valeurs, il peut y avoir une forte utilisation du processeur en fonction de la configuration d’homologue.

Options

local-ip ip-address/netmask

Une adresse IP locale ou un sous-réseau local protégé par l’équipement VPN local.
remote-ip ip-address/netmask

Une adresse IP distante ou un sous-réseau distant protégé par l’équipement VPN homologue.
preference pref_value

Valeur de préférence locale du sélecteur de trafic pour un particulier ipsec vpn vpn-name qui remplace la valeur spécifiée à l’étendue globale.

  • Gamme: 0-4294967295.

  • Par défaut: 5.
term term_name

Définissez un ensemble de plages IP locales, de plages IP distantes, de ports source, de plages de ports de destination et de protocole. Tous les termes combinés feront partie d’une seule IPsec SA. Un maximum de 200 termes sont pris en charge dans chaque sélecteur de trafic. Il est facultatif de configurer ce paramètre.
protocol protocol_name/protocol_id

Liste de protocoles de transport pour un sélecteur de trafic pour un tunnel IPsec. Il est facultatif de configurer ce paramètre. Si un protocole n’est pas configuré, on suppose que « n’importe quel » protocole est configuré.

  • Gamme: L’ID de protocole peut varier de 0 à 255.
source-port low-high

La gamme de ports source s’étend de la gamme inférieure à la plus élevée. Il est facultatif de configurer ce paramètre. Si aucun port n’est configuré, mais que seul le protocole est configuré, le port « n’importe quel » sera pris en charge pour les plages de ports source pour ce protocole.

  • Gamme: 1 à 6 5535
destination-port low-high

Les nombres de ports de destination vont de la plus faible à la gamme supérieure. Il est facultatif de configurer ce paramètre. Si aucun port n’est configuré, mais que seul un protocole est configuré, le port « n’importe quel » sera pris en charge pour les plages de ports de destination pour ce protocole.

  • Gamme: 1 à 6 5535
metric metric_value

Breaker lorsque plusieurs sélecteurs de trafic ont des routes qui se chevauchent, pour choisir le chemin préféré. Il est facultatif de configurer ce paramètre.
description description_value

Description du sélecteur de trafic. Il est facultatif de configurer ce paramètre. Il est facultatif de configurer ce paramètre.

  • Gamme: Entre 0 et 80 caractères

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration introduite dans la version 12.1X46-D10 de Junos OS.

term, protocol, source-port, destination-port, , metricet description les options introduites dans la version 21.1R1 de Junos OS.

preference pref_value introduite dans la version 22.2R1 de Junos OS.

Rubriques connexes