dynamic (Security)

グループ・プロファイルがサポートする同時接続数を設定します。最大接続数に達すると、IPsec VPNへのアクセスを試みる動的仮想プライベートネットワーク(VPN)エンドポイントダイヤルアップユーザーは、インターネットキー交換(IKE)ネゴシエーションを開始できなくなります。この設定は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200、SRX4600デバイス、vSRXインスタンス、およびAutoVPN用に設定されたSRX5400、SRX5600、およびSRX5800デバイスに適用されます。

動的IPアドレスを持つリモートゲートウェイの識別子として識別名を指定します。

IKE ID 検証をディセーブルにします。このオプションを有効にすると、新しい iked プロセスは IKE ID 検証をスキップします。IKE ID検証をスキップした後も、新しいikedプロセスはIKE標準に従って認証を続行します。 general-ikeid は、オプションの設定ステートメントです。

ネットワーク接続デバイスがネットワーク上で認識される名前。ピアの X.509 PKI 証明書と照合できる完全修飾ドメイン名(FQDN)、または部分的な FQDN。部分的なFQDNは、ピアデバイスの証明書の代替サブジェクトフィールドの右端に一致します。たとえば、部分的な FQDN example.net は、証明書の代替サブジェクト フィールドに host1.example.net または host2.example.net を持つデバイスを照合できます。部分的な FQDN example.net は、代替サブジェクト フィールドの右端の値ではないため example.net host1.example.network.com または host2.net.com と一致しないことに注意してください。AutoVPNでは、共通のドメイン名を共有するピアが複数存在する場合に、部分的なFQDNとike-user-type-group-ike-idを組み合わせることで、特定のリモートユーザーまたはピアを識別できます。

リモート アクセス接続用の IKE ユーザーの種類を構成します。

• 値：

  • group-ike-id - リモート アクセス ユーザーのグループが共有する電子メール アドレスまたは完全修飾ドメイン名(FQDN)。これにより、各ユーザーが個別の IKE プロファイルを構成する必要がありません。グループIKE IDが構成されている場合、各ユーザーのIKE IDは、ユーザー固有の部分と、すべてのグループIKE IDユーザーに共通する部分を連結したものになります。例えば、ユーザBobが、自分のフルIKE IDとして「Bob.example.net」を使用する場合、「.example.net」はすべてのユーザーに共通です。フルIKE IDは、各ユーザーの接続を一意に識別するために使用されます。グループIKE IDでは、VPN接続中に指定されたユーザー名に基づいて、一意の事前共有キーを生成する必要があります。このキーは、 コマンドで show security ike pre-shared-key 表示できます。

  • shared-ike-id - 多数のリモート アクセス ユーザーが共有する電子メール アドレスで、各ユーザーが個別の IKE プロファイルを構成する必要がないようにします。共有IKE IDが構成されると、すべてのユーザーが1つのIKE IDと1つのIKE事前共有キーを共有します。各ユーザーは、必須のXAuthフェーズで認証されます。このフェーズでは、個々のユーザーの資格情報が外部RADIUSサーバーまたはローカルアクセスデータベースで検証されます。共有IKE IDにはXAuthが必要です。

IPV4 アドレスを使用して動的ピアを識別します。

IPV6 アドレスを使用して動的ピアを識別します。

重複したIKE-IDから新しい接続を拒否します。

電子メール アドレスを使用します。