gateway (Security IKE)
構文
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-addresses-or-hostnames];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
general-ikeid;
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
node-local;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
階層レベル
[edit security ike]
説明
IKEゲートウェイを構成します。
オプション
| gateway-name | ゲートウェイの名前。 |
||||
| address | プライマリIKE(インターネット鍵交換)ゲートウェイ(ピア)と最大4つのバックアップゲートウェイのIPv4またはIPv6アドレス、あるいはホスト名を指定します。 ikedプロセスを実行しているIPsec VPNで複数のピアアドレスを設定する前に、以下の点を考慮してください。
|
||||
| aaa | VPN トンネルにアクセスしようとするリモート ユーザーに対して、IKE フェーズ 1 認証に加えて拡張認証を実行することを指定します。 |
||||
| advpn | 指定したゲートウェイで自動検出 VPN (ADVPN) プロトコルを有効にします。ADVPN は、スポーク間に VPN トンネルを動的に確立し、ハブを経由するトラフィックのルーティングを回避します。 |
||||
| dead-peer-detection | デバイスがデッドピア検出(DPD)を使用できるようにします。 |
||||
| dynamic | 動的IPv4またはIPv6アドレスを使用して、リモートゲートウェイの識別子を指定します。このステートメントは、未指定の IPv4 または IPv6 アドレスを持つゲートウェイで VPN をセットアップするために使用します。 |
||||
| external-interface | IPsec VPNへのトラフィック送信に使用するインターフェイスの名前。IKE SAの送信インターフェイスを指定します。このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォール セキュリティを提供します。 |
||||
| fragmentation | IKEv2 パケットのフラグメント化を無効にし、必要に応じて、メッセージが個別に暗号化および認証されるフラグメントに分割されるまでの IKEv2 メッセージの最大サイズを設定します。
|
||||
| general-ikeid | 一般的にピアIKE-IDを受け入れます。 |
||||
| ike-policy | ゲートウェイに使用するIKEポリシーを指定します。 |
||||
| local-address | IKE ネゴシエーション用のローカル IP アドレス。ローカルゲートウェイアドレスを指定します。VPN ピアへの外部物理インターフェイス上で、同じアドレスファミリー内の複数のアドレスを設定できます。この場合は、 を設定する 値は |
||||
| local-identity | 通信を確立するために宛先ピアとの交換で送信するローカルIKE IDを指定します。 |
||||
| nat-keepalive | NAT 変換を続行できるように、NAT キープアライブ パケットを送信できる間隔(秒)を指定します。Junos OSリリース12.1X46-D10でデフォルト値が5秒から20秒に変更されました。
|
||||
| node-local | マルチノード高可用性ノードとVPNピアデバイス間のIPsec VPNトンネルをノードローカルトンネルとしてマークします。ノードローカル トンネルは、デバイスがルートを動的に追加できるようにするダイナミック ルーティング プロトコルをサポートしています。これらのルートはノードに対してローカルであり、サービス冗長性グループ(SRG)にはバインドされません。このオプションは、マルチノードの高可用性の場合にのみ使用します。 | ||||
| no-nat-traversal | IPSec NAT トラバーサルを無効にします。ネットワーク アドレス変換トラバーサル(NAT-T)とも呼ばれる、IPsec ESP(カプセル化セキュリティ ペイロード)パケットの UDP カプセル化を無効にします。NAT-Tはデフォルトで有効になっています。 |
||||
| tcp-encap-profile | リモートアクセスクライアントのTCP接続に使用するTCPカプセル化プロファイルを指定します。 |
||||
| version | 接続の開始に使用するIKEのバージョンを指定します。
|
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で導入されたステートメント。Junos OSリリース11.1で追加されたIPv6アドレスのサポート。 inet6 Junos OSリリース11.1で追加されたオプション。Junos OSリリース12.3X48-D10で追加された オプションのサポート advpn 。
オプションは fragmentation Junos OSリリース15.1X49-D80で導入されました。
オプションは tcp-encap-profile Junos OSリリース15.1X49-D80で導入されました。
general-ikeid 階層下の [edit security ike gateway gateway-name dynamic] オプションは、Junos OSリリース21.1R1で導入されています。
オプションは node-local Junos OSリリース23.2R1で導入されました。
Junos OSリリース23.4R1では、ikedプロセスを実行するIPsec VPNのオプションにおける address 複数ピアアドレスのサポートが導入されています。