Vpn
-
ikedプロセス(SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、SRX4300、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)を使用したADVPNのサポート—Junos OSリリース23.4R1以降、IPsec VPNサービスに対してikedプロセスを実行するファイアウォールでの自動検出VPN(ADVPN)設定がサポートされています。ikedプロセスを使用すると、引き続き 階層レベルで構成
advpn
[edit security ike gateway gateway-name]
できます。[ 自動検知VPNを参照してください。
-
lifetime-kilobytes
iked プロセス(SRX1500、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)での 、install-interval
、 オプションidle-time
のサポート—Junos OS リリース 23.4R1 以降、IPsec VPN サービスで iked プロセスを実行するファイアウォールで 、install-interval
、lifetime-kilobytes
オプションがサポートされていますidle-time
。次のオプションを引き続き構成できます。
-
lifetime-kilobytes
階層レベルで有効にします[edit security ipsec proposal proposal-name]
。 -
idle-time
[edit security ipsec vpn vpn-name]
およびinstall-interval
階層レベルで。
[ IKE(Security IPsec VPN) および プロポーザル(Security IPsec)を参照してください。]
-
-
ikedプロセス(SRX1500、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)を使用したDPD設定での複数のピアアドレスのサポート:Junos OSリリース23.4R1以降、ファイアウォールがIPsec VPNサービスに対してikedプロセスを実行する場合、IKE接続はゲートウェイごとに複数のピアアドレスをサポートし、DPDフェイルオーバーを保証します。複数のピアアドレスを設定する前に、
[edit security ike gateway gateway-name]
階層レベルで オプションを設定する必要がありますdead-peer-detection
。同じ階層レベルで オプションを使用してaddress
、複数のピアアドレスを設定できます。DPD フェールオーバー機能では、次の動作に注意してください。
-
1 つのアクティブ ピアと最大 4 つのバックアップ ピア アドレスを設定できます。
-
アクティブなピアである最初のピア アドレスに到達できない場合、IKE プロトコルは、ピア アドレス設定の順序に基づいて、次に利用可能なピアとネゴシエートします。DPDフェイルオーバーが進行中で、現在アクティブなピアに到達できない場合、トラフィックの中断が発生します。
[ゲートウェイ(セキュリティ IKE)、デッドピア検出、デッドピア検出を参照してください。
-
-
ikedプロセス(SPC3、SRX1500、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0を搭載したMX240、MX480、MX960)を使用してIKEプロトコルに対するDDoS攻撃に対する堅牢な保護をサポート—Junos OSリリース23.4R1以降、ファイアウォールがIPsec VPNサービスに対してikedプロセスを実行する際に、IKEv1およびIKEv2プロトコルに対するDDoS攻撃を効率的に監視および軽減できます。
この機能をサポートするために、以下の設定ステートメントを
[edit security ike]
階層レベルで導入します。-
session
- パラメータを調整してリモート ピアとのネゴシエーションの動作を管理し、セキュリティ アソシエーションを保護します。および[edit security ike session full-open]
階層レベルでパラメーター[edit security ike session half-open]
を設定します。 -
blocklists
- IKE IDをブロックするための複数のブロックリストとそれに関連するルールを定義します。 階層レベルでブロックリスト[edit security ike session blocklists]
を設定します。階層レベルで 1 つ以上の IKE ポリシー[edit security ike policy policy-name blocklist blocklist-name]
にブロックリストを適用する必要があります。
以下のコマンドを使用して、進行中、障害、ブロック、およびバックオフのピアに関する統計およびその他の詳細を表示およびクリアします。
-
show security ike peer statistics
とshow security ike peer
。 -
clear security ike peers statistics
とclear security ike peers
。
[DDoS 攻撃からの IKE 保護、セッション(セキュリティ IKE)、ブロックリスト(セキュリティ IKE)、show security ike peers statistics、show security ike peers、clear security ike peersstatistics、および clear security ike peersを参照してください。
-
-
ikedプロセス(SRX1500、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX 3.0)によるVPN監視とデータパス検証のサポート:Junos OSリリース23.4R1以降、IPsec VPNサービスに対してikedプロセスを実行するファイアウォールでのVPN監視とデータパス検証がサポートされています。ikedプロセスを使用すると、[]階層レベルでの構成
vpn-monitor
verify-path
edit security ipsec vpn vpn-name
を続行できます。この機能では、次の拡張機能が提供されます。
-
アクティブなトンネルでVPN監視機能を構成および削除しても、サービスの中断は発生しません。
-
VPN 監視を構成すると、トンネルがアップした後にのみ機能がアクティブになります。
-
アクティブなトンネルに を設定する
verify-path
と、サービスが中断され、トンネルがダウンした後に再ネゴシエーションが実行されます。
[ vpn-monitor、 verify-path、 vpnトンネルモニタリングを参照してください。]
-