Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

group (Security Group VPN)

Syntax

Hierarchy Level

Description

グループ サーバーでグループ VPN を構成します。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

Options

name— グループの名前。

  • anti-replay-time-window milliseconds—アンチ再生時間をミリ秒で設定します。1 から 60,000 までの値を指定します。

    適切なアンチプレイ操作を保証するために、グループ VPNv2 デバイスで NTP を設定することをお勧めします。

    ハイパーバイザーが負荷の高いホストマシン上のvSRXインスタンスで実行されているグループメンバーには、値を再構成することで修正できる問題が発生する anti-replay-time-window 可能性があります。グループ メンバーの IPsec ポリシーと一致するデータが転送されない場合は、D3P エラーの出力を show security group-vpn member ipsec statistics 確認します。NTP が正しく動作していることを確認します。エラーがある場合は、値を調整します anti-replay-time-window

  • description description— グループの説明。

  • group-id number— このグループ VPN の識別子。1 から 4,294,967,295 までの値を指定します。

  • ike-gateway gateway-name— フェーズ 1 ネゴシエーションのグループ・メンバーを定義します。このオプションには複数のインスタンスを設定できます。グループ メンバーが登録要求をサーバーに送信すると、サーバーはメンバーがそのグループに対して構成されていることを確認します。

  • ipsec-sa name— メンバーにダウンロードするグループ SA を設定します。複数のグループ SA をグループ メンバーにダウンロードできます。

  • member-threshold number— グループ内で受け入れ可能なグループ VPN メンバーの最大数を指定します。ルート サーバーとグループ サーバー クラスター内のすべてのサブサーバーで、同じ member-threshold 値を設定する必要があります。

    グループに対して設定できる最大数は、グループ サーバー プラットフォームによって異なります。また、グループ サーバーで構成されたすべてのグループの数の member-threshold 合計は、グループ サーバー プラットフォームの容量を超えてはなりません。

  • server-cluster— 指定したグループの GDOI(Group Domain of Interpretation)グループ コントローラ/鍵サーバー(GCKS)クラスタを設定します。グループ VPN サーバー クラスター内のすべてのサーバーは、SRX シリーズ デバイスである必要があります。

  • server-member-communication—サーバーからメンバーへの通信を有効にして設定します。これらのオプションを構成すると、グループ メンバーは現在のキーが期限切れになる前に新しいキーを受け取ります。

Required Privilege Level

security—このステートメントを設定で表示します。

security-control —このステートメントを設定に追加します。

Release Information

Junos OS リリース 10.2 で導入されたステートメント

member-threshold vSRX向けJunos OSリリース15.1X49-D30で導入されたオプション。