Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchy Level

Description

IPsec VPN を構成します。VPN は、リモート コンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。VPN 接続では、2つの Lan (サイト間 VPN) またはリモートのダイヤルアップユーザーと LAN をリンクすることができます。これら 2 つのポイント間のフローは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。WAN を通過中の VPN 通信を保護するために、2 つの参加者が IP セキュリティ(IPsec)トンネルを作成します。IPsec は、IP パケットレイヤーでの通信を暗号で保護するための、関連するプロトコルのセットです。

Options

vpn-名前

VPN の名前。

bind インターフェイス

ルートベースの仮想プライベートネットワーク (VPN) がバインドされているトンネルインターフェイスを構成します。

copy 外側 dscp

外部 IP ヘッダーの暗号化されたパケットから内部 IP ヘッダーへの DSCP (outer DSCP + ECN) フィールドのコピーを有効にして、暗号化解除パスにテキストメッセージを表示します。この機能を有効にするメリットは、IPsec の暗号化が解除された後で、クリアテキストパケットが内側の CoS (DSCP + ECN) ルールに従ってしまうことです。

配布プロファイル

配信プロファイルを指定してトンネルを配信します。このdistribution-profileオプションは、特定の VPN オブジェクトに関連付けられたトンネルを処理するシャーシの PICs を選択するためのオプションを管理者に提供するために導入されています。default-spc3-profileまたdefault-spc2-profileはなどのデフォルトプロファイルが選択されていない場合は、新しいユーザー定義プロファイルを選択できます。プロファイルでは、フレキシブル PIC コンセントレーター (FPC) スロットと PIC 番号について言及している必要があります。このようなプロファイルがVPNオブジェクトに関連付けられている場合、一致するすべてのトンネルがこれらのPIC上に分散されます。

  • 指定

    • default-spc2-profile — SPC2でのみトンネルを分散するためのデフォルト グループ

    • default-spc3-profile — SPC3でのみトンネルを分散するためのデフォルト グループ

    • ディストリビューション プロファイル名 — ディストリビューション プロファイルの名前。

df ビット

デバイスが外部ヘッダーの DF(フラグメント化)ビットを処理する方法を指定します。

SRX5400、SRX5600、SRX5800 デバイスでは、VPN に関する DF ビットの設定は、元のパケットサイズが st0 インターフェイスの MTU よりも小さく、外部インターフェイス ipsec のオーバーヘッドよりも大きくなる場合にのみ機能します。

  • 指定

    • clear—外部ヘッダーの DF ビットをクリア(無効にする)。これがデフォルトです。

    • copy—DF ビットを外部ヘッダーにコピーします。

    • set—外部ヘッダーの DF ビットを設定(有効にする)。

確立-トンネル

IKE をいつアクティブにするかを指定します。VPN 情報が構成され、構成の変更がコミットされた直後、またはデータトラフィックフロー時のみ。この設定が指定されていない場合、IKE はデータトラフィックフロー時にのみアクティブ化されます。

  • 指定

    • immediately—IKE VPN 設定の変更がコミットされると、直ちにアクティブになります。

      Junos OS Release 15.1 X49-D70 で IKE はestablish-tunnels immediatelygroup-ike-idshared-ike-id 、IKE ゲートウェイのオプションをユーザータイプ (たとえば、autovpn やリモートアクセス VPN など) で構成した場合に警告メッセージが表示されます。このestablish-tunnels immediatelyオプションは、複数の vpn トンネルを1つの vpn 構成に関連付けることができるため、これらの vpn には適していません。構成のコミットは成功しますがestablish-tunnels immediately 、構成は無視されます。トンネルインターフェイスの状態は常にアップしていますが、これはestablish-tunnels immediatelyオプションが設定された時点ではこれまでのリリースのものではありませんでした。

    • on-traffic—IKEデータ トラフィックがフローした場合にのみアクティブになり、ピア ゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

    • responder-only:ピア ゲートウェイIKE開始したが、デバイスからネゴシエーションを開始しないIKE ネゴシエーションに応答します。このオプションは、他のベンダーのピア ゲートウェイが、開始ゲートウェイからトラフィック セレクターにプロトコルとポートの値を期待している場合に必要です。 responder-only リリースリリースでJunos OSオプション19.1R1。

    • responder-only-no-rekey—オプションではデバイスから VPN トンネルが確立されないので、リモート ピアから VPN トンネルが開始されます。確立されたトンネルはデバイスからのキー更新を開始せず、リモートピアに依存してこのキー更新を開始しません。キー更新が行われていない場合は、ハードライフが満了するとトンネルが停止します。

ike

IKE キーの IPsec VPN を定義します。

手動

手動 IPsec セキュリティーアソシエーション (SA) を定義します。

マルチ sa

構成の選択に基づいて複数のセキュリティーアソシエーション (Sa) をネゴシエートします。複数の SAs は、同じ IKE SA で同じトラフィックセレクターを使用してネゴシエートします。

トラフィックの選択

複数のローカル IP アドレス プレフィックス、リモート IP アドレス プレフィックス、送信元ポート範囲、宛先ポート範囲、プロトコルのセットを、IPsec トンネル用のトラフィック セレクターとして設定します。

対応方向

ルールの一致が適用される方向

  • 指定

    • input — input to interface で一致

    • output — インターフェイスからの出力で一致

パッシブモードトンネリング

IPSec カプセル化前のアクティブな IP パケットチェックは行われない

トンネル mtu

送信パケットの最大サイズ

  • 256 ~ 9192

udp カプセル化

ナESP カプセル化に追加する UDP ヘッダーに対して、指定された UDP 宛先ポートを使用します。パケットの IPsec カプセル化に UDP ヘッダーを追加することで、IPsec トラフィックのマルチパス転送を有効にします。これにより、IPsec トラフィックのスループットが向上します。UDP カプセル化を有効にしない場合、すべての IPsec トラフィックは、利用可能な複数のパスを使用するのではなく、1つの転送パスに従います。

  • 1025 ~ 65536. 4500を使用しないでください。

  • Udp 宛先ポートステートメントが含まれていない場合は、デフォルトの UDP 送信先ポートは4565になります。

vpn モニター

VPN 監視の設定を構成します。

残りのステートメントは個別に説明されています。CLI エクスプローラーを参照してください。

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

文は Junos OS リリース8.5 で導入されました。

Junos OS リリース11.1 で追加された IPv6 アドレスのサポート。

新バージョン copy-outer-dscp リリース Junos OSのサポート15.1X49-D30。

verify-path キーワードと destination-ip 追加Junos OSの15.1X49-D70。

packet-size リリースリリースでJunos OSオプション15.1X49-D120。

リリース termprotocolsource-portdestination-portmetricdescription 21.1R1 で導入された 、Junos OS のサポート。