gateway (Security IKE)
구문
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-addresses-or-hostnames];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
general-ikeid;
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
node-local;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
계층 수준
[edit security ike]
설명
IKE(Internet Key Exchange) 게이트웨이를 구성합니다.
옵션
| gateway-name | 게이트웨이의 이름입니다. |
||||
| address | IPv4 또는 IPv6 주소 또는 기본 IKE(Internet Key Exchange) 게이트웨이(피어) 및 최대 4개의 백업 게이트웨이의 호스트 이름을 지정합니다. iked 프로세스를 실행하는 IPsec VPN으로 여러 피어 주소를 구성하기 전에 다음 사항을 고려하십시오.
|
||||
| aaa | VPN 터널에 액세스하려는 원격 사용자에 대해 IKE(Internet Key Exchange) 1단계 인증과 함께 확장 인증이 수행되도록 지정합니다. |
||||
| advpn | 지정된 게이트웨이에서 ADVPN(Auto Discovery VPN) 프로토콜을 사용하도록 설정합니다. ADVPN은 허브를 통해 트래픽이 라우팅되는 것을 방지하기 위해 스포크 사이에 VPN 터널을 동적으로 설정합니다. |
||||
| dead-peer-detection | DPD(Dead Peer Detection)를 사용하도록 디바이스를 활성화합니다. |
||||
| dynamic | 동적 IPv4 또는 IPv6 주소로 원격 게이트웨이의 식별자를 지정합니다. 이 문을 사용하여 지정되지 않은 IPv4 또는 IPv6 주소가 있는 게이트웨이로 VPN을 설정합니다. |
||||
| external-interface | IPsec VPN으로 트래픽을 전송하는 데 사용할 인터페이스의 이름입니다. IKE(Internet Key Exchange) SA에 대한 발신 인터페이스를 지정합니다. 이 인터페이스는 방화벽 보안을 제공하는 캐리어 역할을 하는 영역과 연결됩니다. |
||||
| fragmentation | IKEv2 패킷 단편화를 비활성화하고, 선택적으로 메시지가 개별적으로 암호화되고 인증된 조각으로 분할되기 전에 IKEv2 메시지의 최대 크기를 구성합니다.
|
||||
| general-ikeid | 일반적으로 피어 IKE-ID를 수락합니다. |
||||
| ike-policy | 게이트웨이에 사용할 IKE(Internet Key Exchange) 정책을 지정합니다. |
||||
| local-address | IKE 협상을 위한 로컬 IP 주소입니다. 로컬 게이트웨이 주소를 지정합니다. 동일한 주소 패밀리의 여러 주소를 VPN 피어에 대한 외부 물리적 인터페이스에서 구성할 수 있습니다. 이 경우 구성하는
|
||||
| local-identity | 통신을 설정하기 위해 대상 피어와의 교환에서 보낼 로컬 IKE ID를 지정합니다. |
||||
| nat-keepalive | NAT 변환이 계속되도록 NAT keepalive 패킷(초)을 전송할 수 있는 간격을 지정합니다. Junos OS 릴리스 12.1X46-D10에서 기본값이 5초에서 20초로 변경되었습니다.
|
||||
| node-local | 멀티노드 고가용성 노드와 VPN 피어 디바이스 사이의 IPsec VPN 터널을 노드-로컬 터널로 표시합니다. 노드-로컬 터널은 디바이스가 경로를 동적으로 추가할 수 있도록 하는 동적 라우팅 프로토콜을 지원합니다. 이러한 경로는 노드에 로컬로 유지되며 서비스 중복 그룹(SRG)에 바인딩되지 않습니다. 이 옵션은 멀티노드 고가용성에만 사용합니다. | ||||
| no-nat-traversal | IPSec NAT 통과를 비활성화합니다. NAT-T(Network Address Translation Traversal)라고도 하는 IPsec ESP(Encapsulating Security Payload) 패킷의 UDP 캡슐화를 비활성화합니다. NAT-T는 기본적으로 활성화되어 있습니다. |
||||
| tcp-encap-profile | 원격 액세스 클라이언트의 TCP 연결에 사용할 TCP 캡슐화 프로파일을 지정합니다. |
||||
| version | 연결을 시작하는 데 사용할 IKE 버전을 지정합니다.
|
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 8.5에서 소개된 명령문. Junos OS 릴리스 11.1에서 IPv6 주소에 대한 지원이 추가되었습니다. 이 inet6 옵션은 Junos OS 릴리스 11.1에 추가되었습니다. 옵션에 대한 advpn 지원이 Junos OS 릴리스 12.3X48-D10에 추가되었습니다.
옵션은 fragmentation Junos OS 릴리스 15.1X49-D80에 도입되었습니다.
옵션은 tcp-encap-profile Junos OS 릴리스 15.1X49-D80에 도입되었습니다.
general-ikeid 계층 아래의 [edit security ike gateway gateway-name dynamic] 옵션은 Junos OS 릴리스 21.1R1에서 소개되었습니다.
옵션은 node-local Junos OS 릴리스 23.2R1에 도입되었습니다.
iked 프로세스를 실행하는 IPsec VPN에 대한 옵션의 다중 피어 주소에 대한 지원은 Junos OS 릴리스 23.4R1에 address 도입되었습니다.