gateway (Security IKE)
구문
gateway gateway-name { aaa { access-profile access-profile { config-payload-password config-payload-password; } client { password; username; } } address [ip-addresses-or-hostnames]; advpn { suggester { disable; } partner { connection-limit number; idle-threshold packets/sec; idle-time seconds; disable; } } dead-peer-detection { (always-send | optimized | probe-idle-tunnel); interval seconds; threshold number; } dynamic { connections-limit number; distinguished-name { container container-string; wildcard wildcard-string } general-ikeid; hostname domain-name; ike-user-type (group-ike-id | shared-ike-id); inet ip-address; inet6 ipv6-address; reject-duplicate-connection; user-at-hostname e-mail-address; } external-interface external-interface-name; fragmentation { disable; size bytes; } general-ikeid; ike-policy policy-name; local-address (ipv4-address | ipv6-address); local-identity { (distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address); } nat-keepalive seconds; no-nat-traversal; node-local; remote-identity { (distinguished-name <container container-string> <wildcard wildcard-string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id | user-at-hostname e-mail-address); } tcp-encap-profile profile-name; version (v1-only | v2-only); }
계층 수준
[edit security ike]
설명
IKE(Internet Key Exchange) 게이트웨이를 구성합니다.
옵션
gateway-name | 게이트웨이의 이름입니다. |
||||
address | IPv4 또는 IPv6 주소 또는 기본 IKE(Internet Key Exchange) 게이트웨이(피어) 및 최대 4개의 백업 게이트웨이의 호스트 이름을 지정합니다. iked 프로세스를 실행하는 IPsec VPN으로 여러 피어 주소를 구성하기 전에 다음 사항을 고려하십시오.
|
||||
aaa | VPN 터널에 액세스하려는 원격 사용자에 대해 IKE(Internet Key Exchange) 1단계 인증과 함께 확장 인증이 수행되도록 지정합니다. |
||||
advpn | 지정된 게이트웨이에서 ADVPN(Auto Discovery VPN) 프로토콜을 사용하도록 설정합니다. ADVPN은 허브를 통해 트래픽이 라우팅되는 것을 방지하기 위해 스포크 사이에 VPN 터널을 동적으로 설정합니다. |
||||
dead-peer-detection | DPD(Dead Peer Detection)를 사용하도록 디바이스를 활성화합니다. |
||||
dynamic | 동적 IPv4 또는 IPv6 주소로 원격 게이트웨이의 식별자를 지정합니다. 이 문을 사용하여 지정되지 않은 IPv4 또는 IPv6 주소가 있는 게이트웨이로 VPN을 설정합니다. |
||||
external-interface | IPsec VPN으로 트래픽을 전송하는 데 사용할 인터페이스의 이름입니다. IKE(Internet Key Exchange) SA에 대한 발신 인터페이스를 지정합니다. 이 인터페이스는 방화벽 보안을 제공하는 캐리어 역할을 하는 영역과 연결됩니다. |
||||
fragmentation | IKEv2 패킷 단편화를 비활성화하고, 선택적으로 메시지가 개별적으로 암호화되고 인증된 조각으로 분할되기 전에 IKEv2 메시지의 최대 크기를 구성합니다.
|
||||
general-ikeid | 일반적으로 피어 IKE-ID를 수락합니다. |
||||
ike-policy | 게이트웨이에 사용할 IKE(Internet Key Exchange) 정책을 지정합니다. |
||||
local-address | IKE 협상을 위한 로컬 IP 주소입니다. 로컬 게이트웨이 주소를 지정합니다. 동일한 주소 패밀리의 여러 주소를 VPN 피어에 대한 외부 물리적 인터페이스에서 구성할 수 있습니다. 이 경우 구성하는
|
||||
local-identity | 통신을 설정하기 위해 대상 피어와의 교환에서 보낼 로컬 IKE ID를 지정합니다. |
||||
nat-keepalive | NAT 변환이 계속되도록 NAT keepalive 패킷(초)을 전송할 수 있는 간격을 지정합니다. Junos OS 릴리스 12.1X46-D10에서 기본값이 5초에서 20초로 변경되었습니다.
|
||||
node-local | 멀티노드 고가용성 노드와 VPN 피어 디바이스 사이의 IPsec VPN 터널을 노드-로컬 터널로 표시합니다. 노드-로컬 터널은 디바이스가 경로를 동적으로 추가할 수 있도록 하는 동적 라우팅 프로토콜을 지원합니다. 이러한 경로는 노드에 로컬로 유지되며 서비스 중복 그룹(SRG)에 바인딩되지 않습니다. 이 옵션은 멀티노드 고가용성에만 사용합니다. | ||||
no-nat-traversal | IPSec NAT 통과를 비활성화합니다. NAT-T(Network Address Translation Traversal)라고도 하는 IPsec ESP(Encapsulating Security Payload) 패킷의 UDP 캡슐화를 비활성화합니다. NAT-T는 기본적으로 활성화되어 있습니다. |
||||
tcp-encap-profile | 원격 액세스 클라이언트의 TCP 연결에 사용할 TCP 캡슐화 프로파일을 지정합니다. |
||||
version | 연결을 시작하는 데 사용할 IKE 버전을 지정합니다.
|
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 8.5에서 소개된 명령문. Junos OS 릴리스 11.1에서 IPv6 주소에 대한 지원이 추가되었습니다. 이 inet6
옵션은 Junos OS 릴리스 11.1에 추가되었습니다. 옵션에 대한 advpn
지원이 Junos OS 릴리스 12.3X48-D10에 추가되었습니다.
옵션은 fragmentation
Junos OS 릴리스 15.1X49-D80에 도입되었습니다.
옵션은 tcp-encap-profile
Junos OS 릴리스 15.1X49-D80에 도입되었습니다.
general-ikeid
계층 아래의 [edit security ike gateway gateway-name dynamic]
옵션은 Junos OS 릴리스 21.1R1에서 소개되었습니다.
옵션은 node-local
Junos OS 릴리스 23.2R1에 도입되었습니다.
iked 프로세스를 실행하는 IPsec VPN에 대한 옵션의 다중 피어 주소에 대한 지원은 Junos OS 릴리스 23.4R1에 address
도입되었습니다.