group-vpn
Syntax
group-vpn {
member {
ike {
gateway gateway-name;
policy;
proposal;
traceoptions;
}
ipsec {
vpn vpn-name {
df-bit (clear | copy | set);
exclude rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
fail-open rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
group id;
group-vpn-external-interface interface;
ike-gateway gateway-name;
recovery-probe;
}
}
}
server {
group name {
anti-replay-time-window milliseconds;
description description;
group-id number;
ike-gateway gateway-name;
ipsec-sa;
member-threshold number;
server-cluster;
}
ike {
gateway gateway-name;
policy;
proposal;
}
ipsec {
proposal proposal-name;
}
traceoptions (Security Group VPN);
}
}
Hierarchy Level
[edit security]
Description
Configure VPN de grupo en el grupo VPNv2. El grupo VPNv2 extiende la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad. Con el VPNv2 del grupo, la conectividad de cualquier a cualquier se logra conservando las direcciones IP de origen y destino originales en el encabezado externo.
Options
| Miembro | Configurar miembro de VPN de grupo. |
| Ike | Configure la VPN del grupo IPsec en el miembro del grupo. |
| política | Configure una política de ICR. |
| Propuesta | Defina una propuesta de ICR. Puede configurar una o más propuestas de IKE. Cada propuesta es una lista de atributos de IKE para proteger la conexión IKE entre el host IKE y su par. |
| traceoptions | Configure las opciones de seguimiento de VPN de grupo para ayudar a solucionar los problemas de IKE o servidor. |
| Ipsec | Configure IPsec para el intercambio de fase 2 en el miembro del grupo. |
| Vpn | Configure VPN IPsec para el intercambio de fase 2 en el miembro del grupo. |
| Servidor | Configure el servidor VPN de grupo. |
| Grupo | Configure la VPN de grupo en el servidor de grupo. |
| anti-replay-time-window | Configure el tiempo de antireplay en milisegundos. Especifique un valor de 1 a 60 000. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora del paquete está dentro del valor configurado |
| Descripción | Descripción del grupo. |
| número de id de grupo | Identificador de esta VPN de grupo. Especifique un valor de 1 a 4.294.967.295. |
| Nombre de puerta de enlace de ike-gateway | Defina al miembro del grupo para la negociación de fase 1. Puede haber varias instancias de esta opción configuradas. Cuando un miembro de grupo envía su solicitud de registro al servidor, el servidor comprueba que el miembro está configurado para el grupo. |
| ipsec-sa | Configure las SA de grupo que se descargarán a los miembros. Puede haber varias SA de grupo descargadas a los miembros del grupo. |
| umbral de miembro | Especifique la cantidad máxima de miembros de VPN de grupo que se pueden aceptar en el grupo. No hay ningún número predeterminado. |
| clúster de servidores | Configure el clúster de controlador de grupo/servidor de claves (GCKS) del dominio de interpretación de grupo (GDOI) para el grupo especificado. Todos los servidores de un clúster de servidor VPN de grupo deben ser dispositivos serie SRX. |
| servidor-miembro-comunicación | Habilite y configure el servidor para la comunicación de miembro. Cuando se configuran estas opciones, los miembros del grupo reciben claves nuevas antes de que expiren las claves actuales. |
Required Privilege Level
seguridad: para ver esta instrucción en la configuración.
control de seguridad: para agregar esta instrucción a la configuración.
Release Information
Instrucción introducida en la versión 10.2 de Junos OS.