Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ipsec (Security Group VPN Member)

Sintaxis

Nivel jerárquico

Descripción

Configure IPsec para el intercambio de fase 2 en el miembro del grupo. El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

Opciones

vpn vpn-name

Nombre de la VPN.

df-bit

Especifica la prefragmentación y la posterior fragmentación del tráfico IPsec en el miembro del grupo. Se puede configurar una de las siguientes opciones:

  • borrar: establece el bit IP externo no fragmentar (DF) en 0. Cuando el tamaño del paquete es mayor que la unidad de transmisión máxima de ruta (MTU de ruta), se realiza la prefragmentación si el bit DF no está establecido en el paquete interno y la postfragmentación se realiza si el bit DF se establece en el paquete interno. Este es el valor predeterminado.

  • copiar: copia el bit DF del encabezado interno al encabezado externo. Cuando el tamaño del paquete es mayor que la PMTU de ruta, se realiza la prefragmentación si el bit DF no se establece en el paquete interno. Si el bit DF se establece en el paquete interno, el paquete se cae y se devuelve un mensaje ICMP.

  • set: establece el bit DF IP externo en 1. Cuando el tamaño del paquete es mayor que la MTU de ruta, se realiza la prefragmentación si el bit DF no se establece en el paquete interno. Si el bit DF se establece en el paquete interno, el paquete se cae y se devuelve un mensaje ICMP

exclude rule

Especifica el tráfico que se va a excluir del cifrado vpn de grupo. Se puede configurar un máximo de 10 reglas de exclusión. Las direcciones de origen y destino se deben especificar en ip-address/mask formato; no se admiten libretas de direcciones ni conjuntos de direcciones. Se admiten aplicaciones predefinidas y definidas por el usuario, pero no se admiten conjuntos de aplicaciones.

fail-open rule

Especifica el tráfico que se va a enviar en modo de texto sin formato si no hay ninguna clave SA válida disponible para proteger el tráfico. El tráfico que no se especifica mediante la regla de conmutación por error se bloquea si no hay ninguna clave SA válida disponible para proteger el tráfico. Se puede configurar un máximo de 10 reglas de fallas abiertas. Las direcciones de origen y destino se deben especificar en ip-address/mask formato; no se admiten libretas de direcciones ni conjuntos de direcciones. Se admiten aplicaciones predefinidas y definidas por el usuario, pero no se admiten conjuntos de aplicaciones.

group id

Identificador configurado para la VPN de grupo.

group-vpn-external-interface interface

Interfaz utilizada por el miembro del grupo para conectarse a los pares de VPN de grupo. La interfaz debe pertenecer a la misma zona que la to-zone configurada en el nivel de jerarquía [edit security ipsec-policy] para el tráfico VPN de grupo.

ike-gateway gateway-name

Nombre de la puerta de enlace IKE para la VPN de grupo.

recovery-probe

Permite el inicio de groupkey-pull intercambios a intervalos específicos para actualizar la SA del miembro desde el servidor de grupo si se determina que el miembro del grupo no está sincronizado con el servidor del grupo y otros miembros del grupo. Esta opción está deshabilitada de forma predeterminada.

Nivel de privilegio requerido

seguridad: para ver esta instrucción en la configuración.

control de seguridad: para agregar esta instrucción a la configuración.

Información de la versión

Instrucción introducida en la versión 10.2 de Junos OS. df-bit, exclude rule, fail-open ruley recovery-probe las opciones agregadas en Junos OS versión 15.1X49-D30 para vSRX.