Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchy Level

Description

Configure una VPN de IPsec. Una VPN proporciona un medio mediante el cual los equipos remotos se comunican de forma segura a través de una WAN pública, como Internet. Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. Los flujos de tráfico entre estos dos puntos pasan a través de recursos compartidos como enrutadores, conmutadores y otros equipos de red que hacen parte de la WAN pública. Para proteger la comunicación VPN mientras se pasa a través de la WAN, los dos participantes crean un túnel de seguridad IP (IPsec). IPsec es un conjunto de protocolos relacionados para proteger las comunicaciones de forma criptográfica en la capa de paquetes IP.

Options

nombre VPN

Nombre de la VPN.

BIND-interface

Configure la interfaz de túnel a la que está enlazada la red privada virtual (VPN) basada en ruta.

Copy-outer-DSCP

Habilite la copia de campo de punto de código de servicios diferenciados (DSCP) (código DSCP externo + ECN) del encabezado IP exterior en el mensaje de texto sin formato del encabezado IP interno, en la ruta de descifrado. La ventaja de habilitar esta característica es que, después del descifrado de IPsec, los paquetes de texto sin cifrar pueden seguir las reglas de la CoS interna (DSCP + ECN).

Perfil de distribución

Especifique un perfil de distribución para distribuir túneles. La distribution-profile opción se introduce para ofrecer al administrador una opción para seleccionar qué fotografía del chasis debe controlar los túneles asociados con determinados objetos VPN. Si los perfiles predeterminados default-spc3-profile , default-spc2-profile como o no están seleccionados, se puede seleccionar un perfil nuevo definido por el usuario. En un perfil, debe mencionar la ranura del concentrador de PIC flexible (FPC) y el número PIC. Cuando un perfil de este tipo está asociado con un objeto VPN, todos los túneles que coincidan se distribuyen a través de estas PIC.

  • Valores

    • perfil predeterminado spc2: grupo predeterminado para distribuir túneles solo en SPC2

    • perfil predeterminado spc3: grupo predeterminado para distribuir túneles solo en SPC3

    • distribution-profile-name: nombre del perfil de distribución.

DF-bit

Especifique cómo controla el dispositivo el bit No fragmentar (DF) en el encabezado exterior.

En los dispositivos SRX5400, SRX5600 y SRX5800, la configuración de bits de DF para VPN solo funciona si el tamaño del paquete original es menor que la MTU de la interfaz st0 y es mayor que la interfaz externa, que es una sobrecarga de IPSec.

  • Valores

    • clear: desactive (desactive) el bit DF del encabezado externo. Este es el valor predeterminado.

    • copy: copie el bit DF en el encabezado exterior.

    • set: establezca (activar) el bit DF en el encabezado exterior.

establecer: túneles

Especifique cuándo se activa ICR: inmediatamente después de configurar la información VPN y confirmar los cambios de configuración, o solo cuando fluye el tráfico de datos. Si no se especifica esta configuración, ICR se activa solo cuando fluye el tráfico de datos.

  • Valores

    • immediately: ICR activa inmediatamente después de que se confirman los cambios en la configuración de VPN.

      A partir de Junos OS Release 15.1 X49-D70, aparece un mensaje de ADVERTENCIA Si configura la establish-tunnels immediately opción para una puerta de enlace group-ike-id de shared-ike-id ICR con o ICR tipos de usuario (por ejemplo, con AutoVPN o una VPN de acceso remoto). Esta establish-tunnels immediately opción no es adecuada para estas VPN, ya que varios túneles VPN pueden estar asociados con una sola configuración VPN. La confirmación de la configuración se realizará correctamente establish-tunnels immediately , pero la configuración se ignorará. El estado de la interfaz de túnel será todo el tiempo, que no es el caso en versiones anteriores cuando se configuró la establish-tunnels immediately opción.

    • on-traffic: ICR solo se activa cuando el tráfico de datos fluye y debe negociarse con la puerta de enlace par. Este es el comportamiento predeterminado.

    • responder-only: responde a ICR que inicia la puerta de enlace par, pero no inicia ICR negociación desde el dispositivo. Esta opción es necesaria cuando la puerta de enlace par de otro proveedor espera los valores de protocolo y puerto en el selector de tráfico desde la puerta de enlace iniciador. responder-only opción agregada en la Junos OS versión 19.1R1.

    • responder-only-no-rekey: la opción no establece ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se inicia desde el par remoto. Un túnel establecido no inicia ninguna regeneración de clave del dispositivo y depende del interlocutor remoto para iniciar esta regeneración de claves. Si no se produce la regeneración de claves, el túnel se desactivará cuando venza la vida dura.

protocolos

Definir una VPN IPsec con clave de ICR.

manual

Defina una asociación de seguridad IPsec (SA) manual.

varios SA

Negociar varias asociaciones de seguridad (SAs) en función de las opciones de configuración. Varias SA negocian con el mismo selector de tráfico en el mismo ICR SA.

Selector de tráfico

Configure varios conjuntos de prefijo de dirección IP local, prefijo de dirección IP remota, rango de puerto de origen, rango de puerto de destino y protocolo como un selector de tráfico para un túnel IPsec.

Match-Direction

Dirección para la que se aplica la coincidencia de regla

  • Valores

    • entrada: hacer coincidir en la entrada con la interfaz

    • salida: hacer coincidir en el resultado de la interfaz

modo de túnel pasivo

No hay comprobaciones de paquetes IP activas antes de la encapsulación IPSec

Tunnel-MTU

Tamaño máximo del paquete de transmisión

  • Varían 256 a 9192

encapsulación UDP

Adicional Utilice el puerto de destino UDP especificado para el encabezado UDP que se anexa a la encapsulación ESP. Habilitar el reenvío de varias rutas de acceso del tráfico IPsec mediante la adición de un encabezado UDP a la encapsulación IPsec de paquetes. Esto aumenta el rendimiento del tráfico IPsec. Si no habilita la encapsulación UDP, todo el tráfico IPsec sigue una sola ruta de desplazamiento, en lugar de utilizar varias rutas disponibles.

  • Varían 1025 a 65536. No utilice 4500.

  • Predeterminada Si no incluye la instrucción UDP-dest-Port, el puerto de destino UDP predeterminado es 4565.

monitor de VPN

Configure las opciones para la supervisión de VPN.

Las sentencias restantes se explican por separado. Consulte el Explorador de CLI.

Required Privilege Level

seguridad: para ver esta instrucción en la configuración.

security-control: para agregar esta instrucción a la configuración.

Release Information

Instrucción introducida en Junos OS versión 8,5.

Compatibilidad con direcciones IPv6 agregadas en Junos OS versión 11,1.

Compatibilidad con copy-outer-dscp agregados en Junos OS versión 15.1X49-D30.

verify-path palabra clave destination-ip y agregada en Junos OS versión 15.1X49-D70.

packet-size opción agregada en la Junos OS versión 15.1X49-D120.

Compatibilidad con , , , y opciones introducidas en term Junos OS versión protocolsource-portdestination-portmetricdescription 21.1R1.