Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

Syntax

Hierarchy Level

Description

Настройка IPsec VPN. VPN обеспечивает средства, с помощью которых удаленные компьютеры могут безопасно взаимодействовать через общедоступные сети WAN, например Интернет. VPN-подключение может связывать две LAN (vpn между узлами) или удаленного пользователя удаленного доступа и ЛВС. Трафик между этими двумя точками проходит через общие ресурсы, такие как маршрутизаторы, коммутаторы и другое оборудование, издавна WAN. Чтобы защитить VPN-соединение при прохождении через сеть WAN, два участника создают туннель IP Security (IPsec). IPsec – это набор сопутствующих протоколов для криптографической защиты данных на уровне IP-пакетов.

Options

VPN-имя

Имя СЕТИ VPN.

привязка интерфейса

Настройте туннельный интерфейс, к которому привязана маршрутная виртуальная частная сеть (VPN).

copy-outer-dscp

Активируйте копирование точки кодов дифференцированного обслуживания (DSCP) (внешний DSCP+ECN) из внешнего зашифрованного пакета в зашифрованный пакет во внутреннее сообщение с незашифрованным IP-загружным сообщением на пути дешифрования. Преимуществом включения этой функции является то, что после расшифровки IPsec незашифрованные текстовые пакеты могут следовать внутренним CoS (DSCP+ECN) правилам.

дистрибуция-профиль

Укажите профиль распределения для распределения туннелей. Этот параметр вводится, чтобы дать администратору возможность выбрать, какие CS в шасси будут обрабатывать туннели, distribution-profile связанные с определенным объектом VPN. Если профили по умолчанию, такие как или не выбраны, можно выбрать default-spc3-profiledefault-spc2-profile новый пользовательский профиль. В профиле необходимо у упоминать слот Flexible PIC Concentrator (FPC) и номер PIC. Если такой профиль связан с объектом VPN, все совпадающие туннели распределены по этим PIC.

  • Значения:

    • default-spc2-profile — группа по умолчанию для распределения туннелей только на SPC2

    • default-spc3-profile — группа по умолчанию для распределения туннелей только в SPC3

    • distribution-profile-name — имя профиля распределения.

df-bit

Укажите, как устройство обрабатывает бит Don't Fragment (DF) во внешнем загоне.

На SRX5400, SRX5600 и SRX5800, конфигурация DF-битов для VPN работает, только если исходный размер пакета меньше, чем размер MTU интерфейса st0, и больше, чем внешний интерфейс-ipsec.

  • Значения:

    • clear-Очистка (отключит) бит DF из внешнего загона. Это значение по умолчанию.

    • copy- Скопируйте бит DF во внешний заддер.

    • set-Установите (включить) бит DF во внешнем загоне.

создание туннелей

Укажите время IKE активирован: немедленно после настройки информации VPN и изменения конфигурации или только при потоке трафика данных. Если эта конфигурация не определена, IKE активируется только при потоке трафика данных.

  • Значения:

    • immediately- IKE активируется сразу после окнанесения изменений конфигурации VPN.

      Начиная Junos OS выпуска 15.1X49-D70, при настройке параметра для шлюза IKE с типами IKE establish-tunnels immediatelygroup-ike-id (например, с AutoVPN или VPN удаленного доступа) отображается предупреждающие shared-ike-id сообщения. Этот параметр не подходит для этих VPN, так как несколько туннелей VPN могут быть связаны establish-tunnels immediately с одной конфигурацией VPN. Совершение конфигурации будет успешным, однако establish-tunnels immediately конфигурация игнорируется. Состояние туннельного интерфейса будет постоянно меняться, что не было в предыдущих выпусках, когда establish-tunnels immediately были настроены параметры.

    • on-traffic— IKE активизируется только при потоке трафика данных и должна согласовываться с одноранговой шлюз. Это поведение по умолчанию.

    • responder-only—Отвечает на IKE, которые инициируют шлюзы равноправных рангов, но не инициируют IKE с устройства. Этот параметр необходим, когда шлюз равноправного узла другого поставщика ожидает значений протокола и порта в селекторе трафика от шлюза-инициатора. responder-only добавленный в Junos OS release 19.1R1.

    • responder-only-no-rekey— Параметр не устанавливает VPN-туннель с устройства, поэтому туннель VPN инициаался с удаленного одноранговых узла. Установленный туннель не начинает никаких переналадок с устройства и начинает это повторное на удаленном одноранговом устройстве. Если не происходит повторное нажатие, туннель отводится по истечении жесткого срока службы.

Айк

Определите IKE VPN с ключом IPsec.

вручную

Определение ассоциации безопасности IPsec вручную (SA).

multi-sa

Согласование нескольких ассоциаций безопасности (SAS) на основе выбора конфигурации. Несколько SA согласуются с одинаковым селектором трафика на одном IKE SA.

селектор трафика

Настройте несколько наборов префикса локального IP-адреса, префикса удаленного IP-адреса, диапазона портов источника, диапазона портов назначения и протокола в качестве селектора трафика для туннеля IPsec.

направление совпадения

Направление, для которого применяется совпадение правила

  • Значения:

    • input — совпадение входного сигнала и интерфейса

    • output — совпадение на выходных данных интерфейса

пассивное туннеление

Активные пакеты IP не проверяются перед инкапсуляцией IPSec

tunnel-mtu

Максимальный размер передаемой пакетной передачи

  • Диапазон: От 256 до 9192

udp-инкапсуляция

(Необязательно) Используйте указанный порт назначения UDP для загона UDP, который имеет место в инкапсуляции ESP. Включение пересылания трафика IPsec по нескольким путям путем добавления загона UDP в инкапсуляцию пакетов IPsec. Это увеличивает пропускную способность трафика IPsec. Если не включить инкапсуляцию UDP, то весь трафик IPsec следует по одному пути пересылания, а не использует несколько доступных путей.

  • Диапазон: От 1025 до 65536. Не используйте 4500.

  • По умолчанию: Если не включить утверждение udp-dest-port, порт назначения UDP по умолчанию будет 4565.

VPN-монитор

Настройте параметры мониторинга VPN.

Остальные утверждения объяснены отдельно. См. интерфейс командной строки Explorer.

Required Privilege Level

security — для просмотра этого утверждения в конфигурации.

security-control — добавление этого утверждения в конфигурацию.

Release Information

Утверждение, представленная Junos OS версии 8.5.

Поддержка адресов IPv6, добавленных Junos OS версии 11.1.

Поддержка copy-outer-dscp добавленных в Junos OS версии 15.1X49-D30.

verify-path ключевое destination-ip слово и добавлено в Junos OS release 15.1X49-D70.

packet-size добавленный в Junos OS release 15.1X49-D120.

Поддержка , termprotocol , , и source-portdestination-portmetric параметры, description введенные в Junos OS версии 21.1R1.