dynamic (Security)
構文
dynamic { connections-limit number; distinguished-name { container container-string; wildcard wildcard-string } general-ikeid; hostname domain-name; ike-user-type (group-ike-id | shared-ike-id); inet ip-address; inet6 ipv6-address; reject-duplicate-connection; user-at-hostname e-mail-address; }
階層レベル
[edit security ike gateway gateway-name]
説明
動的IPv4またはIPv6アドレスを使用して、リモートゲートウェイの識別子を指定します。このステートメントは、未指定の IPv4 または IPv6 アドレスを持つゲートウェイで VPN をセットアップするために使用します。
オプション
connections-limit | グループ・プロファイルがサポートする同時接続数を設定します。最大接続数に達すると、IPsec VPNへのアクセスを試みる動的仮想プライベートネットワーク(VPN)エンドポイントダイヤルアップユーザーは、インターネットキー交換(IKE)ネゴシエーションを開始できなくなります。この設定は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200、SRX4600デバイス、vSRXインスタンス、およびAutoVPN用に設定されたSRX5400、SRX5600、およびSRX5800デバイスに適用されます。 |
distinguished-name | 動的IPアドレスを持つリモートゲートウェイの識別子として識別名を指定します。 |
general-ikeid | IKE ID 検証をディセーブルにします。このオプションを有効にすると、新しい iked プロセスは IKE ID 検証をスキップします。IKE ID検証をスキップした後も、新しいikedプロセスはIKE標準に従って認証を続行します。 |
hostname | ネットワーク接続デバイスがネットワーク上で認識される名前。ピアの X.509 PKI 証明書と照合できる完全修飾ドメイン名(FQDN)、または部分的な FQDN。部分的なFQDNは、ピアデバイスの証明書の代替サブジェクトフィールドの右端に一致します。たとえば、部分的な FQDN example.net は、証明書の代替サブジェクト フィールドに host1.example.net または host2.example.net を持つデバイスを照合できます。部分的な FQDN example.net は、代替サブジェクト フィールドの右端の値ではないため example.net host1.example.network.com または host2.net.com と一致しないことに注意してください。AutoVPNでは、共通のドメイン名を共有するピアが複数存在する場合に、部分的なFQDNとike-user-type-group-ike-idを組み合わせることで、特定のリモートユーザーまたはピアを識別できます。 |
ike-user-type | リモート アクセス接続用の IKE ユーザーの種類を構成します。
|
inet | IPV4 アドレスを使用して動的ピアを識別します。 |
inet6 | IPV6 アドレスを使用して動的ピアを識別します。 |
reject-duplicate-connection | 重複したIKE-IDから新しい接続を拒否します。 |
user-at-hostname | 電子メール アドレスを使用します。 |
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で修正されたステートメント。Junos OSリリース11.1で追加されたオプションのサポート inet6
。
general-ikeid
階層下の [edit security ike gateway gateway-name dynamic]
オプションは、Junos OSリリース21.1R1で導入されています。