ike (Security IPsec VPN)

このオプションを有効にするには anti-replay-window-size 、まず、VPN オブジェクトごと、またはグローバル レベルでオプションを設定する必要があります。アンチリプレイ ウィンドウのサイズは、64 から 8192(2 の累乗)の範囲で設定できます。アンチリプレイ ウィンドウ サイズが構成されていない場合、ウィンドウ サイズはデフォルトで 64 です。コマンドがグローバル レベルと VPN オブジェクト レベルの両方で設定されている場合 anti-replay-window-size 、VPN オブジェクトの設定がグローバル コンフィギュレーションよりも優先されます。

anti-replay-window-size はSRX5000 SRX5K-SPC3カードがインストールされているラインでのみサポートされています。

リモート IKE ゲートウェイの名前。

トラフィック フローがない場合に、セキュリティ アソシエーション(SA)を削除する最大アイドル時間を指定します。

• 既定： 無効

• 範囲: 60 から 999,999 秒

デバイス上で、鍵が更新されたアウトバウンド・セキュリティー・アソシエーション(SA)のインストールを許可する最大秒数を指定します。

• 既定：

  • 1秒、Junos OSリリース23.4R1より前(ikedプロセスなし)

  • ikedプロセスを使用したJunos OSリリース23.4R1の起動:

    • 3秒(IKEv1イニシエーターとIKEv2レスポンダーの場合)。

    • 0 秒 (残りのシナリオの場合)

• 範囲: 0 から 10 秒。

  CLIから0〜10秒を設定することができ、IKEv1イニシエータまたはIKEv2レスポンダに対してのみデータプレーンで有効になります。CLIで設定された値は、デフォルト値よりも優先されます。

IPsecポリシー名を指定します。

IPsec のアンチリプレイ チェック機能を無効にします。アンチリプレイは、パケットが攻撃者によって傍受され、再生されたときに検出できる IPsec 機能です。デフォルトでは、アンチリプレイ チェックは有効になっています。

オプションで、ネゴシエーションで使用する IPsec プロキシ ID を指定します。デフォルトは、IKEゲートウェイに基づくIDです。IKE ゲートウェイが IPv6 サイトツーサイト ゲートウェイの場合、デフォルトのプロキシ ID は ::/0 です。IKE ゲートウェイが IPv4 ゲートウェイ、動的エンドポイント、またはダイヤルアップ ゲートウェイの場合、デフォルトのプロキシ ID は 0.0.0.0/0 です。

• local- プロキシ ID のローカル IPv4 または IPv6 アドレスとサブネット マスクを指定します。

• remote- プロキシ ID のリモート IPv4 または IPv6 アドレスとサブネット マスクを指定します。

• service- 保護するサービス(ポートとプロトコルの組み合わせ)を指定します。サービスの名前は、(Interface Host-Inbound Traffic) と system-services (Zone Host-Inbound Traffic) でsystem-services定義されたとおりです。