ike (Security)
構文
ike { gateway (Security IKE) name { ( address | dynamic (Security) distinguished-name (Security) < container> < wildcard> hostname inet inet6 user-at-hostname <connections-limit connections-limit> <ike-user-type (group-ike-id | shared-ike-id)> <reject-duplicate-connection>); aaa { access-profile; client password password username username; } advpn { partner { connection-limit connection-limit; disable; idle-threshold idle-threshold; idle-time seconds; } suggester { disable; } } dead-peer-detection (always-send | optimized | probe-idle-tunnel); external-interface external-interface; fragmentation { disable; size size; } general-ikeid; ike-policy; local-address; local-identity (distinguished-name | hostname identity-hostname | inet identity-ipv4 | inet6 identity-ipv6 | key-id string-key-id | user-at-hostname identity-user); remote-identity distinguished-name <container container> <wildcard wildcard>hostname identity-hostnameinet identity-ipv4inet6 identity-ipv6 key-id string-key-id user-at-hostname identity-user; tcp-encap-profile profile-name; version (v1-only | v2-only); } policy name { certificate { local-certificate (Security) local-certificate; peer-certificate-type (pkcs7 | x509-signature); policy-oids policy-oids; trusted-ca (ca-profile ca-profile | trusted-ca-group trusted-ca-group ); } description description; mode (aggressive | main); pre-shared-key (ascii-text ascii-text | hexadecimal hexadecimal); seeded-pre-shared-key (ascii-text key | hexadecimal key); proposal-set (Security IKE) (basic | compatible | prime-128 | prime-256 | standard | suiteb-gcm-128 | suiteb-gcm-256); proposals [ proposals ... ]; reauth-frequency reauth-frequency; } proposal proposal-name { authentication-algorithm (md5 | sha-256 | sha-384 | sha-512 | sha1); authentication-method (certificates | dsa-signatures | ecdsa-signatures-256 | ecdsa-signatures-384 | ecdsa-signatures-521 | pre-shared-keys | rsa-signatures); description description; dh-group dh-group (group1 | group14 | group15 | group16 | group19 | group2 | group20 | group21 | group24 | group5); encryption-algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-256-cbc | aes-256-gcm | des-cbc); lifetime-seconds seconds; } respond-bad-spi <max-responses>; session { full-open { incoming-exchange-max-rates { ike-rekey value; ipsec-rekey value; keepalive value; } } half-open { timeout seconds; backoff-timeouts { init-phase-failure value; auth-phase-failure value; } discard-duplicate; max-count value; thresholds { send-cookie count; reduce-timeout count timeout seconds; } } } blocklists { blocklist-name { description text-description; rule rule-name { match { role (initiator | responder); id-type (inet | inet6 | hostname | distinguished-name | user-at-hostname | key-id); id-pattern value; } then { (discard | reject); backoff timeout-value; } } } } traceoptions { file { filename; files number; match regular-expression; size maximum-file-size; (world-readable | no-world-readable); } level (critical | error | terse | warning | detail); flag flag (all | certificates | config | database | general | high-availability | ike | next-hop-tunnels | parse | policy-manager | routing-socket | thread | timer)reference/configuration-statement/security-edit-ike-security; no-remote-trace; rate-limit messages-per-second; } }
階層レベル
[edit security]
説明
IKE(インターネット鍵交換)設定を定義します。IKE は、動的 SA を作成する鍵管理プロトコルです。IPsec のために SA をネゴシエートします。IKE 設定は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するのに使用されるアルゴリズムと鍵を定義します。
オプション
respond-bad-spi max-responses
—(オプション)ゲートウェイごとの無効なSPI値に応答する回数。無効な IPsec セキュリティ パラメーター インデックス(SPI)値への応答を有効にします。IPsec VPN の 2 ピア間の SA(セキュリティ アソシエーション)が同期しなくなると、デバイスは 2 つのピアが同期するようにピアの状態をリセットします。
範囲: 1 から 30
デフォルト: 5
traceoptions
- IKE の問題のトラブルシューティングに役立つ IKE トレース オプションを設定します。これは、標準トレースファイル設定による 1 つまたは複数のトンネルネゴシエーションのトラブルシューティングに役立ちます。IKE トレースにより、フェーズ 1 およびフェーズ 2 の詳細なパケット交換とネゴシエーション情報を表示できます。IKE トレースは、デフォルトでは有効になっていません。デフォルトでは、すべてのIKEまたはIPsecネゴシエーションは/var/log/kmdにログインします。ただし、ユーザーはIKEトレースオプションを設定する際に、カスタマイズしたファイル名を指定することもできます。
残りのステートメントについては、個別に説明します。 CLIエクスプローラを参照してください。
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で修正されたステートメント。
Junos OSリリース11.1で追加されたIPv6アドレスのサポート。
inet6
Junos OSリリース11.1で追加された オプションのサポート。
group15
group16
ecdsa-signatures-521
group21
sha-512
パッケージがインストールされたSRX5000行junos-ike
にJunos OSリリース19.1R1に追加された、 、 、および オプションのサポート。
Junos OSリリース20.2R1から、CLIオプションmd5
、および sha1
パッケージがインストールされたIKEDjunos-ike
を実行しているデバイスのヘルプテキストの説明NOT RECOMMENDED
を変更しました。
group15
パッケージがインストールされたvSRX仮想ファイアウォールインスタンスjunos-ike
のJunos OSリリース20.3R1に追加された、 、 group16
、 group21
オプションのサポート。
group15
パッケージがインストールされたvSRX仮想ファイアウォール3.0インスタンスjunos-ike
のJunos OSリリース21.1R1に追加された、 、 、 group16
group21
オプションのサポート。
level
Junos OSリリース21.1R1で導入されたオプション。
seeded-pre-shared-key
Junos OSリリース21.1R1で追加された オプションのサポート。
session
blocklists
Junos OSリリース23.4R1で追加された および オプションのサポート