vpn (Security)
構文
vpn vpn-name {
bind-interface interface-name;
df-bit (clear | copy | set);
distribution-profile (default-spc2-profile | default-spc3-profile | distribution-profile-name);
copy-outer-dscp;
establish-tunnels (immediately | on-traffic | responder-only | responder-only-no-rekey);
match-direction (input | output);
passive-mode-tunneling;
tunnel-mtu tunnel-mtu;
ike {
anti-replay-window-size anti-replay-window-size;
gateway gateway-name;
idle-time seconds;
install-interval seconds;
ipsec-policy ipsec-policy-name;
no-anti-replay;
proxy-identity {
local ip-prefix;
remote ip-prefix;
service (any | service-name);
}
}
manual {
authentication {
algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc | aes-256-cbc | aes-256-gcm | des-cbc);
key (ascii-text key | hexadecimal key);
}
external-interface external-interface-name;
gateway ip-address;
protocol (ah | esp);
spi spi-value;
}
multi-sa {
forwarding-class (expedited-forwarding | assured-forwarding | best-effort | network-control);
}
traffic-selector traffic-selector-name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
metric metric_value;
description description_value;
term term_name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
}
}
vpn-monitor {
destination-ip ip-address;
optimized;
source-interface interface-name;
verify-path {
destination-ip ip-address;
packet-size bytes;
}
}
}
階層レベル
[edit security ipsec]
形容
IPSec VPN を構成します。VPNは、リモートコンピューターがインターネットなどのパブリックWANを介して安全に通信するための手段を提供します。VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。WAN を通過中の VPN 通信を保護するために、2 点間で IP セキュリティ(IPsec)トンネルが作成されます。IPsec は、IP パケット レイヤーでの通信を暗号で保護するための、関連プロトコルのセットです。
オプション
| vpn-name | VPN の名前。 |
| bind-interface | ルートベースの仮想プライベートネットワーク(VPN)がバインドされているトンネルインターフェイスを設定します。 |
| copy-outer-dscp | 外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージへの差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)フィールドのコピーを有効にします。この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができることです。 |
| distribution-profile | トンネルを分散するために、distribution-profileを指定します。
|
| df-bit | デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を指定します。 SRX5400、SRX5600、SRX5800 デバイスでは、元のパケット サイズが st0 インターフェイス MTU より小さく、かつ 外部インターフェース-ipsec オーバーヘッドよりも大きい場合にのみ、VPN の DF ビット設定が機能します。
|
| establish-tunnels | IKEを有効にするタイミングを指定します。VPN情報を設定し、設定変更がコミットされた直後、またはデータトラフィックが流れたときのみ。この設定を指定しない場合、IKE はデータ トラフィックが流れる場合にのみアクティブになります。
|
| ike | IKE鍵付きIPSec VPNを定義します。 |
| manual | 手動のIPsecセキュリティアソシエーション(SA)を定義します。 |
| multi-sa | 設定の選択に基づいて複数のセキュリティアソシエーション(SA)をネゴシエートします。複数の SA が、同じ IKE SA 上の同じトラフィック セレクターとネゴシエートします。 |
| traffic-selector | ローカルIPアドレスプレフィックス、リモートIPアドレスプレフィックス、送信元ポート範囲、宛先ポート範囲、プロトコルの複数のセットをIPsec トンネルのトラフィックセレクターとして設定します。 |
| match-direction | ルール一致が適用される方向
|
| passive-mode-tunneling | IPSecカプセル化の前にアクティブなIPパケットチェックはありません |
| tunnel-mtu | 最大送信パケットサイズ
|
| vpn-monitor | VPN監視の設定を行います。 |
残りのステートメントについては、別途説明します。 「CLI エクスプローラ」を参照してください。
必要な権限レベル
security—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OS リリース 8.5 で導入されたステートメント。
Junos OS リリース 11.1 で追加された IPv6 アドレスのサポート。
Junos OS リリース 15.1X49-D30 で追加された copy-outer-dscp のサポート。
verify-path キーワードと destination-ip は Junos OS リリース 15.1X49-D70 で追加されました。
packet-size Junos OS リリース 15.1X49-D120 で追加された オプション。
Junos OS リリース 21.1R1 で導入された term、 protocol、 source-port、 destination-port、 metric、 description オプションのサポート。
vpn-monitor 23.4R1 ではIPSec VPN実行中の iked プロセスでの Junos OS リリース オプションのサポートが追加されました。