session (Security IKE)
Sintaxis
session { full-open { incoming-exchange-max-rates { ike-rekey value; ipsec-rekey value; keepalive value; } } half-open { timeout seconds; backoff-timeouts { init-phase-failure value; auth-phase-failure value; } discard-duplicate; max-count value; thresholds { send-cookie count; reduce-timeout count timeout seconds; } } }
Nivel jerárquico
[edit security ike]
Descripción
Define la configuración de la sesión de IKE.
En la jerarquía de configuración, puede definir los parámetros de nivel de sistema de la sesión de IKE para gestionar el comportamiento de las negociaciones con el par remoto. Estas opciones se configuran para controlar escenarios de carga alta.
Opciones
full-open | Defina los parámetros de la sesión de IKE abierta completa. |
half-open | Defina los parámetros de sesión de IKE medio abiertos. |
incoming-exchange-max-rates | Defina los tipos máximos de cambio entrantes de sesión de IKE abierta completa. Puede utilizar este parámetro para establecer las tasas máximas para varios intercambios iniciados por el par remoto después de establecer una SA de IKE. |
ike-rekey value | Especifique el valor de la tasa máxima de reclave de IKE iniciada por el par entrante. La tarifa se aplica por par.
|
ipsec-rekey value | Especifique el valor de la tasa máxima de reclave de SA IPsec iniciada por el par entrante. La tarifa se aplica por túnel.
|
keepalive value | Especifique el valor del keepalive iniciado por el par entrante, también conocido como DPD, tasa máxima. La tarifa se aplica por par.
|
backoff-timeouts | Defina los tiempos de espera de retroceso de la sesión de IKE semiabierta. Estos tiempos de espera se establecen para permitir cierta duración para que el par remoto retroceda en caso de que se produzca un error de inicio de sesión, lo que garantiza que el mismo par no pueda iniciar una nueva solicitud de inicio de sesión inmediatamente durante ese período. Después del tiempo de espera de retroceso, el par puede iniciar una nueva sesión. El alcance es aplicable a nivel global y no por nivel de par. |
auth-phase-failure value | Especifique el tiempo de espera de retroceso cuando se produzca un error durante la fase IKE_AUTH.
|
init-phase-failure value | Especifique el tiempo de espera de retroceso cuando se produzca un error durante la fase SA_INIT.
|
discard-duplicate | Descartar solicitudes de inicio de sesión IKE duplicadas del par. Descarte las solicitudes de inicio de IKE sin enviar ninguna respuesta, cuando la SA de IKE medio abierta ya está presente para el mismo par remoto. El alcance es aplicable a nivel global y no por nivel de par.
|
max-count value | Número máximo de sesiones de IKE semiabiertas en las que el extremo local es el respondedor. El alcance es aplicable a nivel global y no por nivel de par.
|
thresholds | Defina los umbrales de sesión de IKE medio abiertos. Puede establecer los límites en el recuento de SA de IKE medio abierto para acciones contra una conexión nueva. Los valores indican un porcentaje del total de SA de IKE abiertas. El alcance es aplicable a nivel global y no por nivel de par. Si establece el |
reduce-timeout count timeout seconds | Especifique el número mínimo de sesiones de IKE medio abiertas para aplicar la acción de reducir el tiempo de espera en Establezca un límite a partir del cual pueda reducir la duración de las nuevas SA de IKE medio abiertas.
Especifique el valor de tiempo de espera reducido en
|
send-cookie count | Especifique el número mínimo de sesiones de IKE medio abiertas para aplicar la acción de cookies. Especifique el límite de umbral a partir del cual el respondedor solicita a los pares remotos que reintenten el inicio de sesión con una cookie enviada de vuelta al par en la respuesta inicial.
|
timeout seconds | Especifique el tiempo de espera de la sesión de IKE medio abierta. Este es el valor de duración de una SA de IKE semiabierta que se aplica al respondedor para las nuevas sesiones. Para las sesiones existentes en las que no hay una configuración explícita, el valor se establece en valor predeterminado. El iniciador sigue usando el valor de tiempo de espera de 60 segundos. El alcance es aplicable a nivel global y no por nivel de par.
|
Las declaraciones restantes se explican por separado. Consulte Explorador de CLI.
Nivel de privilegio requerido
security: para ver esta instrucción en la configuración.
security-control: para agregar esta instrucción a la configuración.
Información de la versión
session
instrucción introducida en Junos OS versión 23.4R1.