Juniper JUNOSE 11.2.X IP SERVICES Configuration Manual page 13

For e series broadband services routers - ip services configuration

Table of Contents

Chapter 6

IKE SA Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Generating Private and Public Key Pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Configuration Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Configuring an IPSec License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Configuring IPSec Parameters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Creating an IPSec Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Configuring DPD and IPSec Tunnel Failover . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Defining an IKE Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Refreshing SAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Enabling Notification of Invalid Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Configuration Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Configuration Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Monitoring IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

System Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

show Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Configuring Dynamic IPSec Subscribers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Dynamic Connection Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Dynamic Connection Teardown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Dynamic IPSec Subscriber Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Licensing Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Inherited Subscriber Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Using IPSec Tunnel Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Relocating Tunnel Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

Platform Considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

References . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Creating an IPSec Tunnel Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Configuring IPSec Tunnel Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Limiting Interface Instantiations on Each Profile . . . . . . . . . . . . . . . . . . . . . . 174

Specifying IKE Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Setting the IKE Local Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Setting the IKE Peer Identity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Appending a Domain Suffix to a Username . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Overriding IPSec Local and Peer Identities for SA Negotiations . . . . . . . . . . 176

Specifying an IP Profile for IP Interface Instantiations . . . . . . . . . . . . . . . . . . 176

Defining the Server IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Specifying Local Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Defining IPSec Security Association Lifetime Parameters . . . . . . . . . . . . . . . 178

Defining User Reauthentication Protocol Values . . . . . . . . . . . . . . . . . . . . . . 178

Specifying IPSec Security Association Transforms . . . . . . . . . . . . . . . . . . . . 179

Specifying IPSec Security Association PFS and DH Group Parameters . . . . 179

Defining the Tunnel MTU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

Defining IKE Policy Rules for IPSec Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

Specifying a Virtual Router for an IKE Policy Rule . . . . . . . . . . . . . . . . . . . . . 180

Defining Aggressive Mode for an IKE Policy Rule . . . . . . . . . . . . . . . . . . . . . . 181

Table of Contents

xiii

Table of Contents

This manual is also suitable for:

Junose 11.2.x

Juniper JUNOSE 11.2.X IP SERVICES Configuration Manual page 13

Related Manuals for Juniper JUNOSE 11.2.X IP SERVICES

Related Products for Juniper JUNOSE 11.2.X IP SERVICES

This manual is also suitable for:

Table of Contents