fortinet.fortios.fortios_vpn_ipsec_phase2_interface 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置 VPN 自动密钥隧道。

注意

此模块是 fortinet.fortios 集合 (版本 2.3.8) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用： ansible-galaxy collection install fortinet.fortios。您需要其他要求才能使用此模块，有关详细信息，请参阅要求。

要在剧本中使用它，请指定： fortinet.fortios.fortios_vpn_ipsec_phase2_interface。

fortinet.fortios 2.0.0 中的新增功能

概要 

此模块能够通过允许用户设置和修改 vpn_ipsec 功能和 phase2_interface 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数，在使用前需要将值调整到数据源。已在 FOS v6.0.0 上测试。

要求 

执行此模块的主机需要以下要求。

ansible>=2.15

参数 

参数	注释
access_token 字符串	基于令牌的身份验证。从 Fortigate 的 GUI 生成。
enable_log 布尔值	启用/禁用任务的日志记录。选项 `false` ← (默认) `true`
member_path 字符串	要操作的成员属性路径。如果有多个属性，则用斜杠字符分隔。标有 member_path 的参数对于执行成员操作是合法的。
member_state 字符串	在指定的属性路径下添加或删除成员。当指定 member_state 时，将忽略 state 选项。选项 `"present"` `"absent"`
state 字符串 / 必需	指示是创建还是删除对象。选项 `"present"` `"absent"`
vdom 字符串	虚拟域，在先前定义的那些域中。vdom 是 FortiGate 的虚拟实例，可以将其配置并用作不同的单元。默认值： `"root"`
vpn_ipsec_phase2_interface 字典	配置 VPN 自动密钥隧道。
add_route 字符串	启用/禁用自动添加路由。选项 `"phase1"` `"enable"` `"disable"`
addke1 列表 / 元素=字符串	phase2 ADDKE1 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke2 列表 / 元素=字符串	phase2 ADDKE2 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke3 列表 / 元素=字符串	phase2 ADDKE3 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke4 列表 / 元素=字符串	phase2 ADDKE4 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke5 列表 / 元素=字符串	phase2 ADDKE5 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke6 列表 / 元素=字符串	phase2 ADDKE6 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke7 列表 / 元素=字符串	phase2 ADDKE7 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
auto_discovery_forwarder 字符串	启用/禁用转发快捷消息。选项 `"phase1"` `"enable"` `"disable"`
auto_discovery_sender 字符串	启用/禁用发送快捷消息。选项 `"phase1"` `"enable"` `"disable"`
auto_negotiate 字符串	启用/禁用 IPsec SA 自动协商。选项 `"enable"` `"disable"`
comments 字符串	注释。
dhcp_ipsec 字符串	启用/禁用 DHCP-IPsec。选项 `"enable"` `"disable"`
dhgrp 列表 / 元素=字符串	Phase2 DH 组。选项 `"1"` `"2"` `"5"` `"14"` `"15"` `"16"` `"17"` `"18"` `"19"` `"20"` `"21"` `"27"` `"28"` `"29"` `"30"` `"31"` `"32"`
diffserv 字符串	启用/禁用将 DSCP 值应用于 IPsec 隧道外部 IP 头。选项 `"enable"` `"disable"`
diffservcode 字符串	要应用于 IPsec 隧道外部 IP 头的 DSCP 值。
dst_addr_type 字符串	远程代理 ID 类型。选项 `"subnet"` `"range"` `"ip"` `"name"` `"subnet6"` `"range6"` `"ip6"` `"name6"`
dst_end_ip 字符串	远程代理 ID IPv4 结束。
dst_end_ip6 字符串	远程代理 ID IPv6 结束。
dst_name 字符串	远程代理 ID 名称。来源 firewall.address.name firewall.addrgrp.name。
dst_name6 字符串	远程代理 ID 名称。来源 firewall.address6.name firewall.addrgrp6.name。
dst_port 整数	快速模式目标端口 (1 - 65535 或 0 表示全部)。
dst_start_ip 字符串	远程代理 ID IPv4 开始。
dst_start_ip6 字符串	远程代理 ID IPv6 开始。
dst_subnet 字符串	远程代理 ID IPv4 子网。
dst_subnet6 字符串	远程代理 ID IPv6 子网。
encapsulation 字符串	ESP 封装模式。选项 `"tunnel-mode"` `"transport-mode"`
inbound_dscp_copy 字符串	启用/禁用将 ESP 头中的 DSCP 复制到内部 IP 头。选项 `"phase1"` `"enable"` `"disable"`
initiator_ts_narrow 字符串	启用/禁用 IKEv2 发起者的流量选择器缩小。选项 `"enable"` `"disable"`
ipv4_df 字符串	启用/禁用设置和重置 IPv4 “Don’t Fragment” 位。选项 `"enable"` `"disable"`
keepalive 字符串	启用/禁用保持活动。选项 `"enable"` `"disable"`
keylife_type 字符串	密钥生命周期类型。选项 `"seconds"` `"kbs"` `"both"`
keylifekbs 整数	Phase2 密钥生命周期（以千字节流量计）（5120 - 4294967295）。
keylifeseconds 整数	Phase2 密钥生命周期（以秒计）（120 - 172800）。
l2tp 字符串	启用/禁用 L2TP over IPsec。选项 `"enable"` `"disable"`
name 字符串 / 必需	IPsec 隧道名称。
pfs 字符串	启用/禁用 PFS 功能。选项 `"enable"` `"disable"`
phase1name 字符串	Phase 1 确定 Phase 2 需要的选项。来源 vpn.ipsec.phase1-interface.name。
proposal 列表 / 元素=字符串	Phase2 建议。选项 `"null-md5"` `"null-sha1"` `"null-sha256"` `"null-sha384"` `"null-sha512"` `"des-null"` `"des-md5"` `"des-sha1"` `"des-sha256"` `"des-sha384"` `"des-sha512"` `"3des-null"` `"3des-md5"` `"3des-sha1"` `"3des-sha256"` `"3des-sha384"` `"3des-sha512"` `"aes128-null"` `"aes128-md5"` `"aes128-sha1"` `"aes128-sha256"` `"aes128-sha384"` `"aes128-sha512"` `"aes128gcm"` `"aes192-null"` `"aes192-md5"` `"aes192-sha1"` `"aes192-sha256"` `"aes192-sha384"` `"aes192-sha512"` `"aes256-null"` `"aes256-md5"` `"aes256-sha1"` `"aes256-sha256"` `"aes256-sha384"` `"aes256-sha512"` `"aes256gcm"` `"chacha20poly1305"` `"aria128-null"` `"aria128-md5"` `"aria128-sha1"` `"aria128-sha256"` `"aria128-sha384"` `"aria128-sha512"` `"aria192-null"` `"aria192-md5"` `"aria192-sha1"` `"aria192-sha256"` `"aria192-sha384"` `"aria192-sha512"` `"aria256-null"` `"aria256-md5"` `"aria256-sha1"` `"aria256-sha256"` `"aria256-sha384"` `"aria256-sha512"` `"seed-null"` `"seed-md5"` `"seed-sha1"` `"seed-sha256"` `"seed-sha384"` `"seed-sha512"`
protocol 整数	快速模式协议选择器（1-255 或 0 代表全部）。
重放检测字符串	启用/禁用重放检测。选项 `"enable"` `"disable"`
路由重叠字符串	重叠路由的操作。选项 `“使用旧的”` `“使用新的”` `“允许”`
单一源字符串	启用/禁用单一源IP限制。选项 `"enable"` `"disable"`
源地址类型字符串	本地代理ID类型。选项 `"subnet"` `"range"` `"ip"` `"name"` `"subnet6"` `"range6"` `"ip6"` `"name6"`
源地址结束字符串	本地代理ID结束。
源IPv6地址结束字符串	本地代理IPv6 ID结束。
源名称字符串	本地代理ID名称。源防火墙.address.name 防火墙.addrgrp.name。
源IPv6名称字符串	本地代理ID名称。源防火墙.address6.name 防火墙.addrgrp6.name。
源端口整数	快速模式源端口（1-65535 或 0 代表全部）。
源地址起始字符串	本地代理ID起始。
源IPv6地址起始字符串	本地代理IPv6 ID起始。
源子网字符串	本地代理ID子网。
源IPv6子网字符串	本地代理IPv6 ID子网。

备注 

注意

旧版 fortiosapi 已弃用，httpapi 是运行 playbook 的首选方式。
该模块支持 check_mode。

示例 

- name: Configure VPN autokey tunnel.
  fortinet.fortios.fortios_vpn_ipsec_phase2_interface:
      vdom: "{{ vdom }}"
      state: "present"
      access_token: "<your_own_value>"
      vpn_ipsec_phase2_interface:
          add_route: "phase1"
          addke1: "0"
          addke2: "0"
          addke3: "0"
          addke4: "0"
          addke5: "0"
          addke6: "0"
          addke7: "0"
          auto_discovery_forwarder: "phase1"
          auto_discovery_sender: "phase1"
          auto_negotiate: "enable"
          comments: "<your_own_value>"
          dhcp_ipsec: "enable"
          dhgrp: "1"
          diffserv: "enable"
          diffservcode: "<your_own_value>"
          dst_addr_type: "subnet"
          dst_end_ip: "<your_own_value>"
          dst_end_ip6: "<your_own_value>"
          dst_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
          dst_name6: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
          dst_port: "0"
          dst_start_ip: "<your_own_value>"
          dst_start_ip6: "<your_own_value>"
          dst_subnet: "<your_own_value>"
          dst_subnet6: "<your_own_value>"
          encapsulation: "tunnel-mode"
          inbound_dscp_copy: "phase1"
          initiator_ts_narrow: "enable"
          ipv4_df: "enable"
          keepalive: "enable"
          keylife_type: "seconds"
          keylifekbs: "5120"
          keylifeseconds: "43200"
          l2tp: "enable"
          name: "default_name_38"
          pfs: "enable"
          phase1name: "<your_own_value> (source vpn.ipsec.phase1-interface.name)"
          proposal: "null-md5"
          protocol: "0"
          replay: "enable"
          route_overlap: "use-old"
          single_source: "enable"
          src_addr_type: "subnet"
          src_end_ip: "<your_own_value>"
          src_end_ip6: "<your_own_value>"
          src_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
          src_name6: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
          src_port: "0"
          src_start_ip: "<your_own_value>"
          src_start_ip6: "<your_own_value>"
          src_subnet: "<your_own_value>"
          src_subnet6: "<your_own_value>"

返回值 

常见的返回值已在此处记录，以下是此模块特有的字段

键	描述
版本号字符串	FortiGate镜像的版本号返回：始终示例： `"1547"`
HTTP方法字符串	上次用于将内容配置到FortiGate的方法返回：始终示例： `"PUT"`
HTTP状态字符串	FortiGate在上次应用的操作中给出的最后结果返回：始终示例： `"200"`
主密钥字符串	上次调用FortiGate时使用的主密钥（ID）返回：成功示例： `"id"`
name 字符串	表名称返回：始终用于完成请求的表名称
路径字符串	用于完成请求的表的路径返回：始终示例： `"webfilter"`
版本号字符串	内部版本号返回：始终示例： `"17.0.2.10658"`
序列号字符串	设备的序列号返回：始终示例： `"FGVMEVYYQT3AB5352"`
状态字符串	操作结果的指示返回：始终示例： `"success"`
vdom 字符串	虚拟域返回：始终示例： `"root"`
版本字符串	FortiGate的版本返回：始终示例： `"v5.6.3"`

作者

郑 link (@chillancezen)
薛杰 (@JieX19)
卢洪斌 (@fgtdev-hblu)
沈弗兰克 (@frankshen01)
米格尔·安赫尔·穆尼奥斯 (@mamunozgonzalez)
尼古拉斯·托马斯 (@thomnico)