fortinet.fortios.fortios_vpn_ipsec_phase2 模块 – 在 Fortinet 的 FortiOS 和 FortiGate 中配置 VPN 自动密钥隧道。

注意

此模块是 fortinet.fortios 集合（版本 2.3.8）的一部分。

如果您正在使用 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install fortinet.fortios。您需要进一步的要求才能使用此模块，请参阅要求了解详细信息。

要在 playbook 中使用它，请指定：fortinet.fortios.fortios_vpn_ipsec_phase2。

fortinet.fortios 2.0.0 中的新增功能

概要 

此模块能够通过允许用户设置和修改 vpn_ipsec 功能和 phase2 类别来配置 FortiGate 或 FortiOS (FOS) 设备。示例包括所有参数和值都需要在使用前调整为数据源。使用 FOS v6.0.0 测试

要求 

执行此模块的主机需要以下要求。

ansible>=2.15

参数 

参数	注释
access_token 字符串	基于令牌的身份验证。从 Fortigate 的 GUI 生成。
enable_log 布尔值	启用/禁用任务日志记录。选项 `false` ←（默认） `true`
member_path 字符串	要操作的成员属性路径。如果存在多个属性，则用斜杠字符分隔。标有 member_path 的参数对于执行成员操作是合法的。
member_state 字符串	在指定的属性路径下添加或删除成员。指定 member_state 时，将忽略 state 选项。选项 `"present"` `"absent"`
state 字符串 / 必选	指示是创建还是删除对象。选项 `"present"` `"absent"`
vdom 字符串	虚拟域，在先前定义的那些域中。vdom 是 FortiGate 的一个虚拟实例，可以配置并用作不同的单元。默认值： `"root"`
vpn_ipsec_phase2 字典	配置 VPN 自动密钥隧道。
add_route 字符串	启用/禁用自动路由添加。选项 `"phase1"` `"enable"` `"disable"`
addke1 列表 / 元素=字符串	phase2 ADDKE1 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke2 列表 / 元素=字符串	phase2 ADDKE2 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke3 列表 / 元素=字符串	phase2 ADDKE3 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke4 列表 / 元素=字符串	phase2 ADDKE4 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke5 列表 / 元素=字符串	phase2 ADDKE5 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke6 列表 / 元素=字符串	phase2 ADDKE6 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
addke7 列表 / 元素=字符串	phase2 ADDKE7 组。选项 `"0"` `"1080"` `"1081"` `"1082"`
auto_negotiate 字符串	启用/禁用 IPsec SA 自动协商。选项 `"enable"` `"disable"`
comments 字符串	评论。
dhcp_ipsec 字符串	启用/禁用 DHCP-IPsec。选项 `"enable"` `"disable"`
dhgrp 列表 / 元素=字符串	Phase2 DH 组。选项 `"1"` `"2"` `"5"` `"14"` `"15"` `"16"` `"17"` `"18"` `"19"` `"20"` `"21"` `"27"` `"28"` `"29"` `"30"` `"31"` `"32"`
diffserv 字符串	启用/禁用将 DSCP 值应用于 IPsec 隧道外部 IP 标头。选项 `"enable"` `"disable"`
diffservcode 字符串	要应用于 IPsec 隧道外部 IP 标头的 DSCP 值。
dst_addr_type 字符串	远程代理 ID 类型。选项 `"subnet"` `"range"` `"ip"` `"name"`
dst_end_ip 字符串	远程代理 ID IPv4 结束。
dst_end_ip6 字符串	远程代理 ID IPv6 结束。
dst_name 字符串	远程代理 ID 名称。源 firewall.address.name firewall.addrgrp.name。
dst_name6 字符串	远程代理 ID 名称。源 firewall.address6.name firewall.addrgrp6.name。
dst_port 整数	快速模式目标端口（1 - 65535 或 0 表示全部）。
dst_start_ip 字符串	远程代理 ID IPv4 开始。
dst_start_ip6 字符串	远程代理 ID IPv6 开始。
dst_subnet 字符串	远程代理 ID IPv4 子网。
dst_subnet6 字符串	远程代理 ID IPv6 子网。
encapsulation 字符串	ESP 封装模式。选项 `"tunnel-mode"` `"transport-mode"`
inbound_dscp_copy 字符串	启用/禁用将 ESP 标头中的 DSCP 复制到内部 IP 标头。选项 `"phase1"` `"enable"` `"disable"`
initiator_ts_narrow 字符串	启用/禁用 IKEv2 发起者的流量选择器收窄。选项 `"enable"` `"disable"`
ipv4_df 字符串	启用/禁用 IPv4 “不分段” 位设置和重置。选项 `"enable"` `"disable"`
keepalive 字符串	启用/禁用保持活动。选项 `"enable"` `"disable"`
keylife_type 字符串	密钥生命周期类型。选项 `"seconds"` `"kbs"` `"both"`
keylifekbs 整数	Phase2 密钥生命周期，以千字节为单位的流量（5120 - 4294967295）。
keylifeseconds 整数	Phase2 密钥生命周期，以秒为单位的时间（120 - 172800）。
l2tp 字符串	启用/禁用 IPsec 上的 L2TP。选项 `"enable"` `"disable"`
name 字符串 / 必选	IPsec 隧道名称。
pfs 字符串	启用/禁用 PFS 功能。选项 `"enable"` `"disable"`
phase1name 字符串	Phase 1 确定 phase 2 所需的选项。源 vpn.ipsec.phase1.name。
proposal 列表 / 元素=字符串	Phase2 提议。选项 `"null-md5"` `"null-sha1"` `"null-sha256"` `"null-sha384"` `"null-sha512"` `"des-null"` `"des-md5"` `"des-sha1"` `"des-sha256"` `"des-sha384"` `"des-sha512"` `"3des-null"` `"3des-md5"` `"3des-sha1"` `"3des-sha256"` `"3des-sha384"` `"3des-sha512"` `"aes128-null"` `"aes128-md5"` `"aes128-sha1"` `"aes128-sha256"` `"aes128-sha384"` `"aes128-sha512"` `"aes128gcm"` `"aes192-null"` `"aes192-md5"` `"aes192-sha1"` `"aes192-sha256"` `"aes192-sha384"` `"aes192-sha512"` `"aes256-null"` `"aes256-md5"` `"aes256-sha1"` `"aes256-sha256"` `"aes256-sha384"` `"aes256-sha512"` `"aes256gcm"` `"chacha20poly1305"` `"aria128-null"` `"aria128-md5"` `"aria128-sha1"` `"aria128-sha256"` `"aria128-sha384"` `"aria128-sha512"` `"aria192-null"` `"aria192-md5"` `"aria192-sha1"` `"aria192-sha256"` `"aria192-sha384"` `"aria192-sha512"` `"aria256-null"` `"aria256-md5"` `"aria256-sha1"` `"aria256-sha256"` `"aria256-sha384"` `"aria256-sha512"` `"seed-null"` `"seed-md5"` `"seed-sha1"` `"seed-sha256"` `"seed-sha384"` `"seed-sha512"`
协议整数	快速模式协议选择器 (1 - 255 或 0 表示全部)。
重放字符串	启用/禁用重放检测。选项 `"enable"` `"disable"`
路由重叠字符串	重叠路由的操作。选项 `"使用旧的"` `"使用新的"` `"允许"`
选择器匹配字符串	比较选择器时使用的匹配类型。选项 `"精确"` `"子集"` `"自动"`
单源字符串	启用/禁用单源 IP 限制。选项 `"enable"` `"disable"`
源地址类型字符串	本地代理 ID 类型。选项 `"subnet"` `"range"` `"ip"` `"name"`
源结束 IP 字符串	本地代理 ID 结束地址。
源结束 IPv6 字符串	本地代理 ID IPv6 结束地址。
源名称字符串	本地代理 ID 名称。源 firewall.address.name 或 firewall.addrgrp.name。
源名称 IPv6 字符串	本地代理 ID 名称。源 firewall.address6.name 或 firewall.addrgrp6.name。
源端口整数	快速模式源端口 (1 - 65535 或 0 表示全部)。
源起始 IP 字符串	本地代理 ID 起始地址。
源起始 IPv6 字符串	本地代理 ID IPv6 起始地址。
源子网字符串	本地代理 ID 子网。
源子网 IPv6 字符串	本地代理 ID IPv6 子网。
使用 NAT IP 字符串	启用后，当使用出站 NAT 时，将使用 FortiGate 的公共 IP 作为源选择器。选项 `"enable"` `"disable"`

备注 

注意

旧的 fortiosapi 已被弃用，httpapi 是运行 playbook 的首选方式
该模块支持 check_mode。

示例 

- name: Configure VPN autokey tunnel.
  fortinet.fortios.fortios_vpn_ipsec_phase2:
      vdom: "{{ vdom }}"
      state: "present"
      access_token: "<your_own_value>"
      vpn_ipsec_phase2:
          add_route: "phase1"
          addke1: "0"
          addke2: "0"
          addke3: "0"
          addke4: "0"
          addke5: "0"
          addke6: "0"
          addke7: "0"
          auto_negotiate: "enable"
          comments: "<your_own_value>"
          dhcp_ipsec: "enable"
          dhgrp: "1"
          diffserv: "enable"
          diffservcode: "<your_own_value>"
          dst_addr_type: "subnet"
          dst_end_ip: "<your_own_value>"
          dst_end_ip6: "<your_own_value>"
          dst_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
          dst_name6: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
          dst_port: "0"
          dst_start_ip: "<your_own_value>"
          dst_start_ip6: "<your_own_value>"
          dst_subnet: "<your_own_value>"
          dst_subnet6: "<your_own_value>"
          encapsulation: "tunnel-mode"
          inbound_dscp_copy: "phase1"
          initiator_ts_narrow: "enable"
          ipv4_df: "enable"
          keepalive: "enable"
          keylife_type: "seconds"
          keylifekbs: "5120"
          keylifeseconds: "43200"
          l2tp: "enable"
          name: "default_name_36"
          pfs: "enable"
          phase1name: "<your_own_value> (source vpn.ipsec.phase1.name)"
          proposal: "null-md5"
          protocol: "0"
          replay: "enable"
          route_overlap: "use-old"
          selector_match: "exact"
          single_source: "enable"
          src_addr_type: "subnet"
          src_end_ip: "<your_own_value>"
          src_end_ip6: "<your_own_value>"
          src_name: "<your_own_value> (source firewall.address.name firewall.addrgrp.name)"
          src_name6: "<your_own_value> (source firewall.address6.name firewall.addrgrp6.name)"
          src_port: "0"
          src_start_ip: "<your_own_value>"
          src_start_ip6: "<your_own_value>"
          src_subnet: "<your_own_value>"
          src_subnet6: "<your_own_value>"
          use_natip: "enable"

返回值 

通用返回值已记录在这里，以下是此模块独有的字段

键	描述
构建字符串	Fortigate 镜像的构建编号返回: 始终示例: `"1547"`
http_method 字符串	上次用于将内容配置到 FortiGate 中的方法返回: 始终示例: `"PUT"`
http_status 字符串	FortiGate 在上次应用的操作中给出的最后结果返回: 始终示例: `"200"`
mkey 字符串	上次调用 FortiGate 时使用的主密钥 (id) 返回: 成功示例: `"id"`
name 字符串	用于满足请求的表名称返回: 始终示例: `"urlfilter"`
路径字符串	用于满足请求的表的路径返回: 始终示例: `"webfilter"`
修订字符串	内部修订号返回: 始终示例: `"17.0.2.10658"`
序列号字符串	设备的序列号返回: 始终示例: `"FGVMEVYYQT3AB5352"`
状态字符串	操作结果的指示返回: 始终示例: `"success"`
vdom 字符串	使用的虚拟域返回: 始终示例: `"root"`
版本字符串	FortiGate 的版本返回: 始终示例: `"v5.6.3"`

作者

Link Zheng (@chillancezen)
Jie Xue (@JieX19)
Hongbin Lu (@fgtdev-hblu)
Frank Shen (@frankshen01)
Miguel Angel Munoz (@mamunozgonzalez)
Nicolas Thomas (@thomnico)