Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

proposal (Security IPsec)

구문

계층 수준

설명

IPsec 제안을 정의합니다. IPsec 제안은 원격 IPsec 피어와 협상할 프로토콜 및 알고리즘(보안 서비스)을 나열합니다.

옵션

proposal-name

IPsec 제안의 이름입니다.

authentication-algorithm

IPsec 인증 알고리즘을 구성합니다. 인증 알고리즘은 패킷 데이터를 인증하는 해시 알고리즘입니다. 다음 6가지 알고리즘 중 하나일 수 있습니다.

  • 값:

    데이터를 인증하는 해시 알고리즘은 다음 중 하나일 수 있습니다.

    • hmac-md5-96- 128비트 다이제스트를 생성합니다.

    • hmac-sha-256-128- 데이터 원본 인증 및 무결성 보호를 제공합니다. 이 버전의 hmac-sha-256 인증자는 256비트 다이제스트를 생성하고 128비트로 잘림을 지정합니다.

    • hmac-sha1-96- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.

    • hmac-sha-512- 512비트 다이제스트를 생성합니다.

    • hmac-sha-384- 384비트 다이제스트를 생성합니다.

    • hmac-sha-256-96—HMAC-SHA-256-96 인증 알고리즘(RFC 비준수)

description

IPsec 제안에 대한 텍스트 설명

encryption-algorithm

암호화 알고리즘을 정의합니다. IPsec 제안에서 구성을 업데이트할 encryption-algorithm 때 디바이스는 기존 IPsec SA를 삭제합니다.

  • 값:

    • 3des-cbc- 블록 크기가 8바이트(64비트)이고 키 크기가 192비트인 암호화 알고리즘입니다.

    • aes-128-cbc—AES(Advanced Encryption Standard) 128비트 암호화 알고리즘.

    • aes-128-gcm—AES Galois/Counter 모드(GCM) 128비트 암호화 알고리즘.

      IKE 제안의 경우 AES 128비트 인증 암호화 알고리즘은 IKEv2에서만 지원됩니다. 이 옵션을 사용하는 경우 [aes-128-gcmedit security ipsec proposal proposal-name] 계층 수준에서 구성해야 하며 authentication-algorithm 옵션은 [edit security ike proposal proposal-name] 계층 수준에서 구성해서는 안 됩니다.

      aes-128-gcmaes-192-gcm, 또는 aes-256-gcm 암호화 알고리즘이 IPsec 제안에서 구성되면, 해당 IKE 제안에서 AES-GCM 암호화 알고리즘을 구성할 필요가 없습니다.

    • aes-192-cbc- AES 192비트 암호화 알고리즘.

    • aes-192-gcm- AES GCM 192비트 암호화 알고리즘.

    • aes-256-cbc- AES 256비트 암호화 알고리즘.

    • aes-256-gcm- AES GCM 256비트 암호화 알고리즘.

      IKE 제안의 경우 AES 256비트 인증 암호화 알고리즘은 IKEv2에서만 지원됩니다. 이 옵션을 사용하는 경우 [aes-256-gcmedit security ipsec proposal proposal-name] 계층 수준에서 구성해야 하며 authentication-algorithm 옵션은 [edit security ike proposal proposal-name] 계층 수준에서 구성해서는 안 됩니다.

    • des-cbc- 블록 크기가 8바이트(64비트)이고 키 크기가 48비트인 암호화 알고리즘입니다.

extended-sequence-number

extended-sequence-number 옵션을 사용하여 ESN 지원을 활성화합니다. ESN을 통해 IPsec은 시퀀스 번호에 64비트 시퀀스 번호를 사용할 수 있습니다. ESN이 활성화되지 않은 경우 기본적으로 32비트 시퀀스 번호가 사용됩니다. 안티리플레이가 비활성화된 경우 ESN이 활성화되지 않았는지 확인합니다.

lifetime-kilobytes

IPsec SA(Security Association)의 수명(KB)을 지정합니다. 이 문이 구성되지 않은 경우 SA 수명에 사용되는 킬로바이트 수는 무제한입니다.

  • 범위: 64 - 4,294,967,294KB

lifetime-seconds

수명(초).

  • 범위: 180에서 86400까지

  • 기본값: 3600초

protocol

수동 또는 동적 SA(Security Association)에 대한 IPsec 프로토콜을 정의합니다.

  • 값:

    • ah—인증 헤더

    • esp—캡슐화된 보안 페이로드 헤더

필요한 권한 수준

security - 구성에서 이 명령문을 볼 수 있습니다.

security-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 7.4 전에 소개된 명령문입니다.

extended-sequence-number Junos OS 릴리스 19.4R1 버전에 소개된 옵션.

Junos OS 릴리스 20.2R1부터 CLI 옵션 hmac-md5-96, , 3des-cbchmac-sha1-96, 및 des-cbc 패키지가 설치된 iked 프로세스를 실행하는 디바이스에 대한 도움말 텍스트 설명을 NOT RECOMMENDED 변경했습니다junos-ike.

hmac-sha-512hmac-sha-384 옵션은 SRX5K-SPC3 카드가 장착된 디바이스 제품군SRX5000 Junos OS 릴리스 19.1R1에서 소개되었습니다.

, , aes-192-gcm옵션에 aes-256-gcm 대한 aes-128-gcm지원이 vSRX 가상 방화벽을 위한 Junos OS 릴리스 15.1X49-D70에 추가되었습니다.

, aes-192-gcm, 옵션에 aes-256-gcm 대한 aes-128-gcm지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

hmac-sha-256-128 Junos OS 릴리스 12.1X46-D20의 SRX5400, SRX5600 및 SRX5800 디바이스에 대한 추가 지원.

iked 프로세스를 실행하는 IPsec VPN이 있는 옵션에 대한 lifetime-kilobytes 지원이 Junos OS 릴리스 23.4R1에 추가되었습니다.