Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

policy (Security IPsec)

구문

계층 수준

설명

IPsec 정책을 정의합니다. IPsec 정책은 IPsec 협상 중에 사용되는 보안 매개 변수(IPsec 제안)의 조합을 정의합니다. PFS(Perfect Forward Secrecy) 및 연결에 필요한 제안을 정의합니다.

옵션

name

IPsec 정책의 이름입니다.
description

IPsec 정책에 대한 설명 텍스트를 입력합니다.
perfect-forward-secrecy keys

디바이스가 암호화 키를 생성하는 데 사용하는 방법으로 PFS(Perfect Forward Secrecy)를 지정합니다. PFS는 이전 키와 독립적으로 각각의 새 암호화 키를 생성합니다. IPsec 정책에서 구성을 업데이트할 perfect-forward-secrecy 때 디바이스는 기존 IPsec SA를 삭제합니다.

  • 값:

    • group1—768비트 MODP(Modular Exponential) 알고리즘.

    • group2- 1024비트 MODP 알고리즘.

    • group5- 1536비트 MODP 알고리즘.

    • group14- 2048비트 MODP 그룹.

    • group15—3072비트 MODP 알고리즘.

    • group16- 4096비트 MODP 알고리즘.

    • group19—256비트 임의 Elliptic Curve Groups modulo a Prime (ECP 그룹) 알고리즘.

    • group20—384비트 임의 ECP 그룹 알고리즘.

    • group21—521비트 임의 ECP 그룹 알고리즘.

    • group24- 256비트 프라임 오더 하위 그룹이 있는 2048비트 MODP 그룹.
proposal-set

기본 IPsec 제안 집합을 정의합니다.

  • 값:

    • basic—IPsec 기본 제안 세트. ESP-DES-SHA 및 ESP-DES-MD5.

      • ESP(Encapsulating Security Payload) 프로토콜

      • 암호화 알고리즘 - DES-CBC 암호화 알고리즘

      • 인증 알고리즘 - SHA1 또는 MD5 인증 알고리즘

    • compatible—IPsec 호환 제안 세트. esp-3des-sha, esp-3des-md5, esp-des-sha 및 esp-des-md5.

      • ESP 프로토콜

      • 암호화 알고리즘 - 3DES-CBC 또는 DES-CBC 암호화 알고리즘

      • 인증 알고리즘 - SHA1 또는 MD5 인증 알고리즘

    • prime-128- 다음과 같은 제안 세트를 제공합니다.

      • ESP(Encapsulating Security Payload) 프로토콜

      • 암호화 알고리즘 - 고급 암호화 표준 Galois/Counter 모드(AES-GCM)128비트

      • 인증 알고리즘 - 없음(AES-GCM은 암호화와 인증을 모두 제공함)

      이 옵션은 그룹 VPNv2에서 지원되지 않습니다.

    • prime-256- 다음과 같은 제안 세트를 제공합니다.

      • ESP 프로토콜

      • 암호화 알고리즘 - AES-GCM 256비트

      • 인증 알고리즘 - 없음(AES-GCM은 암호화와 인증을 모두 제공함)

      이 옵션은 그룹 VPNv2에서 지원되지 않습니다.

    • standard—ESP-3DES-SHA 및 ESP-AES128-SHA

      • ESP 프로토콜

      • 암호화 알고리즘 - 3DES-CBC 또는 AES-CBC 128비트 암호화 알고리즘

      • Authentication algorithm(인증 알고리즘) - SHA1 인증 알고리즘

    • suiteb-gcm-128- 다음과 같은 제안 세트를 제공합니다.

      • ESP 프로토콜

      • 암호화 알고리즘 - AES-GCM 128비트

      • 인증 알고리즘 - 없음(AES-GCM은 암호화와 인증을 모두 제공함)

      이 옵션은 그룹 VPNv2에서 지원되지 않습니다.

    • suiteb-gcm-256- 다음과 같은 제안 세트를 제공합니다.

      • ESP 프로토콜

      • 암호화 알고리즘 - AES-GCM 256비트

      • 인증 알고리즘 - 없음(AES-GCM은 암호화와 인증을 모두 제공함)

      이 옵션은 그룹 VPNv2에서 지원되지 않습니다.
proposals proposal-name

IPsec 정책에 대해 최대 4개의 2단계 제안을 지정합니다. 여러 제안을 포함하는 경우 모든 제안에 동일한 Diffie-Hellman 그룹을 사용합니다.

제안은 목록에 나타나는 순서(위에서 아래로)에 따라 평가되므로, 가장 높은 우선순위를 먼저 지정하고 그 다음에 가장 높은 우선순위를 지정하는 식입니다.

필요한 권한 수준

security - 구성에서 이 명령문을 볼 수 있습니다.

security-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 8.5에서 수정된 명령문.

그룹 14에 대한 지원이 Junos OS 릴리스 11.1에 추가되었습니다.

Junos OS 릴리스 11.1에 추가된 옵션에 대한 group14 지원.

, group20, 옵션에 group24 대한 group19지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

group15, , group16group21 옵션은 패키지가 설치된 SR5000 디바이스 제품군의 Junos OS 릴리스 19.1R1에서 소개되었습니다 junos-ike .

및 옵션에 대한 suiteb-gcm-128 suiteb-gcm-256 지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다. 및 옵션에 대한 prime-128 prime-256 지원이 Junos OS 릴리스 15.1X49-D40에 추가되었습니다.

Junos OS 릴리스 20.2R1부터 CLI 옵션 group1, , group2group5 패키지가 설치된 IKED junos-ike 를 실행하는 디바이스에 대한 도움말 텍스트 설명을 NOT RECOMMENDED 변경했습니다.

, group16, 옵션에 group21 대한 group15지원이 패키지가 설치된 vSRX 가상 방화벽 인스턴스의 junos-ike Junos OS 릴리스 20.3R1에 추가되었습니다.

, group16, 옵션에 group21 대한 group15지원이 패키지가 설치된 vSRX 가상 방화벽 3.0 인스턴스의 Junos OS 릴리스 21.1R1에 junos-ike 추가되었습니다.

관련 문서