Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

proposal (Security IKE)

구문

계층 수준

설명

IKE(Internet Key Exchange) 제안을 정의합니다.

옵션

proposal-name- IKE(Internet Key Exchange) 제안의 이름입니다. 제안 이름은 최대 32자의 영숫자일 수 있습니다.

authentication-algorithm- 패킷 데이터를 인증하는 IKE(Internet Key Exchange) 인증 해시 알고리즘을 구성합니다. 다음 알고리즘 중 하나일 수 있습니다.

  • md5- 128비트 다이제스트를 생성합니다.

  • sha-256- 256비트 다이제스트를 생성합니다.

  • sha-384- 384비트 다이제스트를 생성합니다.

  • 전원 모드, IPSec 모드 및 일반 모드에서—

    • sha1- 160비트 다이제스트를 생성합니다.

    • sha-512- 512비트 다이제스트를 생성합니다.

IKE(Internet Key Exchange) 제안 또는 IPsec 제안에서 구성을 업데이트할 authentication-algorithm 때 디바이스는 기존 IPsec SA를 삭제합니다.

authentication-method- 디바이스가 IKE(Internet Key Exchange) 메시지의 소스를 인증하는 데 사용하는 방법을 지정합니다. 옵션은 pre-shared-keys 터널 협상을 시작하기 전에 두 참가자가 모두 가지고 있어야 하는 암호화 및 복호화용 키인 사전 공유 키를 나타냅니다. 다른 옵션은 인증서 소유자의 ID를 확인하는 인증서인 디지털 서명 유형을 나타냅니다. IKE(Internet Key Exchange) 제안에서 구성을 업데이트할 authentication-method 때 디바이스는 기존 IPsec SA를 삭제합니다.

  • certificates- 개시자 및 응답자에 사용되는 인증서 유형에 관계없이 IKEv2 및 IPsec SA 터널을 설정할 수 있습니다. 이 authentication-method certificates 옵션은 IKEv1과 함께 사용할 수 없습니다.

  • dsa-signatures- DSA(Digital Signature Algorithm)가 사용되도록 지정합니다.

  • ecdsa-signatures-256- FIPS(Federal Information Processing Standard) DSS(Digital Signature Standard) 186-3에 지정된 대로 256비트 타원 곡선 secp256r1을 사용하는 ECDSA(Elliptic Curve DSA)가 사용되도록 지정합니다.

  • ecdsa-signatures-384- FIPS DSS 186-3에 지정된 대로 384비트 타원 곡선 secp384r1을 사용하는 ECDSA가 사용되도록 지정합니다.

  • pre-shared-keys- 두 피어 간에 공유되는 비밀 키인 사전 공유 키가 인증 중에 피어를 서로 식별하는 데 사용되도록 지정합니다. 각 피어에 대해 동일한 키를 구성해야 합니다. 이것이 기본 방법입니다.

  • rsa-signatures- 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되도록 지정합니다.

  • ecdsa-signatures-521- 521비트 타원 곡선 secp521r1을 사용하는 ECDSA가 사용되도록 지정합니다.

description description- IKE(Internet Key Exchange) 제안에 대한 설명을 문자로 보냅니다.

dh-group- IKE Diffie-Hellman 그룹을 지정합니다.

encryption-algorithm- IKE(Internet Key Exchange) 제안에 대한 암호화 알고리즘을 구성합니다.

lifetime-seconds seconds- IKE SA(Security Association)의 수명(초 단위)을 지정합니다. SA가 만료되면 새 SA 및 SPI(Security Parameter Index)로 대체되거나 종료됩니다.

  • 범위: 180초에서 86,400초

  • 기본값: 28,800초

필요한 권한 수준

security - 구성에서 이 명령문을 볼 수 있습니다.

security-control - 구성에 이 명령문을 추가할 수 있습니다.

릴리스 정보

Junos OS 릴리스 8.5에서 수정된 명령문.

Junos OS 릴리스 11.1에 대한 dh-group group 14 지원 및 dsa-signatures 추가되었습니다.

, ecdsa-signatures-256, , ecdsa-signatures-384group19, group20group24 옵션에 대한 sha-384지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

및 옵션에 대한 ecdsa-signatures-256 ecdsa-signatures-384 지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

, , , , 옵션에 ecdsa-signatures-521 대한 sha-512지원이 패키지가 설치된 디바이스 junos-ike 제품군SRX5000 Junos OS 릴리스 19.1R1에 추가되었습니다. group21group16group15

인증 알고리즘(SH1: hmac-sha1-96)에 대한 지원이 일반 모드의 기존 지원과 함께 전원 모드 IPSec 모드용 Junos OS 릴리스 19.3R1의 vSRX 가상 방화벽에 추가되었습니다.

, group16, 옵션에 group21 대한 group15지원이 패키지가 설치된 vSRX 가상 방화벽 인스턴스의 junos-ike Junos OS 릴리스 20.3R1에 추가되었습니다.

, group16, 옵션에 group21 대한 group15지원이 패키지가 설치된 vSRX 가상 방화벽 3.0 인스턴스의 Junos OS 릴리스 21.1R1에 junos-ike 추가되었습니다.

USF 모드, SRX1500, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 및 iked 프로세스를 실행하는 vSRX Virtual Firewall 3.0의 MX240, MX480 및 MX960의 Junos OS 릴리스 22.4R1에 추가된 옵션에 대한 certificates 지원이 추가되었습니다.