proposal (Security IKE)
구문
proposal proposal-name { authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512); authentication-method(certificates | dsa-signatures | ecdsa-signatures-256 | ecdsa-signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521); description description; dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 | group15 | group16 | group21); encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; }
계층 수준
[edit security ike]
설명
IKE(Internet Key Exchange) 제안을 정의합니다.
옵션
proposal-name
- IKE(Internet Key Exchange) 제안의 이름입니다. 제안 이름은 최대 32자의 영숫자일 수 있습니다.
authentication-algorithm
- 패킷 데이터를 인증하는 IKE(Internet Key Exchange) 인증 해시 알고리즘을 구성합니다. 다음 알고리즘 중 하나일 수 있습니다.
-
md5
- 128비트 다이제스트를 생성합니다. -
sha-256
- 256비트 다이제스트를 생성합니다. -
sha-384
- 384비트 다이제스트를 생성합니다. -
전원 모드, IPSec 모드 및 일반 모드에서—
-
sha1
- 160비트 다이제스트를 생성합니다. -
sha-512
- 512비트 다이제스트를 생성합니다.
-
IKE(Internet Key Exchange) 제안 또는 IPsec 제안에서 구성을 업데이트할 authentication-algorithm
때 디바이스는 기존 IPsec SA를 삭제합니다.
authentication-method
- 디바이스가 IKE(Internet Key Exchange) 메시지의 소스를 인증하는 데 사용하는 방법을 지정합니다. 옵션은 pre-shared-keys
터널 협상을 시작하기 전에 두 참가자가 모두 가지고 있어야 하는 암호화 및 복호화용 키인 사전 공유 키를 나타냅니다. 다른 옵션은 인증서 소유자의 ID를 확인하는 인증서인 디지털 서명 유형을 나타냅니다. IKE(Internet Key Exchange) 제안에서 구성을 업데이트할 authentication-method
때 디바이스는 기존 IPsec SA를 삭제합니다.
-
certificates
- 개시자 및 응답자에 사용되는 인증서 유형에 관계없이 IKEv2 및 IPsec SA 터널을 설정할 수 있습니다. 이authentication-method certificates
옵션은 IKEv1과 함께 사용할 수 없습니다. -
dsa-signatures
- DSA(Digital Signature Algorithm)가 사용되도록 지정합니다. -
ecdsa-signatures-256
- FIPS(Federal Information Processing Standard) DSS(Digital Signature Standard) 186-3에 지정된 대로 256비트 타원 곡선 secp256r1을 사용하는 ECDSA(Elliptic Curve DSA)가 사용되도록 지정합니다. -
ecdsa-signatures-384
- FIPS DSS 186-3에 지정된 대로 384비트 타원 곡선 secp384r1을 사용하는 ECDSA가 사용되도록 지정합니다. -
pre-shared-keys
- 두 피어 간에 공유되는 비밀 키인 사전 공유 키가 인증 중에 피어를 서로 식별하는 데 사용되도록 지정합니다. 각 피어에 대해 동일한 키를 구성해야 합니다. 이것이 기본 방법입니다. -
rsa-signatures
- 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되도록 지정합니다. -
ecdsa-signatures-521
- 521비트 타원 곡선 secp521r1을 사용하는 ECDSA가 사용되도록 지정합니다.
description description
- IKE(Internet Key Exchange) 제안에 대한 설명을 문자로 보냅니다.
dh-group
- IKE Diffie-Hellman 그룹을 지정합니다.
encryption-algorithm
- IKE(Internet Key Exchange) 제안에 대한 암호화 알고리즘을 구성합니다.
lifetime-seconds seconds
- IKE SA(Security Association)의 수명(초 단위)을 지정합니다. SA가 만료되면 새 SA 및 SPI(Security Parameter Index)로 대체되거나 종료됩니다.
-
범위: 180초에서 86,400초
-
기본값: 28,800초
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 8.5에서 수정된 명령문.
Junos OS 릴리스 11.1에 대한 dh-group group 14
지원 및 dsa-signatures
추가되었습니다.
, ecdsa-signatures-256
, , ecdsa-signatures-384
group19
, group20
및 group24
옵션에 대한 sha-384
지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.
및 옵션에 대한 ecdsa-signatures-256
ecdsa-signatures-384
지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.
, , , , 옵션에 ecdsa-signatures-521
대한 sha-512
지원이 패키지가 설치된 디바이스 junos-ike
제품군SRX5000 Junos OS 릴리스 19.1R1에 추가되었습니다. group21
group16
group15
인증 알고리즘(SH1: hmac-sha1-96)에 대한 지원이 일반 모드의 기존 지원과 함께 전원 모드 IPSec 모드용 Junos OS 릴리스 19.3R1의 vSRX 가상 방화벽에 추가되었습니다.
, group16
, 옵션에 group21
대한 group15
지원이 패키지가 설치된 vSRX 가상 방화벽 인스턴스의 junos-ike
Junos OS 릴리스 20.3R1에 추가되었습니다.
, group16
, 옵션에 group21
대한 group15
지원이 패키지가 설치된 vSRX 가상 방화벽 3.0 인스턴스의 Junos OS 릴리스 21.1R1에 junos-ike
추가되었습니다.
USF 모드, SRX1500, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 및 iked 프로세스를 실행하는 vSRX Virtual Firewall 3.0의 MX240, MX480 및 MX960의 Junos OS 릴리스 22.4R1에 추가된 옵션에 대한 certificates
지원이 추가되었습니다.