authentication-algorithm (Services IPsec)

IPsec 제안서에서 인증 알고리즘을 구성할 때 다음 사항을 유념하십시오.

• IPsec VPN 터널의 양 끝에 동일한 IKE 제안이 포함되어 있지만 서로 다른 IPsec 제안서가 포함되어 있으면 오류가 발생하고 이 시나리오에서는 터널이 설정되지 않습니다. 예를 들어, 터널의 한쪽 끝에는 hmac-sha- 256-128로 인증 알고리즘으로 구성된 라우터 1이 포함되어 있고 터널의 다른 쪽 끝에는 hmac-md5-96과 같은 인증 알고리즘으로 구성된 라우터 2가 포함되어 있으면 VPN 터널이 설정되지 않습니다.

• IPsec VPN 터널의 양 단말에 동일한 IKE 제안서가 포함되어 있지만 다른 IPsec 제안서가 포함되어 있고, 터널의 한 쪽 끝에 덜 안전한 알고리즘이 선택되었는지 여부를 확인하기 위한 2개의 IPsec 제안이 포함되어 있으면 오류가 발생하고 터널이 설정되지 않습니다. 예를 들어 IPsec 제안을 위해 hmac-sha-256-128 및 hmac-md5-96으로 2개의 인증 알고리즘을 터널의 한쪽 끝에 구성하면 라우터 1, 터널의 다른 쪽 끝에 있는 hmac-md5-96으로 IPsec 제안 알고리즘을 구성하면 터널이 설정되지 않으며 제안 수의 불일치가 발생했습니다.

• 터널 중 하나에 있는 계층 수준 및 authentication- algorithm hmac-md5-96 명령문과 같은 authentication-algorithm hmac-sha-256-128 두 개의 IPsec 제안서를 구성할 때 라우터 1(순서를 지정하기 위해 연속 두 개의 명령문에 알고리즘을 적용함), authentication-algorithm hmac-md5-96 터널 중 하나에 있는 계층 수준에서의 명령문 및 authentication- algorithm hmac-sha-256-128 명령 [edit services ipsec-vpn ipsec proposal proposal-name] 문, 라우터 2(순서를 지정하는 두 개의 연속 명령문에 알고리즘이 있는 [edit services ipsec-vpn ipsec proposal proposal-name] 경우) 이는 라우터 1의 역순입니다. 제안의 수는 양단에서 동일하며 동일한 알고리즘 세트를 포함하기 때문에 예상대로 이 조합에서 터널이 설정됩니다. 그러나 선택된 인증 알고리즘은 hmac-sha-256-128의 더 강력한 알고리즘이 아니라 hmac-md5-96입니다. 알고리즘의 이 선택은 첫 번째 매칭 제안이 선택되기 때문에 발생합니다. 또한 기본 제안서의 경우 라우터가 AES(Advanced Encryption Standard) 암호화 알고리즘을 지원하든 관계없이 3des-cbc 알고리즘이 선택되며 aes-cfb 알고리즘이 아닙니다. 이는 기본 제안서가 선택 중인 첫 번째 알고리즘 때문입니다. 여기에 설명된 샘플 시나리오에서 라우터 2에서 라우터 1에 지정된 순서와 동일한 순서가 되도록 제안서의 알고리즘 구성 순서를 뒤집으면 hmac-sha-256-128이 인증 방법으로 선택됩니다.

• 두 피어의 두 정책이 모두 제안서를 가질 때 일치시킬 때 가장 강력한 알고리즘을 먼저 고려할 수 있는 가장 강력한 알고리즘과 같이 제안의 매칭이 특정 기본 설정 순서로 이루어지기를 원하는 경우 구성 시 IPsec 정책의 제안 순서를 알고 있어야 합니다.

• 인증 알고리즘 hmac-sha-256-128은 MX104 유니버설 라우팅 플랫폼에서 지원되지 않습니다.