IKE(Internet Key Exchange) 액세스 프로파일
IKE(Internet Key Exchange) 액세스 프로필은 동적 피어와 IKE 및 IPsec 보안 연결을 협상하는 데 사용됩니다. 모든 동적 피어에 대해 서비스 세트당 하나의 터널 프로파일만 구성할 수 있습니다. 프로필에 구성된 사전 공유 키는 해당 서비스 세트에서 종료되는 모든 동적 피어의 IKE 인증에 사용됩니다. 동적 피어와의 IKE(Internet Key Exchange) 인증을 위해 디지털 인증서 방법을 사용할 수도 있습니다. ike-policy policy-name 계층 수준에서 문을 [edit access profile profile-name client * ike] 포함합니다. 은(는) 계층 수준에서 정의하는 IKE(Internet Key Exchange) [edit services ipsec-vpn ike policy policy-name] 정책의 이름입니다. policy-name
IKE(Internet Key Exchange) 터널 프로필은 IKE(Internet Key Exchange) 협상을 완료하는 데 필요한 모든 정보를 지정합니다. 각 프로토콜은 프로토콜별 속성 값 쌍을 구성하기 위해 클라이언트 문 내에 고유한 명령문 계층을 가지고 있지만, 각 프로파일에 대해 하나의 클라이언트 구성만 허용됩니다. 다음은 구성 계층입니다.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } dead-peer-detection{ interval seconds threshold number } ike-policy policy-name; initiate-dead-peer-detection; interface-id string-value; ipsec-policy ipsec-policy; pre-shared-key (ascii-text character-string | hexadecimal hexadecimal-digits); reverse-route } } }
동적 피어의 경우, Junos OS는 사전 공유 키와 디지털 인증서 방법을 모두 사용하는 IKE(Internet Key Exchange) 메인 모드만 지원합니다. 이 모드에서는 IPv6 또는 IPv4 주소를 사용하여 터널 피어를 식별하여 사전 공유 키 또는 디지털 인증서 정보를 얻습니다. 클라이언트 값 * (와일드카드)은 이 프로필 내의 구성이 이 프로필에 액세스하는 서비스 세트 내에서 종료되는 모든 동적 피어에 유효함을 의미합니다.
다음 문은 IKE 프로필을 구성합니다.
allowed-proxy-pair- 2단계 IKE 협상 중에 원격 피어는 네트워크 주소()와 피어의 네트워크 주소(remotelocal)를 제공합니다. 여러 동적 터널이 동일한 메커니즘을 통해 인증되므로 이 문에는 가능한 조합 목록이 포함되어야 합니다. 동적 피어가 유효한 조합을 제시하지 않으면 2단계 IKE 협상이 실패합니다.
값이 구성되지 않은 경우 기본적으로 remote 0.0.0.0/0 local 0.0.0.0/0 이 사용됩니다.
dead-peer-detection- 디바이스가 DPD(Dead Peer Detection)를 사용할 수 있도록 합니다. DPD는 IPsec 피어 디바이스의 현재 존재 및 가용성을 검증하기 위해 디바이스에서 사용하는 방법입니다. 디바이스는 암호화된 IKE(Internet Key Exchange) 1단계 알림 페이로드(R-U-THERE)를 피어에 전송하고 DPD 승인(R-U-THERE-ACK)을 기다리는 방식으로 이 검증을 수행합니다. 옵션을 사용하여 메시지를 보낼 시간(초)을 지정할 수 있습니다. 옵션을interval사용하여threshold전송할 최대 메시지 수(1-10)를 지정합니다.ike-policy- IKE(Internet Key Exchange) 협상 중에 동적 피어를 인증하는 데 사용되는 로컬 디지털 인증서 또는 사전 공유 키를 정의하는 IKE 정책의 이름입니다. 동적 피어와의 IKE(Internet Key Exchange) 인증을 위해 디지털 인증서 방법을 사용하려면 이 명령문을 포함해야 합니다. 계층 수준에서 IKE(Internet Key Exchange)[edit services ipsec-vpn ike policy policy-name]정책을 정의합니다.initiate-dead-peer-detection- 동적 IPsec 터널에서 데드 피어를 탐지합니다.interface-id- 인터페이스 식별자, 세션에 대한 논리적 서비스 인터페이스 정보를 도출하는 데 사용되는 필수 속성.ipsec-policy- 세션에 대한 IPsec 정책 정보를 정의하는 IPsec 정책의 이름입니다. 계층 수준에서 IPsec 정책을[edit services ipsec-vpn ipsec policy policy-name]정의합니다. 정책이 설정되지 않은 경우 동적 피어가 제안한 모든 정책이 수락됩니다.pre-shared-key- IKE(Internet Key Exchange) 1단계 협상 중에 동적 피어를 인증하는 데 사용되는 키입니다. 이 키는 대역 외 보안 메커니즘을 통해 양쪽 끝에 알려져 있습니다. 또는ascii-text형식 중 하나로hexadecimal값을 구성할 수 있습니다. 필수 값입니다.reverse-route—(AS 또는 MultiServices PIC가 있는 M 시리즈 및 MX 시리즈 라우터만 해당) 동적 엔드포인트 IPsec 터널에 대한 역방향 경로를 구성합니다.