IKE(Internet Key Management Protocol) 개요
IKE(Internet Key Exchange)는 동적 SA를 생성하는 키 관리 프로토콜입니다. IPsec을 위해 SA를 협상합니다. IKE(Internet Key Exchange) 구성은 피어 보안 게이트웨이와의 보안 연결을 설정하는 데 사용되는 알고리즘과 키를 정의합니다.
IKE(Internet Key Exchange)는 다음을 수행합니다.
IKE 및 IPsec 매개 변수 협상 및 관리
보안 키 교환 인증
공유 암호(비밀번호가 아님) 및 공개 키를 통해 상호 피어 인증 제공
ID 보호 제공(기본 모드)
IKE(Internet Key Exchange)는 두 단계에 걸쳐 발생합니다. 첫 번째 단계에서는 보안 속성을 협상하고 공유 암호를 설정하여 양방향 IKE(Internet Key Exchange) SA를 구성합니다. 두 번째 단계에서는 인바운드 및 아웃바운드 IPsec SA가 설정됩니다. IKE(Internet Key Exchange) SA는 두 번째 단계에서 거래소를 보호합니다. 또한 IKE는 키 자료를 생성하고, PFS(Perfect Forward Secrecy)를 제공하며, ID를 교환합니다.
Junos OS 릴리스 14.2부터 jnxIkeTunnelTable 테이블에서 Request failed: OID not increasing jnxIkeTunnelEntry 객체의 SNMP 워크를 수행하면 오류 메시지가 생성될 수 있습니다. 이 문제는 SA의 양쪽 끝이 동시에 IKE SA 협상을 시작할 때 발생하는 동시 IKE SA(Internet Key Exchange 보안 연결)를 만들 때만 발생합니다. IKE(Internet Key Exchange) SA를 표시하기 위해 SNMP 관리 정보 베이스(MIB) 워크가 수행되면 snmpwalk 도구는 개체 식별자(OID)가 오름차순일 것으로 예상합니다. 그러나 동시 IKE SA의 경우 SNMP 테이블의 OID 순서가 증가하지 않을 수 있습니다. 이 동작은 OID의 일부인 터널 ID가 IKE 터널의 양쪽에 있을 수 있는 IKE(Internet Key Exchange) SA의 개시자를 기반으로 할당되기 때문에 발생합니다.
다음은 IKE 동시 SA에서 수행되는 SNMP 관리 정보 베이스(MIB) 워크의 예입니다.
jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47885 = INTEGER: responder(2) >>> This is Initiator SA jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47392 = INTEGER: initiator(1) >>> This is Responder's SA
SNMP 워크가 터널 ID(47885 및 47392)인 경우 OID 비교가 실패합니다. SNMP 워크가 수행될 때 터널이 어느 쪽에서든 시작될 수 있기 때문에 터널 ID의 순서가 증가하고 있는지 확인할 수 없습니다.
이 문제를 해결하기 위해 SNMP 관리 정보 베이스(MIB) walk에는 증가하는 OID에 대한 확인을 비활성화하는 옵션 -Cc가 포함되어 있습니다. 다음은 -Cc 옵션을 사용하여 jnxIkeTunnelEntry 테이블에서 수행된 관리 정보 베이스(MIB) 워크의 예입니다.
snmpwalk -Os -Cc -c public -v 1 vira jnxIkeTunnelEntry
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
Request failed: OID not increasing jnxIkeTunnelEntry 객체의 SNMP 워크를 수행하면 오류 메시지가 생성될 수 있습니다.