보안 연결 개요
IPsec 보안 서비스를 사용하려면 호스트 간에 SA를 생성합니다. SA는 두 호스트가 IPsec을 통해 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다. SA에는 수동 및 동적의 두 가지 유형이 있습니다.
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI(Security Parameter Index) 값, 알고리즘 및 키를 정적으로 정의하며 터널 양쪽 끝에서 일치하는 구성이 필요합니다. 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
동적 SA에는 추가 구성이 필요합니다. 동적 SA를 사용하면 먼저 IKE(Internet Key Exchange )를 구성한 다음 SA를 구성합니다. IKE는 동적 보안 연결을 생성합니다. IPsec을 위해 SA를 협상합니다. IKE 구성은 피어 보안 게이트웨이와의 보안 IKE 연결을 설정하는 데 사용되는 알고리즘과 키를 정의합니다. 그런 다음 이 연결은 동적 IPsec SA에서 사용하는 키 및 기타 데이터에 동적으로 동의하는 데 사용됩니다. IKE(Internet Key Exchange) SA가 먼저 협상된 다음 동적 IPsec SA를 결정하는 협상을 보호하는 데 사용됩니다.
터널 속성 협상 및 키 관리를 포함하여 사용자 수준 터널 또는 SA를 설정합니다. 이러한 터널은 동일한 보안 채널 위에서 새로 고침 및 종료할 수도 있습니다.
IPsec의 Junos OS 구현은 두 가지 보안 모드(전송 모드 및 터널 모드)를 지원합니다.