IPsec 동적 엔드포인트 터널에 대한 IKE(Internet Key Exchange) 액세스 프로파일 구성
모든 동적 피어에 대해 서비스 세트당 하나의 터널 프로파일만 구성할 수 있습니다. 프로필에 구성된 사전 공유 키는 해당 서비스 세트에서 종료되는 모든 동적 피어의 IKE 인증에 사용됩니다.
IKE(Internet Key Exchange) 터널 프로필은 IKE(Internet Key Exchange) 협상을 완료하는 데 필요한 모든 정보를 지정합니다. 액세스 프로필에 대한 자세한 내용은 Junos 시스템 기본 구성 가이드를 참조하십시오.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
동적 피어의 경우, Junos OS는 사전 공유 키 인증 방법이 있는 IKE(Internet Key Exchange) 메인 모드만 지원합니다. 이 모드에서는 IPv4 또는 IPv6 주소를 사용하여 터널 피어를 식별하여 사전 공유 키 정보를 가져옵니다. 클라이언트 값 * (와일드카드)은 이 프로필 내의 구성이 이 프로필에 액세스하는 서비스 세트 내에서 종료되는 모든 동적 피어에 대해 유효함을 의미합니다.
다음 문은 IKE 프로필의 일부입니다.
allowed-proxy-pair—2단계 IKE 협상 중에 원격 피어는 네트워크 주소(원격)와 피어의 네트워크 주소(로컬)를 제공합니다. 여러 동적 터널이 동일한 메커니즘을 통해 인증되므로 이 문에는 가능한 조합 목록이 포함되어야 합니다. 동적 피어가 유효한 조합을 제시하지 않으면 2단계 IKE 협상이 실패합니다.
값이 구성되지 않은 경우 기본적으로 원격 0.0.0.0/0 로컬 0.0.0.0/0이 사용됩니다.
pre-shared-key—IKE(Internet Key Exchange) 1단계 협상 중 동적 피어를 인증하는 데 사용되는 필수 키입니다. 이 키는 터널의 양쪽 끝에서 구성되어야 하며 대역 외 보안 메커니즘을 통해 배포되어야 합니다. 키 값은 16진수 또는 ASCII 텍스트 형식으로 구성할 수 있습니다.
interface-id - 인터페이스 식별자, 세션에 대한 논리적 서비스 인터페이스 정보를 도출하는 데 사용되는 필수 속성.
ipsec-policy - 세션에 대한 IPsec 정책 정보를 정의하는 IPsec 정책의 이름입니다. 계층 수준에서 IPsec 정책을
[edit services ipsec-vpn ipsec policy policy-name]
정의합니다. 정책이 설정되지 않은 경우 동적 피어가 제안한 모든 정책이 수락됩니다.