ES PIC에 대한 IPsec 제안 구성
IPsec 제안은 원격 IPsec 피어와 협상할 프로토콜 및 알고리즘(보안 서비스)을 나열합니다.
IPsec 제안을 구성하고 속성을 정의하려면 계층 수준에서 다음 문을 [edit security ipsec]
포함합니다.
[edit security ipsec] proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description ; encryption-algorithm (3des-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); }
ES PIC에 대한 IPsec 제안을 구성하는 작업은 다음과 같습니다.
IPsec 제안을 위한 인증 알고리즘 구성
IPsec 인증 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다authentication-algorithm
.
[edit security ipsec proposal ipsec-proposal-name] authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
인증 알고리즘은 다음 중 하나일 수 있습니다.
hmac-md5-96
- 패킷 데이터를 인증하는 해시 알고리즘. 128비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.hmac-sha1-96
- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.
IPsec 제안에 대한 설명 구성
IPsec 제안에 대한 설명을 지정하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다description
.
[edit security ike policy ipsec-proposal-name] description description;
IPsec 제안을 위한 암호화 알고리즘 구성
IPsec 암호화 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다encryption-algorithm
.
[edit security ipsec proposal ipsec-proposal-name ] encryption-algorithm (3des-cbc | des-cbc);
암호화 알고리즘은 다음 중 하나일 수 있습니다.
3des-cbc
- 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트입니다.des-cbc
- 블록 크기가 8바이트인 암호화 알고리즘. 키 크기는48비트 길이.
메모:3DES-CBC(Triple DES Cipher Block Chaining) 암호화 알고리즘을 사용하는 것이 좋습니다.
IPsec SA의 수명 구성
IPsec 수명 옵션은 IPsec SA의 수명을 설정합니다. IPsec SA가 만료되면 새로운 SA(및 SPI)로 대체되거나 종료됩니다. 새 SA에는 새 인증 및 암호화 키와 SPI가 있습니다. 그러나 제안이 변경되지 않으면 알고리즘은 동일하게 유지될 수 있습니다. 수명을 구성하지 않고 응답자가 수명을 전송하지 않으면 수명은 28,800초입니다.
IPsec 수명을 구성하려면 문을 포함하고 lifetime-seconds
계층 수준에서 초 수(180에서 86,400까지)를 [edit security ipsec proposal ipsec-proposal-name]
지정합니다.
[edit security ipsec proposal ipsec-proposal-name] lifetime-seconds seconds;
동적 SA가 생성되면 하드 및 소프트의 두 가지 유형의 수명이 사용됩니다. 하드 수명은 SA의 수명을 지정합니다. 하드 수명에서 파생되는 소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알립니다. 이를 통해 키 관리 시스템은 하드 수명이 만료되기 전에 새 SA를 협상할 수 있습니다. 수명을 지정할 때는 하드 수명을 지정합니다.
동적 IPsec SA를 위한 프로토콜 구성
문은 protocol
동적 SA에 대한 프로토콜을 설정합니다. ESP 프로토콜은 인증, 암호화 또는 둘 다를 지원할 수 있습니다. AH 프로토콜은 강력한 인증에 사용됩니다. AH는 IP 패킷도 인증합니다. 이 옵션은 AH 인증 및 ESP 암호화를 사용하며, AH가 bundle
IP 패킷에 대해 더 강력한 인증을 제공하기 때문에 ESP 인증을 사용하지 않습니다.
동적 SA에 대한 프로토콜을 구성하려면 계층 수준에서 명령문을 포함합니다protocol
.[edit security ipsec proposal ipsec-proposal-name]
[edit security ipsec proposal ipsec-proposal-name ] protocol (ah | esp | bundle);