Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ES PIC에 대한 IPsec 제안 구성

IPsec 제안은 원격 IPsec 피어와 협상할 프로토콜 및 알고리즘(보안 서비스)을 나열합니다.

IPsec 제안을 구성하고 속성을 정의하려면 계층 수준에서 다음 문을 [edit security ipsec] 포함합니다.

ES PIC에 대한 IPsec 제안을 구성하는 작업은 다음과 같습니다.

IPsec 제안을 위한 인증 알고리즘 구성

IPsec 인증 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name] 포함합니다authentication-algorithm.

인증 알고리즘은 다음 중 하나일 수 있습니다.

  • hmac-md5-96- 패킷 데이터를 인증하는 해시 알고리즘. 128비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.

  • hmac-sha1-96- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.

IPsec 제안에 대한 설명 구성

IPsec 제안에 대한 설명을 지정하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name] 포함합니다description.

IPsec 제안을 위한 암호화 알고리즘 구성

IPsec 암호화 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name] 포함합니다encryption-algorithm.

암호화 알고리즘은 다음 중 하나일 수 있습니다.

  • 3des-cbc- 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트입니다.

  • des-cbc- 블록 크기가 8바이트인 암호화 알고리즘. 키 크기는

  • 48비트 길이.

    메모:

    3DES-CBC(Triple DES Cipher Block Chaining) 암호화 알고리즘을 사용하는 것이 좋습니다.

IPsec SA의 수명 구성

IPsec 수명 옵션은 IPsec SA의 수명을 설정합니다. IPsec SA가 만료되면 새로운 SA(및 SPI)로 대체되거나 종료됩니다. 새 SA에는 새 인증 및 암호화 키와 SPI가 있습니다. 그러나 제안이 변경되지 않으면 알고리즘은 동일하게 유지될 수 있습니다. 수명을 구성하지 않고 응답자가 수명을 전송하지 않으면 수명은 28,800초입니다.

IPsec 수명을 구성하려면 문을 포함하고 lifetime-seconds 계층 수준에서 초 수(180에서 86,400까지)를 [edit security ipsec proposal ipsec-proposal-name] 지정합니다.

메모:

동적 SA가 생성되면 하드 및 소프트의 두 가지 유형의 수명이 사용됩니다. 하드 수명은 SA의 수명을 지정합니다. 하드 수명에서 파생되는 소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알립니다. 이를 통해 키 관리 시스템은 하드 수명이 만료되기 전에 새 SA를 협상할 수 있습니다. 수명을 지정할 때는 하드 수명을 지정합니다.

동적 IPsec SA를 위한 프로토콜 구성

문은 protocol 동적 SA에 대한 프로토콜을 설정합니다. ESP 프로토콜은 인증, 암호화 또는 둘 다를 지원할 수 있습니다. AH 프로토콜은 강력한 인증에 사용됩니다. AH는 IP 패킷도 인증합니다. 이 옵션은 AH 인증 및 ESP 암호화를 사용하며, AH가 bundle IP 패킷에 대해 더 강력한 인증을 제공하기 때문에 ESP 인증을 사용하지 않습니다.

동적 SA에 대한 프로토콜을 구성하려면 계층 수준에서 명령문을 포함합니다protocol.[edit security ipsec proposal ipsec-proposal-name]