Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

IKE(Internet Key Exchange) 정책 구성

사전 공유 키에 대한 IKE(Internet Key Exchange) 정책 구성

IKE 정책은 IKE 협상 중에 사용할 보안 매개 변수(IKE 제안)의 조합을 정의합니다. 피어 주소, 지정된 피어에 대한 사전 공유 키 및 해당 연결에 필요한 제안을 정의합니다. IKE 협상 중에 IKE는 두 피어에서 동일한 IKE 정책을 찾습니다. 협상을 시작한 피어는 모든 정책을 원격 피어에 전송하고 원격 피어는 일치하는 항목을 찾으려고 시도합니다.

두 피어의 두 정책에 동일한 구성 속성이 포함된 제안이 있으면 일치가 이루어집니다. 수명이 동일하지 않으면 두 정책(호스트와 피어) 간의 더 짧은 수명이 사용됩니다. 구성된 사전 공유 키도 피어와 일치해야 합니다.

하나 이상의 제안이 원격 피어의 제안과 일치하도록 하려면 각 피어에서 우선순위가 지정된 여러 제안을 만들 수 있습니다. 제안서를 구성하고, 이를 IKE(Internet Key Exchange) 정책과 연결하고, 선택적으로 문에서 policy 목록의 우선 순위를 지정하여 목록 순서대로 평가하여 이 작업을 수행합니다.

policy 계층 수준에서 문을 [edit security ike] 포함하고 IPsec 터널 대상을 피어 주소로 지정합니다.

IKE(Internet Key Exchange) 정책을 구성하기 위한 작업은 다음과 같습니다.

IKE(Internet Key Exchange) 정책에 대한 설명 구성

IKE(Internet Key Exchange) 정책에 대한 설명을 지정하려면 계층 수준에서 문을 [edit security ike policy ike-peer-address] 포함합니다description.

IKE(Internet Key Exchange) 정책에 대한 모드 구성

IKE(Internet Key Exchange) 정책에는 공격적 모드와 기본의 두 가지 모드가 있습니다. 기본적으로 주 모드는 사용하도록 설정되어 있습니다. 메인 모드는 3개의 교환에서 6개의 메시지를 사용하여 IKE(Internet Key Exchange) SA를 설정합니다. (이 세 단계는 IKE SA 협상, Diffie-Hellman 키 교환 및 피어 인증입니다.) 또한 메인 모드에서는 피어가 자신의 ID를 숨길 수 있습니다.

적극적인 모드는 인증된 IKE(Internet Key Exchange) SA 및 키도 설정합니다. 그러나 적극적인 모드는 메시지 수의 절반을 사용하고, 협상 능력이 적으며, ID 보호를 제공하지 않습니다. 피어는 적극적인 모드 또는 기본 모드를 사용하여 IKE 협상을 시작할 수 있습니다. 원격 피어는 피어가 보낸 모드를 수락합니다.

IKE(Internet Key Exchange) 정책 모드를 구성하려면 문을 포함하고 mode 계층 수준에서 또는 main 을(를) 지정합니다aggressive.[edit security ike policy ike-peer-address]

FIPS 모드의 Junos OS의 경우, IKEv1에 대한 적극적인 옵션은 계층 수준의 모드 명령문 [edit services ipsec-vpn ike policy policy-name] 과 함께 지원되지 않습니다.

IKE(Internet Key Exchange) 정책을 위한 사전 공유 키 구성

IKE(Internet Key Exchange) 정책 사전 공유 키는 피어를 인증합니다. 사전 공유 키를 수동으로 구성해야 하며, 이는 피어의 키와 일치해야 합니다. 사전 공유 키는 ASCII 텍스트(영숫자) 키 또는 16진수 키일 수 있습니다.

로컬 인증서는 사전 공유 키의 대안입니다. 사전 공유 키 또는 로컬 인증서가 구성되지 않은 경우 커밋 작업이 실패합니다.

IKE(Internet Key Exchange) 정책 사전 공유 키를 구성하려면 계층 수준에서 문을 포함합니다pre-shared-key.[edit security ike policy ike-peer-address]

제안을 IKE 정책과 연결

IKE(Internet Key Exchange) 정책 제안은 IKE(Internet Key Exchange) 정책과 연관된 하나 이상의 제안 목록입니다.

IKE(Internet Key Exchange) 정책 제안을 구성하려면 계층 수준에서 문을 [edit security ike policy ike-peer-address] 포함하고 proposals 하나 이상의 제안 이름을 지정합니다.

또한보십시오

예: IKE(Internet Key Exchange) 정책 구성

정책 10.1.1.2 및 정책 10.1.1.1의 두 가지 IKE 정책을 정의합니다. 각 정책은 및 와 연결되어 proposal-1 있습니다 proposal-2.

메모:

현재 IKE 제안 및 정책 구성에 대한 업데이트는 현재 IKE SA에 적용되지 않습니다. 업데이트는 새 IKE(Internet Key Exchange) SA에 적용됩니다.

새 업데이트를 즉시 적용하려면 변경된 구성으로 다시 설정되도록 기존 IKE 보안 연결을 지워야 합니다. 현재 IKE 보안 연결을 지우는 방법에 대한 자세한 내용은 CLI 탐색기를 참조하십시오.
메모:

IPSec 피어 간에 여러 IPSec 터널을 구성할 때 IPSec 터널은 IPSec 피어의 물리적 인터페이스에 있는 여러 로컬 주소에서 종료될 수 있으며 그 반대의 경우도 마찬가지입니다.

또한보십시오