Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

IPsec 정책 구성

ES PIC를 위한 IPsec 정책 구성

IPsec 정책은 IPsec 협상 중에 사용되는 보안 매개 변수(IPsec 제안)의 조합을 정의합니다. PFS(Perfect Forward Secrecy) 및 연결에 필요한 제안을 정의합니다. IPsec 협상 중에 IPsec은 두 피어에서 동일한 IPsec 제안을 찾습니다. 협상을 시작한 피어는 모든 정책을 원격 피어에 전송하고 원격 피어는 일치하는 항목을 찾으려고 시도합니다.

두 피어의 두 정책에 동일한 구성 속성이 포함된 제안이 있으면 일치가 이루어집니다. 수명이 동일하지 않으면 두 정책(호스트와 피어) 간의 더 짧은 수명이 사용됩니다.

각 피어에서 우선 순위가 지정된 여러 IPsec 제안을 생성하여 하나 이상의 제안이 원격 피어의 제안과 일치하도록 할 수 있습니다.

먼저 하나 이상의 IPsec 제안을 구성합니다. 그런 다음 이러한 제안을 IPsec 정책과 연결합니다. IPsec 정책에서 사용하는 순서대로(처음에서 마지막까지) 나열하여 목록의 제안에 우선 순위를 지정할 수 있습니다.

IPsec 정책을 구성하려면 계층 수준에서 문을 [edit security ipsec] 포함하여 policy 정책 이름과 이 정책과 연결할 하나 이상의 제안을 지정합니다.

PFS(Perfect Forward Secrecy) 구성

PFS는 Diffie-Hellman 키 교환 공유 암호 값을 통해 추가 보안을 제공합니다. PFS를 사용하면 하나의 키가 손상되더라도 이전 및 후속 키는 이전 키에서 파생되지 않으므로 안전합니다. 이 문은 선택 사항입니다.

PFS를 구성하려면 문을 포함하고 perfect-forward-secrecy 계층 수준에서 Diffie-Hellman 그룹을 [edit security ipsec policy ipsec-policy-name] 지정합니다.

키는 다음 중 하나일 수 있습니다.

  • group1- IKE가 새 Diffie-Hellman 교환을 수행할 때 768비트 Diffie-Hellman 프라임 모듈러스 그룹을 사용하도록 지정합니다.

  • group2- IKE가 새 Diffie-Hellman 교환을 수행할 때 1024비트 Diffie-Hellman 프라임 모듈러스 그룹을 사용하도록 지정합니다.

group2 은(는) 보다 group1더 많은 보안을 제공하지만 더 많은 처리 시간이 필요합니다.

또한보십시오

예: IPsec 정책 구성

다음 예는 IPsec 정책을 구성하는 방법을 보여줍니다.

메모:

현재 IPsec 제안 및 정책 구성에 대한 업데이트는 현재 IPsec SA에 적용되지 않습니다. 업데이트는 새 IPsec SA에 적용됩니다.

새 업데이트를 즉시 적용하려면 변경된 구성으로 다시 설정되도록 기존 IPsec 보안 연결을 지워야 합니다. 현재 IPsec 보안 연결을 지우는 방법에 대한 자세한 내용은 CLI 탐색기를 참조하십시오.

또한보십시오