Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

보안 연결 구성

보안 연결 구성

첫 번째 IPsec 구성 단계는 IPsec 연결에 대한 SA(보안 연결) 유형을 선택하는 것입니다. 수동 SA에 대한 모든 사양을 정적으로 구성해야 하지만 IKE(Internet Key Exchange) 동적 SA를 구성할 때 일부 기본값을 사용할 수 있습니다. 보안 연결을 구성하려면 다음 섹션을 참조하십시오.

수동 SA 구성

ES PIC에서는 계층 수준에서 수동 보안 연결을 [edit security ipsec security-association name] 구성합니다. 인증, 암호화, 방향, 모드, 프로토콜 및 SPI에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.

AS 및 MultiServices PIC에서는 계층 수준에서 수동 보안 연결을 [edit services ipsec-vpn rule rule-name] 구성합니다. 인증, 암호화, 방향, 프로토콜 및 SPI에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.

IKE(Internet Key Exchange) 동적 SA 구성

ES PIC에서는 및 [edit security ipsec] 계층 수준에서 IKE(Internet Key Exchange) 동적 SA를 [edit security ike] 구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE(Internet Key Exchange) 모드 및 사전 공유 키에 대한 옵션을 포함하는 IKE(Internet Key Exchange) 정책 및 제안에 대한 선택 사항을 포함합니다. IKE(Internet Key Exchange) 정책은 IPsec 터널 원격 끝의 IP 주소를 정책 이름으로 사용해야 합니다. 또한 인증, 암호화, 프로토콜, PFS(Perfect Forward Secrecy) 및 IPsec 모드에 대한 옵션을 포함하는 IPsec 정책 및 제안에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.

AS 및 MultiServices PIC에서는 , [edit services ipsec-vpn ipsec]및 계층 수준에서 IKE(Internet Key Exchange) 동적 [edit services ipsec-vpn rule rule-name] 보안 연결을 [edit services ipsec-vpn ike]구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE(Internet Key Exchange) 모드 및 사전 공유 키에 대한 옵션을 포함하는 IKE(Internet Key Exchange) 정책 및 제안에 대한 선택 사항을 포함합니다. 또한 인증, 암호화, 프로토콜, PFS 및 IPsec 모드에 대한 옵션을 포함하는 IPsec 정책 및 제안에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.

AS 및 멀티서비스 PIC에서 IKE(Internet Key Exchange) 및 IPsec 정책과 제안을 명시적으로 구성하지 않기로 선택한 경우, 구성은 일부 사전 설정된 값으로 기본 설정될 수 있습니다. 이러한 기본값은 표 1에 표시되어 있습니다.

표 1: AS 및 멀티서비스 PIC에 대한 IKE(Internet Key Exchange) 및 IPsec 제안 및 정책 기본값

IKE(Internet Key Exchange) 정책 성명

기본값

모드

주요한

제안

기본값
IKE(Internet Key Exchange) 제안 성명서

기본값

인증 알고리즘

샤1

인증 방법

사전 공유 키

DH 그룹

그룹2

암호화 알고리즘

3DES-CBC

수명-초

3600(초)
IPsec 정책 문

기본값

PFS(Perfect Forward-Secrecy) 키

그룹2

제안

기본값
IPsec 제안 문

기본값

인증 알고리즘

HMAC-SHA1-96

암호화 알고리즘

3DES-CBC

수명-초

28800 (초)

프로토콜

특히
메모:

AS 및 MultiServices PIC에 사전 설정된 기본 IKE 및 IPsec 정책과 제안 값을 사용하는 경우 IKE(Internet Key Exchange) 정책을 명시적으로 구성하고 사전 공유 키를 포함해야 합니다. 이는 사전 공유 키 인증 방법이 기본 IKE(Internet Key Exchange) 제안의 사전 설정된 값 중 하나이기 때문입니다.
메모:

Junos OS 릴리스 14.2부터 주니퍼 네트웍스 MX 시리즈 라우터가 Cisco ASA 디바이스와 상호 운용되는 환경에서 IKE 보안 연결(SA) 및 IPsec SA는 Cisco ASA 디바이스에서 즉시 삭제되지만 MX 시리즈 라우터에는 유지됩니다. 따라서 MX 시리즈 라우터 또는 Cisco ASA 디바이스에서 트래픽이 시작될 때 MX 라우터에서 100% 트래픽 손실이 발생합니다. MX 시리즈 라우터에서 서비스 PIC가 다시 시작되거나, MX 시리즈 라우터에서 라인 카드가 다시 시작되거나, Cisco ASA 디바이스에서 종료/종료 없음 명령 시퀀스 또는 속도 설정 변경이 수행될 때 이러한 과도한 트래픽 손실 문제가 발생합니다. 이러한 구축에서 IKE 및 IPsec SA가 보존되는 이러한 문제를 방지하려면 및 clear ike security-associations 명령을 각각 입력하여 clear ipsec security-associations IPsec 및 IKE SA를 수동으로 삭제해야 합니다.

값을 수동으로 구성하기로 결정한 경우, 다음 정보는 AS 및 멀티서비스 PIC의 동적 IKE(Internet Key Exchange) SA에 대한 전체 문 계층 및 옵션을 보여줍니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
14.2
Junos OS 릴리스 14.2부터 주니퍼 네트웍스 MX 시리즈 라우터가 Cisco ASA 디바이스와 상호 운용되는 환경에서 IKE 보안 연결(SA) 및 IPsec SA는 Cisco ASA 디바이스에서 즉시 삭제되지만 MX 시리즈 라우터에는 유지됩니다.