Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 연결 구성

보안 연결 구성

첫 번째 IPsec 구성 단계는 IPsec 연결에 대한 SA(Security Association) 유형을 선택하는 것입니다. 수동 SA에 대한 모든 사양을 정적으로 구성해야 하지만 IKE 동적 SA를 구성할 때 일부 기본값을 사용할 수 있습니다. 보안 연결을 구성하려면 다음 섹션을 참조하십시오.

수동 SA 구성

ES PIC에서 계층 수준에서 수동 보안 연결을 [edit security ipsec security-association name] 구성합니다. 인증, 암호화, 방향, 모드, 프로토콜 및 SPI에 대한 선택을 포함합니다. 이러한 선택은 원격 IPsec 게이트웨이에서 동일한 방식으로 구성되어야 합니다.

AS 및 MultiServices PIC에서 [edit services ipsec-vpn rule rule-name] 계층 수준에서 수동 보안 연결을 구성합니다. 인증, 암호화, 방향, 프로토콜 및 SPI에 대한 선택을 포함합니다. 이러한 선택은 원격 IPsec 게이트웨이에서 동일한 방식으로 구성되어야 합니다.

IKE 동적 SA 구성

ES PIC에서는 계층 [edit security ipsec] 및 계층 수준에서 IKE 동적 SA를 [edit security ike] 구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE 모드 및 사전 공유 키 옵션을 포함하는 IKE 정책 및 제안 옵션을 포함합니다. IKE 정책은 IPsec 터널의 원격 엔드의 IP 주소를 정책 이름으로 사용해야 합니다. 또한 IPsec 정책 및 제안 옵션(인증, 암호화, 프로토콜, PFS(Perfect Forward Secrecy), IPsec 모드 옵션을 포함합니다. 이러한 선택은 원격 IPsec 게이트웨이에서 동일한 방식으로 구성되어야 합니다.

AS 및 MultiServices PIC에서 [edit services ipsec-vpn ike][edit services ipsec-vpn ipsec], 및 [edit services ipsec-vpn rule rule-name] 계층 수준에서 IKE 동적 보안 연결을 구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE 모드 및 사전 공유 키 옵션을 포함하는 IKE 정책 및 제안 옵션을 포함합니다. 또한 인증, 암호화, 프로토콜, PFS 및 IPsec 모드 옵션을 포함하는 IPsec 정책 및 제안 옵션도 포함됩니다. 이러한 선택은 원격 IPsec 게이트웨이에서 동일한 방식으로 구성되어야 합니다.

AS 및 MultiServices PIC에 대한 IKE 및 IPsec 정책 및 제안서를 명시적으로 구성하지 않기로 선택한 경우 구성이 기본적으로 일부 사전 설정된 값으로 설정됩니다. 이러한 기본 값은 표 1에 표시되어 있습니다.

표 1: AS 및 MultiServices PIC에 대한 IKE 및 IPsec 제안 및 정책 기본값

IKE 정책 성명서

기본값

모드

주요

제안

기본

IKE 제안서 성명서

기본값

인증 알고리즘

sha1

인증 방법

사전 공유 키

dh-group

group2

암호화 알고리즘

3des-cbc

수명 초

3600(초)

IPsec 정책 성명서

기본값

PFS(perfect-forward-secrecy) 키

group2

제안

기본

IPsec 제안서 성명서

기본값

인증 알고리즘

hmac-sha1-96

암호화 알고리즘

3des-cbc

수명 초

28800 (초)

프로토콜

Esp

참고:

AS 및 MultiServices PIC에 사전 설정된 기본 IKE 및 IPsec 정책 및 제안 값을 사용하는 경우 IKE 정책을 명시적으로 구성하고 사전 공유 키를 포함해야 합니다. 이는 사전 공유 키 인증 방법이 기본 IKE 제안의 사전 설정 값 중 하나이기 때문입니다.

참고:

Junos OS 릴리스 14.2부터 시작하여 주니퍼 네트웍스 MX 시리즈 라우터가 Cisco ASA 장치와 상호 운용되는 환경에서 IKE 보안 연결(SA) 및 IPsec SA가 Cisco ASA 장치에서 즉시 삭제되지만 MX 시리즈 라우터에 보관됩니다. 그 결과, MX 시리즈 라우터 또는 Cisco ASA 장치에서 트래픽이 시작될 때 MX 라우터에서 100% 트래픽 손실이 발생합니다. 이러한 과도한 트래픽 손실 문제는 서비스 PIC가 MX 시리즈 라우터에서 다시 시작되고, MX 시리즈 라우터에서 라인 카드가 재시작되거나, Cisco ASA 장치에서 종료/무 종료 명령 시퀀스 또는 속도 설정 변경이 수행될 때 발생합니다. 이러한 구축 환경에서 IKE 및 IPsec SA가 유지되는 문제를 방지하기 위해서는 각각 IPsec 및 clear ike security-associations IKE SA를 입력하여 clear ipsec security-associations 수동으로 삭제해야 합니다.

값을 수동으로 구성하기로 결정한 경우 다음 정보는 AS 및 MultiServices PIC의 동적 IKE SA에 대한 전체 명령문 계층 및 옵션을 보여줍니다.

릴리스 히스토리 테이블
릴리스
설명
14.2
Junos OS 릴리스 14.2부터 시작하여 주니퍼 네트웍스 MX 시리즈 라우터가 Cisco ASA 장치와 상호 운용되는 환경에서 IKE 보안 연결(SA) 및 IPsec SA가 Cisco ASA 장치에서 즉시 삭제되지만 MX 시리즈 라우터에 보관됩니다.