Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

원격 액세스 VPN 생성—주니퍼 시큐어 커넥트(Juniper Secure Connect)

여기 있습니다. 네트워크 > VPN > IPsec VPN.

Juniper Secure Connect는 네트워크 리소스에 안전한 연결을 제공하는 주니퍼의 클라이언트 기반 SSL-VPN 솔루션입니다.

Juniper Secure Connect는 사용자가 인터넷을 사용하여 원격으로 기업 네트워크 및 리소스에 연결할 수 있도록 안전한 원격 액세스를 제공합니다. Juniper Secure Connect는 SRX 서비스 디바이스에서 구성을 다운로드하고 연결 설정 중에 가장 효과적인 전송 프로토콜을 선택하여 뛰어난 관리자 및 사용자 경험을 제공합니다.

주니퍼 시큐어 연결을 위한 원격 액세스 VPN을 생성하려면 다음을 수행합니다.

  1. IPsec VPN 페이지의 우측 상단에서 VPN > 원격 액세스 > Juniper Secure Connect를 선택합니다.

    원격 액세스 생성(Juniper Secure Connect) 페이지가 나타납니다.

  2. 표 1에서 표 6까지의 지침에 따라 구성을 완료합니다.

    VPN 연결은 토폴로지에서 회색에서 파란색 선으로 변경되어 구성이 완료된 것을 보여줍니다.

  3. 자동 정책 생성 옵션을 선택한 경우 Save 를 클릭하여 Secure Connect VPN Configuration 및 관련 정책을 완성합니다.

    변경 사항을 삭제하려면 취소를 클릭합니다.

표 1: 원격 액세스 생성(Juniper Secure Connect) 페이지의 필드

필드

작업

이름

원격 액세스 연결의 이름을 입력합니다. 이 이름은 Juniper Secure Connect Client의 최종 사용자 영역 이름으로 표시됩니다.

설명

설명을 입력합니다. 이 설명은 IKE 및 IPsec 제안, 정책, 원격 액세스 프로파일, 클라이언트 구성 및 NAT 규칙 집합에 사용됩니다.

편집 중에 IPsec 정책 설명이 표시됩니다. IPsec 정책 및 원격 액세스 프로파일 설명이 업데이트됩니다.

라우팅 모드

이 옵션은 원격 액세스를 위해 비활성화됩니다.

기본 모드는 Traffic Selector(Auto Route Insertion)입니다.

인증 방법

장비가 IKE(Internet Key Exchange) 메시지의 출처를 인증하기 위해 사용하는 목록에서 인증 방법을 선택합니다.

  • 사전 공유 키(기본 방법)—두 피어 간에 공유되는 암호 키인 사전 공유 키가 인증 중에 서로 피어를 식별하는 데 사용되는지 지정합니다. 각 피어에 대해 동일한 키를 구성해야 합니다. 이것이 기본 방법입니다.

  • 인증서 기반—인증서 소유자의 ID를 확인하는 인증서인 디지털 서명 유형을 지정합니다.

    지원되는 서명은 rsa 서명입니다. rsa 서명은 암호화 및 디지털 서명을 지원하는 공용 키 알고리즘이 사용되도록 지정합니다.

방화벽 정책 자동 생성

Yes를 선택한 경우, 방화벽 정책은 소스 주소로 로컬 보호 네트워크를 가진 내부 존과 터널 인터페이스 존 사이에 자동으로 생성되고 원격 보호 네트워크는 대상 주소로 지정됩니다.

또 다른 방화벽 정책이 비자(visa-versa)로 생성됩니다.

아니오를 선택한 경우 방화벽 정책 옵션이 없습니다. VPN을 작동하려면 필요한 방화벽 정책을 수동으로 생성해야 합니다.

참고:

VPN 워크플로우에서 방화벽 정책을 자동 생성하지 않으려면 보호된 네트워크는 로컬 및 원격 게이트웨이 모두에서 동적 라우팅을 위해 숨겨집니다.

원격 사용자

토폴로지에서 원격 사용자 아이콘을 표시합니다. 아이콘을 클릭하여 Juniper Secure Connect 클라이언트 설정을 구성합니다.

필드에 대한 자세한 내용은 표 2를 참조하십시오.

참고:

J-Web UI는 로컬 게이트웨이가 구성되면 원격 사용자의 URL을 표시합니다.

로컬 게이트웨이

토폴로지에서 로컬 게이트웨이 아이콘을 표시합니다. 아이콘을 클릭하여 로컬 게이트웨이 구성

필드에 대한 자세한 내용은 표 3을 참조하십시오.

IKE 및 IPsec 설정

권장 알고리즘 또는 값으로 사용자 지정 IKE 또는 IPsec 제안 및 사용자 지정 IPsec 제안을 구성합니다.

필드에 대한 자세한 내용은 표 6을 참조하십시오.

참고:

  • J-Web은 하나의 맞춤형 IKE 제안만 지원하며 사전 정의된 제안 세트를 지원하지 않습니다. 편집 및 저장이 완료되면 J-Web은 구성된 경우 미리 정의된 제안서 집합을 삭제합니다.

  • VPN 터널의 원격 게이트웨이에서 동일한 맞춤형 제안 및 정책을 구성해야 합니다.

  • J-Web은 두 개 이상의 맞춤형 제안서가 구성되면 첫 번째 맞춤형 IKE 및 IPsec 제안서를 편집하고 나타낸다.
표 2: 원격 사용자 페이지의 필드

필드

작업

기본 프로파일

이 옵션을 사용하여 구성된 VPN 이름을 원격 액세스 기본 프로파일로 사용합니다.

참고:

  • 기본 프로파일을 구성한 경우에는 이 옵션을 사용할 수 없습니다.

  • 기본 프로필을 활성화해야 합니다. 활성화되지 않은 경우 VPN > IPsec VPN > Global Settings > Remote Access VPN에서 기본 프로파일을 구성합니다.

연결 모드

목록에서 다음 옵션 중 하나를 선택하여 Juniper Secure Connect 클라이언트 연결을 구축합니다.

  • 수동 설정—로그인할 때마다 VPN 터널에 수동으로 연결해야 합니다.

  • 시—로그인할 때마다 자동으로 VPN 터널에 연결됩니다.

기본 연결 모드는 수동 모드입니다.

SSL VPN

Juniper Secure Connect Client에서 SRX 시리즈 장치로 SSL VPN 연결을 설정하는 이 옵션을 사용합니다.

기본적으로 이 옵션은 활성화됩니다.

참고:

IPsec 포트에 연결할 수 없는 경우 대체 옵션입니다.

생체 인식 인증

고유하게 구성된 방법을 사용하여 클라이언트 시스템을 인증하려면 이 옵션을 사용합니다.

클라이언트 시스템에 연결할 때 인증 프롬프트가 표시됩니다. VPN 연결은 Windows Hello (지문 인식, 얼굴 인식, PIN 입력 등)로 구성된 방법을 통해 인증에 성공한 후에만 시작됩니다.

Biometric 인증 옵션이 활성화된 경우 Windows Hello는 클라이언트 시스템에서 사전 구성되어야 합니다.

죽은 피어 감지

Juniper Secure Connect 클라이언트가 SRX 시리즈 디바이스에 도달할 수 있는지 감지할 수 있도록 DPD(Dead Peer Detection) 옵션을 활성화합니다.

SRX 시리즈 디바이스 연결 연결 가능성이 복원될 때까지 Juniper Secure Connect 클라이언트가 탐지하도록 허용하려면 이 옵션을 비활성화합니다.

이 옵션은 기본적으로 활성화됩니다.

DPD 간격

DPD(Dead-Peer-Detection) 요청 패킷을 전송하기 전에 피어가 대상 피어에서 트래픽을 대기하는 시간을 입력합니다. 범위는 2~60초, 기본 범위는 60초입니다.

DPD 임계값

피어를 사용할 수 없는 것으로 간주되기 전에 전송할 최대 성공하지 못한 DPD(Dead Peer Detection) 요청을 입력합니다. 범위는 1에서 5이고 기본 범위는 5입니다.

인증서

Secure Client Connect에서 인증서 옵션을 구성할 수 있도록 인증서를 활성화합니다.

참고:

이 옵션은 Certificate Based 인증 방법을 선택한 경우에만 사용할 수 있습니다.

만료 경고

이 옵션을 사용하여 Secure Connect Client에 인증서 만료 경고를 표시합니다.

이 옵션은 기본적으로 활성화됩니다.

참고:

이 옵션은 인증서를 활성화한 경우에만 사용할 수 있습니다.

경고 간격

경고가 표시될 간격(일)을 입력합니다.

범위는 1 ~ 90입니다. 기본값은 60입니다.

참고:

이 옵션은 인증서를 활성화한 경우에만 사용할 수 있습니다.

연결당 Pin Req

이 옵션을 사용하여 매우 연결에 인증서 핀을 입력합니다.

이 옵션은 기본적으로 활성화됩니다.

참고:

이 옵션은 인증서를 활성화한 경우에만 사용할 수 있습니다.

EAP-TLS

인증 프로세스에 이 옵션을 사용합니다. IKEv2는 사용자 인증을 위해 EAP를 요구합니다. SRX 시리즈 디바이스는 EAP 서버로 작동할 수 없습니다. EAP 인증을 수행하려면 외부 RADIUS 서버를 IKEv2 EAP에 사용해야 합니다. SRX는 Juniper Secure Connect 클라이언트와 RADIUS 서버 간의 EAP 메시지를 중계하는 패스스루 인증자 역할을 합니다.

이 옵션은 기본적으로 활성화됩니다.

참고:

이 옵션은 Certificate Based 인증 방법을 선택한 경우에만 사용할 수 있습니다.

Windows 로그온

이 옵션을 사용하면 Windows 시스템에 로그온하기 전에 Windows 도메인에 안전하게 로그온할 수 있습니다. 클라이언트는 회사 네트워크에 VPN 연결을 구축한 후 자격 증명 서비스 프로바이더를 사용하여 도메인 로그온을 지원합니다.

도메인 이름

Users Machine이 로그하는 시스템 도메인 이름을 입력합니다.

모드

목록에서 Windows 도메인에 로그온할 옵션 중 하나를 선택합니다.

  • 수동—Windows 로그온 화면에 로그온 데이터를 수동으로 입력해야 합니다.

  • 자동—클라이언트 소프트웨어는 여기에 입력된 데이터를 사용자의 조치 없이 Microsoft 로그온 인터페이스(자격 증명 프로바이더)로 전송합니다.

로그오프에서의 연결 해제

시스템이 최대 절전 모드 또는 대기 모드로 전환할 때 이 옵션을 사용하여 연결을 종료합니다. 시스템이 최대 절전 모드 또는 대기 모드에서 재개되면 연결을 다시 설정해야 합니다.

로그오프 시 플러시 자격 증명

캐시에서 사용자 이름과 암호를 삭제하려면 이 옵션을 활성화합니다. 사용자 이름과 암호를 다시 입력해야 합니다.

리드 시간 지속 시간

리드 시간 지속 시간을 입력하여 네트워크 로그온과 도메인 로그온 간의 시간을 초기화합니다.

연결이 설정되면 Windows 로그온은 여기에 설정된 초기화 시간이 경과한 후에만 실행됩니다.

EAP 인증

자격 제공업체에서 대상 대화 상자 이전에 EAP 인증을 실행하도록 이 옵션을 사용합니다. 그런 다음 시스템은 후속 다이얼 인에 EAP가 필요한지 여부에 관계없이 필요한 PIN을 요청합니다.

이 옵션이 비활성화되면 대상 선택 이후 EAP 인증이 실행됩니다.

자동 대화 상자 열기

이 옵션을 사용하여 원격 도메인에 대한 연결 설정에 대해 대화 상자가 자동으로 열려야 하는지 여부를 선택합니다.

이 옵션이 비활성화되면 클라이언트의 암호와 PIN은 Windows 로그온 후에만 쿼리됩니다.
표 3: 로컬 게이트웨이 페이지의 필드

필드

작업

NAT 뒤에 있는 게이트웨이

로컬 게이트웨이가 NAT 디바이스 뒤에 있는 경우 이 옵션을 활성화합니다.

NAT IP 주소

SRX 시리즈 디바이스의 공용(NAT) IP 주소를 입력합니다.

참고:

이 옵션은 게이트웨이가 NAT를 사용할 수 있는 경우에만 사용할 수 있습니다. NAT 디바이스를 참조하도록 IPv4 주소를 구성할 수 있습니다.

IKE ID

이 필드는 필수입니다. user@example.com 형식으로 IKE ID를 입력합니다.

외부 인터페이스

클라이언트가 연결할 목록에서 나가는 인터페이스를 선택합니다.

이 목록에는 두 개 이상의 IPv4 주소가 지정된 인터페이스로 구성된 경우 사용 가능한 모든 IP 주소가 포함됩니다. 선택한 IP 주소는 IKE 게이트웨이에서 로컬 주소로 구성됩니다.

터널 인터페이스

클라이언트에 연결할 인터페이스를 목록에서 선택합니다.

Add를 클릭하여 새 인터페이스 추가 Create Tunnel Interface 페이지가 나타납니다. 새로운 터널 인터페이스 생성에 대한 자세한 내용은 표 4를 참조하십시오.

Edit를 클릭하여 선택한 터널 인터페이스를 편집합니다.

사전 공유 키

사전 공유 키의 다음 값 중 하나를 입력합니다.

  • ascii-text—ASCII 텍스트 키.

  • 16진수—16진수 키입니다.

참고:

인증 방법이 Pre-shared Key인 경우 이 옵션을 사용할 수 있습니다.

로컬 인증서

목록에서 로컬 인증서를 선택합니다.

로컬 인증서는 RSA 인증서만 나열합니다.

인증서를 추가하려면 Add를 클릭합니다. 장비 인증서 추가에 대한 자세한 내용은 디바이스 인증서 추가를 참조하십시오.

인증서를 임포트하려면 가져오기를 클릭합니다. 장비 인증서 임포트에 대한 자세한 내용은 장비 인증서 가져오기를 참조하십시오.

참고:

인증 방법이 Certificated Based인 경우 이 옵션을 사용할 수 있습니다.

신뢰할 수 있는 CA/그룹

목록에서 신뢰할 수 있는 Certificate Authority/group profile을 선택합니다.

CA 프로파일을 추가하려면 CA 프로파일 추가를 클릭합니다. CA 프로필 추가에 대한 자세한 내용은 Certificate Authority Profile 추가를 참조하십시오.

참고:

인증 방법이 Certificated Based인 경우 이 옵션을 사용할 수 있습니다.

사용자 인증

이 필드는 필수입니다. 원격 액세스 VPN에 액세스하는 사용자를 인증하는 데 사용할 목록에서 인증 프로필을 선택합니다.

Add를 클릭하여 새 프로파일 생성 새 액세스 프로필 생성에 대한 자세한 내용은 액세스 프로파일 추가를 참조하십시오.

SSL VPN 프로필

원격 액세스 연결을 종료하는 데 사용할 목록에서 SSL VPN 프로파일을 선택합니다.

새로운 SSL VPN 프로필을 생성하려면 다음을 수행합니다.

  1. Add를 클릭합니다.

  2. 다음 세부 정보를 입력합니다.

    • 이름—SSL VPN 프로필의 이름을 입력합니다.

    • 로깅—이 옵션을 사용하여 SSL VPN에 로그인합니다.

    • SSL 종료 프로파일—목록에서 SSL 종료 프로파일을 선택합니다.

      새로운 SSL 종료 프로파일을 추가하려면 다음을 수행합니다.

      1. Add를 클릭합니다.

        SSL 종료 프로파일 만들기 페이지가 나타납니다.

      2. 다음 세부 정보를 입력합니다.

        • 이름—SSL 종료 프로파일의 이름을 입력합니다.

        • 서버 인증서—목록에서 서버 증명서를 선택합니다.

          인증서를 추가하려면 Add를 클릭합니다. 장비 인증서 추가에 대한 자세한 내용은 디바이스 인증서 추가를 참조하십시오.

          인증서를 임포트하려면 가져오기를 클릭합니다. 장비 인증서 임포트에 대한 자세한 내용은 장비 인증서 가져오기를 참조하십시오.

        • OK를 클릭합니다.

      3. OK를 클릭합니다.

  3. OK를 클릭합니다.

소스 NAT 트래픽

이 옵션은 기본적으로 활성화됩니다.

Juniper Secure Connect 클라이언트의 모든 트래픽은 기본적으로 선택된 인터페이스로 NATed됩니다.

비활성화된 경우 반환 트래픽을 올바르게 처리하기 위해 네트워크에서 SRX 시리즈 디바이스를 가리키는 경로가 있는지 확인해야 합니다.

인터페이스

소스 NAT 트래픽이 통과하는 목록에서 인터페이스를 선택합니다.

보호되는 네트워크

+를 클릭합니다. 보호된 네트워크 생성 페이지가 나타납니다.
보호되는 네트워크 생성

영역

방화벽 정책에서 소스 존으로 사용될 목록에서 보안 존을 선택합니다.

글로벌 주소

사용 가능한 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택한 열로 이동합니다.

Add를 클릭하여 클라이언트가 연결할 수 있는 네트워크를 선택합니다.

Create Global Address 페이지가 나타납니다. 필드에 대한 자세한 내용은 표 5를 참조하십시오.

편집

편집할 보호 네트워크를 선택하고 연필 아이콘을 클릭합니다.

Edit Protected Networks 페이지에는 편집 가능한 필드가 표시되어 있습니다.

삭제

편집할 보호 네트워크를 선택하고 삭제 아이콘을 클릭합니다.

확인 메시지가 나타납니다.

Yes를 클릭하여 보호된 네트워크를 삭제합니다.
표 4: 터널 인터페이스 만들기 페이지의 필드

필드

작업

인터페이스 유닛

논리적 단위 번호를 입력합니다.

설명

논리적 인터페이스에 대한 설명을 입력합니다.

영역

목록에서 존을 선택하여 터널 인터페이스에 추가합니다.

이 존은 방화벽 정책의 자동 생성에 사용됩니다.

Add를 클릭하여 새 존 추가 존 이름과 설명을 입력하고 보안 존 생성 페이지에서 OK를 클릭합니다.

라우팅 인스턴스

목록에서 라우팅 인스턴스를 선택합니다.

참고:

기본 라우팅 인스턴스인 기본은 논리적 시스템의 기본 inet.0 라우팅 테이블을 말합니다.
표 5: Create Global Address Page의 필드

필드

작업

이름

전역 주소의 이름을 입력합니다. 이름은 영숫자 문자로 시작해야 하며 콜론, 마침표, 대시 및 밑줄을 포함할 수 있는 고유 문자열이어야 합니다. 허용된 공간 없음, 최대 63자.

IP 유형

IPv4를 선택합니다.
IPv4

IPv4 주소

유효한 IPv4 주소를 입력합니다.

서브넷

IPv4 주소용 서브넷을 입력합니다.
표 6: IKE 및 IPsec 설정

필드

작업
IKE 설정
참고:

다음 매개 변수는 자동으로 생성되며 J-Web UI에 표시되지 않습니다.

  • 인증 방법이 사전 공유 키인 경우 IKE 버전이 v1이고 ike 사용자 유형이 shared-ike-id이고 모드가 공격적입니다.

  • 인증 방법이 Certificate Based인 경우 IKE 버전은 v2이고 ike-user-type은 shared-ike-id이고 모드는 Main입니다.

암호화 알고리즘

목록에서 적절한 암호화 메커니즘을 선택합니다.

기본값은 AES-CBC 256-bit입니다.

인증 알고리즘

목록에서 인증 알고리즘을 선택합니다. 예를 들어 SHA 256-bit를 예로 들면,

DH 그룹

DH(Diffie-Hellman) 교환을 통해 참가자들은 공유 비밀 가치를 창출할 수 있습니다. 목록에서 적합한 DH 그룹을 선택합니다. 기본값은 group19입니다.

수명 초

IKE SA(Security Association)의 수명 지속 시간(초)을 선택합니다.

기본값은 28,800초입니다. 범위: 180 ~ 86,400 초.

죽은 피어 감지

피어로 전송되는 IPsec 트래픽이 있는지 여부에 관계없이 이 옵션을 사용하여 죽은 피어 감지 요청을 보냅니다.

DPD 모드

목록에서 옵션 중 하나를 선택합니다.

  • 최적화—송신 트래픽이 있고 수신 데이터 트래픽이 없는 경우에만 프로브 전송 - RFC3706(기본 모드).

  • 프로브 유휴 터널—최적화된 모드에서와 동일한 프로브를 전송하며, 송신 및 수신 데이터 트래픽이 없을 때도 전송합니다.

  • always-send—수신 및 송신 데이터 트래픽에 관계없이 프로브를 주기적으로 전송합니다.

DPD 간격

간격(초)을 선택하여 죽은 피어 탐지 메시지를 보냅니다. 기본 간격은 10초입니다. 범위는 2~60초입니다.

DPD 임계값

1에서 5까지의 번호를 선택하여 장애 DPD 임계값을 설정합니다.

이는 피어의 응답이 없을 때 DPD 메시지를 보내야 하는 최대 횟수를 지정합니다. 기본 전송 수는 5배입니다.
고급 구성(옵션)

NAT-T

IPsec 트래픽이 NAT 디바이스를 통과할 수 있도록 이 옵션을 활성화합니다.

NAT-T는 SRX 시리즈 디바이스 앞에 NAT 디바이스가 있는 두 게이트웨이 디바이스 간에 VPN 연결을 설정하려고 할 때 사용되는 IKE 단계 1 알고리즘입니다.

NAT의 지속적인 유지

몇 초만에 적절한 유지 간격을 선택합니다. 범위: 1 ~ 300.

VPN이 대규모 비활성 상태인 것으로 예상되는 경우, NAT 디바이스에서 세션을 활성 상태로 유지하기 위해 인공 트래픽을 생성하도록 유지 값을 구성할 수 있습니다.

IKE 연결 제한

VPN 프로필이 지원하는 동시 연결의 수를 입력합니다.

범위는 1에서 4294967295.

최대 연결 수에 도달하면 IPsec VPN에 액세스를 시도하는 더 이상 원격 액세스 사용자(VPN) 단말 장치는 IKE(Internet Key Exchange) 협상을 시작할 수 없습니다.

IKEv2 단편화

이 옵션은 기본적으로 활성화됩니다. IKEv2 단편화는 대형 IKEv2 메시지를 작은 메시지 집합으로 분할하여 IP 수준에서 단편화가 없도록 합니다. 단편화는 원래 메시지가 암호화되고 인증되기 전에 이루어지므로 각 패킷 조각은 별도로 암호화되고 인증됩니다.

참고:

인증 방법이 Certificated Based인 경우 이 옵션을 사용할 수 있습니다.

IKEv2 패킷 조각 크기

패킷 조각으로 분할되기 전에 IKEv2 메시지의 최대 크기(바이트 단위)를 선택합니다.

크기는 IPv4 메시지에 적용됩니다. 범위: 570 ~ 1320 바이트.

기본값은 576바이트입니다.

참고:

인증 방법이 Certificated Based인 경우 이 옵션을 사용할 수 있습니다.
IPsec 설정
참고:

인증 방법은 사전 공유 키 또는 인증서 기반이며, 자동으로 ESP로 프로토콜을 생성합니다.

암호화 알고리즘

암호화 방법을 선택합니다. 기본값은 AES-GCM 256비트입니다.

인증 알고리즘

목록에서 IPsec 인증 알고리즘을 선택합니다. 예를 들어 HMAC-SHA-256-128을 예로 들면,

참고:

이 옵션은 암호화 알고리즘이 gcm이 아닌 경우 사용할 수 있습니다.

PFS(Perfect Forward Secrecy)

목록에서 PFS(Perfect Forward Secrecy)를 선택합니다. 디바이스는 이 방법을 사용하여 암호화 키를 생성합니다. 기본값은 group19입니다.

PFS는 이전 키와 독립적으로 각각의 새로운 암호화 키를 생성합니다. 그룹 수가 많을수록 보안이 강화되지만 처리 시간이 더 필요합니다.

참고:

group15, group16 및 group21은 SPC3 카드와 junos-ike 패키지가 설치된 SRX5000 장치 라인만 지원합니다.

수명 초

IPsec 보안 연결(SA)의 수명(초 단위)을 선택합니다. SA가 만료되면 새 SA 및 SPI(Security 매개 변수 인덱스)로 대체되거나 종료됩니다. 기본값은 3,600초입니다. 범위: 180 ~ 86,400 초.

수명 킬로바이트

IPsec SA의 수명(킬로바이트)을 선택합니다. 기본값은 256kb입니다. 범위: 64 ~ 4294967294.
고급 구성

리플레이 차단

IPsec은 IPsec 패킷에 내장된 일련의 숫자를 사용함으로써 VPN 공격으로부터 보호합니다. 시스템은 동일한 시퀀스 번호가 있는 패킷을 허용하지 않습니다.

이 옵션은 기본적으로 활성화됩니다. 단순히 시퀀스 번호를 무시하는 것이 아니라 시퀀스 번호를 검사하고 검사를 적용합니다.

IPsec 메커니즘에 오류가 발생하면 순서가 벗어난 패킷이 발생해 적절한 기능을 방지하는 경우 재생 금지

설치 간격

장비에 재키드 아웃바운드 보안 연결(SA)을 설치할 수 있도록 최대 초 수를 선택합니다. 1~10초의 값을 선택합니다.

유휴 시간

유휴 시간 간격을 선택합니다. 트래픽이 수신되지 않을 경우 해당 세션과 해당 변환은 일정 기간 후에 타임 아웃됩니다. 범위는 60~999999 초입니다.

DF 비트

디바이스가 외부 헤더에서 DF(Don't Fragment) 비트를 처리하는 방법을 선택합니다.

  • clear—외부 헤더에서 DF 비트를 지우기(비활성화)합니다. 기본값입니다.

  • 카피—DF 비트를 외부 헤더에 복사합니다.

  • set—외부 헤더에서 DF 비트를 설정(활성화)합니다.

외부 DSCP 복사

이 옵션은 기본적으로 활성화됩니다. 이를 통해 복호화 경로에서 외부 IP 헤더 암호화 패킷에서 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point)(DSCP)(외부 DSCP+ECN)를 복사할 수 있습니다. 이 기능을 활성화하면 IPsec 암호 해독 후에 지우는 텍스트 패킷이 내부 CoS(DSCP+ECN) 규칙을 따를 수 있습니다.

관련 설명서