- play_arrow 포트 보안
- play_arrow 포트 보안 개요
-
- play_arrow 디지털 인증서
- play_arrow 디지털 인증서 구성
- play_arrow SSH 및 SSL 라우터 액세스 구성
-
- play_arrow Trusted Platform Module
- play_arrow MACsec
- play_arrow MAC 제한 및 이동 제한
- play_arrow DHCP 보호
- play_arrow DHCPv4 및 DHCPv6
- play_arrow DHCP 스누핑
- play_arrow DHCP 옵션 82
- play_arrow DAI(Dynamic ARP Inspection)
-
- play_arrow IP Source Guard
- play_arrow IP Source Guard 이해
- play_arrow IP Source Guard의 예
- 예: 음성 VLAN과 인터페이스를 공유하는 데이터 VLAN에서 IP Source Guard 구성
- 예: 신뢰할 수 없는 액세스 인터페이스에 대한 주소 스푸핑 공격을 완화하기 위해 다른 EX 시리즈 스위치 기능과 함께 IP Source Guard 구성
- 예: IP 스푸핑 및 ARP 스푸핑으로부터 스위치를 보호하기 위한 IP 소스 가드 및 동적 ARP 검사 구성
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
- 소스 IP 주소 스푸핑 및 소스 MAC 주소 스푸핑의 영향을 완화하기 위한 IP Source Guard 구성
- 예: 지정된 브리지 도메인에서 IP 소스 가드 및 동적 ARP 검사를 구성하여 공격으로부터 디바이스 보호
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
-
- play_arrow IPv6 액세스 보안
- play_arrow Neighbor Discovery 프로토콜
- play_arrow SLAAC 스누핑
- play_arrow 라우터 광고 가드
-
- play_arrow 컨트롤 플레인 디도스(DDoS) 공격 방어 및 플로우 탐지
- play_arrow 컨트롤 플레인 DDoS 방어
- play_arrow 플로우 감지 및 원인 플로우
-
- play_arrow 유니캐스트 포워딩
- play_arrow 유니캐스트 역방향 경로 전달
- play_arrow 알 수 없는 유니캐스트 포워딩
-
- play_arrow 스톰 컨트롤
- play_arrow 스톰 컨트롤의 이해 및 사용
-
- play_arrow 멀웨어 차단
- play_arrow 주니퍼 멀웨어 제거 도구
-
- play_arrow 구성 명령문 및 작동 명령
ES PIC에 대한 IPsec 제안 구성
IPsec 제안은 원격 IPsec 피어와 협상할 프로토콜 및 알고리즘(보안 서비스)을 나열합니다.
IPsec 제안을 구성하고 속성을 정의하려면 계층 수준에서 다음 문을 [edit security ipsec]
포함합니다.
[edit security ipsec] proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description ; encryption-algorithm (3des-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); }
ES PIC에 대한 IPsec 제안을 구성하는 작업은 다음과 같습니다.
IPsec 제안을 위한 인증 알고리즘 구성
IPsec 인증 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다authentication-algorithm
.
[edit security ipsec proposal ipsec-proposal-name] authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
인증 알고리즘은 다음 중 하나일 수 있습니다.
hmac-md5-96
- 패킷 데이터를 인증하는 해시 알고리즘. 128비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.hmac-sha1-96
- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 다이제스트를 생성합니다. 인증에는 96비트만 사용됩니다.
IPsec 제안에 대한 설명 구성
IPsec 제안에 대한 설명을 지정하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다description
.
[edit security ike policy ipsec-proposal-name] description description;
IPsec 제안을 위한 암호화 알고리즘 구성
IPsec 암호화 알고리즘을 구성하려면 계층 수준에서 명령문을 [edit security ipsec proposal ipsec-proposal-name]
포함합니다encryption-algorithm
.
[edit security ipsec proposal ipsec-proposal-name ] encryption-algorithm (3des-cbc | des-cbc);
암호화 알고리즘은 다음 중 하나일 수 있습니다.
3des-cbc
- 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트입니다.des-cbc
- 블록 크기가 8바이트인 암호화 알고리즘. 키 크기는48비트 길이.
메모:3DES-CBC(Triple DES Cipher Block Chaining) 암호화 알고리즘을 사용하는 것이 좋습니다.
IPsec SA의 수명 구성
IPsec 수명 옵션은 IPsec SA의 수명을 설정합니다. IPsec SA가 만료되면 새로운 SA(및 SPI)로 대체되거나 종료됩니다. 새 SA에는 새 인증 및 암호화 키와 SPI가 있습니다. 그러나 제안이 변경되지 않으면 알고리즘은 동일하게 유지될 수 있습니다. 수명을 구성하지 않고 응답자가 수명을 전송하지 않으면 수명은 28,800초입니다.
IPsec 수명을 구성하려면 문을 포함하고 lifetime-seconds
계층 수준에서 초 수(180에서 86,400까지)를 [edit security ipsec proposal ipsec-proposal-name]
지정합니다.
[edit security ipsec proposal ipsec-proposal-name] lifetime-seconds seconds;
동적 SA가 생성되면 하드 및 소프트의 두 가지 유형의 수명이 사용됩니다. 하드 수명은 SA의 수명을 지정합니다. 하드 수명에서 파생되는 소프트 수명은 SA가 곧 만료될 것임을 IPsec 키 관리 시스템에 알립니다. 이를 통해 키 관리 시스템은 하드 수명이 만료되기 전에 새 SA를 협상할 수 있습니다. 수명을 지정할 때는 하드 수명을 지정합니다.
동적 IPsec SA를 위한 프로토콜 구성
문은 protocol
동적 SA에 대한 프로토콜을 설정합니다. ESP 프로토콜은 인증, 암호화 또는 둘 다를 지원할 수 있습니다. AH 프로토콜은 강력한 인증에 사용됩니다. AH는 IP 패킷도 인증합니다. 이 옵션은 AH 인증 및 ESP 암호화를 사용하며, AH가 bundle
IP 패킷에 대해 더 강력한 인증을 제공하기 때문에 ESP 인증을 사용하지 않습니다.
동적 SA에 대한 프로토콜을 구성하려면 계층 수준에서 명령문을 포함합니다protocol
.[edit security ipsec proposal ipsec-proposal-name]
[edit security ipsec proposal ipsec-proposal-name ] protocol (ah | esp | bundle);