보안 연결 구성
보안 연결 구성
첫 번째 IPsec 구성 단계는 IPsec 연결에 대한 SA(보안 연결) 유형을 선택하는 것입니다. 수동 SA에 대한 모든 사양을 정적으로 구성해야 하지만 IKE(Internet Key Exchange) 동적 SA를 구성할 때 일부 기본값을 사용할 수 있습니다. 보안 연결을 구성하려면 다음 섹션을 참조하십시오.
수동 SA 구성
ES PIC에서는 계층 수준에서 수동 보안 연결을 [edit security ipsec security-association name]
구성합니다. 인증, 암호화, 방향, 모드, 프로토콜 및 SPI에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.
[edit security] ipsec { security-association sa-name { description description; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi; encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } } mode (tunnel | transport); } }
AS 및 MultiServices PIC에서는 계층 수준에서 수동 보안 연결을 [edit services ipsec-vpn rule rule-name]
구성합니다. 인증, 암호화, 방향, 프로토콜 및 SPI에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }
IKE(Internet Key Exchange) 동적 SA 구성
ES PIC에서는 및 [edit security ipsec]
계층 수준에서 IKE(Internet Key Exchange) 동적 SA를 [edit security ike]
구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE(Internet Key Exchange) 모드 및 사전 공유 키에 대한 옵션을 포함하는 IKE(Internet Key Exchange) 정책 및 제안에 대한 선택 사항을 포함합니다. IKE(Internet Key Exchange) 정책은 IPsec 터널 원격 끝의 IP 주소를 정책 이름으로 사용해야 합니다. 또한 인증, 암호화, 프로토콜, PFS(Perfect Forward Secrecy) 및 IPsec 모드에 대한 옵션을 포함하는 IPsec 정책 및 제안에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.
[edit security] ike { proposal ike-proposal-name { authentication-algorithm (md5 | sha1 |sha-256 |sha-384); authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; } policy ike-peer-address { description description; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } } ipsec { proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128); description description; encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); } policy ipsec-policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } security-association sa-name { description description; dynamic { ipsec-policy policy-name; replay-window-size (32 | 64); } mode (tunnel | transport); } }
AS 및 MultiServices PIC에서는 , [edit services ipsec-vpn ipsec]
및 계층 수준에서 IKE(Internet Key Exchange) 동적 [edit services ipsec-vpn rule rule-name]
보안 연결을 [edit services ipsec-vpn ike]
구성합니다. 인증 알고리즘, 인증 방법, Diffie-Hellman 그룹, 암호화, IKE(Internet Key Exchange) 모드 및 사전 공유 키에 대한 옵션을 포함하는 IKE(Internet Key Exchange) 정책 및 제안에 대한 선택 사항을 포함합니다. 또한 인증, 암호화, 프로토콜, PFS 및 IPsec 모드에 대한 옵션을 포함하는 IPsec 정책 및 제안에 대한 선택 사항을 포함합니다. 이러한 선택 사항이 원격 IPsec 게이트웨이에서 정확히 동일한 방식으로 구성되었는지 확인합니다.
AS 및 멀티서비스 PIC에서 IKE(Internet Key Exchange) 및 IPsec 정책과 제안을 명시적으로 구성하지 않기로 선택한 경우, 구성은 일부 사전 설정된 값으로 기본 설정될 수 있습니다. 이러한 기본값은 표 1에 표시되어 있습니다.
IKE(Internet Key Exchange) 정책 성명 |
기본값 |
---|---|
모드 |
주요한 |
제안 |
기본값 |
IKE(Internet Key Exchange) 제안 성명서 | 기본값 |
인증 알고리즘 |
샤1 |
인증 방법 |
사전 공유 키 |
DH 그룹 |
그룹2 |
암호화 알고리즘 |
3DES-CBC |
수명-초 |
3600(초) |
IPsec 정책 문 | 기본값 |
PFS(Perfect Forward-Secrecy) 키 |
그룹2 |
제안 |
기본값 |
IPsec 제안 문 | 기본값 |
인증 알고리즘 |
HMAC-SHA1-96 |
암호화 알고리즘 |
3DES-CBC |
수명-초 |
28800 (초) |
프로토콜 |
특히 |
AS 및 MultiServices PIC에 사전 설정된 기본 IKE 및 IPsec 정책과 제안 값을 사용하는 경우 IKE(Internet Key Exchange) 정책을 명시적으로 구성하고 사전 공유 키를 포함해야 합니다. 이는 사전 공유 키 인증 방법이 기본 IKE(Internet Key Exchange) 제안의 사전 설정된 값 중 하나이기 때문입니다.
Junos OS 릴리스 14.2부터 주니퍼 네트웍스 MX 시리즈 라우터가 Cisco ASA 디바이스와 상호 운용되는 환경에서 IKE 보안 연결(SA) 및 IPsec SA는 Cisco ASA 디바이스에서 즉시 삭제되지만 MX 시리즈 라우터에는 유지됩니다. 따라서 MX 시리즈 라우터 또는 Cisco ASA 디바이스에서 트래픽이 시작될 때 MX 라우터에서 100% 트래픽 손실이 발생합니다. MX 시리즈 라우터에서 서비스 PIC가 다시 시작되거나, MX 시리즈 라우터에서 라인 카드가 다시 시작되거나, Cisco ASA 디바이스에서 종료/종료 없음 명령 시퀀스 또는 속도 설정 변경이 수행될 때 이러한 과도한 트래픽 손실 문제가 발생합니다. 이러한 구축에서 IKE 및 IPsec SA가 보존되는 이러한 문제를 방지하려면 및 clear ike security-associations
명령을 각각 입력하여 clear ipsec security-associations
IPsec 및 IKE SA를 수동으로 삭제해야 합니다.
값을 수동으로 구성하기로 결정한 경우, 다음 정보는 AS 및 멀티서비스 PIC의 동적 IKE(Internet Key Exchange) SA에 대한 전체 문 계층 및 옵션을 보여줍니다.
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha256); authentication-method (pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; } policy policy-name { description description; local-id { ipv4_addr [ values ]; key_id [ values ]; } local-certificate certificate-id-name; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; remote-id { ipv4_addr [ values ]; key_id [ values ]; } } } ipsec { proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description; encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; protocol (ah | esp | bundle); } policy policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } } rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.