• Authentication Method(인증 방법) - 네트워크 및 네트워크 서비스에 대한 액세스를 허용하기 전에 사용자를 식별하는 방법을 결정합니다. 유효한 사용자 자격 증명(일반적으로 사용자 이름 및 암호)을 요구하여 액세스를 제어합니다. 클라이언트에서 인증서를 포함할 수도 있습니다. 지원되는 인증 방법은 AAA 전용, 클라이언트 인증서 전용 및 AAA + 클라이언트 인증서입니다.

  다음과 같이 Authentication Method(인증 방법)를 선택하는 경우:

  • AAA Only(AAA 전용) - Authentication Server(인증 서버)를 RADIUS로 선택하는 경우 Authorization Server(권한 부여 서버)는 기본적으로 동일한 값을 가집니다. 드롭다운 목록에서 Accounting Server(과금 서버)를 선택합니다. Authentication Server(인증 서버) 드롭다운 목록에서 AD 및 LDAP를 선택할 때마다 Authorization Server(권한 부여 서버) 및 Accounting Server(과금 서버)를 수동으로 선택해야 합니다.

  • SAML - 각 사용자가 SAML SSO(Single Sign-On) 서버를 사용하여 인증됩니다. 자세한 내용은 SAML 2.0을 사용한 SSO(Single Sign-On) 인증를 참고하십시오.

    Override Identity Provider Certificate(ID 제공자 인증서 재정의) - SAML 제공자의 기본 ID 제공자 인증서를 연결 프로파일 또는 SAML 애플리케이션에 특정한 IdP 인증서로 재정의하려면 선택합니다. 드롭다운에서 IdP 인증서를 선택합니다.

    Microsoft Azure는 동일한 엔터티 ID에 대해 여러 애플리케이션을 지원할 수 있습니다. 각 애플리케이션(다른 연결 프로파일에 매핑됨)에는 고유한 인증서가 필요합니다. 현재 연결 프로파일에서 SSO(Single Sign-On) 개체에 대한 기존 엔티티 ID를 유지하고 다른 IdP 인증서를 사용하려는 경우 이 옵션을 선택할 수 있습니다.

    이렇게 하면 Microsoft Azure SAML ID 제공자별로 여러 SAML 애플리케이션을 지원할 수 있습니다.

    기본 ID 인증서는 SSO(Single Sign-On) 서버 개체에서 구성됩니다.

    SSO 서버 개체 구성에 대한 자세한 내용은 SSO(Single Sign-On) 서버 추가의 내용을 참조하십시오.

    SAML 웹 인증을 위해 브라우저를 구성하려면 SAML Login Experience(SAML 로그인 환경)를 선택합니다.

    • VPN 클라이언트 임베디드 브라우저 - 웹 인증을 위해 VPN 클라이언트에 포함된 브라우저를 사용하려면 이 옵션을 선택합니다. 인증은 VPN 연결에만 적용됩니다.

    • Default OS Browser(기본 OS 브라우저) - WebAuthN(웹 인증을 위한 FIDO2 표준)을 지원하는 기본 브라우저를 구성하려면 이 옵션을 선택합니다. 이 옵션은 SSO(Single Sign-On, 단일 인증)를 활성화하며, 웹 인증 방법(예: 생체 인증)을 지원합니다.

      기본 브라우저에는 웹 인증을 위한 외부 브라우저 패키지가 필요합니다. Default-External-Browser-Package 패키지는 기본적으로 구성됩니다. 원격 액세스 VPN 정책을 편집하고 Advanced(고급) > AnyConnect Client Images(AnyConnect 클라이언트 이미지) > Package File(패키지 파일) 아래에서 파일을 선택하여 기본 외부 브라우저 패키지를 변경할 수 있습니다.

      다음을 선택하여 새 패키지 파일을 추가할 수도 있습니다. Objects(개체) > Object Management(개체 관리) > VPN > AnyConnect File(AnyConnect 파일) > Add AnyConnect File(AnyConnect 파일 추가).

  • Client Certificate Only(클라이언트 인증서 전용) - 각 사용자가 클라이언트 인증서로 인증합니다. 클라이언트 인증서는 VPN 클라이언트 엔드포인트에서 구성해야 합니다. 기본적으로 사용자 이름은 클라이언트 인증서 필드 CN 및 OU에서 파생됩니다. 사용자 이름이 클라이언트 인증서의 다른 필드에 지정된 경우 'Primary(기본)' 및 'Secondary(보조)' 필드를 사용하여 해당 필드를 매핑합니다.

    Enable multiple certificate authentication(다중 인증서 인증 활성화)을 선택하여 시스템 및 사용자 인증서를 통해 VPN 클라이언트를 인증합니다.

    다중 인증서 인증을 활성화한 경우, 다음 인증서 중 하나를 선택하여 사용자 이름을 매핑하고 VPN 사용자를 인증할 수 있습니다.

    • First Certificate(첫 번째 인증서) - VPN 클라이언트에서 전송된 시스템 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

    • Second Certificate(두 번째 인증서) - 클라이언트에서 전송된 사용자 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

    참고	여러 인증서 인증을 활성화하지 않으면 기본적으로 사용자 인증서(두 번째 인증서)가 인증에 사용됩니다.

    클라이언트 인증서의 사용자 이름을 포함하는 Map specific field(특정 필드 매핑) 옵션을 선택하면 Primary(기본) 및 Secondary(보조) 필드에 CN(Common Name) 및 OU(Organizational Unit)의 기본값이 표시됩니다. Use entire DN as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다. 고유 이름(DN)은 사용자를 연결 프로파일과 연결할 때 식별자로 사용된 개별 필드로 구성된 고유한 ID입니다. DN 규칙은 향상된 인증서 인증에 사용됩니다.

    Map specific field(특정 필드 매핑) 옵션과 관련된 기본 및 보조 필드는 다음 공통 값을 포함합니다.

    • C(국가)

    • CN(이름)

    • DNQ(DN 한정자)

    • EA(이메일 주소)

    • GENQ(세대 한정자)

    • GN(이름)

    • I(이니셜)

    • L(시/군/구)

    • N(이름)

    • O(조직)

    • OU(조직 단위)

    • SER(일련 번호)

    • SN(성)

    • SP(시/도)

    • T(제목)

    • UID(사용자 ID)

    • UPN(사용자 계정 이름)

  • Client Certificate & AAA(클라이언트 인증서 및 AAA) - 각 사용자가 클라이언트 인증서와 AAA 서버로 인증합니다. 인증에 필요한 인증서 및 AAA 설정을 선택합니다.

    어떤 인증 방법을 선택하든 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택하거나 선택 취소합니다.

  • Client Certificate & SAML(클라이언트 인증서 및 SAML) - 각 사용자가 클라이언트 인증서와 SAML 서버로 인증합니다. 인증에 필요한 인증서 및 SAML 설정을 선택합니다.

    • Allow connection only if username from certificate and SAML is same(인증서의 사용자 이름과 SAML이 동일한 경우에만 연결 허용) - 인증서의 사용자 이름이 SAML SSO(Single Sign-On) 사용자 이름과 일치하는 경우에만 VPN 연결을 허용하려면 선택합니다.

    • Use username from client certificate for Authorization(권한 부여를 위해 클라이언트 인증서에서 사용자 이름 사용) — 권한 부여를 위해 클라이언트 인증서에서 사용자 이름을 선택하는 옵션을 선택하는 경우 클라이언트 인증서에서 선택할 필드를 구성해야 합니다.

      특정 필드를 사용자 이름으로 매핑하거나 전체 DN(고유 이름)을 사용하여 권한 부여할 수 있습니다.

      • Map specific field(맵 특정 파일)— 클라이언트 인증서의 사용자 이름을 포함하도록 선택합니다. Primary(기본) 및 Secondary(보조) 필드는 각각 CN(Common Name) 및 OU(Organisational Unit)의 기본값을 표시합니다

      • Use entire DN as username(전체 DN을 사용자 이름으로 사용) - 시스템은 자동으로 인증을 위해 사용자 ID를 검색합니다.

    DAP(Dynamic Access Policy)를 생성하여 사용자별 SAML 어설션 특성 또는 사용자 이름을 DAP 인증서 특성과 일치시킬 수도 있습니다. DAP에 대한 AAA 기준 설정 구성을 참조하십시오.

• 인증 서버 - 인증은 네트워크 및 네트워크 서비스에 대한 액세스를 허용하기 전에 사용자를 식별하는 방법입니다. 인증에는 유효한 사용자 자격 증명, 인증서 또는 둘 모두가 필요합니다. 인증을 단독으로 사용하거나 권한 부여 및 어카운팅과 함께 사용할 수 있습니다.

  서버를 이미 추가했다면 목록에서 인증 서버를 선택하거나 인증 서버를 생성합니다.

  • LOCAL(로컬) - 사용자 인증을 위해 threat defense에서 로컬 데이터베이스를 사용합니다.

    • Local Realm(로컬 영역) - 로컬 영역을 선택하거나 Add(추가)를 클릭하여 영역을 설정합니다. Active Directory 영역 및 영역 디렉터리 생성의 내용을 참조하십시오.

  • Realm(영역) - LDAP 또는 AD 영역을 설정합니다. Active Directory 영역 및 영역 디렉터리 생성의 내용을 참조하십시오.

  • RADIUS Server Group(RADIUS 서버 그룹) - RADIUS 서버에 RADIUS 서버 그룹 개체를 추가합니다. RADIUS 서버 그룹 추가의 내용을 참조하십시오.

  • Single Sign-On Server(SSO 서버) - SAML 인증을 위한 SSO(Single Sign-On) 서버 개체를 생성합니다. SSO(Single Sign-On) 서버 추가의 내용을 참조하십시오.

Fallback to LOCAL Authentication(로컬 인증으로 대체) - 사용자가 로컬 데이터베이스를 사용하여 인증되며, AAA 서버 그룹을 사용할 수 없는 경우에도 로컬 데이터베이스가 설정되면 VPN 터널을 설정할 수 있습니다.

• 2차 인증 사용 - VPN 세션에 대한 추가 보안을 제공하기 위해 기본 인증 외에 2차 인증이 구성됩니다. 2차 인증은 AAA 전용 및 클라이언트 인증서 및 AAA 인증 방법에만 적용됩니다.

  보조 인증은 VPN 사용자가 AnyConnect 로그인 화면에 사용자 이름 및 암호 모음 2개를 입력해야 하는 선택적 기능입니다. 인증 서버 또는 클라이언트 인증서에서 2차 사용자 이름이 미리 입력되도록 구성할 수도 있습니다. 원격 액세스 VPN 인증은 기본 인증과 보조 인증을 모두 성공한 경우에만 부여됩니다. 인증 서버 중 하나에 연결할 수 없거나 한쪽 인증에서 장애가 발생하면 VPN 인증이 거부됩니다.

  보조 인증을 구성하기 전에, 두 번째 사용자 이름과 암호에 대해 보조 인증 서버 그룹(AAA 서버)을 구성해야 합니다. 예를 들어 기본 인증 서버는 LDAP나 Active Directory 영역으로, 보조 인증은 RADIUS 서버로 설정할 수 있습니다.

  참고	기본적으로 보조 인증이 필수가 아닙니다.

  인증 서버 - VPN 사용자에게 보조 사용자 이름 및 암호를 제공하는 보조 인증 서버입니다.

  • Fallback to LOCAL Authentication(로컬 인증으로 대체) - 이 사용자가 로컬 데이터베이스를 사용하여 인증되며, AAA 서버 그룹을 사용할 수 없는 경우에도 로컬 데이터베이스가 설정되면 VPN 터널을 설정할 수 있습니다.

  보조 인증용 사용자 이름에서 다음을 선택하십시오.

  • 프롬프트: VPN 게이트웨이에 로그인하는 동안 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 표시합니다.

  • 기본 인증 사용자 이름 사용: 사용자 이름은 기본 인증 서버와 2차 인증 모두에 대해 기본 인증 서버에서 가져옵니다. 두 개의 암호를 입력해야 합니다.

  • 클라이언트 인증서의 사용자 이름 매핑: 클라이언트 인증서의 보조 사용자 이름을 미리 채웁니다.

    다중 인증서 인증을 활성화한 경우, 다음 인증서 중 하나를 선택할 수 있습니다.

    • First Certificate(첫 번째 인증서) - VPN 클라이언트에서 전송된 시스템 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

    • Second Certificate(두 번째 인증서) - 클라이언트에서 전송된 사용자 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

    • Map specific field(특정 필드 매핑) 옵션을 선택하면 클라이언트 인증서의 사용자 이름이 포함됩니다. Primary(기본) 및 Secondary(보조) 필드에는 CN(Common Name) 및 OU(Organizational Unit) 각각의 기본값이 표시됩니다. Use entire DN (Distinguished Name) as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다.

      기본 및 보조 필드 매핑에 대한 자세한 내용은 인증 방법 설명을 참조하십시오.

    • 인증서의 사용자 이름을 사용자 로그인 창에 미리 채우기: AnyConnect를 통해 사용자가 연결할 때 클라이언트 인증서에서 보조 사용자 이름을 미리 채웁니다.

      • 로그인 창에서 사용자 이름 숨기기: 보조 사용자 이름은 클라이언트 인증서에서 미리 채워지지만 미리 채워진 사용자 이름은 수정을 방지하기 위해 사용자에게 표시되지 않습니다.

  • VPN 세션에 보조 사용자 이름 사용: 보조 사용자 이름은 VPN 세션 중에 사용자 활동을보고하는 데 사용됩니다.

• Authorization Server(권한 부여 서버) - 인증이 완료되면 권한 부여 기능에서 인증된 각 사용자에게 사용할 수 있는 서비스 및 명령을 제어합니다. 권한 부여 기능은 사용자가 수행할 수 있도록 인가를 받은 것이 무엇인지, 즉 사용자의 실제 능력 및 제한 사항을 설명하는 일련의 속성을 결합함으로써 작동합니다. 권한 부여 기능을 사용하지 않는 경우, 인증 기능에서만 인증된 모든 사용자에게 동일한 액세스 권한을 제공합니다. 권한 부여에는 인증이 필요합니다.

  원격 액세스 VPN 인증 작업 방식에 대한 자세한 내용은 권한 및 속성 정책 시행 이해의 내용을 참조하십시오.

  연결 프로파일에서 사용자 인증을 위해 RADIUS 서버를 구성하면 원격 액세스 VPN 시스템 관리자는 사용자 또는 사용자 그룹에 대해 여러 권한 부여 속성을 구성할 수 있습니다. RADIUS 서버에 구성된 권한 부여 속성은 사용자 또는 사용자 그룹에 고유할 수 있습니다. 사용자가 인증되면 이러한 특정 권한 부여 속성이 threat defense 디바이스에 푸시됩니다.

  참고	인증 서버에서 가져온 AAA 서버 속성은 그룹 정책 또는 연결 프로파일에서 이전에 구성되었을 속성 값보다 우선합니다.

• 필요한 경우 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택합니다.

  활성화된 경우 시스템은 클라이언트의 사용자 이름이 권한 부여 데이터베이스에 있어야 연결이 허용되는지 여부를 확인합니다. 사용자 이름이 권한 부여 데이터베이스에 존재하지 않으면 연결이 거부됩니다.

• 권한 부여 서버로 영역을 선택할 경우, LDAP 속성 맵을 설정해야 합니다. 인증 및 권한 부여를 위한 단일 서버 또는 다른 서버를 선택할 수 있습니다. Configure LDAP Attribute Map(LDAP 속성 맵 설정)을 클릭하여 권한 부여를 위한 LDAP 속성 맵을 추가합니다.

  참고

  Threat Defense는 SAML ID 제공자를 권한 부여 서버로 지원하지 않습니다. management center 및 threat defense를 통해 SAML ID 제공자 뒤에 있는 Active Directory에 연결할 수 있는 경우, 다음 단계에 따라 권한 부여를 설정할 수 있습니다. AD 서버용 영역을 추가합니다. Active Directory 영역 및 영역 디렉터리 생성의 내용을 참조하십시오. 원격 액세스 VPN 연결 프로파일에서 권한 부여 서버로 영역 개체를 선택합니다. 선택한 영역에 대한 LDAP 속성 맵을 설정합니다.

  LDAP 속성 맵을 설정하는 방법은 LDAP 특성 매핑 구성의 내용을 참조하십시오.

• Accounting Server(과금 서버) - 계정은 사용자가 액세스하고 있는 서비스 및 사용 중인 네트워크 리소스의 양을 추적하는 데 사용됩니다. AAA 계정이 활성화되면 네트워크 액세스 서버는 사용자 활동을 RADIUS 서버에 보고합니다. 계정 관리 정보에는 세션 시작 및 중지 시각, 사용자 이름, 각 세션의 디바이스를 통과한 바이트 수, 사용한 서비스, 각 세션의 지속 시간이 포함됩니다. 네트워크 관리, 클라이언트 요금 청구 또는 감사에 대해 이 데이터를 분석할 수 있습니다. 관리 계정 기능을 단독으로 사용하거나 인증 및 권한 부여 기능과 함께 사용할 수 있습니다.

  원격 액세스 VPN 세션을 설명하는 데 사용할 RADIUS 서버 그룹 개체를 지정합니다.

• Strip Realm from username(사용자 이름에서 영역 제거) - AAA 서버로 사용자 이름을 전달하기 전에 사용자 이름에서 영역을 제거하려면 선택합니다. 예를 들어 이 옵션을 선택하고 사용자가 domain\username을 입력하는 경우, 도메인은 사용자 이름에서 제거되고 인증을 위해 AAA 서버로 전송됩니다. 기본적으로 이 옵션은 선택되어 있지 않습니다.

• Strip Group from username(사용자 이름에서 그룹 제거) - AAA 서버로 사용자 이름을 전달하기 전에 사용자 이름에서 그룹 이름을 제거하려면 선택합니다. 기본적으로 이 옵션은 선택되어 있지 않습니다.

  참고	영역은 관리 도메인입니다. 이러한 옵션을 활성화하면 사용자 이름에만 근거하여 인증할 수 있습니다. 이러한 옵션의 조합을 활성화할 수 있습니다. 그러나 서버에서 구분 기호를 구문 분석할 수 없는 경우, 두 확인란을 모두 선택해야 합니다.

• Password Management(암호 관리) - 원격 액세스 VPN 사용자의 암호 관리를 활성화합니다. 암호 만료 전 또는 암호가 만료되는 날에 미리 알리려면 선택합니다.

Client Services Server는 AnyConnect Downloader가 클라이언트가 요구하는 소프트웨어 업그레이드, 프로파일, 지역화 및 사용자 정의 파일, CSD, SCEP 및 기타 파일 다운로드를 수신할 수 있도록 HTTPS(SSL) 액세스를 제공합니다. 이 옵션을 선택하는 경우 클라이언트 서비스 포트 번호를 지정합니다. Client Services Server를 활성화하지 않으면 사용자가 AnyConnect에 필요할 수있는 파일을 다운로드할 수 없습니다.

PFS(Perfect Forward Secrecy)를 사용하여 암호화된 각 교환에 대해 고유 세션 키를 생성하고 사용합니다. 고유 세션 키는 전체 교환이 기록되었으며 공격자가 엔드포인트 디바이스에서 사용하는 사전 공유 키 또는 개인 키를 확보했더라도 후속 암호 해독에서 교환을 보호합니다. 이 옵션을 선택하는 경우 Modulus Group(모듈러스 그룹) 목록에서 PFS 세션 키를 생성할 때 사용할 Diffie-Hellman 키 파생 알고리즘도 선택합니다.

모듈러스 그룹은 공유 암호를 각 IPsec 피어에 전송하지 않고 두 IPsec 피어 간에 파생하는 데 사용할 Diffie Hellman 그룹입니다. 대형 모듈러스는 보안성은 더 높지만, 처리 시간이 더 오래 걸립니다. 두 피어의 모듈러스 그룹이 일치해야 합니다. Remote Access VPN 구성에서 허용할 모듈러스 그룹을 선택합니다.

• 1 - Diffie-Hellman 그룹 1(768비트 모듈러스).

• 2 - Diffie-Hellman 그룹 2(1024비트 모듈러스).

• 5 - Diffie-Hellman 그룹 5(1536비트 모듈러스, 128비트 키에 적합한 보호를 제공하지만 14 그룹이 더 효과적임). AES 암호화를 사용하는 경우 이 그룹(또는 그 이상)을 사용하십시오.

• 14 - Diffie-Hellman 그룹 14(2048비트 모듈러스, 128비트 키에 적합한 보호를 제공함).

• 19 - Diffie-Hellman 그룹 19(256비트 엘립틱 커브 필드 크기).

• 20 - Diffie-Hellman 그룹 20(384비트 엘립틱 커브 필드 크기).

• 21 - Diffie-Hellman 그룹 21(521비트 엘립틱 커브 필드 크기).

• 24 - Diffie-Hellman 그룹 24(2048비트 모듈러스 및 256비트 소수 위수 하위 그룹).

보안 연결(SA)의 라이프타임(초)입니다. 라이프타임이 초과되면 SA는 만료되며 두 피어 간에 SA를 재협상해야 합니다. 일반적으로 특정 지점까지는 라이프타임이 짧을수록 IKE 협상이 보다 안전합니다. 그러나 라이프타임이 길면 라이프타임이 짧은 경우에 비해 이후 IPsec 보안 연계를 더 빠르게 설정할 수 있습니다.

120~2147483647초 사이의 값을 지정할 수 있습니다. 기본값은 28800초입니다.

만료되기 전에 지정된 보안 연결을 사용하여 IPsec 피어 간에 전달할 수 있는 트래픽 볼륨(KB)입니다.

10~2147483647kbyte 사이의 값을 지정할 수 있습니다. 기본값은 4,608,000킬로바이트입니다. 무제한 데이터를 허용하는 사양은 없습니다.

• Validate incoming ICMP error messages(들어오는 ICMP 오류 메시지 확인) - IPsec 터널을 통해 수신되고 비공개 네트워크의 내부 호스트로 전달되는 이러한 ICMP 오류 메시지를 검증할지 여부를 선택합니다.

• Enable 'Do Not Fragment' Policy('조각화 금지' 정책 활성화) - IPsec 하위 시스템에서 IP 헤더에 DF(Do Not Fragment) 비트가 설정된 대용량 패킷을 처리하는 방법을 정의하고 Policy(정책) 목록에서 다음 중 하나를 선택합니다.

  • Copy(복사) - DF 비트를 유지합니다.

  • Clear(지우기) - DF 비트를 무시합니다.

  • Set(설정) - DF 비트를 설정하고 사용합니다.

• Enable Traffic Flow Confidentiality (TFC) packets(TFC(Traffic Flow Confidentiality) 선택 - 패킷 활성화) - 터널을 우회하는 트래픽 프로파일을 마스킹하는 더미 TFC 패킷을 활성화합니다. Burst(버스트), Payload Size(페이로드 크기) 및 Timeout(시간 초과) 파라미터를 사용하여 지정된 SA에서 무작위 간격으로 임의 길이의 패킷을 생성할 수 있습니다.

  참고	TFC(트래픽 플로우 기밀성) 패킷을 활성화하면 VPN 터널이 유휴 상태가 되지 않습니다. 따라서 TFC 패킷을 활성화하면 그룹 정책에 구성된 VPN 유휴 시간 제한이 예상대로 작동하지 않습니다. 그룹 정책 고급 옵션을 참조하십시오.

  • Burst(버스트) - 1~16 바이트 사이의 값을 지정합니다.

  • Payload Size(페이로드 크기) - 64~1024 바이트의 값을 지정합니다.

  • Timeout(시간 초과) - 10~ 60초 사이의 값을 지정합니다.

• Identity Sent to Peer(피어로 전송되는 ID) - IKE 협상 중에 피어가 자신을 식별하는 데 사용할 ID를 선택합니다.

  • Auto(자동) - 연결 유형에 따라 IKE 협상을 결정합니다. 예: 사전 공유 키의 IP 주소 또는 인증서 인증의 Cert DN(지원하지 않음)

  • IP address(IP 주소) - ISAKMP ID 정보를 교환하는 호스트의 IP 주소를 사용합니다.

  • Hostname(호스트 이름) - ISAKMP ID 정보를 교환하는 호스트의 FQDN(Fully Qualified Domain Name)을 사용합니다. 이 이름은 호스트 이름 및 도메인 이름으로 구성됩니다.

• Enable Notification on Tunnel Disconnect(터널 연결 해제 알림 활성화) - SA에서 수신한 인바운드 패킷이 해당 SA의 트래픽 선택기와 일치하지 않는 경우, 관리자가IKE 알림 피어 전송을 활성화 또는 비활성화할 수 있습니다. 이 알림의 전송은 기본적으로 비활성화되어 있습니다.

• Do not allow device reboot until all sessions are terminated(모든 세션이 종료될 때까지 디바이스 재부팅 허용 안 함) - 시스템 재부팅 전에 모든 활성 세션이 자발적으로 종료될 때까지 대기 활성화를 선택합니다. 기본적으로 비활성화되어 있습니다.

• Cookie Challenge(쿠키 챌린지) - SA 개시 패킷에 대한 응답으로 쿠키 챌린지를 피어 디바이스로 전송할지 여부. 이는 Dos(서비스 거부) 공격 차단에 도움이 됩니다. 기본적으로 사용 가능한 SA의 50%가 협상중인 경우 쿠키 챌린지를 사용합니다. 다음 옵션 중 하나를 선택합니다.

  • Custom(사용자 정의) - 협상 중인 허용 SA 합계의 백분율인 수신 쿠키 챌린지 임계값을 지정합니다. 이렇게 하면 이후의 모든 SA 협상에 대해 쿠키 챌린지가 트리거됩니다. 범위는 0~100%이고, 기본값은 50%입니다.

  • Always(항상) - 항상 피어 디바이스에 쿠키 챌린지를 보내려면 선택합니다.

  • Never(안 함) - 피어 디바이스에 쿠키 챌린지를 보내지 않으려면 선택합니다.

• Number of SAs Allowed in Negotiation(협상에서 허용되는 SA 수) - 언제든지 협상에 참여할 수 있는 최대 SA 수를 제한합니다. Cookie Challenge(쿠키 챌린지)와 함께 사용하는 경우 효과적인 교차 확인을 위해 쿠키 챌린지 임계값을 이 한도보다 낮은 값으로 구성합니다. 기본값은 100%입니다.

• Maximum number of SAs Allowed(허용되는 최대 SA 수) - 허용되는 IKEv2 연결 수를 제한합니다.

• Enable Fragmentation Before Encryption(암호화 이전 단편화 활성화) - 이 옵션을 사용하면 트래픽이 IP 단편화를 지원하지 않는 NAT 디바이스를 통과할 수 있습니다. IP 단편화를 지원하는 NAT 디바이스의 작동을 방해하지 않습니다.

• Path Maximum Transmission Unit Aging(경로 최대 전송 단위 에이징) - SA(Security Association)의 PMTU(Path Maximum Transmission Unit) 재설정 간격인 PMTU Aging 활성화를 선택합니다.

• Value Reset Interval(값 재설정 간격) - SA(Security Association)의 PMTU 값이 원래 값으로 재설정되는 시간(분)을 입력합니다. 유효 범위는 10~30분이며, 기본값은 무제한입니다.

• Keepalive Messages Traversal(Keepalive 메시지 순회) - NAT keepalive 메시지 순회 활성화 여부를 선택합니다. NAT 순회 킵얼라이브는 VPN 연결 허브 및 스포크 사이에 위치한 디바이스(중간 디바이스)가 있는 경우 킵얼라이브 메시지 전송에 사용되며, 해당 디바이스는 IPsec flow에서 NAT를 수행합니다. 이 옵션을 선택하는 경우, 스포크와 중간 디바이스 간에 전송된 킵얼라이브 신호 간격을 초 단위로 구성하고 해당 세션이 활성임을 표시합니다. 이 값의 범위는 10~3600초입니다. 기본값은 20초입니다.

• Interval(간격) - NAT keepalive 간격을 10~3600초 범위로 설정합니다. 기본값은 20초입니다.