Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 구성

IPSec VPN 설계 목표

IPsec VPN은 다음과 같은 기준을 충족해야 합니다.

  • 인터넷 서비스 프로바이더가 WAN 인터페이스에 대한 DHCP 주소 할당을 지원하도록 동적 IPsec VPN을 구성합니다.
  • 트러스트 존에서 발생한 트래픽만 IPsec 터널을 사용할 수 있는지 확인합니다.
  • 172.168.200.0/24 서브넷으로 향하는 트래픽만 IPsec 터널을 사용하는지 확인합니다.
표 1의 매개변수를 사용하여 IPsec VPN을 구성합니다.
표 1: IPsec VPN 매개변수
매개 변수
터널 인터페이스 st0
브랜치 터널 IP 10.0.0.1/24
기업 터널 IP 10.0.0.2/24
IKE 제안 표준
IKE 모드 공격적
사전 공유 키 "srx_branch"
터널 설정 즉시
브랜치 아이덴티티 분기
기업 아이덴티티 본부
터널 보안 존 Vpn

경로 기반 IPsec VPN 구성

IPsec VPN을 구성해 보겠습니다!

  1. 디바이스 콘솔에서 루트로 로그인합니다. CLI를 시작하고 구성 모드를 입력합니다.
  2. st0 터널 인터페이스를 구성합니다. 번호가 지정되지 않은 터널이 이 시나리오에서 지원됩니다. 여기에서 터널 엔드포인트 번호를 지정합니다. 터널 번호 지정의 한 가지 이점은 모든 연결 문제를 디버깅할 수 있도록 터널 엔드포인트의 핑 테스트를 허용하는 것입니다.
  3. IPsec 터널로 향하는 172.16.200.0/24 방향 트래픽에 대한 정적 경로를 정의합니다.
  4. IKE 매개변수를 구성합니다. 로컬 아이덴티티 및 원격 아이덴티티 매개 변수는 동적 IPsec VPN을 지원하는 데 중요합니다. 정적 IP 주소가 사용되는 경우, 이들 정적 IP 주소를 지정하는 로컬 및 원격 IKE 게이트웨이를 정의합니다.

    즉, 보안 구성을 잠시 진행하여 계층에 주차 [edit security] 할 수 있습니다.

    참고:

    동적 IPsec VPN을 지원하려면 원격 엔드에 IKE 제안서에 구성된 명령문이 있어야 합니다 set security ike gateway ike-gw dynamic hostname <name> . 원격 엔드에서 연결을 시작할 때 IP가 아닌 IKE 제안서와 일치하도록 이름이 사용됩니다. 이 방법은 동적 할당으로 인해 IP 주소가 변경되는 경우 사용됩니다.

  5. IPsec 터널 매개변수를 구성합니다.
  6. 보안 정책을 조정하여 존을 vpn 생성하고 트래픽이 trust 존에서 존으로 vpn 흐르도록 허용합니다. IPsec 터널 번호를 지정하기로 선택한 경우, 디버깅에서 호스트 바운드 핑을 사용할 수 있도록 존을 구성 vpn 합니다. 이 단계에서는 IPsec 터널 인터페이스도 존에 배치합니다 vpn .
    참고:

    이 예에서는 단순하게 유지하며 모든 소스 또는 대상 IP 주소와 일치합니다. 우리는 정적 경로에 의존하여 원격 사이트로 향하는 트래픽만 터널로 연결합니다. 보다 나은 보안을 위해 로컬 브랜치 192.168.2.0/24 및 원격 172.16.200.0/24 서브넷의 주소록 항목을 정의하는 것을 고려하십시오. 두 서브넷에 대해 정의된 주소록 항목을 사용하면 보안 정책과 일치 source-address <source_name> destination-address <dest_name> 하게 됩니다. 정책에 소스 및 대상 서브넷을 포함하면 터널을 사용할 수 있는 트래픽에 대해 훨씬 더 분명하게 표현됩니다.

  7. 거기에 매달려, 당신은 거의 끝났다. IKE는 IPsec 터널을 보호하기 위해 공유 키를 협상하는 데 사용된다는 점을 기억하십시오. st0 인터페이스에서 터널을 설정하려면 WAN 인터페이스를 통해 IKE 메시지를 송수신해야 합니다.

    IKE를 포함하려면 WAN 인터페이스를 통해 untrust 액세스할 수 있는 로컬 호스트 서비스를 수정해야 합니다.

그거에요. 브랜치 위치에서 IPsec 경로 기반 VPN을 구성했습니다. 변경 사항을 커밋해야 합니다.

결과

IPsec 경로 기반 VPN 구성의 결과를 표시해 보겠습니다. 간결성을 위해 기본 구성의 일부를 생략합니다.

구성을 커밋하여 SRX의 변경 사항을 활성화해야 합니다.

빠른 구성

빠른 구성: 지사

IPsec VPN을 신속하게 구성하려면 다음 set 진술을 사용하십시오. 필요에 따라 구성 문을 편집하고 SRX에 붙여넣기만 하면 됩니다.

브랜치 위치의 SRX300 라인 디바이스에 대한 IPsec VPN 구성은 다음과 같습니다.

빠른 구성: 원격 위치

완벽성을 위해 원격 사이트에 적합한 IPsec VPN Quick Configuration을 소개합니다. 지사에 대해 자세히 설명한 것과 유사합니다. 중요한 차이점은 명령문을 사용하고 트래픽을 터널로 유도하는 데 사용되는 정적 경로의 다른 대상을 사용 dynamic hostname 한다는 것입니다. 리모트 사이트의 존에서 vpn 핑을 허용합니다. 그 결과, 터널 엔드포인트(터널 번호 지정)와 루프백 인터페이스를 모두 핑할 수 있습니다. 원격 사이트의 루프백 인터페이스는 172.16.200.0/24 서브넷을 나타냅니다. 리모트 사이트의 lo0 인터페이스가 존에 vpn 배치됩니다.

변경 사항을 커밋해야 합니다. 다음 섹션에서는 IPsec 터널이 올바르게 작동하는지 확인하는 방법을 보여 줍니다.