IKE 및 ESP ALG
IKE(Internet Key Exchange) 및 ESP(Encapsulating Security Payload)는 IP 보안(IPsec) 프로토콜의 일부입니다. IKE 및 ESP 트래픽은 클라이언트와 서버 간에 교환됩니다. IKE 및 ESP ALG는 IPsec VPN이 네트워크 주소 변환(NAT)이 활성화된 디바이스를 통과할 때 IPsec VPN 문제를 해결하는 데 도움이 됩니다.
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
플랫폼별 IKE(Internet Key Exchange) ALG 동작 섹션에서 플랫폼 관련 참고 사항을 검토하십시오.
IKE(Internet Key Exchange) 및 ESP ALG 이해하기
NFX 시리즈 또는 SRX 시리즈 방화벽은 NAT 게이트웨이의 프라이빗 측에 있는 VPN 클라이언트와 퍼블릭 측의 VPN(가상 사설망) 게이트웨이 사이에 배치될 때 NAT(네트워크 주소 변환) 디바이스로만 사용할 수 있습니다.
IKE(Internet Key Exchange) 및 ESP(Encapsulating Security Payload) 트래픽은 클라이언트와 서버 간에 교환됩니다. 그러나 클라이언트가 NAT-Traversal(NAT-T)을 지원하지 않고 디바이스가 동일한 NAT 생성 IP 주소를 둘 이상의 클라이언트에 할당하면 디바이스는 반환 트래픽을 제대로 구별하고 라우팅할 수 없습니다.
사용자가 NAT-T 가능 클라이언트와 NAT-T 비지원 클라이언트 모두를 지원하려면 몇 가지 추가 구성이 필요합니다. NAT-T 가능 클라이언트가 있는 경우 사용자는 소스 NAT 주소 지속성을 활성화해야 합니다.
IKE 및 ESP용 ALG는 클라이언트와 서버 간의 IKE 트래픽을 모니터링하며, 클라이언트와 서버 간의 한 번의 교환뿐만 아니라 주어진 클라이언트/서버 페어 간의 IKE 2단계 메시지 교환만 허용합니다.
IKE(Internet Key Exchange) 및 ESP 트래픽을 위한 ALG가 생성되었으며 NAT가 향상되어 다음을 구현할 수 있습니다.
디바이스가 소스 네트워크 주소 변환(NAT) 풀을 통해 IKE(Internet Key Exchange) 및 ESP 트래픽을 통과할 수 있도록 합니다
네트워크 주소 변환(NAT) 없이 동일한 IP 주소에 대해 동일한 NAT 생성 IP 주소를 반환하도록 디바이스를 구성할 수 있도록 허용("address-persistent NAT"). 그 결과, 디바이스는 특히 IKE 세션이 시간 초과되어 다시 설정해야 할 때 클라이언트의 나가는 IKE 트래픽을 서버의 반환 트래픽과 연결할 수 있습니다.
클라이언트와 서버 간의 결과 ESP 트래픽도 허용되며, 특히 서버에서 클라이언트로의 방향에서 허용됩니다.
반환 ESP 트래픽은 다음과 일치합니다.
소스 IP인 서버 IP 주소
대상 IP인 클라이언트 IP 주소
IKE(Internet Key Exchange) 및 ESP ALG 작동 이해
IKE(Internet Key Exchange) 및 ESP(Encapsulating Security Payload) 트래픽에 대한 ALG(애플리케이션 레이어 게이트웨이)는 다음과 같은 동작을 합니다.
IKE 및 ESP ALG는 클라이언트와 서버 간의 IKE 트래픽을 모니터링하며, 주어진 시간에 클라이언트와 서버 간에 단 하나의 IKE 2단계 메시지 교환을 허용합니다.
2단계 메시지의 경우:
클라이언트와 서버 간의 2단계 메시지 교환이 일어나지 않으면 클라이언트에서 서버로, 서버에서 클라이언트로 관련 ESP 트래픽에 대해 IKE ALG 게이트가 열립니다.
두 IKE ALG 게이트가 모두 성공적으로 열리지 않거나 2단계 메시지 교환이 이미 이루어진 경우에는 2단계 메시지가 삭제됩니다.
ESP 트래픽이 IKE(Internet Key Exchange) ALG 게이트에 도달하면 후속 ESP 트래픽을 캡처하고 적절한 NATing(즉, 클라이언트에서 서버 트래픽으로 소스 IP 주소 변환 및 서버에서 클라이언트 트래픽으로 대상 IP 주소 변환)을 수행하기 위해 세션이 생성됩니다.
ESP 트래픽이 게이트 중 하나 또는 둘 모두에 도달하지 않으면 게이트는 자연스럽게 시간 초과됩니다.
IKE ALG 게이트가 축소되거나 시간 초과되면 다른 IKE 2단계 메시지 교환이 허용됩니다.
플로팅 포트 4500의 IKE NAT-T 트래픽은 IKE ALG에서 처리되지 않습니다. NAT-T 지원 클라이언트와 비지원 클라이언트의 혼합을 지원하려면 소스 네트워크 주소 변환(NAT) 주소 영구 활성화해야 합니다.
예: IKE(Internet Key Exchange) 및 ESP ALG 구성
이 예는 주니퍼 네트웍스 디바이스의 소스 네트워크 주소 변환(NAT) 풀을 통해 IKE 및 ESP 트래픽을 통과하도록 IKE 및 ESP ALG를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
소스 네트워크 주소 변환(NAT) 풀의 모든 IP 주소에 대해 프록시 ARP를 구성합니다.
IKE 및 ESP ALG의 개념을 이해합니다. IKE 및 ESP ALG 작동 이해를 참조하십시오.
개요
이 예에서 IKE 및 ESP용 ALG는 주니퍼 네트웍스 디바이스의 반대편에 위치한 클라이언트와 서버 간에 IKE 및 ESP 트래픽이 교환되도록 모니터링하고 허용하도록 구성됩니다.
이 예는 소스 네트워크 주소 변환(NAT) 풀 및 규칙 세트를 구성하고, IKE 및 ESP ALG를 지원하도록 사용자 지정 애플리케이션을 구성하고, 이 ALG를 정책에 연결하는 방법을 보여줍니다.
NAT-traversal (NAT-T) 가능 클라이언트와 비지원 클라이언트의 혼합을 지원하려면 영구 소스 네트워크 주소 변환(NAT) 변환을 활성화해야 합니다(특정 소스 네트워크 주소 변환(NAT)이 주어진 IP 주소와 연결되면 후속 소스 네트워크 주소 변환(NAT) 변환에서 동일한 IP 주소를 사용함). 또한 UDP 포트 4500에서 IKE 및 ESP의 캡슐화를 지원하도록 사용자 지정 IKE NAT Traversal 애플리케이션을 구성해야 합니다. 이 구성을 통해 IKE(Internet Key Exchange) 및 ESP가 네트워크 주소 변환(NAT) 활성화 디바이스를 통과할 수 있습니다.
위상수학
구성
- NAT 소스 풀 및 규칙 집합 구성
- 사용자 지정 응용 프로그램 구성 및 정책에 연결
- NAT-T 가능 및 비지원 클라이언트 모두에 대한 IKE(Internet Key Exchange) 및 ESP ALG 지원 구성
NAT 소스 풀 및 규칙 집합 구성
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
소스 네트워크 주소 변환(NAT) 풀을 구성하려면 다음을 수행합니다.
NAT 소스 풀을 생성합니다.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
보안 영역 주소록 항목을 구성합니다.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
NAT 소스 규칙 집합을 만듭니다.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
사용자 지정 응용 프로그램 구성 및 정책에 연결
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 지정 응용 프로그램을 구성하고 정책에 연결하려면:
사용자 지정 응용 프로그램을 구성합니다.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
사용자 지정 응용 프로그램을 정책에 연결합니다.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
결과
구성 모드에서 및 show security zones 명령을 입력하여 show applications 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
NAT-T 가능 및 비지원 클라이언트 모두에 대한 IKE(Internet Key Exchange) 및 ESP ALG 지원 구성
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
NAT-T 지원 및 비지원 클라이언트 모두에 대해 IKE(Internet Key Exchange) 및 ESP ALG 지원을 구성하려면 다음을 수행합니다.
영구 소스 NAT 변환을 전역적으로 활성화합니다.
[edit] user@host# set security nat source address-persistent
IKE(Internet Key Exchange) NAT-T 애플리케이션을 구성합니다.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
정책을 사용하여 NAT-T 애플리케이션을 연결합니다.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
결과
구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
IKE(Internet Key Exchange) 및 ESP ALG 사용자 지정 애플리케이션 확인
목적
IKE 및 ESP ALG를 지원하는 사용자 지정 애플리케이션이 활성화되어 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security alg status .
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
의미
출력은 다음과 같이 ALG 상태를 보여줍니다.
Enabled—ALG가 활성화되었음을 보여줍니다.
Disabled—ALG가 비활성화되었음을 보여줍니다.
ALG의 보안 정책 검증
목적
애플리케이션 사용자 지정 IKE ALG 및 애플리케이션 사용자 지정 IKE NATT가 설정되어 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security policies .
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
의미
샘플 출력은 사용자 지정 IKE ALG 및 사용자 지정 IKE NATT 애플리케이션이 설정되어 있음을 보여줍니다.
예: IKE 및 ESP ALG 활성화 및 타임아웃 설정
이 예에서는 IKE 및 ESP ALG를 활성화하고 ALG가 ALG 상태 정보, ESP 게이트 및 ESP 세션을 처리하는 시간을 허용하도록 시간 제한 값을 설정하는 방법을 보여줍니다.
요구 사항
IKE 및 ESP용 ALG의 개념을 이해합니다. IKE 및 ESP ALG 작동 이해를 참조하십시오.
개요
IKE 및 ESP ALG는 ALG가 연결된 모든 정책에 지정된 모든 트래픽을 처리합니다. 이 예에서는 정책에 관계없이 모든 IPsec 패스스루 트래픽에 대해 현재 기본 IPsec 패스스루 동작이 비활성화되도록 명령문을 구성합니다 set security alg ike-esp-nat enable .
그런 다음 타임아웃 값을 설정하여 IKE 및 ESP ALG가 ALG 상태 정보, ESP 게이트 및 ESP 세션을 처리하는 시간을 허용합니다. 이 예제에서는 ALG 상태 정보의 시간 제한을 설정합니다. 시간 제한 범위는 180초에서 86400초까지입니다. 기본 시간 제한은 14400초입니다. 그런 다음 IKE(Internet Key Exchange) 2단계 교환이 완료된 후 생성된 ESP 게이트의 시간 제한을 설정합니다. 시간 초과 범위는 2초에서 30초입니다. 기본 제한 시간은 5초입니다. 마지막으로, IPsec 게이트에서 생성된 ESP 세션의 유휴 시간 제한을 설정합니다. 세션에 트래픽이 도달하지 않으면 이 기간이 지나면 에이징 아웃됩니다. 시간 제한 범위는 60초에서 2400초까지입니다. 기본 시간 제한은 1800초입니다.
구성
절차
CLI 빠른 구성
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IKE(Internet Key Exchange) 및 ESP ALG를 활성화하고 타임아웃 값을 설정하려면 다음을 수행합니다.
IKE(Internet Key Exchange) 및 ESP ALG를 활성화합니다.
[edit] user@host# set security alg ike-esp-nat enable
ALG 상태 정보에 대한 타임아웃을 설정합니다.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
IKE(Internet Key Exchange) 2단계 교환이 완료된 후 생성된 ESP 게이트에 대한 시간 제한을 설정합니다.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
IPsec 게이트에서 생성된 ESP 세션에 대한 유휴 시간 제한을 설정합니다.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
결과
구성 모드에서 명령을 입력하여 show security alg 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
플랫폼별 IKE(Internet Key Exchange) ALG 동작
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.
다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.
| 플랫폼 |
다름 |
|---|---|
| SRX 시리즈 |
|