IKE 및 ESP ALG
IKE(Internet Key Exchange) 및 ESP(Encapsulating Security Payload)는 IPsec(IP Security) 프로토콜의 일부입니다. IKE 및 ESP 트래픽은 클라이언트와 서버 간에 교환됩니다. IKE 및 ESP ALG는 IPsec VPN이 NAT가 활성화된 디바이스를 통과할 때 IPsec VPN 문제를 해결하는 데 도움이 됩니다.
IKE 및 ESP ALG 이해
NFX 시리즈 또는 SRX 시리즈 디바이스는 NAT 게이트웨이의 프라이빗 측에 있는 VPN 클라이언트와 공용의 VPN(Virtual Private Network) 게이트웨이 사이에 배치될 때 전용 NAT(Network Address Translation) 장비로만 사용할 수 있습니다.
IKE(Internet Key Exchange)와 ESP(Encapsulating Security Payload) 트래픽은 클라이언트와 서버 간에 교환됩니다. 그러나 클라이언트가 NAT-Traversal(NAT-T)을 지원하지 않고 장치가 동일한 NAT 생성 IP 주소를 두 개 이상의 클라이언트에 할당하는 경우 장치는 반환 트래픽을 제대로 구별하고 라우팅할 수 없습니다.
NAT-T 지원 클라이언트와 비 NAT-T-capable 클라이언트를 모두 지원하려는 경우 몇 가지 추가 구성이 필요합니다. NAT-T 지원 클라이언트가 있는 경우 사용자는 소스 NAT 주소 지속성을 활성화해야 합니다.
IKE 및 ESP용 ALG는 클라이언트와 서버 간의 IKE 트래픽을 모니터링하고 특정 클라이언트/서버 쌍 간에 단 하나의 IKE Phase 2 메시지 교환만 허용합니다.
IKE 및 ESP 트래픽을 위한 ALG가 생성되었으며 NAT는 다음을 구현하도록 향상되었습니다.
소스 NAT 풀을 통해 장비가 IKE 및 ESP 트래픽을 전달할 수 있도록 하려면
NAT 없이 동일한 IP 주소에 대해 동일한 NAT 생성 IP 주소를 반환하도록 디바이스를 구성("주소-영구 NAT"). 그 결과, 디바이스는 클라이언트의 나가는 IKE 트래픽을 서버의 반환 트래픽과 연결할 수 있습니다. 특히 IKE 세션이 타임아웃되고 재구축이 필요한 경우.
특히 서버에서 클라이언트로 가는 방향으로 클라이언트와 서버 간의 결과 ESP 트래픽도 허용됩니다.
RETURN ESP 트래픽은 다음과 같습니다.
소스 IP로 서버 IP 주소
대상 IP로서의 클라이언트 IP 주소
SRX1400, SRX1500, SRX3400, SRX3600, SRX5600 또는 SRX5800 디바이스에서 IKE 피어가 협상 중에 IKE 패킷의 소스 IP 주소를 변경하는 NAT 디바이스 뒤에 있는 경우 NAT 경유와 관련된 IKE 협상이 작동하지 않습니다. 예를 들어, NAT 장치가 DIP로 구성된 경우 IKE 프로토콜이 UDP 포트를 500에서 4500으로 전환하기 때문에 소스 IP가 변경됩니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 달라집니다.)
IKE 및 ESP ALG 운영 이해
IKE(Internet Key Exchange) 및 ESP(Encapsulating Security Payload) 트래픽을 위한 ALG(Application Layer Gateway)는 다음과 같은 동작을 가지고 있습니다.
IKE 및 ESP ALG는 클라이언트와 서버 간의 IKE 트래픽을 모니터링하며 특정 시간에 클라이언트와 서버 간에 하나의 IKE Phase 2 메시지 교환만 허용합니다.
2단계 메시지의 경우:
클라이언트와 서버 간의 2단계 메시지 교환이 수행되지 않으면 IKE ALG 게이트가 클라이언트에서 서버로, 서버에서 클라이언트로 관련 ESP 트래픽에 대해 열립니다.
두 IKE ALG 게이트가 모두 성공적으로 열리지 않았거나 2단계 메시지 교환이 이미 진행 중이면 2단계 메시지가 삭제됩니다.
ESP 트래픽이 IKE ALG 게이트에 도달하면 후속 ESP 트래픽을 포착하고 적절한 NATing(즉, 클라이언트에서 서버 트래픽으로의 소스 IP 주소 변환 및 서버에서 클라이언트 트래픽으로의 대상 IP 주소 변환)을 수행하기 위해 세션이 생성됩니다.
ESP 트래픽이 게이트 하나 또는 두 개 모두에 충돌하지 않으면 게이트가 자연스럽게 타임 아웃(time out)됩니다.
IKE ALG 게이트가 축소되거나 타임아웃되면 또 다른 IKE Phase 2 메시지 교환이 허용됩니다.
부동 포트 4500의 IKE NAT-T 트래픽은 IKE ALG에서 처리되지 않습니다. NAT-T 지원 클라이언트와 비능력 클라이언트를 함께 지원하려면 소스 NAT 주소가 영구적일 수 있도록 해야 합니다.
예: IKE 및 ESP ALG 구성
이 예에서는 주니퍼 네트웍스 디바이스의 소스 NAT 풀을 사용하여 IKE 및 ESP 트래픽을 통과하도록 IKE 및 ESP ALG를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전:
소스 NAT 풀의 모든 IP 주소에 대해 프록시 ARP를 구성합니다.
IKE와 ESP ALG의 개념에 대해 알아보십시오. IKE 및 ESP ALG 운영의 이해를 참조하십시오.
개요
이 예에서 IKE 및 ESP용 ALG는 주니퍼 네트웍스 장비의 반대편에 있는 클라이언트와 서버 간에 IKE 및 ESP 트래픽을 모니터링하고 교환할 수 있도록 구성됩니다.
이 예에서는 소스 NAT 풀 및 규칙 세트를 구성하고, IKE 및 ESP ALG를 지원하는 사용자 지정 애플리케이션을 구성하고, 이 ALG를 정책에 연결하는 방법을 보여줍니다.
NAT-T(NAT-Traversal) 지원 클라이언트와 비캡처 가능한 클라이언트의 결합을 지원하려면 영구 소스 NAT 변환을 활성화해야 합니다(특정 소스 NAT가 지정된 IP 주소와 연결되면 후속 소스 NAT 변환이 동일한 IP 주소를 사용). UDP 포트 4500에서 IKE 및 ESP의 캡슐화를 지원하기 위해 사용자 지정 IKE NAT 경유 애플리케이션을 구성해야 합니다. 이 구성을 통해 IKE와 ESP는 NAT 지원 디바이스를 통과할 수 있습니다.
토폴로지
구성
NAT 소스 풀 및 규칙 집합 구성
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
소스 NAT 풀을 구성하려면 다음을 수행합니다.
NAT 소스 풀을 만듭니다.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
보안 존 주소록 항목을 구성합니다.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
NAT 소스 규칙 집합을 만듭니다.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
결과
구성 모드에서 명령을 입력하여 구성을 show security nat 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
사용자 지정 애플리케이션 구성 및 정책에 연결
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
사용자 지정 애플리케이션을 구성하고 정책에 연결하려면 다음을 수행합니다.
사용자 지정 애플리케이션을 구성합니다.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
사용자 지정 애플리케이션을 정책에 연결합니다.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
결과
구성 모드에서 명령과 show security zones 명령을 입력하여 구성을 show applications 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
NAT-T 지원 및 비캡 가능 클라이언트 모두에 대한 IKE 및 ESP ALG 지원 구성
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
NAT-T 지원 클라이언트와 비캡처 가능한 클라이언트 모두에 대해 IKE 및 ESP ALG 지원을 구성하려면 다음을 수행합니다.
전역적으로 영구 소스 NAT 변환을 지원합니다.
[edit] user@host# set security nat source address-persistent
IKE NAT-T 애플리케이션을 구성합니다.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
정책을 사용하여 NAT-T 애플리케이션에 연결합니다.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
결과
구성 모드에서 명령과 show security policies 명령을 입력하여 구성을 show security nat 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
확인
구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.
IKE 및 ESP ALG 맞춤형 애플리케이션 검증
목적
IKE 및 ESP ALG를 지원하는 사용자 지정 애플리케이션이 활성화되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security alg status .
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
의미
출력은 다음과 같이 ALG 상태를 보여줍니다.
활성화—ALG가 활성화되어 있다는 것을 보여줍니다.
비활성화—ALG가 비활성화됨을 보여줍니다.
ALG의 보안 정책 검증
목적
애플리케이션 맞춤형 IKE ALG 및 애플리케이션 맞춤형 IKE NATT가 설정되었는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security policies .
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
의미
샘플 출력은 사용자 지정 IKE ALG 및 사용자 지정 IKE NATT 애플리케이션이 설정되어 있음을 보여줍니다.
예: IKE 및 ESP ALG 활성화 및 타임아웃 설정
이 예에서는 IKE 및 ESP ALG를 활성화하고 ALG가 ALG 상태 정보, ESP 게이트 및 ESP 세션을 처리할 수 있도록 타임아웃 값을 설정하는 방법을 보여줍니다.
요구 사항
IKE 및 ESP를 위한 ALG의 개념에 대해 알아보십시오. IKE 및 ESP ALG 운영의 이해를 참조하십시오.
개요
IKE 및 ESP ALG는 ALG가 연결된 정책에 지정된 모든 트래픽을 처리합니다. 이 예에서는 정책에 관계없이 모든 IPsec 패스스루 트래픽에 대해 현재 기본 IPsec 패스스루 동작이 비활성화되도록 명령문을 구성 set security alg ike-esp-nat enable 합니다.
그런 다음 타임아웃 값을 설정하여 IKE 및 ESP ALG가 ALG 상태 정보, ESP 게이트 및 ESP 세션을 처리할 수 있도록 시간을 허용합니다. 이 예에서는 ALG 상태 정보의 타임아웃을 설정합니다. 타임아웃 범위는 180~86400초입니다. 기본 타임아웃은 14400초입니다. 그런 다음 IKE Phase 2 교환이 완료된 후에 생성된 ESP 게이트의 타임아웃을 설정합니다. 타임아웃 범위는 2~30초입니다. 기본 타임아웃은 5초입니다. 마지막으로, IPsec 게이트에서 생성된 ESP 세션의 유휴 타임아웃을 설정합니다. 세션에 트래픽이 닿지 않을 경우 이 기간 이후에는 노후화됩니다. 타임아웃 범위는 60~2400초입니다. 기본 타임아웃은 1800초입니다.
구성
절차
CLI 빠른 구성
예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
IKE 및 ESP ALG를 활성화하고 타임아웃 값을 설정하려면 다음을 수행합니다.
IKE 및 ESP ALG를 활성화합니다.
[edit] user@host# set security alg ike-esp-nat enable
ALG 상태 정보에 대한 타임아웃을 설정합니다.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
IKE Phase 2 교환이 완료된 후에 생성된 ESP 게이트에 대한 타임아웃을 설정합니다.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
IPsec 게이트에서 생성된 ESP 세션의 유휴 타임아웃을 설정합니다.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
결과
구성 모드에서 명령을 입력하여 구성을 show security alg 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.