Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

멀티노드 고가용성에서의 IPsec VPN 지원

활성 백업 모드의 IPsec VPN

SRX 시리즈 방화벽은 멀티노드 고가용성 설정에서 IPsec VPN 터널을 지원합니다. Junos OS 릴리스 22.4R1 이전에는 IPsec VPN 터널이 SRG1에 고정되며, SRG1은 스테이트풀 액티브/백업 모드에서 작동합니다. 이 모드에서는 모든 VPN 터널이 SRG1이 활성화된 동일한 디바이스에서 종료됩니다.

멀티노드 고가용성은 IPsec 터널을 설정하고 다음과 같은 방법으로 키 교환을 수행합니다.

  • 라우팅 구축에서 종료 IP에 대한 활성 SRG1의 유동 IP 주소를 동적으로 연결하고 스위칭 모드에서 두 디바이스 사이에 떠 있는 가상 IP(VIP)인 종료 IP를 할당합니다.

  • SRG1이 활성 상태인 노드에서 터널 설정을 인증하기 위해 동적 CA 프로필이 필요한 경우 CA 프로필을 생성합니다.

  • 새 인증을 수행하고 새 활성 노드에서 동적 프로필을 로드하고 이전 노드에서 지웁니다.

활성 노드와 백업 노드 모두에서 명령을 실행하여 show IKE 및 IPsec 보안 연결의 상태를 표시할 수 있지만 활성 노드에서만 IKE 및 IPsec 보안 연결을 삭제할 수 있습니다.

명령을 사용하여 set chassis high-availability services-redundancy-group 1 active/backup 모드를 활성화하면 VPN 서비스가 자동으로 활성화됩니다. 자세한 내용은 구성 예를 참조하십시오.

참고:

PKI 파일은 ICL에 대해 링크 암호화를 사용하도록 설정한 경우에만 피어 노드에 동기화됩니다.

팁:

보안 디바이스에서 멀티노드 고가용성으로 VPN을 구성할 때 다음 순서를 따르는 것이 좋습니다.

  • 백업 노드에서 보안 IKE(Internet Key Exchange) 게이트웨이, IPsec VPN, 인터페이스 st0.x 및 보안 영역을 구성한 다음 구성을 커밋합니다.

  • 액티브 노드에서 보안 IKE(Internet Key Exchange) 게이트웨이, IPsec VPN, st0.x 인터페이스, 보안 영역 및 정적 경로를 구성하고 구성을 커밋합니다.

commit synchronize 옵션을 사용하지 않는 경우 활성 노드에서 구성을 커밋하기 전에 백업 노드에서 구성을 커밋해야 합니다.

백업 노드의 패킷 처리

멀티노드 고가용성에서 옵션을 사용하면 process-packet-on-backup 패킷 전달 엔진이 해당 SRG에 대한 백업 노드의 패킷을 전달합니다. 이 구성은 노드가 활성 모드가 아닌 경우에도 백업 노드에서 VPN 패킷을 처리합니다. 따라서 장애 조치(failover) 후 백업 노드가 활성 역할로 전환될 때 지연이 제거됩니다. 패킷 프로세스는 전환 기간 중에도 계속됩니다.

SRG1set chassis high-availability services-redundancy-group name process-packet-on-backup에서 [] 문을 사용하여 백업 시 프로세스 패킷을 구성할 수 있습니다.

액티브-액티브 모드의 IPsec VPN

Junos OS 릴리스 22.4R1부터 IPsec VPN을 위한 멀티 SRG1(SRG1+)을 지원하는 액티브-액티브 모드에서 작동하도록 멀티노드 고가용성을 구성할 수 있습니다. 이 모드에서는 일부 SRG가 한 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다. 특정 SRG는 항상 액티브-백업 모드로 작동합니다. 한 노드에서는 활성 모드로 작동하고 다른 노드에서는 백업 모드로 작동합니다.

멀티노드 고가용성은 여러 SRG(SRG1+)가 있는 액티브-액티브 모드에서 IPsec VPN을 지원합니다. 이 모드에서는 SRG 활성도에 따라 두 노드에서 여러 활성 터널을 설정할 수 있습니다. 서로 다른 노드에서 서로 다른 SRX가 활성화될 수 있으므로 이러한 SRG에 속하는 터널은 두 노드에서 독립적으로 작동합니다. 두 노드 모두에 활성 터널이 있으면 두 노드 모두에서 데이터 트래픽을 암호화/복호화할 수 있으므로 대역폭을 효율적으로 사용할 수 있습니다.

그림 1그림 2 은(는) active-backup 및 active-active 멀티노드 고가용성 IPsec VPN 터널의 차이를 보여줍니다.
그림 1: 멀티노드 고가용성 Active-Backup IPsec VPN Tunnel in Multinode High Availability 의 Active-Backup IPsec VPN 터널
그림 2: 멀티노드 고가용성의 액티브-액티브 IPsec VPN 터널 Active-Active IPsec VPN Tunnel in Multinode High Availability

멀티노드 고가용성은 IPsec 터널을 설정하고 종료 IP 주소(터널에서 끝나는 터널도 식별)를 SRG에 연결하여 키 교환을 수행합니다. 디바이스마다 다른 SRG1+가 활성 상태 또는 백업 상태가 될 수 있으므로, 멀티노드 고가용성은 일치하는 트래픽을 해당 액티브 SRG1으로 효과적으로 전달합니다. 또한 멀티노드 고가용성은 SRG ID 및 IP 접두사 매핑 정보를 유지합니다.

1표 2 는 SRG1+ 변경의 변경으로 인한 IPsec VPN 터널의 영향에 대한 세부 정보를 제공합니다.

표 1: SRG1+ 수정으로 인한 IPsec VPN 터널에 미치는 영향
SRG1 변경 이 IPSec VPN 터널에 미치는 영향
SRG 추가 기존 터널에 영향 없음
SRG 삭제

SRG와 연결된 모든 경로를 삭제합니다.

SRG 속성(prefix-list 제외) 수정 기존 터널에 영향 없음
SRG ID 수정 SRG와 연결된 기존 터널을 모두 삭제합니다.
접두사 목록 수정의 IP 접두사

특정 IP 접두사에 매핑되는 모든 터널을 삭제합니다.

수정된 IP 접두사에 대한 기존 터널 매핑이 없는 경우 영향이 없습니다.

작업
표 2: SRG1+ 상태 변경으로 인한 IPsec VPN 터널에 미치는 영향
멀티노드 고가용성에서 SRG 상태 변경

Active 받는 사람 Backup

해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다.

Active 받는 사람 Ineligible

해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다.

Active 받는 사람 Hold

해당 사항 없음

Backup 받는 사람 Active

작업 없음

Ineligible 받는 사람 Active

작업 없음

Hold 받는 사람 Active

작업 없음

Hold 받는 사람 Backup

작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음)

Ineligible 받는 사람 Backup

작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음)

Hold 받는 사람 Ineligible

작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음)

SRG에 IPsec VPN 서비스 연결

22.4R1 이전 릴리스는 SRG0 및 SRG1만 지원했으며, SRG1은 기본적으로 IPsec VPN에 연결되었습니다. 22.4R1에서 SRG는 기본적으로 IPSec VPN 서비스에 연결되어 있지 않습니다. 다음과 같은 방법으로 IPsec VPN 서비스를 여러 SRG에 연결해야 합니다.

  • IPsec을 관리 서비스로 지정

    전: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]

  • IP 접두사 목록 만들기

    전: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

    [set policy-options prefix-list <name> <IP address>

멀티노드 고가용성 설정에 여러 SRX가 있는 경우 일부 SRG는 한 노드에서 활성 상태이고 일부 SRG는 다른 노드에서 활성화됩니다. IP 접두사 목록을 구성하여 특정 IPsec 터널을 특정 노드(SRX 시리즈 방화벽)에 고정할 수 있습니다.

IPsec VPN 구성에서 IKE(Internet Key Exchange) 게이트웨이는 두 보안 디바이스 간의 네트워크 연결을 시작하고 종료합니다. 로컬 엔드(로컬 IKE 게이트웨이)는 IKE 협상을 시작하는 SRX 시리즈 인터페이스입니다. 로컬 IKE(Internet Key Exchange) 게이트웨이에는 VPN 연결에서 엔드포인트로 사용하는 방화벽에서 공개적으로 라우팅 가능한 IP 주소인 로컬 IP 주소가 있습니다.

IP 접두사 목록에는 IKE(Internet Key Exchange) 게이트웨이의 로컬 주소로 사용되는 IPv4 또는 IPv6 주소 접두사 목록이 포함됩니다. 이러한 IP 접두사(prefix-list)를 지정된 SRG1과 연결하여 IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 SRG의 상태에 따라 더 높은 선호도로 광고할 수 있습니다.

특정 IPsec VPN 터널을 특정 보안 디바이스에 고정하려면 다음을 수행해야 합니다.

  • IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 포함하여 IP 접두사 목록을 생성하고 IP 접두사 목록을 SRG에 연결합니다.

    예제:

  • 접두사 목록에 대한 routing-instance를 정의합니다.

    접두사 목록에 라우팅 인스턴스를 연결하지 않으면 멀티노드 고가용성은 VPN 기능에 영향을 줄 수 있는 기본 라우팅 테이블을 사용합니다.

  • IPsec VPN을 SRG에 연결/활성화합니다.

    예제:

    이 구성을 사용하면 멀티노드 고가용성 설정에서 SRX 시리즈 방화벽에 구성된 여러 SRG 중 하나에 IPsec VPN을 선택적으로 유연하게 연결할 수 있습니다.

다음 명령을 사용하여 SRG에 대한 IKE/IPsec 개체의 매핑을 확인할 수 있습니다.

다음 명령을 사용하여 SRG와 IP 접두사 목록의 매핑을 확인할 수 있습니다.

접두사 목록을 구성하지 않으면 다음과 같은 경고 메시지가 표시됩니다.

자세한 내용은 예: 레이어 3 네트워크의 액티브-액티브 멀티노드 고가용성에서 IPSec VPN 구성을 참조하십시오.

IPsec VPN을 위한 동적 라우팅 프로토콜 지원

Junos OS 릴리스 23.2R1부터 로컬 노드 터널을 사용하여 멀티노드 고가용성 설정에서 IPsec VPN을 위한 동적 라우팅 프로토콜을 활성화할 수 있습니다. 동적 라우팅 프로토콜이 추가하는 경로는 노드에 로컬로 유지됩니다. 이러한 경로는 SRG(Services Redundancy Group)에 바인딩되지 않습니다.

이전 릴리스에서 멀티노드 고가용성은 트래픽 선택기 구축만 지원합니다. 즉, 트래픽 선택기를 사용하여 IPsec VPN을 구성할 때 구성은 트래픽 선택기 접두사를 기반으로 기본 설정 값과 라우팅 메트릭을 고려하여 경로를 설치합니다.

노드-로컬 터널을 구성할 때 VPN 피어 디바이스에서 멀티노드 고가용성 설정의 두 노드로 연결되는 별도의 터널이 있습니다. 즉, 두 개의 멀티노드 고가용성 노드 각각에 대한 하나의 노드-로컬 터널이 있습니다.

그림 3, 그림 4그림 5는 각각 동기화된 터널, 노드-로컬 터널, 동기화된 터널과 노드-로컬 터널의 조합을 사용한 멀티노드 고가용성 IPsec VPN 구축을 보여줍니다.

그림 3: 동기화된 터널을 Multinode High Availability Deployment with Synced Tunnels 사용한 멀티노드 고가용성 구축

앞의 그림은 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여줍니다. IPsec VPN 터널은 활성 SRG1+에 고정됩니다. 연결된 SRG1+가 활성화되면 터널은 활성 상태를 유지합니다. 이 구축에서 트래픽은 활성 터널(터널 1)을 통해 실행됩니다.

그림 4: Node-Local 터널 Multinode High Availability Deployment with Node-Local Tunnel 을 사용한 멀티노드 고가용성 구축

앞의 그림에서는 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 두 개의 노드-로컬 터널이 있습니다. 각 터널은 설정의 두 노드 중 하나에 연결됩니다. 이 터널은 SRG1+와 연결되어 있지 않습니다. 터널 중 하나 또는 둘 다 언제든지 활성 상태를 유지할 수 있습니다. 구성된 라우팅 프로토콜에 따라 트래픽은 언제든지 터널 2 또는 터널 3을 통해 실행됩니다.

그림 5: 동기화된 터널과 노드-로컬 터널 Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels 의 조합을 사용한 멀티노드 고가용성 구축

앞의 그림은 VPN 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여줍니다. 또한 이 그림에는 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 있는 두 개의 노드-로컬 터널이 나와 있습니다.

IPsec VPN 터널은 활성 SRG1+에 고정되며 연결된 SRG1+가 활성화될 때 활성 상태를 유지합니다. 노드-로컬 터널의 경우 두 터널 모두 활성 상태로 유지됩니다.

표 3 은 터널과 동기화된 터널 간의 node-local 차이를 보여줍니다.

터널
표 3: 노드-로컬 터널과 동기화된 터널의 차이점
기능 노드-로컬동기화된 터널
SRG1+와의 연결 아니요
멀티노드 고가용성 노드 간 터널 정보 동기화 아니요
활성 터널 수 하나

IPsec VPN 터널을 Node-Local 터널로 표시

다음 문을 사용하여 SRX 시리즈 방화벽에서와 같이 node-local IPsec VPN 터널을 구성할 수 있습니다.

멀티노드 고가용성 설정에서 두 노드 모두에 대해 옵션을 구성해야 node-local 합니다.

라우팅 정책을 구성할 때 하나의 터널에 대한 기본 설정을 지정해야 합니다.