이 페이지의 내용

개요
요구 사항
토폴로지
구성
검증

예: 레이어 3 네트워크에서 액티브-액티브 멀티노드 고가용성으로 IPSec VPN 구성

이 예는 액티브-액티브 멀티노드 고가용성 설정을 위해 IPsec VPN을 구성하고 확인하는 방법을 보여줍니다.

개요

멀티노드 고가용성에서는 참여하는 SRX 시리즈 방화벽이 레이어 3 네트워크에서 독립적인 노드로 작동합니다. 노드는 서로 다른 네트워크에 속한 인접 인프라에 연결됩니다. 암호화된 논리적 섀시 간 링크(ICL)는 라우팅된 네트워크를 통해 노드를 연결합니다. 참여 노드는 시스템 또는 하드웨어 장애 발생 시 빠른 동기화된 페일오버를 보장하기 위해 서로 백업합니다.

멀티노드 고가용성은 여러 서비스 중복 그룹(SRG)을 지원하는 액티브-액티브 모드로 운영할 수 있습니다. 이 모드에서 일부 SRG는 한 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다.

멀티노드 고가용성은 여러 SRG(SRG1+)를 사용하여 액티브-액티브 모드에서 IPsec VPN을 지원합니다. 이 모드에서는 SRG 활성에 따라 두 노드 모두에서 여러 활성 터널을 설정할 수 있습니다. 멀티노드 고가용성은 IPsec 터널을 설정하고 종료 IP 주소(끝나는 터널도 식별함)를 SRG에 연결하여 키 교환을 수행합니다. 서로 다른 SRG1+가 각 디바이스에서 활성 상태이거나 백업 상태일 수 있기 때문에 멀티노드 고가용성은 일치하는 트래픽을 해당 활성 SRG1로 효과적으로 조정합니다. 서로 다른 SRG가 서로 다른 노드에서 활성화될 수 있으므로 이러한 SRG에 속하는 터널은 두 노드에서 독립적으로 작동합니다.

참고:

멀티노드 고가용성 솔루션에서는 2노드 구성을 지원합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

2개의 SRX 시리즈 방화벽(지원되는 디바이스는 SRX5400, SRX5600 및 SRX5800(SPC3, IOC3, SCB3, SCB4 및 RE3))
Junos OS 릴리스 22.4R1

이 예시에서는 두 개의 주니퍼 네트웍스 MX 시리즈 라우팅 플랫폼을 업스트림/다운스트림 라우터로 사용했습니다.

시작하기 전에

네트워크 요구 사항에 따라 무상태 방화벽 필터링 및 QoS(Quality of Service)를 구성하고 네트워크의 트래픽을 관리하기 위한 적절한 보안 정책을 갖추어야 합니다.
일반적인 고가용성 구축에서는 네트워크의 노스바운드 및 사우스바운드 양에 여러 라우터와 스위치가 있습니다. 이 예시에서는 SRX 시리즈 방화벽의 양쪽에 있는 두 개의 라우터를 사용하고 있습니다. 네트워크 요구 사항에 따라 업스트림 및 다운스트림 라우터를 구성했는지 확인합니다.
명령을 request system software add optional://junos-ike.tgz 사용하여 SRX 시리즈 방화벽에 Junos IKE 패키지를 설치합니다. 이 junos-ike 패키지는 Junos 소프트웨어 패키지(Junos OS 릴리스 20.4R1 이상)에 포함되어 있습니다.

토폴로지

그림 1 은 이 예에서 사용되는 토폴로지를 보여줍니다.

그림 1: 레이어 3 네트워크 Network topology diagram showing connectivity of SRX-01, SRX-02, and SRX-03 devices with R1 and R2 routers across Untrust, Trust, VPN, and ICL zones. IP addresses and interfaces are labeled for security-focused network documentation.

Network topology diagram showing connectivity of SRX-01, SRX-02, and SRX-03 devices with R1 and R2 routers across Untrust, Trust, VPN, and ICL zones. IP addresses and interfaces are labeled for security-focused network documentation.

의 멀티노드 고가용성

토폴로지에서 볼 수 있듯이, 두 개의 SRX 시리즈 방화벽(SRX-1 및 SRX-2)은 신뢰 및 언트러스트 측의 인접 라우터에 연결되어 BGP 인접 관계를 형성합니다. 암호화된 논리적 섀시 간 링크(ICL)는 라우팅된 네트워크를 통해 노드를 연결합니다. 노드는 네트워크를 통해 라우팅 가능한 IP 주소(유동 IP 주소)를 사용하여 서로 통신합니다.

SRX-03 디바이스는 멀티노드 고가용성 설정의 피어 디바이스 역할을 하며 SRX-01 및 SRX-02 디바이스와 IPsec VPN 터널을 설정합니다.

다음 작업을 수행하여 멀티노드 고가용성 설정을 빌드합니다.

ID를 할당하여 한 쌍의 SRX 시리즈 방화벽을 로컬 및 피어 노드로 구성합니다.
서비스 중복 그룹(SRG1 및 SRG2)을 구성합니다.
유동 IP 주소를 호스팅하고 피어 게이트웨이에 도달하기 위해 루프백 인터페이스(lo0.0)를 구성합니다. 루프백 인터페이스를 사용하면 특정 지점에서 인접 라우터의 트래픽이 유동 IP 주소(즉, 활성 노드)로 전달됩니다.
활성 상태 확인 및 적용을 위한 IP 프로브를 구성합니다
활성 적용에 필요한 신호 경로를 구성하고 경로 존재 정책과 함께 사용합니다.
IKEv2를 사용하여 고가용성(ICL) 트래픽에 대한 VPN 프로필을 구성합니다.
BFD 모니터링 옵션 구성
라우팅 정책 및 라우팅 옵션 구성
네트워크 요구 사항에 따라 인터페이스와 영역을 구성합니다. 링크 암호화를 위한 IKE(Internet Key Exchange) 및 구성 동기화를 위한 SSH와 같은 서비스를 ICL과 연결된 보안 영역에서 호스트-인바운드 시스템 서비스로 허용해야 합니다.
SRX-01 및 SRX-02 디바이스에서 IPsec VPN에 대한 그룹 구성을 생성하여 VPN 피어 디바이스(SRX-03)와 터널을 설정합니다. 구성 그룹을 사용하면 동일한 구성 내에서 재사용되는 공통 요소를 적용할 수 있습니다.
[groups] 옵션을 사용하여 SRX-03 디바이스와 터널을 설정하고 두 디바이스(SRX-01 및 SRX-02)에서 IPsec VPN 구성 동기화를 활성화하도록 IPsec VPN 옵션을 구성합니다.
IPsec VPN 옵션으로 VPN 피어 디바이스를 구성합니다.

섀시 간 링크(ICL)의 경우 다음 구성을 권장합니다.

일반적으로 SRX 시리즈 방화벽에서 AE(Aggregated Ethernet) 또는 수익 이더넷 포트를 사용하여 ICL 연결을 설정할 수 있습니다. 이 예에서는 ICL에 GE 포트를 사용했습니다. 또한 최대의 세그멘테이션을 보장하기 위해 ICL 경로에 대한 라우팅 인스턴스를 구성했습니다.
SRX 시리즈 방화벽에서 사용 가능한 경우 전용 HA 포트(제어 및 패브릭 포트)를 사용하지 마십시오.
최대 전송 단위(MTU)를 1514로 설정
ICL에 사용되는 인터페이스와 연관된 보안 영역에서 다음 서비스를 허용합니다
- IKE, 고가용성, SSH
- 필요한 라우팅 프로토콜에 따른 프로토콜.
- BFD를 사용하여 이웃 경로를 모니터링합니다.

SRG0 및 SRG1+에서 다음 옵션을 구성할 수 있습니다.

SRG0 및 SRG1에서 다음 옵션을 구성할 수 있습니다.

SRG1: 활성/백업 신호 경로, 구축 유형, 활성성 우선순위, 선점, 가상 IP 주소(기본 게이트웨이 구축용), 활성성 프로빙 및 백업 패킷 프로세스.
SRG1: SRG1의 BFD 모니터링, IP 모니터링 및 인터페이스 모니터링 옵션.
SRG0: 실패 시 종료 및 실패 시 설치 경로 옵션.

SRG1에서 모니터링(BFD 또는 IP 또는 인터페이스) 옵션을 구성할 때, SRG0에서 실패 시 shutdown이라는 옵션을 구성하지 않는 것이 좋습니다.

SRG1: 활성/백업 신호 경로, 구축 유형, 활성성 우선순위, 선점, 가상 IP 주소(기본 게이트웨이 구축용), 활성성 프로빙 및 백업 패킷 프로세스.
SRG1: SRG1의 BFD 모니터링, IP 모니터링 및 인터페이스 모니터링 옵션.
SRG0: 실패 시 종료 및 실패 시 설치 경로 옵션.

SRG1에서 모니터링(BFD 또는 IP 또는 인터페이스) 옵션을 구성할 때, SRG0에서 실패 시 shutdown이라는 옵션을 구성하지 않는 것이 좋습니다.

표 1 은 이 예에서 사용된 인터페이스 구성에 대한 세부 정보를 보여줍니다.

표 1: 보안 디바이스의 인터페이스 및 IP 주소 구성
디바이스	인터페이스	영역	IP 주소	구성
SRX-01	lo0	언트러스트	10.11.0.1/32	유동 IP 주소 IKE(Internet Key Exchange) 게이트웨이 주소
	lo0	언트러스트	10.12.0.1/32	IKE(Internet Key Exchange) 게이트웨이 주소
	ge-0/0/2	아이슬	10.22.0.2/24	ICL 연결
	ge-0/0/4	신뢰	10.5.0.1/24	R2 라우터에 연결
	ge-0/0/3	언트러스트	10.3.0.2/24	R1 라우터에 연결
SRX-02	lo0	언트러스트	10.12.0.1/32	유동 IP 주소 IKE(Internet Key Exchange) 게이트웨이 주소
	lo0	언트러스트	10.11.0.1/32	IKE(Internet Key Exchange) 게이트웨이 주소
	ge-0/0/2	아이슬	10.22.0.1/24	ICL 연결
	ge-0/0/3	언트러스트	10.2.0.2/24	R1 라우터에 연결
	ge-0/0/4	신뢰	10.4.0.1/24	R2 라우터에 연결
SRX-03	lo0	언트러스트	10.112.0.1/32	IKE(Internet Key Exchange) 게이트웨이 주소
	lo0	언트러스트	10.112.0.5/32	IKE(Internet Key Exchange) 게이트웨이 주소
	ge-0/0/0	언트러스트	10.7.0.1/24	R2 라우터에 연결
	ge-0/0/2	신뢰	10.6.0.2/24	클라이언트 디바이스에 연결

표 2: 라우팅 디바이스의 인터페이스 및 IP 주소 구성
에 구성된	디바이스	인터페이스	IP 주소
R2	lo0	10.111.0.2/32	R2의 루프백 인터페이스 주소
	ge-0/0/1	10.4.0.2/24	SRX-02에 연결
	ge-0/0/0	10.5.0.2/24	SRX-01에 연결
	ge-0/0/2	10.7.0.2/24	SRX-03(VPN 피어 디바이스)에 연결
R1	lo0	10.111.0.1/32	R1의 루프백 인터페이스 주소
	ge-0/0/0	10.3.0.1/24	SRX-01에 연결
	ge-0/0/1	10.2.0.1/24	SRX-02에 연결

시작하기 전에

멀티노드 고가용성 구성을 위한 SRX 시리즈 방화벽에는 Junos IKE 패키지가 필요합니다. 이 패키지는 SRX 시리즈 방화벽에서 기본 패키지 또는 옵션 패키지로 제공됩니다. 자세한 내용은 Junos IKE 패키지 지원을 참조하십시오.

패키지가 SRX 시리즈 방화벽에 기본적으로 설치되지 않는 경우 다음 명령을 사용하여 설치합니다. ICL 암호화를 위해 이 단계가 필요합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

이러한 구성은 랩 환경에서 캡처되었으며 참조용으로만 제공됩니다. 실제 구성은 환경의 특정 요구 사항에 따라 다를 수 있습니다.

SRX-01 디바이스

SRX-02 디바이스

SRX-3 디바이스

다음 섹션에서는 네트워크에서 멀티노드 고가용성 설정을 설정하는 데 필요한 라우터의 구성 코드 조각을 보여줍니다.

R1 라우터

R2 라우터

구성

단계별 절차
IPsec VPN 구성(SRX-1 및 SRX-2)

단계별 절차

단계별 절차에서 SRX-01의 구성을 보여줍니다.

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스를 구성합니다.

ge-0/0/3 및 ge-0/0/4 인터페이스를 사용하여 업스트림 및 다운스트림 라우터에 연결하고 ge-0/0/2 인터페이스를 사용하여 ICL을 설정합니다.

루프백 인터페이스를 구성합니다.

IP 주소 10.11.0.1 및 10.12.0.1을 루프백 인터페이스에 할당합니다. 10.11.0.1을 유동 IP 주소로, 10.12.0.1을 IKE 게이트웨이 주소로 사용합니다.

보안 영역을 구성하고, 영역에 인터페이스를 할당하고, 보안 영역에 허용되는 시스템 서비스를 지정합니다.

인터페이스 ge-0/0/3 및 ge-0/0/4에 각각 신뢰 및 신뢰할 수 없는 영역을 할당합니다. IP 네트워크를 통해 연결하기 위해 신뢰할 수 없는 영역에 lo0.0 인터페이스를 할당합니다. 인터페이스 ge-0/0/2를 ICL 영역에 할당합니다. 이 영역을 사용하여 ICL을 설정할 수 있습니다. VPN 보안 영역에 보안 터널 인터페이스를 할당합니다.

노드 ID, 로컬 노드 및 피어 노드의 lP 주소, 피어 노드의 인터페이스와 같은 로컬 노드 및 피어 노드 세부 정보를 모두 구성합니다.

ICL을 사용하여 피어 노드와 통신하기 위해 ge-0/0/2 인터페이스를 사용합니다.

IPSEC_VPN_ICL IPSec VPN 프로필을 피어 노드에 연결합니다.
노드 간에 보안 ICL 링크를 설정하려면 이 구성이 필요합니다.

피어 노드에 대한 BFD(Bidirectional Forwarding Detection) 프로토콜 옵션을 구성합니다.

서비스 중복 그룹 SRG1 및 SRG2를 구성합니다.

이 단계에서는 레이어 3 네트워크에서 멀티노드 고가용성을 설정하기 때문에 배포 유형을 라우팅으로 지정합니다.

SRG1 및 SRG2 모두의 활성성 결정 매개 변수를 설정합니다.

SRG1
SRG2
유동 IP 주소를 소스 IP 주소(SRG1의 경우 10.11.0.1, SRG2의 경우 10.12.0.1)로 사용하고 업스트림 라우터의 IP 주소를 활성 성 결정 프로브의 대상 IP 주소(10.111.0.1)로 사용합니다.

IP 모니터링 및 활성 프로빙을 위해 최대 64개의 IP 주소를 구성할 수 있습니다. 총 64개의 IP 주소는 IPv4와 IPv6 주소 수의 합계입니다)

SRG1 및 SRG2에 대한 BFD 모니터링 매개 변수를 구성하여 네트워크 장애를 탐지합니다.

SRG1

SRG2

활성 적용에 필요한 활성 신호 경로를 구성합니다.

SRG1

SRG2

참고: 정책-옵션 문에서 route-exists 정책과 함께 활성 신호 경로를 지정해야 합니다. with if-route-exists 조건을 구성할 active-signal-route 때 HA 모듈은 이 경로를 라우팅 테이블에 추가합니다.

IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 포함하여 IP 접두사 목록을 생성하고 IP 접두사 목록을 SRG1 및 SRG2에 연결합니다.

SRG1

SRG2

이 구성은 특정 IPsec VPN 터널을 특정 보안 디바이스에 고정합니다.

SRG1 및 SRG2 모두에서 IPsec VPN 서비스를 활성화합니다.

ICL에 대한 IPSec VPN 옵션을 구성합니다.

IKE(Internet Key Exchange) 구성을 정의합니다. IKE(Internet Key Exchange) 구성은 보안 연결을 설정하는 데 사용되는 알고리즘과 키를 정의합니다.

멀티노드 고가용성 기능의 경우, IKE 버전을 다음과 같이 구성해야 합니다. v2-only

IPsec 제안 프로토콜 및 암호화 알고리즘을 지정합니다. IPsec 옵션을 지정하여 두 참가자 디바이스 사이에 IPsec 터널을 생성하여 VPN 통신을 보호합니다.

옵션을 지정하면 ha-link-encryption 노드 간의 고가용성 트래픽 플로우를 보호하기 위해 ICL이 암호화됩니다.

구성에서 set chassis high-availability peer-id <id> vpn-profile vpn_profile 동일한 VPN 이름 ICL_IPSEC_VPN 언급 vpn_profile 해야 합니다.

보안 정책을 구성합니다.
이 예제에서는 모든 트래픽을 허용하는 정책을 구성했습니다. 네트워크 요구 사항에 따라 보안 정책을 생성하여 조직 정책에서 허용하는 트래픽을 허용하고 다른 모든 트래픽은 거부하는 것이 좋습니다. 이 예제에서만 데모 목적으로 기본 정책을 사용했습니다.

라우팅 옵션을 구성합니다.

정책 옵션을 구성합니다.

경로 일치 조건(if-route-exists)을 사용하여 활성 신호 경로 10.39.1.1(SRG1) 및 10.49.1.1(SRG2)을 구성합니다. 멀티노드 고가용성은 노드가 활성 역할로 이동할 때 이 경로를 라우팅 테이블에 추가합니다. 또한 노드는 더 높은 선호 경로를 보급하기 시작합니다. 백업 신호 경로(10.39.1.2 및 10.49.1.2)를 구성하여 중간 우선순위로 백업 노드를 보급합니다. 장애가 발생할 경우 고가용성 링크가 다운되고 현재 활성 노드가 기본 역할을 해제하고 active-signal-route를 제거합니다. 이제 백업 노드는 프로브를 통해 상태를 감지하고 활성 역할로 전환합니다. 모든 트래픽을 새 활성 노드로 이동하도록 경로 기본 설정이 전환됩니다

BFD 피어링 세션 옵션을 구성하고 활성 감지 타이머를 지정합니다.

IPsec VPN 구성(SRX-1 및 SRX-2)

피어 SRX 시리즈 방화벽과의 IPsec VPN 연결을 설정하는 방법은 다음과 같습니다. 이 예에서는 모든 IPsec VPN 구성 문을 vpn_config라는 JUNOS 구성 그룹 안에 배치합니다.

구성 맨 위에 구성 그룹을 vpn_config 만들고 IPsec VPN 특정 세부 정보를 구성합니다.

vpn_config 구성 그룹에서 문을 상속하려면 구성에 apply-groups 문을 포함합니다.

구성(SRX-03) (VPN 피어 디바이스)

단계별 절차

IKE(Internet Key Exchange) 제안을 생성합니다.

IKE(Internet Key Exchange) 정책을 정의합니다.

IKE(Internet Key Exchange) 게이트웨이를 생성하고, 주소를 정의하고, 외부 인터페이스 및 버전을 지정합니다.

IPsec 제안을 생성합니다.

IPsec 정책을 생성합니다.

IPsec 제안 참조(IKE 게이트웨이, IPsec 정책, 바인딩할 인터페이스 및 트래픽 선택기)를 지정합니다.

보안 정책을 생성합니다.
이 예제에서는 모든 트래픽을 허용하는 정책을 구성했습니다. 네트워크 요구 사항에 따라 보안 정책을 생성하여 조직 정책에서 허용하는 트래픽을 허용하고 다른 모든 트래픽은 거부하는 것이 좋습니다. 이 예제에서만 데모 목적으로 기본 정책을 사용했습니다.

인터페이스를 구성합니다.

보안 영역을 정의하고 인터페이스를 추가합니다.

고정 경로를 구성합니다.

결과(SRX-01)

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다.

출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

결과 (SRX-02)

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

보안 디바이스에서 디바이스 를 재부팅하라는 다음 메시지가 표시됩니다.

결과(SRX-3) (VPN 피어 디바이스)

구성 모드에서 다음 명령을 입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하고 있는지 확인합니다.

멀티노드 고가용성 세부 정보 확인
멀티노드 고가용성 세부 정보 확인
멀티노드 고가용성 피어 노드 상태 확인
멀티노드 고가용성 서비스 중복 그룹 확인
섀시 간 링크(ICL) 암호화 상태 확인
링크 암호화 터널 통계 확인
섀시 간 링크 활성 피어 확인
VPN 상태 확인
IPsec 보안 연결 세부 정보 표시
SRG당 활성 피어 표시
SRG 매핑에 대한 IP 접두사 표시
BGP 세션 정보를 표시합니다.

멀티노드 고가용성 세부 정보 확인

목적
작업
의미

목적

보안 디바이스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

SRX-1에서

SRX-2에서

의미

명령 출력에서 다음 세부 사항을 확인합니다.

IP 주소 및 ID와 같은 로컬 노드 및 피어 노드 세부 정보.
필드 Encrypted: YES 는 트래픽이 보호되고 있음을 나타냅니다.
필드 Deployment Type: ROUTING 는 레이어 3 모드 구성, 즉 네트워크의 양쪽에 라우터가 있음을 나타냅니다.
필드 Services Redundancy Group: 1 Services Redundancy Group: 2 는 해당 노드에서 SRG1 및 SRG2(활성 또는 백업)의 상태를 나타냅니다.

멀티노드 고가용성 세부 정보 확인

목적
작업
의미

목적

보안 디바이스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

SRX-01에서

의미

명령 출력에서 다음 세부 사항을 확인합니다.

필드 Services: [ IPSEC ] 는 각 SRG에 대한 연결된 IPSec VPN을 나타냅니다.
필드 BFD Monitoring, Interface Monitoring, 모니터링 Split-brain Prevention Probe Info 세부 정보를 표시합니다.
필드 Cold Synchronization는 SRG State Change Events 현재 상태 및 최근 변경 사항에 대한 세부 정보를 제공합니다.
필드 Services Redundancy Group: 1 Services Redundancy Group: 2 는 해당 노드에서 SRG1 및 SRG2(활성 또는 백업)의 상태를 나타냅니다.

명령 출력에서 IP 180.100.1.2와 같은 IP 주소는 Junos OS에 의해 내부적으로 생성되며 이러한 주소는 라우팅 테이블을 방해하지 않습니다.

멀티노드 고가용성 피어 노드 상태 확인

목적
작업
의미

목적

피어 노드 세부 정보를 보고 확인합니다.

작업

운영 모드의 SRX-01 및 SRX-02에서 다음 명령을 실행합니다.

SRX-01

SRX-02

의미

명령 출력에서 다음 세부 사항을 확인합니다.

사용된 인터페이스, IP 주소, ID와 같은 피어 노드 세부 정보
암호화 상태, 연결 상태 및 콜드 동기화 상태
노드 전반의 패킷 통계.

멀티노드 고가용성 서비스 중복 그룹 확인

목적
작업
의미

목적

SRG가 구성되고 올바르게 작동하는지 확인합니다.

작업

운영 모드의 두 보안 디바이스 모두에서 다음 명령을 실행합니다.

SRX-02의 SRG1

SRX-02의 SRG2

SRX-01의 SRG1

SRX-01의 SRG2

의미

명령 출력에서 다음 세부 사항을 확인합니다.

구축 유형, 상태, 활성 및 백업 신호 경로와 같은 피어 노드 세부 정보.
분할 뇌 방지 프로브, IP 모니터링 및 BFD 모니터링 상태.
연관된 IP 접두사 테이블입니다.

섀시 간 링크(ICL) 암호화 상태 확인

목적
작업
의미

목적

섀시 간 링크(ICL) 상태를 확인합니다.

작업

SRX-01에서 다음 명령을 실행합니다.

의미

명령 출력은 다음 정보를 제공합니다.

로컬 게이트웨이 및 원격 게이트웨이 세부 정보입니다.
PIC의 각 스레드에 대한 IPsec SA 쌍입니다.
HA 링크 암호화 모드(다음 줄 참조):
사용된 인증 및 암호화 알고리즘

주의:

명령 출력에 표시된 IP 범위(180.100.1.x)는 ICL IPsec 트래픽 선택기 역할을 합니다. 시스템은 이 IP 범위를 동적으로 할당하므로 변경하거나 수정하지 않는 것이 중요합니다. 또한 더 넓은 180.x.x.x IP 범위에 대해 BFD(Bidirectional Forwarding Detection)가 자동으로 활성화됩니다.

링크 암호화 터널 통계 확인

목적
작업
의미

목적

활성 노드와 백업 노드 모두에서 링크 암호화 터널 통계를 확인합니다.

작업

SRX-01에서 다음 명령을 실행합니다.

의미

VPN 전반에서 패킷 손실 문제가 발견되면 명령을 여러 번 실행 show security ipsec statistics ha-link-encryption 하여 암호화 및 복호화된 패킷 카운터가 증가하고 있는지 확인할 수 있습니다. 또한 다른 오류 카운터가 증가하는지 확인해야 합니다.

이 명령을 사용하여 clear security ipsec security-associations ha-link-encryption 모든 IPsec 통계를 지웁니다.

섀시 간 링크 활성 피어 확인

목적
작업
의미

목적

ICL 활성 피어만 볼 수 있고 일반 IKE 활성 피어는 볼 수 없습니다.

작업

SRX-01 및 SRX-02 디바이스에서 다음 명령을 실행합니다.

SRX-1

SRX-2

의미

명령 출력에는 활성 피어가 사용 중인 피어 주소 및 포트와 같은 세부 정보와 함께 ICL의 활성 피어만 표시됩니다.

VPN 상태 확인

목적
작업
의미

목적

SRG 수준에서 IKE(Internet Key Exchange) 보안 연결 상태를 확인하여 VPN 상태를 확인합니다.

작업

SRX-1, SRX-2 및 SRX-3(VPN 피어 디바이스)에서 다음 명령을 실행합니다.

SRX-01

SRX-02

SRX-3(VPN 피어 디바이스)

의미

출력은 다음을 나타냅니다.

원격 피어의 IP 주소입니다.
두 원격 피어 모두에 대해 UP으로 표시된 상태는 1단계 설정의 성공적인 연결을 나타냅니다.
원격 피어 IP 주소, IKE(Internet Key Exchange) 정책 및 외부 인터페이스가 모두 정확합니다.

IPsec 보안 연결 세부 정보 표시

목적
작업
의미

목적

SRG ID로 식별된 개별 IPsec SA 세부 정보를 표시합니다.

작업

SRX 시리즈 방화벽에서 다음 명령을 실행합니다.

SRX-1

SRX-02

SRX-03

의미

출력은 VPN의 상태를 표시합니다.

SRG당 활성 피어 표시

목적
작업
의미

목적

사용 중인 피어 주소 및 포트가 있는 연결된 활성 피어의 목록을 표시합니다.

작업

SRX 시리즈 방화벽에서 다음 명령을 실행합니다.

SRX-01

SRX-02

의미

출력에는 사용된 피어 주소 및 포트에 대한 세부 정보와 함께 연결된 디바이스 목록이 표시됩니다.

SRG 매핑에 대한 IP 접두사 표시

목적
작업
의미

목적

SRG 매핑 정보에 대한 IP 접두사를 표시합니다.

작업

SRX-01 디바이스에서 다음 명령을 실행합니다.

의미

출력은 설정에서 SRG에 매핑된 IP 주소 접두사를 보여줍니다.

BGP 세션 정보를 표시합니다.

목적
작업
의미

목적

BGP 및 해당 인접 라우터에 대한 요약 정보를 표시하여 피어에서 경로를 수신하는지 판별합니다.

작업

SRX 시리즈 방화벽에서 다음 명령을 실행합니다.

SRX-1 디바이스

SRX-2 디바이스

의미

출력은 BGP 세션이 설정되고 피어가 업데이트 메시지를 교환하고 있음을 보여줍니다.

이 페이지의 내용

예: 레이어 3 네트워크에서 액티브-액티브 멀티노드 고가용성으로 IPSec VPN 구성

개요

요구 사항

시작하기 전에

토폴로지

구성

시작하기 전에

CLI 빠른 구성

구성

단계별 절차

IPsec VPN 구성(SRX-1 및 SRX-2)

구성(SRX-03) (VPN 피어 디바이스)

단계별 절차

결과(SRX-01)

결과 (SRX-02)

결과(SRX-3) (VPN 피어 디바이스)

검증

멀티노드 고가용성 세부 정보 확인

목적

작업

의미

멀티노드 고가용성 세부 정보 확인

목적

작업

의미

멀티노드 고가용성 피어 노드 상태 확인

목적

작업

의미

멀티노드 고가용성 서비스 중복 그룹 확인

목적

작업

의미

섀시 간 링크(ICL) 암호화 상태 확인

목적

작업

의미

링크 암호화 터널 통계 확인

목적

작업

의미

섀시 간 링크 활성 피어 확인

목적

작업

의미

VPN 상태 확인

목적

작업

의미

IPsec 보안 연결 세부 정보 표시

목적

작업

의미

SRG당 활성 피어 표시

목적

작업

의미

SRG 매핑에 대한 IP 접두사 표시

목적

작업

의미

BGP 세션 정보를 표시합니다.

목적

작업

의미

또한보십시오