Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: 레이어 3 네트워크의 SRX 시리즈 방화벽에서 액티브/액티브 멀티노드 고가용성으로 IPSec VPN 구성

이 예는 액티브-액티브 멀티노드 고가용성 설정을 위해 IPsec VPN을 구성하고 확인하는 방법을 보여줍니다.

개요

멀티노드 고가용성은 여러 SRG1(SRG1+)과 함께 액티브/액티브 모드에서 IPsec VPN을 지원합니다. 각 SRG는 여전히 두 노드 간 액티브-백업 모드로 작동하지만, 서로 다른 SRG는 서로 다른 노드에서 활성화될 수 있습니다. 이 모델을 사용하면 두 노드에서 동시에 여러 활성 IPsec 터널을 설정할 수 있어 두 노드 모두에서 암호화 및 복호화가 가능하고 대역폭 활용도가 향상됩니다.

이 예에서는 두 방화벽 간에 멀티노드 고가용성(MNHA)을 구성하고 MNHA 방화벽 쌍에서 피어 디바이스로의 고가용성 IPsec VPN 터널을 설정합니다. MNHA 설정에서 방화벽 간의 원활한 페일오버를 통해 IPsec 터널을 성공적으로 설정하고 유지할 수 있도록 하는 데 중점을 둡니다.

사전 요구 사항 예

소프트웨어 요구 사항

  • Junos OS 릴리스 22.4R1 이상에서 지원되는 방화벽 디바이스. 이 예는 Junos OS 릴리스 25.4R1에서 테스트되었습니다.

  • 네트워크 요구 사항에 따라 방화벽 필터링 및 QoS(Quality of Service)를 구성하고 네트워크의 트래픽을 관리하기 위한 적절한 보안 정책을 갖추어야 합니다.

  • 일반적인 고가용성 설정에서는 노스바운드 및 사우스바운드 양쪽에서 여러 라우터와 스위치를 사용합니다. 이 예에서는 방화벽의 양쪽에 두 개의 라우터를 사용합니다. 네트워크 요구 사항에 따라 모든 업스트림 및 다운스트림 라우터를 구성합니다

  • 명령을 사용하여 보안 디바이스에 Junos IKE 패키지를 설치합니다. request system software add optional://junos-ike.tgzjunos-ike 패키지는 Junos 소프트웨어 패키지(Junos OS 릴리스 20.4R1 이상)에 포함되어 있습니다.

시작하기 전에

이점

MNHA 설정의 액티브/액티브 IPsec VPN은 두 노드가 동시에 VPN 트래픽을 종료 및 전달할 수 있도록 하여 가용성과 성능을 개선하고, 로드 공유를 지원하고, 더 빠른 컨버전스를 가능하게 하며, 장애 시 트래픽 중단을 최소화합니다.

자세히 알아보기

MNHA에서 액티브-액티브 모드의 IPsec VPN

자세히 알아보기

IPsec VPN 사용자 가이드

기능 개요

사용된 기술
  • 멀티노드 고가용성
  • IPsec VPN
  • 모니터링 옵션
  • 인터페이스 및 영역
  • 라우팅 정책, 프로토콜, 라우팅 옵션

기본 검증 작업
  • 두 노드에 대한 고가용성 정보
  • 피어 디바이스에서 MNHA 설정까지 IPsec VPN 연결

토폴로지 개요

그림 1 은 이 예에서 사용되는 토폴로지를 보여줍니다.

그림 1: 레이어 3 구축의 액티브/액티브 멀티노드 고가용성 Active/Active Multinode High Availability in Layer 3 Deployment

토폴로지는 MNHA 클러스터를 형성하고 원격 방화벽(SRX-03)에 대한 IPsec VPN 터널을 설정하는 두 개의 방화벽과 함께 멀티노드 고가용성(MNHA)을 사용하는 활성/활성 IPsec VPN 구축을 보여줍니다.

SRX-03 디바이스는 MNHA 설정의 피어 디바이스 역할을 하며 SRX-01 및 SRX-02 디바이스로 각각 개별 IPsec VPN 터널을 설정합니다. SRX-03의 관점에서 MNHA 쌍은 단일 논리적 VPN 엔드포인트로 작동합니다.

내부 호스트의 트래픽은 라우터 1 → MNHA 설정→ IPsec 터널 → 라우터 2 → SRX-03 → 라우터 3을 통해 흐릅니다. 반환 트래픽은 동일한 암호화된 경로를 따릅니다. 이 예는 SRX-03(피어 디바이스)이 연결된 라우터 3에서 원격 호스트 PC가 연결된 라우터 1로의 트래픽 도달 가능성을 확인합니다.

  • SRX-01 및 SRX-02는 여러 SRG(SRG1+)와 MNHA 쌍으로 작동하여 두 노드 모두에서 트래픽을 능동적으로 처리할 수 있습니다.
  • 각 SRG는 내부적으로 액티브-백업 모드로 실행되는 반면, 전체 솔루션은 SRG 전반에 걸쳐 액티브-액티브 VPN 포워딩을 제공합니다.
  • 노드는 유동 루프백 IP 주소를 사용하여 제어 및 VPN 상태를 동기화하는 HA 링크 영역의 라우팅되고 암호화된 ICL(Inter-Chassis Link)을 통해 연결됩니다. 이 예에서 링크는 라우팅된 중간 네트워크를 통과하는 대신 디바이스 간에 직접 ge-0/0/2.0 인터페이스를 사용합니다.
  • 트러스트 존 인터페이스는 라우터 1(AS 65030)을 통해 MNHA 클러스터를 내부 네트워크로 연결합니다.
  • 신뢰할 수 없는 영역 인터페이스는 SRX-01과 SRX-02를 모두 라우터 2(AS 65035)에 연결하여 원격 VPN 사이트에 대한 업스트림 도달 가능성을 제공합니다.
  • 각 SRX 호스트의 루프백 인터페이스(lo0.0)는 유동 IP 주소를 호스팅합니다.
  • SRX-03은 MNHA 클러스터에서 IPsec VPN 터널을 종료하고 라우터 3에 연결합니다.
  • 원격 SRX는 자체 루프백 인터페이스를 VPN 엔드포인트로 사용하여 물리적 인터페이스 상태와 관계없이 터널 안정성을 보장합니다.
  • VPN 인터페이스는 VPN 영역에 배치되어 암호화된 트래픽을 신뢰할 수 없는 전송 네트워크와 분리합니다.
  • MNHA 클러스터와 SRX-03 사이에는 서로 다른 SRG에 바인딩된 여러 IPsec 터널이 설정됩니다. 노드 또는 SRG에 장애가 발생하면 VPN 엔드포인트가 유동 IP 주소를 사용하기 때문에 트래픽은 터널 재협상 없이 나머지 활성 SRG로 리디렉션됩니다.

다음 표에는 이 예에서 사용되는 인터페이스 구성에 대한 세부 정보가 나와 있습니다.

표 1: 보안 디바이스의 인터페이스 및 IP 주소 구성
디바이스 인터페이스 영역 IP 주소 구성 대상
SRX-01 lo0.0

언트러스트

10.11.0.1/32

유동 IP 주소

IKE(Internet Key Exchange) 게이트웨이 주소

10.12.0.1/32

IKE(Internet Key Exchange) 게이트웨이 주소

ge-0/0/2.0

HA 링크

10.22.0.2/24

ICL 연결

ge-0/0/4.0

언트러스트

10.5.0.1/24

R2 라우터에 연결

ge-0/0/3.0

신뢰

10.3.0.2/24

R1 라우터에 연결
SRX-02

lo0.0

언트러스트

10.12.0.1/32

유동 IP 주소

IKE(Internet Key Exchange) 게이트웨이 주소

10.11.0.1/32

IKE(Internet Key Exchange) 게이트웨이 주소

ge-0/0/2.0

HA 링크

10.22.0.1/24

ICL 연결

ge-0/0/3.0

신뢰

10.2.0.2/24

R1 라우터에 연결

ge-0/0/4.0

언트러스트

10.4.0.1/24

R2 라우터에 연결
SRX-03 lo0.0

언트러스트

10.112.0.1/32

IKE(Internet Key Exchange) 게이트웨이 주소

10.112.0.5/32

IKE(Internet Key Exchange) 게이트웨이 주소

ge-0/0/0.0

언트러스트

10.7.0.1/24

R2 라우터에 연결

ge-0/0/1.0

신뢰

10.6.0.2/24

라우터 연결
표 2: 라우팅 디바이스의 인터페이스 및 IP 주소 구성
디바이스 인터페이스 IP 주소 구성 대상
라우터 2(R2) lo0

10.111.0.2/32

R2의 루프백 인터페이스 주소

ge-0/0/1

10.4.0.2/24

연결 대상 SRX-02

ge-0/0/0

10.5.0.2/24

연결 대상 SRX-01

ge-0/0/2

10.7.0.2/24

(VPN 피어 디바이스)에 SRX-03 연결
라우터 1(R1) lo0

10.111.0.1/32

R1의 루프백 인터페이스 주소

ge-0/0/0

10.3.0.1/24

연결 대상 SRX-01

ge-0/0/1

10.2.0.1/24

연결 대상 SRX-02
  • ge-0/0/2.100입니다.
  • ge-0/0/2.101입니다.
  • 10.1.0.1/24
  • 10.1.1.1/24
 호스트 네트워크에 연결
라우터 3(R3)

ge-0/0/0

10.6.0.1/24

연결 대상 SRX-03
lo0

10.6.255.1/32

R3의 루프백 인터페이스 주소

방화벽 구성

  1. ICL, 내부 및 외부 트래픽에 대한 인터페이스를 구성하고 피어 게이트웨이에 도달할 수 있도록 유동 IP 주소로 루프백 인터페이스를 lo0.0 설정합니다. 10.11.0.1을 유동 IP 주소로, 10.12.0.1을 IKE 게이트웨이 주소로 사용합니다.
    • 노드 1
    • 노드 2
  2. 네트워크에 필요에 따라 보안 영역을 구성하고 필요한 호스트 인바운드 시스템 서비스를 허용합니다.
    • 노드 1
    • 노드 2
    주의:

    이 문서에 제공된 구성 예는 단순화를 위해 모든 호스트 인바운드 프로토콜 및 서비스를 허용합니다. 프로덕션 배포에서는 인바운드 액세스를 환경에 필요한 프로토콜 및 서비스로만 제한해야 합니다. MNHA 설정의 경우, 이 구성에는 일반적으로 IKE, BGP 및 BFD 허용이 포함됩니다. 항상 네트워크 및 보안 요구 사항에 맞게 보안 규칙을 조정하십시오.
  3. 보안 정책을 구성합니다.
    주의:

    이 예에 표시된 보안 정책은 데모 및 테스트용으로만 사용됩니다. 네트워크 요구 사항에 따라 보안 정책을 구성해야 합니다. 보안 정책에서 신뢰할 수 있는 애플리케이션, 사용자 및 디바이스만 허용하는지 확인합니다.

    노드 1 및 노드 2

  4. 두 보안 디바이스 모두에서 로컬 및 피어 노드 ID를 구성합니다. 각 디바이스가 MNHA 쌍에서 역할을 결정할 수 있도록 고유 식별자를 할당합니다.
    • 노드 1
    • 노드 2
  5. 서비스 중복 그룹 SRG1 및 SRG2를 구성합니다. 필요에 따라 별도의 중복 그룹을 사용하여 서로 다른 서비스 집합에 대한 페일오버를 관리합니다.
    1. 노드 1
      • SRG1
    2. SRG2

      IP 모니터링 및 활성 프로빙을 위해 최대 64개의 IP 주소를 구성할 수 있습니다. 총 64개의 IP 주소는 IPv4 및 IPv6 주소 수의 합계입니다.

    • 노드 2
      • SRG1
      • SRG2
  6. 라우팅 정책 및 라우팅 옵션을 구성합니다. MNHA 페일오버 및 트래픽 스티어링을 지원하는 경로 기본 설정 및 정책을 정의합니다. 이 단계에서는 다음을 구성합니다.
    • MNHA 노드 전반에 걸친 액티브/액티브 트래픽 분포
    • SRG당 정책 제어 BGP 보급
    • BFD 모니터링을 구성합니다. BFD는 보호된 링크 및 경로에 대한 빠른 장애 감지를 제공합니다.
    • 대칭 IPsec 트래픽 포워딩

    • SRG 접두사를 정의합니다. 접두사 목록은 SRG와 연관된 경로(접두사)를 정의하여 해당 접두사에 대한 트래픽이 SRG에 의해 조정되고 처리되도록 합니다.

      노드 1 노드 2

    • 보급 가능한 경로를 지정하기 위한 route-filter 목록을 생성합니다.

      노드 1 노드 2

    • MNHA 경로 내보내기 정책을 구성합니다. 이 구성은 활성 시 선호 메트릭(메트릭 10)으로 경로를 보급하고 백업 시 덜 선호되는 메트릭(메트릭 20)으로 경로를 보급합니다.

      노드 1 노드 2

    • 조건부 상태 검사를 정의합니다. 이 구성은 경로 존재를 기반으로 각 SRG에 대해 노드가 활성 상태인지 백업인지를 결정합니다.

      노드 1 노드 2
      참고: 정책-옵션 문에서 route-exists 정책과 함께 활성 신호 경로를 지정해야 합니다. with if-route-exists 조건을 구성할 active-signal-route 때 HA 모듈은 이 경로를 라우팅 테이블에 추가합니다.
      참고:

      일치 조건으로 활성 신호 경로 10.39.1.1(SRG1) 및 10.49.1.1(SRG2)을 구성합니다 if-route-exists . MNHA는 노드가 활성화될 때 이러한 경로를 추가하고 노드는 더 높은 선호도로 경로를 보급합니다. 백업 신호 경로 10.39.1.2 및 10.49.1.2를 중간 우선 순위로 구성합니다. 실패 시 HA 링크가 다운되고 활성 노드는 기본 역할을 중단하고 활성 신호 경로를 제거합니다. 백업 노드는 프로브를 통해 이를 감지하고 활성화되며 모든 트래픽을 처리하도록 경로 선호도가 증가합니다.

    • BGP를 구성합니다.

      노드 1 노드 2
  7. BGP 조건에 필요한 기본 연결성을 구성합니다.
    • 노드 1
    • 노드 2
  8. ICL을 암호화합니다. IKEv2를 사용하여 ICL 고가용성 트래픽에 대한 VPN 프로필을 구성하고 ICL을 통한 MNHA 제어 및 상태 동기화를 보호하는 IKE 및 IPsec 매개 변수를 정의합니다.

    • 노드 1 및 노드 2

      참고:

      • 옵션을 지정하면 ha-link-encryption 노드 간의 고가용성 트래픽 플로우를 보호하기 위해 ICL이 암호화됩니다.

      • 구성에서 set chassis high-availability peer-id <id> vpn-profile vpn_profile 동일한 VPN 이름 ICL_IPSEC_VPN 언급 vpn_profile 해야 합니다.

      • 멀티노드 고가용성 기능의 경우, IKE 버전을 다음과 같이 구성해야 합니다. v2-only

  9. 그룹 옵션을 사용하여 SRX-03과 터널을 설정하고 두 디바이스 모두에서 IPsec VPN 구성 동기화를 사용하도록 IPsec VPN 옵션을 구성합니다.
    노드 1 및 노드 2
    • SRG1 및 SRG2에 대한 IPSec VPN 구성.

      위의 구성에서 SRG1 VPN(SRG1_IPSEC_VPN1)은 명시적 트래픽 선택기 없이 경로 기반 포워딩에 의존하는 반면, SRG2(SRG2_IPSEC_VPN500)는 트래픽 선택기를 사용합니다. 트래픽 선택기는 트래픽을 암호화하고 IPsec 터널을 통해 전송해야 하는 정확한 로컬 및 원격 IP를 정의합니다. st0 인터페이스에 대한 정적 경로는 일치하는 트래픽이 기본 포워딩 경로 대신 VPN 터널로 포워딩되도록 합니다. 배포에 따라 두 가지 접근 방식을 모두 사용할 수 있습니다.

VPN 피어 디바이스 구성

일치하는 IPsec VPN 옵션으로 VPN 피어 디바이스 SRX-03을 구성합니다. 터널을 성공적으로 가동하려면 IKE 및 IPsec 매개 변수(피어, 제안 및 정책)가 SRX-01 및 SRX-02의 옵션과 일치하는지 확인합니다.

  1. IKE(Internet Key Exchange) 엔드포인트로 사용되는 루프백 주소를 사용하여 신뢰, 신뢰 해제 및 VPN 연결을 설정하도록 인터페이스를 구성합니다.
  2. 보안 영역을 정의합니다.
  3. IKE(Internet Key Exchange) 제안을 생성합니다.
  4. IKE(Internet Key Exchange) 정책을 정의합니다.
  5. IKE(Internet Key Exchange) 게이트웨이를 생성하고, 주소를 정의하고, 외부 인터페이스 및 버전을 지정합니다.
  6. IPsec 제안을 생성합니다.
  7. IPsec 정책을 생성합니다.
  8. SRG1과 SRG2에 대해 별도의 IKE 게이트웨이 및 IPsec VPN을 생성합니다.

    이 단계에서는 동일한 구성 접근 방식(SRG1 VPN(SRG1_IPSEC_VPN1)의 정적 경로와 SRG2(SRG2_IPSEC_VPN500)의 트래픽 선택기를 사용하여 MNHA 설정에서 IPsec VPN 구성에 맞춥니다.

  9. 보안 정책을 생성합니다.

    이 예제에서는 모든 트래픽을 허용하는 정책을 구성했습니다. 네트워크 요구 사항에 따라 보안 정책을 생성하여 조직 정책에서 허용하는 트래픽을 허용하고 다른 모든 트래픽은 거부하는 것이 좋습니다. 이 예제에서만 데모 목적으로 기본 정책을 사용했습니다.

  10. 고정 경로를 구성합니다.

검증

표시 명령을 사용하여 구성이 제대로 작동하는지 확인합니다.

표 3: 확인을 위한 표시 명령
명령 검증 작업

show chassis high-availability information

피어 노드의 상태를 포함하여 보안 디바이스에 MNHA 상태의 세부 정보를 표시합니다.
show securiti ike security-associationsshow securiti ipsec security-associations

IPsec VPN 연결에 대한 상태 표시

멀티노드 고가용성 설정 확인

목적

보안 디바이스에 구성된 멀티노드 고가용성 설정의 세부 정보를 보고 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

SRX-01

SRX-02

의미

명령 출력에서 다음 세부 사항을 확인합니다.

  • IP 주소 및 ID와 같은 로컬 노드 및 피어 노드 세부 정보.

  • 필드 Encrypted: YES 는 트래픽이 보호되고 있음을 나타냅니다.

  • 필드 Deployment Type: ROUTING 는 레이어 3 모드 구성, 즉 네트워크의 양쪽에 라우터가 있음을 나타냅니다.

  • 필드 Services Redundancy Group: 1 Services Redundancy Group: 2 는 해당 노드에서 SRG1 및 SRG2(활성 또는 백업)의 상태를 나타냅니다.

멀티노드 고가용성 서비스 중복 그룹 확인

목적

SRG가 구성되고 올바르게 작동하는지 확인합니다.

작업

운영 모드에서 다음 명령을 실행합니다.

의미

명령 출력에서 다음 세부 사항을 확인합니다.

  • 구축 유형, 상태, 활성 및 백업 신호 경로와 같은 피어 노드 세부 정보.

  • 스플릿 브레인 방지 프로브, IP 모니터링 및 BFD 모니터링 상태.

  • 연관된 IP 접두사 테이블입니다.

IPsec VPN 상태 확인

목적

SRG 수준에서 IKE(Internet Key Exchange) 보안 연결 상태를 확인하여 VPN 상태를 확인합니다.

작업

SRX-01, SRX-02 및 SRX-03(VPN 피어 디바이스)에서 다음 명령을 실행합니다.

SRX-01

SRX-02

SRX-03

의미

명령 출력에서 다음 세부 사항을 확인합니다.

  • 원격 피어의 IP 주소입니다.
  • 두 원격 피어 모두에 대해 UP으로 표시된 상태는 1단계 및 2단계 설정의 성공적인 연결을 나타냅니다.
  • 원격 피어 IP 주소, IKE(Internet Key Exchange) 정책 및 외부 인터페이스가 모두 정확합니다.
  • IPsec 터널이 작동 중이고, 트래픽을 적극적으로 전달하며, 오류 없이 작동합니다

VPN 전반의 트래픽 플로우 테스트

목적

VPN 전반의 트래픽 플로우를 확인합니다.

작업

피어 VPN 방화벽(SRX-03)에 연결된 라우터 3의 명령을 사용하여 ping 호스트가 연결된 라우터 1로의 트래픽 플로우를 테스트합니다.

운영 모드에서 명령을 입력합니다.ping

의미

이 ping 출력은 원격 사이트와 내부 네트워크 간의 IPsec VPN을 통해 성공적인 엔드 투 엔드 연결을 확인합니다.

명령이 ping 실패하면 라우팅, 보안 정책, 종료 호스트 또는 ESP 패킷의 암호화 및 복호화에 문제가 있을 수 있습니다

섀시 간 링크(ICL) 암호화 상태 확인

목적

섀시 간 링크(ICL) 상태를 확인합니다.

작업

다음에서 다음 명령을 실행합니다.SRX-01

의미

명령 출력은 MNHA ICL 링크를 암호화하는 데 사용되는 IPsec SA를 제공합니다. SRX-01과 SRX-02 간의 제어, 라우팅 및 상태 동기화 트래픽을 보호합니다

주의:

명령 출력에 표시된 IP 범위(180.100.1.x)는 ICL IPsec 트래픽 선택기 역할을 합니다. 시스템은 이 IP 범위를 동적으로 할당하므로 변경하거나 수정하지 않는 것이 중요합니다. 또한 더 넓은 180.x.x.x IP 범위에 대해 BFD(Bidirectional Forwarding Detection)가 자동으로 활성화됩니다.

모든 디바이스에서 명령 설정

vSRX 가상 방화벽(SRX-01)

vSRX 가상 방화벽(SRX-02)

vSRX 가상 방화벽(SRX-03)

라우터 1

라우터 2

라우터 3

구성 출력 표시

구성 모드에서 , show security zonesshow interfaces 명령을 show high availability입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

vSRX 가상 방화벽(SRX-01)

vSRX 가상 방화벽(SRX-02)

vSRX 가상 방화벽(SRX-03)

또한보십시오