이 페이지의 내용
보안 연결 구성
IPsec 서비스를 사용하려면 호스트 간에 보안 연결(SA)을 생성합니다. SA는 두 호스트가 IPsec을 사용하여 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다.
OSPFv2와 OSPFv3 모두 IPsec 인증을 지원합니다. 그러나 동적 또는 터널 모드 IPsec SA는 OSPFv3에서 지원되지 않습니다. 계층 수준에서 [edit protocols ospf3 area area-number interface interface-name] 문을 포함하여 ipsec-sa SA를 OSPFv3에 추가하는 경우 구성 커밋이 실패합니다. OSPF 인증 및 기타 OSPF 속성에 대한 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
두 가지 유형의 SA를 구성할 수 있습니다.
수동 - 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
동적 - 터널 피어와 협상할 제안을 지정합니다. 키는 협상의 일부로 생성되므로 구성에 지정할 필요가 없습니다. 동적 SA에는 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정하는 하나 이상의
proposal문이 포함됩니다.
이 섹션은 다음 주제를 포함합니다.
수동 보안 연결 구성
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다. 수동 SA는 키의 배포, 유지 관리 및 추적이 어렵지 않은 소규모 정적 네트워크에 가장 적합합니다.
수동 설정 IPsec 보안 연결을 구성하려면 계층 수준에서 [edit services ipsec-vpn rule rule-name term term-name then manual] 다음 문을 포함합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi-value; encryption { algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
수동 설정 SA 문을 구성하려면 다음을 수행합니다.
- IPsec 처리 방향 구성
- 수동 IPsec SA를 위한 프로토콜 구성
- 보안 매개 변수 인덱스 구성
- 보조 보안 매개변수 인덱스 구성
- 수동 IPsec SA에 대한 인증 구성
- 수동 IPsec SA에 대한 암호화 구성
IPsec 처리 방향 구성
명령문은 direction 인바운드 또는 아웃바운드 IPsec 처리를 지정합니다. 각 방향에 대해 서로 다른 알고리즘, 키 또는 보안 매개변수 색인(SPI) 값을 정의하려면 및 outbound 옵션을 구성 inbound 합니다. 양방향에서 동일한 속성을 원할 경우 이 bidirectional 옵션을 사용합니다.
IPsec 처리 방향을 구성하려면 계층 수준에서 문을 포함 direction 합니다.[edit services ipsec-vpn rule rule-name term term-name then manual]
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { ... }
다음 두 가지 예가 이를 보여줍니다.
예: 인바운드 및 아웃바운드 방향에 대해 다른 구성 사용
각 방향에 대해 서로 다른 알고리즘, 키 및 보안 매개 변수 인덱스 값을 정의합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } } direction outbound { protocol esp; spi 24576; encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } }예: 인바운드 및 아웃바운드 방향에 동일한 구성 사용
양방향으로 유효한 알고리즘, 키 및 보안 매개변수 인덱스 값 세트를 정의합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } }
수동 IPsec SA를 위한 프로토콜 구성
IPsec은 IP 트래픽을 보호하기 위해 ESP(Encapsulating 보안 페이로드) 및 AH(인증 헤더)의 두 가지 프로토콜을 사용합니다. AH 프로토콜은 강력한 인증에 사용됩니다. 세 번째 옵션은 bundleAH 인증과 ESP 암호화를 사용합니다. AH가 IP 패킷에 대한 더 강력한 인증을 제공하기 때문에 ESP 인증은 사용하지 않습니다.
IPsec 프로토콜을 구성하려면 문을 포함 protocol 하고 계층 수준에서 , esp, 또는 bundle 옵션을 지정합니다ah.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] protocol (ah | bundle | esp);
보안 매개 변수 인덱스 구성
SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷을 복호화하는 데 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다.
각 수동 설정 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다. 옵션을 사용하도록 문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.
SPI를 구성하려면 문을 포함 spi 하고 계층 수준에서 값(256에서 16,639까지)을 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] spi spi-value;
보조 보안 매개변수 인덱스 구성
옵션을 사용하도록 문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.
각 수동 설정 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다.
보조 SPI를 구성하려면 문을 포함 auxiliary-spi 하고 계층 수준에서 값(256에서 16,639까지)을 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] auxiliary-spi auxiliary-spi-value;
수동 IPsec SA에 대한 인증 구성
인증 알고리즘을 구성하려면 문을 포함 authentication 하고 계층 수준에서 인증 알고리즘과 키를 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] authentication { algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128) key (ascii-text key | hexadecimal key); }
알고리즘은 다음 중 하나일 수 있습니다.
hmac-md5-96- 패킷 데이터를 인증하는 해시 알고리즘입니다. 128비트 인증자 값과 96비트 다이제스트를 생성합니다.hmac-sha1-96- 패킷 데이터를 인증하는 해시 알고리즘입니다. 160비트 인증자 값과 96비트 다이제스트를 생성합니다.hmac-sha-256-128- 패킷 데이터를 인증하는 해시 알고리즘입니다. 256비트 인증자 값, 256비트 다이제스트를 생성하며, 128비트로 잘립니다.
키는 다음 중 하나일 수 있습니다.
ascii-text- ASCII 텍스트 키. 이hmac-md5-96옵션을 사용하면 키에 16개의 ASCII 문자가 포함됩니다. 이hmac-sha1-96옵션을 사용하면 키에 20개의 ASCII 문자가 포함됩니다.hexadecimal—16진수 키. 이 옵션을 사용하면hmac-md5-96키에 32개의 16진수가 포함됩니다. 이hmac-sha1-96옵션을 사용하면 키에 40개의 16진수가 포함됩니다.
수동 IPsec SA에 대한 암호화 구성
IPsec 암호화를 구성하려면 문을 포함 encryption 하고 계층 수준에서 알고리즘과 키를 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); }
알고리즘은 다음 중 하나일 수 있습니다.
des-cbc- 블록 크기가 8바이트인 암호화 알고리즘입니다. 키 크기는 64비트입니다.3des-cbc- 블록 크기가 24바이트인 암호화 알고리즘입니다. 키 크기는 192비트입니다.aes-128-cbc- 고급 암호화 표준(AES) 128비트 암호화 알고리즘.aes-192-cbc—고급 암호화 표준(AES) 192비트 암호화 알고리즘.aes-256-cbc- 고급 암호화 표준(AES) 256비트 암호화 알고리즘.
DES(Data Encryption Standard) 암호화 알고리즘의 약한 키와 반약한 키의 목록은 RFC 2409, The Internet Key Exchange(IKE)를 참조하십시오. AES 암호화 알고리즘은 처리량이 훨씬 낮은 소프트웨어 구현을 사용하므로 DES가 여전히 권장되는 옵션입니다. AES 암호화에 대한 참조 정보는 RFC 3602, AES-CBC 암호 알고리즘 및 IPsec에서의 사용을 참조하십시오.
의 경우 3des-cbc처음 8바이트는 두 번째 8바이트와 달라야 하며 두 번째 8바이트는 세 번째 8바이트와 동일해야 합니다.
인증 제안을 구성하지만 문을 포함 encryption 하지 않으면 결과는 NULL 암호화입니다. 특정 애플리케이션에서는 이러한 결과를 예상합니다. 특정 인증 또는 암호화 값을 구성하지 않으면, Junos OS는 인증 및 3des-cbc 암호화에 대한 기본값을 사용합니다sha1.
키는 다음 중 하나일 수 있습니다.
ascii-text- ASCII 텍스트 키. 이 옵션을 사용하면des-cbc키에 8개의 ASCII 문자가 포함됩니다. 이 옵션을 사용하면3des-cbc키에 24개의 ASCII 문자가 포함됩니다.hexadecimal—16진수 키. 이 옵션을 사용하면des-cbc키에 16개의 16진수가 포함됩니다. 이 옵션을 사용하면3des-cbc키에 48개의 16진수가 포함됩니다.참고:AH 프로토콜을 사용할 때는 암호화를 구성할 수 없습니다.
동적 보안 연결 구성
보안 게이트웨이에서 협상하는 제안 세트로 동적 SA를 구성합니다. 키는 협상의 일부로 생성되므로 구성에 지정할 필요가 없습니다. 동적 SA에는 하나 이상의 제안이 포함되어 있으며, 이를 통해 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있습니다.
동적 SA를 사용하도록 설정하려면 다음 단계를 따르십시오.
Internet Key Exchange(IKE) 제안 및 이러한 제안과 연관된 IKE 정책을 구성합니다.
IPsec 제안과 이러한 제안과 연관된 IPsec 정책을 구성합니다.
문을 구성
dynamic하여 SA를 IPsec 정책과 연결합니다.
동적 SA를 구성하려면 문을 포함 dynamic 하고 계층 수준에서 [edit services ipsec-vpn rule rule-name term term-name then] IPsec 정책 이름을 지정합니다. ike-policy 사전 공유 키 인증 방법을 사용하지 않는 한 문은 선택 사항입니다.
[edit services ipsec-vpn rule rule-name term term-name then] dynamic { ike-policy policy-name; ipsec-policy policy-name; }
동적 SA를 설정하려면 하나 이상의 구성된 IPsec 및 IKE(Internet Key Exchange) 제안의 속성이 해당 피어의 속성과 일치해야 합니다.
보안 연결 지우기
해당 서비스 PIC가 다시 시작되거나 오프라인이 될 때 IKE 또는 IPsec SA를 자동으로 지우도록 라우터 소프트웨어를 설정할 수 있습니다. 이 속성을 구성하려면 계층 수준에서 or clear-ipsec-sas-on-pic-restart 문을 포함 clear-ike-sas-on-pic-restart 합니다.[edit services ipsec-vpn]
[edit services ipsec-vpn] clear-ike-sas-on-pic-restart; clear-ipsec-sas-on-pic-restart;
구성에 이 문을 추가하면 PIC가 다시 시작되거나 오프라인이 될 때 PIC의 터널에 해당하는 모든 IKE 또는 IPsec SA가 지워집니다.
IPsec 터널의 로컬 게이트웨이 IP 주소가 다운되거나 터널의 서비스 집합에서 사용 중인 MS-MIC 또는 MS-MPC가 다운되면 IKE 트리거와 IKE 및 IPsec SA의 정리를 터널에 사용할 수 있습니다. 이는 손실된 트래픽과 불필요한 IKE 트리거를 줄입니다. 이 기능을 사용하려면 계층 수준에서 [edit services service set service-set-name ipsec-vpn-options local-gateway address] 문을 포함 gw-interface 합니다. IPsec 터널의 서비스 집합에 대한 로컬 게이트웨이 IP 주소가 중단되거나 서비스 집합에서 사용 중인 MS-MIC 또는 MS-MPC가 중단되면 서비스 집합은 더 이상 IKE 트리거를 전송하지 않습니다.
또한 로컬 게이트웨이 IP 주소가 다운되면 IKE 및 IPsec SA가 다음 홉 서비스 집합에 대해 지워지고 인터페이스 스타일 서비스 집합에 대해 Not Installed(설치되지 않음) 상태로 이동합니다. 설치되지 않음 상태의 SA는 로컬 게이트웨이 IP 주소가 다시 돌아올 때 삭제됩니다. 다음 홉 서비스 집합에 대해 중단되는 로컬 게이트웨이 IP 주소가 응답자 피어용인 경우 로컬 게이트웨이 IP 주소가 다시 작동하면 IPsec 터널이 다시 작동하도록 개시자 피어에서 IKE 및 IPsec SA를 삭제해야 합니다. 개시자 피어에서 IKE 및 IPsec SA를 수동으로 지우거나 개시자 피어에서 데드 피어 감지를 활성화할 수 있습니다.