Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 연결 구성

IPsec 서비스를 사용하려면 호스트 간에 SA(보안 연결)를 생성합니다. SA는 두 호스트가 IPsec을 사용하여 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다.

참고:

OSPFv2 및 OSPFv3 모두 IPsec 인증을 지원합니다. 그러나 동적 또는 터널 모드 IPsec SA는 OSPFv3에서 지원되지 않습니다. 계층 수준에서 문을 포함하여 ipsec-sa SA를 OSPFv3에 [edit protocols ospf3 area area-number interface interface-name] 추가하면 구성 커밋이 실패합니다. OSPF 인증 및 기타 OSPF 속성에 대한 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.

두 가지 유형의 SA를 구성할 수 있습니다.

  • Manual(수동) - 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.

  • Dynamic(동적) - 터널 피어와 협상할 제안을 지정합니다. 키는 협상의 일부로 생성되므로 구성에 지정할 필요가 없습니다. 동적 SA에는 피어와 협상할 프로토콜 및 알고리즘 목록의 우선순위를 지정하는 하나 이상의 proposal 문이 포함되어 있습니다.

이 단원에 포함된 항목은 다음과 같습니다.

수동 보안 연결 구성

수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다. 수동 SA는 키의 배포, 유지 관리 및 추적이 어렵지 않은 소규모 정적 네트워크에 가장 적합합니다.

수동 IPsec 보안 연결을 구성하려면 계층 수준에서 다음 문을 [edit services ipsec-vpn rule rule-name term term-name then manual] 포함합니다.

수동 SA 문을 구성하려면 다음을 수행합니다.

IPsec 처리 방향 구성

문은 direction 인바운드 또는 아웃바운드 IPsec 처리를 지정합니다. 각 방향에 대해 서로 다른 알고리즘, 키 또는 SPI(Security Parameter Index) 값을 정의하려면 및 outbound 옵션을 구성합니다inbound. 양방향으로 동일한 속성을 원할 경우 옵션을 사용합니다bidirectional.

IPsec 처리 방향을 구성하려면 계층 수준에서 명령문을 [edit services ipsec-vpn rule rule-name term term-name then manual] 포함합니다.direction

다음 두 예제에서는 이를 보여 줍니다.

  • 예: 인바운드 및 아웃바운드 길찾기에 다른 구성 사용

    각 방향에 대해 서로 다른 알고리즘, 키 및 보안 매개변수 인덱스 값을 정의합니다.

  • 예: 인바운드 및 아웃바운드 길찾기에 동일한 구성 사용

    양방향으로 유효한 알고리즘, 키 및 보안 매개변수 인덱스 값의 한 집합을 정의합니다.

수동 IPsec SA에 대한 프로토콜 구성

IPsec은 IP 트래픽을 보호하기 위해 ESP(Encapsulating Security Payload)와 AH(Authentication Header)의 두 가지 프로토콜을 사용합니다. AH 프로토콜은 강력한 인증에 사용됩니다. 세 번째 옵션 bundle인 은(는) AH 인증 및 ESP 암호화를 사용하며, AH가 IP 패킷에 대해 더 강력한 인증을 제공하기 때문에 ESP 인증을 사용하지 않습니다.

IPsec 프로토콜을 구성하려면 문을 포함하고 protocol 계층 수준에서 , esp또는 bundle 옵션을 [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] 지정합니다ah.

보안 매개 변수 인덱스 구성

SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷 해독에 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다.

참고:

각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다. 옵션을 사용하도록 문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.

SPI를 구성하려면 문을 포함하고 spi 계층 수준에서 값(256에서 16,639까지)을 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]

보조 보안 매개변수 인덱스 구성

옵션을 사용하도록 문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.

참고:

각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다.

보조 SPI를 구성하려면 문을 포함하고 auxiliary-spi 계층 수준에서 값(256에서 16,639까지)을 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]

수동 IPsec SA에 대한 인증 구성

인증 알고리즘을 구성하려면 문을 포함하고 authentication 계층 수준에서 [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] 인증 알고리즘과 키를 지정합니다.

알고리즘은 다음 중 하나일 수 있습니다.

  • hmac-md5-96- 패킷 데이터를 인증하는 해시 알고리즘. 128비트 인증자 값과 96비트 다이제스트를 생성합니다.

  • hmac-sha1-96- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 인증자 값과 96비트 다이제스트를 생성합니다.

  • hmac-sha-256-128- 패킷 데이터를 인증하는 해시 알고리즘. 128비트로 잘린 256비트 인증자 값 256비트 다이제스트를 생성합니다.

키는 다음 중 하나일 수 있습니다.

  • ascii-text- ASCII 텍스트 키. 옵션을 사용하면 키에 16개의 ASCII 문자가 hmac-md5-96 포함됩니다. 옵션을 사용하면 키에 20개의 ASCII 문자가 hmac-sha1-96 포함됩니다.

  • hexadecimal- 16진수 키. 옵션을 사용하면 키에 32개의 16진수 문자가 hmac-md5-96 포함됩니다. 옵션을 사용하면 키에 40개의 16진수 문자가 hmac-sha1-96 포함됩니다.

수동 IPsec SA에 대한 암호화 구성

IPsec 암호화를 구성하려면 문을 포함하고 encryption 계층 수준에서 [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] 알고리즘과 키를 지정합니다.

알고리즘은 다음 중 하나일 수 있습니다.

  • des-cbc- 블록 크기가 8바이트인 암호화 알고리즘. 키 크기는 64비트입니다.

  • 3des-cbc- 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트입니다.

  • aes-128-cbc—AES(Advanced Encryption Standard) 128비트 암호화 알고리즘.

  • aes-192-cbc—AES(Advanced Encryption Standard) 192비트 암호화 알고리즘.

  • aes-256-cbc—AES(Advanced Encryption Standard) 256비트 암호화 알고리즘.

참고:

DES(데이터 암호화 표준) 암호화 알고리즘 취약 키 및 준취약 키 목록은 RFC 2409, IKE(Internet Key Exchange)를 참조하십시오. AES 암호화 알고리즘은 처리량이 훨씬 낮은 소프트웨어 구현을 사용하므로 DES가 권장 옵션으로 남아 있습니다. AES 암호화에 대한 참조 정보는 RFC 3602, AES-CBC 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.

의 경우 3des-cbc처음 8바이트는 두 번째 8바이트와 달라야 하며 두 번째 8바이트는 세 번째 8바이트와 동일해야 합니다.

인증 제안을 구성하지만 명령문을 포함하지 encryption 않으면 결과는 NULL 암호화입니다. 특정 응용 프로그램에서는 이 결과를 예상합니다. 특정 인증 또는 암호화 값을 구성하지 않는 경우, Junos OS는 인증 및 3des-cbc 암호화에 의 기본값 sha1 을 사용합니다.

키는 다음 중 하나일 수 있습니다.

  • ascii-text- ASCII 텍스트 키. 옵션을 사용하면 키에 8개의 ASCII 문자가 des-cbc 포함됩니다. 옵션을 사용하면 키에 24개의 ASCII 문자가 3des-cbc 포함됩니다.

  • hexadecimal- 16진수 키. 옵션을 사용하면 키에 16개의 16진수 문자가 des-cbc 포함됩니다. 옵션을 사용하면 키에 48개의 16진수 문자가 3des-cbc 포함됩니다.

    참고:

    AH 프로토콜을 사용하는 경우 암호화를 구성할 수 없습니다.

동적 보안 연결 구성

보안 게이트웨이가 협상하는 제안 세트로 동적 SA를 구성합니다. 키는 협상의 일부로 생성되므로 구성에 지정할 필요가 없습니다. 동적 SA에는 하나 이상의 제안이 포함되어 있으므로 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있습니다.

동적 SA를 활성화하려면 다음 단계를 따르십시오.

  1. 이러한 제안과 관련된 IKE(Internet Key Exchange) 제안 및 IKE(Internet Key Exchange) 정책을 구성합니다.

  2. IPsec 제안 및 이러한 제안과 관련된 IPsec 정책을 구성합니다.

  3. 문을 구성하여 SA를 IPsec 정책과 dynamic 연결합니다.

동적 SA를 구성하려면 문을 포함하고 dynamic 계층 수준에서 IPsec 정책 이름을 [edit services ipsec-vpn rule rule-name term term-name then] 지정합니다. 사전 공유 키 인증 방법을 사용하지 않는 한 문은 ike-policy 선택 사항입니다.

참고:

동적 SA를 구축하려면, 하나 이상의 구성된 IPsec 및 IKE(Internet Key Exchange) 제안의 속성이 피어의 속성과 일치해야 합니다.

보안 연결 지우기

해당 서비스 PIC가 다시 시작되거나 오프라인으로 전환될 때 라우터 소프트웨어를 설정하여 IKE(Internet Key Exchange) 또는 IPsec SA를 자동으로 지울 수 있습니다. 이 속성을 구성하려면 계층 수준에서 또는 clear-ipsec-sas-on-pic-restart 문을 [edit services ipsec-vpn] 포함합니다clear-ike-sas-on-pic-restart.

이 명령문을 구성에 추가한 후 PIC가 다시 시작되거나 오프라인 상태가 되면 PIC의 터널에 해당하는 모든 IKE 또는 IPsec SA가 지워집니다.

Junos OS 릴리스 17.2R1부터 IPsec 터널의 로컬 게이트웨이 IP 주소가 다운되거나 터널의 서비스 세트에서 사용 중인 MS-MIC 또는 MS-MPC가 다운될 때 IKE 트리거와 IKE 및 IPsec SA의 정리를 활성화할 수 있습니다. 이렇게 하면 트래픽 손실과 불필요한 IKE 트리거가 줄어듭니다. 이 기능을 사용하려면 계층 수준에서 문을 [edit services service set service-set-name ipsec-vpn-options local-gateway address] 포함합니다gw-interface. IPsec 터널의 서비스 세트에 대한 로컬 게이트웨이 IP 주소가 다운되거나 서비스 세트에서 사용 중인 MS-MIC 또는 MS-MPC가 다운되면 서비스 세트는 더 이상 IKE 트리거를 보내지 않습니다.

또한 로컬 게이트웨이 IP 주소가 다운되면 다음 홉 서비스 세트에 대해 IKE 및 IPsec SA가 지워지고 인터페이스 스타일 서비스 세트에 대해 설치되지 않음 상태로 이동합니다. 설치되지 않음 상태인 SA는 로컬 게이트웨이 IP 주소가 다시 작동하면 삭제됩니다. 다음 홉 서비스 세트를 위해 다운되는 로컬 게이트웨이 IP 주소가 응답자 피어용인 경우, 로컬 게이트웨이 IP 주소가 다시 올라오면 IPsec 터널이 다시 올라오도록 개시자 피어에서 IKE 및 IPsec SA를 지워야 합니다. 개시자 피어에서 IKE 및 IPsec SA를 수동으로 지우거나 개시자 피어에서 데드 피어 탐지를 활성화할 수 있습니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

릴리스
설명
17.2R1
Junos OS 릴리스 17.2R1부터 IPsec 터널의 로컬 게이트웨이 IP 주소가 다운되거나 터널의 서비스 세트에서 사용 중인 MS-MIC 또는 MS-MPC가 다운될 때 IKE 트리거와 IKE 및 IPsec SA의 정리를 활성화할 수 있습니다.