이 페이지 내용
보안 연결 구성
IPsec 서비스를 사용하려면 호스트 간에 SA(보안 연결)를 생성합니다. SA는 두 호스트가 IPsec을 사용하여 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다.
OSPFv2와 OSPFv3 모두 IPsec 인증을 지원합니다. 그러나 동적 또는 터널 모드 IPsec SA는 OSPFv3에서 지원되지 않습니다. 계층 수준에서 문을 포함하여 ipsec-sa OSPFv3에 SA를 [edit protocols ospf3 area area-number interface interface-name] 추가하면 구성 커밋이 실패합니다. OSPF 인증 및 기타 OSPF 속성에 대한 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
두 가지 유형의 SA를 구성할 수 있습니다.
수동—협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
동적—터널 피어와 협상할 제안을 지정합니다. 키는 협상의 일부로 생성되므로 구성에서 지정할 필요가 없습니다. 동적 SA에는 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정하는 하나 이상의
proposal문이 포함되어 있습니다.
이 섹션은 다음 주제를 포함합니다.
수동 보안 연결 구성
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다. 수동 SA는 키 배포, 유지 관리 및 추적이 어렵지 않은 소규모 정적 네트워크에 가장 적합합니다.
수동 IPsec 보안 연결을 구성하려면 계층 수준에서 다음 문을 포함합니다.[edit services ipsec-vpn rule rule-name term term-name then manual]
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi-value; encryption { algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
수동 SA 문을 구성하려면 다음을 수행합니다.
- IPsec 처리를 위한 방향 구성
- 수동 IPsec SA를 위한 프로토콜 구성
- 보안 매개 변수 인덱스 구성
- 보조 보안 매개변수 인덱스 구성
- 수동 IPsec SA에 대한 인증 구성
- 수동 IPsec SA에 대한 암호화 구성
IPsec 처리를 위한 방향 구성
문은 direction 인바운드 또는 아웃바운드 IPsec 처리를 지정합니다. 각 방향에 대해 서로 다른 알고리즘, 키 또는 보안 매개변수 인덱스(SPI) 값을 정의하려면 및 outbound 옵션을 구성합니다inbound. 양방향에서 동일한 속성을 원하는 경우 옵션을 사용합니다bidirectional.
IPsec 처리 방향을 구성하려면 계층 수준에서 명령문을 포함 direction 하십시오.[edit services ipsec-vpn rule rule-name term term-name then manual]
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { ... }
다음 두 가지 예가 이를 보여 줍니다.
예: 인바운드 및 아웃바운드 길찾기에 다른 구성 사용
각 방향에 대해 서로 다른 알고리즘, 키 및 보안 매개변수 인덱스 값을 정의합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } } direction outbound { protocol esp; spi 24576; encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } }예: 인바운드 및 아웃바운드 길찾기에 동일한 구성 사용
양방향으로 유효한 하나의 알고리즘, 키 및 보안 매개변수 인덱스 값 세트를 정의하십시오.
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } }
수동 IPsec SA를 위한 프로토콜 구성
IPsec은 두 가지 프로토콜, 즉 ESP(Encapsulating Security Payload) 및 AH(Authentication Header)를 사용하여 IP 트래픽을 보호합니다. AH 프로토콜은 강력한 인증에 사용됩니다. 세 번째 옵션인 bundle은(는) AH 인증과 ESP 암호화를 사용합니다. AH가 IP 패킷에 대해 더 강력한 인증을 제공하므로 ESP 인증은 사용하지 않습니다.
IPsec 프로토콜을 구성하려면 문을 포함 protocol 하고 계층 수준에서[edit services ipsec-vpn rule rule-name term term-name then manual direction direction], esp또는 bundle 옵션을 지정합니다ah.
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] protocol (ah | bundle | esp);
보안 매개 변수 인덱스 구성
SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷을 해독하는 데 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다.
각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다. 옵션을 사용하도록 명령문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.
SPI를 구성하려면 문을 포함 spi 하고 계층 수준에서 값(256에서 16,639까지)을 [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] 지정합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] spi spi-value;
보조 보안 매개변수 인덱스 구성
옵션을 사용하도록 명령문을 구성할 protocol 때 보조 SPI를 bundle 사용합니다.
각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다.
보조 SPI를 구성하려면 문을 포함 auxiliary-spi 하고 계층 수준에서 값(256에서 16,639까지)을 [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] 지정합니다.
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] auxiliary-spi auxiliary-spi-value;
수동 IPsec SA에 대한 인증 구성
인증 알고리즘을 구성하려면 문을 포함 authentication 하고 계층 수준에서 인증 알고리즘과 키를 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] authentication { algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128) key (ascii-text key | hexadecimal key); }
알고리즘은 다음 중 하나일 수 있습니다.
hmac-md5-96- 패킷 데이터를 인증하는 해시 알고리즘. 128비트 인증자 값과 96비트 다이제스트를 생성합니다.hmac-sha1-96- 패킷 데이터를 인증하는 해시 알고리즘. 160비트 인증자 값과 96비트 다이제스트를 생성합니다.hmac-sha-256-128- 패킷 데이터를 인증하는 해시 알고리즘. 128비트로 잘린 256비트 인증자 값(256비트 다이제스트)을 생성합니다.
키는 다음 중 하나일 수 있습니다.
ascii-text- ASCII 텍스트 키.hmac-md5-96이 옵션을 사용하면 키에 16개의 ASCII 문자가 포함됩니다.hmac-sha1-96이 옵션을 사용하면 키에 20개의 ASCII 문자가 포함됩니다.hexadecimal- 16진수 키hmac-md5-96옵션을 사용하면 키에 32개의 16진수 문자가 포함됩니다.hmac-sha1-96이 옵션을 사용하면 키에 40개의 16진수 문자가 포함됩니다.
수동 IPsec SA에 대한 암호화 구성
IPsec 암호화를 encryption 구성하려면 문을 포함하고 계층 수준에서 알고리즘과 키를 지정합니다.[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); }
알고리즘은 다음 중 하나일 수 있습니다.
des-cbc- 블록 크기가 8바이트인 암호화 알고리즘. 키 크기는 64비트입니다.3des-cbc- 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트 길이입니다.aes-128-cbc- AES(Advanced Encryption Standard) 128비트 암호화 알고리즘.aes-192-cbc- 고급 암호화 표준(AES) 192비트 암호화 알고리즘.aes-256-cbc- 고급 암호화 표준(AES) 256비트 암호화 알고리즘.
데이터 암호화 표준(DES) 암호화 알고리즘 취약 및 준취약 키 목록은 RFC 2409, IKE(Internet Key Exchange)를 참조하십시오. AES 암호화 알고리즘은 처리량이 훨씬 낮은 소프트웨어 구현을 사용하므로 DES가 권장 옵션으로 남아 있습니다. AES 암호화에 대한 참조 정보는 RFC 3602, AES-CBC 암호 알고리즘 및 IPsec에서의 사용을 참조하십시오.
의 경우 3des-cbc, 처음 8바이트는 두 번째 8바이트와 달라야 하며 두 번째 8바이트는 세 번째 8바이트와 동일해야 합니다.
인증 제안을 구성하지만 문을 포함 encryption 하지 않으면 결과는 NULL 암호화입니다. 특정 응용 프로그램에서는 이 결과를 예상합니다. 특정 인증 또는 암호화 값을 구성하지 않으면 Junos OS는 인증 및 3des-cbc 암호화에 대해 의 sha1 기본값을 사용합니다.
키는 다음 중 하나일 수 있습니다.
ascii-text- ASCII 텍스트 키.des-cbc이 옵션을 사용하면 키에 8개의 ASCII 문자가 포함됩니다.3des-cbc이 옵션을 사용하면 키에 24개의 ASCII 문자가 포함됩니다.hexadecimal- 16진수 키des-cbc옵션을 사용하면 키에 16개의 16진수 문자가 포함됩니다.3des-cbc이 옵션을 사용하면 키에 48개의 16진수 문자가 포함됩니다.메모:AH 프로토콜을 사용할 때는 암호화를 구성할 수 없습니다.
동적 보안 연결 구성
보안 게이트웨이에서 협상하는 제안 집합으로 동적 SA를 구성합니다. 키는 협상의 일부로 생성되므로 구성에서 지정할 필요가 없습니다. 동적 SA에는 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있는 하나 이상의 제안이 포함되어 있습니다.
동적 SA를 활성화하려면 다음 단계를 따르십시오.
IKE(Internet Key Exchange) 제안 및 이러한 제안과 관련된 IKE(Internet Key Exchange) 정책을 구성합니다.
IPsec 제안 및 이러한 제안과 연관된 IPsec 정책을 구성합니다.
문을 구성하여 SA를 IPsec 정책과
dynamic연결합니다.
동적 SA를 구성하려면 문을 포함 dynamic 하고 계층 수준에서 IPsec 정책 이름을 [edit services ipsec-vpn rule rule-name term term-name then] 지정합니다. 사전 공유 키 인증 방법을 사용하지 않는 한 문은 ike-policy 선택 사항입니다.
[edit services ipsec-vpn rule rule-name term term-name then] dynamic { ike-policy policy-name; ipsec-policy policy-name; }
동적 SA를 설정하려면 하나 이상의 구성된 IPsec 및 IKE 제안의 속성이 피어의 속성과 일치해야 합니다.
보안 연결 지우기
해당 서비스 PIC가 재시작되거나 오프라인으로 전환될 때 IKE 또는 IPsec SA를 자동으로 삭제하도록 라우터 소프트웨어를 설정할 수 있습니다. 이 속성을 구성하려면 계층 수준에서 또는 clear-ipsec-sas-on-pic-restart 명령문을 포함 clear-ike-sas-on-pic-restart 하십시오[edit services ipsec-vpn].
[edit services ipsec-vpn] clear-ike-sas-on-pic-restart; clear-ipsec-sas-on-pic-restart;
구성에 이 명령문을 추가한 후, PIC가 재시작되거나 오프라인이 되면 PIC의 터널에 해당하는 모든 IKE 또는 IPsec SA가 삭제됩니다.
Junos OS 릴리스 17.2R1부터는 IPsec 터널의 로컬 게이트웨이 IP 주소가 다운되거나 터널의 서비스 세트에서 사용 중인 MS-MIC 또는 MS-MPC가 다운될 때 IKE 트리거와 IKE 및 IPsec SA의 정리를 활성화할 수 있습니다. 이렇게 하면 트래픽 손실과 불필요한 IKE 트리거가 줄어듭니다. 이 기능을 사용하려면 계층 수준에서 문을 [edit services service set service-set-name ipsec-vpn-options local-gateway address] 포함합니다gw-interface. IPsec 터널의 서비스 집합에 대한 로컬 게이트웨이 IP 주소가 중단되거나 서비스 집합에서 사용 중인 MS-MIC 또는 MS-MPC가 중단되면 서비스 집합은 더 이상 IKE 트리거를 전송하지 않습니다.
또한 로컬 게이트웨이 IP 주소가 다운되면 다음 홉 서비스 집합에 대해 IKE 및 IPsec SA가 삭제되고 인터페이스 스타일 서비스 집합에 대해 설치되지 않음 상태가 됩니다. 설치되지 않음 상태의 SA는 로컬 게이트웨이 IP 주소가 다시 실행될 때 삭제됩니다. 다음 홉 서비스 집합에 대해 다운되는 로컬 게이트웨이 IP 주소가 응답자 피어에 대한 주소인 경우, 로컬 게이트웨이 IP 주소가 다시 활성화되면 IPsec 터널이 다시 실행되도록 개시자 피어에서 IKE 및 IPsec SA를 삭제해야 합니다. 개시자 피어에서 IKE 및 IPsec SA를 수동으로 지우거나 개시자 피어에서 데드 피어 감지를 활성화할 수 있습니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.