IPsec 규칙 및 규칙 집합
예: IKE(Internet Key Exchange) 동적 SA 구성
이 예는 IKE(Internet Key Exchange) 동적 SA를 구성하는 방법을 보여주며 다음 섹션을 포함합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
멀티 서비스 인터페이스가 설치된 M 시리즈, MX 시리즈 또는 T 시리즈 라우터 4개.
Junos OS 릴리스 9.4 이상.
이 기능을 구성하기 위해 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.
개요 및 토폴로지
SA(보안 연결)는 두 호스트가 IPsec을 통해 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다.
동적 SA는 키의 수동 배포, 유지 관리 및 추적이 어려운 지리적으로 분산된 대규모 네트워크에 가장 적합합니다. 동적 SA는 보안 게이트웨이에서 협상하는 일련의 제안으로 구성됩니다. 키는 협상의 일부로 생성되며 구성에 지정할 필요가 없습니다. 동적 SA에는 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있는 하나 이상의 제안이 포함되어 있습니다.
토폴로지
그림 1 은 4개의 라우터 그룹을 포함하는 IPsec 토폴로지를 보여줍니다. 이 구성에서는 라우터 2와 3이 IKE(Internet Key Exchange) 동적 SA, 향상된 인증 및 암호화를 사용하여 IPsec 터널을 설정해야 합니다. 라우터 1과 4는 기본 연결을 제공하며 IPsec 터널이 작동하는지 확인하는 데 사용됩니다.
동적 SA
멀티서비스 PIC에서 IKE(Internet Key Exchange) 제안, IPsec 제안 및 IPsec 정책을 지정하지 않으면 Junos OS는 기본적으로 최고 수준의 암호화와 인증을 사용합니다. 따라서 기본 인증 프로토콜은 ESP, 기본 인증 모드는 HMAC-SHA1-96, 기본 암호화 모드는 3DES-CBC입니다.
구성
IKE(Internet Key Exchange) 동적 SA를 구성하려면 다음 작업을 수행합니다.
이 예에 표시된 인터페이스 유형은 참고용으로만 사용됩니다. 예를 들어, 및 sp- 대신 ms-인터페이스를 ge- 사용할 so- 수 있습니다.
라우터 1 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 1의 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
라우터 2와의 OSPF 연결을 위해 라우터 1을 구성하려면:
이더넷 인터페이스와 루프백 인터페이스를 구성합니다.
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.
[edit interfaces] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
라우터 ID를 구성합니다.
[edit routing-options] user@router1# set router-id 10.0.0.1
구성을 커밋합니다.
[edit] user@router1# commit
결과
구성 모드에서 , show protocols ospf및 show routing-options 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R2 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
user@router1# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router1# show routing-options
routing-options {
router-id 10.0.0.1;
}
라우터 2 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 2의 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
라우터 2에서 OSPF 연결 및 IPsec 터널 매개 변수를 구성하려면 다음을 수행합니다.
인터페이스 속성을 구성합니다. 이 단계에서는 2개의 이더넷 인터페이스(ge-1/0/0 및 ge-1/0/1), 루프백 인터페이스 및 멀티 서비스 인터페이스(ms-1/2/0)를 구성합니다.
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
라우터 ID를 구성합니다.
[edit routing-options] user@router2# set router-ID 10.0.0.2
IPsec 규칙을 구성합니다. 이 단계에서는 IPsec 규칙을 구성하고, 원격 게이트웨이 주소, 인증 및 암호화 속성 등과 같은 수동 SA 매개 변수를 지정합니다.
참고:기본적으로 Junos OS는 IKE 정책 버전 1.0을 사용합니다. Junos OS 릴리스 11.4 이상은 에서
[edit services ipsec-vpn ike policy policy-name pre-shared]구성해야 하는 IKE 정책 버전 2.0도 지원합니다.[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input user@router2# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router2# set ike proposal ike-demo-proposal dh-group group2 user@router2# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router2# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal
다음 홉 스타일의 서비스 세트를 구성하고, 로컬 게이트웨이 주소를 지정하며, IPsec VPN 규칙을 서비스 세트와 연결합니다.
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
구성을 커밋합니다.
[edit] user@router2# commit
결과
구성 모드에서 , , show protocols ospfshow routing-options및 show services 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R1 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
ge-0/0/1 {
description "To R3 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
user@router2# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router2# show routing-options
routing-options {
router-id 10.0.0.2;
}
user@router2# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.2;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.1;
}
ipsec-vpn-rules rule-ike;
}
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.15.2;
}
ipsec-vpn-rules rule-ike;
}
라우터 3 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 3의 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
라우터 3에서 OSPF 연결 및 IPsec 터널 매개 변수를 구성하려면:
인터페이스 속성을 구성합니다. 이 단계에서는 2개의 이더넷 인터페이스(ge-1/0/0 및 ge-1/0/1), 루프백 인터페이스 및 멀티 서비스 인터페이스(ms-1/2/0)를 구성합니다.
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
라우터 ID를 구성합니다.
[edit routing-options] user@router3# set router-id 10.0.0.3
IPsec 규칙을 구성합니다. 이 단계에서는 IPsec 규칙을 구성하고 원격 게이트웨이 주소, 인증 및 암호화 속성 등과 같은 수동 SA 매개 변수를 지정합니다.
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.1 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input user@router3# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router3# set ike proposal ike-demo-proposal dh-group group2 user@router3# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router3# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal
다음 홉 스타일의 서비스 세트를 구성하고, 로컬 게이트웨이 주소를 지정하며, IPsec VPN 규칙을 서비스 세트와 연결합니다.
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
구성을 커밋합니다.
[edit] user@router3# commit
결과
구성 모드에서 , , show protocols ospfshow routing-options및 show services 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오
user@router3# show interfaces
interfaces {
ge-0/0/0 {
description "To R4 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
ge-0/0/1 {
description "To R2 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
}
user@router3# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router3# show routing-options
routing-options {
router-id 10.0.0.3;
}
user@router3# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.1;
dynamic {
ike-policy ike-demo-policy;
ipsec-policy ipsec-demo-policy;
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike-demo-policy {
proposals demo-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec-demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
}
}
라우터 4 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 4의 [edit] 계층 수준에서 CLI에 붙여넣습니다.
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
라우터 4와의 OSPF 연결을 설정하려면 다음을 수행합니다.
인터페이스를 구성합니다. 이 단계에서는 이더넷 인터페이스(ge-1/0/1)와 루프백 인터페이스를 구성합니다.
user@router4# set interfaces ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set interfaces lo0 unit 0 family inet address 10.0.0.4/32
OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.
user@router4# set protocols ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set protocols ospf area 0.0.0.0 interface lo0.0
라우터 ID를 구성합니다.
[edit routing-options] user@router4# set router-id 10.0.0.4
결과
구성 모드에서 , show protocols ospf및 show routing-options 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오
user@router4# show interfaces
interfaces {
ge-0/0/0 {
description "To R3 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
user@router4# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router4# show routing-options
routing-options {
router-id 10.0.0.4;
}
확인
라우터 1에서 작업 확인
목적
라우터 1이 제대로 작동하는지 확인합니다.
작업
운영 모드에서 라우터 4의 ge-0/0/0 인터페이스에 명령을 입력하여 ping 10.1.56.2 IPsec 터널을 통해 트래픽을 전송합니다
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
의미
출력은 Router 1이 IPsec 터널을 통해 Router 4에 도달할 수 있음을 보여줍니다.
라우터 2에서 작업 확인
목적
IKE(Internet Key Exchange) SA 협상이 성공적인지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show services ipsec-vpn ike security-associations .
user@router2>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured 03075bd3a0000003 4bff26a5c7000003 Main
IPsec 보안 연결이 활성화되었는지 확인하려면 명령을 실행합니다 show services ipsec-vpn ipsec security-associations detail . SA에는 프로토콜에 대한 ESP 및 인증 알고리즘에 대한 HMAC-SHA1-96과 같은 MultiServices PIC에 내재된 기본 설정이 포함되어 있습니다.
운영 모드에서 명령을 입력합니다 show services ipsec-vpn ipsec security-associations detail .
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 Local identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Direction: inbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64
트래픽이 양방향 IPsec 터널을 통해 이동하는지 확인하려면 명령을 실행합니다 show services ipsec-vpn statistics .
운영 모드에서 명령을 입력합니다 show services ipsec-vpn statistics .
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2248 Decrypted bytes: 2120 Encrypted packets: 27 Decrypted packets: 25 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
의미
명령 출력에는 show services ipsec-vpn ipsec security-associations detail 구성한 SA 속성이 표시됩니다.
명령 출력은 show services ipsec-vpn ipsec statistics IPsec 터널을 통한 트래픽 플로우를 보여줍니다.
라우터 3에서 작업 확인
목적
라우터 3에서 IKE(Internet Key Exchange) SA 협상이 성공했는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show services ipsec-vpn ike security-associations . 성공하려면 라우터 3의 SA에 라우터 2에서 지정한 것과 동일한 설정이 포함되어야 합니다.
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured 03075bd3a0000003 4bff26a5c7000003 Main
IPsec SA가 활성 상태인지 확인하려면 명령을 실행합니다 show services ipsec-vpn ipsec security-associations detail . 성공하려면 라우터 3의 SA에 라우터 2에서 지정한 것과 동일한 설정이 포함되어야 합니다.
운영 모드에서 명령을 입력합니다 show services ipsec-vpn ipsec security-associations detail .
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 Local identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Direction: inbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64
트래픽이 양방향 IPsec 터널을 통해 이동하는지 확인하려면 명령을 실행합니다 show services ipsec-vpn statistics .
운영 모드에서 명령을 입력합니다 show services ipsec-vpn ike security-associations .
user@router3>show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2120 Decrypted bytes: 2248 Encrypted packets: 25 Decrypted packets: 27 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
의미
명령 출력에는 show services ipsec-vpn ipsec security-associations detail 구성한 SA 속성이 표시됩니다.
명령 출력은 show services ipsec-vpn ipsec statistics IPsec 터널을 통한 트래픽 플로우를 보여줍니다.
라우터 4에서 작업 확인
목적
IKE(Internet Key Exchange) SA 협상이 성공적인지 확인합니다.
작업
운영 모드에서 라우터 1의 ge-0/0/0 인터페이스에 명령을 입력하여 ping 10.1.12.2 IPsec 터널을 통해 트래픽을 전송합니다.
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=3 ttl=254 time=1.142 ms 64 bytes from 10.1.12.2: icmp_seq=4 ttl=254 time=1.139 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
트래픽이 IPsec 터널을 통해 이동하는지 확인하려면 라우터 1의 ge-0/0/0 인터페이스에 명령을 실행합니다 traceroute . 라우터 2와 3 간의 물리적 인터페이스는 경로에서 참조되지 않습니다. 트래픽은 라우터 3의 적응형 서비스 IPsec 내부 인터페이스를 통해 IPsec 터널로 들어가고, 라우터 2의 루프백 인터페이스를 통과하며, 라우터 1의 ge-0/0/0 인터페이스에서 끝납니다.
운영 모드에서 traceroute 10.1.12.2.
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
의미
출력은 ping 10.1.12.2 라우터 4가 IPsec 터널을 통해 라우터 1에 도달할 수 있음을 보여줍니다.
출력은 traceroute 10.1.12.2 트래픽이 IPsec 터널을 이동한다는 것을 보여줍니다.
IPsec 규칙 구성
IPsec 규칙을 구성하려면 문을 포함하고 rule 계층 수준에서 [edit services ipsec-vpn] 규칙 이름을 지정합니다.
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; ipsec-inside-interface interface-name; source-address address; } then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; } } }
각 IPsec 규칙은 방화벽 필터와 유사한 용어 집합으로 구성됩니다.
용어는 다음과 같이 구성됩니다.
fromstatement - 포함 및 제외되는 일치 조건 및 애플리케이션을 지정합니다.thenstatement - 라우터 소프트웨어가 수행할 작업 및 작업 수정자를 지정합니다.
다음 섹션에서는 IPsec 규칙의 구성 요소를 구성하는 방법에 대해 설명합니다.
IPsec 규칙의 일치 방향 구성
각 규칙에는 match-direction 인터페이스의 입력 또는 출력 측에 일치가 적용되는지 여부를 지정하는 문이 포함되어야 합니다. 일치가 적용되는 위치를 구성하려면 계층 수준에서 문을 [edit services ipsec-vpn rule rule-name] 포함합니다match-direction (input | output).
[edit services ipsec-vpn rule rule-name] match-direction (input | output);
ACX 시리즈 라우터는 을(를) output지원하지 match-direction 않습니다.
일치 방향은 AS 또는 멀티서비스 PIC를 통과하는 트래픽 플로우와 관련하여 사용됩니다. 패킷이 PIC로 전송되면 방향 정보가 함께 전달됩니다.
인터페이스 서비스 세트에서 패킷 방향은 패킷이 서비스 세트가 적용되는 인터페이스에 들어오는지 또는 나가는지에 따라 결정됩니다.
다음 홉 서비스 세트를 사용하면 패킷을 AS 또는 멀티서비스 PIC로 라우팅하는 데 사용되는 인터페이스에 따라 패킷 방향이 결정됩니다. 내부 인터페이스가 패킷을 라우팅하는 데 사용되는 경우 패킷 방향이 입력됩니다. 패킷을 PIC로 보내는 데 외부 인터페이스가 사용되면 패킷 방향이 출력됩니다.
AS 또는 멀티서비스 PIC에서 플로우 조회가 수행됩니다. 플로우를 찾을 수 없는 경우 규칙 처리가 수행됩니다. 서비스 세트의 모든 규칙이 고려됩니다. 규칙을 처리하는 동안 패킷 방향이 규칙 방향과 비교됩니다. 패킷 방향과 일치하는 방향 정보가 있는 규칙만 고려됩니다.
IPsec 규칙에서 일치 조건 구성
IPsec 규칙에서 일치 조건을 구성하려면 계층 수준에서 명령문을 [edit services ipsec-vpn rule rule-name term term-name] 포함합니다from.
[edit services ipsec-vpn rule rule-name term term-name] from { destination-address address; ipsec-inside-interface interface-name; source-address address; }
방화벽 필터를 구성할 때와 동일한 방식으로 소스 주소 또는 대상 주소를 일치 조건으로 사용할 수 있습니다. 자세한 내용은 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
IPsec 서비스는 IPv4 및 IPv6 주소 형식을 모두 지원합니다. 소스 주소 또는 대상 주소를 구체적으로 구성하지 않으면 기본값 0.0.0.0/0 (IPv4 ANY)이 사용됩니다. IPv6 ANY(0::0/128)를 소스 또는 대상 주소로 사용하려면 명시적으로 구성해야 합니다.
ACX 시리즈의 IPsec 서비스는 IPv4 주소 형식을 지원합니다. 소스 주소 또는 대상 주소를 구체적으로 구성하지 않으면 기본값 0.0.0.0/0 (IPv4 ANY)이 사용됩니다.
넥스트 홉 스타일 서비스 세트에 한해, ipsec-inside-interface 명령문을 통해 이 일치 조건의 결과로 설정된 터널에 논리적 인터페이스를 할당할 수 있습니다. inside-service-interface 계층 수준에서 구성할 [edit services service-set name next-hop-service] 수 있는 명령문을 통해 및 .2 를 내부 및 외부 인터페이스로 지정할 .1 수 있습니다. 그러나 명령문으로 service-domain inside 여러 적응 서비스 논리적 인터페이스를 구성하고 그 중 하나를 사용하여 명령문을 구성할 수 있습니다ipsec-inside-interface.
Junos OS는 명령문에서 구성한 기준을 평가합니다 from . 동일한 넥스트 홉 스타일 서비스 세트 내에 여러 링크 유형 터널이 구성된 경우, 이 ipsec-inside-interface 값은 모든 터널의 소스 및 대상 주소가 (ANY-ANY)인 경우 규칙 조회 모듈이 특정 터널을 다른 터널과 구별할 수 있도록 0.0.0.0/0 합니다.
명령문을 구성할 ipsec-inside-interface 때 인터페이스 스타일의 서비스 세트는 지원되지 않습니다.
특별한 상황은 "임의-임의" 일치 조건을 포함하는 용어에 의해 제공됩니다(일반적으로 문이 생략되었기 때문에 from ). 터널에 임의-임의 일치가 있는 경우 이 터널 내의 모든 흐름이 동일한 SA(Security Association)를 사용하고 패킷 선택기가 중요한 역할을 하지 않기 때문에 흐름이 필요하지 않습니다. 따라서 이러한 터널은 패킷 기반 IPsec을 사용합니다. 이 전략은 PIC의 일부 플로우 리소스를 절약하며, 이는 플로우 기반 서비스가 필요한 다른 터널에 사용할 수 있습니다.
다음 구성 예는 에 term-1문이 없는 from 임의 터널 구성을 보여줍니다. 절에 선택기가 from 없으면 패킷 기반 IPsec 서비스가 발생합니다.
services {
ipsec-vpn {
rule rule-1 {
term term-1 {
then {
remote-gateway 10.1.0.1;
dynamic {
ike-policy ike_policy;
ipsec-policy ipsec_policy;
}
}
}
match-direction input;
}
.....
}
플로우리스 IPsec 서비스는 전용 모드와 공유 모드 모두에서 임의-애니 매칭이 있는 링크 유형 터널과 애니-애니 매칭이 있는 동적 터널에 제공됩니다.
링크형 터널의 경우, 서비스 세트 내에서 플로우리스 및 플로우 기반 IPsec의 혼합이 지원됩니다. 서비스 세트에 임의-임의 일치가 있는 일부 용어와 절에 from 선택기가 있는 일부 용어가 포함된 경우, 임의-임의 터널에는 패킷 기반 서비스가 제공되고 선택기가 있는 다른 터널에는 플로우 기반 서비스가 제공됩니다.
비링크 유형 터널의 경우, 서비스 세트에 임의 용어와 선택기 기반 용어가 모두 포함되어 있으면 플로우 기반 서비스가 모든 터널에 제공됩니다.
IPsec 규칙에서 작업 구성
IPsec 규칙에서 작업을 구성하려면 계층 수준에서 문을 [edit services ipsec-vpn rule rule-name term term-name] 포함합니다then.
[edit services ipsec-vpn rule rule-name term term-name] then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; }
주요 IPsec 작업은 동적 또는 수동 SA를 구성하는 것입니다.
계층 수준에서 문을
[edit services ipsec-vpn rule rule-name term term-name then]포함하고dynamic및[edit services ipsec-vpn ike]계층 수준에서 구성한 정책을 참조하여 동적 SA를[edit services ipsec-vpn ipsec]구성합니다.계층 수준에서 문을 포함하여
manual수동 SA를[edit services ipsec-vpn rule rule-name term term-name then]구성합니다.
다음과 같은 추가 속성을 구성할 수 있습니다.
IPsec 패킷 단편화 활성화
IPsec 터널에서 IP 버전 4(IPv4) 패킷의 단편화를 활성화하려면 계층 수준에서 명령문을 포함합니다clear-dont-fragment-bit.[edit services ipsec-vpn rule rule-name term term-name then]
[edit services ipsec-vpn rule rule-name term term-name then] clear-dont-fragment-bit;
clear-dont-fragment-bit 문을 설정하면 패킷 크기에 관계없이 패킷 헤더의 DF(Don't Fragment) 비트가 지워집니다. 패킷 크기가 터널 최대 전송 단위(MTU) 값을 초과하면 패킷은 캡슐화 전에 단편화됩니다. IPsec 터널의 경우, 인터페이스 최대 전송 단위(MTU) 설정에 관계없이 기본 MTU 값은 1500입니다.
데드 피어 탐지를 위한 대상 주소 구성
IPsec 트래픽이 전달되는 원격 주소를 지정하려면 계층 수준에서 명령문을 [edit services ipsec-vpn rule rule-name term term-name then] 포함합니다remote-gateway.
[edit services ipsec-vpn rule rule-name term term-name then] remote-gateway address;
백업 원격 주소를 지정하려면 계층 수준에서 명령문을 [edit services ipsec-vpn rule rule-name term term-name then] 포함합니다backup-remote-gateway.
[edit services ipsec-vpn rule rule-name term term-name then] backup-remote-gateway address;
이 두 문은 IPv4 및 IPv6 주소 형식을 모두 지원합니다.
backup-remote-gateway 문을 구성하면 터널 상태와 원격 피어 가용성을 모니터링하는 DPD(Dead Peer Detection) 프로토콜이 활성화됩니다. 명령문에 의해 remote-gateway 정의된 기본 터널이 활성화되면 백업 터널은 대기 모드에 있습니다. DPD 프로토콜이 기본 원격 게이트웨이 주소에 더 이상 도달할 수 없다고 판단하면 백업 주소에 새 터널이 설정됩니다.
정의된 10초 간격 동안 피어로부터 들어오는 트래픽이 없으면 라우터는 터널을 비활성으로 감지합니다. 글로벌 타이머는 10초마다 모든 터널을 폴링하고 AS(Adaptive Services) 또는 PIC(Multiservices Physical Interface Card)는 비활성 터널을 나열하는 메시지를 보냅니다. 터널이 비활성화되면 라우터는 백업 주소로 장애 조치하기 위해 다음 단계를 수행합니다.
적응형 서비스 메시지는 DPD 프로토콜을 트리거하여 피어에 Hello 메시지를 보냅니다.
승인이 수신되지 않으면 2초 간격으로 두 번의 재시도가 전송된 다음 터널이 비활성으로 선언됩니다.
터널이 데드로 선언되거나 IPsec 1단계 협상 시간 초과가 있는 경우 페일오버가 발생합니다. 기본 터널이 대기 모드로 전환되고 백업이 활성화됩니다.
백업 터널에 대한 협상 시간이 초과되면 라우터는 기본 터널로 다시 전환됩니다. 두 피어가 모두 다운되면 페일오버를 6번 시도합니다. 그런 다음 페일오버를 중지하고 기본 터널이 활성화되고 백업이 대기 모드인 원래 구성으로 되돌아갑니다.
또한 계층 수준에서 문을 포함하여 initiate-dead-peer-detection 백업 원격 게이트웨이를 구성하지 않고도 DPD Hello 메시지 트리거를 [edit services ipsec-vpn rule rule-name term term-name then] 활성화할 수 있습니다.
[edit services ipsec-vpn rule rule-name term term-name then] initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; }
또한 IKEv1 SA의 경우 문을 사용할 때 문 아래에 및 옵션을 설정할 interval 수 있습니다initiate-dead-peer-detection.dead-peer-detection threshold Junos OS 릴리스 17.2R1부터 및 threshold 옵션은 interval IKEv2 SA에도 적용됩니다. Junos OS 릴리스 17.1 및 이전 버전에서는 interval 및 threshold 옵션이 기본값을 사용하는 IKEv2 SA에 적용되지 않습니다. 간격은 피어가 DPD 요청 패킷을 보내기 전에 대상 피어의 트래픽을 기다리는 시간이며, 임계값은 피어를 사용할 수 없는 것으로 간주되기 전에 전송될 최대 실패한 DPD 요청 수입니다.
모니터링 동작은 문에 대해 backup-remote-gateway 설명된 것과 동일합니다. 이 구성을 사용하면 백업 IPsec 게이트웨이가 없을 때 라우터가 DPD Hello를 시작하고 IKE 피어에 연결할 수 없는 경우 IKE 및 IPsec SA를 정리할 수 있습니다.
DPD 프로토콜이 기본 원격 게이트웨이 주소에 더 이상 도달할 수 없다고 판단하면 백업 주소에 새 터널이 설정됩니다. 그러나 백업 원격 게이트웨이 주소 없이 구성하고 initiate-dead-peer-detection DPD 프로토콜이 기본 원격 게이트웨이 주소에 더 이상 도달할 수 없다고 결정하면 터널이 비활성으로 선언되고 IKE(Internet Key Exchange) 및 IPsec SA가 정리됩니다.
DPD 프로토콜에 대한 자세한 내용은 RFC 3706, Traffic-Based Method of Detecting Dead Internet Key Exchange(IKE) Peers를 참조하십시오.
IPsec Anti-Replay 구성 또는 비활성화
IPsec 안티리플레이 창의 크기를 구성하려면 계층 수준에서 문을 [edit services ipsec-vpn rule rule-name term term-name then] 포함합니다anti-replay-window-size.
[edit services ipsec-vpn rule rule-name term term-name then] anti-replay-window-size bits;
anti-replay-window-size 64비트에서 4096비트 사이의 값을 사용할 수 있습니다. 기본값은 AS PIC의 경우 64비트, 멀티서비스 PIC 및 DPC의 경우 128비트입니다. AS PIC는 1024비트의 최대 재생 창 크기를 지원할 수 있는 반면, 멀티서비스 PIC 및 DPC는 4096비트의 최대 재생 창 크기를 지원할 수 있습니다. 소프트웨어가 IPsec 구성을 커밋할 때 키 관리 프로세스(kmd)는 서비스 인터페이스 유형을 구별할 수 없습니다. 그 결과, AS PIC의 최대 안티리플레이 창 크기가 1024를 초과하면 커밋이 성공하고 오류 메시지가 생성되지 않습니다. 그러나 소프트웨어는 구성된 값이 anti-replay-window-size 더 크더라도 내부적으로 AS PIC의 안티리플레이 창 크기를 1024비트로 설정합니다.
IPsec antireplay 기능을 비활성화하려면 계층 수준에서 문을 [edit services ipsec-vpn rule rule-name term term-name then] 포함합니다.no-anti-replay
[edit services ipsec-vpn rule rule-name term term-name then] no-anti-replay;
기본적으로 안티리플레이 서비스는 사용하도록 설정되어 있습니다. 이로 인해 다른 공급업체의 장비와 상호 운용성 문제가 발생할 수 있습니다.
IPsec 터널에 대한 최대 전송 단위(MTU) 지정
IPsec 터널에 대한 특정 최대 전송 단위(MTU) 값을 구성하려면 계층 수준에서 문을 포함합니다tunnel-mtu.[edit services ipsec-vpn rule rule-name term term-name then]
[edit services ipsec-vpn rule rule-name term term-name then] tunnel-mtu bytes;
tunnel-mtu 이 설정은 IPsec 터널에 대한 MTU 값을 구성해야 하는 유일한 위치입니다. 계층 수준에서 설정을 [edit interfaces sp-fpc/pic/port unit logical-unit-number family inet] 포함하는 mtu 것은 지원되지 않습니다.
IPsec 규칙 집합 구성
명령문은 rule-set 라우터 소프트웨어가 데이터 스트림의 패킷에 대해 수행하는 작업을 결정하는 IPsec 규칙 모음을 정의합니다. 규칙 이름을 지정하고 용어를 구성하여 각 규칙을 정의합니다. 그런 다음 각 규칙에 대한 문과 함께 rule 계층 수준에서 문을 [edit services ipsec-vpn] 포함하여 rule-set 규칙의 순서를 지정합니다.
[edit services ipsec-vpn] rule-set rule-set-name { rule rule-name; }
라우터 소프트웨어는 구성에서 지정한 순서대로 규칙을 처리합니다. 규칙의 용어가 패킷과 일치하면 라우터가 해당 작업을 수행하고 규칙 처리가 중지됩니다. 규칙의 용어가 패킷과 일치하지 않으면 규칙 집합의 다음 규칙으로 처리가 계속됩니다. 패킷과 일치하는 규칙이 없으면 기본적으로 패킷이 삭제됩니다.
또한보십시오
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
threshold 옵션은
interval IKEv2 SA에도 적용됩니다.