동적 엔드포인트가 있는 IPsec 터널

원격(동적 피어)은 로컬(주니퍼 네트웍스) 라우터와의 협상을 시작합니다. 로컬 라우터는 기본 IKE 및 IPsec 정책을 사용하여 원격 피어가 SA(Security Association) 값을 협상하기 위해 보낸 제안과 일치시킵니다. 암시적 제안에는 로컬 라우터가 모든 동적 피어에서 기대하는 지원되는 모든 변환 목록이 포함되어 있습니다.

사전 공유 키 인증을 사용하는 경우 사전 공유 키는 서비스 세트에 대해 전역입니다. 피어에 대한 사전 공유 키를 찾을 때 로컬 라우터는 피어의 소스 주소를 해당 서비스 세트에서 명시적으로 구성된 사전 공유 키와 일치시킵니다. 일치하는 항목이 발견되지 않으면 로컬 라우터는 인증에 글로벌 사전 공유 키를 사용합니다.

인증의 2단계에서는 피어가 보낸 보호된 호스트 및 네트워크의 프록시 ID를 구성된 프록시 ID 목록과 일치시킵니다. 허용된 프록시 ID는 트래픽을 암호화하기 위한 동적 규칙을 만드는 데 사용됩니다. IKE(Internet Key Exchange) 액세스 프로필에 문을 포함하여 allowed-proxy-pair 프록시 ID를 구성할 수 있습니다. 일치하는 항목이 없으면 협상이 거부됩니다.

문을 구성 allowed-proxy-pair 하지 않으면 기본값 ANY(0.0.0.0/0)-ANY 이 적용되고 로컬 라우터는 피어가 보낸 모든 프록시 ID를 수락합니다. IPv4 및 IPv6 주소가 모두 허용되지만 모든 IPv6 주소를 수동으로 구성해야 합니다.

2단계 협상이 성공적으로 완료되면 라우터는 동적 규칙을 구축하고 허용된 프록시 ID를 사용하여 라우팅 테이블에 역방향 경로를 삽입합니다.

동적 피어와의 협상에 성공한 후, 키 관리 프로세스(kmd)는 허용된 2단계 프록시에 대한 동적 규칙을 생성하고 이를 로컬 AS 또는 멀티서비스 PIC에 적용합니다. 원본 및 대상 주소는 허용된 프록시에 의해 지정됩니다. 이 규칙은 2단계 프록시 ID의 최종 호스트 중 하나로 전달되는 트래픽을 암호화하는 데 사용됩니다.

동적 규칙에는 동적 터널에 할당된 인터페이스 이름인 값이 포함됩니다 ipsec-inside-interface . source-address 및 destination-address 값은 프록시 ID에서 허용됩니다. 이 match-direction 값은 input 넥스트 홉 스타일 서비스 세트를 위한 것입니다.

정적 터널에 대한 규칙 조회는 동적 규칙의 존재 여부에 영향을 받지 않습니다. 구성된 순서대로 수행됩니다. 서비스 세트에 대한 패킷이 수신되면 정적 규칙이 항상 먼저 일치합니다.

동적 규칙은 정적 규칙에 대한 규칙 일치가 실패한 후에 일치됩니다.

DPD(Dead Peer Detection) Hello 메시지에 대한 응답은 정적 피어와 동적 피어에서 동일한 방식으로 이루어집니다. 동적 피어에서 DPD Hello 메시지를 시작하는 것은 지원되지 않습니다.

정적 경로는 원격 터널 엔드포인트로 보호되는 네트워크 및 호스트의 경로 테이블에 자동으로 삽입됩니다. 이러한 보호된 호스트 및 네트워크를 원격 프록시 ID라고 합니다.

각 경로는 피어에서 보낸 원격 프록시 네트워크 및 마스크를 기반으로 생성되며 1단계 및 2단계 협상이 성공한 후 관련 경로 테이블에 삽입됩니다.

각 정적 역방향 경로에 대한 경로 기본 설정은 1입니다. 이 값은 라우팅 프로토콜 프로세스(rpd)에 의해 추가될 수 있는 유사한 경로와의 충돌을 방지하는 데 필요합니다.

허용된 원격 프록시 주소가 기본값()인 경우 경로가 추가되지 않습니다.0.0.0.0/0 이 경우 IPsec 터널을 통해 라우팅 프로토콜을 실행하여 경로를 학습하고 이 터널을 통해 보호하려는 트래픽에 대한 고정 경로를 추가할 수 있습니다.

넥스트 홉 스타일 서비스 세트의 경우, 역방향 루트는 명령문에 의해 inside-service-interface 지정된 위치를 가리키는 다음 홉을 포함합니다.

이러한 경로를 삽입할 경로 테이블은 위치가 나열된 위치에 inside-service-interface 따라 달라집니다. 이러한 인터페이스가 VPN 라우팅 및 포워딩(VRF) 인스턴스에 있는 경우 해당 VRF 테이블에 경로가 추가됩니다. 그렇지 않으면 경로가 에 추가됩니다 inet.0.

모든 동적 피어에 대해 서비스 세트당 하나의 터널 프로파일만 구성할 수 있습니다. 프로필에 구성된 사전 공유 키는 해당 서비스 세트에서 종료되는 모든 동적 피어의 IKE 인증에 사용됩니다. 또는 명령문을 포함하여 ike-policy 특정 식별 값 또는 와일드카드(옵션)로 정의한 IKE 정책을 참조할 수 있습니다 any-remote-id . 계층 수준에서 IKE(Internet Key Exchange) [edit services ipsec-vpn ike] 정책을 구성합니다.

IKE(Internet Key Exchange) 터널 프로필은 IKE(Internet Key Exchange) 협상을 완료하는 데 필요한 모든 정보를 지정합니다. 각 프로토콜은 프로토콜별 속성 값 쌍을 구성하기 위해 클라이언트 문 내에 고유한 명령문 계층을 가지고 있지만, 각 프로파일에 대해 하나의 클라이언트 구성만 허용됩니다. 다음은 계층 수준의 구성 [edit access] 입니다. 액세스 프로필에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 관리 라이브러리를 참조하십시오.

IKE 프로필을 구성하는 문은 다음과 같습니다.

• allowed-proxy-pair- 2단계 IKE 협상 중에 원격 피어는 네트워크 주소()와 피어의 네트워크 주소(remotelocal)를 제공합니다. 여러 동적 터널이 동일한 메커니즘을 통해 인증되므로 이 문에는 가능한 조합 목록이 포함되어야 합니다. 동적 피어가 유효한 조합을 제시하지 않으면 2단계 IKE 협상이 실패합니다.

  값이 구성되지 않은 경우 기본적으로 remote 0.0.0.0/0 local 0.0.0.0/0 이 사용됩니다. 이 구성에서는 IPv4 및 IPv6 주소 형식이 모두 지원되지만 기본 IPv6 주소는 없습니다. 짝수 0::0/0를 지정해야 합니다.

• pre-shared-key- IKE(Internet Key Exchange) 1단계 협상 중에 동적 피어를 인증하는 데 사용되는 키입니다. 이 키는 대역 외 보안 메커니즘을 통해 양쪽 끝에 알려져 있습니다. 또는 ascii-text 형식 중 하나로 hexadecimal 값을 구성할 수 있습니다. 필수 값입니다.

• ike-policy- 허용된 동적 피어에 대응하는 원격 식별 값을 정의하는 정책. 은(는) 동적 엔드포인트 구성에서만 사용할 와일드카드 값을 any-remote-id 포함할 수 있습니다.

• interface-id- 인터페이스 식별자, 세션에 대한 논리적 서비스 인터페이스 정보를 도출하는 데 사용되는 필수 속성.

• ipsec-policy- 세션에 대한 IPsec 정책 정보를 정의하는 IPsec 정책의 이름입니다. 계층 수준에서 IPsec 정책을 [edit services ipsec-vpn ipsec policy policy-name] 정의합니다. 정책이 설정되지 않은 경우 동적 피어가 제안한 모든 정책이 수락됩니다.

구성을 완료하려면 계층 수준에서 구성된 [edit access] IKE(Internet Key Exchange) 액세스 프로필을 참조해야 합니다. 이렇게 하려면 계층 수준에서 문을 포함합니다ike-access-profile.[edit services service-set name ipsec-vpn-options]

문은 ike-access-profile 계층 수준에서 IKE(Internet Key Exchange) 액세스를 [edit access] 위해 구성한 문과 profile 동일한 이름을 참조해야 합니다. 각 서비스 세트에서 하나의 액세스 프로필만 참조할 수 있습니다. 이 프로필은 동적 피어와의 IKE 및 IPsec 보안 연결을 협상하는 데만 사용됩니다.

서비스 세트 내에서 명령문이 참조 inside-service-interface 하는 모든 인터페이스는 동일한 VRF 인스턴스에 속해야 합니다.

동적 IPsec 협상에 참여할 적응형 서비스 논리적 인터페이스를 지정하는 동적 피어 그룹에 대한 인터페이스 식별자를 구성할 수 있습니다. 여러 논리적 인터페이스에 동일한 인터페이스 식별자를 할당하여 이를 위한 인터페이스 풀을 생성할 수 있습니다. 인터페이스 식별자를 구성하려면 계층 수준에서 문과 dedicated 또는 shared 문을 [edit interfaces interface-name unit logical-unit-number dial-options] 포함합니다ipsec-interface-id.

문에서 인터페이스 식별자를 dial-options 지정하면 이 논리적 인터페이스가 문으로 ipsec-interface-id 식별되는 풀의 일부가 됩니다.

모드를 구성 shared 하면 하나의 논리적 인터페이스를 여러 터널에서 공유할 수 있습니다. 명령문은 dedicated 논리적 인터페이스가 IPsec 링크 유형 터널을 구성할 때 필요한 전용 모드에서 사용되도록 지정합니다. 값을 지정할 ipsec-interface-id 때 문을 포함해야 dedicated 합니다.

소프트웨어에는 동적 피어에서 보낸 제안과 일치하는 암시적 기본 IKE 및 IPsec 제안이 포함되어 있습니다. 값은 표 1에 나와 있습니다. 두 개 이상의 값이 표시되는 경우 첫 번째 값이 기본값입니다.

Junos OS 릴리스 16.2R1부터 여러 MS-MIC 또는 MS-MPC의 여러 서비스 PIC 간에 동적 엔드포인트가 있는 IPsec 터널을 배포할 수 있습니다. 각 서비스 PIC의 멀티서비스(ms-) 인터페이스에 대해 다음 홉 IPsec 서비스 세트를 구성하여 터널 배포를 구성합니다. Junos OS 릴리스 17.1R1부터 각 AMS 인터페이스에 대한 다음 홉 IPsec 서비스 세트를 구성하여 MS-MIC 또는 MS-MPC의 통합 멀티서비스(AMS) 인터페이스 간에 동적 엔드포인트가 있는 IPsec 터널을 배포할 수도 있습니다.

나중에 IPsec 피어의 구성을 변경할 필요 없이 다른 서비스 세트를 추가하기만 하면 MX 시리즈 라우터에 서비스 PIC 하드웨어를 추가하고 터널 배포에 서비스 PIC를 포함할 수 있습니다.

터널 배포를 구성하려면 동적 엔드포인트 IPsec 터널을 구성할 때 다음 단계를 수행합니다.

• 동적 엔드포인트 IPsec 터널에서 사용하는 각 서비스 인터페이스 또는 AMS 인터페이스에 대해 다음 홉 IPsec 서비스 세트를 구성합니다( 서비스 세트에서 IKE 액세스 프로필 참조 참조). 모든 서비스 세트는 다음과 같아야 합니다.

  • 멀티서비스(ms-) 인터페이스 또는 AMS(ams-) 인터페이스와 같은 유형의 서비스 인터페이스를 사용합니다.

  • 다른 서비스 세트의 outside-service 인터페이스와 동일한 VPN 라우팅 및 포워딩(VRF) 인스턴스에 있는 문에 인터페이스가 있습니다.

  • 동일한 local-gateway IP 주소를 가집니다.

  • 이름이 같습니다 ike-access-profile .

• 인터페이스 식별자를 구성할 때( 인터페이스 식별자 구성 참조) ipsec-interface-id identifier 다음을 구성해야 합니다.

  • 서비스 세트의 inside-service-set 문에 나타나는 인터페이스 아래에서만.

  • 모든 인터페이스의 경우 with 또는 모든 인터페이스의 경우 with dedicated shared 입니다.

  • 인터페이스의 공유 단위가 두 개 이하 됩니다.

  • 로 service-domain inside구성된 인터페이스에서만 가능합니다.

  • 동일한 VRF에 있는 인터페이스에서만 가능합니다.