Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

수동 보안 연결

예: 수동 SA 구성

이 예에서는 수동 보안 연결(SA)을 사용하여 IPsec 터널을 생성하는 방법을 보여 주며 다음 섹션을 포함합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 멀티 서비스 인터페이스가 설치된 M 시리즈, MX 시리즈 또는 T 시리즈 라우터 4개.

  • Junos OS 릴리스 9.4 이상.

이 기능을 구성하기 위해 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요 및 토폴로지

SA(보안 연결)는 두 호스트가 IPsec을 통해 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다. SA에는 수동 SA와 동적 SA의 두 가지 유형이 있습니다. 이 예에서는 수동 SA 구성에 대해 설명합니다.

수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 정적으로 정의된 SPI(Security Parameter Index) 값, 알고리즘 및 키를 사용하며 터널 양쪽 끝에서 일치하는 구성이 필요합니다. 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.

수동 SA는 키의 배포, 유지 관리 및 추적이 어렵지 않은 소규모 정적 네트워크에 가장 적합합니다.

토폴로지

그림 1은 라우터 1, 2, 3, 4의 4개 라우터 그룹을 포함하는 IPsec 토폴로지를 보여줍니다.

그림 1: 수동 SA 토폴로지 Manual SA Topology

라우터 2와 3은 멀티서비스 PIC 및 수동 SA 설정을 사용하여 IPsec 터널을 설정합니다. 라우터 1과 4는 기본 연결을 제공하며 IPsec 터널이 작동하는지 확인하는 데 사용됩니다.

구성

이 예는 4개의 라우터를 사용하며 다음과 같은 구성을 포함합니다.

  • 라우터 1과 4는 각각 라우터 2와 3과의 기본 OSPF 연결을 위해 구성됩니다.

  • 라우터 2와 3은 각각 라우터 1과 4와의 OSPF 연결을 위해 구성됩니다. 또한 라우터 2와 3은 이 두 라우터 간에 수동 SA를 사용하여 IPsec 터널을 생성하도록 구성됩니다. 트래픽을 멀티서비스 인터페이스를 통해 IPsec 터널로 전달하기 위해 라우터 2와 3에 다음 홉 스타일의 서비스 세트를 구성하고, IPsec 내부 인터페이스로 구성된 멀티서비스 인터페이스를 각 라우터의 OSPF 구성에 추가합니다.

참고:

이 예에 표시된 인터페이스 유형은 참고용으로만 사용됩니다. 예를 들어, 및 sp- 대신 ms-인터페이스를 ge- 사용할 so- 수 있습니다.

이 섹션에는 다음이 포함됩니다.

라우터 1 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 1의 [edit] 계층 수준에서 CLI에 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

라우터 2와의 OSPF 연결을 위해 라우터 1을 구성하려면:

  1. 이더넷 인터페이스와 루프백 인터페이스를 구성합니다.

  2. OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.

  3. 라우터 ID를 구성합니다.

결과

구성 모드에서 , show protocols ospfshow routing-options 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오

라우터 2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 2의 [edit] 계층 수준에서 CLI에 붙여넣습니다.

라우터 2에서 인터페이스 구성 및 OSPF 연결(라우터 1 및 라우터 3 사용)

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

라우터 2에서 OSPF 연결 및 IPsec 터널 매개 변수를 구성하려면 다음을 수행합니다.

  1. 인터페이스 속성을 구성합니다. 이 단계에서는 2개의 이더넷 인터페이스(ge-1/0/0 및 ge-1/0/1), 루프백 인터페이스 및 멀티 서비스 인터페이스(ms-1/2/0)를 구성합니다.

  2. OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.

  3. 라우터 ID를 구성합니다.

  4. IPsec 규칙을 구성합니다. 이 단계에서는 IPsec 규칙을 구성하고 원격 게이트웨이 주소, 인증 및 암호화 속성 등과 같은 수동 SA 매개 변수를 지정합니다.

  5. 다음 홉 스타일의 서비스 세트를 구성하고, 로컬 게이트웨이 주소를 지정하며, IPsec VPN 규칙을 서비스 세트와 연결합니다.

  6. 구성을 커밋합니다.

결과

구성 모드에서 , , show protocols ospfshow routing-optionsshow services 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오

라우터 3 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 3의 [edit] 계층 수준에서 CLI에 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

라우터 3에서 OSPF 연결 및 IPsec 터널 매개 변수를 구성하려면:

  1. 인터페이스 속성을 구성합니다. 이 단계에서는 2개의 이더넷 인터페이스(ge-1/0/0 및 ge-1/0/1), 루프백 인터페이스 및 멀티 서비스 인터페이스(ms-1/2/0)를 구성합니다.

  2. OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.

  3. 라우터 ID를 구성합니다.

  4. IPsec 규칙을 구성합니다. 이 단계에서는 IPsec 규칙을 구성하고 원격 게이트웨이 주소, 인증 및 암호화 속성 등과 같은 수동 SA 매개 변수를 지정합니다.

  5. 다음 홉 스타일의 서비스 세트를 구성하고, 로컬 게이트웨이 주소를 지정하며, IPsec VPN 규칙을 서비스 세트와 연결합니다.

  6. 구성을 커밋합니다.

결과

구성 모드에서 , , show protocols ospfshow routing-optionsshow services 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오

라우터 4 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령을 복사하여 라우터 4의 [edit] 계층 수준에서 CLI에 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

라우터 3과의 OSPF 연결을 설정하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다. 이 단계에서는 이더넷 인터페이스(ge-1/0/1)와 루프백 인터페이스를 구성합니다.

  2. OSPF 영역을 지정하고 인터페이스를 OSPF 영역과 연결합니다.

  3. 라우터 ID를 구성합니다.

  4. 구성을 커밋합니다.

결과

구성 모드에서 , show protocols ospfshow routing-options 명령을 입력하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오

확인

수동 SA 구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

IPsec 터널을 통한 트래픽 플로우 확인

목적

IPsec 터널이 라우터 1과 라우터 4 간에 트래픽을 전달하는지 확인합니다.

작업

ping 라우터 1 lo0 에서 라우터 4로 명령을 실행합니다.

의미

출력은 Router 1이 IPsec 터널을 통해 Router 4에 도달할 수 있음을 보여줍니다.

Router 2에서 보안 연결 확인

목적

라우터 2에서 보안 연결이 활성화되어 있고 트래픽이 IPsec 터널을 통해 흐르고 있는지 확인합니다.

작업
  • 보안 연결이 활성 상태인지 확인하려면 라우터 2에서 문제를 실행합니다 show services ipsec-vpn ipsec security-associations detail .

  • 트래픽이 양방향 IPsec 터널을 통해 이동하는지 확인하려면 라우터 2에서 문제를 실행합니다 show services ipsec-vpn ipsec statistics .

의미

명령 출력에는 show services ipsec-vpn ipsec security-associations detail 구성한 SA 속성이 표시됩니다.

명령 출력은 show services ipsec-vpn ipsec statistics IPsec 터널을 통한 트래픽 플로우를 보여줍니다.

Router 3에서 보안 연결 확인

목적

IPsec 터널을 통한 보안 연결 및 트래픽 흐름을 확인합니다.

작업
  • 보안 연결이 활성 상태인지 확인하려면 라우터 3에서 문제를 실행합니다 show services ipsec-vpn ipsec security-associations detail .

  • 트래픽이 양방향 IPsec 터널을 통해 이동하는지 확인하려면 라우터 3에서 문제를 실행합니다 show services ipsec-vpn ipsec statistics .

의미

명령 출력에는 show services ipsec-vpn ipsec security-associations detail 구성한 SA 속성이 표시됩니다.

명령 출력은 show services ipsec-vpn ipsec statistics IPsec 터널을 통한 트래픽 플로우를 보여줍니다.