Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

암호화 인터페이스 구성

암호화 인터페이스 구성

암호화 인터페이스를 구성할 때 구성된 SA를 논리적 인터페이스와 연결합니다. 이 구성은 논리 단위, 터널 주소, 최대 전송 단위(MTU), 선택적 인터페이스 주소 및 트래픽에 적용할 IPsec SA의 이름을 포함하여 터널을 정의합니다. 암호화 인터페이스를 구성하려면 계층 수준에서 다음 문을 [edit interfaces es-fpc/pic/port unit logical-unit-number] 포함합니다.

터널 소스 및 대상으로 구성된 주소는 터널의 외부 IP 헤더에 있는 주소입니다.

메모:

라우터에서 로컬로 터널 소스 주소를 구성해야 하며, 터널 대상 주소는 터널을 종료하는 보안 게이트웨이의 유효한 주소여야 합니다.

ES PIC(Physical Interface Card)는 M 시리즈 및 T 시리즈 라우터에서 지원됩니다.

SA는 유효한 터널 모드 SA여야 합니다. 나열된 인터페이스 주소 및 대상 주소는 선택 사항입니다. 대상 주소를 사용하면 사용자가 트래픽을 암호화하는 정적 경로를 구성할 수 있습니다. 정적 경로가 해당 목적지 주소를 다음 홉으로 사용하는 경우 트래픽은 암호화가 발생하는 터널 부분을 통해 전달됩니다.

암호화 인터페이스에 대한 보안 연관 이름 지정

보안 연결은 인터넷 트래픽을 암호화하기 위한 프로토콜을 정의하는 속성 집합입니다. 암호화 인터페이스를 구성하려면 계층 수준에서 문을 [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] 포함하여 ipsec-sa 인터페이스와 관련된 SA 이름을 지정합니다.

보안 연결 구성에 대한 정보는 ES PIC를 통과하는 트래픽에 대한 필터 구성을 참조하십시오.

암호화 인터페이스에 대한 최대 전송 단위(MTU) 구성

암호화 인터페이스에 대한 프로토콜 최대 전송 단위(MTU) 값은 항상 기본 인터페이스 최대 전송 단위(MTU) 값인 3900바이트보다 작아야 합니다. 더 큰 값을 선택하면 구성이 커밋되지 않습니다. 최대 전송 단위(MTU) 값을 설정하려면 계층 수준에서 명령문을 포함합니다mtu.[edit interfaces interface-name unit logical-unit-number family inet]

자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.

예: 암호화 인터페이스 구성

ES PIC에서 IPsec 터널을 논리적 인터페이스로 구성합니다. 논리적 인터페이스는 암호화된 트래픽이 통과하는 터널을 지정합니다. 문은 ipsec-sa 보안 프로필을 인터페이스와 연결합니다.

ES PIC를 통과하는 트래픽에 대한 필터 구성

이 섹션에서는 다음 항목을 다룹니다.

트래픽 개요

트래픽 구성은 터널을 통해 이동해야 하는 트래픽을 정의합니다. 암호화할 트래픽을 식별 및 지시하고 해독된 트래픽 매개 변수가 지정된 터널에 대해 정의된 매개 변수와 일치하는지 확인하는 아웃바운드 및 인바운드 방화벽 필터를 구성합니다. 아웃바운드 필터는 암호화하려는 수신 트래픽에 대한 LAN 또는 WAN 인터페이스에 적용됩니다. 인바운드 필터는 ES PIC에 적용되어 원격 호스트에서 들어오는 트래픽에 대한 정책을 확인합니다. 패킷을 전달하도록 라우터를 구성하는 것이 복잡하기 때문에 구성이 올바른지 확인하기 위한 자동 검사가 수행되지 않습니다.

메모:

IPsec에 대한 유효한 방화벽 필터 문은 , source-port, destination-addressprotocol, 및 source-address입니다destination-port.

그림 1에서 게이트웨이 A는 네트워크를 10.1.1.0/24보호하고 게이트웨이 B는 네트워크를 10.2.2.0/24보호합니다. 게이트웨이는 IPsec 터널로 연결됩니다. 방화벽에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.

그림 1: 예: 보안 게이트웨이를 Example: IPsec Tunnel Connecting Security Gateways 연결하는 IPsec 터널

보안 게이트웨이 A에 대한 SA 및 ES 인터페이스는 다음과 같이 구성됩니다.

보안 연결 구성

SA를 구성하려면 계층 수준에서 문을 포함합니다security-association.[edit security]

SA 구성에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 관리 라이브러리를 참조하십시오. 인터페이스에 SA를 적용하는 방법에 대한 자세한 내용은 147531암호화 인터페이스에 대한 보안 연결 이름 지정을 참조하십시오.

아웃바운드 트래픽 필터 구성

아웃바운드 트래픽 필터를 구성하려면 계층 수준에서 명령문을 포함합니다filter.[edit firewall]

자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.

예: 아웃바운드 트래픽 필터 구성

아웃바운드 트래픽을 위한 방화벽 필터는 원하는 IPsec 터널을 통해 트래픽을 전송하고 터널링된 트래픽이 적절한 인터페이스로 나가도록 합니다( 그림 1 참조). 여기서는 보안 게이트웨이 A에 아웃바운드 방화벽 필터가 생성됩니다. 암호화할 트래픽을 식별하여 내부 VPN(Virtual Private Network) 트래픽을 전달하는 인터페이스의 입력 측에 추가합니다.

메모:

아웃바운드 트래픽 필터의 원본 주소, 포트 및 프로토콜은 인바운드 트래픽 필터의 대상 주소, 포트 및 프로토콜과 일치해야 합니다. 아웃바운드 트래픽 필터의 대상 주소, 포트 및 프로토콜은 인바운드 트래픽 필터의 원본 주소, 포트 및 프로토콜과 일치해야 합니다.

아웃바운드 트래픽 필터 적용

아웃바운드 방화벽 필터를 구성한 후 계층 수준에서 문을 포함하여 filter 적용합니다.[edit interfaces interface-name unit logical-unit-number family inet]

예: 아웃바운드 트래픽 필터 적용

아웃바운드 트래픽 필터를 적용합니다. 아웃바운드 필터는 계층 수준에서 고속 이더넷 인터페이스에 [edit interfaces fe-0/0/1 unit 0 family inet] 적용됩니다. 고속 이더넷 인터페이스에 구성된 입력 필터(ipsec-encrypt-policy-filter)의 IPsec 작업 용어(term 1)와 일치하는 모든 패킷은 계층 수준에서 ES PIC 인터페이스로 [edit interfaces es-0/1/0 unit 0 family inet] 전달됩니다. 따라서 패킷이 소스 주소 10.1.1.0/24 에서 도착하여 목적지 주소로 10.2.2.0/24이동하면 패킷 전달 엔진은 SA와 함께 manual-sa1 구성된 ES PIC 인터페이스로 패킷을 보냅니다. ES PIC는 패킷을 수신하고, SA를 manual-sa1 적용하며, 터널을 통해 패킷을 보냅니다.

라우터에는 터널 끝점에 대한 경로가 있어야 합니다. 필요한 경우 고정 경로를 추가합니다.

인바운드 트래픽 필터 구성

인바운드 트래픽 필터를 구성하려면 계층 수준에서 명령문을 포함합니다filter.[edit firewall]

자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.

예: 인바운드 트래픽 필터 구성

인바운드 방화벽 필터를 구성합니다. 이 필터는 최종 IPsec 정책 검사를 수행하고 보안 게이트웨이 A에 생성됩니다. 정책 검사는 이 터널에 대해 구성된 트래픽과 일치하는 패킷만 수락되도록 합니다.

암호화 인터페이스에 인바운드 트래픽 필터 적용

인바운드 방화벽 필터를 생성한 후 ES PIC에 적용할 수 있습니다. 필터를 ES PIC에 적용하려면 계층 수준에서 문을 포함합니다filter.[edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter]

입력 필터는 수신된 트래픽에 적용된 필터의 이름입니다. 구성 예는 예: 인바운드 트래픽 필터 구성을 참조하십시오. 방화벽 필터에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.

예: 인바운드 트래픽 필터를 암호화 인터페이스에 적용

복호화된 패킷에 인바운드 방화벽 필터(ipsec-decrypt-policy-filter)를 적용하여 최종 정책 검사를 수행합니다. IPsec manual-sa1 SA는 계층 수준에서 참조 [edit interfaces es-1/2/0 unit 0 family inet] 되며 수신 패킷의 암호를 해독합니다.

패킷 전달 엔진은 IPsec 패킷을 ES PIC로 보냅니다. 패킷의 SPI(Security Parameter Index), 프로토콜 및 대상 주소를 사용하여 ES 인터페이스 중 하나에 구성된 SA를 조회합니다. IPsec manual-sa1 SA는 계층 수준에서 참조 [edit interfaces es-1/2/0 unit 0 family inet] 되며 수신 패킷의 암호를 해독하는 데 사용됩니다. 패킷이 처리(복호화, 인증 또는 둘 다)되면 복호화된 패킷에 입력 방화벽 필터(ipsec-decrypt-policy-filter)가 적용되어 최종 정책 검사를 수행합니다. term1 복호화된(및 검증된) 트래픽을 정의하고 필요한 정책 검사를 수행합니다. 에 term1대한 자세한 내용은 예: 인바운드 트래픽 필터 구성을 참조하십시오.

메모:

인바운드 트래픽 필터는 ES PIC가 패킷을 처리한 후에 적용되므로, 해독된 트래픽은 원격 게이트웨이가 암호화하여 이 라우터로 전송하는 모든 트래픽으로 정의됩니다. IKE(Internet Key Exchange)는 이 필터를 사용하여 터널에 필요한 정책을 결정합니다. 이 정책은 원격 게이트웨이와의 협상 중에 일치하는 SA 구성을 찾는 데 사용됩니다.

레이어 3 VPN을 위한 ES 터널 인터페이스 구성

레이어 3 VPN에 대한 ES 터널 인터페이스를 구성하려면 프로바이더 에지(PE) 라우터 및 고객 에지(CE) 라우터에서 ES 터널 인터페이스를 구성해야 합니다. 또한 PE 및 CE 라우터에서 IPsec을 구성해야 합니다. 레이어 3 VPN에 대한 ES 터널 구성에 대한 자세한 내용은 라우팅 디바이스용 Junos OS VPN 라이브러리를 참조하십시오.

ES PIC 이중화 구성

여러 ES PIC가 있는 M 시리즈 및 T 시리즈 라우터에서 ES PIC 중복을 구성할 수 있습니다. ES PIC 이중화를 통해 하나의 ES PIC가 활성화되고 다른 ES PIC가 대기 상태입니다. 기본 ES PIC에 서비스 장애가 발생하면 백업이 활성화되고 모든 터널과 SA를 상속하며 IPsec 트래픽에 대한 새로운 다음 홉 역할을 합니다. 백업 ES PIC에서 터널을 다시 설정하는 데는 새로운 IKE(Internet Key Exchange) 협상이 필요하지 않습니다. 기본 ES PIC가 온라인 상태가 되면 대기 상태로 유지되며 백업을 선점하지 않습니다. 현재 활성 상태인 PIC를 확인하려면 명령을 사용합니다 show ipsec redundancy .

메모:

ES PIC 이중화는 M 시리즈 및 T 시리즈 라우터에서 지원됩니다.

ES PIC를 백업으로 구성하려면 계층 수준에서 명령문을 포함합니다backup-interface.[edit interfaces fpc/pic/port es-options]

예: ES PIC 이중화 구성

인바운드 방화벽 필터를 생성한 후 기본 ES PIC에 적용합니다. 여기서, 인바운드 방화벽 필터(ipsec-decrypt-policy-filter)는 복호화된 패킷에 적용되어 최종 정책 확인을 수행합니다. IPsec manual-sa1 SA는 계층 수준에서 참조 [edit interfaces es-1/2/0 unit 0 family inet] 되며 수신 패킷의 암호를 해독합니다. 이 예에서는 SA 및 필터 구성을 표시하지 않습니다. SA 및 필터 구성에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 관리 라이브러리, 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드예: 인바운드 트래픽 필터 구성을 참조하십시오.

IPsec 터널 이중화 구성

백업 대상 주소를 지정하여 IPsec 터널 중복을 구성할 수 있습니다. 로컬 라우터는 keepalives를 전송하여 원격 사이트의 도달 가능성을 확인합니다. 피어에 더 이상 연결할 수 없으면 새 터널이 설정됩니다. 페일오버 중 최대 60초 동안 알림이 전송되지 않고 트래픽이 삭제됩니다. 그림 2 는 IPsec 기본 및 백업 터널을 보여줍니다.

그림 2: IPsec 터널 이중화 IPsec Tunnel Redundancy

IPsec 터널 이중화를 구성하려면 계층 수준에서 명령문을 포함합니다backup-destination.[edit interfaces unit logical-unit-number tunnel]

메모:

터널 이중화는 M 시리즈 및 T 시리즈 라우터에서 지원됩니다.

기본 및 백업 대상은 서로 다른 라우터에 있어야 합니다.

터널은 서로 구별되어야 하며 정책이 일치해야 합니다.

터널에 대한 자세한 내용은 MX 시리즈 라우터의 터널 인터페이스 구성 개요를 참조하십시오.