예: 사전 공유 키를 사용한 AutoVPN 구성
이 예는 원격 피어를 인증하기 위해 VPN 게이트웨이에서 사용하는 다른 IKE 사전 공유 키를 구성하는 방법을 보여줍니다. 마찬가지로, 원격 피어를 인증하기 위해 VPN 게이트웨이에서 사용하는 것과 동일한 IKE 사전 공유 키를 구성합니다.
AutoVPN의 엔드투엔드 구성에 대해서는 이 주제의 다른 예를 참조하십시오.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
- AutoVPN을 지원하는 MX-SPC3 및 Junos OS 릴리스 21.1R1이 포함된 MX240, MX480 및 MX960
- 또는 AutoVPN을 지원하는 SPC3 및 Junos OS 릴리스 21.2R1이 포함된 SRX5000 라인
- 또는 iked 프로세스(패키지 포함
junos-ike)를 실행하는 vSRX 가상 방화벽 및 AutoVPN을 지원하는 Junos OS 릴리스 21.2R1
다른 IKE(Internet Key Exchange) 사전 공유 키 구성
VPN 게이트웨이가 원격 피어를 인증하는 데 사용하는 다른 IKE 사전 공유 키를 구성하려면 다음 작업을 수행합니다.
- AutoVPN 허브가 있는 디바이스에서 IKE(Internet Key Exchange) 정책에 대해 시드된 사전 공유를 구성합니다.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
또는
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
예를 들어:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
또는
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 원격 피어 디바이스의 IKE(Internet Key Exchange) 정책에서 생성된 PSK( 2단계의 "79e4ea39f5c06834a3c4c031e37c6de24d46798a")를 구성합니다.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
예를 들어:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (선택 사항) IKE ID 검증을 우회하고 모든 IKE ID 유형을 허용하려면 게이트웨이의 [edit security ike gateway gateway_name dynamic] 계층 수준에서 구성 문을 구성합니다
general-ikeid.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
결과
구성 모드에서 명령을 입력하여 구성을 show security 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
동일한 IKE(Internet Key Exchange) 사전 공유 키를 구성합니다
VPN 게이트웨이가 원격 피어를 인증하는 데 사용하는 것과 동일한 IKE 사전 공유 키를 구성하려면 다음 작업을 수행합니다.
- AutoVPN 허브가 있는 디바이스에서 IKE(Internet Key Exchange) 정책에 대한 공통
pre-shared-key을 구성합니다.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
예를 들어:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- 원격 피어 디바이스에 대한 IKE(Internet Key Exchange) 정책에서 common
pre-shared-key을 구성합니다.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
예를 들어:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (선택 사항) IKE ID 검증을 우회하고 모든 IKE ID 유형을 허용하려면 게이트웨이의 [edit security ike gateway gateway_name dynamic] 계층 수준에서 구성 문을 구성합니다
general-ikeid.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
결과
구성 모드에서 명령을 입력하여 구성을 show security 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}