서비스 인터페이스 구성
서비스 인터페이스 이름링 개요
각 인터페이스에는 미디어 유형, FPC의 슬롯, PIC가 설치된 FPC의 위치 및 PIC 포트를 지정하는 인터페이스 이름이 있습니다. 인터페이스 이름은 시스템에서 개별 네트워크 커넥터를 고유하게 식별합니다. 인터페이스 구성 시 인터페이스 이름을 사용하고 라우팅 프로토콜과 같은 다양한 기능 및 속성을 개별 인터페이스에서 활성화할 때 사용합니다. 시스템은 인터페이스에 대한 정보를 show interfaces 예를 들어 명령어에 표시할 때 인터페이스 이름을 사용합니다.
인터페이스 이름은 물리적 파트, 논리적 파트, 채널 파트로 표시됩니다.
physical<:channel>.logical
이름의 채널 부분은 채널화된 DS3, E1, OC12 및 STM1 인터페이스를 제외한 모든 인터페이스에 대한 옵션입니다.
인터페이스 이름의 물리적 부분은 단일 물리적 네트워크 커넥터에 해당하는 물리적 디바이스를 식별합니다. 인터페이스 이름의 이 부분은 다음과 같은 형식을 가지고 있습니다.
type-fpc/pic/port
type 네트워크 디바이스를 식별하는 미디어 유형입니다. 서비스 인터페이스의 경우, 다음 중 하나일 수 있습니다.
ams—통합된 AMS(Multiservices) 인터페이스. AMS 인터페이스는 단일 인터페이스로 작동할 수 있는 서비스 인터페이스의 번들입니다. AMS 인터페이스는amsN구성에서와 같은 것으로 표시하며, 여기서N는 AMS 인터페이스를 식별하는 고유 번호(예:ams0AMSmams-인터페이스의 멤버 인터페이스는 구성에서 Prefix(예:mams-1/2/0cp—플로우 컬렉터 인터페이스.es—암호화 인터페이스.gr—일반 라우팅 캡슐화 터널 인터페이스.gre—이 인터페이스는 내부에서 생성되어 구성할 수 없습니다.ip—IP-over-IP 캡슐화 터널 인터페이스.ipip—이 인터페이스는 내부에서 생성되어 구성할 수 없습니다.ls—링크 서비스 인터페이스.lsq—링크 서비스 지능형 큐링(IQ) 인터페이스; 또한 음성 서비스에도 사용됩니다.mams—AMS 인터페이스의 구성원 인터페이스.ml—멀티링크 인터페이스.mo—서비스 인터페이스 모니터링. 논리 적 인터페이스mo-fpc/pic/port.16383은 라우터 제어 트래픽을 위해 내부적으로 생성되어 구성할 수 없는 인터페이스입니다.ms—MS-MIC(Multiservices Modular Interfaces Card) 및 MS-MPC(Multiservices Modular Port Concentrators)의 멀티 서비스 인터페이스mt—멀티캐스트 터널 인터페이스. 이 인터페이스는 자동으로 생성되지만 필요한 경우 해당 인터페이스에 대한 속성을 구성할 수 있습니다.mtun—이 인터페이스는 내부에서 생성되어 구성할 수 없습니다.rlsq—리던던시 LSQ 인터페이스.rsp—중복 적응형 서비스 인터페이스.si—MX3D 시리즈 라우터에서만 구성하는 서비스 인라인 인터페이스.sp—적응형 서비스 인터페이스. 논리적 인터페이스sp-fpc/pic/port.16383은 라우터 제어 트래픽을 위해 내부적으로 생성되어 구성할 수 없는 인터페이스입니다.tap—이 인터페이스는 내부에서 생성되어 구성할 수 없습니다.vt—가상 루프백 터널 인터페이스.
다음 참조
서비스 패키지 활성화
AS PICs, Multiservices PICs, Multiservices DIC 및 M7i 라우터의 내부 Adaptive Services Module(ASM)의 경우 Layer 2와 Layer 3의 서비스 패키지가 있습니다. 두 서비스 패키지는 모든 적응형 서비스 인터페이스에서 지원되지만, ASM에서 지원되는 통합 패키지를 제외하고 PIC당 하나의 서비스 패키지만 활성화할 수 있습니다. 단일 라우터에서 플랫폼에 2개 이상의 PIC를 설치하여 두 서비스 패키지를 모두 활성화할 수 있습니다.
GRES(Graceful 라우팅 엔진 Switchover)는 ES PIC를 제외한 모든 서비스 PIC 및 D PIC에서 자동으로 활성화됩니다. TX Matrix 라우터를 제외한 모든 M Series, MX 시리즈 및 T 시리즈 라우터에서 지원됩니다. Layer 3 서비스는 전환 후에도 상태를 유지해야 하지만 Layer 2 서비스가 재시작됩니다. IPsec 서비스의 경우 Internet Key Exchange(IKE(Internet Key Exchange)) 협상을 저장하지 못하며 전환 후에 다시 시작해야 합니다. GRES에 대한 자세한 내용은 Junos OS 사용자 가이드 를 참조하십시오.
포트당이 아닌 PIC당 서비스 패키지를 활성화합니다. 예를 들어 레이어 2 서비스 패키지를 구성하는 경우 전체 PIC는 구성된 패키지를 사용합니다. 서비스 패키지를 활성화하려면 계층 수준에서 service-package 명령 [edit chassis fpc slot-number pic pic-number adaptive-services] 문을 포함하고 다음을 지정하거나 다음을 layer-2 지정합니다 layer-3.
[edit chassis fpc slot-number pic pic-number adaptive-services] service-package (layer-2 | layer-3);
AS PIC show chassis hardware 가 지원하는 패키지를 결정하기 위해 명령을 발행합니다. PIC가 Layer 2 Link Services II패키지를 지원하는 경우, PIC가 Layer 3 Adaptive Services II패키지를 지원하는 경우 으로 나열됩니다. 멀티 서비스 PIC가 지원하는 패키지를 결정하기 위해 명령을 실행 show chassis pic fpc-slot slot-number pic-slot slot-number 합니다. 필드 Package 는 값 또는 를 Layer-2 표시합니다 Layer-3.
ASM에는layer-2-3 Layer 2 및 Layer 3 서비스 패키지에서 사용할 수 있는 기능을 결합하는 기본 옵션()이 있습니다.
서비스 패키지에서 변경을 커밋하면 PIC가 오프라인으로 전환된 다음 즉시 다시 온라인로 전환됩니다. PIC를 오프라인 및 온라인에서 수동으로 사용할 필요가 없습니다.
서비스 패키지를 변경하면 이전 서비스 패키지와 관련된 모든 상태 정보가 손실됩니다. PIC로 가고 있는 활성 트래픽이 없는 경우 서비스 패키지를 변경해야 합니다.
각 패키지에서 지원되는 서비스는 PIC 및 플랫폼 유형에 따라 다릅니다. 표 1 에는 각 PIC 및 플랫폼에 대해 지원되는 서비스가 나열됩니다.
AS 및 Multiservices PIC에서 링크 서비스 지원에는 Junos OS CoS 구성 요소, LFI(FRF.12), MLFR 엔드 투 엔드(FRF.15), MLFR UNI NNI(FRF.16), MLPPP(RFC 1990) 및 멀티클라즈 MLPPP가 포함됩니다. 자세한 내용은 Layer 2 서비스 패키지 기능 및 인터페이스, Layer 2 서비스 패키지 기능 및 인터페이스를 참조하십시오.
Layer 2 Service를 위한 AS PIC II는 Layer 2 서비스 패키지만 지원하는 전용입니다.
서비스 |
ASM |
AS/AS2 PICs 및 Multiservices PICs |
AS/AS2 및 Multiservices PICs |
AS2 및 Multiservices PICs |
AS2 및 Multiservices PICs |
|---|---|---|---|---|---|
| Layer 2 서비스 패키지(전용) | M7i | M7i, M10i, and M20 | M40e 및 M120 | M320, T320 및 T640 | TX Matrix |
링크 서비스: |
|||||
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
음성 서비스: |
|||||
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
| Layer 3 서비스 패키지(전용) | M7i | M7i, M10i, and M20 | M40e 및 M120 | M320, T320 및 T640 | TX Matrix |
보안 서비스: |
|||||
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
회계 서비스: |
|||||
|
예 |
예 |
예 |
예 |
예 |
|
아니요 |
아니요 |
아니요 |
예 |
아니요 |
|
예 |
예 |
예(M40e만 해당) |
예 |
아니요 |
|
아니요 |
예 |
예(M40e만 해당) |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
예 |
LNS 서비스: |
|||||
|
예 |
예(M7i 및 M10i 전용) |
예(M120 전용) |
아니요 |
아니요 |
음성 서비스: |
|||||
|
예 |
예 |
예 |
예 |
아니요 |
| Layer 2 및 Layer 3 서비스 패키지(공통 기능) | M7i | M7i, M10i, and M20 | M40e 및 M120 | M320, T320 및 T640 | TX Matrix |
RPM 서비스: |
|||||
|
예 |
예 |
예 |
예 |
아니요 |
터널 서비스: |
|||||
|
예 |
예 |
예 |
예 |
예 |
|
예 |
예 |
예 |
아니요 |
아니요 |
|
예 |
예 |
예 |
예 |
아니요 |
|
예 |
예 |
예 |
예 |
예 |
|
아니요 |
아니요 |
아니요 |
아니요 |
아니요 |
|
예 |
예 |
예 |
예 |
예 |
|
예 |
예 |
예 |
예 |
예 |
|
예 |
예 |
예 |
예 |
예 |
|
예 |
예 |
예 |
예 |
예 |
Layer 2 서비스 패키지 기능 및 인터페이스
Layer 2 서비스 패키지를 활성화하면 링크 서비스를 구성할 수 있습니다. AS 및 Multiservices PICs 및 ASM에서 링크 서비스에는 다음과 같은 지원이 포함됩니다.
Junos CoS 구성 요소—레이어 2 서비스 패키지 기능 및 인터페이스는 Junos CoS 구성 요소가 링크 서비스 IQ
lsq() 인터페이스에서 어떻게 작동하고 있는가에 대해 설명하고 있습니다. Junos CoS 구성 요소에 대한 자세한 내용은 라우팅 디바이스를 위한 Junos OS 서비스 등급 가이드 를 참조하십시오.FRF.12 엔드-엔드 단편화(fragmentation)를 사용하는 프레임 릴레이 링크의 LFI —FRF.12의 표준은 사양 FRF.12, 프레임 릴레이 단편화 구현 계약에 정의 되어 있습니다.
MLPPP 링크의 LFI.
MLFR UNI NNI (FRF.16)—FRF.16의 표준은 규격 FRF.16.1, Multilink Frame Relay UNI/NNI 구현 계약에 정의되어 있습니다.
MLPPP(RFC 1990)
MLFR 엔드-엔드(FRF.15)
AS 및 멀티서비스 IC 상의 LSQ 인터페이스의 경우, 구성 구문은 Multilink 및 Link Services PICs의 경우와 거의 동일합니다. 가장 큰 차이점 lsq ml 은 인터페이스 유형 설명자 또는 를 사용하는 것입니다 ls. Layer 2 서비스 패키지를 활성화하면 다음 인터페이스가 자동으로 생성됩니다.
gr-fpc/pic/port ip-fpc/pic/port lsq-fpc/pic/port lsq-fpc/pic/port:0 ... lsq-fpc/pic/port:N mt-fpc/pic/port pd-fpc/pic/port pe-fpc/pic/port sp-fpc/pic/port vt-fpc/pic/port
grvt ipmtpdpeLayer 2 또는 Layer 3 서비스 패키지를 사용하는지 여부에 따라 AS 및 멀티서비스 PIC상에서 사용할 수 있는 인터페이스 유형 , , 및 표준 터널 인터페이스입니다. 이러한 터널 인터페이스는 표 1과 같이 Layer 2 서비스 패키지가 일부 터널 기능을 지원하지 않는 경우 두 서비스 패키지에 대해 동일한 방식으로 기능합니다.
인터페이스 유형 lsq-fpc/pic/port 은 물리적 링크 서비스 IQ(lsq) 인터페이스입니다. 인터페이스 유형 lsq-fpc/pic/port:0 은 lsq-fpc/pic/port:N FRF.16 번들을 나타내며, 옵션에 명령 mlfr-uni-nni-bundles 문을 포함하면 이러한 인터페이스 유형이 생성 [edit chassis fpc slot-number pic pic-number] 됩니다. 자세한 내용은 Layer 2 Service Package Capabilities and Interfaces, Link and Multilink Services Interfaces User Guide for Routing Devices 를 참조하십시오.
인터페이스 유형 sp 은 인터페이스 유형에 의해 필요하기 때문에 Junos OS. Layer 2 서비스 패키지의 경우 인터페이스 sp 가 구성되지 않지만 비활성화하면 안 됩니다.
다음 참조
서비스 구성 절차
다음과 같은 일반적인 단계를 수행하여 서비스를 구성합니다.
예: 서비스 인터페이스 구성
다음 구성에는 인터페이스에서 서비스를 구성하는 데 필요한 모든 항목이 포함됩니다.
[edit]
interfaces {
fe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set Firewall-Set;
}
output {
service-set Firewall-Set;
}
}
address 10.1.3.2/24;
}
}
}
fe-0/1/1 {
unit 0 {
family inet {
filter {
input Sample;
}
address 172.16.1.2/24;
}
}
}
sp-1/0/0 {
unit 0 {
family inet {
address 172.16.1.3/24 {
}
}
}
}
}
forwarding-options {
sampling {
input {
family inet {
rate 1;
}
}
output {
cflowd 10.1.3.1 {
port 2055;
version 5;
}
flow-inactive-timeout 15;
flow-active-timeout 60;
interface sp-1/0/0 {
engine-id 1;
engine-type 136;
source-address 10.1.3.2;
}
}
}
}
firewall {
filter Sample {
term Sample {
then {
count Sample;
sample;
accept;
}
}
}
}
services {
stateful-firewall {
rule Rule1 {
match-direction input;
term 1 {
from {
application-sets Applications;
}
then {
accept;
}
}
term accept {
then {
accept;
}
}
}
rule Rule2 {
match-direction output;
term Local {
from {
source-address {
10.1.3.2/32;
}
}
then {
accept;
}
}
}
}
ids {
rule Attacks {
match-direction output;
term Match {
from {
application-sets Applications;
}
then {
logging {
syslog;
}
}
}
}
}
nat {
pool public {
address-range low 172.16.2.1 high 172.16.2.32;
port automatic;
}
rule Private-Public {
match-direction input;
term Translate {
then {
translated {
source-pool public;
translation-type source napt-44;
}
}
}
}
}
service-set Firewall-Set {
stateful-firewall-rules Rule1;
stateful-firewall-rules Rule2;
nat-rules Private-Public;
ids-rules Attacks;
interface-service {
service-interface sp-1/0/0;
}
}
}
applications {
application ICMP {
application-protocol icmp;
}
application FTP {
application-protocol ftp;
destination-port ftp;
}
application-set Applications {
application ICMP;
application FTP;
}
}
서비스 인터페이스에 대한 기본 타임아웃 설정 구성
전체 인터페이스에 적용되는 특정 타임머에 대한 글로벌 기본 설정을 지정할 수 있습니다. 이 유형에는 세 가지 문장이 있습니다.
inactivity-timeout—설정한 플로우에 대한 비활성 타임아웃 기간을 설정한 후 더 이상 유효하지 않습니다.open-timeout—네트워크 침입을 차단하는 SYN 쿠키 방어와 함께 사용하는 TCP(Transmission Control Protocol) 세션 설정의 타임아웃 기간 설정close-timout—TCP(Transmission Control Protocol) 세션의 테이어다운(timeout period)을 설정합니다.
비활성 타임아웃 기간에 대한 설정을 구성하기 위해 계층 inactivity-timeout [edit interfaces interface-name services-options] 수준에서 명령문을 포함하십시오.
[edit interfaces interface-name services-options] inactivity-timeout seconds;
기본값은 30초입니다. 가능한 값의 범위는 4~86,400초입니다. 애플리케이션 프로토콜 정의에서 구성하는 모든 값은 여기에 지정된 값을 까다로워 합니다. 자세한 내용은 애플리케이션 속성 구성을 참조하십시오.
TCP 세션 설정 타임아웃 기간에 대한 설정을 구성하기 위해 계층 open-timeout [edit interfaces interface-name services-options] 수준에서 명령문을 포함하십시오.
[edit interfaces interface-name services-options] open-timeout seconds;
기본값은 5초입니다. 가능한 값의 범위는 4~224초입니다. 침입 탐지 서비스(침입 탐지 서비스(IDS)) 정의에서 구성하는 모든 가치는 여기에 지정된 값을 까다로워 합니다. 자세한 내용은 MS DPS(Dense Port Concentrator)-침입 탐지 서비스(IDS) 규칙 구성을 참조하십시오.
TCP 세션 연결 종료 타임아웃 기간에 대한 설정을 구성하기 위해 계층 close-timeout [edit interfaces interface-name services-options] 수준에서 명령문을 포함하십시오.
[edit interfaces interface-name services-options] close-timeout seconds;
기본값은 1초입니다. 가능한 값의 범위는 2~300초입니다.
TCP 비활성 타임 아웃에 대한 보다 높은 제어를 위해 유지(Keep-Alive) 메시지 사용
유지 메시지는 TCP 비활성 타임아웃을 방지하기 위해 자동으로 생성됩니다. 유지 메시지의 기본 개수는 4입니다. 그러나 계층 수준에서 명령문을 입력하여 유지(keep-alive tcp-tickles ) 메시지의 수를 구성할 [edit interaces interface-name service-options] 수 있습니다.
양방향 TCP 플로우에 대한 타임아웃이 생성되면 유지 패킷은 타임러를 재설정하기 위해 전송됩니다. 플로우에서 전송되는 연속적인 Keep-alive 패킷 수가 기본 또는 구성된 제한에 도달하면 대화가 삭제됩니다. 기본 또는 inactivity-timer 구성된 최대 최대 보관 메시지 수의 설정에 따라 가능한 시나리오가 몇 가지 있습니다.
keep-alive 메시지의 구성된 값이 0
inactivity-timeout이고 구성되지 않은 경우(이 경우 30의 기본 타임아웃 값이 사용되면), Keep-alive 패킷은 전송되지 않습니다. 대화의 흐름이 30초 이상 유휴 상태인 경우 대화가 삭제됩니다.유지(keep-alive) 메시지의 구성된 값이 0
inactivity-timeout이고 구성된 경우, 유지(keep-alive) 패킷이 전송되지 않습니다. 대화의 모든 플로우가 구성된 타임아웃 값 이상으로 유휴 상태일 때 대화가 삭제됩니다.기본 또는 구성된 최대 개수의 Keep-alive 메시지 수가 일부 양 정수인 경우,
inactivity-timeout대화의 모든 플로우가 계속 유지 패킷에 대한 기본 또는 구성된 값 이상으로 유휴인 경우 호스트가 구성된 연속 유지 패킷 수에 응답하지 않을 경우 대화가 삭제됩니다. 유지 패킷 간의 간격은 1초입니다. 그러나 호스트가 ACK 패킷을 다시 전송하면 해당 플로우가 활성화되어 플로우가 다시 유휴 상태일 때까지 계속 패킷을 전송하지 않습니다.
다음 참조
서비스 인터페이스를 위한 시스템 로깅 구성
인터페이스에 대해 시스템 로그 메시지가 생성되는 방법을 제어하는 속성을 지정합니다. 계층 수준에서 [edit services service-set service-set-name] 동일한 속성에 대해 서로 다른 값을 구성하는 경우 서비스 세트 값은 인터페이스에 구성된 값을 까다로워 합니다. 서비스 세트 속성 구성에 대한 자세한 내용은 서비스 세트를 위한 시스템 로깅 구성을 참조하십시오.
멀티서비스(ms-) 인터페이스의 Junos OS Release 14.2R5, 15.1R3 및 16.1R1 시작으로 [편집 서비스 세트 서비스 세트 서비스 이름 syslog 호스트 이름 호스트 이름 클래스] 계층 수준에서 pcp-log 및 alg-logs 명령문을 포함해 PCP 및 ALG에 대한 시스템 로깅을 구성할 수 없습니다. 오류 메시지는 ms- 인터페이스의 PCP 및 ALG에 대한 시스템 로깅을 정의하기 위해 pcp-logs 및 alg-logs 옵션이 포함된 구성을 커밋하려고 시도하는 경우 표시됩니다.
인터페이스 전방의 기본 시스템 로깅 값을 구성하기 위해 계층 syslog 수준에서 명령 [edit interfaces interface-name services-options] 문을 포함합니다.
[edit interfaces interface-name services-options] syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; port port-number; } }
시스템 로그 host 대상 서버를 지정하는 호스트 이름 또는 IP 주소로 명령문을 구성합니다. 호스트 이름에서 시스템 local 로그 메시지를 라우팅 엔진. 외부 시스템 로그 서버의 경우 최초 데이터 패킷(세션 설정 트리거)이 전달되는 동일한 라우팅 인스턴스에서 호스트 이름에 도달해야 합니다. 하나의 시스템 로깅 호스트 이름만 지정할 수 있습니다.
릴리스 Junos OS 17.4R1 계층 하의 각 서비스에 대해 최대 4개의 시스템 로그 서버(로컬 시스템 [edit interfaces interface-name services-options] 로그 호스트 및 원격 시스템 로그 수집기 조합)를 구성할 수 있습니다.
표 2 는 계층 수준에서 구성 명령문에서 지정할 수 있는 심각도 수준을 [edit interfaces interface-name services-options syslog host hostname] 나열하고 있습니다. 그 수준은 emergency info 가장 심각도(작동에 가장 큰 영향을)에서 최저 수준으로 순서대로 나타 내는 것입니다.
심각도 수준 |
설명 |
|---|---|
|
모든 심각도 수준 포함 |
|
시스템 패닉 또는 라우터의 작동 중단을 유발하는 기타 조건 |
|
손상된 시스템 데이터베이스와 같은 즉각적인 수정이 필요한 조건 |
|
하드 드라이브 오류와 같은 중요한 조건 |
|
응급 상황, 경고 및 중요 수준에 있는 오류보다 일반적으로 심각한 결과를 덜 수반하는 오류 조건 |
|
모니터링을 조건 |
|
오류는 아니며 특별한 처리를 요구할 수 있는 조건 |
|
이벤트 또는 관심 있는 없음 조건 |
정상 작동 중에 error 시스템 로깅 심각도 수준을 설정하는 것이 좋습니다. PIC 리소스 사용량을 모니터링하기 위해 수준을 으로 설정합니다 warning. 침입 탐지 시스템 오류가 감지될 때 침입 공격에 대한 정보를 수집하기 위해 특정 notice 인터페이스에 대한 수준을 설정하십시오. 구성 또는 로그 네트워크 주소 변환(네트워크 주소 변환(NAT)) 기능을 디버그하려면 수준을 으로 설정합니다 info.
시스템 로그 메시지에 대한 자세한 내용은 System Log Explorer를 참조하십시오.
지정된 시스템 로그 호스트에 대한 모든 로깅을 위해 하나의 특정 설비 코드를 사용하려면, facility-override 계층 수준에서 명령문을 [edit interfaces interface-name services-options syslog host hostname] 포함합니다.
[edit interfaces interface-name services-options] facility-override facility-name;
지원되는 설비에는 authorization, daemonftp를 kernel, 및 user를 local0 포함합니다local7.
이 시스템 로그 호스트에 대한 모든 로깅에 대한 텍스트 Prefix를 지정하려면, log-prefix 계층 수준에서 명령문을 [edit interfaces interface-name services-options syslog host hostname] 포함하십시오.
[edit interfaces interface-name services-options] log-prefix prefix-value;
다음 참조
MS-MPC 및 MS-MIC에서 TLS Syslog 프로토콜 구성
전송 레이어 보안(TLS) 개요
Junos OS Release 19.1R1 MX 라우터의 MS-MPC 또는 MS-MIC 서비스 카드에서 실행되는 서비스에 의해 생성된 syslog 메시지에 대해 전송 레이어 Security(TLS)를 구성할 수 있습니다. 서비스는 다음 중 하나일 수 있습니다.
Junos Address Aware(이전의 비영리 네트워크 주소 변환(NAT) 지칭)
Junos VPN Site Secure(이전의 IPsec 기능 참조)
Junos Network Secure(이전의 Stateful 방화벽 기능)
전송 레이어 보안(TLS)은 인터넷에 암호화 기술을 제공하는 애플리케이션 수준의 프로토콜입니다. TLS는 이러한 수준의 보안을 위해 인증서 및 프라이빗-공용 키 교환 쌍을 사용한다. 파일 전송, VPN 연결, 인스턴트 메시징, VoIP(Voice over IP) 등 네트워크를 통해 데이터를 안전하게 교환해야 하는 애플리케이션을 위한 가장 널리 사용되는 보안 프로토콜입니다.
TLS 프로토콜은 잠재적 무단 변경 및 도청으로부터 스트림을 보호하기 위해 인증서 교환, 상호 인증 및 암호 협상에 사용됩니다. TLS를 SSL(Secure Sockets Layer)이라고도 합니다. TLS와 SSL은 상호 호환되지 않습니다. 하지만 TLS는 현재 몇 가지 역호호성을 제공합니다.
TLS의 이점
TLS는 프라이버시, 인증, 기밀성 및 데이터 무결성을 결합하여 클라이언트와 서버 간의 안전한 데이터 전송을 보장합니다.
TLS의 세 가지 핵심 서비스
TLS 프로토콜은 위에서 실행되는 애플리케이션에 암호화, 인증 및 데이터 무결성과 같은 세 가지 필수 서비스를 제공하도록 설계되었습니다.
암호화—암호로 안전한 데이터 채널을 구축하기 위해 서버와 클라이언트는 어떤 암호 스위트가 사용되는지와 데이터를 암호화하는 데 사용되는 키에 동의해야 합니다. TLS 프로토콜은 이러한 교환을 수행하기 위해 잘 정의된 핸드사이크 시퀀스를 지정합니다. TLS는 공용 키 암호화를 사용하며, 이는 클라이언트와 서버가 서로에 대한 사전 지식을 확립하지 않고도 공유 암호 키를 협상하고 암호화되지 않은 채널을 통해 이를 협상할 수 있도록 합니다.
인증—TLS 핸드케이크의 일부로 이 프로토콜을 사용하면 서버와 클라이언트 모두의 ID를 인증할 수 있습니다. 클라이언트와 서버 간의 암시적 신뢰(클라이언트가 서버에서 생성한 인증서를 수락하기 때문에)는 TLS의 중요한 측면입니다. 서버 인증이 손상되지 않는 것이 매우 중요합니다. 하지만 실제로, 자체 서명 인증서와 징후가 있는 인증서는 풍부합니다. 이면에는 만료된 인증서, 도메인 이름과 일치하지 않는 공통 이름의 인스턴스 등 여러 가지가 있습니다.
무결성—암호화 및 인증이 정해진 경우, TLS 프로토콜은 메시지 프레이밍 메커니즘을 실행하고 MAC(Message Authentication Code)로 각 메시지에 서명합니다. MAC 알고리즘은 효과적인 체크 확인을 실행하며 키는 클라이언트와 서버 간에 협상됩니다.
TLS 핸드 핸드 핸드케이크
각 TLS 세션은 클라이언트와 서버가 해당 세션에서 사용할 특정 보안 키와 암호화 알고리즘에 동의하는 악수로 시작됩니다. 이때 클라이언트는 또한 서버를 인증합니다. 선택적으로 서버는 클라이언트를 인증할 수 있습니다. 핸드 핸드 핸드케이크가 완료되면 암호화된 데이터의 전송을 시작할 수 있습니다.
TLS를 통해 Syslog 트래픽 암호화
TLS 프로토콜은 syslog 메시지가 네트워크를 통해 안전하게 전송 및 수신되도록 보장합니다. TLS는 인증서를 사용하여 통신을 인증하고 암호화합니다. 클라이언트는 인증서와 공용 키를 요청하여 서버를 인증합니다. 선택적으로 서버는 클라이언트로부터 증명서를 요청할 수 있습니다. 따라서 상호 인증도 가능합니다.
서버에서 발행하는 서버와 CA(certificate authority)(Certificate Authority)를 식별하는 서버의 증명서가 TLS가 syslog 트래픽을 암호화할 수 있도록 해야 합니다.
클라이언트와 서버의 상호 인증을 위해 클라이언트를 식별하는 클라이언트와 클라이언트가 발행한 CA(certificate authority) 증명서가 서버상에서 제공되어야 합니다. 상호 인증은 syslog 서버가 승인된 클라이언트로부터만 로그 메시지를 수신하도록 보장합니다.
TLS는 아래에 나열된 syslog에 대한 모든 주요 위협에 대응하기 위한 보안 전송으로 사용됩니다.
메시지 내용의 공개를 반대하는 기밀성.
홉(hop-by-hop) 기준으로 메시지의 수정에 대응하기 위한 무결성 확인
서버 또는 상호 인증으로 이상을 막을 수 있습니다.
TLS 버전
TLS 버전은 다음과 같습니다.
TLS 버전 1.0—애플리케이션 통신 간 프라이버시 및 데이터 무결성을 제공함으로써 네트워크상에서 안전한 통신 제공
TLS 버전 1.1—이 강화된 TLS 버전은 CBC(암호 블록 체인) 공격을 차단합니다.
TLS 버전 1.2 — 향상된 TLS 버전은 암호화 알고리즘 협상을 위한 향상된 유연성을 제공합니다.
Syslog 메시지 구성을 위한 TLS 전송 프로토콜 개요
Junos OS Release 19.1R1 시작으로 MS-MPC 또는 MS-MIC 서비스 카드에서 실행되는 서비스에 의해 생성된 syslog 메시지에 대해 MX 시리즈 라우터 TLS(전송 레이어 Security)를 사용할 MX 시리즈 라우터.
MS-MIC 및 MS-MC에 다음과 같은 서비스 패키지를 사전 설치하고 구성합니다.
Junos Traffic Vision(이전의 Jflow라고도 합니다)
Junos Address Aware(이전의 주요 기능 네트워크 주소 변환(NAT) 기능)
Junos VPN Site Secure(이전의 IPsec 기능 참조)
Junos Network Secure(이전의 Stateful 방화벽 기능)
Junos 서비스 암호화 기반 PIC 패키지
Junos 서비스 애플리케이션 수준 게이트웨이
각 서비스 세트에 대해 최대 4개의 syslog 서버를 구성하고 암호화된 데이터를 서버에 보낼 수 있습니다.
Syslog 메시지는
소스 IP 주소
대상 IP 주소(TCP/TLS 서버)
포트
SSL 프로필 이름(TLS 연결용)
참고:ssl-profile이 tcp-log 계층 하에서 구성되지 않은 경우, 이는 비 TLS TCP 전송입니다.
위에서 언급한 매개 변수와 동일한 매개 변수를 사용하여 TCP/TLS 로깅 구성을 사용하는 여러 서비스 세트가 있는 경우 모든 서비스 세트의 세션에서 생성된 로그는 동일한 연결을 공유합니다.
이 기능은 IPv4 및 IPv6를 모두 지원하며,
구성된 TCP/TLS 연결은 로깅 이벤트가 없는 경우에도 구성이 존재할 때까지 유지됩니다.
데이터 플레인에서만 안전하고 안정적인 로깅을 위해 TCP/TLS sylog 구성 지원이 제공됩니다.
다수의 활성 멤버를 사용하는 AMS(Aggregated Multi Service)의 경우, 각 구성원은 별도의 TCP/TLS 연결을 생성하며 각 구성원 PIC에서 생성된 syslog는 고유한 연결을 통해 전송됩니다.
Syslog 메시지를 위한 TCP/TLS 구성
TCP/TLS 전송 프로토콜을 사용하여 외부 syslog 서버로 안정적이고 안전한 방식으로 syslog 메시지를 보낼 수 있습니다.
syslog 메시지를 위한 TCP/TLS 프로토콜을 구성하는 경우: