Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

논리적 시스템의 VPN

VPN은 디바이스에서 네트워크로의 인터넷을 통해 암호화된 연결입니다. 암호화된 연결은 민감한 데이터가 안전하게 전송되도록 보장합니다. VPN은 트래픽에 대한 무단 액세스 도청을 방지하고 사용자가 원격으로 작업을 수행하도록 허용합니다. 자세한 내용은 다음 주제를 참조하십시오.

논리적 시스템의 경로 기반 VPN 터널 이해하기

VPN 연결은 논리적 시스템과 WAN을 통해 원격 사이트 사이를 통과하는 트래픽을 보호할 수 있습니다. 경로 기반 VPN을 사용하면 논리적 시스템에서 하나 이상의 보안 정책을 구성하여 단일 IP 보안(IPsec) 터널을 통해 흐르는 트래픽을 규제합니다. 각 IPsec 터널에는 기본 관리자가 루트 수준에서 구성해야 하는 한 세트의 IKE 및 IPsec 보안 연결(SA)이 있습니다.

참고:

게이트웨이 구성에 따라 구성된 외부 인터페이스는 루트 논리적 시스템의 일부일 수 있습니다.

참고:

논리적 시스템에서는 경로 기반 VPN만 지원됩니다. 정책 기반 VPN은 지원되지 않습니다.

각 VPN에 대해 IKE 및 IPsec SA를 구성할 뿐만 아니라 기본 관리자는 사용자 논리적 시스템에 보안 터널(st0) 인터페이스를 할당해야 합니다. st0 인터페이스는 단일 사용자 논리적 시스템에만 할당될 수 있습니다. 그러나 여러 사용자 논리적 시스템에 각각 자체 st0 인터페이스를 할당할 수 있습니다.

참고:

SA는 이 인터페이스에 대해 설정할 수 없기 때문에 st0 유닛 0 인터페이스는 논리적 시스템에 할당되어서는 안 됩니다.

사용자 논리적 시스템 관리자는 사용자 논리적 시스템에 할당된 st0 인터페이스의 IP 주소 및 기타 속성을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 사용자 논리적 시스템에 할당된 st0 인터페이스를 삭제할 수 없습니다.

경로 기반 VPN의 경우 보안 정책은 특정 VPN 터널이 아닌 대상 주소를 나타냅니다. 캡슐화를 위해 VPN 터널로 전송될 사용자 논리적 시스템의 일반 텍스트 트래픽을 위해 사용자 논리적 시스템 관리자는 다음과 같은 구성을 수행해야 합니다.

  • 지정된 대상으로 트래픽을 허용하는 보안 정책.

  • st0 인터페이스를 다음 홉으로 사용하여 대상에 대한 정적 경로입니다.

Junos OS 대상 주소로 트래픽을 전송하는 데 사용할 인터페이스를 찾기 위해 사용자 논리적 시스템에서 경로를 찾을 때 st0 인터페이스를 통해 정적 경로를 찾습니다. 보안 정책 작업이 허용되는 한 트래픽은 VPN 터널로 라우팅됩니다.

참고:

트래픽 선택기는 논리적 시스템에서 지원되지 않습니다.

기본 논리적 시스템 및 사용자 논리적 시스템은 경로 기반 VPN 터널을 공유할 수 있습니다. 사용자 논리적 시스템에 할당된 st0 인터페이스를 기본 논리적 시스템에서도 사용할 수 있습니다. 기본 논리적 시스템의 경우, 기본 관리자는 st0 인터페이스를 다음 홉으로 사용하여 원격 대상에 대한 트래픽과 원격 대상에 대한 정적 경로를 허용하는 보안 정책을 구성합니다.

VPN 모니터링은 기본 논리적 시스템의 기본 관리자에 의해 구성됩니다. VPN 모니터 소스 인터페이스의 경우, 기본 관리자는 st0 인터페이스를 지정해야 합니다. 사용자 논리적 시스템에 대한 물리적 인터페이스를 지정할 수 없습니다.

예: VPN 터널에 대한 IKE 및 IPsec SA 구성(기본 관리자 전용)

기본 관리자는 사용자 논리 시스템에 st0 인터페이스를 할당하고 각 VPN 터널의 루트 수준에서 IKE 및 IPsec SA를 구성할 책임이 있습니다. 이 예는 사용자 논리 시스템에 st0 인터페이스를 할당하고 IKE 및 IPsec SA 매개 변수를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 수행합니다.

개요

이 예에서는 ls-product-design 사용자 논리적 시스템에 대한 VPN 터널을 구성합니다. 이 예는 표 1에 설명된 VPN 터널 매개 변수를 구성합니다.

표 1: 논리적 시스템 VPN 터널 구성

기능

이름

구성 매개 변수

터널 인터페이스

st0 유닛 1

ls-product-design 논리적 시스템에 할당

IKE(Internet Internet Internet) 제안

ike-phase1-proposal

  • 사전 공유 키 인증

  • Diffie-Hellman 그룹 2

  • sha1 인증 알고리즘

  • aes-128-cbc 암호화 알고리즘

IKE 정책

  • 메인 모드

  • 참조 IKE(Internet Internet) 제안 ike-phase1-proposal

  • ASCII 사전 공유 키 395psksecr3t

IKE 게이트웨이

ike-gw

  • 외부 인터페이스 ge-0/0/3.0

  • 참조 IKE 정책 ike-phase1-policy

  • 주소 2.2.2.2

IPsec 제안

ipsec-phase2-proposal

  • ESP 프로토콜

  • hmac-sha1-96 인증 알고리즘

  • aes-128-cbc 암호화 알고리즘

IPsec 정책

vpn-policy1

  • 참조 ipsec-phase2-proposal

  • Perfect-Forward-Secrecy 키 group2

Vpn

ike-vpn

  • bind-interface st0.1

  • 참조 ike-gw 게이트웨이

  • 참조 vpn-policy1 정책

VPN 모니터링

ike-vpn VPN의 경우:

  • source-interface st0.1

  • destination-ip 4.0.0.1

토폴로지

그림 1 은 논리 시스템 VPN 터널의 토폴로지 를 보여줍니다.

그림 1: 논리적 시스템 VPN 터널 Logical systems VPN tunnel

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

사용자 논리 시스템에 VPN 터널 인터페이스를 할당하고 IKE 및 IPsec SA를 구성하려면 다음을 수행합니다.

  1. 기본 관리자로서 기본 논리적 시스템에 로그인하고 구성 모드를 입력합니다.

  2. VPN 터널 인터페이스를 할당합니다.

  3. IKE(Internet Internet) 제안을 구성합니다.

  4. IKE 정책을 구성합니다.

  5. IKE 게이트웨이를 구성합니다.

  6. IPsec 제안을 구성합니다.

  7. IPsec 정책을 구성합니다.

  8. VPN을 구성합니다.

  9. VPN 모니터링을 구성합니다.

결과

구성 모드에서 , show security ikeshow security ipsec 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

논리적 시스템에서 IKE(Internet Intermediate System) 확인

목적

논리적 시스템에서 IKE(Internet Internet) 지원이 있는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security ike sa detail .

의미

출력에는 ike 세부 사항에 대한 요약 정보가 표시됩니다.

논리적 시스템에서 IPsec 확인

목적

논리 시스템에서 IPsec SA가 지원되는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security ipsec sa detail .

의미

출력에는 ipsec 세부 사항에 대한 요약 정보가 표시됩니다.

예: 사용자 논리적 시스템에서 경로 기반 VPN 터널 구성

이 예는 사용자 논리적 시스템에서 경로 기반 VPN 터널을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 수행합니다.

개요

이 예에서는 예제에 표시된 대로 ls-product-design 사용자 논리적 시스템을 구성합니다 . 예: 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템.

표 2에 설명된 경로 기반 VPN 매개 변수를 구성합니다.

표 2: 사용자 논리적 시스템 경로 기반 VPN 구성

기능

이름

구성 매개 변수

터널 인터페이스

st0 유닛 1

  • IPv4 프로토콜 체계(inet)

  • IP 주소 10.11.11.150/24

정적 경로

  • 목적지 192.168.168.0/24

  • 다음 홉 st0.1

보안 정책

~ VPN

다음 트래픽을 허용합니다.

  • 영역부터: ls-product-design-trust

  • 영역: ls-product-design-untrust

  • 소스 주소: 모든

  • 대상 주소: 192.168.168.0/24

  • 애플리케이션: 모든

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

사용자 논리적 시스템에서 경로 기반 VPN 터널을 구성하려면 다음을 수행합니다.

  1. 논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.

  2. VPN 터널 인터페이스를 구성합니다.

  3. 원격 목적지에 대한 정적 경로를 생성합니다.

  4. 원격 대상으로 트래픽을 허용하도록 보안 정책을 구성합니다.

결과

구성 모드에서 , show routing-optionsshow security policies 명령을 입력하여 구성을 show interfaces st0확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

참고:

확인 프로세스를 시작하기 전에 사용자 논리 시스템의 호스트에서 192.168.168.0/24 네트워크의 호스트로 트래픽을 전송해야 합니다. 예를 들어, ls-product-design 사용자 논리 시스템의 12.1.1.0/24 서브넷의 호스트에서 호스트 192.168.168.10으로 ping을 시작합니다.

IKE(Internet Internet) 1단계 상태 확인

목적

IKE(Internet Internet) 1단계 상태를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security ike security-associations . 명령에서 색인 번호를 얻은 후 명령을 사용합니다 show security ike security-associations index index_number detail .

샘플 출력 및 의미는 예: 경로 기반 VPN 구성의 "검증" 섹션을 참조하십시오.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security ipsec security-associations . 명령에서 색인 번호를 얻은 후 명령을 사용합니다 show security ipsec security-associations index index_number detail .

샘플 출력 및 의미는 예: 경로 기반 VPN 구성의 "검증" 섹션을 참조하십시오.