예: 동적 엔드포인트 터널링 구성
그림 1: IPSec 동적 엔드포인트 터널링 토폴로지 다이어그램
그림 1은 보안 게이트웨이 SG-1 뒤에 위치한 로컬 네트워크 N-1을 보여줍니다. SG-1은 동적 피어 엔드포인트를 종료하는 주니퍼 네트웍스 라우터입니다. SG-1의 터널 종료 주소는 10.7.7.2이며 로컬 네트워크 주소는 172.16.1.0/24입니다.
원격 피어 라우터는 ISP 풀에서 주소를 획득하고 RFC 준수 IKE(Internet Key Exchange)를 실행합니다. 원격 네트워크 N-2의 주소는 172.16.2.0/24 이며 터널 종료 주소는 10.7.7.1인 보안 게이트웨이 SG-2 뒤에 있습니다.
라우터 SG-1에서 SG-2의 제안을 수락하도록 IKE(Internet Key Exchange) 액세스 프로필을 구성합니다. 액세스 프로필의 인터페이스 식별자를 내부 서비스 인터페이스에 적용하고 IKE(Internet Key Exchange) 액세스 프로필 자체를 IPSec 다음 홉 스타일 서비스 세트에 적용합니다.
라우터 SG-1
[edit] access { profile ike_access { client * { # Accepts proposals from specified peers that use the preshared key. ike { allowed-proxy-pair local 10.255.14.63/32 remote 10.255.14.64/32; pre-shared-key ascii-text "$ABC123"; # SECRET-DATA interface-id test_id; # Apply this ID to the inside services interfaces. } } } } interfaces { fe-0/0/0 { description "Connection to the local network"; unit 0 { family inet { address 172.16.1.1/24; } } } so-1/0/0 { description "Connection to SG-2"; no-keepalives; encapsulation cisco-hdlc; unit 0 { family inet { address 10.7.7.2/30; } } } sp-3/3/0 { unit 0 { family inet; } unit 3 { dial-options { ipsec-interface-id test_id; # Accepts dynamic endpoint tunnels. shared; } service-domain inside; } unit 4 { family inet; service-domain outside; } } } services { service-set dynamic_nh_ss { # Create a next-hop service set next-hop-service { # for the dynamic endpoint tunnels. inside-service-interface sp-3/3/0.3; outside-service-interface sp-3/3/0.4; } ipsec-vpn-options { local-gateway 10.7.7.2; ike-access-profile ike_access; # Apply the IKE access profile here. } } }
작업 확인
AS PIC에 구성된 동적 엔드포인트 터널이 제대로 작동하는지 확인하려면 다음 명령을 사용합니다.
show services ipsec-vpn ipsec security-associations (detail)
다음 섹션에서는 구성 예제와 함께 사용된 이 명령의 출력을 보여 줍니다. 동적으로 생성된 규칙 _junos_ 가 출력에 나타나며, 동적으로 생성된 인바운드 및 아웃바운드 터널의 설정도 표시됩니다.
user@router> show services ipsec-vpn ipsec security-associations detail Service set: dynamic_nh_ss Rule: _junos_ , Term: tunnel4, Tunnel index: 4 Local gateway: 10.7.7.2, Remote gateway: 10.7.7.1 Local identity: ipv4(any:0,[0..3]=10.255.14.63) Remote identity: ipv4(any:0,[0..3]=10.255.14.64) Direction: inbound , SPI: 428111023, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 27660 seconds Hard lifetime: Expires in 27750 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound , SPI: 4035429231, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 27660 seconds Hard lifetime: Expires in 27750 seconds Anti-replay service: Enabled, Replay window size: 64