레이어 3 VPN과 함께 IPsec 사용
VPN 내에서 IPsec을 구성할 때 유의해야 할 몇 가지 주요 개념은 다음과 같습니다.
계층 수준에서 문을
[edit routing-instances instance-name]
포함하여interface sp-fpc/pic/port
다음 홉 스타일 서비스 세트를 위한 내부 서비스 인터페이스를 라우팅 인스턴스에 추가합니다.인터페이스 스타일 서비스 세트의 경우, 계층 레벨에서
[edit routing-instances instance-name]
두 인터페이스를 모두 포함하여 서비스 세트와 서비스 인터페이스를 적용하는 인터페이스를 추가합니다.서비스 세트 내에서 로컬 게이트웨이에 대한 라우팅 인스턴스를 정의하려면 계층 수준에서 옵션을 routing-instance instance-name 포함합니다
[edit services service-set service-set-name ipsec-vpn-options local-gateway address]
.
프로바이더 에지(PE) 라우터의 AS PIC에 대한 다음 구성은 VPN 라우팅 및 포워딩(VRF) 라우팅 인스턴스에서 IKE(Internet Key Exchange) 동적 SA와 함께 다음 홉 서비스 세트를 사용하는 것을 보여줍니다.
[edit] interfaces { so-0/0/0 { description "Interface connected to the customer edge (CE) router"; unit 0 { family inet { address 10.6.6.6/32; } } } so-2/2/0 { description "Source IPsec tunnel interface to the network core"; unit 0 { family inet { address 10.10.1.1/30; } } } sp-3/1/0 { description "AS PIC interface"; unit 0 { family inet { address 10.7.7.7/32; } } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } } policy-options { policy-statement vpn-export-policy { then { community add community-name; accept; } } policy-statement vpn-import-policy { term term-name { from community community-name; then accept; } } community community-name members target:100:20; } routing-instances { vrf { instance-type vrf; interface sp-3/1/0.1; # Inside sp interface. interface so-0/0/0.0; # Interface that connects to the CE router. route-distinguisher route-distinguisher; vrf-import vpn-import-policy; vrf-export vpn-export-policy; routing-options { static { route ip-address/prefix next-hop so-0/0/0.0; # Routes for the CE router. route ip-address/prefix next-hop sp-3/1/0.1; # Routes for IPsec. } } } } services { service-set service-set-name { next-hop-service { inside-service-interface sp-3/1/0.1; outside-service-interface sp-3/1/0.2; } ipsec-vpn-options { local-gateway 10.10.1.1; } ipsec-vpn-rules rule-name; } ipsec-vpn { rule rule-name { term term-name { from { source-address { source-ip-address; } } then { remote-gateway 10.10.1.2; dynamic { ike-policy ike-policy-name; } } } match-direction direction; } ike { policy ike-policy-name { pre-shared-key ascii-text preshared-key; } } } }
VRF 라우팅 인스턴스에 대한 자세한 내용은 Junos VPN 구성 가이드를 참조하십시오. 넥스트 홉 서비스 세트에 대한 자세한 정보는 Junos 서비스 인터페이스 구성 가이드를 참조하십시오.