Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

여러 인증서 유형을 구성하여 IKE 및 IPsec SA 설정

이 예에서는 여러 인증서 유형을 구성하여 IKE 및 IPsec SA를 설정하는 방법을 보여 줍니다.

Junos OS 릴리스 22.4R1부터 명령을 사용하여 IKE(Internet Key Exchange) 제안에서와 같이 certificates authentication-method가 구성된 경우 개시자 및 응답자에 사용되는 인증서 유형에 관계없이 터널을 설정할 수 있습니다 set security ike proposal ike_proposal_name authentication-method certificates .

명령어를 사용하여 show security pki local-certificate certificate-id certificate-name detail 등록된 인증서를 확인할 수 있습니다.

명령을 사용하여 등록된 인증서를 확인할 수 있습니다 request security pki local-certificate verify certificate-id certificate-name .

요구 사항

시작하기 전에:

  • 장치에 인증서가 등록 되어 있는지 확인하려면 인증서 등록을 참조하십시오.

    명령을 사용하여 request security pki local-certificate certificate-id certificate-name detail 디바이스에 등록된 인증서를 확인할 수 있습니다.

  • IKE 패키지가 설치되어 있는지 확인하고 설치된 IKE 패키지가 작동 명령을 사용 show version | match ike 하는지 확인합니다.

    디바이스에 IKE 패키지가 설치되어 있지 않은 경우 작동 명령을 request system software add optional://junos-ike.tgz사용하여 IKE 패키지를 설치할 수 있으며, 자세한 내용은 IPsec VPN 기능 집합 사용을 참조하십시오.

개요

이 예에서는 여러 인증서 유형을 구성하여 SRX_A와 SRX_B 사이에 IKE 및 IPsec SA를 설정합니다.

주:

이 예에서는 SRX_A에 RSA 인증서를 등록하고 SRX_B 디바이스에 ECDSA 인증서를 등록했습니다. 인증서를 설치하는 방법에 대한 자세한 내용은 인증서 등록을 참조하십시오.

표 1: SRX_A 및 SRX_B 장치에 대한 토폴로지 설정
장치 이름 사용된 인터페이스 IKE(Internet Key Exchange) 게이트웨이 주소 IKE(Internet Key Exchange) 게이트웨이 로컬 IP 주소
SRX_A ge-0/0/0 192.168.1.2 192.168.1.1
SRX_B ge-0/0/0 192.168.1.1 192.168.1.2

토폴로지

에서는 그림 1 여러 인증서 유형 지원 구성에 대한 토폴로지를 설명합니다.

그림 1: 여러 인증서 유형 지원 구성 예여러 인증서 유형 지원 구성 예

구성

SRX_A 구성하기

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용 설명서의CLI 구성 모드 오버비를 참조하십시오.

IKE(Internet Key Exchange) 및 IPsec SA를 설정하기 위해 여러 인증서 유형을 구성하려면 다음을 수행합니다.

  1. 명령을 사용하여 show security pki local-certificate certificate-id certificate-name detail 디바이스에 등록된 인증서를 봅니다.

    장치에 인증서가 등록되어 있지 않은 경우 장치에 인증서를 설치합니다. 자세한 내용은 인증서 등록을 참조하십시오.

  2. 인터페이스를 구성합니다.

  3. 보안 영역과 보안 정책을 구성합니다.

  4. IKE(Internet Key Exchange) 제안을 구성합니다.

  5. IKE(Internet Key Exchange) 정책을 구성합니다.

  6. IKE(Internet Key Exchange) 게이트웨이를 구성합니다.

  7. IPsec 제안을 구성합니다.

  8. IPsec 정책을 구성합니다.

  9. IPSec VPN을 구성합니다.

결과

구성 모드에서 , show security ikeshow security ipsec 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

SRX_B 구성하기

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드CLI 구성 모드 개요를 참조하십시오.

IKE(Internet Key Exchange) 및 IPsec SA를 설정하기 위해 여러 인증서 유형을 구성하려면 다음을 수행합니다.

  1. 명령을 사용하여 request security pki local-certificate certificate-id certificate-name detail 디바이스에 등록된 인증서를 봅니다.

    장치에 인증서가 등록되어 있지 않은 경우 장치에 인증서를 설치합니다. 자세한 내용은 인증서 등록을 참조하십시오.

  2. 인터페이스를 구성합니다.

  3. 보안 영역과 보안 정책을 구성합니다.

  4. IKE(Internet Key Exchange) 제안을 구성합니다.

  5. IKE(Internet Key Exchange) 정책을 구성합니다.

  6. IKE(Internet Key Exchange) 게이트웨이를 구성합니다.

  7. IPsec 제안을 구성합니다.

  8. IPsec 정책을 구성합니다.

  9. IPSec VPN을 구성합니다.

결과

구성 모드에서 , show security ikeshow security ipsec 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

SRX_A 확인

표시된 샘플 출력은 SRX-A에 있습니다.

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations 명령을 입력합니다.

운영 모드에서 show security ike security-associations detail 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations detail 명령을 입력합니다.

운영 모드에서 show security pki local-certificate certificate-id r0_rsa_cr detail 명령을 입력합니다.

운영 모드에서 show security pki ca-certificate ca-profile Root-CA detail 명령을 입력합니다.

SRX_B 확인

표시된 샘플 출력은 SRX-B에 있습니다.

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations 명령을 입력합니다.

운영 모드에서 show security ike security-associations detail 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations detail 명령을 입력합니다.

운영 모드에서 show security pki local-certificate certificate-id r1_crt_ecdsa384 detail 명령을 입력합니다.

s

운영 모드에서 show security pki ca-certificate ca-profile Root-CA detail 명령을 입력합니다.