Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

인증서를 갖춘 정책 기반 IPsec VPN 구성

이 예에서는 PKI의 구성, 확인 및 문제 해결 방법을 보여줍니다. 이 항목에는 다음 섹션이 포함됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • Junos OS 릴리스 9.4 이상

  • 주니퍼 네트웍스 보안 장치

시작하기 전:

  • SRX 시리즈 디바이스의 내부 LAN 인터페이스가 존 트러스트(zone trust)에서 ge-0/0/0이고 전용 IP 서브넷이 있는지 확인합니다.

  • 장비의 인터넷 인터페이스가 언트러스트 존(zone untrust)에서 ge-0/0/3이고 공용 IP가 있는지 확인합니다.

  • 로컬 LAN과 원격 LAN 간의 모든 트래픽이 허용되고 양쪽에서 트래픽이 시작될 수 있는지 확인합니다.

  • SSG5가 올바르게 사전 구성되고 즉시 사용 가능한 로컬 인증서, CA 인증서 및 CRL이 로드되었는지 확인합니다.

  • SSG5 디바이스가 IKE ID(FQDN of ssg5.example.net)를 사용하도록 구성되었는지 확인합니다.

  • 1024비트 키가 포함된 PKI 인증서가 양측의 IKE 협상에 사용되는지 확인합니다.

  • 두 VPN 피어 모두에 대해 example.com 도메인에서 CA가 독립형 CA인지 확인합니다.

개요

그림 1 이 예에서는 정책 기반 IPsec VPN을 구성하는 데 사용되는 네트워크 토폴로지로 회사 사무실과 원격 사무실 간에 데이터를 안전하게 전송할 수 있습니다.

그림 1: 네트워크 토폴로지 다이어그램네트워크 토폴로지 다이어그램

PKI 관리는 정책 기반 VPN과 경로 기반 VPN 모두에서 동일합니다.

이 예에서는 VPN 트래픽이 인터페이스 ge-0/0/0.0에서 수신되고 다음 홉인 10.1.1.1입니다. 따라서 트래픽은 인터페이스 ge-0/0/3.0상에서 전송됩니다. 모든 터널 정책은 수신 및 발신 인터페이스를 고려해야 합니다.

옵션으로 OSPF와 같은 동적 라우팅 프로토콜을 사용할 수 있습니다(이 문서에서는 설명하지 않음). 새 세션의 첫 번째 패킷을 처리할 때 Junos OS를 실행하는 디바이스가 먼저 루트 조회를 수행합니다. 기본 경로이기도 한 정적 경로는 나가는 VPN 트래픽에 대한 존을 지시합니다.

많은 CA가 호스트 이름(예: FQDN)을 사용하여 PKI의 다양한 요소를 지정합니다. 일반적으로 CDP는 FQDN이 포함된 URL을 사용하여 지정되므로 Junos OS를 실행하는 디바이스에서 DNS resolver를 구성해야 합니다.

인증서 요청은 다음 방법으로 생성할 수 있습니다.

  • CA 프로필을 생성하여 CA 설정을 지정합니다.

  • PKCS10 인증서 요청 생성

PKCS10 인증서 요청 프로세스는 퍼블릭 또는 프라이빗 키 쌍을 생성한 다음 키 쌍을 사용하여 인증서 요청 자체를 생성하는 프로세스입니다.

CA 프로필에 대한 다음과 같은 정보를 유의하십시오.

  • CA 프로필은 인증서 기관의 속성을 정의합니다.

  • 각 CA 프로필은 CA 증명서와 연결됩니다. 이전 CA 인증서를 제거하지 않고 새 또는 갱신된 CA 인증서를 로드해야 하는 경우 새 프로필을 생성해야 합니다. 이 프로필은 CRL의 온라인 페치에도 사용할 수 있습니다.

  • 서로 다른 사용자를 위해 생성된 시스템에는 여러 개의 프로파일이 존재할 수 있습니다.

CA 관리자의 e-메일 주소로 인증서 요청을 보낼 경우 시스템은 인증서 요청 파일에서 e-메일을 구성하여 지정된 이메일 주소로 전달합니다. e-메일 상태 알림이 관리자에게 전송됩니다.

인증서 요청은 대역 외 방법을 통해 CA로 전송될 수 있습니다.

PKCS10 인증서 요청을 생성하는 데 사용할 수 있는 옵션은 다음과 같습니다.

  • certificate-id — 로컬 디지털 인증서 및 퍼블릭/프라이빗 키 쌍의 이름. 따라서 인증서 요청에 적합한 키 쌍이 사용되며, 궁극적으로는 로컬 인증서에 사용됩니다.

    Junos OS Release 19.1R1부터 커밋 검사가 추가되어 사용자가 로컬 또는 원격 인증서 또는 키 쌍을 생성하는 동안 인증서 식별자에서 공간을 추가./%, 추가하지 못하게 합니다.

  • subject — 공통 이름, 부서, 회사 이름, 상태 및 국가를 포함하는 명칭 형식:

    • CN — 공통 이름

    • OU — 부서

    • O — 회사명

    • L — 지역성

    • ST — 주

    • C — 국가

    • CN — 전화

    • DC — 도메인 구성 요소

      모든 제목 이름 컴포넌트를 입력할 필요는 없습니다. 각 유형의 여러 값을 입력할 수도 있습니다.

  • domain-name — FQDN. FQDN은 IKE 협상을 위한 인증서 소유자의 ID를 제공하고 제목 이름에 대한 대안을 제공합니다.

  • filename (path | terminal) — (옵션) 인증서 요청이 필요한 위치 또는 로그인 터미널.

  • ip-address — (옵션) 디바이스의 IP 주소.

  • email — (옵션) CA 관리자의 이메일 주소.

    도메인 이름, IP 주소 또는 이메일 주소를 사용해야 합니다.

생성된 인증서 요청은 지정된 파일 위치에 저장됩니다. 인증서 요청의 로컬 복사본이 로컬 인증서 스토리지에 저장됩니다. 관리자가 이 명령을 재발행하면 인증서 요청이 다시 생성됩니다.

PKCS10 인증서 요청은 지정된 파일 및 위치에 저장되며, 이 파일은 다운로드하여 등록을 위해 CA로 보낼 수 있습니다. 파일 이름이나 위치를 지정하지 않은 경우 CLI에서 명령을 사용하여 show security pki certificate-request certificate-id <id-name> PKCS10 인증서 요청 세부 정보를 얻을 수 있습니다. 명령 출력을 복사하여 CA 서버의 웹 프런트 엔드에 붙여넣거나 이메일에 붙여넣을 수 있습니다.

PKCS10 인증서 요청이 생성되어 시스템에 인증서 또는 인증서 요청이 보류 중인 경우 저장됩니다. 이메일 알림은 CA 관리자에게 전송됩니다(이 예에서는 certadmin@example.com).

생성된 키 쌍의 이름을 지정하기 위해 Certificate-ID라는 고유 ID가 사용됩니다. 이 ID는 인증서 등록 및 요청 명령에도 사용되어 올바른 키 쌍을 얻습니다. 생성된 키 쌍은 인증서 ID와 동일한 이름을 가진 파일의 인증서 저장소에 저장됩니다. 파일 크기는 1024비트 또는 2048비트입니다.

디바이스에 중간 CA를 사전에 설치하지 않은 경우 기본(대체) 프로파일을 생성할 수 있습니다. 특별히 구성된 CA 프로파일이 없을 때는 기본 프로파일 값이 사용됩니다.

CDP의 경우, 다음 순서를 따릅니다.

  • CA 프로필당

  • CA 인증서에 내장된 CDP

  • 기본 CA 프로필

기본 프로필 대신 특정 CA 프로필을 사용하는 것이 좋습니다.

관리자는 CA에 인증서 요청을 제출합니다. CA 관리자는 인증서 요청을 확인하고 장비에 대한 새로운 인증서를 생성합니다. 주니퍼 네트웍스 디바이스의 관리자는 CA 인증서 및 CRL과 함께 이 디바이스를 검색합니다.

CA 인증서, 장비의 새로운 로컬 인증서 및 CA에서 CRL을 검색하는 프로세스는 사용 중인 CA 구성 및 소프트웨어 벤더에 따라 달라집니다.

Junos OS는 다음과 같은 CA 벤더를 지원합니다.

  • 위탁

  • Verisign

  • 마이크로소프트(Microsoft)

OpenSSL과 같은 다른 CA 소프트웨어 서비스는 인증서를 생성하는 데 사용할 수 있지만, Junos OS에서는 이러한 인증서를 검증하지 않습니다.

구성

PKI 기본 구성

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.

PKI를 구성하려면:

  1. Gigabit Ethernet 인터페이스에서 IP 주소 및 프로토콜 제품군을 구성합니다.

  2. 다음 홉 인터넷으로의 기본 경로를 구성합니다.

  3. 시스템 시간과 날짜를 설정합니다.

    구성이 커밋된 후 명령을 사용하여 클럭 설정을 확인합니다 show system uptime .

  4. NTP 서버 주소를 설정합니다.

  5. DNS 구성을 설정합니다.

CA 프로파일 구성

단계별 절차

  1. 신뢰할 수 있는 CA 프로필을 만듭니다.

  2. 폐지 검사를 생성하여 인증서 철회를 검사하는 방법을 지정합니다.

    CRL 업데이트 빈도를 지정하기 위해 교체 간격을 몇 시간으로 설정합니다. 기본값은 다음 업데이트 시간이 지정되지 않은 경우 CRL의 다음 업데이트 시간 또는 1주일입니다.

    revocation-check 구성 명령문에서 이 옵션을 사용하여 disable 철회 검사를 해제하거나 CRL 속성을 구성하는 옵션을 선택할 crl 수 있습니다. CRL 다운로드가 disable on-download-failure CA 프로필에 실패한 경우 CA 프로필과 일치하는 세션을 허용하는 옵션을 선택할 수 있습니다. 동일한 CA 프로필에 이전 CRL이 없는 경우에만 세션이 허용됩니다.

  3. CRL(HTTP 또는 LDAP)을 검색할 위치(URL)를 지정합니다. 기본적으로 URL은 비어 있으며 CA 증명서에 포함된 CDP 정보를 사용합니다.

    현재 하나의 URL만 구성할 수 있습니다. 백업 URL 구성 지원은 제공되지 않습니다.

  4. CA 관리자에게 인증서 요청을 직접 보낼 이메일 주소를 지정합니다.

  5. 구성 커밋:

퍼블릭-프라이빗 키 쌍 생성

단계별 절차

CA 프로필이 구성되면 다음 단계는 주니퍼 네트웍스 디바이스에서 키 쌍을 생성하는 것입니다. 프라이빗 및 퍼블릭 키 쌍을 생성하려면 다음을 수행합니다.

  1. 인증서 키 쌍을 만듭니다.

결과

퍼블릭-프라이빗 키 쌍이 생성되면 주니퍼 네트웍스 디바이스는 다음을 표시합니다.

로컬 인증서 등록

단계별 절차

  1. PKCS-10 형식으로 로컬 디지털 인증서 요청을 생성합니다. 요청 보안 pki 생성 인증서 요청을 참조하십시오.

    PKCS10 인증서 샘플에서 요청은 시작 및 START CERTIFICATE REQUEST 라인을 포함하며, 종료 인증서 요청 라인으로 끝나 포함됩니다. 이 부분은 등록을 위해 CA에 복사하여 붙여넣을 수 있습니다. 옵션으로 ms-cert-req 파일을 오프로드하여 CA로 전송할 수도 있습니다.

  2. CA에 인증서 요청을 제출하고 인증서를 검색합니다.

CA 및 로컬 인증서 로딩

단계별 절차

  1. 로컬 인증서, CA 인증서 및 CRL을 로드합니다.

    명령 file list을 사용하여 모든 파일이 업로드되었는지 확인할 수 있습니다.

  2. 지정된 외부 파일에서 로컬 스토리지로 인증서를 로드합니다.

    또한 인증서 ID를 지정하여 프라이빗 또는 퍼블릭 키 쌍과의 적절한 연결을 유지해야 합니다. 이 단계는 PKI 모듈의 RAM 캐시 스토리지에 인증서를 로드하고, 관련 프라이빗 키를 검사하고, 서명 작업을 검증합니다.

  3. 지정된 외부 파일에서 CA 증명서를 로드합니다.

    CA 프로파일을 지정하여 CA 증명서를 구성된 프로파일에 연결해야 합니다.

  4. CRL을 로컬 스토리지에 로드합니다.

    CRL의 최대 크기는 5MB입니다. 명령에서 관련 CA 프로필을 지정해야 합니다.

결과

모든 로컬 인증서가 로드되었는지 확인합니다.

명령줄에 Certificate-ID를 지정하여 개별 인증서 세부 정보를 표시할 수 있습니다.

모든 CA 증명서 또는 개별 CA 프로필의 CA 증명서(지정된)를 검증합니다.

지정된 개별 CA 프로파일의 모든 로드된 CRL 또는 CRL을 검증합니다.

로컬 인증서 및 CA 인증서의 인증서 경로를 확인합니다.

인증서를 사용하여 IPsec VPN 구성

단계별 절차

인증서와 함께 IPsec VPN을 구성하려면 그림 1

  1. 보안 존을 구성하고 존에 인터페이스를 할당합니다.

    이 예에서는 패킷이 수신 ge-0/0/0되고 ingress 존은 트러스트 존입니다.

  2. 각 존에 대한 호스트 인바운드 서비스를 구성합니다.

    호스트 인바운드 서비스는 주니퍼 네트웍스 디바이스로 향하는 트래픽을 위한 것입니다. 이러한 설정은 FTP, HTTP, HTTPS, IKE, 핑, rlogin, RSH, SNMP, SSH, Telnet, TFTP 및 traceroute를 포함하되 이에 국한되지 않습니다.

  3. 각 존에 대한 주소록 항목을 구성합니다.

  4. RSA 암호화를 사용하도록 IKE(Phase 1) 제안을 구성합니다.

  5. IKE 정책을 구성합니다.

    1단계 교환은 메인 모드 또는 공격형 모드에서 발생할 수 있습니다.

  6. IKE 게이트웨이를 구성합니다.

    이 예에서 피어는 FQDN(호스트 이름)으로 식별됩니다. 따라서 게이트웨이 IKE ID는 원격 피어 도메인 이름이어야 합니다. 1단계 설정 중 IKE 게이트웨이를 올바르게 식별하려면 올바른 외부 인터페이스 또는 피어 ID를 지정해야 합니다.

  7. IPsec 정책을 구성합니다.

    이 예에서는 제안과 제안을 포함하는 esp-group2-3des-sha1 표준 제안 집합을 esp-group2- aes128-sha1 사용합니다. 그러나 고유한 제안을 생성한 다음 필요한 경우 IPsec 정책에 지정할 수 있습니다.

  8. IKE 게이트웨이 및 IPsec 정책을 통해 IPsec VPN을 구성합니다.

    이 예에서는 보안 연결을 생성하려면 ike-vpn VPN 이름을 터널 정책에 참조해야 합니다. 또한 필요한 경우 유휴 시간 및 프록시 ID를 터널 정책 주소와 다른 경우 지정할 수 있습니다.

  9. VPN 트래픽에 대한 양방향 터널 정책을 구성합니다.

    이 예에서 호스트 LAN에서 원격 사무실 LAN으로의 트래픽은 존(from-zone) 트러스트에서 존 언트러스트 터널 정책을 필요로 합니다. 그러나 세션이 원격 LAN에서 호스트 LAN으로 시작되어야 하는 경우, 존 언트러스트에서 존 트러스트까지 반대 방향으로 터널 정책이 필요합니다. 반대 방향으로 정책을 pair-policy로 지정하면 VPN은 양방향이 됩니다. 허용 조치 외에도 사용할 IPsec 프로파일을 지정해야 합니다. 터널 정책의 경우 작업이 항상 허용된다는 점에 유의하십시오. 실제로 거부 조치를 가진 정책을 구성하는 경우 터널을 지정하는 옵션이 표시되지 않습니다.

  10. 인터넷 트래픽에 대한 소스 NAT 규칙 및 보안 정책을 구성합니다.

    이 장치는 지정된 Source-nat 인터페이스를 사용하고 송신 인터페이스의 IP 주소를 소스 IP 주소로 사용하고 소스 포트에 대해 임의의 상위 포트를 사용하여 송신 트래픽을 위한 소스 IP 주소와 포트를 변환합니다. 필요한 경우 특정 트래픽을 허용하거나 거부하도록 보다 세분화된 정책을 생성할 수 있습니다.

  11. 터널 정책을 모든 허가 정책 위로 이동합니다.

    정책 목록은 위에서 아래로 읽기 때문에 보안 정책은 계층의 터널 정책 아래에 있어야 합니다. 이 정책이 터널 정책 위에 있는 경우 트래픽은 항상 이 정책과 일치하며 다음 정책으로 계속 이어지지 않을 것입니다. 따라서 사용자 트래픽은 암호화되지 않습니다.

  12. 터널에서 TCP 트래픽에 대한 tcp-mss 설정을 구성합니다.

    TCP-MSS는 TCP 3-way 핸드셰이크의 일부로 협상됩니다. 네트워크상의 MTU 제한을 수용하도록 TCP 세그먼트의 최대 크기를 제한합니다. IP 및 프레임 오버헤드와 함께 IPsec 캡슐화 오버헤드로 인해 생성된 ESP 패킷이 물리적 인터페이스의 MTU를 초과하여 단편화가 발생할 수 있기 때문에 이는 VPN 트래픽에 매우 중요합니다. 단편화는 대역폭과 디바이스 리소스 사용을 증가시키고 일반적으로는 피해야 합니다.

    tcp-mss를 위한 권장 가치는 MTU가 1500 이상인 대부분의 Ethernet 기반 네트워크에 1350입니다. 경로에 있는 장치가 MTU의 가치가 낮거나 PPP, 프레임 릴레이 등과 같은 추가 오버헤드가 있는 경우 이 값을 변경해야 할 수 있습니다. 일반적으로 최적의 성능을 얻기 위해 서로 다른 tcp-mss 값을 실험해야 할 수도 있습니다.

확인

구성이 올바르게 작동하는지 확인합니다.

IKE 1단계 상태 확인

목적

IKE 1단계 보안 연결 상태를 확인하여 VPN 상태를 확인합니다.

IPsec 터널과 관련된 PKI는 1단계 설정 중에 형성됩니다. 1단계가 완료되면 PKI가 성공적이었음을 나타냅니다.

실행

운영 모드에서 명령을 입력합니다 show security ike security-associations .

의미

출력은 다음을 나타냅니다.

  • 원격 피어는 10.2.2.2이고 상태는 UP이기 때문에 1단계 설정이 성공적으로 연결됩니다.

  • 원격 피어 IKE ID, IKE 정책 및 외부 인터페이스가 모두 올바르습니다.

  • 인덱스 20은 각 IKE 보안 연결에 대한 고유의 값입니다. 이 출력 세부 정보를 사용하여 각 보안 연결에 대한 자세한 내용을 확인할 수 있습니다. 를 참조하십시오 개별 보안 협회에 대한 상세 정보 얻기.

잘못된 출력은 다음을 나타냅니다.

  • 원격 피어 상태가 다운되었습니다.

  • IKE 보안 연결은 없습니다.

  • 잘못된 모드 유형(Aggr 또는 Main), PKI 문제 또는 1단계 제안(모두 두 피어에서 일치해야 함)과 같은 IKE 정책 매개 변수가 있습니다. 자세한 내용은 를 참조하십시오 IKE, PKI 및 IPsec 문제 해결.

  • IKE 패킷 수신에 외부 인터페이스가 잘못되었습니다. PKI 관련 문제에 대한 구성을 확인하고, 키 관리 데몬(kmd) 로그에서 다른 오류를 확인하거나, 추적 옵션을 실행하여 불일치를 찾을 수 있습니다. 자세한 내용은 를 참조하십시오 IKE, PKI 및 IPsec 문제 해결.

개별 보안 협회에 대한 상세 정보 얻기

목적

개별 IKE에 대한 세부 정보를 확인하십시오.

실행

운영 모드에서 명령을 입력합니다 show security ike security-associations index 20 detail .

의미

이 출력은 역할(시작자 또는 응답자), 상태, 교환 유형, 인증 방법, 암호화 알고리즘, 트래픽 통계, 2단계 협상 상태 등과 같은 개별 IKE SA의 세부 정보를 표시합니다.

다음을 위해 출력 데이터를 사용할 수 있습니다.

  • IKE SA의 역할을 파악합니다. 피어가 응답자 역할을 맡으면 문제 해결이 더 쉽습니다.

  • 트래픽 통계를 통해 양방향으로 트래픽 흐름을 확인합니다.

  • 생성되거나 진행 중인 IPsec 보안 연결의 수를 확인합니다.

  • 완료된 2단계 협상 상태를 확인합니다.

IPsec Phase 2 상태 확인

목적

IPsec(2단계) 보안 연결 보기.

IKE 1단계가 확인되면 IPsec(2단계) 보안 연결을 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security ipsec security-associations .

의미

출력은 다음을 나타냅니다.

  • 구성된 IPsec SA 쌍을 사용할 수 있습니다. 포트 번호 500은 표준 IKE 포트가 사용되었음을 나타냅니다. 그렇지 않으면 NAT-T(Network Address Translation-Traversal), 4500 또는 임의의 하이 포트입니다.

  • SPI(Security 매개 변수 인덱스)는 양방향으로 사용됩니다. SA의 수명 또는 사용 제한은 몇 초 또는 킬로바이트 단위로 표현됩니다. 출력에서, 1676/ 무제한 2 단계 수명이 1676 초 만료하도록 설정되어 있으며 지정된 수명 크기가 없습니다 나타냅니다.

  • ID 번호는 각 IPsec SA에 대한 고유의 인덱스 값을 보여줍니다.

  • Mon 열의 하이픈(-)은 이 SA에 대한 VPN 모니터링이 활성화되지 않음을 나타냅니다.

  • 가상 시스템(vsys)은 기본값인 0입니다.

2단계 수명은 VPN이 가동된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

IPsec 보안 연결 세부 정보 표시

목적

인덱스 번호로 식별된 개별 IPsec SA 세부 정보를 표시합니다.

실행

운영 모드에서 명령을 입력합니다 show security ipsec security-associations index 2 detail .

의미

출력은 로컬 ID와 원격 ID를 표시합니다.

프록시 ID 불일치로 인해 2단계 완료에 실패할 수 있다는 점을 유의하십시오. 프록시 ID는 터널 정책(정책 기반 VPN)에서 파생됩니다. 로컬 주소와 원격 주소는 주소록 항목에서 파생되며 서비스는 정책에 대해 구성된 애플리케이션에서 파생됩니다.

프록시 ID 불일치로 인해 2단계에 장애가 발생하는 경우 정책에 구성된 주소록 항목을 확인하고 올바른 주소가 전송되는지 확인합니다. 또한 포트가 일치하는지 확인합니다. 서비스를 다시 확인하여 포트가 원격 및 로컬 서버와 일치하는지 확인합니다.

소스 주소, 대상 주소 또는 애플리케이션을 위해 터널 정책에서 여러 개체를 구성하면 해당 매개 변수에 대한 결과 프록시 ID가 0으로 변경됩니다.

예를 들어 터널 정책에 대한 다음 시나리오를 가정해 보겠습니다.

  • 192.168.10.0/24 및 10.10.20.0/24의 로컬 주소

  • 원격 주소 192.168.168.0/24

  • junos-http로 애플리케이션

생성된 프록시 ID는 로컬 0.0.0.0/0, 원격 192.168.168.0/24, 서비스 80입니다.

원격 피어가 두 번째 서브넷에 대해 구성되지 않으면 생성된 프록시 ID가 상호 운용성에 영향을 미칠 수 있습니다. 또한 타사 벤더의 애플리케이션을 이용하는 경우 프록시 ID를 일치하도록 수동으로 입력해야 할 수도 있습니다.

IPsec이 완료에 실패하면 kmd 로그를 확인하거나 명령을 사용합니다 set traceoptions . 자세한 내용은 를 참조하십시오 IKE, PKI 및 IPsec 문제 해결.

IPsec SA 통계 확인

목적

IPsec SA의 통계 및 오류를 확인합니다.

문제 해결 목적을 위해 특정 IPsec SA를 통한 오류는 ESP/AH(Encapsulating Security Payload/Authentication Header) 카운터를 참조하십시오.

실행

운영 모드에서 명령을 입력합니다 show security ipsec statistics index 2 .

의미

출력에서 0의 오류 값은 정상적인 상태를 나타냅니다.

VPN에서 패킷 손실 문제를 관찰하려면 이 명령을 여러 번 실행하는 것이 좋습니다. 이 명령의 출력은 암호화 및 복호화 패킷 카운터, 오류 카운터 등에 대한 통계도 표시합니다.

보안 플로우 추적 옵션을 활성화하여 어떤 ESP 패킷에 오류가 발생하고 있는지, 그 이유를 조사해야 합니다. 자세한 내용은 를 참조하십시오 IKE, PKI 및 IPsec 문제 해결.

VPN 전반의 트래픽 플로우 테스트

목적

1단계 및 2단계가 성공적으로 완료된 후 VPN 전반의 트래픽 흐름을 테스트합니다. 명령을 사용하여 트래픽 흐름을 테스트할 ping 수 있습니다. 로컬 호스트에서 원격 호스트로 핑할 수 있습니다. 또한 주니퍼 네트웍스 장비 자체에서 핑을 시작할 수도 있습니다.

이 예에서는 주니퍼 네트웍스 디바이스에서 원격 호스트로 핑 요청을 시작하는 방법을 보여줍니다. 주니퍼 네트웍스 장비에서 핑이 시작될 때 올바른 경로 조회가 이루어지고 해당 존이 정책 조회에서 참조되도록 소스 인터페이스를 지정해야 합니다.

이 예에서 ge-0/0/0.0 인터페이스는 로컬 호스트와 동일한 보안 존에 상주하며 정책 조회가 존 트러스트에서 존 언트러스트(untrust)로 지정될 수 있도록 핑 요청에 지정되어야 합니다.

실행

운영 모드에서 명령을 입력합니다 ping 192.168.168.10 interface ge-0/0/0 count 5 .

연결 확인

목적

원격 호스트와 로컬 호스트 간의 연결을 확인합니다.

실행

운영 모드에서 명령을 입력합니다 ping 192.168.10.10 from ethernet0/6 .

의미

원격 호스트에서 로컬 호스트로의 명령을 사용하여 ping 엔드투엔드 연결을 확인할 수 있습니다. 이 예에서는 명령이 SSG5 디바이스에서 시작됩니다.

완벽한 연결이 실패하면 ESP 패킷의 라우팅, 정책, 엔드 호스트 또는 암호화/복호화에 문제가 발생할 수 있습니다. 정확한 장애 원인을 확인하려면 다음을 수행합니다.

  • 에 설명된 대로 오류에 대한 자세한 내용은 IPsec 통계를 IPsec SA 통계 확인참조하십시오.

  • 최종 호스트와 동일한 서브넷상의 ping 호스트에서 명령을 사용하여 엔드 호스트 연결을 확인합니다. 다른 호스트가 최종 호스트에 도달할 수 있는 경우 문제가 최종 호스트와 연결되지 않았다고 가정할 수 있습니다.

  • 라우팅 관련 및 정책 관련 문제를 해결하기 위한 보안 플로우 추적 옵션을 활성화합니다.

IKE, PKI 및 IPsec 문제 해결

IKE, PKI 및 IPsec 문제를 해결합니다.

기본 문제 해결 단계

문제

기본적인 문제 해결 단계는 다음과 같습니다.

  1. 문제를 식별하고 격리합니다.

  2. 문제 디버깅

문제 해결을 시작하는 일반적인 접근 방식은 OSI 레이어 중 가장 낮은 계층을 사용하며 OSI 스택에서 작동하여 장애가 발생하는 레이어를 확인하는 것입니다.

솔루션

IKE, PKI 및 IPsec 문제 해결을 위한 기본 단계는 다음과 같습니다.

  • 물리적 및 데이터 링크 수준에서 인터넷 링크의 물리적 연결을 확인합니다.

  • 주니퍼 네트웍스 디바이스가 인터넷 넥스트 홉에 연결하고 원격 IKE 피어에 연결되었는지 확인합니다.

  • IKE 1단계 완료를 확인합니다.

  • IKE 1단계가 성공적으로 완료된 경우 IKE 2단계 완료를 확인합니다.

  • VPN 전반의 트래픽 흐름을 확인합니다(VPN이 활성화되어 있는 경우).

Junos OS에는 추적 옵션 기능이 포함되어 있습니다. 이 기능을 사용하면 trace 옵션 플래그가 trace 옵션에서 로그 파일로 데이터를 작성하도록 할 수 있으며, 이를 미리 설정하거나 수동으로 구성하여 플래시 메모리에 저장할 수 있습니다. 이러한 추적 로그는 시스템이 재부팅된 후에도 유지될 수 있습니다. Trace 옵션을 구현하기 전에 사용 가능한 플래시 스토리지를 확인합니다.

구성 모드에서 trace 옵션 기능을 활성화하고 구성을 커밋하여 trace 옵션 기능을 사용할 수 있습니다. 마찬가지로 추적 옵션을 비활성화하려면 구성 모드에서 추적 옵션을 비활성화하고 구성을 커밋해야 합니다.

디바이스의 무료 디스크 공간 검사

문제

장비 파일 시스템의 무료 디스크 공간 통계를 확인합니다.

솔루션

운영 모드에서 명령을 입력합니다 show system storage .

/dev/ad0s1a 보드 플래시 메모리를 나타내며 현재 35%의 용량을 제공합니다.

로그 파일을 검사하여 다양한 시나리오를 확인하고 FTP에 로그 파일 업로드

문제

로그 파일을 보고 보안 IKE 디버그 메시지, 보안 플로우 디버그 및 syslog에 대한 로깅 상태를 확인합니다.

솔루션

운영 모드에서 , show log pkidshow log security-traceshow log messages 명령을 입력show log kmd합니다.

명령을 사용하여 show log /var/log directory의 모든 로그 목록을 볼 수 있습니다.

명령을 사용하여 file copy 로그 파일을 FTP 서버로 업로드할 수도 있습니다.

IKE에서 메시지를 볼 수 있는 IKE 추적 옵션 활성화

문제

IKE 또는 IPsec의 성공 또는 실패 메시지를 보려면 명령을 사용하여 kmd 로그를 show log kmd 볼 수 있습니다. kmd 로그는 일반적인 메시지를 표시하기 때문에 IKE 및 PKI 추적 옵션을 활성화하여 추가 세부 정보를 얻는 것이 유용할 수 있습니다.

일반적으로 응답자 역할을 하는 피어의 문제를 해결하는 것이 가장 좋습니다. 장애 원인을 파악하려면 초기자 및 응답자로부터 추적 출력을 얻어야 합니다.

IKE 추적 옵션을 구성합니다.

솔루션

<filename> 필드에 파일 이름을 지정하지 않으면 모든 IKE 추적 옵션이 kmd 로그에 기록됩니다.

추적 데이터를 로그에 작성하려면 하나 이상의 플래그 옵션을 지정해야 합니다. 예를 들어,

  • file size — 각 추적 파일의 최대 크기(바이트 단위) 예를 들어, 1백만 개(1,000,000)는 최대 1MB의 파일 크기를 생성할 수 있습니다.

  • files — 생성 및 플래시 메모리 디바이스에 저장할 최대 추적 파일 수입니다.

추적을 시작하려면 구성을 커밋해야 합니다.

IPsec에서 메시지를 볼 수 있는 PKI 추적 옵션 활성화

문제

PKI 추적 옵션을 활성화하여 IKE 장애가 인증서와 관련이 있는지 또는 비 PKI 문제와 관련이 있는지 식별합니다.

솔루션

인증서를 통한 IKE 설정 문제 해결을 위한 IKE 및 PKI 추적 옵션 설정

문제

IKE 및 PKI 추적 옵션에 대한 권장 설정을 구성합니다.

IKE 및 PKI 추적 옵션은 동일한 매개 변수를 사용하지만 모든 PKI 관련 추적의 기본 파일 이름은 pkid 로그에서 찾을 수 있습니다.

솔루션

1단계 성공 메시지 분석

문제

IKE 1단계 및 2단계 상태가 성공했을 때 명령의 show log kmd 출력을 이해합니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2—로컬 주소.

  • ssg5.example.net —원격 피어(FQDN의 호스트 이름).

  • udp: 500—NAT-T는 협상되지 않았습니다.

  • Phase 1 [responder] done—역할(시작자 또는 응답자)과 함께 1단계 상태.

  • Phase 2 [responder] done—프록시 ID 정보와 함께 1단계 상태.

    에 언급된 IKE 1단계 상태 확인검증 명령을 사용하여 IPsec SA 상태를 확인할 수도 있습니다.

1단계 실패 메시지 분석(제안 불일치)

문제

IKE Phase 1 조건이 실패인 명령의 show log kmd 출력을 이해하면 VPN이 1단계를 설정하지 않는 이유를 파악하는 데 도움이 됩니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2—로컬 주소.

  • ssg5.example.net —원격 피어(FQDN의 호스트 이름).

  • udp: 500—NAT-T는 협상되지 않았습니다.

  • Phase-1 [responder] failed with error (No proposal chosen)—제안 불일치로 인한 1단계 실패.

이 문제를 해결하려면 응답자와 시작자 일치 모두에 대한 IKE 게이트웨이 Phase 1 제안의 매개 변수가 있는지 확인합니다. 또한 VPN에 대한 터널 정책이 있는지 확인합니다.

1단계 장애 메시지 분석(인증 실패)

문제

IKE Phase 1 조건이 장애가 발생한 경우 명령의 show log kmd 출력을 이해합니다. 이는 VPN이 1단계를 설정하지 않는 이유를 파악하는 데 도움이 됩니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2—로컬 주소.

  • 10.2.2.2—원격 피어

  • Phase 1 [responder] failed with error (Authentication failed)—유효한 게이트웨이 피어에서 시작된 수신 요청을 응답자가 인식하지 못하여 1단계 장애. PKI 인증서가 있는 IKE의 경우, 이 장애는 일반적으로 잘못된 IKE ID 유형이 지정되거나 입력되었음을 나타냅니다.

이 문제를 해결하려면 다음을 기반으로 올바른 피어 IKE ID 유형이 로컬 피어에 지정되어 있는지 확인합니다.

  • 원격 피어 인증서를 생성하는 방법

  • 수신된 원격 피어 인증서의 제목 대체 이름 또는 DN 정보

1단계 장애 메시지 분석(타임아웃 오류)

문제

IKE Phase 1 조건이 장애가 발생한 경우 명령의 show log kmd 출력을 이해합니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2—Llocal 주소.

  • 10.2.2.2—원격 피어.

  • Phase 1 [responder] failed with error(Timeout)—1단계 실패.

    이 오류는 IKE 패킷이 원격 피어로 연결되지 않거나 원격 피어에서 지연되거나 응답이 없는 것을 나타냅니다.

이 타임아웃 오류는 PKI 데몬의 응답을 대기한 결과이므로 PKI 추적 옵션 출력을 검토하여 PKI에 문제가 있는지 확인해야 합니다.

2단계 장애 메시지 분석

문제

IKE Phase 2 상태가 장애가 발생한 경우 명령의 show log kmd 출력을 이해합니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2—로컬 주소.

  • ssg5.example.net —원격 피어(FQDN을 갖춘 IKE ID 유형 호스트 이름).

  • Phase 1 [responder] done—1단계 성공.

  • Failed to match the peer proxy ids—올바르지 않은 프록시 ID가 수신됩니다. 이전 샘플에서 받은 2개의 프록시 IP는 192.168.168.0/24(원격)와 10.10.20.0/24(로컬)(service=any)입니다. 이 예에서 제공된 구성에 따라 예상 로컬 주소는 192.168.10.0/24입니다. 로컬 피어에 구성이 불일치하여 프록시 ID 일치가 실패한다는 것을 보여줍니다.

    이 문제를 해결하려면 주소록 항목을 수정하거나 다른 피어와 일치하도록 프록시 ID를 구성합니다.

    또한 출력은 장애의 이유가 을 No proposal chosen나타냅니다. 그러나 이 경우에는 메시지 Failed to match the peer proxy ids도 볼 수 있습니다.

2단계 장애 메시지 분석

문제

IKE Phase 2 상태가 장애가 발생한 경우 명령의 show log kmd 출력을 이해합니다.

솔루션

샘플 출력은 다음을 나타냅니다.

  • 10.1.1.2 —로컬 주소.

  • fqdn(udp:500,[0..15]=ssg5.example.net—원격 피어.

  • Phase 1 [responder] done—1단계 성공.

  • Error = No proposal chosen—2단계 중에는 어떤 제안도 선택되지 않았습니다. 이 문제는 두 피어 간의 제안 불일치 때문입니다.

    이 문제를 해결하려면 2단계 제안이 두 피어에서 일치하는지 확인합니다.

IKE 및 PKI와 관련된 일반적인 문제 해결

문제

IKE 및 PKI와 관련된 일반적인 문제를 해결합니다.

trace 옵션 기능을 활성화하면 일반적인 로그 엔트리에서 얻을 수 있는 것보다 디버깅 문제에 대한 자세한 정보를 수집할 수 있습니다. trace 옵션 로그를 사용하여 IKE 또는 PKI 장애의 이유를 파악할 수 있습니다.

솔루션

IKE 및 PKI 관련 문제를 해결하는 방법:

  • 시계, 날짜, 시간대 및 일광 절약 설정이 올바른지 확인합니다. NTP를 사용하여 정확한 시계를 유지합니다.

  • DN의 "C="(국가) 필드에서 두 글자 국가 코드를 사용하는지 확인합니다.

    예를 들어, "USA" 또는 "미국"이 아닌 "미국"을 사용합니다. 일부 CA는 DN의 국가 필드를 입력해야 하며, 이를 통해 국가 코드 값을 두 글자 값으로만 입력할 수 있습니다.

  • 피어 인증서가 다중 OU=또는 CN= 필드를 사용하는 경우 컨테이너 메소드와 함께 구별된 이름을 사용하는지 확인합니다(시퀀스는 유지 관리되어야 하며 대소문자 구분).

  • 인증서가 아직 유효하지 않은 경우 시스템 클럭을 확인하고 필요한 경우 시스템 시간대를 조정하거나 빠른 테스트를 위해 1일을 클럭에 추가하기만 하면 됩니다.

  • 일치하는 IKE ID 유형 및 값이 구성되는지 확인합니다.

  • 철회 검사 실패로 인해 PKI에 장애가 발생할 수 있습니다. 이를 확인하려면 일시적으로 철회 검사를 비활성화하고 IKE 1단계를 완료할 수 있는지 여부를 확인합니다.

    철회 검사를 비활성화하려면 구성 모드에서 다음 명령을 사용합니다.

    set security pki ca-profile <ca-profile> revocation-check disable