Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

그룹 VPNv1

그룹 VPN은 디바이스에서 시작되거나 디바이스를 통해 흐르는 프라이빗 WAN을 통한 IP 멀티캐스트 그룹 트래픽 또는 유니캐스트 트래픽을 보호하는 데 필요한 기능 집합입니다.

그룹 VPNv1 개요

IPsec SA(보안 연결)는 인증 및 암호화 알고리즘, 키 교환 메커니즘 및 보안 통신에 사용할 규칙을 정의하는 VPN(가상 사설망) 참가자 간의 단방향 계약입니다. 현재 VPN 구현에서 SA는 두 보안 디바이스 간의 지점 간 터널입니다. 그룹 VPNv1은 IPsec 아키텍처를 확장하여 보안 디바이스 그룹이 공유하는 SA를 지원합니다( 참조 그림 1).

그림 1: 표준 IPsec VPN 및 그룹 VPNv1표준 IPsec VPN 및 그룹 VPNv1

그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다. 그룹 VPNv1을 사용하면 외부 헤더에 원래 소스 및 대상 IP 주소를 보존하여 애니-투-애니(any-to-any) 연결을 달성할 수 있습니다. 보안 멀티캐스트 패킷은 코어 네트워크의 일반 텍스트 멀티캐스트 패킷과 동일한 방식으로 복제됩니다.

Junos OS 릴리스 12.3X48-D30부터 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다.

그룹 VPNv1에는 RFC 6407, GDOI(Group Domain of Interpretation)와 관련하여 몇 가지 적절한 제한이 있습니다. 독점적 제한 없이 그룹 VPN을 사용하려면 그룹 VPNv2로 업그레이드하세요. 그룹 VPNv2는 Junos OS 릴리스 15.1X49-D30부터 시작하는 vSRX 가상 방화벽 인스턴스, Junos OS 릴리스 15.1X49-D40부터 시작하는 SRX 시리즈 방화벽 및 Junos OS 릴리스 15.1r2부터 시작하는 MX 시리즈 디바이스에서 지원됩니다.

그룹 VPNv1에 대한 GDOI 프로토콜 이해하기

그룹 VPNv1은 RFC 3547, GDOI( Group Domain of Interpretation)를 기반으로 합니다 . 이 RFC는 그룹 구성원 간에 SA를 설정하기 위한 그룹 구성원과 그룹 서버 간의 프로토콜을 설명합니다. GDOI 메시지는 디바이스 그룹에 대한 SA를 생성, 유지 또는 삭제합니다. GDOI 프로토콜은 포트 848에서 실행됩니다.

ISAKMP(Internet Security Association and Key Management Protocol)는 자동 키 IKE(Internet Key Exchange) IPsec 터널에 대한 SA를 설정하기 위한 두 가지 협상 단계를 정의합니다. 1단계에서는 두 디바이스가 ISAKMP SA를 설정할 수 있습니다. 2단계에서는 GDOI와 같은 다른 보안 프로토콜에 대한 SA를 설정합니다.

그룹 VPN을 사용하면 그룹 서버와 그룹 멤버 간에 1단계 ISAKMP SA 협상이 수행됩니다. 서버와 구성원은 동일한 ISAKMP 정책을 사용해야 합니다. 2단계에서 서버와 멤버 간의 GDOI 교환은 다른 그룹 멤버와 공유되는 SA를 설정합니다. 그룹 멤버는 다른 그룹 멤버와 IPsec을 협상할 필요가 없습니다. 2단계의 GDOI 교환은 ISAKMP 1단계 SA에 의해 보호되어야 합니다.

GDOI 거래소에는 두 가지 유형이 있습니다.

  • 교환을 통해 구성원은 서버에서 그룹이 공유하는 SA 및 키를 요청할 수 있습니다.groupkey-pull

  • 교환은 기존 그룹 SA가 만료되기 전에 서버가 그룹 SA와 키를 구성원에게 보낼 수 있도록 하는 단일 키 재입력 메시지입니다.groupkey-push 키 재입력 메시지는 서버에서 구성원에게 보내는 원치 않는 메시지입니다.

그룹 VPNv1 제한 사항 이해

다음은 그룹 VPNv1에 대해 이 릴리스에서 지원되지 않습니다:

  • 기본이 아닌 라우팅 인스턴스

  • 섀시 클러스터

  • 서버 클러스터

  • 경로 기반 그룹 VPN

  • 공용 인터넷 기반 배포

  • SNMP

  • Cisco GET VPN 서버의 정책 거부

  • 구성 및 모니터링을 위한 J-Web 인터페이스

Junos OS 릴리스 12.3X48-D30부터 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 및 SRX650 디바이스의 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다. 그룹 VPNv2 서버와 함께 사용할 그룹 VPNv1 멤버를 구성할 때 다음 제한 사항에 유의하십시오.

  • 그룹 VPNv2는 시간 기반 안티리플레이 메커니즘을 위한 IETF 초안 사양 IP Delivery Delay Detection Protocol 을 지원합니다. 따라서, IP 전달 지연 탐지 프로토콜 기반 안티리플레이는 그룹 VPNv1 멤버에서 지원되지 않으며 명령을 사용하여 그룹 VPNv2 서버에서 비활성화해야 합니다.deactivate security group-vpn server group group-name anti-replay-time-window

  • 그룹 VPNv2 서버는 그룹 서버와 그룹 멤버 기능이 동일한 디바이스에 존재하는 코로케이션을 지원하지 않습니다.

  • 그룹 VPNv2 서버는 하트비트 전송을 지원하지 않습니다. 명령을 사용하여 그룹 VPNv1 멤버에서 하트비트를 비활성화해야 합니다.deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold 그룹 VPNv2 서버의 재부팅 또는 기타 중단으로 인한 트래픽 영향을 방지하려면 그룹 VPNv2 서버 클러스터를 사용하는 것이 좋습니다.

  • 그룹 VPNv2 서버에서 전송된 Groupkey-push 메시지는 RFC 6407, GDOI(Group Domain of Interpretation)를 기반으로 하며 그룹 VPNv1 멤버에서는 지원되지 않습니다. 따라서 명령을 사용하여 그룹 VPNv2 서버에서 groupkey-push 메시지를 비활성화해야 합니다.deactivate security group-vpn server group group-name server-member-communication

    키 재생성은 groupkey-pull 메시지에서 지원됩니다. TEK 하드 수명이 만료되기 전에 그룹 VPNv1 멤버가 groupkey-pull 작업을 완료할 수 없는 확장 문제가 있는 경우, 멤버가 groupkey-pull 작업을 완료할 수 있는 충분한 시간을 허용하기 위해 TEK 수명을 늘리는 것이 좋습니다. 주니퍼의 스케일링 수치는 2시간의 TEK 수명으로 검증됩니다.

  • 그룹 VPNv2 서버가 재부팅 또는 업그레이드되거나 그룹의 SA가 지워진 경우, 기존 멤버에 대해 다음 키 재생성이 발생할 때까지 새 멤버를 네트워크에 추가할 수 없습니다. 새 멤버는 이전 키가 있는 기존 멤버로 트래픽을 보낼 수 없습니다. 차선책으로, 명령을 사용하여 기존 그룹 VPNv1 멤버의 SA를 지웁니다.clear security group-vpn member ipsec security-associations

  • 멀티캐스트 데이터 트래픽은 그룹 VPNv2 멤버에 의해 지원되지 않기 때문에 그룹 VPNv1 및 그룹 VPNv2 멤버가 동일한 그룹의 네트워크에 공존할 때 멀티캐스트 데이터 트래픽을 사용할 수 없습니다.

그룹 VPNv1 서버 및 구성원 이해하기

그룹 VPN의 중심은 그룹 서버입니다. 그룹 서버는 다음 작업을 수행합니다.

  • 그룹 구성원 자격을 제어합니다

  • 암호화 키 생성

  • 그룹 SA 및 키를 관리하고 그룹 구성원에게 배포합니다.

그룹 멤버는 그룹 SA와 그룹 서버가 제공하는 키를 기반으로 트래픽을 암호화합니다.

그룹 서버는 여러 그룹에 서비스를 제공할 수 있습니다. 단일 보안 디바이스는 여러 그룹의 구성원이 될 수 있습니다.

각 그룹은 1에서 65,535 사이의 숫자인 그룹 식별자로 표시됩니다. 그룹 서버 및 그룹 멤버는 그룹 식별자에 의해 함께 링크됩니다. 그룹당 하나의 그룹 식별자만 있을 수 있으며 여러 그룹이 동일한 그룹 식별자를 사용할 수 없습니다.

다음은 그룹 VPN 서버 및 구성원 작업에 대한 개략적인 보기입니다.

  1. 그룹 서버는 구성원이 등록할 수 있도록 UDP 포트 848에서 수신 대기합니다. 멤버 디바이스는 그룹에 가입하기 위해 올바른 IKE(Internet Key Exchange) 1단계 인증을 제공해야 합니다. 구성원 단위의 사전 공유 키 인증이 지원됩니다.

  2. 인증 및 등록에 성공하면 멤버 디바이스는 GDOI 교환을 통해 서버에서 그룹 SA 및 키를 검색합니다.groupkey-pull

  3. 서버는 그룹의 구성원 자격에 구성원을 추가합니다.

  4. 그룹 멤버는 그룹 SA 키로 암호화된 패킷을 교환합니다.

서버는 주기적으로 키 재생성(GDOI ) 메시지를 통해 그룹 구성원에게 SA 및 키 새로 고침을 보냅니다.groupkey-push 키 재입력 메시지는 SA가 만료되기 전에 전송됩니다. 이렇게 하면 그룹 구성원 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있습니다.

또한 서버는 그룹 구성원이 변경되거나 그룹 SA가 변경된 경우 구성원에게 새 키를 제공하기 위해 키 재입력 메시지를 보냅니다.

그룹 VPNv1 서버-멤버 통신 이해하기

그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다. 서버 멤버 통신을 통해 서버는 GDOI 메시지를 멤버에게 보낼 수 있습니다.groupkey-push 그룹에 대해 서버 멤버 통신이 구성되지 않은 경우 멤버는 GDOI 메시지를 보내 서버에 등록 및 재등록할 수 있지만 서버는 멤버에게 키 재입력 메시지를 보낼 수 없습니다.groupkey-pull

서버 구성원 통신은 [] 계층에서 구성 문을 사용하여 그룹에 대해 구성됩니다.server-member-communicationedit security group-vpn server 다음 옵션을 정의할 수 있습니다.

  • 서버와 멤버 간의 통신에 사용되는 암호화 알고리즘입니다. 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc 또는 des-cbc를 지정할 수 있습니다. 기본 알고리즘은 없습니다.

  • 서버에 대해 구성원을 인증하는 데 사용되는 인증 알고리즘(md5 또는 sha1)입니다. 기본 알고리즘은 없습니다.

  • 서버가 유니캐스트 또는 멀티캐스트 메시지를 그룹 구성원에게 보내는지 여부와 통신 유형과 관련된 매개 변수입니다.

  • 서버가 그룹 구성원에게 하트비트 메시지를 보내는 간격입니다. 이를 통해 구성원은 서버가 재부팅되었는지 여부를 확인할 수 있으며, 이를 위해서는 구성원이 서버에 다시 등록해야 합니다. 기본값은 300초입니다.

  • KEK(키 암호화 키)의 수명입니다. 기본값은 3600초입니다.

그룹 서버가 구성원에게 키 재입력 메시지를 전송하려면 서버 멤버 통신을 구성해야 하지만, 이 동작이 바람직하지 않은 상황이 있을 수 있습니다. 예를 들어 그룹 구성원이 동적 피어인 경우(예: 홈 오피스) 디바이스가 항상 켜져 있는 것은 아니며 디바이스의 IP 주소는 전원을 켤 때마다 다를 수 있습니다. 동적 피어 그룹에 대해 서버 구성원 통신을 구성하면 서버에서 불필요한 전송이 발생할 수 있습니다. GDOI 협상을 보호하기 위해 IKE(Internet Key Exchange) 1단계 SA 협상이 항상 수행되도록 하려면 서버 멤버 통신을 구성하지 마십시오.

그룹에 대한 서버 구성원 통신이 구성되지 않은 경우 명령에 의해 표시되는 구성원 목록에는 서버에 등록된 그룹 구성원이 표시되며 구성원은 활성 상태일 수도 있고 그렇지 않을 수도 있습니다.show security group-vpn server registered-members 그룹에 대한 서버 구성원 통신이 구성되면 그룹 구성원 목록이 지워집니다. 통신 유형이 유니캐스트 로 구성된 경우 명령은 활성 멤버만 표시합니다.show security group-vpn server registered-members 통신 유형이 멀티캐스트 로 구성된 경우 명령은 구성 후 서버에 등록한 구성원을 표시합니다. 등록 후 구성원이 탈락할 수 있으므로 구성원 목록이 반드시 활성 구성원을 나타내는 것은 아닙니다.show security group-vpn server registered-members

그룹 VPNv1 그룹 주요 작업 이해

이러한 주제에는 다음 섹션이 포함됩니다.

그룹 키

그룹 서버는 VPN 그룹, 그룹 구성원 및 그룹 키 간의 관계를 추적하기 위해 데이터베이스를 유지 관리합니다. 서버가 구성원에게 다운로드하는 그룹 키에는 두 가지 종류가 있습니다.

  • KEK(Key Encryption Key) - 키 재생성 메시지를 암호화하는 데 사용됩니다. 그룹당 하나의 KEK가 지원됩니다.

  • 트래픽 암호화 키(TEK) - 그룹 멤버 간의 IPsec 데이터 트래픽을 암호화하고 해독하는 데 사용됩니다.

SA와 연결된 키는 멤버에 구성된 일치하는 범위 정책이 있는 경우에만 그룹 멤버가 수락합니다. 수락된 키는 그룹 VPN에 대해 설치되지만 거부된 키는 폐기됩니다.

메시지 키 재설정

그룹이 서버 구성원 통신을 위해 구성된 경우 서버는 키 재생성(GDOI ) 메시지와 함께 그룹 구성원에게 SA 및 키 새로 고침을 주기적으로 보냅니다.groupkey-push 키 재입력 메시지는 SA가 만료되기 전에 전송됩니다. 이렇게 하면 그룹 구성원 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있습니다.

또한 서버는 그룹 구성원이 변경되거나 그룹 SA가 변경된 경우(예: 그룹 정책 추가 또는 삭제) 구성원에게 새 키를 제공하기 위해 키 재입력 메시지를 보냅니다.

서버가 그룹 구성원에게 키 재입력 메시지를 보낼 수 있도록 서버에서 서버 구성원 통신 옵션을 구성해야 합니다. 이러한 옵션은 다음 섹션에서 설명하는 대로 메시지 유형과 메시지 전송 간격을 지정합니다.

키 재입력 메시지에는 두 가지 유형이 있습니다.

  • 유니캐스트 키 재입력 메시지 - 그룹 서버는 각 그룹 멤버에게 키 재입력 메시지의 사본 하나를 보냅니다. 키 재입력 메시지를 수신하면 구성원은 서버에 확인서(ACK)를 보내야 합니다. 서버가 구성원으로부터 ACK를 수신하지 않으면(키 재입력 메시지 재전송 포함) 서버는 구성원을 비활성 상태로 간주하고 구성원 목록에서 제거합니다. 서버가 멤버에 대한 키 재입력 메시지 전송을 중지합니다.

    서버 멤버 통신을 위한 및 구성 문은 멤버로부터 ACK를 수신하지 않을 때 서버에 의한 키 재입력 메시지의 재전송을 제어합니다.number-of-retransmissionretransmission-period

  • 멀티캐스트 키 재입력 메시지 - 그룹 서버는 지정된 발신 인터페이스에서 구성된 멀티캐스트 그룹 주소로 키 재입력 메시지의 복사본 하나를 보냅니다. 멤버는 멀티캐스트 키 재입력 메시지 수신 확인을 보내지 않습니다. 등록된 회원 목록은 초기 등록 후 회원이 탈퇴할 수 있으므로 반드시 활성 회원을 나타내는 것은 아닙니다. 그룹의 모든 구성원은 멀티캐스트 메시지를 지원하도록 구성되어야 합니다.

    네트워크에서 멀티캐스트 트래픽을 전달할 수 있도록 IP 멀티캐스트 프로토콜을 구성해야 합니다. 주니퍼 네트웍스 디바이스의 멀티캐스트 프로토콜 구성에 대한 자세한 내용은 멀티캐스트 프로토콜 사용자 가이드를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-multicast/config-guide-multicast.html

서버가 키 재입력 메시지를 보내는 간격은 [] 계층에 있는 및 구성 문의 값을 기반으로 계산됩니다.lifetime-secondsactivation-time-delayedit security group-vpn server group 간격은 로 계산됩니다.lifetime-seconds minus 4*(activation-time-delay)

KEK의 경우 서버 구성원 통신의 일부로 구성되며 기본값은 3600초입니다.lifetime-seconds TEK의 경우 IPsec 제안에 대해 구성됩니다. 기본값은 3600초입니다.lifetime-seconds 은( 는) 서버의 그룹에 대해 구성되며 기본값은 15초입니다.activation-time-delay 및 에 대한 기본값을 사용하여 서버가 키 재입력 메시지를 보내는 간격은 , 또는 3540초입니다.lifetime-secondsactivation-time-delay3600 minus 4*15

회원가입

그룹 멤버가 현재 키가 만료되기 전에 서버에서 새 SA 키를 받지 못한 경우 멤버는 서버에 다시 등록하고 GDOI 교환을 통해 업데이트된 키를 가져와야 합니다.groupkey-pull 이 경우 서버가 키 재입력 메시지를 보내는 간격은 다음과 같이 계산됩니다. 마이너스 3*().lifetime-secondsactivation-time-delay 및 의 기본값 을 사용하여 서버가 키 재입력 메시지를 보내는 간격은 3600 - 3*15 또는 3555초입니다.lifetime-secondsactivation-time-delay

회원 재등록은 다음과 같은 이유로 발생할 수 있습니다.

  • 구성원은 서버에서 수신된 하트비트가 없어 서버 재부팅을 감지합니다.

  • 그룹 서버의 키 재입력 메시지가 손실 또는 지연되고 TEK 수명이 만료되었습니다.

키 활성화

멤버가 서버로부터 새 키를 받으면 암호화를 위해 키를 사용하기 전에 일정 시간 동안 대기합니다. 이 기간은 구성 문과 서버에서 보낸 키 재입력 메시지를 통해 키를 수신하는지 또는 구성원이 서버에 재등록한 결과로 수신되는지에 따라 결정됩니다.activation-time-delay

서버에서 보낸 키 재입력 메시지를 통해 키를 수신하면 멤버는 키를 사용하기 전에 2*()초 동안 대기합니다.activation-time-delay 멤버 재등록을 통해 키를 받은 경우 멤버는 값으로 지정된 시간(초) 동안 대기합니다 .activation-time-delay

멤버는 멤버에 설치된 각 그룹 SA에 대해 서버에서 보낸 가장 최근 키 두 개를 보유합니다. 두 키 모두 암호 해독에 사용할 수 있으며 가장 최근 키는 암호화에 사용됩니다. 이전 키는 새 키가 활성화된 후 값으로 지정된 시간(초)만큼 제거됩니다.activation-time-delay

구성 문의 기본값은 15초입니다.activation-time-delay 이 기간을 너무 작게 설정하면 새 키가 설치되기 전에 원격 그룹 멤버에서 패킷이 삭제될 수 있습니다. 값을 변경할 때 네트워크 토폴로지 및 시스템 전송 지연을 고려하십시오.activation-time-delay 유니캐스트 전송의 경우, 시스템 전송 지연은 그룹 멤버의 수에 비례합니다.

그룹 VPNv1 서버는 요청에 대한 응답으로 그룹 VPNv1 멤버에게 여러 개의 트래픽 암호화 키(TEK)를 전송할 수 있습니다 .groupkey-pull 다음은 그룹 VPNv1 멤버가 기존 TEK 및 서버로부터 수신하는 TEK를 처리하는 방법을 설명합니다.

  • 그룹 VPNv1 멤버가 두 개 이상의 TEK를 수신하는 경우, 가장 최근의 두 TEK를 보유하고 기존 TEK를 삭제합니다. 2개의 보류된 TEK 중 이전 TEK가 즉시 활성화되고 그룹 VPNv1 서버에 구성된 시간이 경과한 후 최신 TEK가 활성화됩니다(기본값은 15초).activation-time-delay

  • 그룹 VPNv1 멤버가 하나의 TEK만 수신하거나 서버로부터 메시지를 통해 TEK를 수신하는 경우, 하드 수명이 만료될 때까지 기존 TEK는 삭제되지 않습니다.groupkey-push 기존 TEK의 수명은 단축되지 않습니다.

그룹 VPNv1 멤버는 TEK 수명이 값의 2배 미만인 경우에도 수신된 TEK를 설치합니다.activation-time-delay

그룹 VPNv1 하트비트 메시지 이해하기

서버 구성원 통신이 구성되면 그룹 VPNv1 서버는 지정된 간격(기본 간격은 300초)으로 구성원에게 하트비트 메시지를 보냅니다. 하트비트 메커니즘을 사용하면 지정된 수의 하트비트가 수신되지 않는 경우 멤버가 서버에 다시 등록할 수 있습니다. 예를 들어 구성원은 서버를 다시 부팅하는 동안 하트비트 메시지를 받지 않습니다. 서버가 재부팅되면 구성원이 서버에 다시 등록합니다.

하트비트는 메시지를 통해 전송됩니다.groupkey-push 시퀀스 번호는 각 하트비트 메시지에서 증가하여 회신 공격으로부터 구성원을 보호합니다. 키 재입력 메시지와 달리 하트비트 메시지는 수신자가 승인하지 않으며 서버에서 재전송되지 않습니다.

하트비트 메시지에는 다음 정보가 포함됩니다.

  • 서버에 있는 키의 현재 상태 및 구성

  • 상대적 시간(antireplay가 활성화된 경우)

멤버는 하트비트의 정보를 비교하여 서버 정보가 누락되었는지 또는 메시지를 다시 입력했는지 여부를 감지할 수 있습니다. 멤버가 다시 등록되어 서버와 동기화됩니다.

하트비트 메시지는 네트워크 정체를 증가시키고 불필요한 구성원 재등록을 유발할 수 있습니다. 따라서, 필요한 경우 구성원에 대한 하트비트 검출을 비활성화할 수 있습니다.

그룹 VPNv1 서버-멤버 코로케이션 모드 이해하기

그룹 서버 및 그룹 멤버 기능은 별개이며 겹치지 않습니다. 서버 및 멤버 기능은 동일한 물리적 장치에 공존할 수 있으며, 이를 코로케이션 모드라고 합니다. 코로케이션 모드에서는 서버나 멤버의 기능 및 동작에 변화가 없으나, 패킷이 제대로 전달될 수 있도록 서버와 멤버에 각각 다른 IP 주소를 할당해야 한다. 코로케이션 모드에서는 서버에 하나의 IP 주소만 할당되고 그룹 전체에서 구성원에게 하나의 IP 주소가 할당될 수 있습니다.

그룹 VPNv1 구성 개요

이 주제는 그룹 VPNv1을 구성하기 위한 주요 작업에 대해 설명합니다.

그룹 서버에서 다음을 구성합니다.

  1. IKE(Internet Key Exchange) 1단계 협상. [] 계층을 사용하여 IKE(Internet Key Exchange) 1단계 SA를 구성합니다.edit security group-vpn server ike 그룹 VPNv2에 대한 IKE(Internet Key Exchange) 1단계 구성 이해를 참조하십시오.그룹 VPNv2에 대한 IKE(Internet Key Exchange) 1단계 구성 이해
  2. 2단계: IPsec SA. 그룹 VPNv1에 대한 IPsec SA 구성 이해를 참조하십시오.그룹 VPNv1에 대한 IPsec SA 구성 이해
  3. VPN 그룹. 그룹 VPNv1 구성 개요를 참조하십시오.그룹 VPNv1 구성 개요

그룹 멤버에서 다음을 구성합니다.

  1. IKE(Internet Key Exchange) 1단계 협상. [] 계층을 사용하여 IKE(Internet Key Exchange) 1단계 SA를 구성합니다.edit security group-vpn member ike 그룹 VPNv1에 대한 IKE(Internet Key Exchange) 1단계 구성 이해를 참조하십시오.그룹 VPNv1의 IKE 1단계 구성 이해

  2. 2단계: IPsec SA. 그룹 VPNv1에 대한 IPsec SA 구성 이해를 참조하십시오.그룹 VPNv1에 대한 IPsec SA 구성 이해

  3. 구성원에 설치되는 그룹 정책을 결정하는 범위 정책입니다. 그룹 VPNv1에 대한 동적 정책 이해의 내용을 참조하십시오.그룹 VPNv1의 동적 정책 이해

패킷 단편화 문제를 방지하려면 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. 구성 문을 사용하여 MTU 크기를 설정합니다.set interface mtu

VPN 그룹은 [] 계층의 구성 문을 사용하여 서버에서 구성됩니다.groupedit security group-vpn server

그룹 정보는 다음 정보로 구성됩니다.

  • Group identifier(그룹 식별자) - VPN 그룹을 식별하는 1에서 65,535 사이의 값입니다. 자동 키 IKE(Internet Key Exchange)의 그룹 멤버에 동일한 그룹 식별자를 구성해야 합니다.

  • 구성 문으로 구성된 그룹 멤버.ike-gateway 이 구성 문에는 그룹의 각 멤버에 대해 하나씩 여러 인스턴스가 있을 수 있습니다.

  • 서버의 IP 주소입니다(루프백 인터페이스 주소 권장).

  • 그룹 정책 - 구성원에게 다운로드할 정책입니다. 그룹 정책은 SA와 키가 적용되는 트래픽을 설명합니다. 그룹 VPNv1에 대한 동적 정책 이해의 내용을 참조하십시오.그룹 VPNv1의 동적 정책 이해

  • 서버-멤버 통신 - 서버가 멤버에게 키 재입력 메시지를 보낼 수 있도록 하는 선택적 구성입니다. 그룹 VPNv1 개요를 참조하십시오.그룹 VPNv1 개요

  • Antireplay—패킷 가로채기 및 재생을 감지하는 선택적 구성입니다. 그룹 VPNv1에 대한 Antireplay 이해를 참조하십시오.그룹 VPNv1에 대한 Antireplay 이해하기

그룹 VPNv1의 IKE 1단계 구성 이해

그룹 서버와 그룹 멤버 간의 IKE(Internet Key Exchange) 1단계 SA는 그룹이 공유하는 IPsec SA를 협상할 보안 채널을 설정합니다. 주니퍼 네트웍스 보안 디바이스의 표준 IPsec VPN의 경우, 1단계 SA 구성은 IKE(Internet Key Exchange) 제안, 정책 및 게이트웨이 지정으로 구성됩니다. 그룹 VPNv1의 경우, IKE(Internet Key Exchange) 1단계 SA 구성은 표준 IPsec VPN의 구성과 유사하지만 [] 계층에서 수행됩니다.edit security group-vpn

IKE(Internet Key Exchange) 제안 구성에서는 참가자 간의 보안 채널을 여는 데 사용할 인증 방법과 인증 및 암호화 알고리즘을 설정합니다. IKE(Internet Key Exchange) 정책 구성에서 1단계 채널이 협상될 모드(주 또는 적극적)를 설정하고, 사용할 키 교환 유형을 지정하며, 1단계 제안을 참조합니다. IKE(Internet Key Exchange) 게이트웨이 구성에서는 1단계 정책을 참조합니다.

그룹 VPNv2는 강력한 알고리즘만 지원하기 때문에 인증 알고리즘 옵션은 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 및 SRX650 디바이스의 그룹 VPNv1 멤버에 대해 지원됩니다.sha-256 그룹 VPNv1 멤버가 그룹 VPNv2 서버와 상호 운용하는 경우, 명령을 사용하여 그룹 VPNv1 멤버에 이 옵션을 구성해야 합니다.edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 그룹 VPNv2 서버에서 IKE 제안에 대해 이(가) 구성되어야 하며 IPsec 제안에 대해 구성되어야 합니다.authentication-algorithm sha-256authentication-algorithm hmac-sha-256-128

그룹 VPNv1 멤버의 IKE 게이트웨이가 둘 이상의 게이트웨이 주소로 구성된 경우, 구성이 커밋될 때 "IKE 게이트웨이 구성당 하나의 원격 주소만 구성할 수 있습니다"라는 오류 메시지가 표시됩니다.

그룹 서버의 IKE(Internet Key Exchange) 1단계 구성은 그룹 멤버의 IKE(Internet Key Exchange) 1단계 구성과 일치해야 합니다.

그룹 VPNv1에 대한 IPsec SA 구성 이해

서버와 멤버가 1단계 협상에서 안전하고 인증된 채널을 설정한 후 2단계를 진행합니다. 2단계 협상은 멤버 간에 전송되는 데이터를 보호하기 위해 그룹 멤버가 공유하는 IPsec SA를 설정합니다. 그룹 VPN에 대한 IPsec SA 구성은 표준 VPN에 대한 구성과 유사하지만, 그룹 멤버는 다른 그룹 멤버와 SA를 협상할 필요가 없습니다.

그룹 VPNv1에 대한 2단계 IPsec 구성은 다음 정보로 구성됩니다.

  • SA에 사용할 보안 프로토콜, 인증 및 암호화 알고리즘에 대한 제안입니다. IPsec SA 제안은 [] 계층의 구성 문을 사용하여 proposal 그룹 서버에서 구성됩니다.edit security group-vpn server ipsec

  • 제안을 참조하는 그룹 정책입니다. 그룹 정책은 SA와 키가 적용되는 트래픽(프로토콜, 원본 주소, 원본 포트, 대상 주소 및 대상 포트)을 지정합니다. 그룹 정책은 [ ] 계층의 구성 문을 사용하여 서버에서 구성됩니다.ipsec-saedit security group-vpn server group

  • 그룹 식별자, 그룹 서버(구성 문으로 구성됨) 및 멤버가 그룹에 연결하는 데 사용하는 인터페이스를 참조하는 자동 키 IKE(Internet Key Exchange)입니다.ike-gateway 자동 키 IKE(Internet Key Exchange)는 [] 계층의 구성 문을 사용하여 멤버에 구성됩니다.ipsec vpnedit security group-vpn member

그룹 VPNv1의 동적 정책 이해

그룹 서버는 지정된 그룹의 구성원에게 그룹 SA 및 키를 배포합니다. 동일한 그룹에 속한 모든 멤버는 동일한 IPsec SA 집합을 공유할 수 있습니다. 그러나 그룹에 대해 구성된 모든 SA가 모든 그룹 멤버에 설치되는 것은 아닙니다. 특정 멤버에 설치된 SA는 그룹 SA와 연관된 정책 및 멤버에 구성된 보안 정책에 의해 결정됩니다.

VPN 그룹에서 서버가 구성원에게 푸시하는 각 그룹 SA 및 키는 그룹 정책과 연결됩니다. 그룹 정책은 프로토콜, 원본 주소, 원본 포트, 대상 주소 및 대상 포트를 포함하여 키를 사용해야 하는 트래픽을 설명합니다.

동일한 그룹 정책(동일한 원본 주소, 대상 주소, 원본 포트, 대상 포트 및 프로토콜 값으로 구성됨)은 단일 그룹에 대해 존재할 수 없습니다. 그룹에 대해 동일한 그룹 정책을 포함하는 구성을 커밋하려고 하면 오류가 반환됩니다. 이 경우 동일한 그룹 정책 중 하나를 삭제해야 합니다.

그룹 구성원에서는 서버에서 다운로드한 그룹 정책의 범위를 정의하는 범위 정책을 구성해야 합니다. 서버에서 배포된 그룹 정책을 멤버에 구성된 범위 정책과 비교합니다. 구성원에 그룹 정책을 설치하려면 다음 조건이 충족되어야 합니다.

  • 그룹 정책에 지정된 모든 주소는 범위 정책에 지정된 주소 범위 내에 있어야 합니다.

  • 그룹 정책에 지정된 원본 포트, 대상 포트 및 프로토콜은 범위 정책에 구성된 것과 일치해야 합니다.

구성원에 설치된 그룹 정책을 동적 정책이라고 합니다.

범위 정책은 특정 from-zone 및 to-zone 컨텍스트에 대한 보안 정책의 정렬된 목록의 일부일 수 있습니다. Junos OS는 순서 있는 목록의 맨 위부터 들어오는 패킷에 대한 보안 정책 조회를 수행합니다.

순서가 지정된 보안 정책 목록 내에서 범위 정책의 위치에 따라 동적 정책 조회에 대한 몇 가지 가능성이 있습니다.

  • 범위 정책이 고려되기 전에 들어오는 패킷이 보안 정책과 일치하면 동적 정책 조회가 발생하지 않습니다.

  • 들어오는 정책이 범위 정책과 일치하는 경우 일치하는 동적 정책에 대한 검색 프로세스가 계속됩니다. 일치하는 동적 정책이 있는 경우 해당 정책 작업(허용)이 수행됩니다. 일치하는 동적 정책이 없는 경우 검색 프로세스는 범위 정책 아래의 정책을 계속 검색합니다.

    이 릴리스에서는 범위 정책에 대한 작업만 허용됩니다.tunnel 다른 작업은 지원되지 않습니다.

[] 계층에서 구성 문을 사용하여 그룹 구성원에 대한 범위 정책을 구성합니다.policiesedit security 허용 터널 규칙의 구성 문을 사용하여 그룹 VPN을 참조합니다. 이렇게 하면 그룹 멤버가 단일 SA를 공유할 수 있습니다.ipsec-group-vpn

그룹 VPNv1에 대한 Antireplay 이해하기

Antireplay는 패킷이 가로채서 공격자에 의해 재생되는 경우를 감지할 수 있는 IPsec 기능입니다. Antireplay는 그룹 VPN에 대해 기본적으로 활성화되지만 구성 문이 있는 no-anti-replay 그룹에 대해 비활성화할 수 있습니다.

안티리플레이가 사용 가능한 경우, 그룹 서버는 그룹 구성원 간의 시간을 동기화합니다. 각 IPsec 패킷에는 타임스탬프가 포함되어 있습니다. 그룹 멤버는 패킷의 타임스탬프가 구성된 값(기본값은 100초) 내에 있는지 확인합니다.anti-replay-time-window 타임스탬프가 값을 초과하면 패킷이 삭제됩니다.

예: 그룹 VPNv1 서버 및 구성원 구성

이 예는 보안 디바이스 그룹이 공유하는 SA를 지원하기 위해 IPsec 아키텍처를 확장하도록 그룹 VPNv1을 구성하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.

요구 사항

시작하기 전에:

개요

에서 그림 2그룹 VPN은 두 개의 멤버 디바이스(member1 및 member2)와 그룹 서버(서버 루프백 인터페이스의 IP 주소는 20.0.0.1)로 구성됩니다. 그룹 식별자는 1입니다.

그림 2: 서버 구성원 구성 예서버 구성원 구성 예

2단계 그룹 VPN SA는 1단계 SA에 의해 보호되어야 합니다. 따라서 그룹 VPN 구성에는 그룹 서버와 그룹 멤버 모두에 대한 IKE(Internet Key Exchange) 1단계 협상 구성이 포함되어야 합니다. 또한 그룹 서버와 그룹 멤버 모두에서 동일한 그룹 식별자를 구성해야 합니다.

그룹 정책은 그룹 서버에서 구성됩니다. 그룹에 대해 구성된 모든 그룹 정책이 그룹 구성원에게 다운로드됩니다. 그룹 구성원에 구성된 범위 정책은 구성원에 실제로 설치되는 그룹 정책을 결정합니다. 이 예에서는 모든 그룹 구성원에게 다운로드할 수 있도록 그룹 서버에 다음 그룹 정책이 구성됩니다.

  • p1—10.1.0.0/16에서 10.2.0.0./16까지 모든 트래픽을 허용합니다.

  • p2—10.2.0.0./16에서 10.1.0.0/16까지의 모든 트래픽을 허용합니다.

  • p3—10.1.1.1/32에서 멀티캐스트 트래픽 허용

member1 디바이스는 10.0.0.0/8 서브네트워크에서 들어오고 나가는 모든 유니캐스트 트래픽을 허용하는 범위 정책으로 구성됩니다. member1에는 멀티캐스트 트래픽을 허용하도록 구성된 범위 정책이 없습니다. 따라서 SA 정책 p3은 member1에 설치되지 않습니다.

member2 디바이스는 10.1.0.0/16에서 트러스트 영역의 언트러스트 영역으로 트래픽을 드롭하고 언트러스트 영역에서 트러스트 영역으로 10.1.0.0/16으로 트래픽을 드롭하는 범위 정책으로 구성됩니다. 따라서 SA 정책 p2는 member2에 설치되지 않습니다.

구성

그룹 서버 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

그룹 서버를 구성하려면 다음을 수행합니다.

  1. 디바이스에서 루프백 주소를 구성합니다.

  2. IKE(Internet Key Exchange) 1단계 SA를 구성합니다(이 구성은 그룹 멤버에 구성된 1단계 SA와 일치해야 함).

  3. IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.

  4. 2단계 SA 교환을 구성합니다.

  5. 그룹 식별자 및 IKE(Internet Key Exchange) 게이트웨이를 구성합니다.

  6. 서버 간 통신을 구성합니다.

  7. 그룹 구성원에게 다운로드할 그룹 정책을 구성합니다.

결과

구성 모드에서 show security group-vpn server 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

Member1 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

member1을 구성하려면 다음을 수행합니다.

  1. 1단계 SA를 구성합니다(이 구성은 그룹 서버에 구성된 1단계 SA와 일치해야 함).

  2. IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.

  3. member1에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.

    패킷 단편화 문제를 방지하기 위해 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. 구성 문을 사용하여 MTU 크기를 설정합니다.set interface mtu

  4. 주소록을 생성하고 영역을 연결합니다.

  5. 트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 언트러스트 영역으로 범위 정책을 구성합니다.

  6. 언트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 트러스트 영역으로 범위 정책을 구성합니다.

결과

구성 모드에서 show security group-vpn membershow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

Member2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

member2를 구성하려면:

  1. 1단계 SA를 구성합니다(이 구성은 그룹 서버에 구성된 1단계 SA와 일치해야 함).

  2. IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.

  3. member2에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.

    패킷 단편화 문제를 방지하기 위해 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. 구성 문을 사용하여 MTU 크기를 설정합니다.set interface mtu

  4. 주소록을 생성하여 트러스트 존에 첨부합니다.

  5. 다른 주소록을 생성하여 신뢰할 수 없는 영역에 첨부합니다.

  6. 트러스트 영역에서 10.1.0.0/16의 트래픽을 차단하는 언트러스트 영역으로 범위 정책을 구성합니다.

  7. 신뢰할 수 없는 영역에서 10.1.0.0/16에 대한 트래픽을 차단하는 신뢰할 수 있는 영역으로 범위 정책을 구성합니다.

결과

구성 모드에서 show security group-vpn membershow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오.

Member1에 대한 동적 정책 확인

목적

member1에 설치된 동적 정책을 봅니다.

작업

그룹 서버가 member1에 키를 다운로드한 후 운영 모드에서 명령을 입력합니다 .show security dynamic-policies

의미

member1에 멀티캐스트 트래픽을 허용하는 범위 정책이 구성되어 있지 않기 때문에 서버의 멀티캐스트 정책 p3이 member1에 설치되지 않습니다.

Member2에 대한 동적 정책 확인

목적

구성원 2에 설치된 동적 정책을 봅니다.

작업

그룹 서버가 member2에 키를 다운로드한 후 운영 모드에서 명령을 입력합니다 .show security dynamic-policies

의미

서버의 정책 p2(10.1.0.0/16에서 10.2.0.0/16까지의 트래픽)는 member2에 구성된 deny2 보안 정책과 일치하기 때문에 member2에 설치되지 않습니다.

예: 유니캐스트 키 재입력 메시지를 위한 그룹 VPNv1 서버-멤버 통신 구성

이 예는 서버가 그룹 멤버에게 유니캐스트 키 재입력 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.

요구 사항

시작하기 전에:

  • IKE(Internet Key Exchange) 1단계 협상을 위한 그룹 서버 및 구성원을 구성합니다.

  • 2단계 IPsec SA에 대한 그룹 서버 및 구성원을 구성합니다.

  • 그룹 서버에서 그룹을 구성합니다.g1

개요

이 예에서는 group 에 대해 다음과 같은 서버 멤버 통신 매개변수를 지정합니다.g1

  • 서버는 그룹 멤버에게 유니캐스트 키 재입력 메시지를 보냅니다.

  • 3DES-CBC는 서버와 멤버 간의 트래픽을 암호화하는 데 사용됩니다.

  • SHA1은 구성원 인증에 사용됩니다.

기본값은 서버 하트비트, KEK 수명 및 재전송에 사용됩니다.

구성

절차

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

서버 구성원 통신을 구성하려면 다음을 수행합니다.

  1. 통신 유형을 설정합니다.

  2. 암호화 알고리즘을 설정합니다.

  3. 구성원 인증을 설정합니다.

검증

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 .show security group-vpn server group g1 server-member-communication

예: 멀티캐스트 키 재입력 메시지를 위한 그룹 VPNv1 서버-멤버 통신 구성

이 예는 서버가 그룹 멤버에게 멀티캐스트 키 재입력 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.

요구 사항

시작하기 전에:

개요

이 예에서는 group 에 대해 다음과 같은 서버 구성원 통신을 지정합니다.g1

  • 서버는 멀티캐스트 주소 226.1.1.1 및 인터페이스 ge-0/0/1.0을 통해 그룹 멤버에게 멀티캐스트 키 재입력 메시지를 보냅니다.

  • 3DES-CBC는 서버와 멤버 간의 트래픽을 암호화하는 데 사용됩니다.

  • SHA1은 구성원 인증에 사용됩니다.

기본값은 서버 하트비트, KEK 수명 및 재전송에 사용됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

멀티캐스트 키 재입력 메시지에 대한 서버 구성원 통신 구성을 구성하려면:

  1. 통신 유형을 설정합니다.

  2. 멀티캐스트 그룹을 설정합니다.

  3. 나가는 멀티캐스트 메시지에 대한 인터페이스를 설정합니다.

  4. 암호화 알고리즘을 설정합니다.

  5. 구성원 인증을 설정합니다.

결과

구성 모드에서 show security group-vpn server group g1 server-member-communication 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

멀티캐스트 키 재입력 메시지에 대한 서버 멤버 통신 확인

목적

그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 멀티캐스트 키 재입력 메시지에 대한 서버 멤버 통신 매개 변수가 올바르게 구성되었는지 확인합니다.

작업

운영 모드에서 show security group-vpn server group g1 server-member-communication 명령을 입력합니다.

예: 서버 멤버 코로케이션으로 그룹 VPNv1 구성

이 예에서는 서버 및 멤버 기능이 동일한 물리적 디바이스에서 공존할 수 있도록 하는 코로케이션 모드에 맞게 디바이스를 구성하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.

요구 사항

시작하기 전에:

개요

코로케이션 모드가 구성되면 그룹 서버 및 그룹 멤버 기능이 동일한 디바이스에 공존할 수 있습니다. 코로케이션 모드에서는 패킷이 제대로 전달되도록 서버와 멤버의 IP 주소가 서로 달라야 합니다.

에서 그림 3그룹 VPN(그룹 식별자는 1)은 두 개의 멤버(member1 및 member2)와 그룹 서버(루프백 인터페이스의 IP 주소는 20.0.0.1)로 구성됩니다. member1은 그룹 서버와 동일한 디바이스에 공존합니다. 이 예에서는 member1이 MPLS 네트워크(ge-0/1/0)에 연결하는 데 사용하는 인터페이스에 IP 주소 10.1.0.1/32가 할당됩니다.

그림 3: 서버-구성원 공동 배치 예제서버-구성원 공동 배치 예제

이 항목의 구성 지침에서는 공동 배치 모드를 위해 그룹 server-member1 디바이스를 구성하는 방법을 설명합니다. member2를 구성하려면 예: 그룹 VPNv1 서버 및 구성원 구성.

패킷 단편화 문제를 방지하려면 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. 구성 문을 사용하여 MTU 크기를 설정합니다.set interface mtu

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

서버 구성원 코로케이션을 사용하여 그룹 VPN을 구성하려면 다음을 수행합니다.

  1. 디바이스에서 루프백 주소를 구성합니다.

  2. member1이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 구성합니다.

  3. 디바이스에서 그룹 VPN 코로케이션을 구성합니다.

  4. 서버에 대한 IKE(Internet Key Exchange) 1단계 SA를 구성합니다(이 구성은 그룹 멤버에 구성된 1단계 SA와 일치해야 함).

  5. IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.

  6. 서버에 대한 2단계 SA 교환을 구성합니다.

  7. 서버에서 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이, 안티리플레이 시간 및 서버 주소를 구성합니다.

  8. 서버 대 구성원 통신을 구성합니다.

  9. 그룹 구성원에게 다운로드할 그룹 정책을 구성합니다.

  10. 구성원1에 대해 1단계 SA를 구성합니다(이 구성은 그룹 서버에 대해 구성된 1단계 SA와 일치해야 함).

  11. 정책을 정의하고 member1에 대한 원격 게이트웨이를 설정합니다.

  12. member1에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.

  13. 주소록을 생성하여 영역에 연결합니다.

  14. 트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 언트러스트 영역으로 범위 정책을 구성합니다.

  15. 언트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 트러스트 영역으로 범위 정책을 구성합니다.

결과

구성 모드에서 및 명령을 입력하여 구성을 확인합니다.show security group-vpn show security policies 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

구성된 보안 정책 목록에서 범위 정책이 기본 정책 앞에 나열되어 있는지 확인합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

그룹 VPN 회원 등록 확인

목적

그룹 VPN 멤버가 올바르게 등록되었는지 확인합니다.

작업

운영 모드에서 show security group-vpn registered-members 명령을 입력합니다.

IKE에 대한 그룹 VPN 서버 보안 연결 확인

목적

IKE에 대한 그룹 VPN 서버의 SA를 확인합니다.

작업

운영 모드에서 show security group-vpn server ike security-associations 명령을 입력합니다.

IPsec에 대한 그룹 VPN 서버 보안 연결 확인

목적

IPsec에 대한 그룹 VPN 서버의 SA를 확인합니다.

작업

운영 모드에서 show security group-vpn server ipsec security-associations 명령을 입력합니다.

IKE에 대한 그룹 VPN 멤버 보안 연결 확인

목적

IKE에 대한 그룹 VPN 멤버의 SA를 확인합니다.

작업

운영 모드에서 show security group-vpn member ike security-associations 명령을 입력합니다.

IPsec에 대한 그룹 VPN 멤버 보안 연결 확인

목적

IPsec을 위한 그룹 VPN 멤버의 SA를 확인합니다.

작업

운영 모드에서 show security group-vpn member ipsec security-associations 명령을 입력합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
12.3X48-D30
Junos OS 릴리스 12.3X48-D30부터 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다.
12.3X48-D30
Junos OS 릴리스 12.3X48-D30부터 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 및 SRX650 디바이스의 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다.