Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

그룹 VPNv2 서버 클러스터

그룹 VPNv2 서버 클러스터는 GCKS(Group Controller/Key Server) 중복을 지원하기 때문에 전체 그룹 VPN 네트워크에 대한 단일 장애 지점(single point of failure)이 없습니다.

Understanding Group VPNv2 Server Clusters

GDOI(Group Domain of Interpretation) 프로토콜에서 그룹 컨트롤러/키 서버(GCKS)는 그룹 VPN 보안 연결(SAS)을 관리하고 암호화 키를 생성하고 그룹 구성원에 배포합니다. 그룹 멤버는 GCKS에서 제공하는 그룹 SAS와 키를 기반으로 트래픽을 암호화합니다. GCKS에 장애가 발생하면 그룹 멤버가 키를 등록하거나 획득할 수 없습니다. Group VPNv2 서버 클러스터는 GCKS 중복을 지원하기 때문에 전체 그룹 VPN 네트워크에 대한 단일 장애 지점(single point of failure)이 없습니다. 그룹 VPNv2 서버 클러스터는 로드 밸런싱, 확장 및 링크 리던던시를 제공할 수도 있습니다.

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. Group VPNv2 서버 클러스터의 모든 서버는 SRX 시리즈 디바이스 또는 네트워크 인스턴스에서 vSRX 수 있어야 합니다. 그룹 VPNv2 서버 클러스터는 주니퍼 네트웍스 전용 솔루션으로, 다른 벤더의 GCKS와의 상호 운영성이 없습니다.

루트 서버 및 하위 서버

그룹 VPNv2 서버 클러스터는 최대 4개의 서브 서버로 구성된 하나의 루트 서버로 구성됩니다. 클러스터의 모든 서버는 그룹 VPNv2 멤버로 배포되는 동일한 SA 및 암호화 키를 공유합니다. 클러스터의 서버는 에 표시된와 같이 여러 사이트에 위치할 수 그림 1 있습니다.

그림 1: 그룹 VPNv2 서버 클러스터그룹 VPNv2 서버 클러스터

클러스터의 서버 간 메시지는 SAS에 의해 암호화되고 IKE(Internet Key Exchange) 인증됩니다. 루트 서버는 암호화 키를 생성하여 하위 서버로 배포하는 업무를 담당합니다. 책임이 있기 때문에 루트 서버를 섀시 클러스터로 구성하는 것이 좋습니다. 서브 서버는 단일 장치로, 섀시 클러스터가 될 수 없습니다. 서브 서버 간의 직접 링크는 필요하지는 않습니다. 비록 서브 서버는 루트 서버에 연결할 수 있어야 합니다.

서브 서버가 루트 서버로 연결되지 않는 경우 그룹 구성원의 하위 서버에 대한 추가 연결이 허용되지 않습니다. 그리고 SAS는 삭제됩니다. 따라서 각 서브 서버를 루트 서버에 연결하는 데 다른 링크를 사용하는 것이 좋습니다.

그룹 VPNv2 서버 클러스터는 [ ] 계층 수준에서 명령문으로 server-clusteredit security group-vpn server group-name 구성됩니다. 클러스터의 각 서버에 대해 다음 값을 구성해야 합니다.

  • 서버 역할—또는 root-serversub-server 를 지정합니다. 해당 서버는 여러 Group VPNv2 서버 클러스터에 구성될 수 있지만 모든 클러스터에서 동일한 서버 역할을 하게 됩니다. 한 그룹의 루트 서버 역할과 다른 그룹의 하위 서버 역할로 서버를 구성할 수 없습니다.

    Group VPNv2 서버 클러스터에 대해 항상 하나의 루트 서버만 있어야 합니다.

  • IKE(Internet Key Exchange) 게이트웨이—[ ] 계층 IKE(Internet Key Exchange) 게이트웨이의 이름을 edit security group-vpn server ike 지정합니다. 루트 서버의 경우 IKE(Internet Key Exchange) 게이트웨이는 클러스터의 하위 서버가 되어야 합니다. 최대 4개의 서브 서버를 지정할 수 있습니다. 서브 서버의 경우 IKE(Internet Key Exchange) 게이트웨이는 루트 서버가 되어야 합니다.

    루트 서버와 하위 서버는 함께 구성되어야 합니다. 동적(미지정) IP 주소에 대해 구성할 dead-peer-detection always-send 수 없습니다. 그룹 멤버는 데드 피어 감지로 구성되지 않습니다.

Group VPNv2 구성은 해당 그룹의 각 하위 서버에서 동일해야 합니다.

Group VPNv2 서버 클러스터의 각 서브 서버는 구성원을 등록 및 삭제하기 위한 일반 GCKS로 작동됩니다. 회원 등록에 성공하면 등록 서버는 회원에게 업데이트를 전송할 책임이 있습니다. 특정 그룹의 경우 각 하위 서버에서 허용할 수 있는 그룹 VPNv2 멤버의 최대 개수를 구성할 수 있습니다. 이 수는 클러스터의 모든 하위 서버에서 동일해야 합니다. 서브 서버는 구성된 최대 그룹 VPNv2 멤버 수에 도달하면 새 멤버가 등록 요청에 응답하는 데 그치지 않습니다. 을 로드 밸런싱 참조합니다.

서버 클러스터에 그룹 멤버 등록

그룹 멤버는 해당 그룹에 대해 Group VPNv2 서버 클러스터의 모든 서버에 등록할 수 있습니다. 그러나 구성원은 루트 서버가 아닌 서브 서버에만 연결하는 것이 좋습니다. 각 그룹 구성원에 최대 4개의 서버 주소를 구성할 수 있습니다. 그룹 멤버에 구성된 서버 주소는 다를 수 있습니다. 아래 예제에서 그룹 멤버 A는 서브 서버 1~4에 대해 구성되는 반면, 하위 서버용인 B는 4와 3으로 구성됩니다.

그룹 멤버 A:

그룹 멤버 B:

서버 주소:

하위 서버 1

하위 서버 2

하위 서버 3

하위 서버 4

하위 서버 4

하위 서버 3

서버 주소가 멤버에서 구성되는 순서는 중요합니다. 그룹 멤버가 최초로 구성된 서버에 등록을 시도합니다. 구성된 서버에 대한 등록에 성공하지 못하면 그룹 멤버가 다음 구성된 서버에 등록합니다.

Group VPNv2 서버 클러스터의 각 서버는 구성원을 등록 및 삭제하기 위한 일반 GCKS로 작동됩니다. 등록 서버는 성공적으로 등록할 경우 거래소를 통해 회원에게 업데이트를 전송할 groupkey-push 책임이 있습니다. 특정 그룹의 경우 각 서버에서 허용할 수 있는 최대 그룹 구성원 수를 구성할 수 있습니다. 그러나 이 수는 해당 그룹에 대한 클러스터의 모든 서버에서 동일해야 합니다. 구성된 최대 그룹 구성원 수에 도달하면 서버가 새 구성원의 등록 요청에 응답하는 것이 중지됩니다. 추가 로드 밸런싱 정보는 를 참조하십시오.

데드 피어 감지

Group VPNv2 서버 클러스터의 피어 서버 가용성을 확인하려면 클러스터의 각 서버가 피어로 송신하는 IPsec 트래픽이 있는지 여부에 관계없이 DPD(Dead Peer Detection) 요청을 전송하도록 구성해야 합니다. 이는 [ ] 계층 수준에서의 dead-peer-detection always-sendedit security group-vpn server ike gateway gateway-name 명령문으로 구성됩니다.

Group VPNv2 서버 클러스터의 활성 서버는 서버 클러스터에 구성된 IKE(Internet Key Exchange) 게이트웨이로 DPD 프로브를 전송합니다. 여러 그룹이 동일한 피어 서버 및 게이트웨이 구성을 공유할 수 있기 때문에 DPD를 그룹에 IKE(Internet Key Exchange) 수 없습니다. DPD가 서버 다운을 감지하면 해당 서버가 IKE(Internet Key Exchange) SA가 삭제됩니다. 모든 그룹이 서버를 비활성으로 표시하고 서버에 대한 DPD는 중지됩니다.

DPD는 그룹 구성원의 IKE(Internet Key Exchange) 게이트웨이에 구성할 수 없습니다.

DPD가 루트 서버를 비활성으로 마킹하면 하위 서버는 새로운 그룹 멤버 요청에 대한 응답을 중지 하지만 현재 그룹 구성원에 대한 기존 SAS는 활성 상태로 유지됩니다. 비활성 하위 서버는 SAS가 여전히 유효하고 그룹 멤버가 기존 SAS를 계속 사용할 수 있기 때문에 그룹 구성원에게 삭제를 전송하지 않습니다.

피어 IKE(Internet Key Exchange) 동안 SA가 만료되면 DPD는 SA IKE(Internet Key Exchange) 트리거합니다. 루트 서버와 서브 서버 모두 DPD를 통해 IKE(Internet Key Exchange) SAS를 트리거할 수 있기 때문에 동시 협상은 여러 SAS의 IKE(Internet Key Exchange) 수 있습니다. 이 경우 서버 클러스터 기능에 영향을 미칠 것으로 예상되지 않습니다.

로드 밸런싱

Group VPNv2 서버 클러스터의 로드 밸런싱은 그룹에 대한 올바른 값을 구성하여 member-threshold 달성할 수 있습니다. 서버에 등록된 멤버 수가 가치를 초과하면 해당 서버에 대한 후속 회원 등록이 member-threshold 거부됩니다. 멤버 등록은 아직 도달하지 않은 서버에 도달할 때까지 그룹 멤버에서 구성된 다음 서버로 member-threshold 장애가 발생합니다.

다음 구성에는 두 가지 제한이 member-threshold 있습니다.

  • 해당 그룹의 경우, 루트 서버와 그룹 서버 클러스터의 모든 하위 서버상에서 동일한 값을 member-threshold 구성해야 합니다. 그룹 내 총 구성원 수가 구성된 값을 초과하면 새 구성원에 의해 시작된 등록이 member-thresholdgroupkey-pull 거부됩니다(서버는 응답을 전송하지 않습니다).

  • 서버는 여러 그룹의 구성원을 지원할 수 있습니다. 각 서버에는 지원할 수 있는 최대 그룹 구성원 수가 있습니다. 서버가 지원할 수 있는 최대 멤버 수에 도달하면 새 구성원이 시작한 등록은 특정 그룹의 값에 도달하지 않은 경우에도 groupkey-pullmember-threshold 거부됩니다.

클러스터에 있는 서버 간 구성원 동기화가 없습니다. 루트 서버는 서브 서버의 등록된 멤버 수에 대한 정보가 없습니다. 각 서브 서버는 자체 등록된 멤버만 표시될 수 있습니다.

참조

이해 그룹 VPNv2 서버 클러스터 제한

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. Group VPNv2 서버 클러스터를 구성할 때 다음 경고를 참고하십시오.

  • 인증서 인증은 서버 인증을 지원하지 않습니다. 사전 공유 키만 구성할 수 있습니다.

  • Group VPNv2 서버 클러스터에는 서버 간에 구성 동기화가 없습니다.

  • Group VPNv2 서버 클러스터를 활성화할 때 먼저 루트 서버와 하위 서버에서 구성을 수행해야 합니다. 구성이 서버 간 수동으로 동기화될 때까지 구성 변경 시 트래픽 손실이 예상될 수 있습니다.

  • 특정 코너의 경우, Group VPNv2 멤버의 SAS는 동기화되지 않습니다. 그룹 VPN 멤버는 거래소를 통해 새로운 키를 사용 하여 SAS를 동기화할 수 groupkey-pull 있습니다. 속도 복구를 지원하기 위해 그룹 VPNv2 구성원의 SAS 또는 명령어를 수동으로 clear security group-vpn member ipsec security-associationsclear security group-vpn member group 지우는 것이 가능합니다.

  • Group VPNv2 서버 클러스터는 ISSU를 지원하지 않습니다.

  • Group VPNv2 구성원의 등록 동안 마지막 메시지가 손실되는 경우, 서버는 멤버가 서버 클러스터의 다음 서버에 장애가 발생 경우에도 해당 멤버를 등록 멤버로 고려할 groupkey-pull 수 있습니다. 이 경우 동일한 구성원이 여러 서버에 등록된 것으로 나타날 수 있습니다. 모든 서버의 총 구성원 임계치가 구축된 멤버 수와 같을 경우 후속 그룹 멤버가 등록에 실패할 수 있습니다.

루트 서버의 섀시 클러스터 작업을 위한 다음 경고를 참고하십시오.

  • 통계는 보존하지 않습니다.

  • 협상 데이터나 상태가 저장되지 않습니다. 루트 서버 섀시 클러스터 장애 조치가 협상 중에 발생하면, 장애 조치 이후 협상이 groupkey-pullgroupkey-push 재시작되지 않습니다.

  • 암호화 키 재키가 실행되는 동안 루트 서버의 섀시 클러스터 노드가 모두 다운되는 경우 일부 그룹 VPNv2 멤버는 새 키를 수신할 수 있는 반면 다른 구성원은 그렇지 않습니다. 트래픽이 영향을 미칠 수 있습니다. 또는 명령어가 있는 Group VPNv2 구성원에서 SAS를 수동으로 지우면 루트 서버에 도달하면 복구 속도를 향상할 clear security group-vpn member ipsec security-associationsclear security group-vpn member group 수 있습니다.

  • 대규모 환경에서는 루트 서버의 RG0 장애 조치에 시간이 걸릴 수 있습니다. 서브 서버의 DPD 간격 및 임계값이 작은 값으로 구성되면 RG0 장애가 발생하면 하위 서버가 RG0 장애가 발생하면 루트 서버가 비활성으로 마킹될 수 있습니다. 트래픽이 영향을 미칠 수 있습니다. DPD IKE(Internet Key Exchange) 150초 이상의 서브 서버용 IKE(Internet Key Exchange) 게이트웨이를 interval * threshold 구성하는 것이 좋습니다.

Understanding Group VPNv2 Server Cluster Messages

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 그룹 VPNv2 서버 클러스터의 서버 간 모든 메시지는 SA(IKE(Internet Key Exchange) 보안 연결)를 통해 암호화 및 인증됩니다. 각 서브 서버는 루트 IKE(Internet Key Exchange) SA를 실행합니다. 이러한 IKE(Internet Key Exchange) 서버 간에 메시지를 교환하기 전에 SA를 설정해야 합니다.

이 섹션에서는 루트 서버와 하위 서버 간에 교환된 메시지에 대해 설명합니다.

클러스터 교환

그림 2 그룹 VPNv2 서버 클러스터와 Group VPNv2 멤버 간에 교환된 기본 메시지를 보여줍니다.

그림 2: 그룹 VPNv2 서버 클러스터 메시지그룹 VPNv2 서버 클러스터 메시지

클러스터-Init 교환

서브 서버는 SA 및 암호화 키 정보를 얻기 위해 클러스터 초기화() 루트 서버와 cluster-init 교환을 실행합니다. 루트 서버는 거래소를 통해 하위 서버로 현재 SA 정보를 전송하여 cluster-init 대응합니다.

그런 다음, 하위 서버는 거래소를 통해 Group VPNv2 멤버의 등록 요청에 응답할 groupkey-pull 수 있습니다. 교환을 통해 그룹 VPNv2 구성원이 하위 서버에서 그룹이 공유하는 SAS와 키를 요청할 groupkey-pull 수 있습니다.

하위 서버는 다음 시 루트 서버와의 cluster-init 교환을 시작합니다.

  • 루트 서버는 비활성으로 간주됩니다. 이는 루트 서버의 최초 가정 상태입니다. 루트 서버와 IKE(Internet Key Exchange) SA가 없는 경우, 서브 서버는 루트 서버를 통해 IKE(Internet Key Exchange) SA를 시작됩니다. 교환에 성공하면 서브 서버는 SAS에 대한 정보를 획득하고 cluster-init 루트 서버를 활성으로 마킹합니다.

  • SA의 소프트 수명이 만료되었습니다.

  • 모든 cluster-update SAS를 삭제하기 위해 메시지가 수신됩니다.

  • 그룹 구성이 변경됩니다.

거래소에 장애가 발생하면 서브 서버가 5초마다 루트 서버와의 cluster-init 교환을 재시작합니다.

클러스터 업데이트 메시지

교환은 그룹 컨트롤러/키 서버(GCKS)가 기존 그룹 SAS가 만료되기 전에 그룹 SAS와 키를 회원에게 전송하고 그룹 멤버십을 업데이트할 수 있는 단일 키 groupkey-push 메시지입니다. Rekey 메시지는 GCKS에서 회원에게 전송하는 원치 않는 메시지입니다.

SA에 대한 새로운 암호화 키를 생성하면 루트 서버는 메시지를 통해 모든 활성 서브 서버로 SA 업데이트를 cluster-update 전송합니다. 루트 서버에서 수신된 서브 서버는 새 SA를 설치하고 등록된 그룹 구성원을 통해 새로운 SA 정보를 cluster-updategroupkey-push 전송합니다.

루트 서버에서 보낸 메시지는 하위 서버에서 확인을 cluster-update 요구합니다. 하위 서버에서 수신된 Acknowledgement가 없는 경우, 루트 서버가 구성된 재전신 cluster-update 기간(기본값은 10초)에서 재전신합니다. DPD(Dead Peer Detection)가 하위 서버를 사용할 수 없음을 표시하는 경우 루트 서버는 재전신하지 않습니다. 서브 서버가 A를 받은 후 SA 정보 업데이트에 실패하면 cluster-update ACK(Acknowledgement)를 전송하지 못하고 루트 서버가 메시지를 다시 cluster-update 전송합니다.

새로운 SA가 루트 서버에서 수신되기 전에 SA의 소프트 수명이 만료되는 경우, 서브 서버는 루트 서버로 메시지를 보내 모든 SA를 얻게 하며 새 업데이트가 나설 때까지 멤버에게 메시지를 cluster-initgroupkey-push 전송하지 않습니다. SA의 하드 수명이 새 SA를 받기 전에 서브 서버에서 만료되면 서브 서버는 루트 서버를 비활성으로 표시하고 등록된 모든 그룹 구성원을 삭제하며 계속해서 루트 서버로 메시지를 cluster-init 전송합니다.

SA 또는 그룹 구성원을 삭제하기 위해 메시지가 전송될 수 있습니다. 이는 명령 또는 구성 변경의 결과일 cluster-updateclear 수 있습니다. 서브 서버가 SA 삭제에 대한 메시지를 수신하면 그룹 구성원에게 삭제 메시지를 보내고 해당 cluster-updategroupkey-push SA를 삭제합니다. 그룹의 모든 SAS가 삭제되면 서브 서버는 루트 서버와의 cluster-init 교환을 개시합니다. 등록된 구성원이 모두 삭제되면 하위 서버는 로컬에 등록된 모든 멤버를 삭제합니다.

그룹 VPNv2 서버 클러스터를 통해 구성 변경 이해

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 새로운 암호화 키와 보안 연결(SAS)을 변경하는 구성 변경이 있을 경우 그룹 VPNv2 서버 클러스터는 독립형 Group VPNv2 서버와는 다릅니다. 루트 서버는 메시지를 통해 SA 업데이트 또는 deleles를 서브 서버로 cluster-update 전송합니다. 그런 다음 서브 서버는 groupkey-push 회원에게 메시지를 전송합니다. 하위 서버는 루트 서버에서 삭제 메시지를 먼저 수신하지 않고는 그룹 구성원에게 삭제 메시지를 보낼 수 없습니다.

모든 구성 변경은 루트 서버상에서 먼저, 하위 서버상에서 이루어질 수 있어야 그룹 구성원이 예상대로 업데이트 또는 deleles를 수신할 수 있도록 보장해야 합니다. Group VPNv2 서버 클러스터의 서버 간에 구성이 동기화될 때까지 트래픽 손실이 예상될 수 있습니다.

표 1 그룹 VPNv2 서버에 대한 다양한 구성 변경의 영향을 설명하고 있습니다.

표 1: 그룹 VPNv2 서버에 대한 구성 변경의 영향

구성 변경

독립 실행 그룹 VPNv2 서버 작업

그룹 VPNv2 서버 클러스터 작업

루트 서버

하위 서버

변경 IKE(Internet Key Exchange) 제안, 정책 또는 게이트웨이

영향을 받는 IKE(Internet Key Exchange) SA를 삭제합니다. 제안IKE(Internet Key Exchange) 정책 또는 게이트웨이 삭제의 경우 영향을 받는 게이트웨이에 등록된 멤버를 삭제합니다.

IPsec 제안 변경

트래픽 암호화 키(TEK) 리키 후에 변경이 적용됩니다.

그룹 변경:

그룹 이름 삭제

그룹 구성원에게 "모든 삭제"를 전송합니다. 그룹 내 IKE(Internet Key Exchange) 모든 SAS를 삭제합니다. 그룹 내 모든 키를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다.

하위 서버에 "모든 삭제"를 전송합니다. 그룹 내 모든 키를 즉시 삭제합니다. 비활성으로 모든 동료를 마킹합니다. SAS에 대한 서브 서버 IKE(Internet Key Exchange) 삭제합니다. SAS의 모든 회원 IKE(Internet Key Exchange) 삭제합니다.

SAS의 모든 회원 IKE(Internet Key Exchange) 삭제합니다. 그룹 내 모든 키를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다. 비활성 마크 피어(Mark Peer) SAS에 대한 IKE(Internet Key Exchange) 삭제합니다.

변경 ID

모든 구성원에게 "모든 삭제"를 전송합니다. 그룹 내 IKE(Internet Key Exchange) 모든 SAS를 삭제합니다. 그룹 내 모든 키를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다. 구성에 따라 새 키를 생성합니다.

하위 서버에 "모든 삭제"를 전송합니다. 그룹의 모든 IKE(Internet Key Exchange) SAS를 삭제합니다. 그룹 내 모든 키를 즉시 삭제합니다. 비활성으로 모든 동료를 마킹합니다. SAS와 함께 모든 IKE(Internet Key Exchange) 삭제합니다. 구성에 따라 새 키를 생성합니다.

그룹의 모든 IKE(Internet Key Exchange) SAS를 삭제합니다. 그룹 내 모든 키를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다. 비활성 마크 피어(Mark Peer) SAS에 대한 IKE(Internet Key Exchange) 삭제합니다. 새로운 cluster-init 거래소 시작.

게이트웨이 IKE(Internet Key Exchange) 추가 또는 삭제

추가 내용은 변경하지 않습니다. 삭제하려면 영향을 받는 IKE(Internet Key Exchange) SA 및 등록 멤버를 삭제합니다.

리플레이 방지 시간 창 추가 또는 변경

TEK 리키(rekey) 후에 새로운 가치가 적용됩니다.

다시 보기 방지를 추가하거나 변경하지 않습니다.

TEK 리키(rekey) 후에 새로운 가치가 적용됩니다.

서버 멤버 통신 변경:

추가

등록된 모든 회원을 삭제합니다. 키 암호화 키(KEK) SA를 생성합니다.

KEK SA를 생성합니다. 서브 서버로 새로운 KEK SA를 전송합니다. SAS의 모든 회원 IKE(Internet Key Exchange) 삭제합니다.

등록된 모든 회원을 삭제합니다.

변화

KEK Rekey 이후 새로운 가치는 영향을 미치게 됩니다.

삭제

삭제를 보내 모든 KEK SAS를 삭제합니다. KEK SA 삭제.

서브 서버로 삭제를 전송합니다. KEK SA 삭제. SAS의 모든 회원 IKE(Internet Key Exchange) 삭제합니다.

KEK SA 삭제.

IPsec SA:

추가

새로운 TEK SA를 생성합니다. 구성원에 대한 새로운 TEK SA를 업데이트합니다.

새로운 TEK SA를 생성합니다. 서브 서버로 새로운 TEK SA를 전송합니다.

아무 조치도 취하지 않습니다.

변화

TEK 리키(TEK Rekey) 이후에 새로운 가치가 적용됩니다.

만약 일치 정책이 변경되면, 멤버가 이 구성이 제거되었다는 것을 명시적으로 통보해야 하기 때문에 현재 TEK가 즉시 제거되고 Groupkey-push를 삭제합니다.

일치되는 정책이 변경되는 경우 서브 서버로 삭제를 전송합니다. TEK를 즉시 삭제하십시오.

일치 정책이 변경되는 경우 TEK를 즉시 삭제합니다.

삭제

TEK를 즉시 삭제하십시오. 삭제를 보내서 이 TEK SA를 삭제합니다.

서브 서버로 삭제를 전송합니다. TEK를 즉시 삭제하십시오.

TEK를 즉시 삭제하십시오.

표 2 그룹 VPNv2 서버 클러스터 구성 변경의 영향을 설명하고 있습니다.

서버 클러스터에는 항상 하나의 루트 서버만 있어야 합니다.

표 2: 그룹 VPNv2 서버 클러스터 구성 변경의 영향

서버 클러스터 구성 변경

그룹 VPNv2 서버 클러스터

루트 서버

하위 서버

IKE(Internet Key Exchange), 정책 또는 게이트웨이(클러스터 피어)

추가적으로 변경된 것은 없습니다. 변경 또는 삭제의 경우 영향을 받는 피어에 IKE(Internet Key Exchange) SA를 삭제합니다.

서버 클러스터:

추가

없음

그룹 구성원에게 "모든 삭제"를 전송합니다. 그룹의 모든 IKE(Internet Key Exchange) SAS를 삭제합니다. 그룹에서 모든 TEK 및 KEK를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다. 루트 cluster-init 서버로 전송합니다.

역할 변경

서버 클러스터에는 항상 하나의 루트 서버만 있어야 합니다.

하위 서버에 "모든 삭제"를 전송합니다. 그룹의 모든 IKE(Internet Key Exchange) SAS를 삭제합니다. 그룹에서 모든 TEK 및 KEK를 즉시 삭제합니다. 비활성으로 모든 동료를 마킹합니다. SAS와 함께 모든 IKE(Internet Key Exchange) 삭제합니다. 루트 cluster-init 서버로 전송합니다.

Rekey TEK. Rekey KEK. 서브 서버로 새 키를 전송합니다. 회원에게 새 키를 전송합니다.

피어 추가

없음

피어 삭제

비활성 마크 피어(Mark Peer) SA를 위한 IKE(Internet Key Exchange) 피어링.

비활성 마크 피어(Mark Peer) Clear KEK. Clear TEK. SA를 위한 IKE(Internet Key Exchange) 피어링.

변경 재전기 기간

없음

서버 클러스터 삭제

하위 서버에 "모든 삭제"를 전송합니다. 그룹에서 모든 TEK 및 KEK를 즉시 삭제합니다. 비활성으로 모든 동료를 마킹합니다. SAS와 함께 모든 IKE(Internet Key Exchange) 삭제합니다. 구성에 따라 새로운 TEK 및 KEK를 생성합니다.

그룹의 모든 IKE(Internet Key Exchange) SAS를 삭제합니다. 그룹에서 모든 TEK 및 KEK를 즉시 삭제합니다. 그룹에 등록된 모든 구성원을 삭제합니다. 비활성 마크 피어(Mark Peer) SAS에 대한 IKE(Internet Key Exchange) 삭제합니다. 구성에 따라 새로운 TEK 및 KEK를 생성합니다.

독립형 그룹 VPNv2 서버로 그룹 VPNv2 서버 클러스터 마이그레이션

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 이 섹션에서는 독립형 Group VPNv2 서버를 그룹 VPNv2 서버 클러스터로 마이그레이션하는 방법을 설명합니다.

독립형 Group VPNv2 서버를 루트 서버로 마이그레이션하려면:

루트 서버는 섀시 클러스터로 구성하는 것이 좋습니다.

  1. 독립형 Group VPNv2 서버를 섀시 클러스터로 업그레이드하십시오. 자세한 내용은 SRX 시리즈 디바이스용 섀시 클러스터 사용자 가이드 를 참조하십시오.

    독립형 SRX 시리즈 디바이스를 섀시 클러스터 노드로 업그레이드하는 동안 재부팅이 필요합니다. 트래픽 손실이 예상됩니다.

  2. 섀시 클러스터에서 Group VPNv2 서버 클러스터 루트 서버 구성을 추가합니다. 클러스터를 위해 구성된 서버 역할은 되어야 root-server 합니다.

    구성 변경 시 기존 그룹 구성원 간 트래픽 손실이 없습니다.

Group VPNv2 서버 클러스터에 서브 서버를 추가하기 위해 다음을 제공합니다.

  1. 루트 서버에서는 그룹 VPNv2 서버 IKE(Internet Key Exchange) 서버 클러스터 및 IKE(Internet Key Exchange) 게이트웨이를 모두 구성합니다. SAS와 기존 멤버 트래픽은 영향을 미치지 않습니다.

  2. 하위 서버에서 서버 클러스터를 구성합니다. Group VPNv2 구성은 클러스터의 각 서버에서 동일해야 합니다. 이 경우 Group VPNv2 서버 IKE(Internet Key Exchange) 게이트웨이, 클러스터의 서버 역할 및 서버 클러스터는 게이트웨이 IKE(Internet Key Exchange) 있습니다. 하위 서버에서 클러스터에 구성된 서버 역할은 에 있어야 sub-server 합니다. 그룹 VPNv2 서버 IKE(Internet Key Exchange) 루트 서버를 위한 IKE(Internet Key Exchange) 클러스터 게이트웨이를 구성합니다.

Group VPNv2 서버 클러스터에서 서브 서버를 삭제하려면 다음을 제공합니다.

  1. 루트 서버에서 Group VPNv2 서버 IKE(Internet Key Exchange) 서브 서버의 게이트웨이 구성을 IKE(Internet Key Exchange) 서버 클러스터를 모두 삭제합니다. SAS와 기존 멤버 트래픽은 영향을 미치지 않습니다.

  2. 서브 서버 전원을 끄다.

참조

예를 들면 다음과 같습니다. 그룹 VPNv2 서버 클러스터 및 멤버 구성

이 예에서는 그룹 VPNv2 서버 클러스터를 구성하여 그룹 VPNv2 그룹 멤버로 확장하고 그룹 컨트롤러/키 서버(GCKS) 중복을 제공하는 방법을 보여줍니다. 그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용하며,

  • 8개의 지원 SRX 시리즈 디바이스 또는 vSRX Group VPNv2를 지원하는 Junos OS Release 15.1X49-D30 실행되는 인스턴스 수:

    • 2개의 디바이스 또는 인스턴스가 섀시 클러스터로 작동하도록 구성됩니다. 섀시 클러스터는 Group VPNv2 서버 클러스터의 루트 서버로 운영됩니다. 디바이스 또는 인스턴스는 동일한 소프트웨어 버전과 라이선스를 있어야 합니다.

      루트 서버는 그룹 VPN 서버 클러스터의 하위 서버에 암호화 키를 생성하고 배포하는 업무를 담당합니다. 책임이 있기 때문에 루트 서버가 섀시 클러스터가 되는 것이 좋습니다.

    • 4개의 다른 장치 또는 인스턴스는 Group VPNv2 서버 클러스터에서 서브 서버로 작동합니다.

    • 2개의 다른 장치 또는 인스턴스는 그룹 VPNv2 그룹 멤버로 작동합니다.

  • 2개의 지원 MX 시리즈 디바이스가 Junos OS 릴리즈 15.1R2 그룹 VPNv2를 지원하는 이상에서 실행됩니다. 이들 디바이스는 그룹 VPNv2 그룹 멤버로 작동합니다.

호스트 이름, 루트 관리자 암호 및 관리 액세스는 각 SRX 시리즈 디바이스 또는 인스턴스에 vSRX 구성해야 합니다. 각 디바이스에서 NTP를 구성하는 것이 좋습니다.

이 예제의 구성은 에 표시된 토폴로지에 기반하여 Group VPNv2 작동에 필요한 작업에 초점을 맞추고 그림 3 있습니다. 인터페이스, 라우팅 또는 섀시 클러스터 설정과 같은 일부 구성은 여기에 포함되지 않습니다. 예를 들어, Group VPNv2 작동에는 클라이언트 디바이스가 네트워크 전반에서 계획한 사이트에 도달할 수 있는 작업 라우팅 토폴로지가 필요합니다. 이 예에서는 정적 또는 동적 라우팅의 구성을 지원하지 않습니다.

개요

이 예에서 Group VPNv2 네트워크는 서버 클러스터와 4개의 구성원으로 구성됩니다. 서버 클러스터는 루트 서버와 4개의 서브 서버로 구성됩니다. 멤버 중 2개는 SRX 시리즈 디바이스 또는 vSRX 인스턴스입니다. 다른 두 멤버는 MX 시리즈 디바이스입니다.

그룹 VPN SA는 1단계 SA에 의해 보호되어야 합니다. 따라서 그룹 VPN 구성에는 루트 서버IKE(Internet Key Exchange) 하위 서버 및 그룹 구성원에 대한 1단계 협상을 구성하는 것이 포함되어야 합니다. IKE(Internet Key Exchange) 구성은 다음과 같이 설명됩니다.

루트 서버에서:

  • IKE(Internet Key Exchange) 정책은 각 하위 서버와 SubSrv 함께 1단계 SAS를 설정하는 데 사용됩니다.

  • IKE(Internet Key Exchange) 서브 서버별로 DPD(Dead Peer Detection)로 구성됩니다.

  • 서버 클러스터 역할은 각 서브 서버가 서버 클러스터를 위한 IKE(Internet Key Exchange) root-server 게이트웨이로 구성됩니다.

루트 서버는 섀시 클러스터 운영을 지원하도록 구성해야 합니다. 예를 들어, 루트 서버의 중복 Ethernet 인터페이스가 서버 클러스터의 각 하위 서버에 연결됩니다. 전체 섀시 클러스터 구성은 표시되지 않습니다.

각 서브서버에서:

  • 두 IKE(Internet Key Exchange) 정책이 구성됩니다. RootSrv 은 루트 서버와 1단계 SA를 설정하는 데 사용하며 각 그룹 구성원과 GMs 함께 1단계 SA를 설정하는 데 사용됩니다.

    사전 공유 키는 루트 서버와 하위 서버 간에, 그리고 하위 서버와 그룹 멤버 간에 1단계 SAS를 보호하는 데 사용됩니다. 사전 공유된 키가 강력한 키가 되도록 보장합니다. 서브 서버에서는 IKE(Internet Key Exchange) 정책에 구성된 사전 공유 키가 루트 서버에서 구성된 사전 공유 키와 일치해야 합니다. IKE(Internet Key Exchange) 정책에 구성된 사전 공유 키는 그룹 구성원에서 구성된 사전 공유 키와 RootSrvGMs 일치해야 합니다.

  • IKE(Internet Key Exchange) 게이트웨이는 루트 서버에 대해 DPD로 구성됩니다. 또한 각 IKE(Internet Key Exchange) 게이트웨이가 구성됩니다.

  • 서버 클러스터 역할은 루트 서버가 서버 클러스터를 위한 IKE(Internet Key Exchange) sub-server 게이트웨이로 구성됩니다.

각 그룹 멤버에서:

  • IKE(Internet Key Exchange) 정책은 하위 서버와 SubSrv 함께 1단계 SAS를 설정하는 데 사용됩니다.

  • IKE(Internet Key Exchange) 게이트웨이 구성에는 서브 서버의 주소가 포함되어 있습니다.

SRX 시리즈 디바이스 또는 vSRX 그룹 구성원에서 IPsec 정책은 LAN 존을 from-zone(수신 트래픽)으로, WAN 존을 to-zone(아웃고드 트래픽)으로 LAN 존으로 구성합니다. LAN 및 WAN 존 간의 트래픽을 허용하려면 보안 정책도 필요합니다.

그룹 서버와 그룹 구성원 모두에서 동일한 그룹 식별자를 구성해야 합니다. 이 예에서 그룹 이름은 GROUP_ID-0001이고 그룹 식별자는 1입니다. 서버에 구성된 그룹 정책은 172.16.0.0/12 범위의 서브네트워크 간의 트래픽에 SA 및 키가 적용된다고 지정합니다.

토폴로지

그림 3 이 주니퍼 네트웍스 구성할 디바이스를 보여줍니다.

그림 3: SRX 시리즈 또는 vSRX 및 MX 시리즈 구성원이 있는 그룹 VPNv2 서버 클러스터SRX 시리즈 또는 vSRX 및 MX 시리즈 구성원이 있는 그룹 VPNv2 서버 클러스터

구성

루트 서버 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

루트 서버를 구성하는 경우:

  1. 보안 존 및 보안 정책을 구성합니다.

  2. 섀시 클러스터를 구성합니다.

  3. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  4. IPsec SA를 구성합니다.

  5. VPN 그룹을 구성합니다.

  6. 그룹 정책을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow chassis clustershow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

하위 서버 구성 1

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 서버 클러스터의 서브 서버를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. VPN 그룹을 구성합니다.

  5. 그룹 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

하위 서버 구성 2

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 서버 클러스터의 서브 서버를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. VPN 그룹을 구성합니다.

  5. 그룹 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

하위 서버 구성 3

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 서버 클러스터의 서브 서버를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. VPN 그룹을 구성합니다.

  5. 그룹 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

하위 서버 구성 4

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 서버 클러스터의 서브 서버를 구성하기 위해 다음을 제공합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. VPN 그룹을 구성합니다.

  5. 그룹 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

GM-0001 구성(SRX 시리즈 디바이스 또는 vSRX 인스턴스)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. IPsec 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring GM-0002 (SRX Series Device 또는 vSRX 인스턴스)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. IPsec 정책을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show interfacesshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring GM-0003 (MX Series Device)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스를 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. 서비스 필터를 구성합니다.

  5. 서비스 세트를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow securityshow servicesshow firewall 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring GM-0004 (MX Series Device)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스를 구성합니다.

  2. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  3. IPsec SA를 구성합니다.

  4. 서비스 필터를 구성합니다.

  5. 서비스 세트를 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow securityshow servicesshow firewall 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

서버 클러스터 작동 검증

목적

서버 클러스터의 디바이스가 그룹의 피어 서버를 인식하는지 검증합니다. 서버가 활성 상태인지, 클러스터 내 역할이 적절하게 할당되었는지 확인합니다.

실행

운영 모드에서 루트 서버의 show security group-vpn server server-clustershow security group-vpn server server-cluster detail , 및 show security group-vpn server statistics 명령어를 입력합니다.

운영 모드에서 각 서브 서버의 show security group-vpn server server-clustershow security group-vpn server server-cluster detail , 및 show security group-vpn server statistics 명령어를 입력합니다.

SAS가 회원들에게 분산되어 있는지 검증

목적

하위 서버가 그룹 구성원과 그룹 구성원에게 배포할 때 SAS를 받았는지 확인하고 그룹 구성원이 SAS를 수신한지 확인

실행

운영 모드에서 루트 서버에서 명령어를 show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail 입력합니다.

운영 모드에서 각 서브 서버의 show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail 명령어를 입력합니다.

운영 모드에서 각 그룹 구성원에 show security group-vpn member kek security-associations 대한 show security group-vpn member kek security-associations detail 명령어를 입력합니다.

SRX 또는 vSRX 그룹 멤버의 경우:

MX 그룹 멤버의 경우:

서버에서 IKE(Internet Key Exchange) SAS 검증

목적

서버 IKE(Internet Key Exchange) SAS(Security Associations)를 표시합니다.

실행

운영 모드에서 루트 서버에서 명령어를 show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail 입력합니다.

운영 모드에서 각 서브 서버의 show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail 명령어를 입력합니다.

서버 및 그룹 멤버에서 IPsec SAS 검증

목적

서버 및 그룹 구성원에 IPsec 보안 연결(SAS)을 표시합니다.

실행

운영 모드에서 루트 서버에서 명령어를 show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail 입력합니다.

운영 모드에서 각 서브 서버의 show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail 명령어를 입력합니다.

운영 모드에서 각 그룹 show security group-vpn member ipsec security-associations 구성원에 대한 show security group-vpn member ipsec security-associations detail 명령어를 입력합니다.

SRX 또는 vSRX 그룹 멤버의 경우:

MX 그룹 멤버의 경우:

그룹 구성원에 대한 IPsec 정책 검증

목적

SRX 또는 그룹 구성원에 IPsec vSRX 표시합니다.

MX 시리즈 그룹 멤버는 이 명령어를 사용할 수 없습니다.

실행

운영 모드에서 SRX 또는 그룹 구성원에 대한 명령을 vSRX show security group-vpn member policy 입력합니다.

참조

관련 항목