Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

그룹 VPNv2

Group VPNv2는 점대점(point-to-point) 터널과 그와 관련된 오버레이 라우팅을 제거하기 위해 신뢰할 수 있는 그룹의 개념을 소개합니다. 모든 그룹 구성원은 그룹 SA라고도 하는 공통의 SA(Security Association)를 공유합니다.

그룹 VPNv2 개요

IPsec SA(Security Association)는 인증 및 암호화 알고리즘, 키 교환 메커니즘 및 보안 통신에 사용할 규칙을 정의하는 VPN(Virtual Private Network) 참가자 간의 일방향 계약입니다. 많은 VPN이 구현된 경우, SA는 두 보안 장치 간의 점대점(point-to-point) 터널입니다(참조). 그림 1

그림 1: Point-to-Point SAsPoint-to-Point SAs

그룹 VPNv2는 IPsec 아키텍처를 확장하여 보안 디바이스 그룹이 공유하는 SAS를 그림 2 지원합니다(참조). Group VPNv2를 사용할 경우 애니 투 애니 연결 헤더에서 원래 소스 및 대상 IP 주소를 보존하면 네트워크가 달성됩니다. 그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다.

그림 2: 공유 SAS공유 SAS

그룹 VPNv2는 SRX 시리즈 디바이스에 대한 이전 버전의 Junos OS 그룹 VPN 기능의 향상된 버전입니다. RFC Juniper VPNv2는 RFC 6407, GDOI(Group Domain of Interpretation)를지원하며, RFC 6407을 준수하는 다른 장치와 상호운영됩니다.

그룹 VPNv2를 위한 GDOI 프로토콜 이해

그룹 VPNv2는 RFC 6407, GDOI(Group Domain of Interpretation)를 기반으로 합니다. 이 RFC는 그룹 구성원과 그룹 서버 간의 프로토콜을 설명하여 그룹 구성원 간에 SAS를 설정할 수 있습니다. GDOI 메시지는 장치 그룹에 대한 SAS를 생성, 유지 관리 또는 삭제합니다. 그룹 VPNv2는 vSRX 디바이스, SRX5400, SRX5600 디바이스를 제외하고 모든 SRX 시리즈 디바이스에서 SRX5800 지원됩니다.

GDOI 프로토콜은 UDP 포트 848에서 실행됩니다. ISAKMP(Internet Security Association and Key Management Protocol)는 IPsec 터널에 대한 SAS를 설정하는 두 가지 협상 단계를 IKE(Internet Key Exchange) 정의합니다. 1단계에서는 두 장비가 GDOI와 같은 다른 보안 프로토콜에 대해 ISAKMP SA를 구축할 수 있습니다.

Group VPNv2를 통해 그룹 서버와 그룹 멤버 간에 1단계 ISAKMP SA 협상이 수행됩니다. 서버와 구성원은 동일한 ISAKMP 정책을 사용해야 합니다. 서버와 멤버 간의 GDOI 교환은 다른 그룹 멤버와 공유되는 SAS를 구축합니다. 그룹 멤버는 IPsec을 다른 그룹 구성원과 협상할 필요가 없습니다. GDOI 거래소는 ISAKMP 1단계 SAS에 의해 보호되어야 합니다.

GDOI 거래소에는 두 가지 유형이 있습니다.

  • 교환을 통해 회원은 SAS와 서버에서 그룹이 공유하는 groupkey-pull 키를 요청할 수 있습니다. 그룹 멤버는 거래소를 통해 그룹 서버에 등록해야 groupkey-pull 합니다.

  • 교환은 기존 그룹 SAS가 만료되기 전에 서버가 그룹 SAS와 멤버에게 키를 보낼 수 있는 단일 리키 groupkey-push 메시지입니다. 리키 메시지는 서버에서 회원으로 전송되는 원치 않는 메시지입니다.

Understanding Group VPNv2 서버 및 멤버

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. Group VPNv2의 중심은 GCKS(Group Controller/Key Server)입니다. 서버 클러스터는 GCKS 중복을 제공하는 데 사용할 수 있습니다.

GCKS 또는 그룹 서버는 다음과 같은 작업을 수행합니다.

  • 그룹 멤버십 제어

  • 암호화 키를 생성합니다.

  • 새로운 그룹 SAS와 키를 회원에게 전송합니다. 그룹 구성원은 그룹 SAS와 그룹 서버에서 제공하는 키를 기반으로 트래픽을 암호화합니다.

그룹 서버는 여러 그룹을 지원할 수 있습니다. 단일 보안 장비는 여러 그룹의 구성원이 될 수 있습니다.

각 그룹은 그룹 식별자(1 및 4,294,967,295 사이의 수)로 표현됩니다. 그룹 서버와 그룹 구성원은 그룹 식별자에 의해 서로 연결됩니다. 그룹당 하나의 그룹 식별자가 있을 수 있으며 여러 그룹이 동일한 그룹 식별자를 사용할 수 없습니다.

다음은 Group VPNv2 서버 및 구성원 작업에 대한 개관적인 뷰입니다.

  1. 그룹 서버는 회원이 등록할 수 위해 UDP 포트 848을 수신합니다.

  2. 그룹 서버에 등록하기 위해 멤버는 먼저 서버와 IKE(Internet Key Exchange) SA를 구축합니다. 멤버 디바이스는 그룹에 IKE(Internet Key Exchange) 1단계 인증을 올바르게 제공해야 합니다. 구성원을 기준으로 사전 공유 키 인증이 지원됩니다.

  3. 인증 및 등록에 성공하면 멤버 디바이스는 GDOI 교환을 통해 서버에서 지정된 그룹 식별자에 대한 그룹 SAS와 키를 groupkey-pull 검색합니다.

  4. 서버는 해당 그룹의 멤버를 추가합니다.

  5. 그룹 멤버는 그룹 SA 키로 암호화된 패킷을 교환합니다.

서버는 GDOI(Rekey) 메시지를 통해 그룹 멤버에게 SA 및 키 리프레시를 groupkey-push 전송합니다. 서버는 SAS가 만료되기 전에 리키(rekey) 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 보장합니다.

서버에서 전송되는 리키 메시지는 각 그룹 구성원이 보낸 Ack(ack) 메시지를 요구합니다. 서버에서 구성원으로부터 Ack 메시지를 수신하지 않는 경우, 리키 메시지가 구성된 시 다시 전송됩니다(기본 retransmission-period 설정은 10초). 구성된 후에 멤버로부터 회신이 없는 경우(기본값은 2회), 구성원은 서버의 등록된 멤버에서 number-of-retransmission 제거됩니다. 서버와 IKE(Internet Key Exchange) 간의 SA도 제거됩니다.

또한 서버는 그룹 SA가 변경될 때 구성원에게 새로운 키를 제공하기 위해 리키 메시지를 전송합니다.

그룹 VPNv2 제한 이해

그룹 VPNv2 서버는 RFC 6407, GDOI(Group Domain of Interpretation)를지원하는 그룹 VPNv2 멤버와만 운영됩니다.

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 다음은 그룹 VPNv2의 이번 릴리즈에서 지원되지 않습니다.

  • SNMP.

  • Cisco GET VPN 서버에서 정책 거부.

  • 1단계 인증을 위한 PKI IKE(Internet Key Exchange).

  • 동일한 물리적 디바이스에서 서버와 구성원 기능이 공존하는 그룹 서버 및 구성원의 동일 위치.

  • 섀시 클러스터로 구성된 그룹 멤버.

  • 구성 및 모니터링을 위한 J-Web 인터페이스.

  • 멀티캐스트 데이터 트래픽.

그룹 VPNv2는 IP 주소를 보존할 수 없는 구축(예: 네트워크가 사용되는 인터넷 네트워크 주소 변환(NAT) 지원되지 않습니다.

Understanding Group VPNv2 서버 멤버 커뮤니케이션

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 서버 멤버 통신을 통해 서버는 GDOI(Rekey) 메시지를 구성원에게 groupkey-push 보낼 수 있습니다. 그룹에 대해 서버 멤버 통신이 구성되지 않는 경우 멤버는 GDOI 메시지를 전송하여 서버에 등록하고 다시 등록할 수 있지만 서버는 회원에게 메시지를 보낼 수 groupkey-pullgroupkey-push 없습니다.

[] 계층에서 구성 명령문을 사용하여 server-member-communication 그룹이 서버 멤버 edit security group-vpn server 통신을 구성합니다. 다음과 같은 옵션을 정의할 수 있습니다.

  • 서버에 멤버를 인증하는 데 사용되는 인증 알고리즘(sha-256 또는 sha-384) 기본 알고리즘은 없습니다.

  • 서버와 구성원 간의 통신에 사용되는 암호화 알고리즘. aes-128-cbc, aes-192-cbc 또는 aes-256-cbc를 지정할 수 있습니다. 기본 알고리즘은 없습니다.

  • 그룹 구성원에게 전송되는 리키 메시지를 위한 유니캐스트 통신 유형.

  • 키 암호화 키(KEK)의 수명 기본 설정은 3600초입니다.

  • 그룹 서버가 응답이 없는 그룹 구성원에게 메시지를 재전신하는 횟수(기본값은 2회) 및 재전신 간의 기간(기본값은 groupkey-push 10초임)

그룹에 대한 서버 멤버 통신이 구성되지 않은 경우 명령에 의해 표시되는 멤버십 목록에 서버에 등록한 그룹 구성원이 표시되고 멤버는 활성 상태일 show security group-vpn server registered-members 수 있습니다. 그룹에 대한 서버 멤버 통신이 구성되면 그룹 멤버십 목록이 지워지며 유니캐스트 통신 유형의 경우 show security group-vpn server registered-members 명령어는 활성 멤버만 표시합니다.

Understanding Group VPNv2 주요 운영

이 주제에는 다음 섹션이 포함되어 있습니다.

그룹 키

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 그룹 서버는 VPN 그룹, 그룹 멤버 및 그룹 키 간의 관계를 추적하기 위해 데이터베이스를 유지 관리합니다. 서버가 회원에게 다운로드하는 그룹 키에는 두 가지 유형의 그룹 키가 있습니다.

  • KEK(Key Encryption Key)—GDOI(SA Rekey) 교환을 암호화하는 데 groupkey-push 사용됩니다. 그룹당 하나의 KEK가 지원됩니다.

  • 트래픽 암호화 키(TEK)—그룹 멤버 간의 IPsec 데이터 트래픽을 암호화하고 복호화하는 데 사용됩니다.

SA와 관련된 키는 해당 구성원에 구성된 일치하는 정책이 있는 경우 그룹 구성원이 수락합니다. 승인된 키가 그룹에 설치되는 반면 거부된 키는 폐기됩니다.

Rekey 메시지

서버 멤버 통신을 위해 그룹이 구성된 경우 서버는 SA를 보내고 GDOI(Rekey) 메시지를 통해 그룹 멤버에게 키 리프레시를 groupkey-push 전송합니다. REKEY 메시지는 SAS가 만료되기 전에 전송됩니다. 이를 통해 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키가 제공되도록 보장합니다.

또한 서버는 그룹 멤버십이 변경되거나 그룹 SA가 변경된 경우(예: 그룹 정책이 추가되거나 삭제된 경우) 구성원에게 새로운 키를 제공하기 위해 리키 메시지를 전송합니다.

서버 멤버 통신 옵션은 서버가 그룹 구성원에게 리키 메시지를 보낼 수 있도록 구성해야 합니다.

그룹 서버는 유니캐스트 리키(unicast) 메시지의 복사본을 각 그룹 구성원에게 전송합니다. 리키 메시지를 수신한 회원은 ACK(ACK)를 서버로 전송해야 합니다. 서버가 멤버로부터 ACK를 받지 않는 경우(재키 메시지의 재전 전송 포함), 서버는 비활성으로 생각하여 멤버 목록에서 제거합니다. 서버는 구성원에게 rekey 메시지를 보내는 것이 중단됩니다.

서버 멤버 통신에 대한 및 구성 명령문은 ACK가 구성원으로부터 수신되지 없는 경우 서버에 의해 다시 전송되는 메시지를 number-of-retransmissionretransmission-period 제어합니다.

서버에서 Rekey 메시지를 보내는 간격은 [ ] 계층에서 구성 명령문의 lifetime-secondsedit security group-vpn server group group-name 값을 기준으로 합니다. KEK 및 TEK 키가 만료되기 전에 새 키가 생성됩니다.

KEK의 경우, 서버 멤버 통신의 일부로 구성됩니다. 기본 설정은 lifetime-seconds 3600초입니다. TEK의 경우 IPsec 제안을 위해 lifetime-seconds 구성됩니다. 기본 설정은 3600초입니다.

회원 등록

현재 키가 만료되기 전에 그룹 구성원이 서버에서 새 SA 키를 받지 않는 경우 멤버는 서버에 다시 다시 연결하고 GDOI 교환을 통해 업데이트된 키를 획득해야 groupkey-pull 합니다.

그룹 VPNv2 구성 개요

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 이 주제는 Group VPNv2의 구성을 위한 주요 작업에 대해 설명합니다.

그룹 컨트롤러/키 서버(GCKS)는 Group VPNv2 SAS(Security Associations)를 관리하고 암호화 키를 생성하고 그룹 구성원에게 배포합니다. Group VPNv2 서버 클러스터를 사용하여 GCKS 중복을 제공할 수 있습니다. Understanding Group VPNv2 서버 클러스터를 참조합니다.

그룹 서버에서는 다음과 같은 구성을 구성합니다.

  1. IKE(Internet Key Exchange) 1단계 SA. 그룹 VPNv2의 IKE(Internet Key Exchange) 1단계 구성 이해 를 참조합니다.
  2. IPsec SA. 그룹 VPNv2에 대한 IPsec SA 구성 이해를 참조합니다.
  3. 그룹 식별자, IKE(Internet Key Exchange) 그룹 구성원에 대한 IKE(Internet Key Exchange) 그룹 최대 구성원 수 및 서버 멤버 통신을 포함한 VPN 그룹 정보입니다. 그룹 구성에는 SA와 키가 적용되는 트래픽을 정의하는 그룹 정책이 포함됩니다. 서버 클러스터 및 리플레이 방지 시간 윈도우를 선택적으로 구성할 수 있습니다. Group VPNv2 구성 개요 및 Understanding Group VPNv2 트래픽 스티어링 을 참조하십시오.

그룹 멤버에서 다음과 같은 구성을 구성합니다.

  1. IKE(Internet Key Exchange) 1단계 SA. 그룹 VPNv2의 IKE(Internet Key Exchange) 1단계 구성 이해 를 참조합니다.

  2. IPsec SA. 그룹 VPNv2에 대한 IPsec SA 구성 이해를 참조합니다.

  3. 수신 존(일반적으로 보호되는 LAN), 진행 존(일반적으로 WAN) 및 정책이 적용되는 VPN 그룹을 정의하는 IPsec 정책입니다. 제외 또는 불일치 규칙도 지정할 수 있습니다. Understanding Group VPNv2 Traffic Steering 을 참조합니다.

  4. IPsec 정책에 지정된 존 간의 그룹 VPN 트래픽을 허용하는 보안 정책.

그룹 VPNv2 작동을 위해서는 클라이언트 디바이스가 네트워크 전반에서 계획한 사이트에 도달할 수 있는 작동 라우팅 토폴로지가 필요합니다.

그룹은 [ ] 계층의 group 구성 명령문을 통해 edit security group-vpn server 서버에서 구성됩니다.

그룹 정보는 다음과 같은 정보로 구성됩니다.

그룹 IKE(Internet Key Exchange) VPNv2의 1단계 구성 이해

그룹 IKE(Internet Key Exchange) 그룹 구성원 간의 1단계 SA는 그룹이 공유하는 IPsec SA를 협상할 보안 채널을 구축합니다. 보안 디바이스의 표준 IPsec VPN의 주니퍼 네트웍스 1단계 SA 구성은 IKE(Internet Key Exchange) 제안, 정책 및 게이트웨이를 지정하는 것으로 구성됩니다.

그룹 VPNv2의 경우, IKE(Internet Key Exchange) 1단계 SA 구성은 표준 IPsec VPN의 구성과 유사하지만 [ ] 및 edit security group-vpn server ike [ edit security group-vpn member ike 계층에서 수행됩니다. 그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다.

제안서 IKE(Internet Key Exchange) 구성에서는 참가자들 간의 보안 채널을 여는 데 사용되는 인증 방법과 인증 및 암호화 알고리즘을 설정할 수 있습니다. IKE(Internet Key Exchange) 정책 구성에서 1단계 채널을 협상할 모드를 설정하고 사용할 키 교환 유형을 지정하며 1단계 제안을 참조합니다. 게이트웨이 IKE(Internet Key Exchange) 1단계 정책을 참조합니다.

그룹 IKE(Internet Key Exchange) 제안 및 정책 구성은 그룹 구성원에 대한 IKE(Internet Key Exchange) 제안 및 정책 구성과 일치해야 합니다. 그룹 서버에서는 각 IKE(Internet Key Exchange) 구성원에 대해 IKE(Internet Key Exchange) 게이트웨이가 구성됩니다. 그룹 구성원에서 최대 4개의 서버 주소를 IKE(Internet Key Exchange) 수 있습니다.

그룹 VPNv2용 IPsec SA 구성 이해

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 서버와 멤버가 1단계 협상에서 안전하고 인증된 채널을 구축한 후 그룹 멤버가 공유하는 IPsec SAS를 설정하여 회원들 사이에서 전송되는 데이터를 보호합니다. Group VPNv2에 대한 IPsec SA 구성은 표준 VPN의 구성과 유사하기는 하지만 그룹 구성원은 다른 그룹 구성원과 SA를 협상할 필요가 없습니다.

그룹 VPNv2를 위한 IPsec 구성은 다음과 같은 정보로 구성됩니다.

  • 그룹 서버에서 IPsec 제안서가 SA에 사용되는 보안 프로토콜, 인증 및 암호화 알고리즘을 위해 구성됩니다. IPsec SA 제안은 [ ] 계층에서 구성 명령문을 통해 proposal 그룹 edit security group-vpn server ipsec 서버에서 구성됩니다.

  • 그룹 구성원에서 Autokey IKE(Internet Key Exchange) 식별자, 그룹 서버(구성 명령문으로 구성) 및 그룹 피어에 연결하는 데 사용하는 인터페이스를 참조하는 것으로 ike-gateway 구성됩니다. Autokey IKE(Internet Key Exchange) [ ] 계층에서 구성 명령문을 통해 vpnedit security group-vpn member ipsec 구성됩니다.

Understanding Group VPNv2 Traffic Steering

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 그룹 서버는 IPsec 보안 연결(SAS) 및 키를 특정 그룹의 구성원에게 배포합니다. 동일한 그룹에 속하는 모든 구성원은 동일한 IPsec SAS 세트를 공유합니다. 특정 그룹 멤버에 설치된 SA는 그룹 구성원에 구성된 그룹 SA 및 IPsec 정책과 연관된 정책에 따라 결정됩니다.

그룹 서버에서 구성된 그룹 정책

VPN 그룹에서 서버가 구성원에게 푸시하는 각 그룹 SA 및 키는 그룹 정책과 연관됩니다. 그룹 정책은 프로토콜, 소스 주소, 소스 포트, 대상 주소 및 대상 포트를 포함하여 키가 사용해야 하는 트래픽을 설명합니다. 서버에서 그룹 정책은 [ ] 계층 수준에 있는 match-policy policy-nameedit security group-vpn server group name ipsec-sa name 옵션으로 구성됩니다.

동일한 그룹 정책(동일한 소스 주소, 대상 주소, 소스 포트, 대상 포트 및 프로토콜 값으로 구성)은 단일 그룹에 존재할 수 없습니다. 그룹에 대해 동일한 그룹 정책이 포함된 구성을 커밋하려고 시도하면 오류가 반환됩니다. 이 경우 구성을 커밋하기 전에 동일한 그룹 정책 중 하나를 삭제해야 합니다.

그룹 구성원에 구성된 IPsec 정책

그룹 구성원에서 IPsec 정책은 다음과 같은 정보로 구성됩니다.

  • 그룹 트래픽에 대한 수신 from-zone 존()

  • 그룹 트래픽에 대한 to-zone 아웃고고 존()

  • IPsec 정책이 적용되는 그룹의 이름 존(zone)/to-zone 쌍을 통해 하나의 Group VPNv2 이름만 참조할 수 있습니다.

Group VPNv2에 연결하는 그룹 구성원이 사용하는 인터페이스는 발신 존에 속해야 합니다. 이 인터페이스는 [ ] 계층 수준에서 group-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-name 명령문으로 지정됩니다.

그룹 구성원에서 IPsec 정책은 [ ] 계층 수준에서 edit security ipsec-policy 구성됩니다. IPsec 정책과 일치하는 트래픽은 그룹에 대해 구성된 제외 및 실패 개방 규칙에 대해 더 검사됩니다.

장애 마감(Fail-Close)

기본적으로 그룹 서버에서 수신된 그룹 정책 또는 제외(fail-open) 규칙 또는 그룹 정책과 일치하지 않는 트래픽은 차단됩니다. 이를 fail-close(fail-close)라고 합니다.

규칙 제외 및 불일치(Fail-Open) 규칙

그룹 구성원에서 각 그룹에 대해 다음과 같은 유형의 규칙을 구성할 수 있습니다.

  • VPN 암호화에서 제외된 트래픽 이러한 유형의 트래픽의 예에는 라우팅 BGP(Border Gateway Protocol) 또는 최단 경로 우선(OSPF) 있습니다. 그룹에서 트래픽을 제외하려면 구성을 set security group-vpn member ipsec vpn vpn-name exclude rule 사용하여 최대 10개 제외 규칙을 구성할 수 있습니다.

  • 고객의 운영에 중요한 트래픽은 그룹 구성원이 IPsec SA에 대한 유효한 트래픽 암호화 키(TEK)를 받지 않은 경우 cleartext(암호화되지 않은)로 전송되어야 합니다. 장애가 발생하면 규칙이 허용되는 반면 다른 모든 트래픽은 차단됩니다. 구성을 통해 fail-open을 set security group-vpn member ipsec vpn vpn-name fail-open rule 활성화합니다. 최대 10개 장애 개방 규칙을 구성할 수 있습니다.

IPsec 정책 및 규칙의 우선 순위

IPsec 정책 및 규칙은 그룹 구성원에 다음과 같은 우선 순위를 두고 있습니다.

  1. VPN 암호화에서 제외할 트래픽을 정의하는 규칙을 제외합니다.

  2. 그룹 서버에서 다운로드하는 그룹 정책.

  3. SA에 대한 유효한 TEK가 없는 경우 cleartext로 전송된 트래픽을 정의하는 Fail-Open 규칙

  4. 트래픽을 차단하는 장애 차단 정책 트래픽이 제외(exclude) 또는 fail-open(fail-open) 규칙 또는 그룹 정책과 일치하지 않는 경우 기본 설정입니다.

그룹 VPNv2 복구 프로브 프로세스 이해

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다. 두 가지 상황은 그룹 구성원이 그룹 서버 및 기타 그룹 구성원과 동기화되지 않았다는 것을 나타낼 수 있습니다.

  • 그룹 멤버는 인식할 수 없는 SPI(Security Parameter Index)를 통해 ESP(Encapsulating Security Payload) 패킷을 수신합니다.

  • 그룹 구성원에는 수신 IPsec 트래픽이 없지만, 수신 IPsec 트래픽은 없는 경우

두 상황이 모두 탐지되면 그룹 구성원에서 복구 프로브 프로세스를 트리거할 수 있습니다. 복구 프로브 프로세스는 특정 간격으로 GDOI 교환을 시작하여 그룹 groupkey-pull 서버에서 멤버의 SA를 업데이트합니다. 잘못된 SPI 패킷에 대한 DoS 공격이 발생하거나 발신자 자체가 동기화되지 않은 경우 그룹 구성원에 대한 동기화되지 않은 표시는 잘못된 경보일 수 있습니다. 시스템 오버로드를 방지하기 위해 시작은 groupkey-pull 10, 20, 40, 80, 160 및 320 초의 간격으로 재시작됩니다.

복구 프로브 프로세스는 기본적으로 비활성화됩니다. 복구 프로브 프로세스를 활성화하려면 [ ] 계층 recovery-probeedit security group-vpn member ipsec vpn vpn-name 수준에서 구성합니다.

Understanding Group VPNv2 Antireplay

그룹 VPNv2 안티레플레이는 vSRX, vSRX, SRX5600 디바이스를 제외하고 모든 SRX SRX5400 시리즈 디바이스에서 SRX5800 지원됩니다. Antireplay는 패킷이 가로채 공격자가 재생할 수 있는 IPsec 기능입니다. 그룹의 경우 기본적으로 Antireplay를 비활성화합니다.

각 IPsec 패킷에는 타임스탬프가 포함되어 있습니다. 그룹 구성원은 패킷의 타임스탬프가 구성된 값에 있는지 여부를 anti-replay-time-window 검사합니다. 타임스탬프가 값을 초과하면 패킷이 삭제됩니다.

Group VPNv2 안티레플레이를 지원하는 모든 디바이스에서 NTP를 구성하는 것이 좋습니다.

하이퍼바이즈가 vSRX 호스트 머신의 여러 인스턴스에서 실행되는 그룹 구성원은 가치를 재구성하여 수정할 수 있는 문제를 경험할 수 anti-replay-time-window 있습니다. 그룹 구성원의 IPsec 정책과 일치하는 데이터가 전송되지 않는 경우 show security group-vpn member ipsec statistics 출력에서 D3P 오류를 검사합니다. NTP가 올바르게 작동하고 있는지 확인합니다. 오류가 있는 경우 값을 anti-replay-time-window 조정합니다.

예를 들면 다음과 같습니다. 그룹 VPNv2 서버 및 멤버 구성

이 예에서는 그룹 VPNv2 그룹 구성원에게 그룹 컨트롤러/키 서버(GCKS) 지원을 제공하도록 그룹 VPNv2 서버를 구성하는 방법을 보여줍니다. 그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용하며,

  • 지원되는 SRX 시리즈 디바이스 또는 vSRX Group VPNv2를 지원하는 Junos OS 릴리스 15.1X49-D30 인스턴스 이상에서 실행됩니다. 이 SRX 시리즈 디바이스 또는 vSRX VPNv2 서버로 운영됩니다.

  • 2개의 지원 SRX 시리즈 디바이스 또는 vSRX Group VPNv2를 지원하는 Junos OS Release 15.1X49-D30 이상에서 실행되는 인스턴스입니다. 이러한 디바이스 또는 인스턴스는 그룹 VPNv2 그룹 멤버로 작동합니다.

  • Junos OS 릴리스 15.1R2 그룹 VPNv2를 지원하는 2개의 지원 MX 시리즈 디바이스입니다. 이들 디바이스는 그룹 VPNv2 그룹 멤버로 작동합니다.

각 디바이스에서 호스트 이름, 루트 관리자 암호 및 관리 액세스를 구성해야 합니다. 각 디바이스에서 NTP를 구성하는 것이 좋습니다.

그룹 VPNv2 작동을 위해서는 클라이언트 디바이스가 네트워크 전반에서 계획한 사이트에 도달할 수 있는 작동 라우팅 토폴로지가 필요합니다. 이 예는 Group VPNv2 구성에 초점을 맞추고 있습니다. 라우팅 구성은 설명되지 않습니다.

개요

이 예에서 Group VPNv2 네트워크는 서버와 4개의 멤버로 구성됩니다. 멤버 중 2개는 SRX 시리즈 디바이스 또는 vSRX 인스턴스입니다. 다른 두 멤버는 MX 시리즈 디바이스입니다. 공유 그룹 VPN SAS는 그룹 구성원 간의 트래픽을 보호합니다.

그룹 VPN SA는 1단계 SA에 의해 보호되어야 합니다. 따라서 그룹 VPN 구성에는 그룹 서버와 그룹 구성원 모두에서 IKE(Internet Key Exchange) 1단계 협상을 구성하는 것이 포함되어야 합니다.

그룹 서버와 그룹 구성원 모두에서 동일한 그룹 식별자를 구성해야 합니다. 이 예에서 그룹 이름은 GROUP_ID-0001이고 그룹 식별자는 1입니다. 서버에 구성된 그룹 정책은 172.16.0.0/12 범위의 서브네트워크 간의 트래픽에 SA 및 키가 적용된다고 지정합니다.

SRX 또는 vSRX 그룹 구성원의 경우, IPsec 정책은 LAN 존을 from-zone(수신 트래픽)으로, WAN 존을 to-zone(outgoing traffic)으로 구성합니다. LAN 및 WAN 존 간의 트래픽을 허용하려면 보안 정책도 필요합니다.

토폴로지

그림 3 이 주니퍼 네트웍스 구성할 디바이스를 보여줍니다.

그림 3: SRX 또는 vSRX 및 MX 시리즈 구성원을 vSRX VPNv2 서버SRX 또는 vSRX 및 MX 시리즈 구성원을 vSRX VPNv2 서버

구성

그룹 서버 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 서버를 구성하는 경우:

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. 정적 경로를 구성합니다.

  3. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  4. IPsec 제안을 구성합니다.

  5. 그룹을 구성합니다.

  6. 서버 간 통신을 구성합니다.

  7. 그룹 구성원에게 다운로드할 그룹 정책을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow routing-optionsshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring Group Member GM-0001(SRX Series Device 또는 vSRX 인스턴스)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. 정적 경로를 구성합니다.

  3. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  4. IPsec SA를 구성합니다.

  5. IPsec 정책을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow routing-optionsshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring Group Member GM-0002(SRX Series Device 또는 vSRX 인스턴스)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스, 보안 존 및 보안 정책을 구성합니다.

  2. 정적 경로를 구성합니다.

  3. IKE(Internet Key Exchange), 정책 및 게이트웨이를 구성합니다.

  4. IPsec SA를 구성합니다.

  5. IPsec 정책을 구성합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show interfacesshow routing-optionsshow security 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

Configuring Group Member GM-0003(MX Series Device)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅을 구성합니다.

  3. 제안IKE(Internet Key Exchange), 게이트웨이를 구성합니다.

  4. IPsec SA를 구성합니다.

  5. 서비스 필터를 구성합니다.

  6. 서비스 세트를 구성합니다.

결과

구성 모드에서 , , 및 명령어를 입력하여 show interfacesshow routing-optionsshow securityshow servicesshow firewall 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

Configuring Group Member GM-0004(MX Series Device)

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

Group VPNv2 구성원을 구성하기 위해 다음을 합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅을 구성합니다.

  3. 제안IKE(Internet Key Exchange), 게이트웨이를 구성합니다.

  4. IPsec SA를 구성합니다.

  5. 서비스 필터를 구성합니다.

  6. 서비스 세트를 구성합니다.

결과

구성 모드에서 , , 및 명령어를 입력하여 show interfacesshow routing-optionsshow securityshow servicesshow firewall 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

그룹 회원 등록 확인

목적

그룹 멤버가 서버에 등록되어 있는지 확인

실행

작동 모드에서 서버에서 show security group-vpn server registered-membersshow security group-vpn server registered-members detail 명령어를 입력합니다.

그룹 키가 분산되어 있는지 검증

목적

그룹 키가 구성원에게 배포되어 있는지 검증합니다.

실행

운영 모드에서 그룹 show security group-vpn server statistics 서버의 명령을 입력합니다.

그룹 서버에서 그룹 VPN SAS 검증

목적

그룹 서버에서 그룹 VPN SAS를 검증합니다.

실행

운영 모드에서 그룹 show security group-vpn server kek security-associations 서버에서 show security group-vpn server kek security-associations detail 명령어를 입력합니다.

그룹 멤버에 대한 그룹 VPN SAS 검증

목적

그룹 구성원에서 그룹 VPN SAS를 검증합니다.

실행

운영 모드에서 SRX 또는 그룹 구성원에 대한 show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail 명령어를 vSRX 입력합니다.

운영 모드에서 MX 시리즈 그룹 구성원의 show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail 명령어를 입력합니다.

그룹 서버에서 IPsec SAS 검증

목적

그룹 서버에서 IPsec SAS를 검증합니다.

실행

운영 모드에서 그룹 show security group-vpn server ipsec security-associations 서버에서 show security group-vpn server ipsec security-associations detail 명령어를 입력합니다.

그룹 구성원에 대한 IPsec SAS 검증

목적

그룹 멤버에서 IPsec SAS를 검증합니다.

실행

운영 모드에서 SRX 또는 그룹 구성원에 대한 show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail 명령어를 vSRX 입력합니다.

운영 모드에서 MX 시리즈 그룹 구성원의 show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail 명령어를 입력합니다.

그룹 정책 검증(SRX 또는 vSRX 그룹 멤버만 해당)

목적

SRX 또는 그룹 구성원에 대한 그룹 vSRX 검증합니다.

실행

작동 모드에서 그룹 show security group-vpn member policy 구성원에 대한 명령을 입력합니다.

예를 들면 다음과 같습니다. 유니캐스트 리키(Unicast Rekey) 메시지를 위한 Group VPNv2 서버 멤버 커뮤니케이션 구성

다음 예제에서는 서버가 그룹 멤버에게 유니캐스트 재키 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 하는 방법을 보여줍니다. 그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스 및 vSRX 인스턴스에서 지원됩니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

  • 1단계 협상을 위해 그룹 서버와 IKE(Internet Key Exchange) 구성합니다.

  • IPsec SA에 대해 그룹 서버 및 멤버를 구성합니다.

  • 그룹 서버에서 g1 그룹을 구성합니다.

개요

다음 예제에서 그룹에 대한 서버 멤버 통신 매개 변수를 g1 지정합니다.

  • 서버는 유니캐스트 재키(rekey) 메시지를 그룹 멤버에게 전송합니다.

  • aes-128-cbc는 서버와 멤버 간의 트래픽을 암호화하는 데 사용됩니다.

  • sha-256은 멤버 인증에 사용됩니다.

KEK 수명 및 재전사에 기본값이 사용됩니다.

구성

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 Configuration Mode의 CLI 를 참조하십시오.

서버 멤버 통신을 구성하는 경우:

  1. 통신 유형을 설정합니다.

  2. 암호화 알고리즘을 설정합니다.

  3. 구성원 인증을 설정합니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 명령을 show security group-vpn server group g1 server-member-communication 입력합니다.