이 페이지에서
IPsec VPN 구성 개요
VPN 연결은 두 LAN(위치간 VPN) 또는 원격 다이얼 접속 사용자와 LAN을 연결할 수 있습니다. 이 두 포인트 사이의 트래픽은 공용 WAN을 구성하는 라우터, 스위치 및 기타 다른 네트워크 장비와 같은 공유 리소스를 통과합니다. 두 참가자 디바이스 사이에 IPsec 터널이 생성되어 VPN 통신을 보호합니다.
자동 키 IKE(Internet Key Exchange)를 사용한 IPSec VPN 구성 개요
IPSec VPN 협상은 두 단계로 이루어집니다. 1단계에서 참가자는 IPsec 보안 연관(SA)을 협상할 보안 채널을 설정합니다. 2단계에서 참가자는 터널을 통해 흐르는 트래픽을 인증하기 위해 IPsec SA를 협상합니다.
이 개요는 자동 키 IKE(사전 공유된 키 또는 인증서)를 사용하여 경로 기반 또는 정책 기반 IPSec VPN을 구성하는 기본 단계에 대해 설명합니다.
자동 키 IKE(Internet Key Exchange)을 사용한 경로 기반 또는 정책 기반 IPSec VPN을 구성하려면 다음을 수행합니다.
참조
정적 IP 주소를 사용하는 사이트 간 VPN에 권장되는 구성 옵션
표 1에는 정적 IP 주소를 사용하는 두 보안 디바이스 간의 일반 사이트 간 VPN에 대한 구성 옵션이 나와 있습니다. VPN은 경로 기반 또는 정책 기반일 수 있습니다.
구성 옵션 |
코멘트 |
|---|---|
IKE(Internet Key Exchange) 구성 옵션: |
|
메인 모드 |
피어에 정적 IP 주소가 있을 때 사용됩니다. |
RSA 또는 DSA 인증서 |
RSA 또는 DSA 인증서는 로컬 디바이스에서 사용할 수 있습니다. 피어의 인증서 유형(PKCS7 또는 X.509)을 지정하십시오. |
DH(Difie-Hellman) 그룹 14 |
DH 그룹 14는 DH 그룹 1, 2 또는 5보다 더 많은 보안을 제공합니다. |
고급 암호화 표준(AES) 암호화 |
AES는 키 길이가 같을 때 데이터 암호화 표준(DES)과 트리플 DES(3DES)보다 더 강력한 암호화를 제공합니다. FIPS(Federal Information Processing Standards) 및 공통 기준 EAL4 표준에 대한 승인된 암호화 알고리즘입니다. |
보안 해시 알고리즘 256(SHA-256) 인증 |
SHA-256은 SHA-1 또는 MD5보다 더 강력한 암호화 보안을 제공합니다. |
IPsec 구성 옵션: |
|
PFS(Perfect Forward Secrecy) DH 그룹 14 |
PFS DH 그룹 14는 피어가 두 번째 DH 교환을 수행하여 IPsec 암호화 및 암호 해독에 사용되는 키를 생성하기 때문에 보안을 강화합니다. |
ESP(Encapsulating Security Payload) 프로토콜 |
ESP는 원래 IP 패킷의 암호화 및 캡슐화를 통해 기밀성을 제공하고 인증을 통해 무결성을 제공합니다. |
AES 암호화 |
AES는 키 길이가 같을 때 DES와 3DES보다 더 강력한 암호화를 제공합니다. FIPS 및 공통 기준 EAL4 표준에 대해 승인된 암호화 알고리즘입니다. |
SHA-256 인증 |
SHA-256은 SHA-1이나 MD5보다 더 강력한 암호화 보안을 제공합니다. |
안티리플레이 보호 |
기본적으로 활성화되어 있습니다. 이 기능을 비활성화하면 타사 피어와의 호환성 문제가 해결될 수 있습니다. |
참조
동적 IP 주소를 사용하는 사이트 간 또는 전화 접속 VPN에 권장되는 구성 옵션
표 2에는 피어 디바이스에 동적 IP 주소가 있는 일반 사이트 간 또는 전화 접속 VPN의 구성 옵션이 나와 있습니다.
구성 옵션 |
코멘트 |
|---|---|
IKE(Internet Key Exchange) 구성 옵션: |
|
메인 모드 |
인증서와 함께 사용됩니다. |
2048비트 인증서 |
RSA 또는 DSA 인증서를 사용할 수 있습니다. 로컬 디바이스에서 사용할 인증서를 지정하십시오. 피어의 인증서 유형(PKCS7 또는 X.509)을 지정하십시오. |
DH(Difie-Hellman) 그룹 14 |
DH 그룹 14는 DH 그룹 1, 2 또는 5보다 더 많은 보안을 제공합니다. |
고급 암호화 표준(AES) 암호화 |
AES는 키 길이가 같을 때 데이터 암호화 표준(DES)과 트리플 DES(3DES)보다 더 강력한 암호화를 제공합니다. FIPS(Federal Information Processing Standards) 및 공통 기준 EAL4 표준에 대한 승인된 암호화 알고리즘입니다. |
보안 해시 알고리즘 256(SHA-256) 인증 |
SHA-256은 SHA-1 또는 MD5(Message Digest 5)보다 더 강력한 암호화 보안을 제공합니다. |
IPsec 구성 옵션: |
|
PFS(Perfect Forward Secrecy) DH 그룹 14 |
PFS DH 그룹 14는 피어가 두 번째 DH 교환을 수행하여 IPsec 암호화 및 암호 해독에 사용되는 키를 생성하기 때문에 보안을 강화합니다. |
ESP(Encapsulating Security Payload) 프로토콜 |
ESP는 원래 IP 패킷의 암호화 및 캡슐화를 통해 기밀성을 제공하고 인증을 통해 무결성을 제공합니다. |
AES 암호화 |
AES는 키 길이가 같을 때 DES와 3DES보다 더 강력한 암호화를 제공합니다. FIPS 및 공통 기준 EAL4 표준에 대해 승인된 암호화 알고리즘입니다. |
SHA-256 인증 |
SHA-256은 SHA-1이나 MD5보다 더 강력한 암호화 보안을 제공합니다. |
안티리플레이 보호 |
기본적으로 활성화되어 있습니다. 이 기능을 비활성화하면 타사 피어와의 호환성 문제가 해결될 수 있습니다. |
참조
동적 엔드포인트가 있는 IPsec VPN 이해
개요
IPsec VPN 피어는 VPN 연결을 설정하는 피어가 알 수 없는 IP 주소를 가질 수 있습니다. 예를 들어, 피어는 DHCP(Dynamic Host Configuration Protocol)를 통해 동적으로 할당된 IP 주소를 가질 수 있습니다. 브랜치나 홈 오피스에 있는 원격 액세스 클라이언트 또는 다른 물리적 위치 간에 이동하는 모바일 디바이스의 경우가 이에 해당할 수 있습니다. 또는 피어의 원래 소스 IP 주소를 다른 주소로 변환하는 NAT 디바이스 뒤에 피어를 배치할 수 있습니다. 알 수 없는 IP 주소를 가진 VPN 피어를 동적 엔드포인트이라고 하며, 동적 엔드포인트로 설정된 VPN을 동적 엔드포인트 VPN라고 한다.
SRX 시리즈 방화벽에서, IKEv1 또는 IKEv2는 동적 엔드포인트 VPN과 함께 사용할 수 있습니다. SRX 시리즈 방화벽의 동적 엔드포인트 VPN은 보안 터널에서 IPv4 트래픽을 지원합니다. Junos OS 릴리스 15.1X49-D80부터 SRX 시리즈 방화벽의 동적 엔드포인트 VPN은 보안 터널에서 IPv6 트래픽을 지원합니다.
IPv6 트래픽은 AutoVPN 네트워크에서 지원되지 않습니다.
다음 섹션에서는 동적 엔드포인트를 사용하여 VPN을 구성할 때 주의해야 할 항목에 대해 설명합니다.
IKE(Internet Key Exchange) ID
동적 엔드포인트에서 디바이스가 피어에 자신을 식별할 수 있도록 IKE ID를 구성해야 합니다. 동적 엔드포인트의 로컬 ID가 피어에서 확인됩니다. 기본적으로 SRX 시리즈 방화벽은 IKE ID가 다음 중 하나일 것으로 예상합니다.
인증서를 사용할 때 고유 이름(DN)을 사용하여 사용자 또는 조직을 식별할 수 있습니다.
엔드포인트을 식별하는 호스트 이름 또는 정규화된 도메인 이름(FQDN)입니다.
user-at-hostname이라고도 하는 사용자 완전 수식 도메인 이름(UFQDN)입니다. 이메일 주소 형식을 따르는 문자열입니다.
IKEv1 정책에 대한 공격 모드
동적 엔드포인트 VPN에서 IKEv1을 사용하는 경우, 해당 IKE(Internet Key Exchange) 정책을 적극적인 모드로 구성해야 합니다.
IKE 정책 및 외부 인터페이스
Junos OS 릴리스 12.3X48-D40, Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 동일한 외부 인터페이스를 사용하는 SRX 시리즈 방화벽에서 구성된 모든 동적 엔드포인트 게이트웨이는 다른 IKE 정책을 사용할 수 있지만 IKE 정책은 동일한 IKE 제안을 사용해야 합니다. 이는 IKEv1 및 IKEv2에 적용됩니다.
NAT
동적 엔드포인트가 네트워크 주소 변환(NAT) 디바이스 뒤에 비공개로 존재하는 경우, SRX 시리즈 방화벽에서 NAT-T를 구성해야 합니다. VPN 피어 간 연결 중에 NAT 변환을 유지하려면 NAT 킵얼라이브가 필요할 수 있습니다. 기본적으로 SRX 시리즈 방화벽에서는 NAT-T가 활성화되어 있고 네트워크 주소 변환(NAT) keepalives가 20초 간격으로 전송됩니다.
그룹 및 공유 IKE ID
각 동적 엔드포인트에 대해 개별 VPN 터널을 구성할 수 있습니다. IPv4 동적 엔드포인트 VPN의 경우 그룹 IKE ID 또는 공유 IKE ID 기능을 사용하여 여러 동적 엔드포인트에서 IKE 게이트웨이 구성을 공유할 수 있습니다.
그룹 IKE ID를 사용하면 "example.net"과 같은 모든 동적 엔드포인트에 대해 전체 IKE ID의 공통 부분을 정의할 수 있습니다. 공통 부분과 연결된 사용자 이름 "Bob"과 같은 사용자 특정 부분은 각 사용자 연결을 고유하게 식별하는 전체 IKE ID(Bob.example.net)를 형성합니다.
공유 IKE ID를 사용하면 동적 엔드포인트에서 단일 IKE ID와 사전 공유 키를 공유할 수 있습니다.
참조
IKE ID 구성 이해
IKE ID(IKE ID)는 IKE 협상 중에 VPN 피어 디바이스의 유효성을 검사하는 데 사용됩니다. SRX 시리즈 방화벽이 원격 피어로부터 수신하는 IKE(Internet Key Exchange) ID는 IPv4 또는 IPv6 주소, 호스트 이름, 정규화된 도메인 이름(FQDN), 사용자 FQDN(UFQDN) 또는 고유 이름(DN)일 수 있습니다. 원격 피어가 보내는 IKE ID는 SRX 시리즈 방화벽이 예상하는 것과 일치해야 합니다. 그렇지 않으면 IKE ID 유효성 검사가 실패하고 VPN이 설정되지 않습니다.
IKE ID 유형
SRX 시리즈 방화벽은 원격 피어에 대해 다음과 같은 유형의 IKE ID를 지원합니다.
IPv4 또는 IPv6 주소는 일반적으로 원격 피어가 정적 IP 주소를 가지는 사이트 간 VPN에 사용됩니다.
호스트 이름은 원격 피어 시스템을 식별하는 문자열입니다. 이것은 IP 주소로 확인되는 FQDN일 수 있습니다. 또한 특정 원격 사용자를 식별하기 위해 IKE 사용자 유형과 함께 사용되는 부분 FQDN일 수도 있습니다.
IP 주소 대신 호스트 이름이 구성된 경우 커밋된 구성 및 이후 터널 설정은 현재 확인된 IP 주소를 기반으로 합니다. 원격 피어의 IP 주소가 변경되면 구성이 더 이상 유효하지 않습니다.
UFQDN은
user@example.com과(와) 같이 이메일 주소와 동일한 형식을 따르는 문자열입니다.DN은 사용자를 고유하게 식별하기 위해 디지털 인증서와 함께 사용되는 이름입니다. 예를 들어, DN은 "CN=user, DC=messages, DC=com"일 수 있습니다. 선택적으로
container키워드를 사용하여 DN의 필드 순서와 해당 값이 구성된 DN과 정확히 일치하도록 지정하거나,wildcard키워드를 사용하여 DN의 필드 값이 일치해야 하지만 필드 순서는 상관 없음을 지정할 수 있습니다.Junos OS 릴리스 19.4R1부터 계층 구조에서
container-stringwildcard-string및[edit security ike gateway gateway_name dynamic distinguished-name]중 이제 동적 DN 속성 하나만 구성할 수 있습니다. 첫 번째 속성을 구성한 후 두 번째 속성을 구성하려고 하면 첫 번째 속성이 두 번째 속성으로 바뀝니다. 디바이스를 업그레이드하기 전에 두 속성을 모두 구성한 경우 하나의 속성을 제거해야 합니다.SRX 시리즈 방화벽에서 동일한 VPN 게이트웨이에 연결하는 원격 피어가 여러 개인 경우 AutoVPN 및 원격 액세스 VPN과 함께 IKE 사용자 유형을 사용할 수 있습니다. 그룹 IKE ID를 지정하려면
ike-user-type group-ike-id을(를), 공유 IKE ID를 지정하려면ike-user-type shared-ike-id을(를) 구성합니다.
원격 IKE ID 및 사이트 간 VPN
사이트 간 VPN의 경우 원격 피어의 IKE ID는 피어 디바이스의 구성에 따라 출력 네트워크 인터페이스 카드의 IP 주소, 루프백 주소, 호스트 이름 또는 수동으로 구성된 IKE ID일 수 있습니다.
기본적으로 SRX 시리즈 방화벽은 원격 피어의 IKE ID가 set security ike gateway gateway-name address 명령으로 구성된 IP 주소일 것으로 예상합니다. 원격 피어의 IKE ID가 다른 값인 경우 [edit security ike gateway gateway-name] 계층 수준에서 remote-identity문을 구성해야 합니다.
예를 들어, SRX 시리즈 방화벽의 IKE 게이트웨이는 set security ike gateway remote-gateway address 203.0.113.1 명령으로 구성됩니다. 그러나 원격 피어가 보낸 IKE ID는 host.example.net입니다. SRX 시리즈 방화벽이 예상하는 원격 피어의 IKE ID(203.0.113.1)와 피어가 보낸 실제 IKE ID(host.example.net)가 불일치합니다. 이 경우 IKE ID 유효성 검사가 실패합니다. set security ike gateway remote-gateway remote-identity hostname host.example.net을(를) 사용하여 원격 피어에서 수신한 IKE ID를 일치시킵니다.
원격 IKE ID 및 동적 엔드포인트 VPN
동적 엔드포인트 VPN의 경우 원격 피어의 예상 IKE ID가 [edit security ike gateway gateway-name dynamic] 계층 수준의 옵션으로 구성됩니다. AutoVPN의 경우 공통 도메인 이름을 가진 피어가 여러 개 있을 경우 과(와) hostname결합된 을(를) 사용할 수 ike-user-type group-ike-id있습니다. 피어를 확인하는 데 인증서가 사용되는 경우 DN을 구성할 수 있습니다.
SRX 시리즈 방화벽의 로컬 IKE ID
기본적으로 SRX 시리즈 방화벽은 원격 피어에 대한 외부 인터페이스의 IP 주소를 IKE ID로 사용합니다. 이 IKE ID는 [edit security ike gateway gateway-name] 계층 수준에서 local-identity문을 구성하여 재정의할 수 있습니다. SRX 시리즈 방화벽에서 local-identity 명령문을 구성해야 하는 경우에는 구성된 IKE ID가 반드시 원격 피어가 예상하는 IKE ID와 일치하도록 해야 합니다.
참조
사이트 간 VPN에 대한 원격 IKE ID 구성
기본적으로 SRX 시리즈 방화벽은 IKE(Internet Key Exchange) 게이트웨이에 대해 구성된 IP 주소를 사용하여 피어로부터 수신한 IKE ID를 검증합니다. 일부 네트워크 설정에서는 피어로부터 수신한 IKE ID(IPv4 또는 IPv6 주소, 정규화된 도메인 이름[FQDN], 고유 이름 또는 이메일 주소일 수 있음)가 SRX 시리즈 방화벽에서 구성한 IKE 게이트웨이와 일치하지 않습니다. 이로 인해 1단계 유효성 검사가 실패할 수 있습니다.
사용되는 IKE ID에 대해 SRX 시리즈 방화벽 또는 피어 디바이스의 구성을 수정하려면 다음과 같이 하십시오.
SRX 시리즈 방화벽의 경우, 피어에서 수신하는 IKE ID와 일치하도록 [
edit security ike gateway gateway-name] 계층 수준에서remote-identity명령문을 구성합니다. 값은 IPv4 또는 IPv6 주소, FQDN, 고유 이름 또는 이메일 주소일 수 있습니다.remote-identity을(를) 구성하지 않으면 디바이스는 기본적으로 원격 피어에 해당하는 IPv4 또는 IPv6 주소를 사용합니다.피어 디바이스의 경우, IKE ID가 SRX 시리즈 방화벽에서 구성된
remote-identity와 동일한지 확인합니다. 피어 디바이스가 SRX 시리즈 방화벽인 경우에는 [edit security ike gateway gateway-name] 계층 수준에서local-identity명령문을 구성합니다. 값은 IPv4 또는 IPv6 주소, FQDN, 고유 이름 또는 이메일 주소일 수 있습니다.
참조
SRX 시리즈 방화벽에서 작동하는 최단 경로 우선(OSPF) 및 OSPFv3 인증 이해하기
OSPFv3에는 기본 제공 인증 방법이 없으며 IPSec(IP Security) 제품군을 사용하여 이 기능을 제공합니다. OIPsec은 원본 인증, 데이터 무결성, 기밀성, 재생 보호 및 소스 거부 방지 기능을 제공합니다. IPsec을 사용하여 특정 OSPFv3 인터페이스 및 가상 링크를 보호하고 OSPF 패킷에 대한 암호화를 제공할 수 있습니다.
OSPFv3는 IPsec 프로토콜의 IP 인증 헤더(AH) 및 IP ESP(Encapsulating Security Payload) 부분을 사용하여 피어 간의 라우팅 정보를 인증합니다. AH는 무연결 무결성 및 데이터 원본 인증을 제공할 수 있습니다. 또한 재생에 대한 보호 기능도 제공합니다. AH는 가능한 한 많은 IP 헤더와 상위 프로토콜 데이터를 인증합니다. 그러나 일부 IP 헤더 필드는 전송 중에 변경될 수 있습니다. 이러한 필드의 값은 보낸 사람이 예측할 수 없기 때문에 AH로 보호할 수 없습니다. ESP는 암호화 및 제한된 트래픽 흐름 기밀성 또는 무연결 무결성, 데이터 원본 인증 및 안티리플레이 서비스를 제공할 수 있습니다.
IPsec은 보안 연결(SA)을 기반으로 합니다. SA는 IPsec 관계를 설정하는 디바이스 간에 협상되는 IPsec 규격 집합입니다. 이 단순 연결은 SA가 전송하는 패킷에 보안 서비스를 제공합니다. 이러한 사양에는 IPsec 연결을 설정할 때 사용할 인증, 암호화 및 IPsec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 특정 흐름을 한 방향으로 암호화하고 인증하는 데 사용됩니다. 따라서 일반적인 양방향 트래픽에서 흐름은 한 쌍의 SA에 의해 보호됩니다. OSPFv3와 함께 사용할 SA는 수동으로 구성하고 전송 모드를 사용해야 합니다. 정적 값은 SA의 양쪽 끝에서 구성해야 합니다.
OSPF 또는 OSPFv3에 대해 IPsec을 구성하려면 먼저 [edit security ipsec] 계층 수준에서 security-association sa-name옵션으로 수동 SA를 정의하십시오. 이 기능은 전송 모드에서 양방향 수동 키 SA만 지원합니다. 수동 SA는 피어 간에 협상할 필요가 없습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI(Security Parameter Index) 값, 알고리즘 및 키를 정적으로 정의하며 두 엔드포인트(OSPF 또는 OSPFv3 피어) 모두에서 일치하는 구성이 필요합니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
암호화 및 인증 알고리즘의 실제 선택은 IPsec 관리자에게 맡겨지지만 다음과 같은 권장 사항이 있습니다.
프로토콜 헤더에는 인증을 제공하지만 IPv6 헤더, 확장 헤더 및 옵션에는 제공하지 않으려면 ESP를 null 암호화와 함께 사용합니다. null 암호화를 사용하면 프로토콜 헤더에 암호화를 제공하지 않습니다. 이 기능은 문제 해결 및 디버깅에 유용할 수 있습니다. Null 암호화에 대한 자세한 내용은 RFC 2410, NULL 암호화 알고리즘 및 IPsec에서의 사용을 참조하십시오.
완전한 기밀 유지를 위해 ESP와 DES 또는 3DES를 함께 사용하십시오.
AH를 사용하여 프로토콜 헤더, IPv6 헤더의 불변 필드, 확장 헤더 및 옵션에 대한 인증을 제공합니다.
구성된 SA는 다음과 같이 OSPF 또는 OSPFv3 구성에 적용됩니다.
OSPF 또는 OSPFv3 인터페이스의 경우 [
edit protocols ospf area area-id interface interface-name] 또는 [edit protocols ospf3 area area-id interface interface-name] 계층 수준에ipsec-sa name문을 포함합니다. OSPF 또는 OSPFv3 인터페이스에는 IPsec SA 이름을 하나만 지정할 수 있지만, 서로 다른 OSPF/OSPFv3 인터페이스에서는 동일한 IPsec SA를 지정할 수 있습니다.OSPF 또는 OSPFv3 가상 링크의 경우 [
edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] 또는 [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 계층 수준에ipsec-sa name문을 포함합니다. 원격 엔드포인트 주소가 동일한 모든 가상 링크에 대해 동일한 IPsec SA를 구성해야 합니다.
SRX 시리즈 방화벽에서 OSPF 또는 OSPFv3에 대한 IPsec 인증에는 다음과 같은 제한 사항이 적용됩니다.
[
edit security ipsec vpn vpn-name manual] 계층 수준에서 구성된 수동 VPN 구성은 IPsec 인증 및 기밀성을 제공하기 위해 OSPF 또는 OSPFv3 인터페이스 또는 가상 링크에 적용할 수 없습니다.디바이스에 동일한 로컬 및 원격 주소를 사용하여 구성된 기존 IPsec VPN이 있는 경우 OSPF 또는 OSPFv3 인증을 위해 IPsec을 구성할 수 없습니다.
보안 터널 st0 인터페이스에서는 OSPF 또는 OSPFv3 인증을 위한 IPsec이 지원되지 않습니다.
수동 키의 키 재생성은 지원되지 않습니다.
동적 IKE(Internet Key Exchange) SA는 지원되지 않습니다.
IPsec 전송 모드만 지원됩니다. 전송 모드에서는 IP 패킷의 페이로드(전송하는 데이터)만 암호화되거나 인증되거나 둘 다 됩니다. 터널 모드는 지원되지 않습니다.
양방향 수동 SA만 지원되므로 모든 OSPFv3 피어를 동일한 IPsec SA로 구성해야 합니다. [
edit security ipsec] 계층 수준에서 수동 양방향 SA를 구성합니다.원격 엔드포인트 주소가 동일한 모든 가상 링크에 대해 동일한 IPsec SA를 구성해야 합니다.
참조
예: SRX 시리즈 방화벽에서 최단 경로 우선(OSPF) 인터페이스에 대한 IPsec 인증 구성
이 예에서는 수동 SA(Security Association)를 구성하고 OSPF 인터페이스에 적용하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
디바이스 인터페이스를 구성합니다.
OSPF 네트워크의 디바이스에 대한 라우터 식별자를 구성합니다.
OSPF 지정 라우터 선택을 제어합니다.
단일 영역 OSPF 네트워크를 구성합니다.
다중 영역 OSPF 네트워크를 구성합니다.
개요
OSPF와 OSPFv3 모두에 IPsec 인증을 사용할 수 있습니다. 수동 SA를 별도로 구성하여 해당 OSPF 구성에 적용합니다. 표 3은(는) 이 예에서 수동 SA에 대해 구성된 파라미터와 값을 나열합니다.
매개 변수 |
가치 |
|---|---|
SA 이름 |
sa1 |
모드 |
전송 |
방향 |
양방향 |
프로토콜 |
AH |
SPI |
256 |
인증 알고리즘 key |
hmac-md5-96 (ASCII) 123456789012abc |
암호화 알고리즘 key |
des (ASCII) cba210987654321 |
구성
수동 SA 구성
CLI 빠른 구성
OSPF 인터페이스에서 IPsec 인증에 사용할 수동 SA를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여넣고, 구성 모드에서 commit을(를) 입력합니다.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
수동 SA를 구성하려면,
SA의 이름을 지정합니다.
[edit] user@host# edit security ipsec security-association sa1
수동 SA의 모드를 지정합니다.
[edit security ipsec security-association sa1] user@host# set mode transport
수동 SA의 방향을 구성합니다.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
사용할 IPsec 프로토콜을 구성합니다.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
SPI 값을 구성합니다.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
인증 알고리즘 및 키를 구성합니다.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
암호화 알고리즘 및 키를 구성합니다.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
결과
show security ipsec 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
암호를 구성한 후에는 암호 자체가 표시되지 않습니다. 출력에는 구성한 암호의 암호화된 형식이 표시됩니다.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
OSPF 인터페이스에 대한 IPsec 인증 사용
CLI 빠른 구성
IPsec 인증에 사용되는 수동 SA를 OSPF 인터페이스에 신속하게 적용하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여넣은 다음, 구성 모드에서 commit(으)로 들어갑니다.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
단계별 절차
OSPF 인터페이스에 대해 IPsec 인증을 사용하도록 설정하려면,
OSPF 영역을 만듭니다.
OSPFv3를 지정하려면
[edit protocols]계층 수준에ospf3문을 포함합니다.[edit] user@host# edit protocols ospf area 0.0.0.0
인터페이스를 지정합니다.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsec 수동 SA를 적용합니다.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
결과
show ospf interface detail 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
OSPFv3 구성을 확인하려면 show protocols ospf3 명령을 입력합니다.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
IPsec 보안 연결 설정 확인
목적
구성된 IPsec 보안 연결 설정을 확인합니다. 다음 정보를 확인합니다:
보안 연결 필드에는 구성된 보안 연결의 이름이 표시됩니다.
SPI 필드에는 구성한 값이 표시됩니다.
모드 필드는 전송 모드를 표시합니다.
유형 필드에는 보안 연결 유형으로 수동이 표시됩니다.
작업
운영 모드에서 show ospf interface detail 명령을 입력합니다.
VPN 마법사를 사용하여 IPSec VPN 구성
VPN 마법사를 사용하여 1단계 및 2단계를 모두 포함한 기본 IPSec VPN를 구성할 수 있습니다. 보다 향상된 구성은 J-Web 인터페이스 또는 CLI를 사용하십시오. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX550HM 디바이스에서 지원됩니다.
VPN 마법사를 사용하여 IPSec VPN 구성 방법:
- J-Web 인터페이스에서
Configure>Device Setup>VPN을(를) 선택합니다. - Launch VPN 마법사 버튼을 클릭합니다.
- 마법사 프롬프트 메시지를 따릅니다.
마법사 페이지의 왼쪽 상단 영역은 구성 과정에 있는 위치를 나타냅니다. 페이지의 왼쪽 하단 영역은 필드에 민감한 도움말을 나타냅니다. 리소스 제목 아래 링크 클릭하면 브라우저에서 문서가 열립니다. 새로운 탭에서 문서가 열리면 문서를 닫을 때 탭(브라우저 창이 아님)만 닫아야 합니다.
참조
예: 허브 및 스포크 VPN 구성
이 예시는 엔터프라이즈급 구축을 위해 허브 및 스포크 IPsec VPN을 구성하는 방법을 보여줍니다. IKEv1 및 IKEv2를 이용한 사이트 간 IPSec VPN은 각각 IKEv1을 이용한 경로 기반 IPsec VPN 및 IKEv2를 이용한 경로 기반 IPsec VPN에서 확인하실 수 있습니다.
요구 사항
개요
이 예시는 지점 구축에서 일반적으로 발견되는 허브 및 스포크 VPN을 구성하는 방법을 설명합니다. 허브는 본사이며, 캘리포니아 서니베일에 있는 지점과 매사추세츠 웨스트포드에 있는 지점이라는 두 개의 스포크가 있습니다. 지점의 사용자는 VPN을 통해 본사에 안전하게 데이터를 전송합니다.
그림 1은 허브 및 스포크 VPN 토폴로지의 예시입니다. 이 토폴로지에서 SRX5800 디바이스는 본사에 있습니다. SRX 시리즈 방화벽은 Westford 브랜치에 위치하고, SSG140 디바이스는 Sunnyvale 브랜치에 있습니다.
이 예시에서는 본사 허브, 웨스트포드 스포크, 서니베일 스포크를 구성합니다. 먼저 인터페이스, IPv4 고정 경로 및 기본 경로, 보안 영역, 주소록을 구성합니다. 그런 다음 IKE(Internet Key Exchange) 1단계와 IPsec 2단계 매개 변수를 구성하고, st0.0 인터페이스를 IPsec VPN에 바인딩합니다. 허브에서 멀티포인트용 st0.0을 구성하고 서니베일 스포크에 정적 NHTB 테이블 항목을 추가합니다. 마지막으로, 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 이 예에서 사용되는 특정 구성 매개 변수에 표 8~표 4을(를) 참조하십시오.
허브 또는 스포크 |
기능 |
이름 |
구성 매개 변수 |
|---|---|---|---|
허브 |
인터페이스 |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
스포크 |
인터페이스 |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
허브 |
보안 존 |
신뢰 |
|
untrust |
|
||
VPN |
st0.0 인터페이스는 이 영역에 결합됩니다. |
||
스포크 |
보안 존 |
신뢰 |
|
untrust |
|
||
VPN |
st0.0 인터페이스는 이 영역에 결합됩니다. |
||
허브 |
주소록 항목 |
local-net |
|
sunnyvale-net |
|
||
westford-net |
|
||
스포크 |
주소록 항목 |
local-net |
|
corp-net |
|
||
sunnyvale-net |
|
허브 또는 스포크 |
기능 |
이름 |
구성 매개 변수 |
|---|---|---|---|
허브 |
제안 |
ike-phase1-proposal |
|
정책 |
ike-phase1-policy |
|
|
게이트웨이 |
gw-westford |
|
|
gw-sunnyvale |
|
||
스포크 |
제안 |
ike-phase1-proposal |
|
정책 |
ike-phase1-policy |
|
|
게이트웨이 |
gw-corporate |
|
허브 또는 스포크 |
기능 |
이름 |
구성 매개 변수 |
|---|---|---|---|
허브 |
제안 |
ipsec-phase2-proposal |
|
정책 |
ipsec-phase2-policy |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
스포크 |
제안 |
ipsec-phase2-proposal |
|
정책 |
ipsec-phase2-policy |
|
|
VPN |
vpn-corporate |
|
허브 또는 스포크 |
목적 |
이름 |
구성 매개 변수 |
|---|---|---|---|
허브 |
보안 정책은 트러스트 영역에서 VPN 영역으로 트래픽을 허용합니다. |
local-to-spokes |
|
보안 정책은 VPN 영역에서 트러스트 영역으로 트래픽을 허용합니다. |
spokes-to-local |
일치 기준:
|
|
보안 정책은 intrazone 트래픽을 허용합니다. |
spoke-to-spoke |
일치 기준:
|
|
스포크 |
보안 정책은 트러스트 영역에서 VPN 영역으로 트래픽을 허용합니다. |
to-corp |
|
보안 정책은 VPN 영역에서 트러스트 영역으로 트래픽을 허용합니다. |
from-corp |
일치 기준:
|
|
보안 정책은 언트러스트(untrust) 영역에서 트러스트 영역으로 트래픽을 허용합니다. |
permit-any |
일치 기준:
|
목적 |
구성 매개 변수 |
|---|---|
TCC-MSS는 TCP 3방향 핸드셰이크의 일부로 협상되며, TCP 세그먼트의 최대 크기를 제한하여 네트워크에서 MTU 제한에 더 잘 맞도록 합니다. VPN 트래픽의 경우, IPSec 캡슐화 오버헤드는 IP 및 프레임 오버헤드와 함께 결과 ESP 패킷이 단편화를 유발하는 물리적 인터페이스의 최대 전송 단위(MTU)를 초과하게 할 수 있습니다. 단편화로 인해 대역폭과 디바이스 리소스 사용이 증가합니다. 1350 값이 MTU가 1500 이상인 대부분 이더넷 기반 네트워크에 권장되는 시작 지점입니다. 최적의 성능을 얻기 위해서는 다양한 TCP-MSS 값의 실험이 필요할 수 있습니다. 예를 들어, 경로의 디바이스가 낮은 최대 전송 단위(MTU)를 가졌거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수도 있습니다. |
MSS 값: 1350 |
구성
- 허브용 기본 네트워크, 보안 영역 및 주소록 정보 구성
- 허브용 IKE(Internet Key Exchange) 구성
- 허브용 IPsec 구성
- 허브용 보안 정책 구성
- 허브용 TCP-MSS 구성
- 웨스트포드 스포크용 기본 네트워크, 보안 영역 및 주소록 정보 구성
- 웨스트포드 스포크용 IKE(Internet Key Exchange) 구성
- 웨스트포드 스포크용 IPsec 구성
- 웨스트포드 스포크용 보안 정책 구성
- 웨스트포드 스포크용 TCP-MSS 구성
- 서니베일 스포크 구성
허브용 기본 네트워크, 보안 영역 및 주소록 정보 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
허브용 기본 네트워크, 보안 영역 및 주소록 정보 구성 방법:
이더넷 인터페이스 정보를 구성합니다.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
고정 경로 정보를 구성합니다.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
언트러스트(untrust) 보안 영역을 구성합니다.
[edit ] user@hub# set security zones security-zone untrust
인터페이스를 언트러스트(untrust) 보안 영역에 할당합니다.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
언트러스트(untrust) 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
트러스트 보안 영역을 구성합니다.
[edit] user@hub# edit security zones security-zone trust
인터페이스를 트러스트 보안 영역에 할당합니다.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
주소록을 생성하고 영역을 연결합니다.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
vpn 보안 영역을 구성합니다.
[edit] user@hub# edit security zones security-zone vpn
인터페이스를 vpn 보안 영역에 할당합니다.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
다른 주소록을 생성하고 영역을 연결합니다.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
결과
구성 모드에서 show interfaces, show routing-options, show security zones 및 show security address-book 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
허브용 IKE(Internet Key Exchange) 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
허브용 IKE(Internet Key Exchange) 구성 방법:
IKE(Internet Key Exchange) 1단계 제안을 만듭니다.
[edit security ike] user@hub# set proposal ike-phase1-proposal
IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
IKE(Internet Key Exchange) 1단계 정책을 생성합니다.
[edit security ike] user@hub# set policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 정책 모드를 설정합니다.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 정의합니다.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 정의합니다.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
결과
구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
허브용 IPsec 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
허브용 IPsec 구성 방법:
IPsec 2단계 제안을 만듭니다.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
IPsec 2단계 제안 프로토콜을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
IPsec 2단계 제안 인증 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
IPsec 2단계 제안 암호화 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
IPsec 2단계 정책을 생성합니다.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
IPsec 2단계 제안 참조를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Diffie-Hellman 그룹 2를 사용할 수 있도록 IPsec 2단계 PFS를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKE(Internet Key Exchange) 게이트웨이를 지정합니다.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
IPsec 2단계 정책을 지정합니다.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
바인딩할 인터페이스를 지정합니다.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
st0 인터페이스를 멀티포인트로 구성합니다.
[edit] user@hub# set interfaces st0 unit 0 multipoint
서니베일 및 웨스트포드 지점에 고정 NHTB 테이블 항목을 추가합니다.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
결과
구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
허브용 보안 정책 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
허브용 보안 정책 구성 방법:
트러스트 영역에서 VPN 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
VPN 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
intrazone 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
결과
구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
허브용 TCP-MSS 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security flow tcp-mss ipsec-vpn mss 1350
단계별 절차
허브용 TCP-MSS 정보 구성 방법:
TCP-MSS 정보를 구성합니다.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
결과
구성 모드에서 show security flow 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
웨스트포드 스포크용 기본 네트워크, 보안 영역 및 주소록 정보 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
웨스트포드 스포크용 기본 네트워크, 보안 영역 및 주소록 정보 구성 방법:
이더넷 인터페이스 정보를 구성합니다.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
고정 경로 정보를 구성합니다.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
언트러스트(untrust) 보안 영역을 구성합니다.
[edit] user@spoke# set security zones security-zone untrust
인터페이스를 보안 영역에 할당합니다.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
언트러스트(untrust) 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
트러스트 보안 영역을 구성합니다.
[edit] user@spoke# edit security zones security-zone trust
인터페이스를 트러스트 보안 영역에 할당합니다.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
vpn 보안 영역을 구성합니다.
[edit] user@spoke# edit security zones security-zone vpn
인터페이스를 vpn 보안 영역에 할당합니다.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
주소록을 생성하고 영역을 연결합니다.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
다른 주소록을 생성하고 영역을 연결합니다.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
결과
구성 모드에서 show interfaces, show routing-options, show security zones 및 show security address-book 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
웨스트포드 스포크용 IKE(Internet Key Exchange) 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
웨스트포드 스포크용 IKE(Internet Key Exchange) 구성 방법:
IKE(Internet Key Exchange) 1단계 제안을 만듭니다.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IKE(Internet Key Exchange) 1단계 정책을 생성합니다.
[edit security ike] user@spoke# set policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 정책 모드를 설정합니다.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 정의합니다.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
결과
구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
웨스트포드 스포크용 IPsec 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
웨스트포드 스포크용 IPsec 구성 방법:
IPsec 2단계 제안을 만듭니다.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
IPsec 2단계 제안 프로토콜을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
IPsec 2단계 제안 인증 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
IPsec 2단계 제안 암호화 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IPsec 2단계 정책을 생성합니다.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
IPsec 2단계 제안 참조를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Diffie-Hellman 그룹 2를 사용할 수 있도록 IPsec 2단계 PFS를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKE(Internet Key Exchange) 게이트웨이를 지정합니다.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
IPsec 2단계 정책을 지정합니다.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
바인딩할 인터페이스를 지정합니다.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
결과
구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
웨스트포드 스포크용 보안 정책 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
웨스트포드 스포크용 보안 정책 구성 방법:
트러스트 영역에서 VPN 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
VPN 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
결과
구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
웨스트포드 스포크용 TCP-MSS 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security flow tcp-mss ipsec-vpn mss 1350
단계별 절차
웨스트포드 스포크용 TCP-MSS 구성 방법:
TCP-MSS 정보를 구성합니다.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
결과
구성 모드에서 show security flow 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
서니베일 스포크 구성
CLI 빠른 구성
이 예시는 서니베일 스포크용 SSG 시리즈 디바이스를 사용합니다. 참고로 SSG 시리즈 디바이스 구성이 제공됩니다. SSG 시리즈 디바이스에 대한 정보는 https://www.juniper.net/documentation에서 을(Concepts and Examples ScreenOS Reference Guide를) 참조하십시오.
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 [edit] 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
- IKE(Internet Key Exchange) 1단계 상태 확인
- IPsec 2단계 상태 확인
- Next-Hop 터널 바인딩 확인
- 원격 피어 로컬 LAN에 대한 고정 경로 확인
- IPsec 보안 연결에 대한 통계 및 오류 검토
- VPN 전반의 트래픽 플로우 테스트
IKE(Internet Key Exchange) 1단계 상태 확인
목적
IKE(Internet Key Exchange) 1단계 상태를 확인합니다.
작업
확인 프로세스를 시작하기 전에 터널을 가동하려면 192.168.10/24 네트워크의 호스트에서 192.168.168/24 및 192.168.178/24 네트워크의 호스트로 트래픽을 전송해야 합니다. 경로 기반 VPN의 경우, SRX 시리즈 방화벽에서 시작된 트래픽을 터널을 통해 보낼 수 있습니다. IPsec 터널을 테스트할 때 VPN의 한 쪽에 있는 별도의 디바이스에서 VPN의 다른 쪽에 있는 두 번째 디바이스로 테스트 트래픽을 전송하는 것이 좋습니다. 예를 들어, 192.168.10.10에서 192.168.168.10으로 ping을 시작합니다.
운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done의미
show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.
SA가 나열되어 있는 경우 다음 정보를 검토합니다.
인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해
show security ike security-associations index detail명령을 사용할 수 있습니다.원격 주소 - 원격 IP 주소가 올바른지 확인합니다.
주
UP—1단계 SA가 설정되었습니다.
DOWN—1단계 SA를 설정하는 데 문제가 있었습니다.
모드 - 올바른 모드가 사용되고 있는지 확인합니다.
구성에서 다음 정보가 정확한지 확인합니다.
외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)
IKE(Internet Key Exchange) 정책 매개 변수
사전 공유 키 정보
1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)
show security ike security-associations index 1 detail 명령은 인덱스 번호 1과의 보안 연결에 대한 추가 정보를 나열합니다.
사용된 인증 및 암호화 알고리즘
1단계 수명
트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)
개시자 및 응답자 역할 정보
문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.
생성된 IPsec SA의 수
진행 중인 2단계 협상 수
IPsec 2단계 상태 확인
목적
IPsec 2단계 상태를 확인합니다.
작업
운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
의미
show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.
ID 번호는 16385입니다. 이 특정 SA에 대한 자세한 정보를 얻기 위해
show security ipsec security-associations index명령의 이 값을 사용합니다.포트 500을 사용하는 하나의 IPsec SA 쌍이 있으며, 이것은 NAT-Traversal이 구현되지 않는다는 의미입니다. (NAT-traversal은 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)
SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 28756/ 무제한 값은 2단계 수명이 28756초 후에 만료되며, 실물 크기가 지정되지 않아 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.
VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.
가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.
show security ipsec security-associations index 16385 detail 명령의 출력은 다음 정보를 나열합니다.
로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.
프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.
2단계 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.
Next-Hop 터널 바인딩 확인
목적
모든 피어에 대해 2단계를 완료한 후 next-hop 터널 바인딩을 확인합니다.
작업
운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
의미
next-hop 게이트웨이는 모든 원격 스포크 피어의 st0 인터페이스에 대한 IP 주소입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다. NHTB 항목이 존재하지 않는 경우, 허브 디바이스는 어떤 IPSec VPN이 어떤 next hop과 연결되는지 구별할 수 있는 방법이 없습니다.
Flag 필드는 다음 값 중 하나를 가지고 있습니다.
Static - NHTB는 st0.0 인터페이스 구성에서 수동으로 구성되었으며, 이는 피어가 SRX 시리즈 방화벽이 아닌 경우에 필요합니다.
Auto - NHTB는 구성되지 않았지만, 두 개 SRX 시리즈 방화벽 간의 2단계 협상 도중 NHTB 테이블에 항목이 자동으로 입력되었습니다.
이 예시에는 스포크 사이트에 대한 NHTB 테이블이 없습니다. 스포크 관점에서 st0 인터페이스는 여전히 1개의 IPSec VPN 바인딩만 있는 지점 간 링크입니다.
원격 피어 로컬 LAN에 대한 고정 경로 확인
목적
고정 경로가 스포크 피어의 st0 IP 주소를 참조하는지 확인합니다.
작업
운영 모드에서 show route 명령을 입력합니다.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0next hop은 원격 피어의 st0 IP 주소이며, 두 경로 모두 나가는 인터페이스로 st0.0을 가리킵니다.
IPsec 보안 연결에 대한 통계 및 오류 검토
목적
IPsec 보안 연결에 대한 ESP 및 인증 헤더 카운터 및 오류를 검토합니다.
작업
운영 모드에서 show security ipsec statistics index 명령을 입력합니다.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
또한 모든 SA의 통계 및 오류를 검토하는 show security ipsec statistics 명령을 사용할 수 있습니다.
모든 IPsec 통계를 지우려면, clear security ipsec statistics 명령을 사용합니다.
의미
VPN 전반에서 패킷 손실 문제가 있는 경우, show security ipsec statistics 또는 show security ipsec statistics detail 명령을 여러 차례 실행하여 암호화 및 복호화된 패킷 카운터가 증가하는지 확인할 수 있습니다. 또한 다른 오류 카운터가 증가하는지 확인해야 합니다.
VPN 전반의 트래픽 플로우 테스트
목적
VPN 전반의 트래픽 플로우를 확인합니다.
작업
SRX 시리즈 방화벽에서 ping 명령을 사용하여 원격 호스트 PC로의 트래픽 플로우를 테스트할 수 있습니다. 경로 조회가 정확하고 정책 조회 중에 적절한 보안 영역이 참조되도록 소스 인터페이스를 지정해야 합니다.
운영 모드에서 ping 명령을 입력합니다.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
또한 SSG 시리즈 디바이스에서 ping 명령을 사용할 수 있습니다.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
의미
SRX 시리즈 또는 SSG 시리즈 디바이스에서 ping 명령이 실패한 경우, 라우팅, 보안 정책, 종료 호스트 또는 ESP 패킷의 암호화와 복호화에 문제가 있을 수 있습니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
container-stringwildcard-string및 [edit security ike gateway gateway_name dynamic distinguished-name]중 이제 동적 DN 속성 하나만 구성할 수 있습니다. 첫 번째 속성을 구성한 후 두 번째 속성을 구성하려고 하면 첫 번째 속성이 두 번째 속성으로 바뀝니다. 디바이스를 업그레이드하기 전에 두 속성을 모두 구성한 경우 하나의 속성을 제거해야 합니다.