IPSec VPN 개요

다음은 Junos 운영체제(OS)가 지원하는 IPSec VPN 토폴로지의 일부입니다.

• 위치 간 VPN: 조직의 두 위치를 함께 연결하고 위치 간의 보안 통신을 허용합니다.

• 허브 앤 스포크 VPN: 지사를 기업 네트워크의 본사에 연결합니다. 또한 이 토폴로지를 사용하여 허브를 통해 트래픽을 전송하여 스포크를 함께 연결할 수 있습니다.

• 원격 액세스 VPN: 자택에서 근무하거나 출장 중인 사용자가 본사와 해당 리소스에 연결할 수 있습니다. 이 토폴로지를 end-to-site tunnel이라고도 합니다.

표 2은(는) 정책 기반 VPN과 경로 기반 VPN의 차이점을 요약합니다.

IPSec VPN 터널은 터널 설치 및 응용 보안으로 구성됩니다. 터널 설치 동안 피어는 보안 협회(SA)를 구축하며, 이는 피어 사이의 트래픽 확보에 대한 매개 변수를 정의합니다. ( 참조IPsec 개요.) 터널이 구축된 후 IPSec은 터널 설치 동안 SA가 정의한 보안 매개 변수를 적용하여 두 터널의 엔드 포인트 사이에 보낸 트래픽을 보호합니다. Junos OS 구현 내에서 IPSec은 캡슐화 보안 페이로드(ESP) 및 인증 헤더(AH) 프로토콜을 지원하는 터널 모드에서 적용됩니다.

이 주제는 다음 섹션을 포함합니다.

터널 모드에서 패킷 처리

IPSec은 수송 또는 터널 두 가지 모드 중 하나에서 작동합니다. 터널의 양 끝이 모두 호스트일 때, 어느 하나를 사용할 수 있습니다. 터널의 엔드 포인트 중 적어도 하나가 Junos OS 라우터 또는 방화벽과 같은 보안 게이트웨이일 때는 반드시 터널 모드를 사용해야 합니다. 주니퍼 네트웍스 장치는 항상 IPSec 터널을 위한 터널 모드에서 작동합니다.

터널 모드에서 전체 원본 IP 패킷(페이로드 및 헤더)가 다른 IP 페이로드 내에서 캡슐화되어 있으며 그림 1에서 보여지는 바와 같이 새로운 헤더가 추가됩니다. 전체 원본 패킷은 암호화되며 인증되거나 또는 둘 다일 수 있습니다. 인증 헤더(AH) 프로토콜에서 AH와 새로운 헤더도 인증됩니다. 캡슐화 보안 페이로드(ESP) 프로토콜에서 ESP 헤더 또한 인증될 수 있습니다.

그림 1: 터널 모드

사이트 대 사이트 VPN에서 새로운 헤더에서 사용되는 소스 및 목적지 주소는 나가는 인터페이스의 IP 주소입니다. 그림 2을(를) 참조하세요.

그림 2: 터널 모드에서 사이트 대 사이트 VPN

전화 VPN에서 터널의 VPN 전화 접속 클라이언트 끝에는 터널 게이트웨이가 없습니다. 터널은 클라이언트 자체까지 직접 확장됩니다. (그림 3 참조) 이 경우 전화 접속 클라이언트에서 보낸 패킷에서 새로운 헤더와 캡슐화된 원본 헤더 모두는 동일한 IP 주소를 가집니다. 클라이언트의 컴퓨터입니다.

Netscreen-Remote와 같은 일부 VPN 클라이언트는 가상 내부 IP 주소("고정 주소"라고도 함)를 사용합니다. Netscre-Remote에서 가상 IP 주소를 정의할 수 있습니다. 이러한 경우 가상 내부 IP 주소는 클라이언트에서 생성되는 트래픽의 원본 패킷 헤더에서 소스 IP 주소이며, ISP가 동적으로 할당한 전화 접속 클라이언트의 IP 주소는 외부 헤더에서 소스 IP 주소입니다.

그림 3: 터널 모드에서 전화 접속 VPN

SRX5400, SRX5600, SRX5800 디바이스에서 IKE(Internet Key Exchange)는 IPsec에 대한 터널 관리를 제공하고 최종 엔터티를 인증합니다. IKE는 네트워크 디바이스 간 IPsec 터널을 생성하기 위한 Diffie-Hellman(DH) 키 교환을 수행합니다. IKE에서 생성된 IPsec 터널은 암호화, 해독, IP 레이어의 네트워크 디바이스 간의 사용자 트래픽 인증에 사용됩니다.

VPN은 플랫폼의 여러 서비스 처리 단위(SPU)들 중 IKE 및 IPsec 워크로드 부하를 분배하여 생성됩니다. 사이트 간 터널의 경우 가장 적은 로드가 있는 SPU가 앵커 SPU로 선택됩니다. 여러 SPU가 동일한 가장 작은 부하를 가지고 있는 경우 그들 중 어느 것이나 앵커 SPU로 선택될 수 있습니다. 이때, 로드는 사이트 간 게이트웨이 수 또는 SPU에 고정된 수동 설정 VPN 터널 수에 대응합니다. 동적 터널의 경우 새로 설정된 동적 터널은 라운드 로빈 알고리즘을 사용하여 SPU를 선택합니다.

IPsec에서 워크로드는 IKE를 배포하는 것과 동일한 알고리즘에 의해 분배됩니다. 주어진 VPN 터널 종료 포인트 쌍에 대한 2단계 SA는 특정 SPU가 독점적으로 소유하고 있으며, 2단계 SA에 속한 모든 IPsec 패킷은 IPsec 처리를 위해 SA에 앵커된 SPU로 포워드됩니다.

여러 IPsec 세션(2단계 SA)은 하나 이상의 IKE 세션에서 작동할 수 있습니다. IPsec 세션에 앵커하기 위해 선택된 SPU는 기본 IKE 세션을 앵커하는 SPU를 기반으로 하고 있습니다. 따라서 단일 IKE 게이트웨이를 통해 실행되는 모든 IPsec 세션은 동일한 SPU에 의해 서비스되며 여러 SPU에 걸쳐 부하 균형이 되지 않습니다.

표 3에서는 3개의 IKE 게이트웨이를 통해 7개의 IPsec 터널을 실행하는 3개의 SPU가 있는 SRX5000 라인의 예시를 보여줍니다.

SPU 3개는 각 IKE 게이트웨이 1개와 동등한 부하를 가지고 있습니다. 새로운 IKE 게이트웨이가 생성되면 SPU0, SPU1, 또는 SPU2가 선택되어 IKE 게이트웨이 및 IPsec 세션을 앵커할 수 있습니다.

기존 IPsec 터널을 구축하고 제거하는 것은 기본 IKE 세션이나 기존 IPsec 터널에 영향을 미치지 않습니다.

SPU 당 현재의 터널 수를 보기 위해 다음의 show 명령을 사용하세요. show security ike tunnel-map.

각 게이트웨이의 앵커 포인트를 보기 위해 명령의 summary 옵션을 사용하세요. show security ike tunnel-map summary.

SRX5400, SRX5600 또는 SRX5800 섀시 클러스터에서 기존 IKE(Internet Key Exchange) 또는 IPSec VPN 터널의 트래픽에 영향을 미치거나 방해하지 않고 디바이스에 새 SPC를 삽입할 수 있습니다. 클러스터의 각 섀시에 새 SPC를 삽입하면 기존 터널이 영향을 받지 않고 트래픽이 중단 없이 계속 흐릅니다.

Junos OS 릴리스 19.4R1부터는 모든 SRX5000 라인 섀시 클러스터에서 SPC3 카드가 들어 있는 기존 섀시에 새로운 SRX5K-SPC3(SPC3) 또는 SRX5K-SPC-4-15-320(SPC2) 카드를 삽입할 수 있습니다. 섀시의 기존 SPC3 카드보다 높은 슬롯에만 카드를 삽입할 수 있습니다. 카드를 활성화하려면 SPC3을 삽입한 후에 노드를 재부팅해야 합니다. 노드 재부팅이 완료된 후에 IPsec 터널이 카드에 배포됩니다.

그러나 기존 터널은 새로운 SPC에서 SPU(Service Processing Units)의 처리 기능을 사용할 수 없습니다. 새 SPU는 새롭게 구축된 사이트 간 터널과 동적 터널을 고정할 수 있습니다. 그러나 새롭게 구성된 터널은 새 SPC에서 고정되지 않을 수 있습니다.

사이트 간 터널은 로드 밸런싱 알고리즘을 기반으로 서로 다른 SPU에 고정됩니다. 로드 밸런싱 알고리즘은 각 SPU가 사용하는 플로우 스레드 수에 따라 달라집니다. 동일한 로컬 및 원격 게이트웨이 IP 주소에 속하는 터널은 SPU에서 사용하는 다른 플로우 RT 스레드에서 동일한 SPU에 고정됩니다. 부하가 가장 적은 SPU가 앵커 SPU로 선택됩니다. 각 SPU는 해당 특정 SPU에서 호스팅되는 플로우 RT 스레드 수를 유지합니다. 각 SPU에서 호스팅되는 플로우 RT 스레드 수는 SPU 유형에 따라 다릅니다.

터널 부하율 = SPU에 고정된 터널 수 / SPU에서 사용하는 플로우 RT 스레드의 총 개수

동적 터널은 라운드 로빈(round-robin) 알고리즘을 기반으로 서로 다른 SPU에 고정됩니다. 새롭게 구성된 동적 터널은 새 SPC에 고정되지 않을 수 있습니다.

Junos OS 릴리스 18.2R2 및 18.4R1부터 현재 SRX5K-SPC3(SPC3)에서만 지원되는 기존의 모든 IPsec VPN 기능은 SRX5K-SPC-4-15-320(SPC2) 및 SPC3 카드가 설치되어 섀시 클러스터 모드 또는 독립형 모드의 디바이스에서 작동할 때 SRX5400, SRX5600, SRX5800 디바이스에서 지원됩니다.

SPC2 및 SPC3 카드가 모두 설치된 경우, show security ipsec tunnel-distribution 명령을 사용하여 다른 SPU에서 터널 매핑을 확인할 수 있습니다.

show security ike tunnel-map 명령을 사용하여 SPC2 카드만 삽입된 다른 SPU에서 터널 매핑을 확인할 수 있습니다. show security ike tunnel-map 명령은 SPC2 및 SPC3 카드가 설치된 환경에서는 유효하지 않습니다.

SPC3 카드 삽입: 지침 및 제한 사항:

• 섀시 클러스터에서 노드 중 하나에 1개의 SPC3 카드가 있고 다른 노드에 2개의 SPC3 카드가 있는 경우, 1개의 SPC3 카드가 있는 노드에 대한 페일오버는 지원되지 않습니다.

• 하위 슬롯에 있는 현재 SPC3보다 상위 슬롯의 기존 섀시에 SPC3 또는 SPC2를 삽입해야 합니다.

• SPC3 ISHU가 작동하려면 새 SPC3 카드를 상위 슬롯 번호에 삽입해야 합니다.

• SRX5800 섀시 클러스터에서는 전력 및 열 분배 제한으로 인해 최상위 슬롯(슬롯 번호 11)에 SPC3 카드를 삽입해서는 안 됩니다.

• 당사는 SPC3 Hot removal을 지원하지 않습니다.

표 4에는 SPC2 또는 SPC3 카드가 탑재된 SRX5000 라인의 kmd 또는 iked 프로세스 지원이 요약되어 나와 있습니다.

SRX5K-SPC3 카드(서비스 처리 카드)가 포함된 SRX5000 라인, SRX 중급 플랫폼(SRX4100, SRX4200, SRX1500 및 SRX4600 시리즈 방화벽) 및 vSRX 가상 방화벽에는 IPsec VPN 기능을 설치하고 활성화하기 위한 컨트롤 플레인 소프트웨어로 junos-ike패키지가 필요합니다. .

• RE3가 포함된 SRX5000 라인에서는 기본적으로 junos-ike패키지가 Junos OS 릴리스 20.1R2, 20.2R2, 20.3R2, 20.4R1 이상에 설치됩니다. 그 결과 iked 및 ikemd 프로세스는 기본적으로 IPsec 키 관리 데몬(kmd) 대신 라우팅 엔진에서 실행됩니다. SRX5K-SPC3이 탑재된 SRX5000 라인은 암호화 작업을 하드웨어 암호화 엔진에 오프로드합니다.

• SRX1500, SRX4100, SRX4200 및 SRX4600 시리즈 방화벽을 포함하는 SRX 중급 플랫폼은 junos-ike 소프트웨어를 실행하는 디바이스를 통해 DH, RSA 및 ECDSA 암호화 작업을 하드웨어 암호화 엔진으로 오프로드합니다. 이 기능은 디바이스에 junos-ike 패키지가 설치된 경우 Junos OS 릴리스 23.2R1부터 이용이 가능합니다. 기존의 iked 소프트웨어를(kmd 프로세스) 계속 실행하는 디바이스는 이 기능을 지원하지 않습니다.

• vSRX 가상 방화벽에서 데이터 플레인 CPU 스레드는 DH, RSA 및 ECDSA 작업을 오프로드합니다. 이러한 디바이스에서는 하드웨어 가속화를 사용할 수 없습니다. 이 기능은 디바이스에 junos-ike 패키지가 설치된 상태에서 Junos OS 릴리스 23.2R1부터 사용 가능합니다.

표 5에서는 다양한 암호화에 대한 하드웨어 가속 지원에 대해 설명합니다.

SRX 시리즈 방화벽에 Junos IKE 패키지를 설치하려면 아래의 명령을 사용하십시오.

kmd프로세스를 사용하여 SPC3 카드 없이 SRX5000 라인에서 IPsec VPN 기능을 활성화하려면 request system software delete junos-ike명령을 실행해야 합니다. 이 명령을 실행한 후에는 디바이스를 재부팅하십시오.

설치된 junos-ike 패키지를 확인하려면 다음 명령을 사용해야 합니다.

두 개의 프로세스iked와 ikemd가 SRX 시리즈 방화벽에서 IPsec VPN 기능을 지원합니다. 한 번에 라우팅 엔진에서 iked 및ikemd 의 단일 인스턴스가 실행됩니다.

기본적으로, junos-ike패키지는 RE3가 포함된 SRX5K-SPC3용 Junos OS 릴리스 19.4R1 이상에 설치됩니다. 라우팅 엔진에서 실행되는 iked및 ikemd프로세스를 모두 이 패키지와 함께 사용할 수 있습니다. RE2가 포함된 SRX5K-SPC3에서 이것은 선택적 패키지이므로 설치를 명확히 해야 합니다.

라우팅 엔진에서 ikemd 프로세스를 다시 시작하려면 restart ike-config-management 명령을 사용합니다.

라우팅 엔진에서 iked 프로세스를 다시 시작하려면 restart ike-key-management 명령을 사용합니다.

표 6에서는 junos-ike패키지가 도입된 Junos OS 릴리스의 세부 정보를 보여 줍니다.

SRX5K-SPC3 카드 없이 SRX5000 라인에서 레거시 kmd프로세스를 사용하여 IPsec VPN 기능을 작동하려면 request system software delete junos-ike 명령을 실행하고 디바이스를 재부팅해야 합니다.

SRX 시리즈 방화벽에서는 기본적으로 윈도우 크기 값이 64로 활성화되어 있습니다 .anti-replay-window

SPC3 카드가 설치된 SRX 시리즈 5000 라인에서 64에서 8192(2의 거듭제곱) 범위에서 크기를 구성할 수 있습니다.anti-replay-window 창 크기를 구성하려면 새 옵션을 사용합니다.anti-replay-window-size 수신 패킷은 구성된 에 따라 재생 공격에 대해 검증됩니다.anti-replay-window-size

다음과 같은 두 가지 수준에서 구성할 수 있습니다.replay-window-size

• - [] 계층 수준에서 구성됩니다.Global leveledit security ipsec

  예:

• - [] 계층 수준에서 구성됩니다.VPN objectedit security ipsec vpn vpn-name ike

  예:

안티리플레이 기능이 두 수준 모두에서 구성된 경우 VPN 개체 수준에 대해 구성된 창 크기가 전역 수준에서 구성된 창 크기보다 우선합니다. 재생 방지가 구성되지 않은 경우 창 크기는 기본적으로 64입니다.

VPN 개체에서 안티리플레이 창 옵션을 비활성화하려면 [] 계층 수준에서 명령을 사용합니다.set no-anti-replayedit security ipsec vpn vpn-name ike 전역 수준에서 안티리플레이를 비활성화할 수 없습니다.

VPN 개체에서 및 을 둘 다 구성할 수는 없습니다.anti-replay-window-sizeno-anti-replay

디바이스에서 종료되는 2개의 VPN 터널을 생성할 경우 디바이스가 트패픽에 하나의 터널을 다른쪽 터널로 나가도록 지시하도록 한 쌍의 경로를 설정할 수 있습니다. 트래픽이 하나의 터널에서 다른 터널로 통과할 수 있도록 허용하기 위해서는 정책을 만들어야 합니다. 이러한 배열은 허브 앤 스포크 VPN으로 알려져 있습니다. (그림 4을(를) 참조하십시오.)

두 터널 사이에서 여러 VPN과 경로 트래픽을 구성할 수도 있습니다.

SRX 시리즈 방화벽은 경로 기반의 허브 앤 스포크 기능만 지원합니다.

그림 4: 허브 앤 스포크 VPN 구성의 여러 터널