IPSec VPN 개요

다음은 Junos 운영체제(OS)가 지원하는 IPSec VPN 토폴로지의 일부입니다.

• 위치 간 VPN: 조직의 두 위치를 함께 연결하고 위치 간의 보안 통신을 허용합니다.

• 허브 앤 스포크 VPN: 지사를 기업 네트워크의 본사에 연결합니다. 또한 이 토폴로지를 사용하여 허브를 통해 트래픽을 전송하여 스포크를 함께 연결할 수 있습니다.

• 원격 액세스 VPN: 자택에서 근무하거나 출장 중인 사용자가 본사와 해당 리소스에 연결할 수 있습니다. 이 토폴로지를 end-to-site tunnel이라고도 합니다.

표 2은(는) 정책 기반 VPN과 경로 기반 VPN의 차이점을 요약합니다.

이 주제에서는 여러 VPN 개체 간의 point-to-point st0 논리적 인터페이스 공유에 대해 알아봅니다.

Junos OS는 iked 프로세스를 사용하여 IPSec VPN 서비스를 실행할 때 point-to-point st0 논리적 인터페이스 공유를 지원하여 kmd 프로세스에서 마이그레이션 경로를 제공합니다. 다음 전제 조건을 충족하면 여러 VPN 개체를 구성하여 point-to-point st0 인터페이스를 공유할 수 있습니다.

• 명시적 트래픽 선택기를 구성했습니다.

• 구성에서 와일드카드 네트워크 마스크를 사용하지 않았습니다.

공유 point-to-point st0 인터페이스의 장점과 제한 사항에 대해 자세히 알아보십시오.

• 이점
• 제한
• 샘플 구성

IPSec VPN 터널은 터널 설치 및 응용 보안으로 구성됩니다. 터널 설치 동안 피어는 보안 협회(SA)를 구축하며, 이는 피어 사이의 트래픽 확보에 대한 매개 변수를 정의합니다. IPsec 개요를 참조하십시오. 터널이 구축된 후 IPSec은 터널 설치 동안 SA가 정의한 보안 매개 변수를 적용하여 두 터널의 엔드 포인트 사이에 보낸 트래픽을 보호합니다. Junos OS 구현 내에서 IPSec은 캡슐화 보안 페이로드(ESP) 및 인증 헤더(AH) 프로토콜을 지원하는 터널 모드에서 적용됩니다.

이 주제는 다음 섹션을 포함합니다.

터널 모드에서 패킷 처리

IPSec은 수송 또는 터널 두 가지 모드 중 하나에서 작동합니다. 터널의 양 끝이 모두 호스트일 때, 어느 하나를 사용할 수 있습니다. 터널의 엔드 포인트 중 적어도 하나가 Junos OS 라우터 또는 방화벽과 같은 보안 게이트웨이일 때는 반드시 터널 모드를 사용해야 합니다. 주니퍼 네트웍스 장치는 항상 IPSec 터널을 위한 터널 모드에서 작동합니다.

터널 모드에서 전체 원본 IP 패킷(페이로드 및 헤더)가 다른 IP 페이로드 내에서 캡슐화되어 있으며 그림 1에서 보여지는 바와 같이 새로운 헤더가 추가됩니다. 전체 원본 패킷은 암호화되며 인증되거나 또는 둘 다일 수 있습니다. 인증 헤더(AH) 프로토콜에서 AH와 새로운 헤더도 인증됩니다. 캡슐화 보안 페이로드(ESP) 프로토콜에서 ESP 헤더 또한 인증될 수 있습니다.

그림 1: 터널 모드

사이트 대 사이트 VPN에서 새로운 헤더에서 사용되는 소스 및 목적지 주소는 나가는 인터페이스의 IP 주소입니다. 그림 2을(를) 참조하세요.

그림 2: 터널 모드에서 사이트 대 사이트 VPN

전화 VPN에서 터널의 VPN 전화 접속 클라이언트 끝에는 터널 게이트웨이가 없습니다. 터널은 클라이언트 자체까지 직접 확장됩니다. (그림 3 참조) 이 경우 전화 접속 클라이언트에서 보낸 패킷에서 새로운 헤더와 캡슐화된 원본 헤더 모두는 동일한 IP 주소를 가집니다. 클라이언트의 컴퓨터입니다.

Netscreen-Remote와 같은 일부 VPN 클라이언트는 가상 내부 IP 주소("고정 주소"라고도 함)를 사용합니다. Netscre-Remote에서 가상 IP 주소를 정의할 수 있습니다. 이러한 경우 가상 내부 IP 주소는 클라이언트에서 생성되는 트래픽의 원본 패킷 헤더에서 소스 IP 주소이며, ISP가 동적으로 할당한 전화 접속 클라이언트의 IP 주소는 외부 헤더에서 소스 IP 주소입니다.

그림 3: 터널 모드에서 전화 접속 VPN

플랫폼과 관련된 사항은 플랫폼별 SPU VPN 처리 동작 섹션에서 확인하십시오.

SRX 시리즈 방화벽에서 IKE는 IPsec에 대한 터널 관리를 제공하고 최종 엔터티를 인증합니다. IKE는 네트워크 디바이스 간 IPsec 터널을 생성하기 위한 Diffie-Hellman(DH) 키 교환을 수행합니다. IKE에서 생성된 IPsec 터널은 암호화, 해독, IP 레이어의 네트워크 디바이스 간의 사용자 트래픽 인증에 사용됩니다.

VPN은 플랫폼의 여러 서비스 처리 단위(SPU)들 중 IKE 및 IPsec 워크로드 부하를 분배하여 생성됩니다. 사이트 간 터널의 경우 가장 적은 로드가 있는 SPU가 앵커 SPU로 선택됩니다. 여러 SPU가 동일한 가장 작은 부하를 가지고 있는 경우 그들 중 어느 것이나 앵커 SPU로 선택될 수 있습니다. 이때, 로드는 사이트 간 게이트웨이 수 또는 SPU에 고정된 수동 설정 VPN 터널 수에 대응합니다. 동적 터널의 경우 새로 설정된 동적 터널은 라운드 로빈 알고리즘을 사용하여 SPU를 선택합니다.

IPsec에서 워크로드는 IKE를 배포하는 것과 동일한 알고리즘에 의해 분배됩니다. 주어진 VPN 터널 종료 포인트 쌍에 대한 2단계 SA는 특정 SPU가 독점적으로 소유하고 있으며, 2단계 SA에 속한 모든 IPsec 패킷은 IPsec 처리를 위해 SA에 앵커된 SPU로 포워드됩니다.

여러 IPsec 세션(2단계 SA)은 하나 이상의 IKE 세션에서 작동할 수 있습니다. IPsec 세션에 앵커하기 위해 선택된 SPU는 기본 IKE 세션을 앵커하는 SPU를 기반으로 하고 있습니다. 따라서 단일 IKE 게이트웨이를 통해 실행되는 모든 IPsec 세션은 동일한 SPU에 의해 서비스되며 여러 SPU에 걸쳐 부하 균형이 되지 않습니다.

표 3은(는) 3개의 IKE 게이트웨이에서 7개의 IPsec 터널을 실행하는 3개의 SPU가 있는 방화벽의 예시를 보여줍니다.

SPU 3개는 각 IKE 게이트웨이 1개와 동등한 부하를 가지고 있습니다. 새로운 IKE 게이트웨이가 생성되면 SPU0, SPU1, 또는 SPU2가 선택되어 IKE 게이트웨이 및 IPsec 세션을 앵커할 수 있습니다.

기존 IPsec 터널을 구축하고 제거하는 것은 기본 IKE 세션이나 기존 IPsec 터널에 영향을 미치지 않습니다.

SPU 당 현재의 터널 수를 보기 위해 다음의 show 명령을 사용하세요. show security ike tunnel-map.

각 게이트웨이의 앵커 포인트를 보기 위해 명령의 summary 옵션을 사용하세요. show security ike tunnel-map summary.

플랫폼과 관련된 사항은 플랫폼별 SRX5000 라인 SPC 동작 섹션에서 확인하십시오.

자세한 정보는 SRX5000 라인의 kmd 및 iked 프로세스에 대한 추가 플랫폼 섹션의 정보를 참조하십시오.

고급 SRX 시리즈 섀시 클러스터에서 기존 IKE 또는 IPsec VPN 터널의 트래픽에 영향을 미치거나 방해하지 않고 디바이스에 SPC를 삽입할 수 있습니다.

SPC3 또는 SPC2 카드를 SPC3 카드가 포함된 기존 섀시에 삽입할 수 있습니다. 섀시의 기존 SPC3 카드보다 높은 슬롯에만 카드를 삽입할 수 있습니다.

그러나 기존 터널은 새로운 SPC에서 SPU(Service Processing Units)의 처리 기능을 사용할 수 없습니다. 새 SPU는 새롭게 구축된 사이트 간 터널과 동적 터널을 고정할 수 있습니다. 그러나 새롭게 구성된 터널은 새 SPC에서 고정되지 않을 수 있습니다.

사이트 간 터널은 로드 밸런싱 알고리즘을 기반으로 서로 다른 SPU에 고정됩니다. 로드 밸런싱 알고리즘은 각 SPU가 사용하는 플로우 스레드 수에 따라 달라집니다. 동일한 로컬 및 원격 게이트웨이 IP 주소에 속하는 터널은 SPU에서 사용하는 다른 플로우 RT 스레드에서 동일한 SPU에 고정됩니다. 부하가 가장 적은 SPU가 앵커 SPU로 선택됩니다. 각 SPU는 해당 특정 SPU에서 호스팅되는 플로우 RT 스레드 수를 유지합니다. 각 SPU에서 호스팅되는 플로우 RT 스레드 수는 SPU 유형에 따라 다릅니다.

터널 부하율 = SPU에 고정된 터널 수 / SPU에서 사용하는 플로우 RT 스레드의 총 개수

동적 터널은 라운드 로빈(round-robin) 알고리즘을 기반으로 서로 다른 SPU에 고정됩니다. 새롭게 구성된 동적 터널은 새 SPC에 고정되지 않을 수 있습니다.

SPC2 및 SPC3 카드가 모두 설치된 경우, show security ipsec tunnel-distribution 명령을 사용하여 다른 SPU에서 터널 매핑을 확인할 수 있습니다.

show security ike tunnel-map 명령을 사용하여 SPC2 카드만 삽입된 다른 SPU에서 터널 매핑을 확인할 수 있습니다. show security ike tunnel-map 명령은 SPC2 및 SPC3 카드가 설치된 환경에서는 유효하지 않습니다.

SPC3 카드 삽입: 지침 및 제한 사항:

• 섀시 클러스터에서 노드 중 하나에 1개의 SPC3 카드가 있고 다른 노드에 2개의 SPC3 카드가 있는 경우, 1개의 SPC3 카드가 있는 노드에 대한 페일오버는 지원되지 않습니다.

• 하위 슬롯에 있는 현재 SPC3보다 상위 슬롯의 기존 섀시에 SPC3 또는 SPC2를 삽입해야 합니다.

• SPC3 ISHU가 작동하려면 새 SPC3 카드를 상위 슬롯 번호에 삽입해야 합니다.

• 당사는 SPC3 Hot removal을 지원하지 않습니다.

iked 및 ikemd, 이 두 개의 프로세스가 SRX 시리즈 방화벽에서 IPsec VPN 기능을 지원합니다. iked 및 ikemd의 단일 인스턴스는 라우팅 엔진에서 한 번에 실행됩니다.

junos-ike 패키지를 사용하면 방화벽이 iked 프로세스를 사용하여 IPsec VPN 서비스를 실행합니다. SRX 시리즈 방화벽에서 junos-ike 패키지는 릴리스가 여러 개입니다.

자세한 정보는 패키지 지원을 위한 junos-ike추가 플랫폼 정보 섹션을 참조하십시오.

라우팅 엔진에서 실행되는 iked 및 ikemd 프로세스를 모두 junos-ike 패키지와 함께 사용할 수 있습니다.

SRX 시리즈 방화벽에 junos-ike 패키지를 설치하려면 아래의 명령을 사용하십시오.

라우팅 엔진에서 ikemd 프로세스를 다시 시작하려면 restart ike-config-management 명령을 사용합니다.

라우팅 엔진에서 iked 프로세스를 다시 시작하려면 restart ike-key-management 명령을 사용합니다.

SRX 시리즈 방화벽에서 레거시 kmd 프로세스를 사용하여 IPsec VPN 기능을 작동하려면 request system software delete junos-ike 명령을 실행하고 디바이스를 재부팅합니다.

설치된 junos-ike 패키지를 확인하려면 다음 명령을 사용해야 합니다.

플랫폼 관련 참고 사항은 플랫폼별 암호화 가속화 동작 섹션을 검토합니다.

자세한 정보는 암호화 가속화 지원을 위한 추가 플랫폼 정보 섹션을 참조하십시오.

Junos OS는 하드웨어 암호화 엔진에 대한 암호화 작업의 가속화를 지원합니다. SRX 시리즈 방화벽은 DH, RSA, ECDSA 암호화 작업을 하드웨어 암호화 엔진으로 오프로드할 수 있습니다.

junos-ike 패키지를 사용하면 방화벽이 iked 프로세스를 사용하여 IPsec VPN 서비스를 실행합니다. 방화벽은 고급 IPsec VPN 기능을 설치하고 활성화하기 위해 컨트롤 플레인 소프트웨어와 같은 iked 프로세스가 필요합니다. junos-ike 패키지의 결과로, 방화벽은 기본적으로 IPsec 키 관리 데몬(kmd) 대신 라우팅 엔진에서 iked 및 ikemd 프로세스를 실행합니다.

방화벽은 다양한 암호화에 대한 하드웨어 가속화를 지원합니다.

자세한 내용은 추가 플랫폼 정보 섹션의 표 12, 표 13, , 표 14, 표 15표 16표 17 , 를 참조하십시오.

Junos OS는 SRX 시리즈 방화벽을 사용하는 IPsec VPN 터널과 SPC3을 사용하는 MX 시리즈 라우터에서 라우팅 프로토콜을 지원합니다. 지원되는 프로토콜에는 kmd 또는 iked 프로세스를 실행할 때 OSPF, BGP, PIM, RIP 및 BFD가 포함됩니다. 프로토콜 지원은 다음에 따라 다릅니다.

• IP 주소 지정 체계: IPv4 또는 IPv6 주소

• st0 인터페이스 유형: P2P(Point-to-Point) 또는 P2MP(Point-to-multipoint)

플랫폼과 관련된 사항은 플랫폼별 안티리플레이 창 동작 섹션에서 확인하십시오.

SRX 시리즈 방화벽에서는 기본적으로 윈도우 크기 값이 64로 활성화되어 있습니다 anti-replay-window .

창 크기를 구성하려면 새 anti-replay-window-size 옵션을 사용합니다. 수신 패킷은 구성된 에 anti-replay-window-size 따라 재생 공격에 대해 검증됩니다.

다음과 같은 두 가지 수준에서 구성할 replay-window-size 수 있습니다.

• Global level- [edit security ipsec] 계층 수준에서 구성됩니다.

  몇 가지 예를 들면 다음과 같습니다.

• VPN object- [edit security ipsec vpn vpn-name ike] 계층 수준에서 구성됩니다.

  몇 가지 예를 들면 다음과 같습니다.

안티리플레이 기능이 두 수준 모두에서 구성된 경우 VPN 개체 수준에 대해 구성된 창 크기가 전역 수준에서 구성된 창 크기보다 우선합니다. 재생 방지가 구성되지 않은 경우 창 크기는 기본적으로 64입니다.

VPN 개체에서 안티리플레이 창 옵션을 비활성화하려면 [edit security ipsec vpn vpn-name ike] 계층 수준에서 명령을 사용합니다set no-anti-replay. 전역 수준에서 안티리플레이를 비활성화할 수 없습니다.

VPN 개체에서 및 을 no-anti-replay 둘 다 anti-replay-window-size 구성할 수는 없습니다.

디바이스에서 종료되는 2개의 VPN 터널을 생성할 경우 디바이스가 트패픽에 하나의 터널을 다른쪽 터널로 나가도록 지시하도록 한 쌍의 경로를 설정할 수 있습니다. 트래픽이 하나의 터널에서 다른 터널로 통과할 수 있도록 허용하기 위해서는 정책을 만들어야 합니다. 이러한 배열은 허브 앤 스포크 VPN으로 알려져 있습니다. (그림 4을(를) 참조하십시오.)

두 터널 사이에서 여러 VPN과 경로 트래픽을 구성할 수도 있습니다.

SRX 시리즈 방화벽은 경로 기반의 허브 앤 스포크 기능만 지원합니다.

그림 4: 허브 앤 스포크 VPN 구성의 여러 터널

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

자세한 내용은 섹션을 추가 플랫폼 정보 참조하십시오.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토할 수 있습니다.

• 플랫폼별 SPU VPN 처리 동작
• 플랫폼별 SRX5000 라인 SPC 동작
• 플랫폼별 암호화 가속 동작
• 플랫폼별 안티리플레이 창 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오. 추가 플랫폼이 지원될 수 있습니다.