Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN Internet Key Exchange(IKE(Internet Key Exchange))

Internet Key Exchange 버전 2(IKEv2)는 피어 VPN 장치 간 안전한 VPN 통신 채널을 제공하는 IPsec 기반 터널링 프로토콜로, 보호된 방식으로 IPsec 보안 연결(SAS)에 대한 협상 및 인증을 정의합니다.

IKE(Internet Key Exchange) 및 IPsec 패킷 처리

IKE(Internet Key Exchange) IPsec에 대한 터널 관리를 지원하고 최종 엔티티를 인증합니다. IKE(Internet Key Exchange) DH(Diffie-Hellman) 키 교환을 수행하여 네트워크 장치 간 IPsec 터널을 생성합니다. 생성되는 IPsec IKE(Internet Key Exchange) IP 계층의 네트워크 장치 간 사용자 트래픽을 암호화, 복호화, 인증하는 데 사용됩니다.

IKE(Internet Key Exchange) 패킷 처리

cleartext 패킷이 터널링이 필요한 주니퍼 네트웍스 디바이스에 도착하고, 이 터널에 대해 활성 Phase 2 SA가 없는 경우, Junos OS 협상을 시작하고 패킷을 IKE(Internet Key Exchange) 드롭합니다. IP 패킷 헤더의 소스 및 대상 주소는 각각 로컬 및 원격 IKE(Internet Key Exchange) 있는 주소입니다. IP 패킷 페이로드에는 ISAKMP(IKE(Internet Key Exchange)) 패킷을 캡슐화하는 UDP 세그먼트가 있습니다. 패킷 IKE(Internet Key Exchange) 1단계와 2단계의 형식은 동일합니다. 그림 1을 참조합니다.

한편, 소스 호스트는 드롭된 패킷을 다시 전송했습니다. 일반적으로, 두 번째 패킷이 도착하면 IKE(Internet Key Exchange) 협상이 완료되어 Junos OS 패킷과 모든 후속 패킷을 세션에서 전송하기 전에 IPsec을 통해 보호합니다.

그림 1: IKE(Internet Key Exchange) 1단계 및 2단계를 위한 패킷 전송IKE(Internet Key Exchange) 1단계 및 2단계를 위한 패킷 전송

다음 페이로드 필드에는 다음 페이로드 유형 중 하나를 나타내는 번호가 포함되어 있습니다.

  • 0002—SA 협상 페이로드에는 1단계 또는 2단계 SA에 대한 정의가 포함되어 있습니다.

  • 0004—제안 페이로드는 1단계 또는 2단계 제안일 수 있습니다.

  • 0008—혁신 페이로드는 SA 페이로드에 캡슐화된 제안 페이로드에 캡슐화됩니다.

  • 0010—KE(Key Exchange) 페이로드에는 DH 공개 가치와 같은 키 교환을 수행하는 데 필요한 정보가 포함되어 있습니다.

  • 0020—ID(Identification) 페이로드

    • 1단계에서 IDii는 시작자 ID를 나타내고 IDir는 응답자 ID를 나타냅니다.

    • 2단계에서 IDui는 사용자 시작자를 나타내고 IDur는 사용자 응답자를 나타냅니다.

    ID는 FQDN IKE(Internet Key Exchange) U-FQDN, IP 주소 및 ASN.1_DN.

  • 0040—CERT(Certificate) 페이로드

  • 0080—인증서 요청(CERT_REQ) 페이로드

  • 0100—해시(HASH) 페이로드에는 특정 해시 기능의 다이제스트 출력이 포함되어 있습니다.

  • 0200—서명(SIG) 페이로드에는 디지털 서명이 포함되어 있습니다.

  • 0400—Nonce(Nx) 페이로드에는 교환에 필요한 몇 가지 pseudorandom 정보가 포함되어 있습니다.

  • 0800—페이로드에 알려야 합니다.

  • 1000—ISAKMP 페이로드 삭제.

  • 2000—VID(Vendor ID) 페이로드는 1단계 협상의 어느 곳에나 포함될 수 있습니다. Junos OS-T에 대한 지원을 표시하는 데 네트워크 주소 변환(NAT) 있습니다.

각 ISAKMP 페이로드는 에 표시된와 동일한 일반 헤더로 그림 2 시작됩니다.

그림 2: 일반 ISAKMP 페이로드 헤더일반 ISAKMP 페이로드 헤더

여러 ISAKMP 페이로드가 서로 연결될 수 있습니다. 다음 헤더 필드의 값에 따라 각 후속 페이로드 유형이 표시될 수 있습니다. 값 은 0000 마지막 ISAKMP 페이로드를 나타냅니다. 예를 그림 3 들어 보겠습니다.

그림 3: 일반 ISAKMP 페이로드가 있는 ISAKMP 헤더일반 ISAKMP 페이로드가 있는 ISAKMP 헤더

IPsec 패킷 처리

IKE(Internet Key Exchange) 협상을 완료하고 2개의 IKE(Internet Key Exchange) 게이트웨이는 1단계 및 2단계 보안 연결(SAS)을 설정한 후, 모든 후속 패킷은 터널을 사용하여 전달됩니다. 2단계 SA가 터널 모드에서 ESP(Encapsulating Security Protocol)를 지정하면 패킷은 에 표시된 패킷과 같이 그림 4 표시됩니다. 이 장치는 시작 호스트가 전송하는 원래 패킷에 2개의 추가 헤더를 추가합니다.

에 표시된 것 처럼, 시작 호스트 구조가 구축하는 패킷에는 페이로드, TCP 헤더 및 내부 그림 4 IP 헤더(IP1)가 포함되어 있습니다.

그림 4: IPsec Packet—터널 모드의 ESPIPsec Packet—터널 모드의 ESP

추가되는 라우터 IP Junos OS IP 헤더는 원격 게이트웨이의 IP 주소를 대상 IP 주소로, 소스 IP 주소로 로컬 라우터의 IP 주소를 포함합니다. Junos OS 외부와 내부 IP 헤더 사이에 ESP 헤더를 추가합니다. ESP 헤더에는 원격 피어가 패킷을 수신할 때 패킷을 적절하게 처리할 수 있는 정보가 포함되어 있습니다. 이는 그림 5 에 표시된다.

그림 5: IP2(Outer IP 헤더) 및 ESP 헤더IP2(Outer IP 헤더) 및 ESP 헤더

다음 헤더 필드는 페이로드 필드의 데이터 유형을 나타냅니다. 터널 모드에서는 IP 패킷이 페이로드 내에 포함되어 있는 것을 나타내는 4입니다. 을 그림 6 참조합니다.

그림 6: 내부 IP 헤더(IP1) 및 TCP 헤더내부 IP 헤더(IP1) 및 TCP 헤더

2018년 IKE(Internet Key Exchange) 소개 Junos OS

IKE(Internet Key Exchange) 인터넷과 같은 보호되지 않는 매체를 통해 암호화 및 인증을 위한 키를 안전하게 교환할 수 있는 방법을 제공합니다. IKE(Internet Key Exchange) 한 쌍의 보안 게이트웨이를 지원하여 다음을 할 수 있습니다. 터널 및 주요 정보를 교환할 수 있는 보안 게이트웨이에 대한 보안 터널을 동적으로 구축합니다. 터널 속성 협상 및 키 관리를 포함하여 사용자 수준 터널 또는 SAS 설정 또한 이러한 터널은 동일한 보안 채널 위에 업데이트 및 종료될 수 있습니다. IKE(Internet Key Exchange) Diffie-Hellman 메소드를 사용하며 IPsec 내 옵션입니다(공유 키를 엔드포인트에서 수동으로 입력할 수 있습니다).

IKEv2에는 다음이 포함됩니다.

  • 경로 기반 VPN.

  • Site-to-Site VPN.

  • 피어 탐지가 못합니다.

  • 섀시 클러스터.

  • 사전 공유 키 인증.

  • 인증서 기반 인증.

  • 미성년자 SAS. IKEv2 하위 SA는 IKEv1의 2단계 SA로 알려져 있습니다. IKEv2에서는 하위 SA가 있는 경우 하위 SA가 존재할 IKE(Internet Key Exchange) 없습니다.

  • AutoVPN을 통해

  • 동적 엔드포인트 VPN.

  • EAP는 IKEv2를 사용하여 원격 액세스가 지원됩니다.

  • 트래픽 셀터.

IKEv2는 다음과 같은 기능을 지원하지 않습니다.

  • 정책 기반 VPN.

  • VPN 모니터링.

  • IPComp(IP Payload Compression Protocol).

Configuring IKEv2 in Junos OS

VPN 피어는 IKEv1 또는 IKEv2로 구성됩니다. 피어가 IKEv2로 구성되면 원격 피어가 IKEv1 협상을 시작하면 IKEv1로 되돌아 오지 않습니다. 기본적으로 주니퍼 네트웍스 디바이스는 IKEv1 피어입니다.

[ ] 계층 수준에서 구성 명령문을 version v2-onlyedit security ike gateway gw-name 사용하여 IKEv2를 구성합니다.

IKE(Internet Key Exchange) 버전은 해당 및 운영 명령의 출력에 CLI show security ike security-associationsshow security ipsec security-associations 표시됩니다.

주니퍼 네트웍스 디바이스는 2단계 협상에 대한 최대 4개의 제안을 지원하므로 허용하는 터널 매개 변수의 제한을 정의할 수 있습니다. Junos OS 표준, 호환 및 기본 2단계 제안 세트를 제공됩니다. 또한 맞춤형 2단계 제안을 정의할 수도 있습니다.

IKEv2 구성 페이로드 이해

구성 페이로드는 응답자 Internet Key Exchange 프로비저닝 정보를 시작점으로 전파하기 위해 제공되는 IKEv2(Internet Key Exchange version 2) 옵션입니다. IKEv2 구성 페이로드는 경로 기반 VPN에서만 지원됩니다.

RFC 5996 Internet Key Exchange IKEv2(Internet Key Exchange Protocol Version 2)는응답자에 의해 시작자에 의해 반환될 수 있는 15 가지 구성 속성을 정의합니다. SRX 시리즈 장치에서 지원되는 IKEv2 구성 속성을 표 1 설명합니다.

표 1: IKEv2 구성 속성

속성 유형

가치

설명

길이

INTERNAL_IP4_ADDRESS

1

내부 네트워크의 주소를 지정합니다. 여러 내부 주소를 요청할 수 있습니다. 응답자는 요청된 주소 수까지 보낼 수 있습니다.

0개 또는 4개 옥킷

INTERNAL_IP4_NETMASK

2

내부 네트워크의 netmask 값을 지정합니다. 요청 및 응답 메시지(예: 255.255.255.0)에서 오직 하나의 netmask 값만 허용됩니다. 이는 INTERNAL_IP4_ADDRESS 속성과 함께 사용되어야 합니다.

0개 또는 4개 옥킷

INTERNAL_IP4_DNS

3

네트워크 내의 DNS 서버 주소를 지정합니다. 여러 DNS 서버를 요청할 수 있습니다. 응답자는 0개 이상의 DNS 서버 속성으로 응답할 수 있습니다.

0개 또는 4개 옥킷

INTERNAL_IP4_NBNS

4

네트워크 내에서 WINS 서버와 같은 NetBIOS 이름 서버(NBNS)의 주소를 지정합니다. 여러 NBNS 서버를 요청할 수 있습니다. 응답자는 0개 이상의 NBNS 서버 속성으로 응답할 수 있습니다.

0개 또는 4개 옥킷

INTERNAL_IP6_ADDRESS

8

내부 네트워크의 주소를 지정합니다. 여러 내부 주소를 요청할 수 있습니다. 응답자는 요청된 주소 수까지 보낼 수 있습니다.

0개 또는 17 octets

INTERNAL_IP6_DNS

10년간의

네트워크 내의 DNS 서버 주소를 지정합니다. 여러 DNS 서버를 요청할 수 있습니다. 응답자는 0개 이상의 DNS 서버 속성으로 응답할 수 있습니다.

0개 또는 16 octets

응답자 IKE(Internet Key Exchange) 프로비저닝 정보를 제공하려면 RADIUS 서버와 같은 지정된 소스에서 정보를 RADIUS 합니다. 프로비저닝 정보는 DHCP 서버에서 서버로 연결 서버를 통해 RADIUS 수 있습니다. 서버의 RADIUS 사용자 정보에 인증 암호를 포함하지 말아야 합니다. RADIUS 서버 프로필은 [ ] 계층 IKE(Internet Key Exchange) 구성을 사용하여 aaa access-profile profile-name IKE(Internet Key Exchange) edit security ike gateway gateway-name 게이트웨이에 연결됩니다.

SPC3를 Junos OS SRX5000 디바이스 20.3R1 릴리스 날짜부터 vSRX IKEv2 구성 페이로드를 개선했습니다.

  • IPv4 및 IPv6 로컬 주소 풀 지원. 고정 IP 주소를 피어에 할당할 수도 있습니다.

    IKE(Internet Key Exchange) 동안 시작자는 응답자로부터 IPv4 주소, IPv6 주소, DNS 주소 또는 WINS 주소를 요청합니다. 응답자에서 시작자를 성공적으로 인증한 후 로컬 주소 풀에서 또는 네트워크 RADIUS 할당합니다. 구성에 따라 피어가 연결하거나 고정 IP 주소로 할당될 때마다 이 IP 주소가 동적으로 할당됩니다. RADIUS 서버가 프레임된 풀로 응답하면 Junos OS 해당 로컬 풀의 구성에 따라 IP 주소 또는 정보를 할당합니다. 로컬 주소 풀과 RADIUS 서버 모두를 구성하면 RADIUS IP 주소가 로컬 풀보다 우선합니다. 로컬 IP 주소 풀을 구성하고 RADIUS 서버가 IP 주소를 반환하지 않은 경우, 로컬 풀이 해당 요청에 IP 주소를 할당합니다.

  • 추가 옵션, none 에 대해 소개 authentication-order 인증 순서(액세스 프로파일)를 참조하세요.

  • RADIUS 시작 및 중지 메시지는 터널의 상태를 알리거나 서버와 피어링하는 RADIUS 있습니다. 이러한 메시지는 DHCP 서버와 같은 하위 서버에 대한 추적 목적 또는 통보에 사용할 수 있습니다.

    네트워크 서버가 RADIUS 어드버타이어링을 지원하여 메시지를 시작하거나 중단하는지 확인 또한 SRX 시리즈 장치와 RADIUS 서버가 이러한 메시지를 추적할 수 있는 적절한 설정이 되도록 보장합니다.

  • IPv6 지원 도입으로 구성 페이로드를 사용한 이중 스택 터널 지원. 로그인 프로세스가 IKE(Internet Key Exchange) IPv4 및 IPv6 주소에 대한 요청이 모두 처리됩니다. 요청된 모든 주소가 성공적으로 할당된 경우 AAA는 로그인을 허용합니다. IKE(Internet Key Exchange) 요청된 IP가 할당되지 않을 경우 협상이 종료됩니다.

경로 기반 VPN에서, 보안 터널(st0) 인터페이스는 점대다점(point-to-point) 모드로 작동됩니다. IKEv2 구성 페이로드를 통한 주소 할당은 이제 점대다점(point-to-point) 모드로 지원됩니다. Point-to-Multipoint 인터페이스의 경우 인터페이스의 번호가 매기고 구성 페이로드의 주소는 INTERNAL_IP4_ADDRESS 속성 유형이 관련된 Point-to-Multipoint 인터페이스의 서브네트워크 범위 내에 있어야 합니다.

릴리스 Junos OS 릴리스 20.1R1 게이트웨이 구성에 대한 IKEv2 구성 페이로드 요청에 대한 공통 암호를 IKE(Internet Key Exchange) 수 있습니다. 1-128자 범위의 공통 암호를 통해 관리자는 공통 암호를 정의할 수 있습니다. 이 암호는 IKEv2 구성 페이로드를 사용하여 원격 IPsec 피어를 대신하여 IP 주소를 요청하는 SRX 시리즈 디바이스와 RADIUS 서버 간에 사용됩니다. RADIUS 페이로드 요청을 위해 SRX 시리즈 디바이스에 IP 정보를 제공하려면 먼저 서버가 자격 증명과 일치해야 합니다. [ ] 계층 수준에서 구성 명령문을 사용하여 config-payload-password configured-password 공통 edit security ike gateway gateway-name aaa access-profile access-profile-name 암호를 구성할 수 있습니다.

SRX 시리즈 디바이스와 RADIUS 서버 모두에 동일한 암호 구성이 있어야하며, 인증 프로토콜과 PAP(Password Authentication Protocol)를 사용하도록 radius 서버가 구성되어야 합니다. 이 경우 터널 구축에 성공하지 않습니다.

그림 7 IKEv2 구성 페이로드에 대한 일반적인 워크플로우를 보여줍니다.

그림 7: 일반적인 IKEv2 구성 페이로드 워크플로우일반적인 IKEv2 구성 페이로드 워크플로우

IKEv2 구성 페이로드 기능은 점대다점 보안 터널(st0) 인터페이스에서만 지원됩니다. Point-to-Multipoint 인터페이스는 번호가 매기고 구성 페이로드에 제공된 주소는 서브네트워크와 관련된 Point-to-Multipoint 인터페이스의 서브네트워크 범위 내에 있어야 합니다.

Pico 셀 프로비저닝 이해

IKEv2 구성 페이로드는 SRX 시리즈 디바이스와 같은 IKE(Internet Key Exchange) 응답자에서 셀룰러 네트워크의 LTE 피코 셀 기지국과 같은 여러 시작자에 프로비저닝 정보를 전파하는 데 사용할 수 있습니다. Pico 셀은 공장에서 출하되어 SRX 시리즈 디바이스에 연결할 수 있는 표준 구성을 제공하지만, 피코 셀 프로비저닝 정보는 보호된 네트워크 내에서 하나 이상의 프로비저닝 서버에 저장됩니다. 피코 셀은 프로비저닝 서버와의 안전한 연결을 설정한 후에 전체 프로비저닝 정보를 수신합니다.

피코 셀을 부팅하고 프로비저닝하고 서비스를 도입하는 데 필요한 워크플로우에는

  1. 최초 주소 취득—Pico 셀은 공장에서 다음 정보를 제공합니다.

    • SRX 시리즈 디바이스에 대한 보안 게이트웨이 터널 구성

    • 제조업체가 발행한 디지털 인증서

    • 보호된 네트워크 내에 있는 프로비저닝 서버의 완전 적격 도메인 이름(FQDN)

    피코 셀은 부팅되어 DHCP 서버로부터의 협상에 사용할 IKE(Internet Key Exchange) 어드버타이즈를 획득합니다. 그런 다음 이 주소를 사용하여 SRX 시리즈 디바이스의 보안 게이트웨이에 터널이 구축됩니다. DHCP 서버가 보호된 네트워크에서 사용할 수 있는 OAM(Operation, Administration, and Management) 트래픽에 대한 주소도 할당됩니다.

  2. Pico 셀 프로비저닝—할당된 OAM 트래픽 주소를 사용하여 피코 셀은 일반적으로 보호된 네트워크 내의 서버에서 프로비저닝 정보(일반적으로 운영자 인증서, 라이센스, 소프트웨어 및 구성 정보)를 요청합니다.

  3. 재부팅—피코 셀은 획득한 프로비저닝 정보를 사용하여 서비스 프로바이더의 네트워크 및 운영 모델에 따라 지정하도록 재부팅합니다.

  4. 서비스 프로비저닝—피코 셀이 서비스에 들어오면, FQDN을 사용하여 차별화된 이름(DN) 및 subject 대체 이름 값을 포함하는 단일 인증서를 사용하여 SRX 시리즈 디바이스의 보안 게이트웨이에 두 개의 터널을 구축합니다. 하나는 OAM 트래픽을 위한 것입니다. 다른 하나는 3GPP(Third-Generation Partnership Project) 데이터 트래픽을 위한 것입니다.

IKE(Internet Key Exchange) 제안

이 IKE(Internet Key Exchange) 구성은 피어 보안 게이트웨이를 통해 안전한 보안 IKE(Internet Key Exchange) 설정하는 데 사용되는 알고리즘과 키를 정의합니다. 하나 이상의 제안을 구성할 IKE(Internet Key Exchange) 있습니다. 각 제안은 IKE(Internet Key Exchange) 호스트와 피어 간의 IKE(Internet Key Exchange) 연결을 IKE(Internet Key Exchange) 속성의 목록입니다.

제안을 IKE(Internet Key Exchange) 명령문을 포함하고 [ ] 계층 수준에서 이름을 proposaledit security ike 지정합니다.

IKE(Internet Key Exchange) 정책

IKE(Internet Key Exchange) 정책은 협상 중에 사용할 보안 매개 변수(IKE(Internet Key Exchange) 제안)의 조합을 IKE(Internet Key Exchange) 정의합니다. 피어 주소와 해당 연결에 필요한 제안을 정의합니다. 어떤 인증 방법이 사용되는가에 따라, 해당 피어 또는 로컬 인증서에 대한 사전 공유 키를 정의합니다. IKE(Internet Key Exchange) 동안 IKE(Internet Key Exchange) 피어에서 IKE(Internet Key Exchange) 정책 적용을 모면합니다. 협상을 시작하는 피어는 모든 정책을 원격 피어로 전송하고 원격 피어는 일치된 것을 찾으며 두 피어의 두 정책이 동일한 구성된 속성을 포함하는 제안서가 있는 경우 일치하게 됩니다. 수명이 동일하지 않을 경우 두 정책 간의 수명이 짧아지며(호스트와 피어에서) 사용하게 됩니다. 구성된 사전 공유 키도 피어와 일치해야 합니다.

첫째, 하나 이상의 제안을 IKE(Internet Key Exchange) 수 있습니다. 이러한 제안을 각 정책에 IKE(Internet Key Exchange) 수 있습니다.

IKE(Internet Key Exchange) 정책을 구성하기 위해 명령문을 포함하고 [ ] 계층 수준에서 정책 이름을 policyedit security ike 지정합니다.

리키링 및 재인식

개요

IKEv2를 통해 리키어링(rekeying) 및 재인식(reauthentication)은 별도의 프로세스로 진행됩니다. Rekeying은 SA(IKE(Internet Key Exchange) Security Association)를 위한 새로운 키를 설정하고 메시지 ID 카운터를 리셋하지만 피어를 재인증하지는 않습니다. 재인증을 통해 VPN 피어가 인증 자격 증명에 대한 액세스 권한을 유지하는지 검증합니다. 재인증을 통해 IKE(Internet Key Exchange) SA 및 하위 SA에 대한 새 키를 생성합니다. SA 또는 IKE(Internet Key Exchange) 지원될 수 있는 리키(rekeys)를 더 이상 필요하지 않습니다. 새 IKE(Internet Key Exchange) 및 하위 SAS가 생성되면 이전 IKE(Internet Key Exchange) 및 하위 SAS가 삭제됩니다.

IKEv2 재인식은 기본적으로 비활성화됩니다. 1과 100 사이의 재인식 주파수 값을 구성하여 재인식이 가능합니다. 재인식 주파수는 재인식이 발생하기 전에 IKE(Internet Key Exchange) 리키(rekey)의 수입니다. 예를 들어, 구성된 재인식 주파수가 1인 경우 재인식 빈도가 1일 때마다 재인식이 IKE(Internet Key Exchange) 있습니다. 구성된 재인식 주파수가 2인 경우 다른 모든 재인식에서 재인 IKE(Internet Key Exchange) 있습니다. 구성된 재인식 주파수가 3인 경우, 재인식은 세 번째 키마다 IKE(Internet Key Exchange) 등에서 재인식이 실행됩니다.

[ ] 계층 수준에서 명령문을 통해 재인식 reauth-frequencyedit security ike policy policy-name 주파수를 구성합니다. 재인식 주파수를 0(기본값)으로 설정하여 재인식이 비활성화됩니다. 재인식 주파수는 피어에 의해 협상되지 않습니다. 각 피어는 자체 재인식 주파수 값을 가지고 있습니다.

지원되는 기능

IKEv2 재인식은 다음과 같은 기능을 통해 지원됩니다.

  • IKEv2 시작자 또는 응답자

  • DPD(Dead Peer Detection)

  • 가상 라우터의 가상 라우터 및 보안 터널(st0) 인터페이스

  • 네트워크 주소 변환(네트워크 주소 변환(NAT)-T)

  • 디바이스, 모바일 디바이스, SRX5400-active 및 active-passive 모드의 SRX5600 SRX5800 클러스터

  • 디바이스, SRX5400, SRX5600 ISSU(SRX5800 서비스 중 소프트웨어 업그레이드)

  • ISHU(In-Service Hardware Upgrade) 절차를 사용하여 새로운 SPU(Services Processing Unit)를 업그레이드하거나 삽입

제한

IKEv2 재인식 사용 시 다음 경고를 참고하십시오.

  • 네트워크 주소 변환(NAT)-T를 통해 이전 IKE(Internet Key Exchange) SA와 다른 포트를 사용하여 새로운 IKE(Internet Key Exchange) 수 있습니다. 이 시나리오에서는 SA IKE(Internet Key Exchange) 삭제되지 않을 수 있습니다.

  • 네트워크 주소 변환(NAT)-T 시나리오에서 네트워크 주소 변환(NAT) 장치 뒤에 있는 시작자는 재인식 후에 응답자일 수 있습니다. 네트워크 주소 변환(NAT) 세션이 만료되면 네트워크 주소 변환(NAT) 디바이스는 다른 포트에 IKE(Internet Key Exchange) 새로운 패킷을 폐기할 수 있습니다. 네트워크 주소 변환(NAT)-T keepalive 또는 DPD를 활성화하여 네트워크 주소 변환(NAT) 활성화해야 합니다. AutoVPN의 경우 스포크에서 구성된 재인식 주파수는 허브에서 구성된 재인식 주파수보다 작게 구성하는 것이 좋습니다.

  • 재인터 빈도에 따라 SA의 시작자 또는 IKE(Internet Key Exchange) SA의 응답자에 의해 새로운 IKE(Internet Key Exchange) 수 있습니다. EAP(Extensible Authentication Protocol) 인증 및 구성 페이로드는 IKE(Internet Key Exchange) IKE(Internet Key Exchange) SA를 원래의 SA와 동일한 사용자에 의해 시작해야 하기 때문에 재인증은 EAP 인증 또는 구성 페이로드로 지원되지 않습니다.

IKE(Internet Key Exchange) 인증(인증서 기반 인증)

인증 인증을 위한 다단계 계층

인증서 기반 인증은 협상 중에 SRX 시리즈 장치에서 지원되는 IKE(Internet Key Exchange) 방법입니다. 대규모 네트워크에서 여러 CAS(Certificate Authorities)는 해당 엔드 디바이스에 EE(End Entity) 인증서를 발행할 수 있습니다. 개별 위치, 부서 또는 조직을 위해 별도의 CAS를 두는 것이 일반적입니다.

인증서 기반 인증을 위한 단일 수준의 계층이 사용될 경우 네트워크의 모든 EE 인증서는 동일한 보안 인증서에 CA(certificate authority). 모든 방화벽 디바이스는 피어 인증서 검증을 위해 CA(certificate authority) 인증서를 등록해야 합니다. IKE(Internet Key Exchange) 동안 전송된 인증서 페이로드에는 EE 인증서만 포함되어 있습니다.

또는 IKE(Internet Key Exchange) 동안 전송된 증명서 페이로드에는 EE 및 CA(certificate authority) 수 있습니다. 인증서 체인은 피어의 EE 인증서를 검증하는 데 필요한 증명서 목록입니다. 증명서 체인은 EE 인증서와 로컬 CA(certificate authority) 없는 모든 보안 인증서를 포함합니다.

네트워크 관리자는 2차 협상에 참여하는 모든 피어가 각 인증서 체인에 IKE(Internet Key Exchange) 1개 이상의 공통 트러스트 CA(certificate authority) 있도록 보장해야 합니다. 신뢰할 수 CA(certificate authority) 기본 CA(certificate authority). EES에 대한 인증서와 체인 내 최상위 CA(certificate authority) 증명서 수가 10을 초과할 수 없습니다.

Junos OS Release 18.1R1 시작으로 구성된 피어의 IKE(Internet Key Exchange) 서버 또는 CA(certificate authority) 서버 그룹을 통해 CA(certificate authority) 수 있습니다. 인증서 체인의 경우, CA(certificate authority) 정책에 CA(certificate authority) 그룹 또는 CA(certificate authority) 서버와 일치해야 IKE(Internet Key Exchange) 있습니다.

에 CA(certificate authority) 계층이 나와 있는 경우, Root-CA(certificate authority) 네트워크의 모든 디바이스에 CA(certificate authority) 신뢰할 수 있는 네트워크 그림 8 계층입니다. 루트 CA(certificate authority) 문제는 CA(certificate authority) 및 영업 CAS에게 인증서를 발급하며, 이는 각각 Eng-CA(certificate authority) 및 Sales-CA(certificate authority) 식별됩니다. Eng-CA(certificate authority) 문제를 CA(certificate authority) 개발 및 품질 보증 CAS에 대한 인증서를 발급하며, 이는 각각 Dev-CA(certificate authority) 및 Qa-CA(certificate authority) 식별됩니다. 호스트-A는 Dev-CA(certificate authority) EE 인증서를 수신하고 호스트-B는 Sales-CA(certificate authority).

그림 8: 인증 기반 인증을 위한 다단계 계층인증 기반 인증을 위한 다단계 계층

각 엔드 디바이스는 계층에 있는 CA(certificate authority) 인증서를 로드해야 합니다. 호스트-A에는 Root-CA(certificate authority), Eng-CA(certificate authority) 및 Dev-CA(certificate authority) 인증서가 있어야 합니다. 세일즈 CA(certificate authority) 및 Qa-CA(certificate authority) 인증서가 필요하지 않습니다. Host-B에는 Root-CA(certificate authority) 및 Sales-CA(certificate authority) 있어야 합니다. 인증서는 디바이스에서 수동으로 로드하거나 SCEP(Simple Certificate Enrollment Process)를 사용하여 등록할 수 있습니다.

각 엔드 디바이스는 인증서 체인의 각 CA(certificate authority) 대한 CA(certificate authority) 프로파일로 구성해야 합니다. 다음 출력에는 호스트-CA(certificate authority) 구성된 CA(certificate authority) 프로파일이 표시됩니다.

다음 출력에는 호스트-CA(certificate authority) 구성된 CA(certificate authority) 프로파일이 표시되어 있습니다.

예를 들면 다음과 같습니다. 피어 인증서 체인 검증을 위한 장비 구성

이 예에서는 네트워크 협상 중에 피어 디바이스를 검증하는 데 사용되는 인증서 체인을 위한 디바이스를 IKE(Internet Key Exchange) 방법을 보여줍니다.

요구 사항

시작하기 전에 로컬 인증서에 대한 요청을 제출할 때 인증서 기관(CA(certificate authority))의 주소와 필요한 정보(예: 과제 암호)를 입수합니다.

개요

이 예에서는 인증서 체인을 위한 로컬 디바이스를 구성하고, CA(certificate authority) 및 로컬 인증서를 등록하고, 등록된 인증서의 유효성을 검사하고, 피어 디바이스의 해지 상태를 검사하는 방법을 보여줍니다.

토폴로지

다음 예제에는 호스트-A에서 구성 및 운영 명령이 나와 그림 9 있습니다. 동적 CA(certificate authority) 프로파일이 Host-A상에 자동으로 생성되어 Host-A가 Sales-CA(certificate authority) CRL을 다운로드하고 Host-B 인증서의 해지 상태를 확인할 수 있도록 합니다.

그림 9: 인증서 체인 예인증서 체인 예

1단계 및 2단계 협상을 위한 IPsec VPN 구성은 이 예에서 Host-A에 대해 나와 있습니다. 1단계 및 2단계 옵션을 성공적으로 협상하고 SAS(Security Associations)를 확립할 수 있도록 피어 디바이스(Host-B)를 적절하게 구성해야 합니다. VPN을 위한 피어 디바이스 IKE(Internet Key Exchange) 예는 Site-to-Site VPN을 위한 원격 IKE(Internet Key Exchange) 구성을 참조합니다.

구성

인증서 체인을 위한 장치를 구성하려면:

CA(certificate authority) 프로파일 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

CA(certificate authority) 프로필을 구성하려면 다음을 제공합니다.

  1. Root-CA(certificate authority) 프로파일을 CA(certificate authority).

  2. Eng-CA(certificate authority) 프로파일을 CA(certificate authority).

  3. Dev-CA(certificate authority) 위한 CA(certificate authority) 프로필을 CA(certificate authority).

결과

구성 모드에서 명령을 입력하여 구성을 show security pki 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

인증서 등록

단계별 절차

인증서를 등록하기 위해:

  1. 인증서를 CA(certificate authority) 등록하십시오.

    yes프롬프트에 입력하여 CA(certificate authority).

  2. 디바이스에 CA(certificate authority) 인증서를 등록하는지 확인합니다.

  3. 등록된 인증서의 CA(certificate authority) 검증합니다.

  4. 키 쌍을 생성합니다.

  5. 로컬 인증서를 등록합니다.

  6. 로컬 증명서를 장비에 등록하는지 확인합니다.

  7. 등록된 로컬 인증서의 유효성을 검증합니다.

  8. CRL 다운로드를 통해 구성된 CA(certificate authority) 프로필을 확인할 수 있습니다.

IPsec VPN 옵션 구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

IPsec VPN 옵션을 구성하는 방법:

  1. 1단계 옵션을 구성합니다.

  2. 2단계 옵션을 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show security ikeshow security ipsec 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

피어 디바이스 간의 IKE(Internet Key Exchange) 동안 인증서 검증에 성공하면 IKE(Internet Key Exchange) SAS(IPsec Security Associations)가 모두 설정됩니다.

인증서가 IKE(Internet Key Exchange) 경우 SA가 UP됩니다. 증명서가 해지된 IKE(Internet Key Exchange) SA가 다운되면 IPSEC SA가 형성됩니다( 피어 디바이스에서 해지 확인이 구성된 경우만 해당)

1단계 IKE(Internet Key Exchange) 검증

목적

1단계 IKE(Internet Key Exchange) 확인

실행

작동 show security ike security-associations 모드에서 명령을 입력합니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 검증합니다.

실행

작동 show security ipsec security-associations 모드에서 명령을 입력합니다.

IKE(Internet Key Exchange) 취소된 인증서에 대한 IKE(Internet Key Exchange) 및 IPsec SA 장애

취소된 인증서 검사

문제

피어 디바이스 간의 IKE(Internet Key Exchange) 동안 인증서 검증에 실패하면 피어의 증명서가 취소되지 않는지 확인해야 합니다. 동적 CA(certificate authority) 프로필을 통해 로컬 디바이스가 피어의 네트워크에서 CRL을 CA(certificate authority) 피어 인증서의 해지 상태를 확인할 수 있습니다. 동적 CA(certificate authority) 프로파일을 활성화하려면 상위 프로파일에 revocation-check crl CA(certificate authority) 합니다.

솔루션

동료 증명서의 해지 상태를 확인하다:

  1. 작동 모드에서 명령을 입력하여 피어 디바이스에 대한 CRL을 표시하는 동적 CA(certificate authority) show security pki crl 프로파일을 식별합니다.

    CA(certificate authority) 프로파일이 자동으로 생성되어 dynamic-001 Host-A가 Host-B의 CA(certificate authority)(Sales-CA(certificate authority))에서 CRL을 다운로드하고 피어 인증서의 해지 상태를 확인할 수 있습니다.

  2. 작동 모드에서 명령을 입력하여 동적 CA(certificate authority) 프로파일에 대한 show security pki crl ca-profile dynamic-001 detail CRL 정보를 표시합니다.

    시작하기

    호스트-B의 인증서(일련 번호 10647084)가 취소됩니다.

IKEv2 단편화

메시지 단편화

RFC 7383, IKEv2(Internet Key Exchange Protocol Version 2)메시지 단편화에 설명되어 있는 IKEv2 메시지 단편화는 IP 단편화가 차단되고 피어가 IPsec SA(Security Association)를 구축할 수 없는 환경에서 작동할 수 있도록 합니다. IKEv2 단편화는 대형 IKEv2 메시지를 여러 개의 작은 메시지 집합으로 분할하여 IP 수준에서 단편화가 없습니다. 원래 메시지가 암호화되고 인증되기 전에 단편화가 생성되기 때문에 각 단편화는 별도로 암호화되고 인증됩니다. 수신기에서 단편화가 수집되고 검증되고 복호화되고 원래 메시지로 병합됩니다.

IKEv2 단편화가 발생하려면 두 VPN 피어 모두 IKE(Internet Key Exchange)_SA_INIT 교환에 IKEV2_FRAGMENTATION_SUPPORTED 알림 페이로드를 포함해 단편화 지원을 표시해야 합니다. 두 피어가 단편화 지원을 표시하면 IKEv2 단편화가 사용되는지 여부를 판단하기 위해 메시지 교환의 시작자에 따라 결정됩니다.

SRX 시리즈 디바이스에서 IKEv2 메시지당 최대 32개 단편화가 허용됩니다. 전송 또는 수신할 IKEv2 메시지 단편화 수가 32개를 초과하면, 해당 프래개가 삭제된 다음 터널이 설정되지 않습니다. 개별 메시지 단편화의 재전출은 지원되지 않습니다.

구성

SRX 시리즈 디바이스에서 IPv4 및 IPv6 메시지에 대해 IKEv2 단편화가 기본적으로 활성화됩니다. IKEv2 단편화 기능을 비활성화하기 위해 [ ] 계층 수준에서 disableedit security ike gateway gateway-name fragmentation 명령문을 사용하세요. 또한, 명령문을 사용하여 메시지가 단편화되는 패킷 크기, 패킷 크기는 size 500~1300비트 범위의 패킷 크기를 구성할 수도 있습니다. 구성되지 않은 경우 기본 패킷 size 크기는 IPv4 트래픽의 576비트, IPv6 트래픽의 경우 1280V입니다. 구성된 패킷 크기보다 큰 IKEv2 패킷은 단편화됩니다.

IKEv2 단편화가 비활성화되거나 활성화되거나 패킷 조각 크기가 변경되면 IKE(Internet Key Exchange) 게이트웨이에 호스팅되는 VPN 터널이 다운되고 IKE(Internet Key Exchange) 다시 구성됩니다.

주의 사항

다음 기능은 IKEv2 단편화와 함께 지원되지 않습니다.

  • 경로 최대 전송 단위(MTU) 검색.

  • SNMP.

IKE(Internet Key Exchange) 정책을 통해 CA(certificate authority)

다음 예제에서는 신뢰할 수 있는 CA(certificate authority) 서버를 피어의 정책에 IKE(Internet Key Exchange) 방법을 보여줍니다.

시작하기 전에 피어의 IKE(Internet Key Exchange) 정책과 연관하려는 모든 신뢰할 수 있는 IKE(INTERNET KEY EXCHANGE) 있어야 합니다.

단일 트러스트 IKE(Internet Key Exchange) 프로파일 또는 신뢰할 수 있는 CA(certificate authority) 그룹에 CA(certificate authority) 수 있습니다. 안전한 연결을 구축하기 위해 IKE(Internet Key Exchange) 게이트웨이는 IKE(Internet Key Exchange) 정책을 사용하여 구성된 CA(ca-profiles)로 자체를 제한하는 동시에 인증서를 검증합니다. 신뢰할 수 있는 CA(certificate authority) 또는 신뢰할 수 있는 CA(certificate authority) 그룹이 아닌 소스에서 발행하는 인증서는 검증되지 않습니다. IKE(Internet Key Exchange) 인증서 검증 요청이 있는 경우 IKE(Internet Key Exchange) 정책의 관련 CA(certificate authority) IKE(Internet Key Exchange) 프로파일이 인증서를 검증합니다. IKE(Internet Key Exchange) 정책이 모든 보안 정책과 연계되지 CA(certificate authority) 구성된 CA(certificate authority) 프로파일 중 하나에 의해 증명서가 검증됩니다.

이 예에서는 CA(certificate authority) 프로파일이 생성되어 root-ca 프로파일에 root-ca-identity 연결됩니다.

트러스트된 CA(certificate authority) 그룹에 추가하려는 최대 20개 CA(certificate authority) 있습니다. 트러스트 그룹에서 20개 이상의 CA(certificate authority) 프로필을 구성하는 경우 구성을 커밋할 CA(certificate authority) 없습니다.

  1. CA(certificate authority) 프로필을 생성하고 CA(certificate authority) 식별자를 프로파일에 연결합니다.
  2. 제안서 IKE(Internet Key Exchange) 제안서와 IKE(Internet Key Exchange) 인증 방법을 정의합니다.
  3. Diffie-Hellman 그룹, 인증 알고리즘, 보안 제안을 위한 IKE(Internet Key Exchange) 알고리즘을 정의합니다.
  4. IKE(Internet Key Exchange) 정책을 구성하고 정책과 IKE(Internet Key Exchange).
  5. 네트워크 정책에 대한 로컬 인증서 식별자를 IKE(Internet Key Exchange).
  6. CA(certificate authority) 정책에 사용할 IKE(Internet Key Exchange) 정의합니다.

디바이스에서 CA(certificate authority) 프로파일과 신뢰할 수 CA(certificate authority) 그룹을 확인하려면 명령을 show security pki 실행하십시오.

이 명령은 CA(certificate authority) 이름 IKE(Internet Key Exchange) 정책 및 IKE(Internet Key Exchange) 프로파일 그룹을 show security ikeike_policy 표시합니다.

설정-터널 응답자 전용 구성 IKE(Internet Key Exchange)

이 주제는 네트워크에서 설정 터널 응답자 전용을 구성하는 Internet Key Exchange(IKE(Internet Key Exchange)). 원격 피어에서 터널을 시작하고 모든 터널을 통해 트래픽을 전송합니다. 활성화되는 IKE(Internet Key Exchange) 지정합니다.

SRX5000 Junos OS Release 19.1R1 시작해, 설정 터널 옵션은 계층 수준 하의 값과 값을 responder-onlyresponder-only-no-rekey[edit security ipsec vpn vpn-name] 지원합니다.

옵션 및 옵션은 SPC3 카드가 설치된 경우만 responder-onlyresponder-only-no-rekey SRX5000 디바이스 라인에서 junos-ike-package 지원됩니다. 이러한 옵션은 사이트 대 사이트 VPN에서만 지원됩니다. 이 옵션은 자동 VPN에서는 지원되지 않습니다.

옵션으로 장비에서 VPN 터널을 구축하지 못하기 때문에 VPN 터널은 원격 피어에서 responder-onlyresponder-only-no-rekey 시작됩니다. 구성 시 설정된 터널은 구성된 IKE(Internet Key Exchange) 및 IPsec 수명 값을 기준으로 IKE(Internet Key Exchange) responder-only IPsec과 IKE(Internet Key Exchange) 리키드됩니다. 구성할 경우, 설정된 터널은 디바이스에서 리키(rekey)하지 못하며 원격 피어에 의존하여 responder-only-no-rekey 리키(rekey)를 실행합니다. 원격 피어가 리키(rekey)를 시작하지 않는 경우 하드 수명이 만료되면 터널 연결해체가 발생합니다.

시작하기 전에 다음을 할 수 있습니다.

  • IPsec 터널을 설정하는 방법을 IKE(Internet Key Exchange) 이해합니다. IPsec 개요을 읽어 보시죠.

다음 구성에서 터널 설정 IKE(Internet Key Exchange).

  1. 설정 터널 응답자 전용 구성
  2. 명령을 입력하여 구성을 show security ipsec vpn IPSEC_VPN 확인
  3. 설정 터널 응답자 전용 리키 구성
  4. 명령을 입력하여 구성을 show security ipsec vpn IPSEC_VPN 확인

    여러 VPN 객체의 경우 Responder-only 모드가 우선 순위가 적용됩니다. 게이트웨이의 VPN이 응답자 전용 모드로 구성되면 게이트웨이의 모든 VPN은 응답자 전용 모드로 구성되어야 합니다.

출시 내역 표
릴리스
설명
18.1R1
Junos OS Release 18.1R1 시작으로 구성된 피어의 IKE(Internet Key Exchange) 서버 또는 CA(certificate authority) 서버 그룹을 통해 CA(certificate authority) 수 있습니다.