VPN 트래픽 모니터링

Dead Peer Detection 이해하기

DPD(Dead Peer Detection)는 네트워크 트래픽을 사용하여 IPsec 연결에서 IKE(Internet Key Exchange) 피어의 활성을 감지하는 표준 기반 프로토콜입니다. IPsec 터널을 생성하는 동안 VPN 피어는 DPD 방법을 사용할지 여부를 결정하기 위해 협상합니다. 피어가 DPD 프로토콜 사용에 동의하면 방화벽은 피어 활성 상태를 적극적으로 확인합니다. 활성 트래픽이 없을 때 방화벽은 피어에 주기적인 메시지를 보내고 응답을 기다립니다. 피어가 메시지에 응답하지 않으면 방화벽은 피어를 더 이상 사용할 수 없다고 가정합니다. DPD 프로토콜의 동작은 IKEv1 및 IKEv2 프로토콜 모두에서 동일합니다. 방화벽이 IKE(Internet Key Exchange) 1단계 SA(Security Association)를 설정하는 즉시 DPD 타이머가 활성화됩니다. SRX 시리즈 방화벽은 DPD 프로토콜을 사용하여 IPsec VPN 연결에서 피어 활성을 감지합니다.

그림 1: DPD 프로토콜의 메시지 교환

그림 1 은(는) IPsec VPN 터널의 IKE(Internet Key Exchange) 피어 간의 DPD 메시지 교환을 보여줍니다. 디바이스가 DPD를 수행할 때 다음 이벤트가 발생합니다.

1. SRX-A는 지정된 DPD 간격까지 기다렸다가 피어 SRX-B로부터 트래픽을 수신했는지 확인합니다.

2. SRX-A가 지정된 DPD 간격 동안 SRX-B로부터 트래픽을 수신하지 않으면 암호화된 IKE(Internet Key Exchange) 1단계 알림 페이로드(R-U-THERE 메시지)를 SRX-B로 보냅니다.

3. SRX-A는 SRX-B로부터 DPD 승인(R-U-THERE-ACK 메시지)을 기다립니다.

   1. SRX-A가 이 간격 동안 SRX-B로부터 R-U-THERE-ACK 메시지를 수신하면 피어가 활성 상태인 것으로 간주합니다. 그런 다음 SRX-A는 해당 터널에 대한 R-U-THERE 메시지 카운터를 재설정하고 새 간격을 시작합니다.

   2. SRX-A가 간격 동안 R-U-THERE-ACK 메시지를 수신하지 않으면 피어 SRX-B가 다운된 것으로 간주합니다. 그런 다음 SRX-A는 해당 피어에 대한 1단계 SA와 모든 2단계 SA를 제거합니다.

구성해야 하는 DPD 매개 변수를 살펴보겠습니다.

• 모드 - 트래픽 활동에 따라 다음 모드 중 하나로 DPD를 구성할 수 있습니다.

  • 최적화— 최적화 모드에서 시작 디바이스가 피어에 나가는 패킷을 보낼 때 구성된 간격 내에 피어로부터 들어오는 IKE 또는 IPsec 트래픽이 없는 경우 시작 디바이스는 R-U-THERE 메시지를 트리거합니다. 구성을 통해 모드를 지정하지 않는 한 DPD는 이 기본 모드에서 작동합니다.

  • 프로브 유휴 터널 - 프로브 유휴 터널 모드에서 구성된 간격 내에 들어오거나 나가는 IKE(Internet Key Exchange) 또는 IPsec 트래픽이 없는 경우 디바이스가 R-U-THERE 메시지를 트리거합니다. 디바이스는 트래픽 활동이 있을 때까지 주기적으로 R-U-THERE 메시지를 피어에 보냅니다. 이 모드는 다운된 피어를 조기에 감지하여 활성 트래픽 플로우 중에 터널 가용성을 보장합니다.



    주:

    VPN에 대해 여러 트래픽 선택기를 구성한 경우 동일한 IKE(Internet Key Exchange) SA에 대해 여러 터널을 설정할 수 있습니다. 이 시나리오에서 프로브 유휴 터널 모드를 구성할 때 동일한 IKE(Internet Key Exchange) SA에 대한 다른 터널의 트래픽에 관계없이 터널이 유휴 상태가 되면 R-U-THERE 메시지가 트리거됩니다.

  • Always-send— Always-send 모드에서 디바이스는 피어 간의 트래픽 활동에 관계없이 구성된 간격으로 R-U-THERE 메시지를 보냅니다. 상시 전송 모드보다 프로브 유휴 터널 모드를 사용하는 것이 좋습니다.

• Interval— interval 매개 변수를 사용하여 디바이스가 R-U-THERE 메시지를 보내기 전에 피어의 트래픽을 기다리는 시간(초)을 지정합니다. 기본 간격은 10초입니다. Junos OS 릴리스 15.1X49-D130부터 R-U-THERE 메시지가 피어 디바이스로 전송되는 허용 간격 매개 변수 범위를 10초에서 60초에서 2초에서 60초로 줄였습니다. DPD 간격 매개 변수가 10초 미만으로 설정된 경우 최소 임계값 매개 변수를 3으로 설정하는 것이 좋습니다.

• 임계값 - 임계값 매개변수를 사용하여 디바이스가 피어 다운을 고려하기 전에 피어로부터 응답을 수신하지 않고 R-U-THERE 메시지를 보내는 최대 횟수를 지정합니다. 기본 전송 횟수는 5회이며 허용 범위는 1회에서 5회까지입니다.

DPD를 구성하기 전에 다음 사항을 고려하십시오.

• 활성 터널이 있는 기존 게이트웨이에 DPD 구성을 추가하면 디바이스는 1단계 또는 2단계 SA를 지우지 않고 R-U-THERE 메시지를 트리거하기 시작합니다.

• 활성 터널이 있는 기존 게이트웨이에서 DPD 구성을 삭제하면 디바이스가 터널에 대한 R-U-THERE 메시지 트리거를 중지합니다. 그러나 이것은 IKE 및 IPsec SA에 영향을 미치지 않습니다.

• 모드, 간격 또는 임계값과 같은 DPD 구성 매개 변수를 수정하면 IKE는 1단계 또는 2단계 SA를 지우지 않고 DPD 작업을 업데이트합니다.

• 터널을 즉시 설정하는 옵션을 지정하지 않고 DPD 및 VPN 모니터링으로 IKE(Internet Key Exchange) 게이트웨이를 구성하는 경우 IKE(Internet Key Exchange)는 1단계 협상을 시작하지 않습니다. DPD를 구성할 때 1단계 및 2단계 SA를 사용할 수 없는 경우 st0 인터페이스를 삭제하도록 [] 계층 수준에서 옵션도 구성해야 합니다.establish-tunnelsimmediatelyedit services ipsec-vpn 즉시 터널 설정을 참조하십시오.https://www.juniper.net/documentation/us/en/software/junos/interfaces-adaptive-services/topics/ref/statement/establish-tunnels-edit-services-ipsec-vpn.html

• 여러 피어 IP 주소 및 DPD로 IKE 게이트웨이를 구성하지만 첫 번째 피어 IP 주소로 1단계 SA를 설정하지 못한 경우 IKE는 다음 피어 IP 주소로 설정을 시도합니다. DPD는 IKE(Internet Key Exchange)가 1단계 SA를 설정한 후에만 활성화됩니다. dead-peer-detection을 참조하십시오.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-dead-peer-detection.html

• 여러 피어 IP 주소 및 DPD를 사용하여 IKE 게이트웨이를 구성하지만 현재 피어의 IP 주소와의 연결이 실패하면 IKE는 1단계 및 2단계 SA를 지우고 DPD는 다음 피어 IP 주소로 페일오버를 수행합니다. 게이트웨이(보안 IKE)를 참조하십시오.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-gateway-ike.html

• 동시 협상으로 인해 둘 이상의 1단계 또는 2단계 SA가 동일한 피어에 존재할 수 있습니다. 이 경우 DPD는 모든 1단계 SA에 R-U-THERE 메시지를 보냅니다. 게이트웨이가 구성된 연속 횟수만큼 DPD 응답을 수신하지 못하면 1단계 SA 및 관련 2단계 SA(IKEv2만 해당)를 지웁니다.

IKE(Internet Key Exchange) 피어가 작동 중이면 기본 VPN이 작동 중이라는 의미입니까?

VPN 모니터링 이해

VPN 모니터링을 사용하도록 설정하면 디바이스가 VPN 터널을 통해 피어 게이트웨이 또는 터널의 다른 쪽 끝에 있는 지정된 대상으로 ping을 전송합니다. 디바이스는 기본적으로 최대 10회 연속으로 10초 간격으로 ping을 보냅니다. 디바이스가 10회 연속 ping 후에도 응답을 받지 못하면 VPN이 다운된 것으로 간주하고 IPsec SA(보안 연결)가 지워집니다.

DPD와 VPN 모니터링은 서로를 보완합니다. VPN 모니터링은 개별 IPsec VPN에 적용되는 반면, DPD는 개별 IKE(Internet Key Exchange) 게이트웨이 컨텍스트에서 구성됩니다.

다음 운영 모드를 사용하여 VPN 터널을 모니터링할 수 있습니다.

• Always-send 모드 - 이 모드에서는 디바이스가 터널의 트래픽에 관계없이 구성된 간격마다 한 번씩 VPN 모니터링 패킷을 보냅니다. VPN 모니터링을 활성화한 후 , 지정하지 않으면 Junos OS는 always-send 모드를 기본 모드로 사용합니다.

• 최적화 모드 - 이 모드에서는 나가는 트래픽이 있고 간격 동안 터널을 통해 들어오는 트래픽이 없는 경우에만 디바이스가 구성된 간격마다 한 번씩 VPN 모니터링 패킷을 보냅니다. VPN 터널을 통해 들어오는 트래픽이 있는 경우 디바이스는 터널을 활성 상태로 간주하고 피어에 ping을 보내지 않습니다. 최적화 모드를 사용하여 디바이스의 리소스를 절약할 수 있는데, 이 모드에서는 디바이스가 피어 활성을 결정해야 할 때만 ping을 전송하기 때문입니다. 핑을 보내면 다른 방법으로는 사용되지 않는 값비싼 백업 링크도 활성화할 수 있습니다. 최적화 모드를 명시적으로 구성하지 않으면 디바이스가 기본 상시 전송 모드로작동합니다.

SRX 시리즈 방화벽에서 VPN 모니터링 구성 방법:

1. [] 계층 수준에서 옵션을 포함하여 특정 VPN 터널에 대한 VPN 모니터링을 활성화합니다.vpn-monitoredit security ipsec vpn vpn-name vpn-monitor를 참조하십시오.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-vpn-monitor.html

2. VPN 모니터링 모드를 최적화된 상태로 구성합니다.

3. 대상 IP 주소를 지정합니다. 피어 게이트웨이의 IP 주소가 기본 대상입니다. 그러나 터널의 다른 쪽 끝에 있는 다른 대상 IP 주소(예: 서버의 IP 주소)를 지정할 수 있습니다.

4. 주소를 지정합니다.source-interface 로컬 터널 엔드포인트가 기본 소스 인터페이스이지만 다른 인터페이스 이름을 지정할 수 있습니다.

5. 디바이스가 핑을 전송하는 간격과 [] 계층 수준에서 각각 및 옵션을 사용하여 전송하는 연속 핑 수를 구성합니다.intervalthresholdedit security ipsec vpn-monitor-options 이러한 옵션을 구성하지 않으면 디바이스는 기본 간격인 10초에서 최대 10회 연속으로 ping을 보냅니다. 응답을 받지 못하면 VPN이 다운된 것으로 간주합니다. 그런 다음 디바이스는 IPsec 보안 연결을 지웁니다.

IPsec Datapath 확인 이해

• 개요
• 주의 사항

글로벌 SPI 및 VPN 모니터링 기능 이해

다음과 같은 글로벌 VPN 기능을 사용하여 VPN의 효율적인 운영을 모니터링하고 유지할 수 있습니다.

• SPI - 피어 중 하나에 장애가 발생하면 SA(Security Association)의 피어가 동기화되지 않을 수 있습니다. 예를 들어 피어 중 하나가 재부팅되면 잘못된 SPI(Security Parameter Index)를 보낼 수 있습니다. 디바이스가 이러한 이벤트를 감지하고 잘못된 SPI 응답 기능을 구성하여 피어를 재동기화하도록 할 수 있습니다.

• VPN 모니터링 - 글로벌 VPN 모니터링 기능을 사용하여 피어에 ICMP(Internet Control Message Protocol) 요청을 주기적으로 전송하여 피어에 연결할 수 있는지 확인할 수 있습니다.

VPN 모니터링과 DPD 비교

VPN 모니터링 및 DPD(Dead Peer Detection)는 SRX 시리즈 방화벽에서 VPN 피어 디바이스의 가용성을 검증하는 데 사용할 수 있는 기능입니다. 이 섹션에서는 이러한 기능의 작동 및 구성을 비교합니다.

SRX 시리즈 방화벽은 디바이스에 DPD가 구성되지 않은 경우에도 VPN 피어가 보낸 DPD 메시지에 응답합니다. VPN 피어에 대한 DPD 메시지를 시작하도록 SRX 시리즈 방화벽을 구성할 수 있습니다. 동일한 SRX 시리즈 방화벽에서 DPD 및 VPN 모니터링이 동시에 작동하도록 구성할 수도 있지만, 두 방법 중 하나로 모니터링할 수 있는 피어 수는 줄어듭니다.

VPN 모니터링은 2단계 보안 연결(SA)만 모니터링하는 Junos OS 메커니즘입니다. VPN 모니터링은 [] 계층 수준의 문을 사용하여 VPN별로 활성화됩니다.vpn-monitoredit security ipsec vpn vpn-name 대상 IP 및 소스 인터페이스를 지정해야 합니다. 이 옵션을 통해 디바이스는 트래픽 패턴을 피어 활성도의 증거로 사용할 수 있습니다. ICMP 요청은 억제됩니다.optimized

VPN 모니터링 옵션은 [] 계층 수준에서 문을 사용하여 구성됩니다.vpn-monitor-optionsedit security ipsec 이러한 옵션은 VPN 모니터링이 활성화된 모든 VPN에 적용됩니다. 구성할 수 있는 옵션에는 ICMP 요청이 피어로 전송되는 간격(기본값은 10초)과 피어에 연결할 수 없는 것으로 간주되기 전에 응답을 받지 않고 전송된 연속 ICMP 요청 수(기본값은 연속 요청 10개)가 포함됩니다.

DPD는 RFC 3706, IKE(Dead Internet Key Exchange) 피어를 탐지하는 트래픽 기반 방법의 구현입니다. IKE 수준에서 작동하며 IKE 및 IPsec 트래픽 활동을 기반으로 피어를 모니터링합니다.

DPD는 [] 계층 수준의 문을 사용하여 개별 IKE 게이트웨이에 구성됩니다.dead-peer-detectionedit security ike gateway gateway-name DPD 작동 모드를 구성할 수 있습니다. 로컬 디바이스가 피어에 발신 패킷을 전송한 후 구성된 간격 내에 IKE 또는 IPsec 트래픽이 수신되지 않으면 기본(최적화) 모드는 DPD 메시지를 피어로 전송합니다. 다른 구성 가능한 옵션으로는 DPD 메시지가 피어에 전송되는 간격(기본값은 10초)과 피어를 사용할 수 없는 것으로 간주되기 전에 응답을 받지 않고 전송된 연속 DPD 메시지 수(기본값은 연속 요청 5개)가 있습니다.