Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

NAT-T를 사용하는 경로 기반 및 정책 기반 VPN

NAT-T(네트워크 주소 변환 Traversal)는 IPsec에 의해 보호되는 데이터가 주소 변환을 위해 네트워크 주소 변환(NAT)을 사용해 구성된 디바이스를 통과할 때 발생하는 IP 주소 변환 관련 문제를 관리하는 데 사용되는 방법입니다.

NAT-T 이해하기

NAT-T(네트워크 주소 변환-Traversal)는 IPsec에 의해 보호되는 데이터가 주소 변환을 위해 네트워크 주소 변환(NAT) 디바이스를 통과할 때 발생하는 IP 주소 변환 문제를 해결하는 방법입니다. NAT의 기능인 네트워크 주소 변경으로 IKE(Internet Key Exchange)는 패킷을 삭제합니다. 1단계 교환 중 데이터 경로를 따라 하나 이상의 네트워크 주소 변환(NAT) 디바이스를 감지한 후, NAT-T는 IPsec 패킷에 UDP(User Datagram Protocol) 캡슐화의 레이어를 추가하므로 해당 패킷은 주소 변환 후 삭제되지 않습니다. NAT-T는 소스 및 대상 포트 모두로 사용되는 포트 4500과 함께 UDP 내에서 IKE와 ESP 트래픽 모두를 캡슐화합니다. 네트워크 주소 변환(NAT) 디바이스가 교착 UDP 변환을 만료시키므로 피어 간 keepalive 메시지가 필요합니다.

NAT-T가 기본적으로 활성화되므로, NAT-T를 비활성화하기 위해 서는 [edit security ike gateway gateway-name계층 수준에서 no-nat-traversal문을 사용해야 합니다.

두 가지 광범위한 네트워크 주소 변환(NAT) 범주가 있습니다.

  • 정적 네트워크 주소 변환(NAT), 프라이빗 주소와 퍼블릭 주소 사이에 일대일 관계가 있습니다. 정적 NAT는 인바운드 및 아웃바운드 방향에서 모두 작동합니다.

  • 동적 네트워크 주소 변환(NAT), 프라이빗 주소와 퍼블릭 주소 사이에 다대일 또는 다대다 관계가 있습니다. 동적 NAT는 아웃바운드 방향으로만 작동합니다.

네트워크 주소 변환(NAT) 디바이스의 위치는 다음과 같을 수 있습니다.

  • IKEv1 또는 IKEv2 개시자만이 네트워크 주소 변환(NAT) 디바이스 뒤에 있습니다. 여러 개시자가 분리된 네트워크 주소 변환(NAT) 디바이스 뒤에 있을 수 있습니다. 개시자는 또한 여러 네트워크 주소 변환(NAT) 디바이스를 통해 응답자와 연결할 수 있습니다.

  • IKEv1 또는 IKEv2 응답자만이 네트워크 주소 변환(NAT) 디바이스 뒤에 있습니다.

  • IKEv1 또는 IKEv2 개시자와 응답자가 모두 네트워크 주소 변환(NAT) 디바이스 뒤에 있습니다.

동적 엔드포인트 VPN은 개시자의 IKE 외부 주소가 고정되지 않아서 응답자가 알 수 없는 상황을 다룹니다. 이것은 개시자의 주소가 ISP에 의해 동적으로 할당되거나 개시자의 연결이 동적 주소 풀에서 주소를 할당하는 동적 네트워크 주소 변환(NAT) 디바이스를 교차할 때 발생할 수 있습니다.

NAT-T의 구성 예는 응답자만 네트워크 주소 변환(NAT) 디바이스의 뒤에 있는 토폴로지와 개시자와 응답자 모두 NAT 디바이스 뒤에 있는 토폴로지에 제공됩니다. NAT-T에 대한 사이트 간 IKE(Internet Key Exchange) 게이트웨이 구성은 개시자 및 응답자 모두에게 지원됩니다. 원격 IKE(Internet Key Exchange) ID는 IKE(Internet Key Exchange) 터널 협상의 1단계 동안 피어의 로컬 IKE ID를 검증하는 데 사용됩니다. 개시자 및 응답자 모두에게 local-identityremote-identity 설정이 필요합니다.

SRX5400, SRX5600 및 SRX5800 디바이스에서 IPsec NAT-T 터널 크기 조정 및 지속 문제는 다음과 같습니다.

  • 주어진 프라이빗 IP 주소에 대해 네트워크 주소 변환(NAT) 디바이스는 500 및 4500 프라이빗 포트를 모두 동일한 퍼블릭 IP 주소로 변환해야 합니다.

  • 주어진 퍼블릭 변환 IP의 터널 수는 1000개를 초과할 수 없습니다.

Junos OS 릴리스 19.2R1부터 NAT-T에 대한 PMI(PowerMode IPSec)는 SRX5K-SPC3 SPC(Services Processing Card)를 탑재한 SRX5400, SRX5600 및 SRX5800 디바이스와 vSRX 가상 방화벽에서 지원됩니다.

참조

예: 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 응답자를 사용하여 경로 기반 VPN 구성

이 예제에는 지사와 기업 본사 간의 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 응답자를 사용하여 경로 기반 VPN을 구성하는 방법이 제시되어 있습니다.

요구 사항

시작하기 전에 IPsec 개요을(를) 읽으십시오.

개요

이 예제에서 경로 기반 VPN을 구성합니다. Host1은 VPN을 사용하여 SRX2에 기업 본사를 연결합니다.

그림 1에는 네트워크 주소 변환(NAT) 디바이스 뒤에 응답자만 있는 루트 기반 VPN의 토폴로지에 대한 예가 제시되어 있습니다.

그림 1: 네트워크 주소 변환(NAT) 디바이스 뒤에 응답자만 있는 루트 기반 VPN 토폴로지네트워크 주소 변환(NAT) 디바이스 뒤에 응답자만 있는 루트 기반 VPN 토폴로지

이 예제에서, SRX1의 개시자와 SRX2의 응답자 모두에 대한 인터페이스, IPSec 및 보안 정책을 구성합니다. 그런 다음 IKE(Internet Key Exchange) 1단계 및 IPSec 2단계 매개 변수를 구성합니다.

SRX1은 대상 주소가 172.16.21.1인 패킷을 전송하여 VPN을 수립합니다.네트워크 주소 변환(NAT) 디바이스는 대상 주소를 10.1.31.1로 변환합니다.

예제에서 개시자에 사용하는 특정 구성 매개 변수는 표 1~표 3을(를) 참조하십시오.

표 1: SRX1에 대한 인터페이스, 라우팅 옵션 및 보안 매개 변수

기능

이름

구성 매개 변수

인터페이스

ge-0/0/1

172.16.11.1/24
 

ge-0/0/0

10.1.11.1/24
 

st0.0(터널 인터페이스)

10.1.100.1/24

정적 라우팅

10.1.21.0/24

다음 홉은 st0.0입니다.
 

172.16.21.1/32

다음 홉은 172.16.11.2입니다.

보안 존

untrust

  • IKE 및 ping의 시스템 서비스 .

  • ge-0/0/1.0 및 st0.0 인터페이스는 이 영역에 결합됩니다.
 

신뢰

  • 모든 시스템 서비스를 허용합니다.

  • 모든 프로토콜을 허용합니다.

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.

보안 정책

SRX2로

트러스트 영역의 10.1.11.0/24에서 언트러스트 영역의 10.1.21.0/24까지 트래픽을 허용합니다.

-SRX2에서

언트러스트의 10.1.21.0/24에서 트러스트 영역의 10.1.11.0/24까지 트래픽을 허용합니다.
표 2: SRX1에 대한 IKE(Internet Key Exchange) 1단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ike_prop

  • 인증 방법: pre-shared-keys

  • Diffie-Hellman 그룹: group2

  • 인증 알고리즘: sha1

  • 암호화 알고리즘: 3des-cbc

정책

ike_pol

  • 모드: main

  • 제안 참조: ike_prop

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

gw1

  • IKE(Internet Key Exchange) 정책 참조: ike_pol

  • 외부 인터페이스: ge-0/0/1.0

  • 게이트웨이 주소: 172.16.21.1

  • 로컬 피어(개시자): branch_natt1@example.net

  • 원격 피어(응답자): responder_natt1@example.net
표 3: SRX1에 대한 IPSec 2단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec_prop

  • 프로토콜: esp

  • 인증 알고리즘: hmac-sha1-96

  • 암호화 알고리즘: 3des-cbc

정책

ipsec_pol

  • 제안 참조: ipsec_prop

  • PFS(Perfect Forward Secrecy) 키: group2

VPN

vpn1

  • IKE(Internet Key Exchange) 게이트웨이 참조: gw1

  • IPsec 정책 참조: ipsec_pol

  • 인터페이스에 바인딩: st0.0

  • 즉각적 터널 수립

예제에서 응답자에 사용하는 특정 구성 매개 변수는 표 4~표 6을(를) 참조하십시오.

표 4: SRX2에 대한 인터페이스, 라우팅 옵션 및 보안 매개 변수

기능

이름

구성 매개 변수

인터페이스

ge-0/0/1

10.1.31.1/24
 

ge-0/0/0

10.1.21.1/24
 

st0.0(터널 인터페이스)

10.1.100.2/24

정적 라우팅

172.16.11.1/32

다음 홉은 10.1.31.2입니다.
 

10.1.11.0/24

다음 홉은 st0.0입니다.

보안 존

untrust

  • IKE(Internet Key Exchange) 및 ping 시스템 서비스를 허용합니다.

  • ge-0/0/1.0 및 st0.0 인터페이스는 이 영역에 결합됩니다.
 

신뢰

  • 모든 시스템 서비스를 허용합니다.

    모든 프로토콜을 허용합니다.

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.

보안 정책

SRX1로

트러스트 영역의 10.1.21.0/24에서 언트러스트 영역의 10.1.11.0/24까지 트래픽을 허용합니다.

-SRX1에서

트러스트 영역의 10.1.11.0/24에서 언트러스트 영역의 10.1.21.0/24까지 트래픽을 허용합니다.
표 5: SRX2에 대한 IKE(Internet Key Exchange) 1단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ike_prop

  • 인증 방법: pre-shared-keys

  • Diffie-Hellman 그룹: group2

  • 인증 알고리즘: sha1

  • 암호화 알고리즘: 3des-cbc

정책

ike_pol

  • 모드: main

  • 제안 참조: ike_prop

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

gw1

  • IKE(Internet Key Exchange) 정책 참조: ike_pol

  • 외부 인터페이스: ge-0/0/1.0

  • 게이트웨이 주소: 172.16.11.1

  • 로컬 피어(응답자): responder_natt1@example.net

  • 원격 피어(개시자): branch_natt1@example.net
표 6: SRX2에 대한 IPSec 2단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec_prop

  • 프로토콜: esp

  • 인증 알고리즘: hmac-sha1-96

  • 암호화 알고리즘: 3des-cbc

정책

ipsec_pol

  • 제안 참조: ipsec_prop

  • PFS 키: group2

VPN

vpn1

  • IKE(Internet Key Exchange) 게이트웨이 참조: gw1

  • IPsec 정책 참조: ipsec_pol

  • 인터페이스에 바인딩: st0.0

  • 즉각적 터널 수립

구성

SRX1에 대한 인터페이스, 라우팅 옵션 및 보안 매개 변수 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 고정 라우트 및 보안 매개 변수 구성 방법:

  1. VPN에 사용하는 인터넷, Host1 및 인터페이스에 연결된 인터페이스를 구성합니다.

  2. VPN을 사용할 트래픽과 SRX1이 네트워크 주소 변환(NAT) 디바이스에 연결할 정적 경로를 구성합니다.

  3. 언트러스트(untrust) 보안 영역을 구성합니다.

  4. 트러스트 보안 영역을 구성합니다.

  5. 보안 정책에 사용하는 네트워크에 대한 주소록을 구성합니다.

  6. 호스트 간의 트래픽을 허용하는 보안 정책을 만듭니다.

결과

구성 모드에서 show interfaces, show routing-optionsshow security명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX1에 대한 IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 1단계 제안을 만듭니다.

  2. IKE(Internet Key Exchange) 1단계 정책을 생성합니다.

  3. IKE(Internet Key Exchange) 1단계 게이트웨이 매개 변수를 구성합니다. 게이트웨이 주소는 네트워크 주소 변환(NAT) 디바이스 IP이어야 합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX1에 대한 IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 2단계 제안을 만듭니다.

  2. IPsec 2단계 정책을 생성합니다.

  3. IPSec VPN 매개 변수를 구성합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX2에 대한 인터페이스, 라우팅 옵션 및 보안 매개 변수

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 고정 라우트 및 보안 매개 변수 구성 방법:

  1. VPN에 사용하는 인터넷, Host2 및 인터페이스에 연결된 인터페이스를 구성합니다.

  2. VPN을 사용할 트래픽과 SRX2이 SRX1에 연결할 정적 경로를 구성합니다.

  3. 언트러스트(untrust) 보안 영역을 구성합니다.

  4. 트러스트 보안 영역을 구성합니다.

  5. 보안 정책에 사용하는 네트워크에 대한 주소록을 구성합니다.

  6. 호스트 간의 트래픽을 허용하는 보안 정책을 만듭니다.

결과

구성 모드에서 show interfaces, show routing-options, 및 show security 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX2에 대한 IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 1단계 제안을 만듭니다.

  2. IKE(Internet Key Exchange) 1단계 정책을 생성합니다.

  3. IKE(Internet Key Exchange) 1단계 게이트웨이 매개 변수를 구성합니다. 게이트웨이 주소는 SRX1에 대한 IP여야 합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX2에 대한 IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 2단계 제안을 만듭니다.

  2. IPsec 2단계 정책을 생성합니다.

  3. IPSec VPN 매개 변수를 구성합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

네트워크 주소 변환(NAT) 디바이스 구성

CLI 빠른 구성

예제에서 정적 네트워크 주소 변환(NAT)을 사용합니다. 정적 네트워크 주소 변환(NAT)은 양방향으로 이루어집니다. 즉, 10.1.31.1에서 172.16.11.1까지 트래픽이 동일한 네트워크 주소 변환(NAT) 구성을 사용합니다.

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

SRX1에서 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다. 더 자세한 출력을 위해 show security ike security-associations detail 명령을 사용해야 합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index detail명령을 사용할 수 있습니다.

  • 원격 주소 - 원격 IP 주소가 올바르고 포트 4500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.NAT-T는 포트 4500이 있는 UDP 내에 IKE(Internet Key Exchange) 및 ESP 트래픽을 모두 캡슐화합니다.

  • 역할 개시자 상태

    • Up - 1단계 SA 가 수립됩니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

    • IPsec SA 페어의 두 피어는 포트 4500을 사용하고 있습니다.

    • 피어 IKE(Internet Key Exchange) ID - 원격 주소가 올바른지 확인합니다.

    • 로컬 ID 및 원격 ID - 적합한지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)

show security ike security-associations 명령은 보안 연관(SA)에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

SRX1에서 IPsec 보안 연결 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 더 자세한 출력을 위해 show security ipsec security-associations detail 명령을 사용해야 합니다.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이는 172.16.21.1 주소를 갖습니다.

  • IPsec SA 페어의 두 피어는 포트 4500을 사용하고 있습니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 2160/unlim 값은 2160초 만에 2단계 수명이 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

SRX2에서 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다. 더 자세한 출력을 위해 show security ike security-associations detail 명령을 사용해야 합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations detail명령을 사용할 수 있습니다.

  • 원격 주소 - 원격 IP 주소가 올바르고 포트 4500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.

  • 역할 응답자 상태

    • 업 - 1단계 SA가 설정되었습니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

    • 피어 IKE(Internet Key Exchange) ID - 주소가 올바른지 확인합니다.

    • 로컬 ID 및 원격 ID - 이러한 주소가 올바른지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)

show security ike security-associations 명령은 보안 연관(SA)에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

SRX2에 대한 IPsec 보안 연결 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 더 자세한 출력을 위해 show security ipsec security-associations detail 명령을 사용해야 합니다.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이는 172.16.11.1 ip 주소를 갖습니다.

  • IPsec SA 페어의 두 피어는 포트 4500을 사용하고 있습니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 1562/unlim 값은 2단계 수명이 1562초 이내에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

show security ipsec security-associations index index_iddetail 명령의 출력은 다음 정보를 나열합니다.

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.

  • 2단계 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.

호스트-호스트 연결성 확인

목적

Host1을 Host2에 연결할 수 있습니다.

작업

Host1에서 Host2가 ping됩니다. 트래픽이 VPN을 사용하고 있는지 확인하려면 SRX1에서 명령 show security ipsec statistics을(를) 사용합니다. ping 명령을 실행하기 전에 명령 clear security ipsec statistics을(를) 사용하여 통계를 삭제합니다.

의미

출력은 Host1이 Host2를 ping할 수 있으며 트래픽이 VPN을 사용하고 있음을 나타냅니다.

참조

예: 네트워크 주소 변환(NAT) 디바이스 뒤에 개시자 및 응답자 모두 있는 정책 기반 VPN 구성

이 예는 데이터가 지점 사무실과 본사 간에 안전하게 전송될 수 있도록 네트워크 주소 변환(NAT) 디바이스 뒤에 개시자와 응답자가 모두 있는 정책 기반 VPN을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 IPsec 개요을(를) 읽으십시오.

개요

이 예시에서는 터널 리소스를 보존하면서 VPN 트래픽을 세분하게 제한하기 위해서 일리노이주 시카고에 있는 지점에 정책 기반 VPN을 구성합니다. 지점의 사용자는 VPN을 사용하여 캘리포니아 서니베일에 있는 본사와 연결합니다.

이 예시에서는 개시자 및 응답자 모두에 대해 인터페이스, 라우팅 옵션, 보안 영역, 보안 정책을 구성합니다.

그림 2은(는) 정적 네트워크 주소 변환(NAT) 디바이스 뒤에 개시자 및 응답자 모두 있는 VPN의 토폴로지 예를 보여줍니다.

그림 2: 네트워크 주소 변환(NAT) 디바이스 뒤에 개시자 및 응답자 모두 있는 정책 기반 VPN 토폴로지네트워크 주소 변환(NAT) 디바이스 뒤에 개시자 및 응답자 모두 있는 정책 기반 VPN 토폴로지

이 예에서 인터페이스, IPv4 기본 경로 및 보안 영역을 구성합니다. 그런 다음, 로컬 및 원격 피어, IPsec 2단계, 보안 정책을 포함하여 IKE(Internet Key Exchange) 1단계를 구성합니다. 위의 예에서 응답자의 프라이빗 IP 주소 13.168.11.1은 정적 네트워크 주소 변환(NAT) 디바이스에 의해 숨겨지고 공용 IP 주소 1.1.100.1에 매핑됩니다.

예제에서 개시자에 사용하는 특정 구성 매개 변수는 표 7~표 10을(를) 참조하십시오.

표 7: 개시자용 인터페이스, 라우팅 옵션 및 보안 영역

기능

이름

구성 매개 변수

인터페이스

ge-0/0/0

12.168.99.100/24
 

ge-0/0/1

10.1.99.1/24

정적 라우팅

10.2.99.0/24(기본 경로)

next hop은 12.168.99.100입니다.
 

1.1.100.0/24

12.168.99.100

보안 존

신뢰

  • 모든 시스템 서비스가 허용됩니다.

  • 모든 프로토콜이 허용됩니다.

  • ge-0/0/1.0 인터페이스는 이 영역에 결합됩니다.
 

untrust

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.
표 8: 개시자에 대한 IKE(Internet Key Exchange) 1단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ike_prop

  • 인증 방법: pre-shared-keys

  • Diffie-Hellman 그룹: group2

  • 인증 알고리즘: md5

  • 암호화 알고리즘: 3des-cbc

정책

ike_pol

  • 모드: main

  • 제안 참조: ike_prop

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

gate

  • IKE(Internet Key Exchange) 정책 참조: ike_pol

  • 외부 인터페이스: ge-0/0/1.0

  • 게이트웨이 주소: 1.1.100.23

  • 로컬 피어 호스트명: chicago

  • 원격 피어 호스트명: sunnyvale
표 9: 개시자에 대한 IPSec 2단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec_prop

  • 프로토콜: esp

  • 인증 알고리즘: hmac-md5-96

  • 암호화 알고리즘: 3des-cbc

정책

ipsec_pol

  • 제안 참조: ipsec_prop

  • PFS(Perfect Forward Secrecy): group1

VPN

first_vpn

  • IKE(Internet Key Exchange) 게이트웨이 참조: gate

  • IPsec 정책 참조: ipsec_pol
표 10: 개시자에 대한 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

보안 정책은 트러스트 영역에서 언트러스트(untrust) 영역으로 터널 트래픽을 허용합니다.

pol1

  • 일치 기준:

    • 모든 source-address

    • 모든 destination-address

    • 모든 애플리케이션

  • 작업: permit tunnel ipsec-vpn first_vpn

보안 정책은 언트러스트(untrust) 영역에서 트러스트 영역으로 터널 트래픽을 허용합니다.

pol1

  • 일치 기준:

    • 모든 애플리케이션

  • 작업: permit tunnel ipsec-vpn first_vpn

예제에서 응답자에 사용하는 특정 구성 매개 변수는 표 11~표 14을(를) 참조하십시오.

표 11: 응답자용 인터페이스, 라우팅 옵션 및 보안 영역

기능

이름

구성 매개 변수

인터페이스

ge-0/0/0

13.168.11.100/24
 

ge-0/0/1

10.2.99.1/24

정적 라우팅

10.1.99.0/24(기본 경로)

next hop은 13.168.11.100입니다.
 

1.1.100.0/24

13.168.11.100

보안 존

신뢰

  • 모든 시스템 서비스가 허용됩니다.

  • 모든 프로토콜이 허용됩니다.

  • ge-0/0/1.0 인터페이스는 이 영역에 결합됩니다.
 

untrust

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.
표 12: 응답자에 대한 IKE(Internet Key Exchange) 1단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ike_prop

  • 인증 방법: pre-shared-keys

  • Diffie-Hellman 그룹: group2

  • 인증 알고리즘: md5

  • 암호화 알고리즘: 3des-cbc

정책

ike_pol

  • 모드: main

  • 제안 참조: ike_prop

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

gate

  • IKE(Internet Key Exchange) 정책 참조: ike_pol

  • 외부 인터페이스: ge-0/0/1.0

  • 게이트웨이 주소: 1.1.100.22

  • 항상 DPD(Dead Peer Detection) 전송

  • 로컬 피어 호스트명: sunnyvale

  • 원격 피어 호스트명: chicago
표 13: 응답자에 대한 IPSec 2단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec_prop

  • 프로토콜: esp

  • 인증 알고리즘: hmac-md5-96

  • 암호화 알고리즘: 3des-cbc

정책

ipsec_pol

  • 제안 참조: ipsec_prop

  • PFS(Perfect Forward Secrecy): group1

VPN

first_vpn

  • IKE(Internet Key Exchange) 게이트웨이 참조: gate

  • IPsec 정책 참조: ipsec_pol
표 14: 개시자에 대한 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

보안 정책은 트러스트 영역에서 언트러스트(untrust) 영역으로 터널 트래픽을 허용합니다.

pol1

  • 일치 기준:

    • 모든 source-address

    • 모든 destination-address

    • 모든 애플리케이션

  • 작업: permit tunnel ipsec-vpn first_vpn

보안 정책은 언트러스트(untrust) 영역에서 트러스트 영역으로 터널 트래픽을 허용합니다.

pol1

  • 일치 기준:

    • 모든 애플리케이션

  • 작업: permit tunnel ipsec-vpn first_vpn

구성

개시자용 인터페이스, 라우팅 옵션 및 보안 영역 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 고정 경로 및 보안 영역 구성 방법:

  1. 이더넷 인터페이스 정보를 구성합니다.

  2. 고정 경로 정보를 구성합니다.

  3. 트러스트 보안 영역을 구성합니다.

  4. 인터페이스를 트러스트 보안 영역에 할당합니다.

  5. 트러스트 보안 영역용 시스템 서비스를 지정합니다.

  6. 인터페이스를 언트러스트(untrust) 보안 영역에 할당합니다.

결과

구성 모드에서 show interfaces, show routing-options, show security zones 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예시의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

개시자용 IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 1단계 제안을 만듭니다.

  2. IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.

  3. IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.

  4. IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.

  5. IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.

  6. IKE(Internet Key Exchange) 1단계 정책을 생성합니다.

  7. IKE(Internet Key Exchange) 1단계 정책 모드를 설정합니다.

  8. IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.

  9. IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.

  10. IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  11. IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 생성합니다.

  12. IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.

  13. 로컬 피어의 경우 local-identity을(를) 설정합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

개시자에 대한 IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 2단계 제안을 만듭니다.

  2. IPsec 2단계 제안 프로토콜을 지정합니다.

  3. IPsec 2단계 제안 인증 알고리즘을 지정합니다.

  4. IPsec 2단계 제안 암호화 알고리즘을 지정합니다.

  5. IPsec 2단계 제안 참조를 지정합니다.

  6. PFS(Perfect Forward Secrecy) group1을 사용하려면 IPsec 2단계를 지정합니다.

  7. IKE(Internet Key Exchange) 게이트웨이를 지정합니다.

  8. IPsec 2단계 정책을 지정합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

개시자에 대한 보안 정책 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

보안 정책 구성:

  1. 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

  2. 언트러스트(untrust) 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

결과

구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

개시자에 대한 네트워크 주소 변환(NAT) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

네트워크 주소 변환(NAT)을 제공하는 개시자 구성 방법:

  1. 인터페이스를 구성합니다.

  2. 영역을 구성합니다.

  3. 네트워크 주소 변환(NAT)을 구성합니다.

  4. 기본 보안 정책을 구성합니다.

  5. 라우팅 옵션을 구성합니다.

결과

구성 모드에서 show security nat 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

응답자용 인터페이스, 라우팅 옵션 및 보안 영역 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 고정 경로, 보안 영역 및 보안 정책 구성 방법:

  1. 이더넷 인터페이스 정보를 구성합니다.

  2. 고정 경로 정보를 구성합니다.

  3. 인터페이스를 언트러스트(untrust) 보안 영역에 할당합니다.

  4. 트러스트 보안 영역을 구성합니다.

  5. 인터페이스를 트러스트 보안 영역에 할당합니다.

  6. 트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.

결과

구성 모드에서 show interfaces, show routing-optionsshow security zones 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

응답자용 IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.

  2. IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.

  3. IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.

  4. IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.

  5. IKE(Internet Key Exchange) 1단계 정책을 생성합니다.

  6. IKE(Internet Key Exchange) 1단계 정책 모드를 설정합니다.

  7. IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.

  8. IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.

  9. IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 동적 호스트 이름을 정의합니다.

  10. IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  11. IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

응답자용 IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 2단계 제안을 만듭니다.

  2. IPsec 2단계 제안 프로토콜을 지정합니다.

  3. IPsec 2단계 제안 인증 알고리즘을 지정합니다.

  4. IPsec 2단계 제안 암호화 알고리즘을 지정합니다.

  5. IPsec 2단계 정책을 생성합니다.

  6. PFS(Perfect Forward Secrecy) group1을 사용하려면 IPsec 2단계를 설정합니다.

  7. IPsec 2단계 제안 참조를 지정합니다.

  8. IKE(Internet Key Exchange) 게이트웨이를 지정합니다.

  9. IPsec 2단계 정책을 지정합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

응답자에 대한 보안 정책 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

보안 정책 구성:

  1. 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

  2. 언트러스트(untrust) 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

결과

구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

응답자용 네트워크 주소 변환(NAT) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

네트워크 주소 변환(NAT)을 제공하는 응답자 구성 방법:

  1. 인터페이스를 구성합니다.

  2. 영역을 구성합니다.

  3. 네트워크 주소 변환(NAT)을 구성합니다.

  4. 기본 보안 정책을 구성합니다.

  5. 라우팅 옵션을 구성합니다.

결과

구성 모드에서 show security nat 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

개시자에 대한 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

확인 프로세스를 시작하기 전에 10.1.99.0 네트워크의 호스트에서 10.2.99.0 네트워크의 호스트로 트래픽을 전송합니다. 경로 기반 VPN의 경우, SRX 시리즈 방화벽이 터널을 통해 트래픽을 시작할 수 있습니다. IPsec 터널을 테스트할 때, VPN 한쪽에 있는 별도의 디바이스에서 VPN의 다른쪽에 있는 두 번째 디바이스로 테스트 트래픽을 전송하는 것이 좋습니다. 예를 들어, 10.1.99.2에서 10.2.99.2로 ping 작업을 시작합니다.

운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index detail명령을 사용할 수 있습니다.

  • Remote address - 원격 IP 주소가 올바르고 포트 4500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.

  • 역할 개시자 상태

    • 업 - 1단계 SA가 설정되었습니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

    • IPsec SA 페어의 두 피어 모두 포트 4500을 사용하고 있으며, 이는 NAT-T가 구현되었음을 나타냅니다. (NAT-T는 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)

    • Peer IKE ID - 원격 주소가 올바른지 확인합니다. 이 예에서 호스트 이름은 sunnyvale입니다.

    • 로컬 ID 및 원격 ID - 적합한지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)

show security ike security-associations 명령은 보안 연관(SA)에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

개시자에 대한 IPsec 보안 연결 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이의 네트워크 주소 변환(NAT) 주소는 13.168.11.100입니다.

  • IPsec SA 페어의 두 피어 모두 포트 4500을 사용하고 있으며, 이는 NAT-T가 구현되었음을 나타냅니다. (NAT-T는 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3390/ 무제한 값은 2단계 수명이 3390초 후에 만료되며, 실물 크기가 지정되지 않아 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

응답자에 대한 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index detail명령을 사용할 수 있습니다.

  • Remote address - 원격 IP 주소가 올바르고 포트 4500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.

  • 역할 응답자 상태

    • 업 - 1단계 SA가 설정되었습니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

    • Peer IKE ID - 피어의 로컬 ID가 올바른지 확인합니다. 이 예에서 호스트 이름은 chicago입니다.

    • 로컬 ID 및 원격 ID - 적합한지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)

show security ike security-associations 명령은 보안 연관(SA)에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

응답자에 대한 IPsec 보안 연관 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이의 네트워크 주소 변환(NAT) 주소는 1.1.100.23입니다.

  • IPsec SA 페어의 두 피어 모두 포트 4500을 사용하고 있으며, 이는 NAT-T가 구현되었음을 나타냅니다. (NAT-T는 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3571/ 무제한 값은 2단계 수명이 3571초 후에 만료되며, 실물 크기가 지정되지 않아 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

참조

예: 동적 엔드포인트 VPN을 사용한 NAT-T 구성

이 예는 IKEv2 개시자가 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 동적 엔드포인트 경로 기반 VPN을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 섀시 클러스터에서 구성된 SRX 시리즈 방화벽 2개

  • 네트워크 주소 변환(NAT)을 제공하는 SRX 시리즈 방화벽 1개

  • 브랜치 오피스 네트워크 액세스를 제공하는 SRX 시리즈 방화벽 1개

  • IKEv2 NAT-T 지원을 위한 Junos OS 릴리스 12.1X46-D10 또는 그 이상

개요

이 예에서는 브랜치 오피스(IKEv2 개시자)와 본사(IKEv2 응답자) 사이에 IPSec VPN을 구성해 두 위치 간의 네트워크 트래픽을 보호합니다. 브랜치 오피스는 네트워크 주소 변환(NAT) 디바이스 뒤에 있습니다. 브랜치 오피스 주소는 동적으로 할당되며 응답자는 알 수 없습니다. 개시자는 터널 협상을 위한 응답자의 원격 ID로 구성됩니다. 이 구성은 네트워크 주소 변환(NAT) 디바이스 전체의 피어 간에 동적 엔드포인트 VPN을 설정합니다.

그림 3은(는) NAT-Traversal (NAT-T) 및 동적 엔드포인트 VPN이 있는 토폴로지의 예를 보여줍니다.

그림 3: 동적 엔드포인트 VPN을 사용하는 NAT-T동적 엔드포인트 VPN을 사용하는 NAT-T

이 예에서는 디바이스에 동적으로 할당된 개시자의 IP 주소 192.179.100.50이 네트워크 주소 변환(NAT) 디바이스에 의해 숨겨져 있으며 100.10.1.253으로 변환됩니다.

이 예에서는 다음 구성 옵션이 적용됩니다.

  • 개시자에 구성된 로컬 ID는 응답자에 구성된 원격 게이트웨이 ID와 일치해야 합니다.

  • 개시자와 응답자 간에 1단계 및 2단계 옵션이 일치해야 합니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터는 [edit security ike gateway gateway-name]계층 수준에서 구성된 nat-keepalive옵션의 기본값이 5초에서 20초로 변경되었습니다.

SRX1400, SRX3400, SRX3600, SRX5600, 및 SRX5800 디바이스에서 IKE(Internet Key Exchange) 피어가 NAT 디바이스 뒤에 있는 경우 네트워크 주소 변환(NAT) traversal를 수반하는 IKE 협상이 작동하지 않습니다. 예를 들어 네트워크 주소 변환(NAT) 디바이스 DIP로 구성된 경우 IKE(Internet Key Exchange) 프로토콜이 UDP 포트를 500에서 4500으로 전환하기 때문에 소스 IP가 변경됩니다. (플랫폼 지원은 설치 시 Junos OS 릴리즈에 따라 다릅니다.)

구성

브랜치 오피스 디바이스(IKEv2 개시자) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

브랜치 오피스 디바이스를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 옵션을 구성합니다.

  3. 영역을 구성합니다.

  4. 1단계 옵션을 구성합니다.

  5. 2단계 옵션을 구성합니다.

  6. 보안 정책을 구성합니다.

결과

구성 모드에서 show interfaces, show routing-options, show security zones, show security ike, show security ipsecshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

네트워크 주소 변환(NAT) 디바이스 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

네트워크 주소 변환(NAT)를 제공하는 중간 라우터를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 영역을 구성합니다.

  3. 네트워크 주소 변환(NAT)을 구성합니다.

  4. 기본 보안 정책을 구성합니다.

결과

구성 모드에서 show interfaces, show security zones, show security nat sourceshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

본사 디바이스(IKEv2 응답자) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. 2개의 노드를 섀시 클러스터로 구성합니다.

  2. 인터페이스를 구성합니다.

  3. 라우팅 옵션을 구성합니다.

  4. 영역을 구성합니다.

  5. 1단계 옵션을 구성합니다.

  6. 2단계 옵션을 구성합니다.

  7. 기본 보안 정책을 구성합니다.

결과

구성 모드에서 show chassis cluster, show interfaces, show routing-options, show security zones, show security ike, show security ipsecshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

응답자에 대한 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

노드 0의 운영 모드에서 show security ike security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations detail 명령을 사용하십시오.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index index_id detail명령을 사용할 수 있습니다.

  • 원격 주소 - 로컬 IP 주소가 올바르고 포트 4500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.

  • 역할 응답자 상태

    • 업 - 1단계 SA가 설정되었습니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

    • 피어 IKE(Internet Key Exchange) ID - 주소가 올바른지 확인합니다.

    • 로컬 ID 및 원격 ID - 이러한 주소가 올바른지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 전송하는 인터페이스여야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)

show security ike security-associations 명령은 보안 연관(SA)에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

응답자에 대한 IPsec 보안 연관 확인

목적

IPsec 상태를 확인합니다.

작업

노드 0의 운영 모드에서 show security ipsec security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations detail 명령을 사용하십시오.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이는 100.10.1.253의 IP 주소를 가지고 있습니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 수명 값은 2단계 수명이 7186초 후에 만료되고 실물 크기가 지정되지 않았음을 나타내며, 이는 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

show security ipsec security-associations index index_id detail 명령의 출력은 다음 정보를 나열합니다.

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 일치하는지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.

  • 2단계 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.

참조

관련 항목

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
12.1X46-D10
Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터는 [edit security ike gateway gateway-name]계층 수준에서 구성된 nat-keepalive옵션의 기본값이 5초에서 20초로 변경되었습니다.