Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

경로 기반 IPsec VPN

경로 기반 VPN은 두 엔드 포인트 간에 생성된 IPSec VPN 터널이 대상 IP 주소를 기반으로 터널을 통해 전송되는 트래픽을 결정하는 경로에 의해 참조되는 구성입니다.

경로 기반 IPSec VPN 이해

경로 기반 VPN을 사용하면 두 사이트 간에 단일 VPN 터널을 통과하는 트래픽 흐름을 규제하는 수십 가지 보안 정책을 구성할 수 있으며, 작동하는 IKE 및 IPsec SA 세트는 하나뿐입니다. 정책 기반 VPN과 달리 경로 기반 VPN의 경우 정책은 VPN 터널이 아닌 대상 주소를 참조합니다. Junos OS가 패킷의 대상 주소로 트래픽을 보내는 데 사용할 인터페이스를 찾기 위해 경로를 찾을 때 보안 터널 인터페이스를 통해 경로를 찾습니다(st0.x). 터널 인터페이스는 특정 VPN 터널에 바인딩되며 정책 작업이 허용되는 경우 트래픽이 터널로 라우팅됩니다.

보안 터널(st0) 인터페이스는 IPv4 주소 하나와 IPv6 주소 하나만 동시에 지원합니다. 이는 모든 경로 기반 VPN에 적용됩니다. disable 옵션은 st0 인터페이스에서는 지원되지 않습니다.

주:

st0.16000에서 st0.16385까지의 보안 터널 인터페이스(st0)는 멀티노드 고가용성(HA) 및 섀시 클러스터에서의 고가용성(HA) 제어 링크 암호화를 위해 예약되어 있습니다. 이러한 인터페이스는 사용자가 구성할 수 없습니다. st0.0 ~ st0.15999의 인터페이스만 사용이 가능합니다.

루트 기반 VPN을 사용할 수 있는 예:

  • 두 LAN 사이에 겹치는 서브넷 또는 IP 주소가 있습니다.

  • 허브 앤 스포크 VPN 토폴로지는 네트워크에서 사용되며 스포크 투 스포크 트래픽이 필요합니다.

  • 기본 VPN 및 백업 VPN이 필요합니다.

  • 동적 라우팅 프로토콜(예: OSPF, RIP 또는 BGP)이 VPN을 통해 실행되고 있습니다.

    포인트 투 멀티포인트 VPN 인터페이스를 통한 RIP 요구 회로 구성은 지원되지 않습니다.

여러 원격 사이트 간에 VPN을 구성하려는 경우 루트 기반 VPN을 사용하는 것이 좋습니다. 경로 기반 VPN을 사용하면 여러 원격 사이트 간에 스포크를 라우팅할 수 있으므로 구성, 모니터링 및 문제 해결이 더 쉽습니다.

참조

예: 경로 기반 VPN 구성

이 예는 경로 기반 IPsec VPN을 구성하여 데이터를 두 사이트 간에 안전하게 전송할 수 있는 방법을 보여줍니다.

요구 사항

이 예는 다음 하드웨어를 사용합니다.

  • 모든 SRX 시리즈 방화벽

    • Junos OS 릴리스 20.4R1에서 vSRX 가상 방화벽을 사용하여 업데이트 및 재검증되었습니다.
주:

이 가이드에서 다루는 주제 및 운영에 대한 실습 경험을 얻는 데 관심이 있습니까? 주니퍼 네트웍스 가상 랩의 IPsec 경로 기반 VPN 시연을 방문하고 오늘 무료 샌드박스를 예약하십시오! 보안 카테고리에서 IPSec VPN 경로 기반 샌드박스를 찾을 수 있습니다.

시작하기 전에 IPsec 개요을(를) 읽으십시오.

개요

이 예에서는 SRX1 및 SRX2의 경로 기반 VPN을 구성합니다. Host1 및 Host2는 VPN을 사용하여 두 호스트 사이의 인터넷에서 트래픽을 안전하게 전송합니다.

그림 1은(는) 경로 기반 VPN 토폴로지의 예를 보여줍니다.

그림 1: 경로 기반 VPN 토폴로지경로 기반 VPN 토폴로지

이 예에서 인터페이스, IPv4 기본 경로 및 보안 영역을 구성합니다. 그런 다음 IKE(Internet Key Exchange), 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 이 예에서 사용되는 특정 구성 매개 변수에 표 5~표 1을(를) 참조하십시오.

표 1: SRX1의 인터페이스, 정적 경로, 보안 영역 및 보안 정책 정보

기능

이름

구성 매개 변수

인터페이스

ge-0/0/0.0

10.100.11.1/24
 

ge-0/0/1.0

172.16.13.1/24
 

st0.0 (터널 인터페이스)

10.100.200.1/24

정적 라우팅

10.100.22.0/24

0.0.0.0/0

다음 홉은 st0.0입니다.

다음 홉은 172.16.13.2입니다.

보안 존

신뢰

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.
 

untrust

  • ge-0/0/1.0 인터페이스는 이 영역에 결합됩니다.
 

VPN

  • st0.0 인터페이스는 이 영역에 결합됩니다.
표 2: IKE(Internet Key Exchange) 구성 매개 변수

기능

이름

구성 매개 변수

제안

표준

  • 인증 방법: pre-shared-keys

정책

IKE-POL

  • 모드: main

  • 제안 참조: 표준

  • IKE(Internet Key Exchange) 정책 인증 방법: pre-shared-keys

게이트웨이

IKE-GW

  • IKE(Internet Key Exchange) 정책 참조: IKE-POL

  • 외부 인터페이스: ge-0/0/1

  • 게이트웨이 주소: 172.16.23.1
표 3: IPsec 구성 매개 변수

기능

이름

구성 매개 변수

제안

표준

  • 기본 구성 사용

정책

IPSEC-POL

  • 제안 참조: 표준

VPN

VPN 에서 호스트2로

  • IKE(Internet Key Exchange) 게이트웨이 참조: IKE-GW

  • IPsec 정책 참조: IPSEC-POL

  • 인터페이스에 바인딩: st0.0

  • 즉시 establish-tunnels
표 4: 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

보안 정책은 보안 정책은 신뢰 영역에서 VPN 영역으로 트래픽을 허용합니다.

VPN-OUT

  • 일치 기준:

    • source-address Host1-Net

    • destination-address Host2-Net

    • 모든 애플리케이션

  • 작업: 허용(Permit)

보안 정책은 VPN 영역에서 신뢰 영역으로 트래픽을 허용합니다.

VPN-IN

  • 일치 기준:

    • source-address Host2-Net

    • destination-address Host1-Net

    • 모든 애플리케이션

  • 작업: 허용(Permit)
표 5: TCP-MSSS 구성 매개 변수

목적

구성 매개 변수

TCP-MSS는 TCP 3방향 핸드셰이크의 일부로 협상되며, TCP 세그먼트의 최대 크기를 제한하여 네트워크에서 MTU 제한에 더 잘 맞도록 합니다. VPN 트래픽의 경우, IPSec 캡슐화 오버헤드는 IP 및 프레임 오버헤드와 함께 결과 ESP 패킷이 단편화를 유발하는 물리적 인터페이스의 최대 전송 단위(MTU)를 초과하게 할 수 있습니다. 단편화는 대역폭 및 디바이스 리소스를 증가합니다.

1500 이상의 최대 전송 단위(MTU)를 가진 대부분의 이더넷 기반 네트워크의 시작 지점으로 1350의 값을 권장합니다. 최적의 성능을 얻기 위해서는 다양한 TCP-MSS 값의 실험이 필요할 수 있습니다. 예를 들어, 경로의 디바이스가 낮은 최대 전송 단위(MTU)를 가졌거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수도 있습니다.

MSS 값: 1350

구성

기본 네트워크 및 보안 영역 정보 구성

CLI 빠른 구성

SRX1 예의 이 섹션을 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경하고, 해당 명령을 [edit] 계층 수준의 CLI에 복사 및 붙여 넣은 다음 구성 모드의 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

인터페이스, 정적 경로 및 보안 영역 정보 구성:

  1. 인터페이스를 구성합니다.

  2. 고정 경로를 구성합니다.

  3. 신뢰할 수 없는 보안 영역에 인터넷 연결 인터페이스를 할당합니다.

  4. 신뢰할 수 없는 보안 영역을 위한 허용된 시스템 서비스를 지정합니다.

  5. 신뢰할 수 있는 보안 영역에 Host1 연결 인터페이스를 할당합니다.

  6. 신뢰할 수 있는 보안 영역을 위한 허용된 시스템 서비스를 지정합니다.

  7. VPN 보안 영역에 보안 터널 인터페이스를 할당합니다.

  8. VPN 보안 영역을 위한 허용된 시스템 서비스를 지정합니다.

결과

구성 모드에서 show interfaces, show routing-optionsshow security zones 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

IKE(Internet Key Exchange) 구성

CLI 빠른 구성

SRX1 예의 이 섹션을 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경하고, 해당 명령을 [edit] 계층 수준의 CLI에 복사 및 붙여 넣은 다음 구성 모드의 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 제안을 생성합니다.

  2. IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.

  3. IKE(Internet Key Exchange) 정책을 생성합니다.

  4. IKE(Internet Key Exchange) 정책 모드를 설정합니다.

  5. IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.

  6. IKE(Internet Key Exchange) 정책 인증 방법을 정의합니다.

  7. IKE(Internet Key Exchange) 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  8. IKE(Internet Key Exchange) 정책 참조를 정의합니다.

  9. IKE(Internet Key Exchange) 게이트웨이 주소를 정의합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

IPsec 구성

CLI 빠른 구성

SRX1 예의 이 섹션을 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경하고, 해당 명령을 [edit] 계층 수준의 CLI에 복사 및 붙여 넣은 다음 구성 모드의 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

IPsec 구성:

  1. IPsec 제안을 생성합니다.

  2. IPsec 정책을 생성합니다.

  3. IPsec 제안 참조를 지정합니다.

  4. IKE(Internet Key Exchange) 게이트웨이를 지정합니다.

  5. IPsec 정책을 지정합니다.

  6. 바인딩할 인터페이스를 지정합니다.

  7. 즉시 구축하기 위해 터널을 구성합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

보안 정책 구성

CLI 빠른 구성

SRX1에 대한 보안 정책을 빠르게 구성하려면, 이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음 구성 모드의 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

보안 정책 구성:

  1. 보안 정책에 사용될 네트워크에 대한 주소록 항목을 생성합니다.

  2. 인터넷으로의 트래픽을 위해 신뢰할 수 있는 영역에서 신뢰할 수 없는 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

  3. 신뢰할 수 있는 영역의 Host1에서 VPN 영역의 Host2로 향하는 트래픽을 허용하는 보안 정책 생성합니다.

  4. VPN 영역의 Host2에서 신뢰할 수 있는 영역의 Host1로 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 show security address-bookshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

TCP-MSS 구성

CLI 빠른 구성

SRX1에 대한 TCP MSS를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 [edit] 계층 수준에서 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드의 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 CLI 사용자 가이드를 참조하십시오.

TCP-MSS 정보 구성:

  1. TCP-MSS 정보를 구성합니다.

결과

구성 모드에서 show security flow 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SRX2 구성

CLI 빠른 구성

참고로 SRX2의 구성은 제공됩니다.

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 [edit] 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 제대로 작동하는지 확인하기 위해 다음 작업을 수행합니다.

IKE(Internet Key Exchange) 상태 확인

목적

IKE 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.

의미

show security ike security-associations 명령은 모든 활성화된 IKE(Internet Key Exchange) SA를 나열합니다. SA가 나열되어 있지 않은 경우, IKE 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index detail명령을 사용할 수 있습니다.

  • 원격 주소 - 원격 IP 주소가 올바른지 확인합니다.

    • 업 - IKE(Internet Key Exchange) SA가 설정되었습니다.

    • 다운 - IKE(Internet Key Exchange) SA를 설정하는 데 문제가 있었습니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 사전 공유 키 정보

  • 제안 매개 변수(두 피어와 모두 일치해야 합니다)

show security ike security-associations index 1859340 detail 명령은 색인 번호 1859340와의 보안 연결에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 협상 수

IPsec 상태를 확인합니다

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • ID 번호는 131074입니다. 이 특정 SA에 대한 자세한 정보를 얻기 위해 show security ipsec security-associations index 명령의 이 값을 사용합니다.

  • 포트 500을 사용하는 하나의 IPsec SA 쌍이 있으며, 이것은 NAT-Traversal이 구현되지 않는다는 의미입니다. (NAT-traversal은 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3403/ 무제한 값은 수명이 3403초 후 만료되며, 실물 크기가 지정되지 않아서 무제한임을 나타냅니다. VPN이 업 상태가 된 후 IPsec은 IKE(Internet Key Exchange)에 의존하지 않으므로, 수명은 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

show security ipsec security-associations index 131074 detail 명령의 출력은 다음 정보를 나열합니다.

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 IPsec 실패의 가장 일반적인 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 IPsec 제안이 두 피어에 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.

  • IPsec 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.

VPN 전반의 트래픽 플로우 테스트

목적

VPN 전반의 트래픽 플로우를 확인합니다.

작업

Host1 디바이스의 ping 명령을 사용하여 Host2로의 트래픽 플로우를 테스트합니다.

의미

Host1에서 ping 명령이 실패하는 경우, 라우팅, 보안 정책, 종료 호스트 또는 ESP 패킷의 암호화 및 복호화에 문제가 있을 수 있습니다.

IPsec 보안 연결에 대한 통계 및 오류 검토

목적

IPsec 보안 연결에 대한 ESP 및 인증 헤더 카운터 및 오류를 검토합니다.

작업

작동 모드에서 통계를 보고 싶은 VPN의 색인 번호를 사용하여 show security ipsec statistics index index_number 명령을 입력하십시오.

또한 모든 SA의 통계 및 오류를 검토하는 show security ipsec statistics 명령을 사용할 수 있습니다.

모든 IPsec 통계를 지우려면, clear security ipsec statistics 명령을 사용합니다.

의미

VPN 전반에 걸쳐 패킷 손실 문제를 확인하면, show security ipsec statistics 또는 show security ipsec statistics detail 명령을 여러 차례 실행하여 암호화 및 복호화된 패킷 카운터가 증분하는지 확인합니다. 모든 증분 오류 카운터에 대한 명령 출력을 확인합니다.

참조