Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

경로 기반 IPsec VPN

경로 기반 VPN은 두 단말 장치 사이에 생성된 IPsec VPN 터널이 대상 IP 주소를 기반으로 터널을 통해 전송되는 트래픽을 결정하는 루트에 의해 참조되는 구성입니다.

경로 기반 IPsec VPN 이해

경로 기반 VPN을 사용하면 두 사이트 사이의 단일 VPN 터널을 통해 흐르는 트래픽을 규제하기 위해 수십 개의 보안 정책을 구성할 수 있으며, 한 세트의 IKE 및 IPsec SA 세트만 작동합니다. 정책 기반 VPN과 달리 경로 기반 VPN의 경우 정책은 VPN 터널이 아닌 대상 주소를 말합니다. Junos OS가 패킷의 대상 주소로 트래픽을 전송하는 데 사용할 인터페이스를 찾기 위해 경로를 조회하면 안전한 터널 인터페이스(st0)를 통해 경로를 찾습니다. x). 터널 인터페이스는 특정 VPN 터널에 연결되며 정책 작업이 허용되면 트래픽이 터널로 라우팅됩니다.

보안 터널(st0) 인터페이스는 IPv4 주소 1개와 IPv6 주소 1개만 동시에 지원합니다. 이는 모든 경로 기반 VPN에 적용됩니다. 이 disable 옵션은 st0 인터페이스에서 지원되지 않습니다.

경로 기반 VPN을 사용할 수 있는 위치의 예:

  • 두 LAN 간에는 서브넷 또는 IP 주소가 중복됩니다.

  • 네트워크에서 허브 앤 스포크(hub-and-spoke) VPN 토폴로지가 사용되며 스포크(spoke-to-spoke) 트래픽이 필요합니다.

  • 기본 및 백업 VPN이 필요합니다.

  • VPN에서 동적 라우팅 프로토콜(예: OSPF, RIP 또는 BGP)이 실행되고 있습니다.

    P2P(Point-to-Multipoint) VPN 인터페이스상에서 RIP 수요 회로 구성은 지원되지 않습니다.

여러 원격 사이트 간에 VPN을 구성하려면 경로 기반 VPN을 사용하는 것이 좋습니다. 경로 기반 VPN을 사용하면 여러 원격 사이트 간에 스포크 간 라우팅이 가능합니다. 구성, 모니터링, 문제 해결이 더 쉽습니다.

예를 들면 다음과 같습니다. 경로 기반 VPN 구성

이 예에서는 데이터를 두 사이트 간에 안전하게 전송할 수 있도록 경로 기반 IPsec VPN을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어를 사용합니다.

  • 모든 SRX 시리즈 디바이스

    • Junos OS 릴리스 20.4R1에서 vSRX를 사용하여 업데이트되고 다시 검증되었습니다.
주:

이 가이드에서 다루는 주제와 운영에 대한 실습에 관심이 있습니까? 주니퍼 네트웍스 가상 랩의 IPsec 경로 기반 VPN 데모를 방문하여 지금 무료 샌드박스를 예약하십시오! 보안 범주에는 IPsec VPN 경로 기반 샌드박스가 있습니다.

시작하기 전에 를 읽어보십시오 IPsec 개요.

개요

이 예에서는 SRX1 및 SRX2에서 경로 기반 VPN을 구성합니다. Host1 및 Host2는 VPN을 사용하여 두 호스트 간에 인터넷을 통해 안전하게 트래픽을 전송합니다.

그림 1 경로 기반 VPN 토폴로지의 예를 보여 주십시오.

그림 1: 경로 기반 VPN 토폴로지 경로 기반 VPN 토폴로지

이 예에서는 인터페이스, IPv4 기본 경로 및 보안 존을 구성합니다. 그런 다음 IKE, IPsec, 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 표 5 이 예에서 사용되는 특정 구성 매개변수를 참조하십시오표 1.

표 1: SRX1에 대한 인터페이스, 정적 경로, 보안 존 및 보안 정책 정보

기능

이름

구성 매개변수

인터페이스

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st0.0(터널 인터페이스)

10.100.200.1/24

정적 라우팅

10.100.22.0/24

0.0.0.0/0

다음 홉은 st0.0입니다.

다음 홉은 172.16.13.2입니다.

보안 존

신뢰

  • ge-0/0/0.0 인터페이스는 이 존에 연결됩니다.

 

신뢰할 수 없는

  • ge-0/0/1.0 인터페이스는 이 존에 연결됩니다.

 

Vpn

  • st0.0 인터페이스는 이 존에 연결됩니다.

표 2: IKE(Configuration Parameters)

기능

이름

구성 매개변수

제안

표준

  • 인증 방법: 사전 공유 키

정책

IKE-POL

  • 모드: 주요

  • 제안서 참조: 표준

  • IKE 정책 인증 방법: 사전 공유 키

게이트웨이

IKE-GW

  • IKE 정책 참조: IKE-POL

  • 외부 인터페이스: ge-0/0/1

  • 게이트웨이 주소: 172.16.23.1

표 3: IPsec 구성 매개변수

기능

이름

구성 매개변수

제안

표준

  • 기본 구성 사용

정책

IPSEC-POL

  • 제안서 참조: 표준

VPN

VPN-to-Host2

  • IKE 게이트웨이 레퍼런스: IKE-GW

  • IPsec 정책 참조: IPSEC-POL

  • 인터페이스에 바인딩: st0.0

  • 즉시 설정 터널
표 4: 보안 정책 구성 매개변수

목적

이름

구성 매개변수

보안 정책은 트러스트 존에서 VPN 존으로 트래픽을 허용합니다.

VPN-OUT

  • 일치 조건:

    • 소스 주소 Host1-Net

    • 대상 주소 Host2-Net

    • 애플리케이션

  • 액션: 허용

보안 정책은 VPN 존에서 트러스트 존으로 트래픽을 허용합니다.

VPN-IN

  • 일치 조건:

    • 소스 주소 Host2-Net

    • 대상 주소 Host1-Net

    • 애플리케이션

  • 액션: 허용

표 5: TCP-MSS 구성 매개변수

목적

구성 매개변수

TCP-MSS는 TCP 3방향 핸드셰이크(three-way handshake)의 일부로 협상되며, 네트워크의 MTU 제한에 맞게 TCP 세그먼트의 최대 크기를 제한합니다. VPN 트래픽의 경우 IP 및 프레임 오버헤드와 함께 IPsec 캡슐화 오버헤드로 인해 생성된 ESP 패킷이 물리적 인터페이스의 MTU를 초과하게 되며, 이로 인해 단편화가 발생할 수 있습니다. 단편화는 대역폭과 디바이스 리소스를 증가합니다.

주니퍼는 MTU가 1500개 이상인 대부분의 Ethernet 기반 네트워크의 출발점으로 1350의 가치를 권장합니다. 최적의 성능을 얻기 위해 서로 다른 TCP-MSS 값을 실험해야 할 수도 있습니다. 예를 들어 경로에 있는 장치가 MTU가 낮거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수 있습니다.

MSS 가치: 1350

구성

기본 네트워크 및 보안 존 정보 구성

CLI 빠른 구성

SRX1에 대한 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드를 참조하십시오.

인터페이스, 정적 경로 및 보안 존 정보를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 정적 경로를 구성합니다.

  3. 인터넷 대면 인터페이스를 신뢰할 수 없는 보안 존에 할당합니다.

  4. 신뢰할 수 없는 보안 존에 대해 허용된 시스템 서비스를 지정합니다.

  5. 트러스트 보안 존에 Host1 대면 인터페이스를 할당합니다.

  6. 트러스트 보안 존에 대해 허용된 시스템 서비스를 지정합니다.

  7. VPN 보안 존에 보안 터널 인터페이스를 할당합니다.

  8. VPN 보안 존에 대해 허용된 시스템 서비스를 지정합니다.

결과

구성 모드에서 , show routing-optionsshow security zones 명령을 입력show interfaces하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

IKE 구성

CLI 빠른 구성

SRX1에 대한 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드를 참조하십시오.

IKE를 구성하려면:

  1. IKE 제안서를 만듭니다.

  2. IKE 제안 인증 방법을 정의합니다.

  3. IKE 정책을 만듭니다.

  4. IKE 정책 모드를 설정합니다.

  5. IKE 제안에 대한 참조를 지정합니다.

  6. IKE 정책 인증 방법을 정의합니다.

  7. IKE 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  8. IKE 정책 참조를 정의합니다.

  9. IKE 게이트웨이 주소를 정의합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security ike 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

IPsec 구성

CLI 빠른 구성

SRX1에 대한 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드를 참조하십시오.

IPsec을 구성하려면 다음을 수행합니다.

  1. IPsec 제안서를 만듭니다.

  2. IPsec 정책을 만듭니다.

  3. IPsec 제안 참조를 지정합니다.

  4. IKE 게이트웨이를 지정합니다.

  5. IPsec 정책을 지정합니다.

  6. 바인딩할 인터페이스를 지정합니다.

  7. 터널을 구성하여 즉시 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security ipsec 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

보안 정책 구성

CLI 빠른 구성

SRX1에 대한 보안 정책을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드를 참조하십시오.

보안 정책을 구성하려면 다음을 수행합니다.

  1. 보안 정책에 사용될 네트워크에 대한 주소록 항목을 만듭니다.

  2. 트러스트 존에서 언터스트 존으로 트래픽을 허용하는 보안 정책을 생성합니다.

  3. VPN 존의 Host2로 향하는 트러스트 존의 Host1에서 트래픽을 허용하는 보안 정책을 생성합니다.

  4. VPN 존의 Host2에서 트러스트 존의 Host1로 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 명령과 show security policies 명령을 입력하여 구성을 show security address-book 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

TCP-MSS 구성

CLI 빠른 구성

SRX1용 TCP MSS를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드를 참조하십시오.

TCP-MSS 정보를 구성하려면 다음을 수행합니다.

  1. TCP-MSS 정보를 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security flow 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

SRX2 구성

CLI 빠른 구성

참고로 SRX2의 구성이 제공됩니다.

예제의 이 섹션을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사하여 붙여넣은 다음 구성 모드에서 입력 commit 합니다.

확인

다음 작업을 수행하여 구성이 올바르게 작동하는지 확인합니다.

IKE 상태 확인

목적

IKE 상태를 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security ike security-associations . 명령에서 인덱스 번호를 얻은 후 명령을 사용합니다 show security ike security-associations index index_number detail .

의미

show security ike security-associations 명령은 모든 활성 IKE SA를 나열합니다. SAS가 나열되지 않으면 IKE 설립에 문제가 있었습니다. 구성에서 IKE 정책 매개변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열된 경우 다음 정보를 검토하십시오.

  • 색인—이 값은 명령어에서 SA에 대한 자세한 정보를 얻을 수 있는 show security ike security-associations index detail 각 IKE SA에 대해 고유합니다.

  • 원격 주소—원격 IP 주소가 올바른지 확인합니다.

    • UP—IKE SA가 설립되었습니다.

    • DOWN—IKE SA를 설정하는 데 문제가 있었습니다.

  • 모드—올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신하는 인터페이스여야 함)

  • IKE 정책 매개변수

  • 주요 정보 사전 공유

  • 제안 매개 변수(반드시 두 피어에 일치해야 함)

show security ike security-associations index 1859340 detail 명령은 인덱스 수의 1859340 보안 연결에 대한 추가 정보를 나열합니다.

  • 사용된 인증 및 암호화 알고리즘

  • 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    트러블슈팅은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 초기화자 및 응답자 정보

  • 생성된 IPsec SA 수

  • 진행 중인 협상 수

IPsec 상태 확인

목적

IPsec 상태를 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show security ipsec security-associations . 명령에서 인덱스 번호를 얻은 후 명령을 사용합니다 show security ipsec security-associations index index_number detail .

의미

명령의 show security ipsec security-associations 출력에는 다음 정보가 나열됩니다.

  • ID 번호가 131074. 명령어와 함께 show security ipsec security-associations index 이 값을 사용하여 이 특정 SA에 대한 자세한 정보를 얻으십시오.

  • 포트 500을 사용하는 하나의 IPsec SA 쌍이 있는데, 이는 NAT 경유가 구현되지 않음을 나타냅니다. (NAT-traversal은 포트 4500 또는 다른 임의의 높은 수의 포트를 사용합니다.)

  • SPI, 수명(초), 사용 제한(또는 KB의 수명)이 양방향으로 표시됩니다. 3403/ 무제한 값은 수명이 3,403초에 만료되며 수명이 지정되지 않았으며, 이는 무제한임을 나타냅니다. IPsec은 VPN이 가동된 후 IKE에 의존하지 않기 때문에 수명은 수명과 다를 수 있습니다.

  • Mon 열의 하이픈에 표시된 것처럼 이 SA에서는 VPN 모니터링을 사용할 수 없습니다. VPN 모니터링이 활성화되면 U는 모니터링이 시작되었음을 표시하고 D는 모니터링이 중단되었음을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템이며 항상 0을 나열합니다.

명령의 show security ipsec security-associations index 131074 detail 출력에는 다음 정보가 나열됩니다.

  • 로컬 ID와 원격 ID가 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 IPsec 장애의 가장 일반적인 원인 중 하나입니다. IPsec SA가 없는 경우 프록시 ID 설정을 포함한 IPsec 제안이 두 피어 모두 올바른지 확인합니다. 경로 기반 VPN의 경우 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, service=any입니다. 동일한 피어 IP의 여러 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유의 프록시 ID를 지정해야 합니다. 일부 타사 벤더의 경우 프록시 ID를 일치하도록 수동으로 입력해야 합니다.

  • IPsec 장애의 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않는 것입니다. IPsec이 완료할 수 없는 경우 kmd 로그를 확인하거나 추적 옵션을 설정합니다.

VPN 전반의 트래픽 플로우 테스트

목적

VPN 전반의 트래픽 흐름을 확인합니다.

실행

Host1 디바이스의 ping 명령을 사용하여 Host2로의 트래픽 흐름을 테스트합니다.

의미

명령이 ping Host1에서 장애가 발생하면 ESP 패킷의 라우팅, 보안 정책, 엔드 호스트 또는 암호화 및 암호 해독에 문제가 있을 수 있습니다.

IPsec 보안 협회의 통계 및 오류 검토

목적

IPsec 보안 연결에 대한 ESP 및 인증 헤더 카운터 및 오류를 검토합니다.

실행

운영 모드에서 통계를 확인할 VPN의 인덱스 번호를 사용하여 명령을 입력 show security ipsec statistics index index_number 합니다.

또한 명령을 사용하여 모든 SLA의 show security ipsec statistics 통계 및 오류를 검토할 수도 있습니다.

모든 IPsec 통계를 지우려면 명령을 사용합니다 clear security ipsec statistics .

의미

VPN에서 패킷 손실 문제가 발생하면, 또는 show security ipsec statistics detail 명령을 여러 번 실행 show security ipsec statistics 하여 암호화되고 복호화된 패킷 카운터가 증가하고 있는지 확인합니다. 명령 출력을 보면 증분 오류 카운터가 있는지 확인합니다.