Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

IKEv2를 사용하는 경로 기반 VPN

IKEv2(Internet Key Exchange version 2)는 피어 VPN 디바이스 간에 보안 VPN 통신 채널을 제공하고 IPsec SA(보안 연결)에 대한 협상 및 인증을 보호된 방식으로 정의하는 IPsec 기반 터널링 프로토콜입니다.

표 1 은(는) IPsec Radius xAuth 또는 CP 값을 설명합니다.

표 1: IPsec RADIUS xAuth 또는 CP 값
Radius 속성 속성 ID 속성 이름 공급업체 ID(사전) 공급업체 속성 ID 속성 값 형식
표준 8 프레이밍된 IP 주소 NA NA IP 주소 IPv4 주소
표준 88 액자 수영장 NA NA 이름 텍스트
표준 100 프레임 IPv6 풀 NA NA 이름 텍스트
벤더 26 기본 DNS 4874(주니퍼 ERX) 4 IP 주소 IPv4 주소
벤더 26 보조 DNS 4874(주니퍼 ERX) 5 IP 주소 IPv4 주소
벤더 26 기본 WINS(NBNS) 4874(주니퍼 ERX) 6 IP 주소 IPv4 주소
벤더 26 보조 WINS(NBNS) 4874(주니퍼 ERX) 7 IP 주소 IPv4 주소
벤더 26 IPv6 기본 DNS 4874(주니퍼 ERX) 47 IP 주소 hex-string 또는 octets
벤더 26 IPv6 보조 DNS 4874(주니퍼 ERX) 48 IP 주소 hex-string 또는 octets

예: IKEv2에 대한 경로 기반 VPN 구성

이 예에서는 지사와 본사 간에 데이터를 안전하게 전송할 수 있도록 경로 기반 IPsec VPN을 구성하는 방법을 보여줍니다.

요구 사항

이 예는 다음 하드웨어를 사용합니다.

  • SRX240 디바이스

  • SSG140 디바이스

시작하기 전에 IPsec 개요을(를) 읽으십시오.

개요

이 예에서는 터널 리소스를 절약하면서도 VPN 트래픽에 대한 세부적인 제한을 적용하기 위해 일리노이주 시카고에 있는 지점에 대한 경로 기반 VPN을 구성합니다. 시카고 사무실의 사용자는 VPN을 사용하여 캘리포니아 서니베일에 있는 본사에 연결합니다.

이 예에서는 인터페이스, IPv4 기본 경로, 보안 영역 및 주소록을 구성합니다. 그런 다음 IKE(Internet Key Exchange) 1단계, IPsec 2단계, 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 이 예에서 사용되는 특정 구성 매개 변수에 표 6~표 2을(를) 참조하십시오.

표 2: 인터페이스, 정적 경로, 보안 영역 및 주소록 정보

기능

이름

구성 매개 변수

인터페이스

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (터널 인터페이스)

10.11.11.10/24

정적 라우팅

0.0.0.0/0(기본 경로)

다음 홉은 10.1.1.1입니다.

192.168.168.0/24

다음 홉은 st0.0입니다.

보안 존

신뢰

  • 모든 시스템 서비스가 허용됩니다.

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.

untrust

  • IKE(Internet Key Exchange)는 유일하게 허용되는 시스템 서비스입니다.

  • ge-0/0/3.0 인터페이스는 이 영역에 결합됩니다.

VPN-시카고

st0.0 인터페이스는 이 영역에 결합됩니다.

주소록 항목

서 니 베일

  • 이 주소는 트러스트 영역의 주소록용입니다.

  • 이 주소록 항목의 주소는 192.168.10.0/24입니다.

시카고

  • 이 주소는 신뢰할 수 없는 영역의 주소록용입니다.

  • 이 주소록 항목의 주소는 192.168.168.0/24입니다.
표 3: IKE(Internet Key Exchange) 1단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ike-phase1-proposal

  • 인증 방법: pre-shared-keys

  • Diffie-Hellman 그룹: group2

  • 인증 알고리즘: sha1

  • 암호화 알고리즘: aes-128-cbc

정책

ike-phase1-policy

  • 모드: main

  • 제안 참조: ike-phase1-proposal

  • IKE(Internet Key Exchange) 1단계 정책 인증 방법: pre-shared-key ascii-text

게이트웨이

GW-시카고

  • IKE(Internet Key Exchange) 정책 참조: ike-phase1-policy

  • 외부 인터페이스: ge-0/0/3.0

  • 게이트웨이 주소: 10.2.2.2
표 4: IPsec 2단계 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec-phase2-proposal

  • 프로토콜: esp

  • 인증 알고리즘: hmac-sha1-96

  • 암호화 알고리즘: aes-128-cbc

정책

ipsec-phase2-policy

  • 제안 참조: ipsec-phase2-proposal

  • PFS: Diffie-Hellman group2

VPN

ipsec-vpn-시카고

  • IKE(Internet Key Exchange) 게이트웨이 참조: GW-시카고

  • IPsec 정책 참조: ipsec-phase2-policy

  • 인터페이스에 바인딩: st0.0
표 5: 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

보안 정책은 트러스트 영역에서 vpn-chicago 영역으로 트래픽을 허용합니다.

vpn-tr-chi

  • 일치 기준:

    • 소스 주소 서니베일

    • 목적지 주소 시카고

    • 모든 애플리케이션

  • 작업: 허용(Permit)

보안 정책은 vpn-chicago 영역에서 트러스트 영역으로 트래픽을 허용합니다.

vpn-chi-tr

  • 일치 기준:

    • 소스 주소 시카고

    • 목적지 주소 서니베일

    • 모든 애플리케이션

  • 작업: 허용(Permit)
표 6: TCP-MSSS 구성 매개 변수

목적

구성 매개 변수

TCP-MSS는 TCP 3방향 핸드셰이크의 일부로 협상되며, TCP 세그먼트의 최대 크기를 제한하여 네트워크에서 MTU 제한에 더 잘 맞도록 합니다. VPN 트래픽의 경우, IPSec 캡슐화 오버헤드는 IP 및 프레임 오버헤드와 함께 결과 ESP 패킷이 단편화를 유발하는 물리적 인터페이스의 최대 전송 단위(MTU)를 초과하게 할 수 있습니다. 단편화는 대역폭과 디바이스 리소스를 증가시킵니다.

1500 이상의 최대 전송 단위(MTU)를 가진 대부분의 이더넷 기반 네트워크의 시작 지점으로 1350의 값을 권장합니다. 최적의 성능을 얻기 위해서는 다양한 TCP-MSS 값의 실험이 필요할 수 있습니다. 예를 들어, 경로의 디바이스가 낮은 최대 전송 단위(MTU)를 가졌거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수도 있습니다.

MSS 값: 1350

구성

인터페이스, 정적 경로, 보안 영역 및 주소록 정보 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 정적 경로, 보안 영역 및 주소록 정보 구성 방법:

  1. 이더넷 인터페이스 정보를 구성합니다.

  2. 고정 경로 정보를 구성합니다.

  3. 언트러스트(untrust) 보안 영역을 구성합니다.

  4. 인터페이스를 보안 영역에 할당합니다.

  5. 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  6. 트러스트 보안 영역을 구성합니다.

  7. 인터페이스를 트러스트 보안 영역에 할당합니다.

  8. 트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  9. 트러스트 보안 영역에 대한 주소록 항목을 구성합니다.

  10. vpn-chicago 보안 영역을 구성합니다.

  11. 인터페이스를 보안 영역에 할당합니다.

  12. vpn-chicago 영역에 대한 주소록 항목을 구성합니다.

결과

구성 모드에서 show interfaces, show routing-optionsshow security zones 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 1단계 제안을 만듭니다.

  2. IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.

  3. IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.

  4. IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.

  5. IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.

  6. IKE(Internet Key Exchange) 1단계 정책을 생성합니다.

  7. IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.

  8. IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.

  9. IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  10. IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.

  11. IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 정의합니다.

  12. IKE(Internet Key Exchange) 1단계 게이트웨이 버전을 정의합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 2단계 제안을 만듭니다.

  2. IPsec 2단계 제안 프로토콜을 지정합니다.

  3. IPsec 2단계 제안 인증 알고리즘을 지정합니다.

  4. IPsec 2단계 제안 암호화 알고리즘을 지정합니다.

  5. IPsec 2단계 정책을 생성합니다.

  6. IPsec 2단계 제안 참조를 지정합니다.

  7. Diffie-Hellman 그룹 2를 사용할 수 있도록 IPsec 2단계 PFS를 지정합니다.

  8. IKE(Internet Key Exchange) 게이트웨이를 지정합니다.

  9. IPsec 2단계 정책을 지정합니다.

  10. 바인딩할 인터페이스를 지정합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

보안 정책 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

보안 정책 구성:

  1. 트러스트 영역에서 vpn-chicago 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

  2. vpn-chicago 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

TCP-MSS 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

TCP-MSS 정보 구성:

  1. TCP-MSS 정보를 구성합니다.

결과

구성 모드에서 show security flow 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

SSG 시리즈 디바이스 구성

CLI 빠른 구성

참고로 SSG 시리즈 디바이스 구성이 제공됩니다. SSG 시리즈 디바이스에 대한 정보는 https://www.juniper.net/documentation에서 을(Concepts & Examples ScreenOS Reference Guide를) 참조하십시오.

이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 [edit] 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

확인 프로세스를 시작하기 전에 192.168.10/24 네트워크의 호스트에서 192.168.168/24 네트워크의 호스트로 트래픽을 전송해야 합니다. 경로 기반 VPN의 경우, SRX 시리즈 방화벽이 터널을 통해 트래픽을 시작할 수 있습니다. IPsec 터널을 테스트할 때, VPN 한쪽에 있는 별도의 디바이스에서 VPN의 다른쪽에 있는 두 번째 디바이스로 테스트 트래픽을 전송하는 것이 좋습니다. 예를 들어, 192.168.10.10에서 192.168.168.10으로 ping을 시작합니다.

운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해 show security ike security-associations index detail명령을 사용할 수 있습니다.

  • 원격 주소 - 원격 IP 주소가 올바른지 확인합니다.

    • UP—1단계 SA가 설정되었습니다.

    • DOWN—1단계 SA를 설정하는 데 문제가 있었습니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 사항이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 수신하는 인터페이스여야 함).

  • IKE(Internet Key Exchange) 정책 매개 변수.

  • 사전 공유 키 정보.

  • 1단계 제안 매개 변수(두 피어 모두에서 일치해야 함).

명령은 인덱스 번호가 1인 SA에 대한 추가 정보를 나열합니다.show security ike security-associations index 1 detail

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • ID 번호는 16384입니다. 이 특정 SA에 대한 자세한 정보를 얻기 위해 show security ipsec security-associations index 명령의 이 값을 사용합니다.

  • 포트 500을 사용하는 IPsec SA 쌍이 하나 있습니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3363/ 무제한 값은 2단계 수명이 3363초 후에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다. 2단계 수명은 VPN이 가동된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.

  • vsys는 루트 시스템이며 항상 0으로 나열됩니다.

  • IKEv2는 버전 2 피어의 연결을 허용하고 버전 2 협상을 시작합니다.

show security ipsec security-associations index 16384 detail 명령의 출력은 다음 정보를 나열합니다.

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.

  • 2단계 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.

IPsec 보안 연결에 대한 통계 및 오류 검토

목적

IPsec SA에 대한 ESP 및 인증 헤더 카운터 및 오류를 검토합니다.

작업

작동 모드에서 통계를 보고 싶은 VPN의 색인 번호를 사용하여 show security ipsec statistics index index_number 명령을 입력하십시오.

또한 모든 SA의 통계 및 오류를 검토하는 show security ipsec statistics 명령을 사용할 수 있습니다.

모든 IPsec 통계를 지우려면, clear security ipsec statistics 명령을 사용합니다.

의미

VPN 전반에서 패킷 손실 문제가 있는 경우, show security ipsec statistics 또는 show security ipsec statistics detail 명령을 여러 차례 실행하여 암호화 및 복호화된 패킷 카운터가 증가하는지 확인할 수 있습니다. 또한 다른 오류 카운터가 증가하는지 확인해야 합니다.

VPN 전반의 트래픽 플로우 테스트

목적

VPN 전반의 트래픽 플로우를 확인합니다.

작업

SRX 시리즈 방화벽에서 ping 명령을 사용하여 원격 호스트 PC로의 트래픽 플로우를 테스트할 수 있습니다. 경로 조회가 정확하고 정책 조회 중에 적절한 보안 영역이 참조되도록 소스 인터페이스를 지정해야 합니다.

운영 모드에서 ping 명령을 입력합니다.

또한 SSG 시리즈 디바이스에서 ping 명령을 사용할 수 있습니다.

의미

SRX 시리즈 또는 SSG 시리즈 디바이스에서 ping 명령이 실패한 경우, 라우팅, 보안 정책, 종료 호스트 또는 ESP 패킷의 암호화와 복호화에 문제가 있을 수 있습니다.

참조

예: IKEv2 구성 페이로드를 사용한 Pico 셀 프로비저닝을 위한 SRX 시리즈 구성

많은 디바이스가 구축되는 네트워크에서는 네트워크 관리가 간단해야 합니다. IKEv2 구성 페이로드 기능은 디바이스 구성이나 SRX 시리즈 구성을 건드리지 않고 이러한 디바이스의 프로비저닝을 지원합니다. 이 예에서는 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝을 지원하도록 SRX 시리즈를 구성하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 섀시 클러스터에서 구성된 SRX 시리즈 방화벽 2개

  • 중간 라우터로 구성된 SRX 시리즈 방화벽 1개

  • 두 개의 피코 셀 클라이언트

  • 피코 셀 클라이언트 프로비저닝 정보로 구성된 RADIUS 서버 1개

  • IKEv2 구성 페이로드 지원을 위한 Junos OS 릴리스 12.1X46-D10 이상

개요

이 예에서 SRX 시리즈는 IKEv2 구성 페이로드 기능을 사용하여 프로비저닝 정보를 일련의 피코 셀로 전파합니다. 피코 셀은 SRX 시리즈에 연결할 수 있는 표준 구성으로 공장에서 출하되지만, 피코 셀 프로비저닝 정보는 외부 RADIUS 서버에 저장됩니다. 피코 셀은 보호된 네트워크에서 프로비저닝 서버와의 보안 연결을 설정한 후 전체 프로비저닝 정보를 받습니다. IKEv2 구성 페이로드는 IPv4 및 IPV6 모두에서 지원됩니다. 이 예에서는 IPv4에 대한 IKEv2 구성 페이로드를 다루지만 IPv6 주소로도 구성할 수 있습니다.

Junos OS 릴리스 20.3R1부터 iked 프로세스를 실행하는 SRX5000 라인 에 IPv6 주소를 할당하기 위한 IKEv2 IPv6 구성 페이로드를 지원합니다. Junos OS 릴리스 21.1R1부터 iked 프로세스를 실행하는 vSRX 가상 방화벽에도 동일한 지원이 포함됩니다.

그림 1 은(는) SRX 시리즈가 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝을 지원하는 토폴로지를 보여줍니다.

그림 1: IKEv2 구성 페이로드를 통한 Pico 셀 프로비저닝을 위한 SRX 시리즈 지원IKEv2 구성 페이로드를 통한 Pico 셀 프로비저닝을 위한 SRX 시리즈 지원

이 토폴로지의 각 피코 셀은 두 개의 IPsec VPN을 시작합니다. 하나는 관리용이고 다른 하나는 데이터용입니다. 이 예에서 관리 트래픽은 OAM 터널로 레이블이 지정된 터널을 사용하는 반면, 데이터 트래픽은 3GPP 터널로 레이블이 지정된 터널을 통해 흐릅니다. 각 터널은 별도의 구성 가능한 네트워크에서 OAM 및 3GPP 프로비저닝 서버와의 연결을 지원하므로 별도의 라우팅 인스턴스 및 VPN이 필요합니다. 이 예에서는 OAM 및 3GPP VPN을 설정하기 위한 IKE(Internet Key Exchange) 1단계 및 2단계 옵션을 제공합니다.

이 예에서 SRX 시리즈는 IKEv2 구성 페이로드 서버 역할을 하며, RADIUS 서버에서 프로비저닝 정보를 획득하고 해당 정보를 피코 셀 클라이언트에 제공합니다. SRX 시리즈는 터널 협상 중에 IKEv2 구성 페이로드에서 인증된 각 클라이언트에 대한 프로비저닝 정보를 반환합니다. SRX 시리즈는 클라이언트 디바이스로 사용할 수 없습니다.

또한 SRX 시리즈는 IKEv2 구성 페이로드 정보를 사용하여 터널 협상 중에 클라이언트와 교환되는 TSi(Traffic Selector Initiator) 및 TSr(Traffic Selector Responder) 값을 업데이트합니다. 구성 페이로드는 [] 계층 수준의 문을 사용하여 SRX 시리즈에 구성된 TSi 및 TSr 값을 사용합니다.proxy-identityedit security ipsec vpn vpn-name ike TSi 및 TSr 값은 각 VPN에 대한 네트워크 트래픽을 정의합니다.

중간 라우터는 피코 셀 트래픽을 SRX 시리즈의 적절한 인터페이스로 라우팅합니다.

다음 프로세스에서는 연결 시퀀스에 대해 설명합니다.

  1. 피코 셀은 공장 구성을 사용하여 SRX 시리즈와 IPsec 터널을 시작합니다.

  2. SRX 시리즈는 SRX 시리즈에 등록된 CA의 루트 인증서와 클라이언트 인증서 정보를 사용하여 클라이언트를 인증합니다. 인증 후 SRX 시리즈는 인증 요청에서 클라이언트 인증서의 IKE ID 정보를 RADIUS 서버로 전달합니다.

  3. 클라이언트에 권한을 부여한 후 RADIUS 서버는 클라이언트 프로비저닝 정보를 사용하여 SRX 시리즈에 응답합니다.

    • IP 주소(TSi 값)

    • IP 서브넷 마스크(옵션, 기본값은 32비트)

    • DNS 주소(선택 사항)

  4. SRX 시리즈는 각 클라이언트 연결에 대한 IKEv2 구성 페이로드의 프로비저닝 정보를 반환하고 최종 TSi 및 TSr 값을 피코 셀과 교환합니다. 이 예에서 SRX 시리즈는 각 VPN에 대해 다음과 같은 TSi 및 TSr 정보를 제공합니다.

    VPN 연결

    SRX에서 제공하는 TSi/TSr 값

    피코 1 OAM

    Tsi: 1 0.12.1.201/32, TSr: 192.168.2.0/24

    피코 1 3GPP

    Tsi: 1 0.13.1.201/32, TSr: 192.168.3.0/24, TSr: 무료 v0.13.0.0/16

    피코 2 OAM

    Tsi: 1 0.12.1.205/32, TSr: 192.168.2.0/24

    피코 2 3GPP

    Tsi: 1 0.13.1.205/32, TSr: 192.168.3.0/24, TSr: 무료 v0.13.0.0/16

    RADIUS 서버에서 제공하는 프로비저닝 정보에 서브넷 마스크가 포함된 경우 SRX 시리즈는 IP 서브넷을 포함하는 클라이언트 연결에 대한 두 번째 TSr 값을 반환합니다. 이렇게 하면 해당 서브넷의 디바이스에 대한 피어 내 통신이 가능합니다. 이 예에서는 3GPP VPN(13.13.0.0/16)과 연결된 서브넷에 대해 피어 내 통신이 활성화됩니다.

    IKEv2 구성 페이로드 기능은 포인트-투-멀티포인트 보안 터널(st0) 인터페이스와 포인트-투-포인트 인터페이스 모두에서 지원됩니다. 포인트-투-멀티포인트 인터페이스의 경우, 인터페이스에 번호를 매겨야 하며, 구성 페이로드에 제공된 주소는 연결된 포인트-투-멀티포인트 인터페이스의 서브네트워크 범위 내에 있어야 합니다.

    Junos OS 릴리스 20.1R1부터 SRX5000 라인 의 포인트 투 포인트 인터페이스와 iked를 실행하는 vSRX 가상 방화벽 을 통해 IKEv2 구성 페이로드 기능을 지원합니다.

표 7 은(는) OAM 및 3GPP 터널 설정에 대한 정보를 포함하여 SRX 시리즈에 구성된 1단계 및 2단계 옵션을 보여줍니다.

표 7: SRX 시리즈를 위한 1단계 및 2단계 옵션

옵션

가치
IKE(Internet Key Exchange) 제안:

제안 이름

IKE_PROP

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

group5

인증 알고리즘

SHA-1

암호화 알고리즘

AES 256 CBC
IKE(Internet Key Exchange) 정책:

IKE(Internet Key Exchange) 정책 이름

IKE_POL

로컬 인증서

Example_SRX
IKE(Internet Key Exchange) 게이트웨이(OAM):

IKE(Internet Key Exchange) 정책

IKE_POL

원격 IP 주소

동적

IKE 사용자 유형

그룹 ike-id

로컬 IKE(Internet Key Exchange) ID

호스트 이름: srx_series.example.net

원격 IKE(Internet Key Exchange) ID

호스트 이름 .pico_cell.net

외부 인터페이스

reth0.0

액세스 프로필

radius_pico

IKE 버전

v2 전용
IKE(Internet Key Exchange) 게이트웨이(3GPP):

IKE(Internet Key Exchange) 정책

IKE_POL

원격 IP 주소

동적

IKE 사용자 유형

그룹 ike-id

로컬 IKE(Internet Key Exchange) ID

구별 이름 와일드카드 OU=srx_series

원격 IKE(Internet Key Exchange) ID

구별 이름 와일드카드 OU=pico_cell

외부 인터페이스

레트1

액세스 프로필

radius_pico

IKE 버전

v2 전용
IPsec 제안:

제안 이름

IPSEC_PROP

프로토콜

ESP

인증 알고리즘

HMAC SHA-1 96

암호화 알고리즘

AES 256 CBC
IPsec 정책:

정책 이름

IPSEC_POL

PFS(Perfect Forward Secrecy) 키

그룹5

IPsec 제안

IPSEC_PROP
IPsec VPN(OAM):

바인드 인터페이스

st0.0

IKE(Internet Key Exchange) 게이트웨이

OAM_GW

로컬 프록시 ID

192.168.2.0/24

원격 프록시 ID

0.0.0.0/0

IPsec 정책

IPSEC_POL
IPsec VPN(3GPP):

바인드 인터페이스

st0.1

IKE(Internet Key Exchange) 게이트웨이

3GPP_GW

로컬 프록시 ID

192.168.3.0/24

원격 프록시 ID

0.0.0.0/0

IPsec 정책

IPSEC_POL

인증서는 피코 셀과 SRX 시리즈에 저장됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

구성

SRX 시리즈 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

SRX 시리즈 구성 방법:

  1. 섀시 클러스터를 구성합니다.

  2. 인터페이스를 구성합니다.

  3. 라우팅 옵션을 구성합니다.

  4. 보안 영역을 지정합니다.

  5. RADIUS 프로파일을 생성합니다.

  6. 1단계 옵션을 구성합니다.

  7. 2단계 옵션을 지정합니다.

  8. 라우팅 인스턴스를 지정합니다.

  9. 사이트 간 트래픽을 허용하는 보안 정책을 지정합니다.

결과

구성 모드에서 , , , , , , 및 명령을 입력하여 구성을 확인합니다.show chassis clustershow interfacesshow security zonesshow access profile radius_picoshow security ikeshow security ipsecshow routing-instancesshow security policies 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

중간 라우터 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

중간 라우터를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 옵션을 구성합니다.

  3. 보안 영역을 지정합니다.

  4. 보안 정책을 지정합니다.

결과

구성 모드에서 show interfaces, show routing-options, show security zonesshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

Pico 셀 구성(샘플 구성)

단계별 절차

이 예의 피코 셀 정보는 참조용으로 제공됩니다. 자세한 피코 셀 구성 정보는 이 문서의 범위를 벗어납니다. 피코 셀 공장 구성에는 다음 정보가 포함되어야 합니다.

  • 로컬 인증서(X.509v3) 및 IKE ID 정보

  • 임의/임의(0.0.0.0/0)로 설정된 트래픽 선택기(TSi, TSr) 값

  • SRX 시리즈 IKE ID 정보 및 공용 IP 주소

  • SRX 시리즈 구성과 일치하는 1단계 및 2단계 제안

이 예제의 피코 셀은 IPsec 기반 VPN 연결을 위해 strongSwan 오픈 소스 소프트웨어를 사용합니다. 이 정보는 SRX 시리즈에서 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝에 사용됩니다. 많은 디바이스가 배포되는 네트워크에서 피코 셀 구성은 인증서(leftcert) 및 ID(leftid) 정보를 제외하고 동일할 수 있습니다. 다음 샘플 구성은 공장 설정을 보여줍니다.

  1. Pico 1 구성을 검토합니다.

    피코 1: 샘플 구성

  2. Pico 2 구성을 검토합니다.

    Pico 2 샘플 구성

RADIUS 서버 구성(FreeRADIUS를 사용한 샘플 구성)

단계별 절차

이 예의 RADIUS 서버 정보는 참조용으로 제공됩니다. 전체 RADIUS 서버 구성 정보는 이 문서의 범위를 벗어납니다. RADIUS 서버가 SRX 시리즈에 반환하는 정보는 다음과 같습니다.

  • 프레임 IP 주소

  • Framed-IP-Netmask(옵션)

  • Primary-DNS 및 Secondary-DNS(선택 사항)

이 예에서 RADIUS 서버에는 OAM 및 3GPP 연결에 대한 별도의 프로비저닝 정보가 있습니다. User-Name은 SRX 시리즈 인증 요청에 제공된 클라이언트 인증서 정보에서 가져옵니다.

RADIUS 서버가 DHCP 서버로부터 클라이언트 프로비저닝 정보를 획득하는 경우, RADIUS 서버가 DHCP 서버로 전달하는 클라이언트 ID 정보는 SRX 시리즈 방화벽을 통해 RADIUS 서버로 전달되는 클라이언트 IKE ID 정보와 일치해야 합니다. 이렇게 하면 다양한 프로토콜에서 클라이언트 ID의 연속성이 보장됩니다.

SRX 시리즈 방화벽과 RADIUS 서버 간의 통신 채널은 RADIUS 공유 암호로 보호됩니다.

  1. Pico 1 OAM VPN에 대한 RADIUS 구성을 검토합니다. RADIUS 서버에는 다음 정보가 있습니다.

    15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2 이전의 Junos OS 릴리스 12.3X48 및 Junos OS 릴리스의 샘플 RADIUS 구성:

    FreeRADIUS 컨피그레이션 예:

    Junos OS 릴리스 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2부터 시작하는 샘플 RADIUS 구성:

    FreeRADIUS 컨피그레이션 예:

    이 경우 RADIUS 서버는 피어 내 트래픽을 차단하는 기본 서브넷 마스크(255.255.255.255)를 제공합니다.

  2. Pico 1 3GPP VPN에 대한 RADIUS 컨피그레이션을 검토합니다. RADIUS 서버에는 다음 정보가 있습니다.

    15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2 이전의 Junos OS 릴리스 12.3X48 및 Junos OS 릴리스의 샘플 RADIUS 구성:

    FreeRADIUS 컨피그레이션 예:

    Junos OS 릴리스 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2부터 시작하는 샘플 RADIUS 구성:

    FreeRADIUS 컨피그레이션 예:

    이 경우 RADIUS 서버는 피어 내 트래픽을 활성화하는 서브넷 마스크 값(255.255.0.0)을 제공합니다.

    Junos OS 릴리스 20.1R1부터 IKE(Internet Key Exchange) 게이트웨이 구성의 IKEv2 구성 페이로드 요청에 대한 공통 암호를 구성할 수 있습니다. 1자에서 128자 사이의 공통 비밀번호를 사용하면 관리자가 공통 비밀번호를 정의할 수 있습니다. 이 암호는 SRX 시리즈 방화벽이 IKEv2 구성 페이로드를 사용하여 원격 IPsec 피어를 대신하여 IP 주소를 요청할 때 SRX 시리즈 방화벽과 RADIUS 서버 간에 사용됩니다. RADIUS 서버는 구성 페이로드 요청을 위해 SRX 시리즈 방화벽에 IP 정보를 제공하기 전에 자격 증명을 검증합니다. 계층 수준에서 구성 문을 사용하여 공통 암호를 구성할 수 있습니다.config-payload-password configured-password[edit security ike gateway gateway-name aaa access-profile access-profile-name] 또한 이 예에서는 사용자 이름(IKE ID) 정보에 대한 인증서의 다른 부분을 사용하여 동일한 클라이언트 인증서에서 두 개의 터널을 만듭니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

SRX 시리즈에 대한 IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

노드 0의 운영 모드에서 show security ike security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations detail 명령을 사용하십시오.

의미

이 명령은 피코 셀 디바이스가 있는 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다.show security ike security-associations SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 이 예에서는 OAM VPN에 대한 IKE(Internet Key Exchange) 1단계 SA만 보여줍니다. 그러나 3GPP VPN에 대한 IKE 1단계 매개변수를 보여주는 별도의 IKE 1단계 SA가 표시됩니다.

SA가 나열되어 있는 경우 다음 정보를 검토합니다.

  • 인덱스 - 이 값은 각 IKE(Internet Key Exchange) SA에 대해 고유합니다. 명령을 사용하여 SA에 대한 자세한 정보를 얻을 수 있습니다.show security ike security-associations index detail

  • 원격 주소 - 로컬 IP 주소가 올바르고 포트 500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.

  • 역할 응답자 상태:

    • 업 - 1단계 SA가 설정되었습니다.

    • 다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.

  • 피어(원격) IKE ID - 인증서 정보가 올바른지 확인합니다.

  • 로컬 ID 및 원격 ID - 이러한 주소가 올바른지 확인합니다.

  • 모드 - 올바른 모드가 사용되고 있는지 확인합니다.

구성에서 다음 항목이 올바른지 확인합니다.

  • 외부 인터페이스(인터페이스는 IKE 패킷을 전송하는 인터페이스여야 합니다)

  • IKE(Internet Key Exchange) 정책 매개 변수

  • 1단계 제안 매개 변수(피어 간에 일치해야 함)

명령은 보안 연관에 대한 다음과 같은 추가 정보를 나열합니다.show security ike security-associations

  • 사용된 인증 및 암호화 알고리즘

  • 1단계 수명

  • 트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)

  • 역할 정보

    문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.

  • 개시자 및 응답자 정보

  • 생성된 IPsec SA의 수

  • 진행 중인 2단계 협상 수

SRX 시리즈에 대한 IPsec 보안 연결 확인

목적

IPsec 상태를 확인합니다.

작업

노드 0의 운영 모드에서 show security ipsec security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations detail 명령을 사용하십시오.

의미

이 예에서는 Pico 1에 대한 활성 IKE 2단계 SA를 보여 줍니다. SA가 나열되지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IPsec 정책 매개 변수를 확인합니다. 각 Phase 2 SA(OAM 및 3GPP)에 대해 인바운드 및 아웃보드 방향으로 정보가 제공됩니다. show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • 원격 게이트웨이의 IP 주소는 1 0.1.1.1입니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3529/ 값은 2단계 수명이 3529초 후에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다. VPN이 가동된 후 2단계는 1단계에 종속되지 않기 때문에 2단계 수명은 1단계 수명과 다를 수 있습니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

  • 가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.

명령의 위 출력은 다음 정보를 나열합니다.show security ipsec security-associations index index_id detail

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.

    프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.

  • 사용된 인증 및 암호화 알고리즘.

  • 2단계 제안 매개 변수(피어 간에 일치해야 함).

  • OAM 및 3GPP 게이트웨이에 대한 보안 터널(st0.0 및 st0.1) 바인딩.

참조

신뢰할 수 있는 CA의 IKE(Internet Key Exchange) 정책

이 예에서는 신뢰할 수 있는 CA 서버를 피어의 IKE 정책에 바인딩하는 방법을 보여 줍니다.

시작하기 전에 피어의 IKE 정책과 연결할 모든 신뢰할 수 있는 CA 목록이 있어야 합니다.

IKE(Internet Key Exchange) 정책을 신뢰할 수 있는 단일 CA 프로필 또는 신뢰할 수 있는 CA 그룹에 연결할 수 있습니다. 보안 연결 설정을 위해 IKE 게이트웨이는 IKE 정책을 사용하여 인증서의 유효성을 검증하는 동안 구성된 CA 그룹(ca-profiles)으로 자신을 제한합니다. 신뢰할 수 있는 CA 또는 신뢰할 수 있는 CA 그룹 이외의 소스에서 발행한 인증서의 유효성이 검사되지 않습니다. IKE 정책에서 인증서 유효성 검사 요청이 있는 경우 IKE 정책의 연결된 CA 프로필이 인증서의 유효성을 검사합니다. IKE 정책이 CA와 연결되어 있지 않은 경우 기본적으로 구성된 CA 프로필 중 하나에 의해 인증서의 유효성이 검사됩니다.

이 예에서는 라는 CA 프로필이 생성되고 이(가 ) 프로필에 연결됩니다.root-caroot-ca-identity

신뢰할 수 있는 CA 그룹에 추가할 CA 프로필을 최대 20개까지 구성할 수 있습니다. 신뢰할 수 있는 CA 그룹에서 20개 이상의 CA 프로필을 구성하는 경우 구성을 커밋할 수 없습니다.

  1. CA 프로필을 만들고 CA 식별자를 프로필에 연결합니다.
  2. IKE(Internet Key Exchange) 제안 및 IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.
  3. IKE(Internet Key Exchange) 제안에 대한 Diffie-Hellman 그룹, 인증 알고리즘, 암호화 알고리즘을 정의합니다.
  4. IKE(Internet Key Exchange) 정책을 구성하고 정책을 IKE(Internet Key Exchange) 제안과 연결합니다.
  5. IKE(Internet Key Exchange) 정책에 대한 로컬 인증서 식별자를 구성합니다.
  6. IKE(Internet Key Exchange) 정책에 사용할 CA를 정의합니다.

디바이스에 구성된 CA 프로필 및 신뢰할 수 있는 CA 그룹을 보려면 명령을 실행합니다 .show security pki

이 명령은 IKE (Internet Key Exchange) 정책 아래에 CA 프로필 그룹을 표시하고 IKE(Internet Key Exchange) 정책과 연결된 인증서를 표시합니다.show security ikeike_policy

참조