Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

그룹 VPNv2 개요

그룹 VPNv2 기술 개요

참고:

그룹 VPNv2는 MX5, MX10, MX40, MX80, MX104, MX240, MX480 및 MX960 라우터에서 그룹 VPN 기술의 이름입니다. 그룹 VPNv2는 SRX 보안 게이트웨이에 구현된 그룹 VPN 기술과 다릅니다. 그룹 VPN이라는 용어는 SRX 기술이 아닌 일반적인 기술을 언급하기 위해 이 문서에서 사용되는 경우가 있습니다.

SRX 보안 게이트웨이 디바이스의 그룹 VPN에 대한 자세한 내용은 그룹 VPNv2 개요를 참조하십시오.

이 섹션에서는 그룹 VPNv2의 기술 개념을 설명합니다.

그룹 VPNv2 이해하기

그룹 VPN은 포인트 투 포인트 터널과 관련 오버레이 라우팅을 제거하는 신뢰할 수 있는 그룹입니다. 모든 그룹 구성원은 그룹 SA(GSA)로 알려진 공통 보안 연결(SA)을 공유합니다. GSA를 사용하면 그룹 구성원이 다른 그룹 멤버에 의해 암호화된 트래픽의 암호를 해독할 수 있습니다. 릴리스 18.2R1 Junos OS MX 라우터에서 실행되는 SRD(Service Redundancy Protocol)가 있는 그룹 VPN 중복을 확인합니다. 이중화된 MX 라우터는 그룹 VPN 멤버 역할을 합니다. 서비스 중복 프로토콜에 대한 자세한 내용은 Service Redundancy Daemon 개요를 참조하십시오.

Junos OS 릴리스 15.1부터 Junos OS 그룹 VPNv2를 지원합니다. 그룹 VPNv2는 메시 아키텍처에서 점대점 VPN 터널의 필요성을 제거하는 VPN 범주입니다. 이는 라우터에서 시작되거나 라우터를 통해 흐르는 프라이빗 WAN을 통해 유니캐스트 트래픽을 보호하는 데 필요한 기능 집합입니다.

그룹 VPNv2는 포인트 투 포인트 터널과 관련 오버레이 라우팅을 제거하는 신뢰할 수 있는 그룹의 개념을 소개합니다. 모든 그룹 구성원은 그룹 SA라고도 하는 공통 보안 연결(SA)을 공유합니다. 이를 통해 그룹 멤버는 다른 그룹 멤버가 암호화한 트래픽을 해독할 수 있습니다.

그룹 VPNv2는 다음과 같은 이점을 제공합니다.

  • 데이터 보안 및 전송 인증을 제공하여 모든 WAN 트래픽을 암호화하여 보안 준수 및 내부 규정을 충족하도록 지원합니다.

  • 대규모 네트워크 메시를 활성화하고 그룹 암호화 키를 사용하여 복잡한 피어 투 피어 키 관리를 제거합니다.

  • 그룹 멤버 변경 또는 정책 변경으로 인해 수행해야 하는 엔드포인트 변경 수를 줄입니다.

  • MPLS 네트워크에서 풀 메시 연결, 자연 라우팅 경로, QoS(Quality of Service)와 같은 네트워크 인텔리전스를 유지합니다.

  • 중앙 키 서버를 통해 인증된 회원 제어 권한을 부여합니다.

  • 그룹 정책에 정의된 모든 그룹 멤버 간의 트래픽 암호화 및 암호 해독을 허용합니다.

  • 중앙 허브를 통한 전송 없이 사이트 간 풀 타임 직접 통신을 지원하여 저지연과 지터를 보장하는 데 도움이 됩니다.

  • 트래픽 복제를 위해 코어 네트워크를 사용하여 각 개별 피어 사이트에서 패킷 복제를 방지함으로써 고객 댁내 장비(CPE) 및 프로바이더 에지(PE) 암호화 디바이스의 트래픽 부하를 줄입니다.

그룹 VPNv2 및 표준 IPsec VPN

그룹 VPNv2는 네트워크에서 라우팅 및 암호화를 통합하는 표준 기반 기술을 기반으로 구축되었습니다. IPsec 보안 SA는 인증 및 암호화 알고리즘, 키 교환 메커니즘 및 보안 통신에 사용할 규칙을 정의하는 VPN 참여자 간의 단방향 계약입니다.

기존의 IPsec VPN 구축은 포인트 투 포인트 터널 사용을 기반으로 오버레이 네트워크를 생성하여 네트워크의 게이트웨이 간 트래픽 보안 문제를 해결합니다. 이러한 터널을 통해 전송되는 트래픽은 일반적으로 암호화 및 인증되어 데이터 무결성과 기밀성을 제공합니다. 보안 그룹 구성원은 GDOI(Group Domain of Interpretation Protocol)를 통해 관리됩니다. GDOI 솔루션은 전송에서 암호화 및 인증 문제를 분리하여 다른 접근 방식을 취합니다. 이를 통해 GDOI 기반 솔루션은 브랜치 간 터널을 구성할 필요 없이 브랜치 간 통신을 암호화할 수 있는 방법을 제공합니다.

현재 VPN 구현에서 SA는 두 엔드 포인트 사이의 포인트 투 포인트 터널입니다. 그룹 VPNv2는 IPsec 아키텍처를 확장하여 라우터 그룹이 공유하는 SA를 지원합니다( 그림 1 참조). 키 서버는 등록 및 인증된 모든 멤버 라우터에 키와 정책을 배포합니다. 중앙화된 지점에서 정책을 배포하고 동일한 그룹 보안 연결(전체 그룹에는 인증된 그룹 멤버와 단일 2단계 SA가 있습니다)을 공유함으로써 주요 배포 및 관리가 크게 간소화됩니다.
그림 1: 표준 IPSec VPN 및 그룹 VPNv2 Standard IPsec VPN and Group VPNv2

그룹 VPNv2는 클라이언트/서버 아키텍처입니다. 모든 멤버는 키 서버를 가진 고유한 1단계 IKE SA를 갖습니다. 따라서 구성원이 있는 n 경우 총 n 1단계 IKE SA가 있습니다. 그러나 전체 그룹은 단일 2단계 SA를 공유합니다.

기존 IPsec에서 터널 엔드포인트 주소는 새로운 패킷 소스 및 대상으로 사용됩니다. 그런 다음 패킷은 암호화된 엔드 포인트 소스 IP 주소와 복호화 엔드 포인트 대상 IP 주소를 사용하여 IP 인프라를 통해 라우팅됩니다. 그룹 VPN의 경우 IPsec 보호 데이터 패킷은 IP 주소를 보존하기 위해 외부 IP 헤더에서 호스트의 원본 소스 및 대상 주소를 보존합니다. 이를 터널 헤더 보존이라고 합니다. 터널 헤더 보존의 가장 큰 장점은 기본 네트워크 라우팅 인프라를 사용하여 암호화된 패킷을 라우팅하는 기능입니다.

표 1: 그룹 VPN vs 기존 Point-to-Point IPsec

기능

기존 Point-to-Point IPsec 터널

그룹 VPN

확장성

각 피어 쌍 간의 IKE/IPsec 터널은 관리 및 구성 복잡성을 증가합니다.

전체 애니 투 애니 그룹에 사용되는 단일 SA 및 키 페어. 관리 및 구성 복잡성 감소.

애니 투 애니 인스턴트 연결

관리 및 구성 복잡성으로 인해 확장할 수 없습니다.

그룹 내에서 GDOI 및 공유 SA의 사용으로 인해 잘 확장됩니다.

오버레이 라우팅

오버레이 라우팅 필요.

오버레이 네이티브 라우팅이 없습니다.

IP 헤더 보존

원래 패킷에 추가된 새로운 IP 헤더로 인해 제한된 고급 서비스 품질(QoS)이 발생합니다. NAT 환경에서 작동합니다.

IPsec 패킷에 원래 IP 헤더를 유지합니다. 고급 QoS 기능을 유지합니다. NAT 환경에서는 작동하지 않습니다.

GDOI 프로토콜 이해하기

RFC 6407에 설명된 GDOI(Group Domain of Interpretation) 프로토콜은 일련의 암호화 키 및 정책을 디바이스 그룹에 배포하는 데 사용됩니다. GDOI는 그룹 키 관리를 위한 ISAKMP(Internet Security Association Key Management Protocol) DOI(Domain of Interpretation)로 정의됩니다. 그룹 관리 모델에서 GDOI 프로토콜은 그룹 멤버와 그룹 컨트롤러 또는 키 서버(GC/KS) 사이에서 작동하며 보안 참여자 집합에 대한 그룹 보안 연결 및 그룹 키를 관리합니다. ISAKMP는 협상의 두 단계를 정의합니다. GDOI는 1단계 ISAKMP 보안 연결에 의해 보호되는 2단계 프로토콜입니다. IKEv1은 RFC 6407에서 1단계 프로토콜로 지정됩니다.

GDOI에는 두 가지 다른 암호화 키가 도입됩니다.

  • 키 암호화 키(KEK) - 컨트롤 플레인을 보호하는 데 사용됩니다. KEK는 GC/KS에서 키 재입력 메시지를 해독하기 위해 그룹 구성원이 사용하는 키의 이름입니다. 이 키는 보안 연결 키 암호화 키(SAK)의 일부입니다.

  • TEK(Traffic Encryption Key) - 데이터 플레인을 보호하는 데 사용됩니다. TEK는 그룹 구성원이 다른 그룹 멤버 간의 통신을 암호화하거나 복호화하기 위해 사용하는 키의 이름입니다. 이 키는 SA TEK(Security Association Transport Encryption Key)의 일부입니다.

표준 IPsec과 마찬가지로 모든 키는 수명을 가지며 키 재생성해야 합니다. GDOI를 통해 배포되는 키는 그룹 키이며 전체 그룹에서 사용됩니다.

그룹 SA 및 주요 관리는 두 가지 유형의 GDOI 교환을 통해 처리됩니다.

  • groupkey-pull-이 교환을 통해 멤버는 서버에서 그룹이 공유하는 SA 및 키를 요청할 수 있습니다.

    풀 방식에서 그룹 멤버는 키 서버에서 그룹 SA 및 정책을 요청합니다. 이 요청은 IKE SA를 통해 보호됩니다.

    groupkey-pull (는) GDOI 프로토콜의 첫 번째 교환이며 GC/KS를 통한 그룹 회원 등록에 사용됩니다. 그룹 멤버는 등록할 그룹을 지정하며, GC/KS는 구성원이 그룹에 참여할 권한이 있는 경우 필요한 모든 그룹 SA와 키를 그룹 멤버에게 보냅니다. 완전한 교환은 교환이 시작되기 전에 groupkey-pull IKEv1과 설정된 1단계 SA(IKEv1 SA)에 의해 보호됩니다. 은 groupkey-pull (는) GDOI 프로토콜의 2단계의 일부입니다.

  • groupkey-push-이 교환은 서버가 기존 그룹 SA가 만료되기 전에 멤버에게 그룹 SA와 키를 보낼 수 있는 단일 키 메시지입니다. 키 재입성 메시지는 서버에서 멤버에게 전송되는 원치 않는 메시지입니다.

    groupkey-push (는) GDOI 프로토콜의 두 번째 교환이며 GC/KS에 의해 그룹의 등록된 모든 구성원에게 시작됩니다. 표 2 에는 MX 시리즈 그룹 멤버가 메시지에서 groupkey-push 수신할 것으로 예상되는 페이로드가 표시됩니다.

    표 2: groupkey-push 메시지 페이로드

    페이로드

    설명

    그룹 관련 정책(GAP)

    GAP 페이로드를 사용하면 SA를 활성화하고 비활성화할 시기에 대한 지침과 같은 그룹 전체 정책을 배포할 수 있습니다. 이 페이로드에는 트래픽 암호화 키(TEK)에 대한 활성화 시간 지연(ATD) 및 DTD(비활성화 시간 지연)와 IPsec 트래픽의 IP-딜리버리 지연 탐지 프로토콜 창 유형 및 창 크기에 대한 값이 포함되어 있습니다.

    보안 연결 전송 암호화 키(SA TEK)

    트래픽 선택기.

    보안 연결 키 암호화 키(SAK) (옵션)

    키 암호화 키(KEK)에 대한 보안 연결(SA). SA KEK라고도 함.

    참고:

    groupkey-push 선택적 페이로드를 포함하지 않는 메시지는 여전히 유효한 메시지입니다.

    트래픽 암호화 키(TEK) (옵션)

    그룹 멤버 간의 데이터 트래픽 암호화 키.

    키 암호화 키(KEK)(옵션)

    TEK를 보호하는 데 사용됩니다.

    교환은 groupkey-push 교환 중에 groupkey-pull 설치된 SA KEK(SAK)에 의해 보호됩니다. 은 groupkey-push (는) GDOI 프로토콜의 2단계의 일부입니다.

경우에 따라 GC/KS는 그룹 멤버로부터 그룹 키 푸시 승인 메시지를 수신하고자 할 수 있습니다. 그룹 멤버의 푸시 승인 메시지는 멤버가 메시지를 수신하고 정책에 대한 조치를 취했음을 확인합니다. GC/KS는 또한 확인 기능을 사용하여 현재 그룹 정책을 수신하는 그룹 멤버와 더 이상 그룹에 참여하지 않는 그룹 멤버를 결정할 수 있습니다. Junos OS 19.2R1부터 Junos OS RFC 8263에 정의된 SA KEK 페이로드에서 표준 KEK_ACK_REQUESTED 값이 9인 groupkey 푸시 메시지를 수신하거나 사용되는 129의 KEK_ACK_REQUESTED 값이 이전 키 서버인 경우 SHA-256 체크섬으로 확인 메시지를 보냅니다.

GDOI 프로토콜 및 그룹 VPNv2

그룹 VPNv2는 주니퍼 네트웍스 MX5, MX10, MX40, MX240, MX480, MX960 라우터에 구현된 보안 기술의 이름입니다. 그룹 VPNv2는 다른 기능 외에도 GDOI 프로토콜(RFC 6407)을 베이스로 사용합니다.

그룹 VPNv2 기술은 가장 중요한 기능을 처리하기 위해 GDOI 프로토콜을 기반으로 합니다. 이 프로토콜은 RFC 6407에서 지정되며 보안 참여자의 그룹 SA 및 키를 관리하기 위해 ISAKMP 해석 도메인(DOI)을 정의합니다. 따라서 그룹의 모든 구성원은 동일한 정보를 공유하여 서로 간의 트래픽을 암호화하고 복호화합니다. 그룹 SA 및 그룹 키의 생성, 관리 및 배포는 GC/KS에 의해 중앙 집중화되고 수행됩니다. 그림 2 는 GDOI를 사용하는 그룹 VPNv2 기능에 대한 간략한 개요를 제공합니다.
그림 2: GDOI Group VPNv2 Using GDOI 를 사용하는 그룹 VPNv2
그룹 멤버는 터널 모드에서 ESP(Encapsulating Security Payload) 프로토콜을 사용하여 트래픽을 보호합니다. 그러나 그룹 VPN에서 터널 모드가 수정되었습니다. 그룹 멤버 간에 직접적인 연관이 없기 때문에 외부 IP 헤더(즉, IPsec 게이트웨이의 IP 주소)에서 특별한 IP 주소를 사용할 필요가 없습니다. 모든 그룹 멤버는 다른 모든 그룹 멤버의 트래픽을 복호화할 수 있습니다. 따라서 내부 IP-헤더가 외부 IP 헤더에 복사되고 기본 라우팅 인프라 및 QoS 인프라를 사용할 수 있습니다. 이 기능은 헤더 보존이라고 하며 그림 3에 표시됩니다.
그림 3: 헤더 보존 Header Preservation

그룹 SA 및 그룹 키를 얻으려면 그룹 구성원이 특정 그룹에 대해 GC/KS에 등록해야 합니다. 그 결과 IKEv1 SA는 등록 프로세스 보안에만 필요합니다. 등록 후 그룹 멤버는 다른 그룹 멤버(SA TEK)와 통신할 모든 정보와 키 재입원 메시지(SAK)를 성공적으로 해독할 수 있는 정보를 가지고 있습니다. GC/KS는 SA TEK 또는 SAK 수명이 만료되기 전에 키 재입원 메시지를 보냅니다. 또한 동일한 키 재입력 메시지에서 SA TEK 업데이트와 SAK 업데이트를 보낼 수도 있습니다. IKEv1 SA는 더 이상 필요하지 않으며 수명이 만료된 후 삭제됩니다(IKEv1 키 재생성 없음).

그룹 VPNv2 트래픽

그룹 VPNv2 트래픽은 다음을 포함합니다.

  • 컨트롤 플레인 트래픽 - GDOI 프로토콜만을 사용하여 그룹 VPNv2 구축 시 그룹 멤버에서 GC/KS로의 트래픽.

  • 데이터 플레인 트래픽 - IPsec에서 이미 알려진 ESP 프로토콜만 사용하여 그룹 VPNv2 구축의 그룹 멤버 간의 트래픽입니다.

그룹 보안 연결

기존의 IPsec 암호화 솔루션과 달리 그룹 VPN은 그룹 보안 연결 개념을 사용합니다. 그룹 SA는 기능 측면에서 SA와 유사합니다. 그룹 SA는 공통 GDOI 그룹의 모든 그룹 구성원 간에 공유됩니다. 그룹 VPN 그룹의 모든 구성원은 공통 암호화 정책 및 공유 그룹 SA를 사용하여 서로 통신할 수 있습니다. 공통 암호화 정책 및 공유 그룹 SA를 사용하면 그룹 멤버 간에 IPsec을 협상할 필요가 없습니다. 이렇게 하면 그룹 멤버의 리소스 로드가 줄어듭니다. 기존의 IPsec 확장성 문제(터널 수 및 관련 SA)는 그룹 VPN 그룹 멤버에게 적용되지 않습니다.

그룹 컨트롤러/키 서버

그룹 컨트롤러 또는 키 서버(GC/KS)는 그룹 VPNv2 컨트롤 플레인을 생성하고 유지하는 데 사용되는 디바이스입니다. 그룹 SA 및 그룹 키의 생성 및 배포를 담당합니다. 그룹 구성원이 다른 그룹 멤버와 통신하는 데 필요한 모든 정보는 GC/KS에서 제공합니다. 흥미로운 트래픽, 암호화 프로토콜, 보안 연결, 키 재생 타이머 등과 같은 모든 암호화 정책은 GC/KS에서 중앙에서 정의되며 등록 시간에 모든 그룹 멤버에게 푸시됩니다. 그룹 멤버는 IKE 1단계를 사용하여 GC/KS에 인증한 다음 그룹 VPN 작업에 필요한 암호화 정책 및 키를 다운로드합니다. GC/KS는 또한 키를 리프레시하고 배포할 책임도 있습니다.

참고:

GC/KS 기능은 MX 시리즈 라우터에서 지원되지 않습니다. 그룹 멤버로 구성된 MX 시리즈 라우터는 Cisco GC/KS에만 연결할 수 있습니다. MX 시리즈 그룹 구성원이 GC 역할을 하는 주니퍼 네트웍스 SRX 시리즈 상호 작용할 수 있도록 지원되지 않습니다. 다양한 유형의 그룹 멤버와 GC/KS 간의 호환성은 표 5 를 참조하십시오.

그룹 멤버

그룹 멤버는 트래픽 암호화 프로세스에 사용되는 IPsec 엔드포인트 디바이스이며 데이터 트래픽의 실제 암호화 및 복호화 작업을 담당합니다. 그룹 멤버는 IKE(Internet Internet Internet) 1단계 매개 변수 및 GC/KS 정보로 구성됩니다. 암호화 정책은 GC/KS에서 중앙에서 정의되며 등록 성공 시 그룹 멤버에게 다운로드됩니다. 그런 다음 각 그룹 구성원은 그룹 구성원을 기반으로 들어오고 나가는 트래픽을 복호화하거나 암호화(SA 사용)해야 하는지 여부를 결정합니다.

기능적 관점에서 그룹 멤버는 IPsec 게이트웨이와 유사합니다. 그러나 일반적인 IPsec의 SA는 두 개의 IPsec 게이트웨이 사이에 존재합니다. GDOI에서 그룹 구성원은 그룹 VPN에 참여하기 위해 GC/KS에 등록합니다. 등록 중에 그룹 멤버는 GC/KS에 그룹 ID를 제공하여 이 그룹에 필요한 각 정책, SA 및 키를 얻습니다. 키 재생성은 그룹 구성원이 방법(재 등록)을 통해 groupkey-pull 또는 방법을 통해 groupkey-push GC/KS에 의해 수행됩니다.

그룹 VPNv2 트래픽에 대한 리플레이 차단 보호

그룹 VPN 통신은 본질적으로 동일한 공유 보안 연결을 통한 애니 투 애니 통신이므로, 재생 방지 보호를 위한 시퀀스 번호 사용은 작동하지 않습니다. 이 때문에 Junos OS 시간 기반 재생 방지 메커니즘인 draft-weis-delay-detection-01에 대한 IETF 초안 사양을 지원합니다. http://tools.ietf.org/html/draft-weis-delay-detection-01 .

이 기능을 구현하기 위해 MX 시리즈 멤버 라우터는 패킷 내에서 새로운 IP 전송 지연 탐지 프로토콜 타임스탬프 헤더를 사용합니다. 자세한 내용은 IP 딜리버리 지연 탐지 프로토콜 구현(시간 기반 재생 방지 보호) 을 참조하십시오.

MX 시리즈 멤버 라우터에서 부분 페일 오픈

그룹 VPN의 그룹 멤버는 공유 SA에 대한 키링 자료를 생성하기 위해 GC/KS에 의존합니다. 따라서 그룹 멤버와 GC/KSS 간의 연결은 처음에 트래픽을 보호하고 키 재입력 이벤트를 통해 트래픽을 지속적으로 보호해야 합니다. 그룹 멤버와 GC/KS 간의 통신 장애가 발생할 경우, 그룹 멤버의 기본 동작은 트래픽 전달을 중지하는 것입니다. 이를 페일 폐쇄라고합니다.

비데폴트 구성 옵션을 사용하면 멤버가 GC/KS에 연락하고 활성 SA를 검색할 수 있을 때까지 암호화되지 않고 일부 구체적으로 정의된 트래픽이 그룹 멤버를 통해 흐르도록 허용할 수 있습니다. 이는 부분적인 페일 오픈(fail-open)으로 알려져 있습니다.

부분적인 페일 오픈 기능에는 소스 및 대상 주소로 정의된 특정 그룹 VPNv2에 대해 해당 MX 시리즈 그룹 멤버에 대한 규칙을 만드는 정책 구성 옵션이 필요합니다. 이 페일 오픈 규칙은 키 서버와의 연결 실패로 인해 그룹 SA가 비활성화 상태인 경우에만 활성화됩니다. 일반적으로 그룹 VPN을 통과하지만 페일 오픈 규칙과 일치하지 않는 트래픽은 삭제됩니다. 그룹 VPN 개체에 대해 두 개 이상의 페일 오픈 규칙을 정의할 수 있습니다. 페일 오픈 규칙이 구성되지 않은 경우, 페일 오픈 기능은 비활성화됩니다.

그룹 VPNv2 구현 개요

이 섹션에서는 그룹 VPNv2 구현을 위한 주니퍼 네트웍스 솔루션에 대해 설명합니다.

그룹 VPNv2 활성화

서비스 세트는 해당 MX 시리즈 라우터의 특정 인터페이스에서 그룹 VPNv2를 활성화하는 데 사용됩니다.

서비스 세트 구성

그룹 VPNv2는 계층 수준에서 문을 [edit services service-set service-set-name] 사용하여 ipsec-group-vpn 서비스 세트 내에서 구성됩니다.

샘플 서비스 세트 구성

 
[edit services]
service-set service-set-name {
    interface-service {
        service-interface service-interface-name;
    }
}
ipsec-group-vpn vpn-name;
참고:

  • 서비스 세트당 하나의 그룹 멤버만 구성할 수 있습니다.

  • 다음 홉 스타일 서비스 세트는 그룹 VPNv2에서 지원되지 않습니다.

서비스 세트 적용

서비스 세트는 인터페이스 수준에 적용됩니다.

서비스 세트 구성 적용 샘플

 
[edit interfaces]
interface-name {
    unit 0 {
        family inet {
            service {
                input {
                    service-set service-set-name;
                }
                output {
                    service-set service-set-name;
                }
            }
            address 10.0.30.2/30;
        }
    }
}

패킷 스티어링

인터페이스 스타일의 서비스 세트 구성은 패킷 전달 엔진 PIC로 트래픽을 조정하는 데 사용됩니다. 그룹 VPNv2 개체를 가리키는 서비스 세트가 있는 인터페이스에서 수신된 패킷은 해당 서비스 인터페이스에 삽입되어 PIC로 전달됩니다.

그룹 회원 등록

서버에 대한 그룹 멤버 등록은 문이 서비스 세트에 ipsec-group-vpn 대해 구성되고 서비스 인터페이스가 작동하면 시작됩니다. 서비스 인터페이스가 다운되면 이 인터페이스와 관련된 모든 그룹 SA가 지워지고 인터페이스가 켜질 때까지 이 그룹 VPN에 대한 등록이 트리거되지 않습니다.

그룹 멤버 등록에는 GC/KS groupkey-pull 와 IKE SA를 설정하고 지정된 그룹 식별자의 트래픽 키를 다운로드하는 교환이 포함됩니다.

참고:

Junos OS 그룹 VPNv2의 그룹 VPN에 대한 트래픽 기반 SA 협상 트리거를 지원하지 않습니다.

그룹 멤버 키 재생성(groupkey-push 방법)

GC/KS는 다음을 위해 등록된 그룹 멤버에게 유니캐스트 groupkey-push 메시지를 보냅니다.

  • 새로운 키 암호화 키(KEK) 또는 트래픽 암호화 키(TEK)를 보냅니다.

    푸시 메시지에는 표 2에 표시된 페이로드 요소의 전부 또는 일부만 포함할 수 있습니다. GAP 페이로드에 이전 SA와 새로운 교체 SA가 모두 포함된 경우 그룹 멤버 라우터는 푸시를 통해 ATD 및 DTD 값을 정상적인 키 재생성으로 적용합니다. 업데이트에 ATD 값이 없는 경우 멤버 라우터는 즉시 새 SA를 설치합니다. DTD 값이 없는 경우 만료될 때까지 이전 SA가 그대로 유지됩니다.

  • 기존 SA에 대한 그룹 관련 정책(GAP)을 업데이트합니다.

    GC/KS는 유니캐스트 푸시 메시지를 보내 언제든지 그룹 멤버에게 구성을 업데이트할 수 있습니다. GAP 페이로드에는 IP 전송 지연 탐지 프로토콜, 암호화 알고리즘, 수명 등에 대한 구성 변경 사항이 포함될 수 있습니다. 업데이트된 구성은 즉시 적용되거나 지연이 있습니다. ATD 및 DTD 값은 각각 새로운 TEK의 활성화와 기존 TEK의 삭제를 위한 타이밍을 달성하는 데 사용됩니다. 기존 TEK 수명을 줄여야 하는 경우, 푸시 메시지에 따라 DTD 값이 설정됩니다. 푸시 메시지의 새로운 TEK는 페이로드의 ATD 값을 기반으로 활성화됩니다.

  • TEK 또는 KEK에 대한 삭제 키 알림을 보냅니다.

    GC/KS는 멤버의 키 및 SA를 삭제하기 위한 푸시 메시지에서 선택적 삭제 알림 페이로드를 보낼 수 있습니다. 푸시 메시지에는 삭제 알림이 TEK 또는 KEK에 대한 것인지 여부를 나타내는 프로토콜 ID가 포함되어 있습니다. 그룹 멤버 라우터는 페이로드에 포함된 그룹 ID 및 SPI 값을 기반으로 키를 삭제합니다. DTD 속성에 지정된 지연 값으로 특정 TEK 또는 KEK를 삭제할 수 있습니다. 지연 값이 0이고 페이로드에 특정 SPI가 포함된 경우 일치하는 TEK 또는 KEK가 즉시 삭제됩니다. 그룹에서 모든 TEK 또는 KEK(또는 둘 다)를 삭제해야 하는 경우, SPI 값은 페이로드의 해당 프로토콜 ID에 대해 0으로 설정됩니다.

  • 그룹 VPNv2의 그룹 VPN에서 멤버 라우터를 제거합니다.

    푸시 메시지는 GC/KS가 그룹 VPN에서 멤버를 삭제할 수 있도록 하는 데 사용됩니다. 한 경우 GC/KS는 이전 SA와 더 작은 DTD 값으로만 키 재입성 메시지를 보냅니다. 그룹 멤버 라우터는 새로운 더 작은 DTD 값을 설치합니다. 새 SA 키를 수신하지 않았기 때문에 멤버 라우터는 방법을 사용하여 groupkey-pull 다시 등록하려고 합니다. 이 재등록 시도는 GC/KS에 의해 거부되므로 그룹 VPN에서 멤버를 삭제합니다. 두 번째 경우 GC/KS는 이전 SA의 SPI에 대한 삭제 페이로드를 보냅니다. 그룹 멤버 라우터는 즉시 SA를 삭제하고 방법을 사용하여 groupkey-pull 다시 등록하려고 시도합니다. 이 재등록 시도는 GC/KS에 의해 거부되므로 그룹 VPN에서 멤버를 삭제합니다.

등록한 MX 시리즈 그룹 구성원은 유니캐스트 푸시 ACK 메시지를 GC/KS로 다시 전송하여 원래 푸시 메시지 수신을 인정합니다.

그룹 멤버 키 재생성(groupkey-pull 방법)

그룹 멤버의 키 재입력의 경우, 이 방법을 사용하여 groupkey-pull 그룹 멤버는 일반적으로 기존 TEK 또는 KEK 소프트 수명에 7%에서 5% 사이가 남은 경우 GC/KS에 다시 등록합니다. 기존 IKE(Internet Internet) SA를 사용할 수 있는 경우, 풀 메시지에 사용됩니다. GC/KS가 새 키로 응답한 후, 이전 키와 새 키 모두를 복호화에 사용할 수 있습니다. 그러나 새 키는 이전 키의 수명이 30초 남은 때까지 암호화에 사용되지 않습니다. 기존 IKE SA를 사용할 수 없는 경우 풀 메시지로 인해 그룹 멤버와 GC/KS 간에 새로운 IKE 협상이 발생합니다.

그룹 멤버로부터 특정 그룹 VPN에 대한 풀 메시지를 받은 후 GC/KS는 해당 그룹에 대한 모든 TEK 및 KEK로 응답합니다.

GC/KS의 응답에 기존 SA가 포함되어 있지 않은 경우, 그룹 멤버가 누락된 SA를 삭제합니다.

예를 들어, GC/KS는 수명 3600초로 구성되며 재전송 없이 하나의 그룹 멤버에 연결됩니다. 서버 구성에 따라 GC/KS는 수명 중 10%가 남은 경우 새로운 키를 생성합니다. 그러나 그룹 구성원은 수명 중 5%에서 7%가 남은 경우 GC/KS에 다시 등록합니다.

그림 4는 GC/KS와 그룹 멤버 간의 키 재입성 프로세스를 나타냅니다.
그림 4: 그룹 멤버 키 재생성 Group Member Rekeying

그룹 멤버 인증

Junos OS 그룹 VPNv2에서 그룹 VPN에 대한 PKI(Public Key Infrastructure) 지원을 제공하지 않습니다. 결과적으로, 사전 공유 키는 그룹 멤버 인증에 사용됩니다.

그룹 VPNv2 트래픽 단편화

헤더 보존 기능과 기본 라우팅 인프라의 사용으로 인해 암호화가 발생하기 전에 패킷을 단편화해야 합니다(예방할 수 없는 경우).

따라서 사전 단편화가 지원되며 모든 구축에 권장됩니다.

단편화 후를 피하기 위해 그룹 VPNv2 구성에서 DF 비트에 대한 , setcopy 옵션을 설정합니다clear.

이 플래그 설정을 기반으로 IPsec 헤더에는 , 또는 copy set내부 패킷의 집합clear이 있습니다df-bit .

참고:

DF 비트에는 옵션 세트가 clear 기본값으로 설정되어 있습니다.

샘플 DF 비트 구성

 
[edit]
security {
    group-vpn {
        member {
            ipsec {
                vpn group-vpn-name {
                    df-bit clear;
                }
            }
        }
    }
}

그룹 VPNv2 트래픽 암호화

그룹 멤버는 GC/KS에서 제공하는 그룹 SA 및 키를 기반으로 트래픽을 암호화합니다. 그룹 VPNv2 암호화 경로는 다음과 같습니다.

  1. 패킷 전달 엔진 수신한 패킷이 플로우 일치에 대해 확인됩니다. 일치가 발견되면 패킷이 더 처리 및 전송됩니다.

  2. 일치를 찾을 수 없는 경우 규칙 조회가 수행됩니다. 일치가 발견되면 플로우가 생성되고 패킷이 더 처리 및 전송됩니다.

  3. 규칙 조회가 실패하면 패킷이 누락됩니다.

참고:

패킷 처리 중에 그룹 SA가 트리거되지 않습니다.

그룹 VPNv2 트래픽 암호 해독

등록이 성공하고 그룹 VPN SA가 설치된 후 ESP 세션이 생성됩니다. 그룹 VPNv2는 소스 및 대상 IP가 전혀 없는 ESP 세션을 생성합니다. ESP 세션은 SA 설치 시 이미 생성되므로 패킷은 기존 ESP 세션과 일치해야 합니다.

그룹 VPNv2 암호 해독 경로는 다음과 같습니다.

  1. 패킷 전달 엔진 수신한 패킷은 단편화 검사를 받습니다. 패킷이 단편화되면 추가 처리를 위해 어셈블됩니다.

  2. 패킷 어셈블 후 또는 패킷이 단편화되지 않은 경우, 5-튜플 복호화 플로우 조회에서 제로 소스 및 대상 IP가 사용됩니다. 일치가 발견되면 패킷이 더 처리 및 전송됩니다.

  3. 복호화 플로우 조회가 실패하면 패킷이 소스 및 대상 IP가 0인 SPI 플로우에 대해 확인됩니다.

  4. SPI 플로우 조회가 실패하면 패킷이 삭제됩니다.

  5. SPI 플로우 일치가 발견되면 후속 패킷에 대한 SPI 플로우 조회를 피하기 위해 복호화 플로우가 생성됩니다.

그룹 VPNv2에 대한 라우팅 인스턴스 구성

라우팅 인스턴스는 제어 및 데이터 트래픽 모두에 지원됩니다. 그룹 구성원이 주어진 VRF 라우팅 인스턴스에서 GC/KS에 도달할 수 있도록 컨트롤 플레인 트래픽에서 라우팅 인스턴스 지원을 활성화하려면 계층 수준에서 문을 [edit security group-vpn member ike gateway gateway-name local-address address] 추가 routing-instance 합니다.

서비스 세트가 적용되는 미디어 인터페이스에 따라 결정되므로 데이터 플레인 패킷에 대한 라우팅 인스턴스를 지원하기 위해 추가 CLI가 필요하지 않습니다.

여러 그룹, 정책 및 SA 설정

Junos OS 그룹 VPNv2에서 설정된 서비스당 하나의 그룹 VPN을 지원합니다. 그러나 라우팅 인스턴스에서 여러 그룹을 지원하기 위해 여러 서비스 세트를 생성할 수 있습니다. 그룹당 여러 SA를 구성할 수 있습니다. 그러나 동일한 트래픽 키/SPI에 대한 여러 정책은 지원되지 않습니다. 서버가 동일한 TEK에 대해 두 개의 정책을 전송하는 경우, 예를 들어 A와 B가 IP 주소 또는 서브넷인 A-B와 B-A를 허용하려면 페어링해야 합니다. 지정된 TEK에 대한 여러 미지급 정책이 수신되면 등록이 실패하고 시스템 로그 메시지가 생성됩니다.

여러 협동 GC/KS와의 연결

그룹 구성원이 협동 모드에서 GC/KS와 협력하도록 구성이 확장되어 서버 목록에 있는 서버 최대 4개가 허용됩니다.

방법을 사용할 때 키 재입력 groupkey-pull 하는 동안 그룹 멤버는 GC/KS에 연결을 시도합니다. GC/KS에 대한 연결이 실패하면 그룹 멤버는 GC/KS에 다시 연결하려고 합니다. 10초 간격으로 세 번의 재시도 후 GC/KS에 대한 연결이 복원되지 않은 경우 그룹 멤버는 서버 목록에서 사용 가능한 다음 서버와의 연결을 설정하려고 합니다. 이 프로세스는 그룹 구성원이 GC/KS에 연결할 때까지 반복됩니다. 이 기간 동안 그룹 멤버의 영향을 받지 않은 GDOI SA는 정리되지 않으므로 그룹 VPN 트래픽은 영향을 받지 않습니다. 키 재입력과 하드 수명 만료 사이의 시간 격차는 그룹 구성원이 이러한 경우 사용 가능한 다음 서버에 연결할 수 있는 충분한 시간을 제공합니다.

IP 딜리버리 지연 탐지 프로토콜 구현(시간 기반 리플레이 방지)

IP 전송 지연 탐지 프로토콜을 구현하기 위해 구성이 필요하지 않습니다. MX 시리즈 그룹 멤버는 키 서버에서 푸시 또는 풀 메시지의 GAP 페이로드의 일부로 사용할 재생 창 크기를 얻습니다. 수신된 창 크기가 0인 경우 시간 기반 재생 방지 보호가 비활성화됩니다.

IP 전송 지연 탐지 프로토콜이 활성화된 경우 발신자는 현재 타임스탬프를 추가하고 패킷을 암호화합니다. 수신기는 패킷을 복호화하고 현재 시간을 패킷의 타임스탬프와 비교합니다. 창 크기를 벗어나는 패킷은 삭제됩니다. 이 때문에 모든 그룹 구성원은 NTP(Network Time Protocol)를 사용하여 클럭이 동기화되어야 합니다.

IP 전송 지연 탐지 프로토콜 시간은 초 단위로 측정됩니다. 자세한 정보는 IP 딜리버리 지연 탐지 프로토콜-draft-weis-delay-detection-01 을 참조하십시오.

참고:

NTP와 관련된 모든 지연 문제는 IP 전송 지연 탐지 프로토콜에도 적용됩니다. 따라서 최소 창 크기는 1초가 권장됩니다.

그룹 VPNv2 구성 변경

대부분의 그룹 VPNv2 구성 변경으로 인해 기존 SA와 재등록이 모두 삭제됩니다. 이렇게 하면 새 트래픽 키와 함께 1단계와 SA 다운로드가 모두 트리거됩니다.

그룹 VPNv2 구성 우회

라우팅 프로토콜과 같은 특정 트래픽이 그룹 VPNv2에서 그룹 VPN을 우회해야 하는 경우 서비스 세트가 적용된 인터페이스에 서비스 필터를 구성해야 합니다. 서비스 필터와 일치하는 패킷은 서비스 처리를 위해 PIC에 오지 않으며 라우팅 엔진 직접 전달됩니다.

샘플 서비스 세트 필터 구성

 
[edit interfaces]
interface-name {
    unit 0 {
        family inet {
            service {
                input {
                    service-set service-set-name service-filter filter-name;
                }
                output {
                    service-set service-set-name service-filter filter-name;
                }
            }
        }
    }
}

MX 시리즈 멤버 라우터에서 부분 페일 오픈 구현

연결 손실로 인해 그룹 멤버 라우터가 GC/KS에서 SA를 얻을 수 없는 경우 기본적으로 패킷이 손실됩니다. 그룹 멤버와 GC/KS 간의 통신 장애가 발생할 경우 일부 트래픽이 암호화되지 않도록 허용하려면 [edit security group-vpn member ipsec vpn vpn-name] 계층 수준에서 규칙을 구성 fail-open 해야 합니다.

페일 오픈 규칙은 서버 연결이 손실된 경우에만 트래픽에 적용됩니다. 연결이 복원되고 GC/KS에서 키를 수신하면 페일 오픈 규칙이 비활성화됩니다.

샘플 페일 오픈 규칙 구성

 
[edit security group-vpn member ipsec vpn vpn-name]
fail-open {
    rule rule-name{
        source-address source-ip-address
            destination-address destination-ip-address}
        }
    }

해당 그룹에 대해 최대 10개 페일 오픈 규칙을 구성할 수 있습니다.

지원되는 GDOI IPsec 매개 변수

모든 GDOI 그룹에는 고유한 ID가 있습니다. GC/KS와 그룹 멤버 간의 공통 기반으로 그룹 SA 및 그룹 키에 대해 통신하는 데 사용됩니다.

등록 프로세스 중에 GC/KS는 SA TEK(Security Association Transport Encryption Key)를 그룹 멤버에게 보냅니다. 전체 그룹 보안 정책에 관한 모든 매개 변수는 GC/KS에서 구성됩니다. SA TEK는 그룹 구성원이 서로 교환된 트래픽을 보호하기 위해 사용됩니다. 표 3 은 SA TEK의 매개 변수를 보여줍니다.

표 3: SA TEK 매개 변수

매개 변수

지원되는 값

암호화

  • DES-CBC

  • 3DES-CBC

  • AES-CBC 128

  • AES-CBC 192

  • AES-CBC 256

무결성

  • HMAC-MD5-96

  • HMAC-SHA1-96

  • HMAC-SHA-256-128

수명

지원되는 모든 값

암호화 알고리즘 외에도 그룹 구성원이 암호화해야 하는 트래픽은 SA TEK 정책(트래픽 선택기)의 일부입니다.

다음 문은 주니퍼 네트웍스 그룹 멤버에 사용될 수 있습니다. 따라서 주소는 IKE 계층 수준에 따라 지정되어야 합니다. 열거도 우선 순위가 지정됩니다. 따라서 다음 예시 구성에서 KS1은 KS2 앞에 연락됩니다.

GDOI IPsec 매개 변수 구성 샘플

 
[edit security]
group-vpn {
    member {
        ike {
            gateway gateway-name {
                ike-policy policy-name;
                server-address <IP_KS1> <IP_KS2> <IP_KS3> <IP_KS4>;
                local-address <IP_GM> routing-instance routing-instance-name;
            }
        }
        ipsec {
            vpn vpn-group-name {
                ike-gateway gateway-name;
                fail-open {
                    rule rule-name {
                    source-address 198.51.100.1/24 
                    destination-address 192.0.2.1/24 
                    }
                }
                group group-ID;
                match-direction output;
            }
        }
    }
}

지원되는 GDOI IKEv1 매개 변수

그룹 구성원은 그룹 VPNv2 환경에서 등록 프로세스 중에 IKEv1만 사용합니다. 표 4 는 IKEv1 SA의 정의된 매개 변수에 대한 개요를 제공합니다.
표 4: 그룹 멤버의 IKEv1 SA 매개 변수

매개 변수

지원되는 값

암호화

  • DES-CBC

  • 3DES-CBC

  • AES-CBC 128

  • AES-CBC 192

  • AES-CBC 256

인증

사전 공유 키(최소 20가지 징후)

무결성

  • MD5

  • SHA1

  • SHA256

Diffie-Hellman Group

  • 그룹 1

  • 그룹 2

  • 그룹 5

  • 그룹 14

수명

지원되는 모든 값

위에서 언급한 IKEv1 표준은 다음과 같이 구성됩니다.

동적 정책 적용

input 명령문 아래의 ipsec-group-vpnoutput 옵션은 서비스 세트가 적용되는 인터페이스가 수신 또는 발신 인터페이스일 때 서버에서 수신된 동적 정책이 사용되는 경우를 지정합니다. 이는 들어오고 나가는 방향에서 다른 규칙을 지정할 수 있는 유연성을 제공합니다.

TOS 및 DSCP 지원

서비스 유형(TOS) 및 DSCP(DiffServ Code Points) 비트는 내부 패킷에서 ESP 패킷으로 복사됩니다.

그룹 구성원의 상호 운용성

Cisco의 GDOI 구현을 GET(Group Encryption Transport) VPN이라고 합니다. Junos OS 그룹 VPNv2와 Cisco의 GET VPN은 모두 RFC 6407인 해석 그룹 도메인을 기반으로 하지만, 주니퍼 네트웍스 보안 및 라우팅 디바이스와 Cisco 라우터가 모두 포함된 네트워킹 환경에서 GDOI를 구축할 때 알아야 할 몇 가지 구현 차이가 있습니다. 자세한 내용은 현재 Junos OS 릴리스 노트를 참조하십시오.

그룹 VPNv2 상호운용성은 다음과 같습니다.

  • Junos OS Cisco IOS GC/KS 지원과 상호운용성 지원을 제공합니다.

  • Junos OS SRX 시리즈 그룹 VPN 서버와의 그룹 VPNv2 상호 운용성에 대한 지원을 제공하지 않습니다.

    표 5: 그룹 VPNv2 상호운용성

    그룹 멤버

    SRX 그룹 멤버

    MX 그룹 VPNv2 멤버

    Cisco Group 회원

    SRX GC

    SRX KS

    시스코 GC/KS

    MX 그룹 VPNv2 멤버

    아니요

    아니요

    SRX 그룹 멤버

    아니요

    아니요

Junos OS 그룹 정책에 예외를 추가하기 위해 Cisco GC/SK 서버에서 사용되는 거부 정책을 지원하지 않습니다. 이를 해결하기 위해 MX 시리즈 그룹 멤버에 방화벽 규칙을 구성하여 이를 수행할 수 있습니다. 또한 Junos OS 그룹 구성원은 협상에 실패하지 않고 단순히 내용을 무시함으로써 거부 정책과 협력할 수 있습니다. 이를 통해 시스템 관리자는 Cisco 그룹 멤버와 Junos OS 그룹 구성원이 모두 공존하는 네트워크를 쉽게 관리할 수 있습니다.

그룹 VPNv2 제한 사항

Junos OS 그룹 VPNv2는 다음을 지원하지 않습니다.

  • 멀티캐스트 푸시 메시지

  • 멀티캐스트 트래픽

  • GDOI SNMP 관리 정보 베이스(MIB)

  • 서버가 보낸 정책의 프로토콜 및 포트입니다. 그룹 구성원은 정책에 명시된 IP 주소/서브넷만을 기립니다.

  • 동일한 트래픽 키/SPI에 대한 여러 무보수 정책

  • IKE 게이트웨이 구성의 라우팅 인스턴스에서 로컬 및 원격 IP의 오버래핑

  • 불일치를 초래할 수 있는 중복 그룹 VPNv2 정책

  • 제어 및 데이터 트래픽을 위한 IPv6

  • 동일한 서비스 세트에서 IPsec 및 그룹 VPN의 공존

  • 동일한 서비스 세트에서 NAT 및 ALG와 같은 서비스의 공존. NAT 및 그룹 VPN은 서로 다른 서비스 세트에 공존할 수 있습니다. 그러나 동일한 서비스 집합에 공존할 수 없습니다.

  • 사이트 간(S2S) VPN 및 DEP(Dynamic End Point) VPN은 다양한 서비스 세트에서 그룹 VPN과 공존할 수 있습니다. 그러나 동일한 서비스 집합에 공존할 수 없습니다.

  • 동일한 서비스 세트의 여러 그룹

  • SRX 시리즈 GC/KS를 통한 그룹 멤버 지원

  • SRX 시리즈 그룹 멤버를 통한 그룹 멤버 지원

  • 논리적 키 계층(LKH)

  • Graceful Restart

  • 고가용성

  • 통합 ISSU

  • 인증을 위한 PKI 지원

관련 문서

릴리스 기록 테이블
릴리스
설명
15.1
Junos OS 릴리스 15.1부터 Junos OS 그룹 VPNv2를 지원합니다.