Site-to-Site VPN 생성

이름

VPN의 이름을 입력합니다.

설명

설명을 입력합니다. 이 설명은 IKE(Internet Key Exchange) 및 IPsec 제안과 정책에 사용됩니다. 편집하는 동안 IPsec 정책 설명이 표시되고 업데이트됩니다.

라우팅 모드

이 VPN이 연결될 라우팅 모드를 선택합니다.

• 트래픽 선택기(자동 경로 삽입)

• 정적 라우팅

• 동적 라우팅 – OSPF

• 동적 라우팅 – BGP

각 토폴로지에 대해 J-Web은 관련 CLI를 자동으로 생성합니다. 트래픽 선택기가 기본 모드입니다.

인증 방법

디바이스가 IKE(Internet Key Exchange) 메시지 소스를 인증하는 데 사용하는 인증 방법을 목록에서 선택합니다.

• 인증서 기반 - 인증서 소유자의 ID를 확인하는 인증서인 디지털 서명 유형입니다.

  다음은 인증서 기반에 대한 인증 방법입니다.

  • rsa-signatures - 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되도록 지정합니다.

  • dsa-signatures - DSA(Digital Signature Algorithm)가 사용되도록 지정합니다.

  • ecdsa-signatures-256 - FIPS(Federal Information Processing Standard) DSS(Digital Signature Standard) 186-3에 지정된 대로 256비트 타원 곡선 secp256r1을 사용하는 ECDSA(Elliptic Curve DSA)가 사용되도록 지정합니다.

  • ecdsa-signatures-384—FIPS DSS 186-3에 지정된 대로 384비트 타원 곡선 secp384r1을 사용하는 ECDSA가 사용되도록 지정합니다.

  • ecdsa-signatures-521 - 521비트 타원 곡선 secp521r1을 사용하는 ECDSA가 사용되도록 지정합니다.

    참고:

    ecdsa-signatures-521 SRX5000 SPC3 카드와 junos-ike 패키지가 설치된 디바이스 제품군만 지원합니다.

• 사전 공유 키(기본 방법) - 두 피어 간에 공유되는 비밀 키인 사전 공유 키를 인증 중에 사용하여 피어를 서로 식별하도록 지정합니다. 각 피어에 대해 동일한 키를 구성해야 합니다. 이것이 기본 방법입니다.

방화벽 정책 자동 생성

Yes(예)를 선택하면 방화벽 정책이 자동으로 내부 영역과 터널 인터페이스 영역 사이에 적용되며, 원본 주소는 로컬 보호 네트워크, 대상 주소는 원격 보호 네트워크가 적용됩니다.

그 반대로 다른 방화벽 정책이 생성됩니다.

아니요를 선택하면 방화벽 정책 옵션이 없습니다. 이 VPN이 작동하려면 필요한 방화벽 정책을 수동으로 생성해야 합니다.

원격 게이트웨이

토폴로지에 원격 게이트웨이 아이콘을 표시합니다. 아이콘을 클릭하여 원격 게이트웨이를 구성합니다.

게이트웨이는 IPsec VPN 피어와 원격 피어를 식별하고 해당 IPsec VPN에 대한 적절한 매개 변수를 정의합니다.

필드 정보는 표 2의 내용을 참조하십시오.

로컬 게이트웨이

토폴로지에 로컬 게이트웨이 아이콘을 표시합니다. 아이콘을 클릭하여 로컬 게이트웨이를 구성합니다.

필드 정보는 표 4의 내용을 참조하십시오.

IKE(Internet Key Exchange) 및 IPsec 설정

사용자 지정 IKE(Internet Key Exchange) 또는 IPsec 제안과 권장 알고리즘 또는 값을 사용하여 사용자 지정 IPsec 제안을 구성합니다.

필드 정보는 표 6의 내용을 참조하십시오.

게이트웨이가 NAT 뒤에 있습니다.

활성화된 경우 구성된 외부 IP 주소(IPv4 또는 IPv6)를 네트워크 주소 변환(NAT) 디바이스 IP 주소라고 합니다.

IKE ID

목록에서 옵션을 선택하여 원격 ID를 구성합니다.

호스트 이름

원격 호스트 이름을 입력합니다.

IPv4 주소

원격 IPv4 주소를 입력합니다.

IPv6 주소

원격 IPv6 주소를 입력합니다.

키 ID

키 ID를 입력합니다.

이메일 주소

이메일 주소를 입력합니다.

외부 IP 주소

피어 IPv4 또는 IPv6 주소를 입력합니다. 최대 4개의 백업이 있는 하나의 기본 피어 네트워크를 만들 수 있습니다.

IPv4 또는 IPv6 주소를 하나 입력하거나 쉼표로 구분하여 최대 5개의 IP 주소를 입력할 수 있습니다.

보호된 네트워크

라우팅 모드를 선택하면 모든 전역 주소가 나열됩니다.

사용 가능 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

라우팅 모드가 다음과 같은 경우:

• Traffic Selector(트래픽 선택기) - IP 주소는 트래픽 선택기 컨피그레이션에서 원격 IP로 사용됩니다.

• 정적 라우팅:

  • 선택한 전역 주소에 대해 고정 경로가 구성됩니다.

  • 로컬 게이트웨이의 터널 인터페이스(st0.x)가 다음 홉으로 사용됩니다.

• 동적 라우팅(Dynamic Routing) - 기본값은 임의(any)입니다. 특정 전역 주소를 선택할 수도 있습니다. 선택한 값은 방화벽 정책에서 대상 주소로 구성됩니다.

추가

+를 클릭합니다.

Create Global Address(전역 주소 생성) 페이지가 나타납니다. 필드 정보는 표 3 을 참조하십시오.

이름

영숫자로 시작해야 하고 콜론, 마침표, 대시 및 밑줄을 포함할 수 있는 고유한 문자열을 입력합니다. 공백이 허용되지 않습니다. 최대 63자.

IP 유형

IPv4 또는 IPv6을 선택합니다.

IPv4 (영어)

IPv4 Address(IPv4 주소) - 유효한 IPv4 주소를 입력합니다.

서브넷 - IPv4 주소의 서브넷을 입력합니다.

IPv6 (영어)

IPv6 Address(IPv6 주소) - 유효한 IPv6 주소를 입력합니다.

서브넷 접두사(Subnet Prefix) - 네트워크 범위에 대한 서브넷 마스크를 입력합니다. 입력한 값은 유효성이 검사됩니다.

게이트웨이가 NAT 뒤에 있습니다.

로컬 게이트웨이가 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 경우 이 옵션을 활성화합니다.

IKE ID

목록에서 옵션을 선택하여 로컬 ID를 구성합니다. 게이트웨이가 NAT 뒤에 있는 것이 활성화된 경우 NAT 디바이스를 참조하도록 IPv4 또는 IPv6 주소를 구성할 수 있습니다.

호스트 이름

호스트 이름을 입력합니다.

IPv4 주소

IPv4 주소를 입력합니다.

IPv6 주소

IPv6 주소를 입력합니다.

키 ID

키 ID를 입력합니다.

이메일 주소

이메일 주소를 입력합니다.

외부 인터페이스

IKE(Internet Key Exchange) 협상 목록에서 발신 인터페이스를 선택합니다.

지정된 인터페이스에 둘 이상의 IP 주소가 구성된 경우 목록에는 사용 가능한 모든 IP 주소가 포함됩니다. 선택한 IP 주소는 IKE 게이트웨이 아래의 로컬 주소로 구성됩니다.

터널 인터페이스

목록에서 인터페이스를 선택하여 터널 인터페이스(경로 기반 VPN)에 바인딩합니다.

Add(추가)를 클릭하여 새 인터페이스를 추가합니다. Create Tunnel Interface 페이지가 나타납니다. 표 5를 참조하십시오.

라우터 ID

라우팅 디바이스의 IP 주소를 입력합니다.

영역 ID

이 VPN의 터널 인터페이스를 구성해야 하는 0에서 4,294,967,295 사이의 영역 ID를 입력합니다.

터널 인터페이스 패시브

이 옵션을 활성화하면 일반적인 활성 IP 검사의 트래픽을 우회할 수 있습니다.

Asn

라우팅 디바이스의 AS 번호를 입력합니다.

NIC에서 할당한 번호를 사용합니다. 범위: 1에서 4,294,967,295(232 – 1)까지(4바이트 AS 번호의 경우 일반 번호 형식)

인접 ID

인접 라우터의 IP 주소를 입력합니다.

BGP 그룹 유형

목록에서 BGP 피어 그룹 유형을 선택합니다.

• external—AS 간 BGP 라우팅을 허용하는 외부 그룹입니다.

• internal—AS 내 BGP 라우팅을 허용하는 내부 그룹입니다.

피어 ASN

이웃(피어) AS(Autonomous System) 번호를 입력합니다.

가져오기 정책

목록에서 하나 이상의 라우팅 정책을 선택하여 BGP에서 라우팅 테이블로 가져올 경로를 선택합니다.

Clear All(모두 지우기)을 클릭하여 선택한 정책을 지웁니다.

수출 정책

라우팅 테이블에서 BGP로 내보낼 경로에 대한 정책을 목록에서 하나 이상 선택합니다.

Clear All(모두 지우기)을 클릭하여 선택한 정책을 지웁니다.

로컬 인증서

로컬 디바이스에 로드된 인증서가 여러 개 있는 경우 로컬 인증서 식별자를 선택합니다.

추가를 클릭하여 새 인증서를 생성합니다. 가져오기를 클릭하여 장치 인증서를 가져옵니다. 자세한 내용은 장치 인증서 관리를 참조하십시오.

신뢰할 수 있는 CA/그룹

목록에서 인증 기관(CA) 프로파일을 선택하여 로컬 인증서와 연결합니다.

Add(추가)를 클릭하여 새 CA 프로필을 추가합니다. 자세한 내용은 신뢰할 수 있는 인증 기관 관리를 참조하십시오.

사전 공유 키

사전 공유 키의 값을 입력합니다. 키는 다음 중 하나일 수 있습니다.

• ascii-text—ASCII 텍스트 키입니다.

• hexadecimal - 16진수 키입니다.

보호된 네트워크

+를 클릭합니다. 보호된 네트워크 만들기 페이지가 나타납니다.

영역

방화벽 정책에서 소스 영역으로 사용할 보안 영역을 목록에서 선택합니다.

전체 주소

사용 가능 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

추가

Add(추가)를 클릭합니다.

Create Global Address(전역 주소 생성) 페이지가 나타납니다. 표 3을 참조하십시오.

편집

편집할 보호된 네트워크를 선택하고 연필 아이콘을 클릭합니다.

Edit Global Address(전체 주소 편집) 페이지가 편집 가능한 필드와 함께 나타납니다.

삭제

편집할 보호된 네트워크를 선택하고 삭제 아이콘을 클릭합니다.

확인 메시지가 나타납니다.

Yes(예)를 클릭하여 삭제합니다.

인터페이스 유닛

논리 단위 번호를 입력합니다.

설명

논리적 인터페이스에 대한 설명을 입력합니다.

영역

방화벽 정책에서 소스 영역으로 사용할 논리적 인터페이스의 영역을 목록에서 선택합니다.

Add(추가)를 클릭하여 새 영역을 추가합니다. 영역 이름과 설명을 입력하고 Create Security Zone(보안 영역 생성) 페이지에서 OK(확인)를 클릭합니다.

라우팅 인스턴스

목록에서 라우팅 인스턴스를 선택합니다.

IPv4 주소

유효한 IPv4 주소를 입력합니다.

서브넷 접두사

IPv4 주소의 서브넷 마스크를 입력합니다.

IPv6 주소

유효한 IPv6 주소를 입력합니다.

서브넷 접두사

네트워크 범위에 대한 서브넷 마스크를 입력합니다. 입력한 값은 유효성이 검사됩니다.

IKE 버전

IPsec에 대한 동적 보안 연결(SA)을 협상하는 데 필요한 IKE 버전(v1 또는 v2)을 선택합니다.

기본값은 v2입니다.

IKE(Internet Key Exchange) 모드

목록에서 IKE(Internet Key Exchange) 정책 모드를 선택합니다.

• aggressive - 기본 모드의 메시지 수의 절반을 차지하고, 협상 권한이 적으며, ID 보호를 제공하지 않습니다.

• main—3개의 피어 투 피어 교환에서 6개의 메시지를 사용하여 IKE(Internet Key Exchange) SA를 설정합니다. 이 세 단계에는 IKE SA 협상, Diffie-Hellman 교환 및 피어 인증이 포함됩니다. 또한 신원 보호 기능을 제공합니다.

암호화 알고리즘

목록에서 적절한 암호화 메커니즘을 선택합니다.

기본값은 aes-256-gcm입니다.

인증 알고리즘

목록에서 인증 알고리즘을 선택합니다. 예를 들어, hmac-md5-96 - 128비트 다이제스트를 생성하고 hmac-sha1-96 - 160비트 다이제스트를 생성합니다.

DH 그룹

DH(Diffie-Hellman) 교환을 통해 참가자는 공유 비밀 값을 생성할 수 있습니다. 목록에서 적절한 DH 그룹을 선택합니다. 기본값은 group19입니다.

라이프타임 초(Lifetime Seconds)

IKE SA(보안 연결)의 수명을 선택합니다. 기본값: 28,800초. 범위: 180초에서 86,400초까지.

Dead Peer Detection(데드 피어 탐지)

피어에 발신되는 IPsec 트래픽이 있는지 여부에 관계 없이 데드 피어 탐지 요청을 보내려면 이 옵션을 활성화합니다.

DPD 모드

목록에서 옵션 중 하나를 선택합니다.

• optimized—나가는 트래픽이 있고 들어오는 데이터 트래픽이 없는 경우에만 프로브를 보냅니다 - RFC3706(기본 모드).

• probe-idle-tunnel—최적화된 모드에서와 동일하게 프로브를 전송하며 발신 및 수신 데이터 트래픽이 없을 때도 프로브를 전송합니다.

• always-send - 수신 및 발신 데이터 트래픽에 관계없이 주기적으로 프로브를 전송합니다.

DPD 간격

데드 피어 탐지 메시지를 보낼 간격을 초 단위로 선택합니다. 기본 간격은 10초입니다. 범위는 2초에서 60초 사이입니다.

DPD 임계값

1에서 5 사이의 숫자를 선택하여 실패 DPD 임계값을 설정합니다.

피어로부터 응답이 없을 때 DPD 메시지를 보내야 하는 최대 횟수를 지정합니다. 기본 전송 횟수는 5회입니다.

일반 IKE(Internet Key Exchange) ID

피어 IKE(Internet Key Exchange) ID를 수락하려면 이 옵션을 활성화합니다.

IKEv2 재인증

새 IKEv2 재인증을 트리거하도록 재인증 빈도를 구성합니다.

IKEv2 재단편화

이 옵션은 기본적으로 활성화되어 있습니다.

IKEv2 재조각 크기

조각으로 분할되기 전에 IKEv2 메시지의 최대 크기(바이트)를 선택합니다.

크기는 IPv4 및 IPv6 메시지 모두에 적용됩니다. 범위: 570바이트에서 1320바이트.

기본값은 다음과 같습니다.

• IPv4 메시지 - 576바이트.

• IPv6 메시지 - 1280바이트.

NAT-T

IPsec 트래픽이 네트워크 주소 변환(NAT) 디바이스를 통과하려면 이 옵션을 활성화합니다.

NAT-T는 SRX 시리즈 디바이스 중 하나 앞에 NAT 디바이스가 있는 두 게이트웨이 디바이스 간에 VPN 연결을 설정하려고 할 때 사용되는 IKE 1단계 알고리즘입니다.

NAT 연결 유지

적절한 keepalive 간격(초)을 선택합니다. 범위: 1에서 300까지.

VPN이 장기간 비활성 상태일 것으로 예상되는 경우, keepalive 값을 구성하여 인위적인 트래픽을 생성하여 NAT 디바이스에서 세션을 활성 상태로 유지할 수 있습니다.

프로토콜

목록에서 ESP(Encapsulation Security Protocol) 또는 AH(Authentication Header) 프로토콜을 선택하여 VPN을 설정합니다. 기본값은 ESP입니다.

암호화 알고리즘

암호화 방법을 선택합니다. 기본값은 aes-256-gcm입니다.

인증 알고리즘

목록에서 IPsec 인증 알고리즘을 선택합니다. 예를 들어, hmac-md5-96 - 128비트 다이제스트를 생성하고 hmac-sha1-96 - 160비트 다이제스트를 생성합니다.

PFS(Perfect Forward Secrecy)

목록에서 PFS(Perfect Forward Secrecy)를 선택합니다. 디바이스는 이 메서드를 사용하여 암호화 키를 생성합니다. 기본값은 group19입니다.

PFS는 이전 키와 독립적으로 각각의 새 암호화 키를 생성합니다. 그룹 번호가 높을수록 보안이 강화되지만 처리 시간이 더 오래 걸립니다.

라이프타임 초(Lifetime Seconds)

IPsec SA(Security Association)의 수명(초)을 선택합니다. SA가 만료되면 새 SA 및 SPI(Security Parameter Index)로 대체되거나 종료됩니다. 기본값은 3,600초입니다. 범위: 180초에서 86,400초까지.

수명 킬로바이트

IPsec SA의 수명(킬로바이트 단위)을 선택합니다. 기본값은 128kb입니다. 범위: 64에서 4294967294까지.

터널 설정

IPsec 터널을 설정하려면 이 옵션을 활성화합니다. IKE(Internet Key Exchange)는 VPN이 구성되고 구성 변경이 커밋된 후 즉시(기본값) 활성화됩니다.

VPN 모니터

대상 IP 주소에서 사용하려면 이 옵션을 활성화합니다.

대상 IP

ICMP(Internet Control Message Protocol) ping의 대상을 입력합니다. 디바이스는 기본적으로 피어의 게이트웨이 주소를 사용합니다.

최적화

VPN 개체에 대해 이 옵션을 활성화합니다. 활성화된 경우, SRX 시리즈 디바이스는 나가는 트래픽이 있고 VPN 터널을 통해 구성된 피어에서 들어오는 트래픽이 없을 때만 ICMP 에코 요청(ping)을 보냅니다. VPN 터널을 통해 들어오는 트래픽이 있는 경우 SRX 시리즈 디바이스는 터널을 활성 상태로 간주하고 피어에 ping을 보내지 않습니다.

이 옵션은 기본적으로 비활성화되어 있습니다.

소스 인터페이스

목록에서 ICMP 요청에 대한 소스 인터페이스를 선택합니다. 소스 인터페이스가 지정되지 않은 경우 디바이스는 자동으로 로컬 터널 엔드포인트 인터페이스를 사용합니다.

확인 경로

보안 터널(st0) 인터페이스가 활성화되고 인터페이스와 연결된 경로가 Junos OS 포워딩 테이블에 설치되기 전에 IPsec 데이터 경로를 확인하려면 이 옵션을 활성화합니다.

이 옵션은 기본적으로 비활성화되어 있습니다.

대상 IP

대상 IP 주소를 입력합니다. NAT 디바이스 뒤에 있는 피어 터널 엔드포인트의 변환되지 않은 원본 IP 주소입니다. 이 IP 주소는 NAT로 변환된 IP 주소가 아니어야 합니다. 피어 터널 엔드포인트가 NAT 디바이스 뒤에 있는 경우 이 옵션이 필요합니다. 피어가 ICMP 응답을 생성할 수 있도록 verify-path ICMP 요청이 이 IP 주소로 전송됩니다.

패킷 크기

st0 인터페이스가 시작되기 전에 IPsec 데이터 경로를 확인하는 데 사용되는 패킷의 크기를 입력합니다. 범위: 64 - 1350바이트. 기본값은 64바이트입니다.

안티 리플레이

IPsec은 IPsec 패킷에 내장된 일련의 번호를 사용하여 VPN 공격으로부터 보호합니다. 시스템은 동일한 시퀀스 번호를 가진 패킷을 허용하지 않습니다.

이 옵션은 기본적으로 활성화되어 있습니다. Anti-Replay는 시퀀스 번호를 무시하는 것이 아니라 시퀀스 번호를 확인하고 검사를 적용합니다.

IPsec 메커니즘에 오류가 발생하여 패킷의 순서가 잘못되어 제대로 작동하지 못하게 되는 경우 Anti-Replay를 비활성화합니다.

설치 간격

디바이스에 키가 다시 입력된 SA(아웃바운드 보안 연결)를 설치할 수 있는 최대 시간(초)을 선택합니다. 1에서 10 사이의 값을 선택합니다.

유휴 시간

유휴 시간 간격을 선택합니다. 세션과 해당 번역은 트래픽이 수신되지 않으면 일정 시간이 지나면 시간 초과됩니다. 범위는 60초에서 999999초입니다.

DF 비트

디바이스가 외부 헤더에서 DF(Don't Fragment) 비트를 처리하는 방법을 선택합니다.

• clear - 외부 헤더에서 DF 비트를 지우십시오(비활성화). 이것이 기본값입니다.

• copy - DF 비트를 외부 헤더에 복사합니다.

• set - 외부 헤더에서 DF 비트를 설정(활성화)합니다.

외부 DSCP 복사

이 옵션은 기본적으로 활성화되어 있습니다. 이렇게 하면 외부 IP 헤더 암호화 패킷에서 암호 해독 경로의 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point)(외부 DSCP+ECN)를 복사할 수 있습니다. 이 기능을 활성화하면 IPsec 암호 해독 후 일반 텍스트 패킷이 내부 CoS(DSCP+ECN) 규칙을 따를 수 있습니다.