원격 액세스 VPN-NCP 독점 클라이언트 생성

여기 있습니다: 네트워크 > VPN > IPsec VPN.

NCP 독점 원격 액세스 클라이언트는 Juniper SRX 시리즈 게이트웨이를 위한 NCP 독점 원격 액세스 솔루션의 일부입니다. VPN 클라이언트는 NCP 독점 원격 액세스 관리에서만 사용할 수 있습니다. NCP 독점 클라이언트를 사용하여 SRX 시리즈 게이트웨이에 연결할 때 모든 위치에서 안전한 IPsec 기반 데이터 링크를 설정할 수 있습니다.

Juniper Secure Connect를 위한 원격 액세스 VPN을 생성하려면 다음을 수행합니다.

IPsec VPN 페이지의 오른쪽 상단에 있는 원격 액세스 > NCP 독점 클라이언트를 > VPN 생성을 선택합니다.

원격 액세스 생성(NCP 독점 클라이언트) 페이지가 나타납니다.
표 1부터 표 5까지의 지침에 따라 구성을 완료합니다.

VPN 연결은 토폴로지에서 회색에서 파란색 선으로 변경되어 구성이 완료되어 있음을 보여줍니다.
저장을 클릭하여 변경 사항을 저장합니다.

변경 사항을 폐기하려면 취소를 클릭합니다.

표 1: 원격 액세스 생성(NCP 독점 클라이언트) 페이지의 필드
필드	작업
이름	원격 액세스 연결에 대한 이름을 입력합니다. 이 이름은 NCP 독점 클라이언트에서 최종 사용자 연결 이름으로 표시됩니다.
설명	설명을 입력합니다. 이 설명은 IKE 및 IPsec 제안, 정책, 원격 액세스 프로필, 클라이언트 구성 및 NAT 규칙 집합에 사용됩니다. 편집 중에 IPsec 정책 설명이 표시됩니다. IPsec 정책 및 원격 액세스 프로필 설명이 업데이트됩니다.
라우팅 모드	이 옵션은 원격 액세스에 대해 비활성화됩니다. 기본 모드는 트래픽 선택기(자동 경로 삽입)입니다.
인증 방법	디바이스가 Internet Key Exchange(IKE) 메시지의 소스를 인증하는 데 사용하는 목록에서 인증 방법을 선택합니다. 사전 공유 키(기본 방법) - 두 피어 간에 공유되는 비밀 키인 사전 공유 키가 인증 중에 서로 피어를 식별하는 데 사용되는 것을 지정합니다. 각 피어에 대해 동일한 키를 구성해야 합니다. 이것이 기본 방법입니다. 인증서 기반 —인증서 소유자의 ID를 확인하는 인증서인 디지털 서명 유형입니다. 지원되는 서명은 rsa 서명입니다. rsa 서명은 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되도록 지정합니다.
방화벽 정책 자동 생성	예(예)를 선택하면 로컬 보호 네트워크가 소스 주소로, 원격 보호 네트워크가 대상 주소로 있는 내부 영역과 터널 인터페이스 영역 사이에 방화벽 정책이 자동으로 생성됩니다. 또 다른 방화벽 정책이 비자(visa-versa)로 생성됩니다. 아니요를 선택하면 방화벽 정책 옵션이 없습니다. 이 VPN을 작동하려면 필요한 방화벽 정책을 수동으로 만들어야 합니다. 참고: VPN 워크플로우에서 방화벽 정책을 자동 생성하지 않으시려면 로컬 및 원격 게이트웨이 모두에서 동적 라우팅을 위해 보호된 네트워크가 숨겨집니다.
원격 사용자	토폴로지에서 원격 사용자 아이콘을 표시합니다. 이 옵션은 비활성화되었습니다.
로컬 게이트웨이	토폴로지에서 로컬 게이트웨이 아이콘을 표시합니다. 로컬 게이트웨이를 구성하려면 아이콘을 클릭합니다. 필드에 대한 자세한 내용은 표 2를 참조하십시오.
IKE 및 IPsec 설정	권장 알고리즘 또는 값을 사용하여 사용자 지정 IKE 또는 IPsec 제안 및 사용자 지정 IPsec 제안을 구성합니다. 필드에 대한 자세한 내용은 표 5를 참조하십시오. 참고: J-Web은 하나의 사용자 지정 IKE 제안만 지원하며 사전 정의된 제안 세트를 지원하지 않습니다. 편집 및 저장 시 J-Web은 구성된 경우 사전 정의된 제안 세트를 삭제합니다. VPN 터널의 원격 게이트웨이에서 동일한 사용자 지정 제안 및 정책을 구성해야 합니다. 편집 시 J-Web은 두 개 이상의 사용자 지정 제안이 구성된 경우 첫 번째 사용자 지정 IKE 및 IPsec 제안을 표시합니다.

표 2: 로컬 게이트웨이 페이지의 필드
필드	작업
NAT를 뒤처진 게이트웨이	로컬 게이트웨이가 NAT 디바이스 뒤에 있는 경우 이 옵션을 활성화합니다.
NAT IP 주소	SRX 시리즈 디바이스의 공용(NAT) IP 주소를 입력합니다. 참고: 이 옵션은 게이트웨이가 네트워크 네트워크(NAT) 뒤에 있는 경우에만 사용할 수 있습니다. NAT 디바이스를 참조하도록 IPv4 주소를 구성할 수 있습니다.
IKE ID	이 필드는 필수입니다. user@example.com 형식으로 IKE ID를 입력합니다.
외부 인터페이스	클라이언트가 연결할 목록에서 발신 인터페이스를 선택합니다. 하나 이상의 IPv4 주소가 지정된 인터페이스에 구성된 경우 이 목록에는 사용 가능한 모든 IP 주소가 포함됩니다. 선택한 IP 주소는 IKE 게이트웨이 아래에서 로컬 주소로 구성됩니다.
터널 인터페이스	클라이언트가 연결할 목록에서 인터페이스를 선택합니다. 추가를 클릭하여 새 인터페이스를 추가합니다. 터널 인터페이스 생성 페이지가 나타납니다. 새로운 터널 인터페이스 생성에 대한 자세한 내용은 표 3을 참조하십시오. 편집을 클릭하여 선택한 터널 인터페이스를 편집합니다.
사전 공유 키	사전 공유 키의 다음 값 중 하나를 입력합니다. ascii-text — ASCII 텍스트 키. 16진수—16진수 키입니다. 참고: 인증 방법이 사전 공유 키인 경우 이 옵션을 사용할 수 있습니다.
로컬 인증서	목록에서 로컬 인증서를 선택합니다. 로컬 인증서는 RSA 인증서만 나열합니다. 인증서를 추가하려면 추가를 클릭합니다. 디바이스 인증서 추가에 대한 자세한 내용은 디바이스 인증서 추가를 참조하십시오. 인증서를 가져오려면 가져오기를 클릭합니다. 디바이스 인증서 가져오기에 대한 자세한 내용은 디바이스 인증서 가져오기를 참조하십시오. 참고: 인증 방법이 인증서 기반인 경우 이 옵션을 사용할 수 있습니다.
신뢰할 수 있는 CA/그룹	목록에서 신뢰할 수 있는 인증서 기관/그룹 프로필을 선택합니다. CA 프로필을 추가하려면 CA 프로필 추가를 클릭합니다. CA 프로필 추가에 대한 자세한 내용은 인증 기관 프로필 추가를 참조하십시오. 참고: 인증 방법이 인증서 기반인 경우 이 옵션을 사용할 수 있습니다.
사용자 인증	이 필드는 필수입니다. 원격 액세스 VPN에 액세스하는 사용자를 인증하는 데 사용할 목록에서 인증 프로필을 선택합니다. 추가를 클릭하여 새 프로필을 생성합니다. 새로운 액세스 프로필 생성에 대한 자세한 내용은 액세스 프로필 추가를 참조하십시오.
SSL VPN 프로필	원격 액세스 연결을 종료하는 데 사용할 목록에서 SSL VPN 프로필을 선택합니다. 새로운 SSL VPN 프로필을 생성하려면 다음을 수행합니다. 추가를 클릭합니다. 다음 세부 정보를 입력합니다. 이름 - SSL VPN 프로필의 이름을 입력합니다. 로깅 - SSL VPN에 대해 기록하도록 이 옵션을 활성화합니다. SSL 종료 프로파일 - 목록에서 SSL 종료 프로파일을 선택합니다. 새로운 SSL 종료 프로필을 추가하려면: 추가를 클릭합니다. 다음 세부 정보를 입력합니다. 이름 - SSL 종료 프로필의 이름을 입력합니다. 서버 인증서 - 목록에서 서버 인증서를 선택합니다. 인증서를 추가하려면 추가를 클릭합니다. 디바이스 인증서 추가에 대한 자세한 내용은 디바이스 인증서 추가를 참조하십시오. 인증서를 가져오려면 가져오기를 클릭합니다. 디바이스 인증서 가져오기에 대한 자세한 내용은 디바이스 인증서 가져오기를 참조하십시오. [확인]을 클릭합니다. [확인]을 클릭합니다. [확인]을 클릭합니다.
소스 NAT 트래픽	이 옵션은 기본적으로 활성화됩니다. Juniper Secure Connect 클라이언트의 모든 트래픽은 기본적으로 선택된 인터페이스로 NATed됩니다. 비활성화된 경우, 반환 트래픽을 올바르게 처리하기 위해 네트워크에서 SRX 시리즈 디바이스를 가리키는 경로가 있는지 확인해야 합니다.
인터페이스	소스 NAT 트래픽이 통과하는 목록에서 인터페이스를 선택합니다.
보호 네트워크	+를 클릭합니다. 보호 네트워크 생성 페이지가 표시됩니다.
보호 네트워크 생성
영역	방화벽 정책에서 소스 영역으로 사용될 목록에서 보안 영역을 선택합니다.
전역 주소	사용 가능한 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택한 열로 이동합니다. 추가를 클릭하여 클라이언트가 연결할 수 있는 네트워크를 선택합니다. 전역 주소 생성 페이지가 표시됩니다. 필드에 대한 자세한 내용은 표 4를 참조하십시오.
편집	편집할 보호 네트워크를 선택하고 연필 아이콘을 클릭합니다. 보호된 네트워크 편집 페이지가 편집 가능한 필드와 함께 표시됩니다.
삭제	편집할 보호 네트워크를 선택하고 삭제 아이콘을 클릭합니다. 확인 메시지가 나타납니다. 예(Yes)를 클릭하여 보호된 네트워크를 삭제합니다.

표 3: 터널 인터페이스 페이지 생성의 필드
필드	작업
인터페이스 유닛	논리적 단위 번호를 입력합니다.
설명	논리적 인터페이스에 대한 설명을 입력합니다.
영역	목록에서 영역을 선택하여 터널 인터페이스에 추가합니다. 이 영역은 방화벽 정책의 자동 생성에 사용됩니다. 추가를 클릭하여 새 영역을 추가합니다. 영역 이름과 설명을 입력하고 보안 영역 생성 페이지에서 확인을 클릭합니다.
라우팅 인스턴스	목록에서 라우팅 인스턴스를 선택합니다. 참고: 기본 라우팅 인스턴스인 기본 은(는) 논리적 시스템의 주요 inet.0 라우팅 테이블 나타냅니다.

표 4: 전역 주소 생성 페이지의 필드
필드	작업
이름	전역 주소의 이름을 입력합니다. 이름은 영숫자 문자로 시작해야 하며 콜론, 기간, 대시 및 밑줄을 포함할 수 있는 고유한 문자열이어야 합니다. 공백이 허용되지 않습니다. 최대 63자.
IP 유형	IPv4를 선택합니다.
IPv4
IPv4 주소	유효한 IPv4 주소를 입력합니다.
서브넷	IPv4 주소의 서브넷을 입력합니다.

표 5: IKE 및 IPsec 설정
필드	작업
IKE 설정 참고: 다음 매개 변수는 자동으로 생성되며 J-Web UI에 표시되지 않습니다. 인증 방법이 사전 공유 키인 경우 IKE 버전은 1이고, ike-user-type은 shared-ike-id이며, 모드는 공격적입니다. 인증 방법이 인증서 기반인 경우 IKE 버전은 2이고, ike-user-type은 group-ike-id이며, 모드는 메인입니다.
암호화 알고리즘	목록에서 적절한 암호화 메커니즘을 선택합니다. 기본값은 AES-CBC 256비트입니다.
인증 알고리즘	목록에서 인증 알고리즘을 선택합니다. 예를 들어 SHA 256비트입니다.
DH 그룹	DH(Diffie-Hellman) 교환을 통해 참가자는 공유 암호 값을 생성할 수 있습니다. 목록에서 적절한 DH 그룹을 선택합니다. 기본값은 group19입니다.
수명 초	IKE 보안 연결(SA)의 수명 시간(초 단위)을 선택합니다. 기본값은 28,800초입니다. 범위: 180 ~ 86,400초.
피어 디도스(Dead Peer Detection)	피어에 발신 IPsec 트래픽이 있는지 여부에 관계없이 이 옵션을 사용하여 피어 탐지 요청을 보냅니다.
DPD 모드	목록에서 옵션 중 하나를 선택합니다. optimized — 나가는 트래픽이 있고 들어오는 데이터 트래픽이 없는 경우에만 프로브를 보냅니다 - RFC3706(기본 모드). probe-idle-tunnel — 최적화된 모드에서와 동일한 방식으로 그리고 송신 및 수신 데이터 트래픽이 없을 때도 프로브를 보냅니다. always-send — 들어오고 나가는 데이터 트래픽에 관계없이 주기적으로 프로브를 보냅니다.
DPD 간격	간격(초)을 선택하여 죽은 피어 탐지 메시지를 보냅니다. 기본 간격은 10초입니다. 범위는 2~60초입니다.
DPD 임계값	1에서 5까지의 숫자를 선택하여 실패 DPD 임계값을 설정합니다. 이는 피어의 응답이 없을 때 DPD 메시지가 전송되어야 하는 최대 횟수를 지정합니다. 기본 전송 수는 5회입니다.
사전 구성(옵션)
NAT-T	IPsec 트래픽이 NAT 디바이스를 통과하도록 이 옵션을 활성화합니다. NAT-T는 두 게이트웨이 디바이스 간에 VPN 연결을 설정할 때 사용되는 IKE 1단계 알고리즘으로, SRX 시리즈 디바이스 중 하나 앞에 NAT 디바이스가 있습니다.
NAT의 살아남기	초 단위로 적절한 keepalive 간격을 선택합니다. 범위: 1 ~ 300. VPN에 많은 비활성 기간이 있을 것으로 예상되는 경우, NAT 디바이스에서 세션을 활성 상태로 유지하기 위해 인공 트래픽을 생성하도록 keepalive 값을 구성할 수 있습니다.
IKE 연결 제한	VPN 프로필이 지원하는 동시 연결 수를 입력합니다. 범위는 1~4294967295. 최대 연결 수에 도달하면 IPsec VPN에 액세스를 시도하는 더 이상 원격 액세스 사용자(VPN) 엔드포인트가 Internet Key Exchange(IKE) 협상을 시작할 수 없습니다.
IKEv2 단편화	이 옵션은 기본적으로 활성화됩니다. IKEv2 단편화는 대규모 IKEv2 메시지를 일련의 작은 메시지로 분할하여 IP 수준에서 단편화가 발생하지 않도록 합니다. 단편화는 원래 메시지가 암호화되고 인증되기 전에 수행되므로 각 조각이 별도로 암호화되고 인증됩니다. 참고: 인증 방법이 인증서 기반인 경우 이 옵션을 사용할 수 있습니다.
IKEv2 패킷 조각 크기	패킷 조각으로 분할되기 전에 IKEv2 메시지의 최대 크기(바이트)를 선택합니다. 크기는 IPv4 메시지에 적용됩니다. 범위: 570 ~ 1320바이트. 기본값은 576바이트입니다. 참고: 인증 방법이 인증서 기반인 경우 이 옵션을 사용할 수 있습니다.
IPsec 설정
암호화 알고리즘	암호화 방법을 선택합니다. 기본값은 AES-GCM 256비트입니다.
인증 알고리즘	목록에서 IPsec 인증 알고리즘을 선택합니다. 예를 들어, HMAC-SHA-256-128을 예로 들어 보겠습니다. 참고: 이 옵션은 암호화 알고리즘이 gcm이 아닌 경우 사용할 수 있습니다.
PFS(Perfect Forward Secrecy)	목록에서 PFS(Perfect Forward Secrecy)를 선택합니다. 디바이스는 이 방법을 사용하여 암호화 키를 생성합니다. 기본값은 group19입니다. PFS는 이전 키와 독립적으로 각 새로운 암호화 키를 생성합니다. 숫자가 높은 그룹은 더 많은 보안을 제공하지만 처리 시간이 더 필요합니다. 참고: group15, group16 및 group21은 SPC3 카드 및 junos-ike 패키지가 설치된 디바이스의 SRX5000 라인만 지원합니다.
수명 초	IPsec 보안 연결(SA)의 수명(초 단위)을 선택합니다. SA가 만료되면 새 SA 및 보안 매개변수 인덱스(SPI)로 대체되거나 종료됩니다. 기본값은 3,600초입니다. 범위: 180 ~ 86,400초.
수명 킬로바이트	IPsec SA의 수명(킬로바이트 단위)을 선택합니다. 기본값은 256kb입니다. 범위: 64~4294967294.
고급 구성
리플레이 차단	IPsec은 IPsec 패킷에 내장된 숫자 시퀀스를 사용하여 VPN 공격으로부터 보호합니다. 시스템은 동일한 시퀀스 번호를 가진 패킷을 허용하지 않습니다. 이 옵션은 기본적으로 활성화됩니다. 안티 리플레이는 시퀀스 번호를 무시하는 것이 아니라 시퀀스 번호를 확인하고 검사를 적용합니다. 순서를 벗어난 패킷을 발생시키는 IPsec 메커니즘에 오류가 발생하면 재생 방지를 비활성화하여 적절한 기능을 방지합니다.
설치 간격	디바이스에서 키 재입력된 SA(Outbound Security Association) 설치를 허용하는 최대 시간(초)을 선택합니다. 1에서 10까지의 값을 선택합니다.
유휴 시간	유휴 시간 간격을 선택합니다. 트래픽이 수신되지 않은 경우 특정 기간 이후에 세션과 해당 번역의 시간 초과가 가능합니다. 범위는 60~999999 초입니다.
DF 비트	디바이스가 외부 헤더에서 DF(Don't Fragment) 비트를 처리하는 방법을 선택합니다. clear - 외부 헤더에서 DF 비트를 지우기(비활성화). 이것은 기본값입니다. copy - DF 비트를 외부 헤더로 복사합니다. set - 외부 헤더에서 DF 비트를 설정합니다(활성화).
외부 DSCP 복사	이 옵션은 기본적으로 활성화됩니다. 이를 통해 외부 IP 헤더 암호화 패킷에서 복호화 경로의 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point)(외부 DSCP+ECN)를 복사할 수 있습니다. 이 기능을 활성화하면 IPsec 암호 해독 후 삭제 텍스트 패킷이 내부 CoS(DSCP+ECN) 규칙을 따를 수 있습니다.

원격 액세스 VPN-NCP 독점 클라이언트 생성

관련 문서