예: 지사에서 단일 SRX 시리즈 디바이스 구성
이 예에서는 브랜치 오피스의 단일 SRX 시리즈 디바이스에서 섀시 클러스터를 검증하기 위한 구성 및 명령을 위한 단계별 절차를 제공합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX240 서비스 게이트웨이
Junos OS 릴리스 12.1 이상
이 구성 예는 나열된 소프트웨어 릴리스를 사용하여 테스트되었으며 이후의 모든 릴리스에서 작동하는 것으로 가정합니다.
개요
링크 수준 고가용성 배포를 구현하려면 각 지점에 각 데이터 센터에 대해 두 개의 WAN 연결과 두 개의 IPsec VPN(가상 사설망) 터널이 필요합니다. 트래픽은 각 터널 쌍에서 로드 밸런싱됩니다. 트래픽이 특정 데이터센터로 전달될 때마다 세션은 해당 데이터센터로 가는 각 IPsec 터널에서 라운드 로빈 방식으로 로드 밸런싱됩니다. 또한 각 터널이 서로 다른 송신 링크를 사용하는 방식으로 터널이 구성되므로 VPN 트래픽에 대한 업스트림 링크의 균형이 유지됩니다.
토폴로지
그림 1 은 데이터센터에 연결된 링크 수준 이중화 구성을 보여줍니다. 여러 데이터 센터를 사용할 수 있더라도 분기 고가용성 관점에서 구성은 동일합니다. IPsec 터널 구성 및 해당 경로 설정만 변경됩니다. 단순화를 위해 데이터센터 중 하나에 대한 IPsec 구성만 표시됩니다. SRX 시리즈 디바이스에서 중복 IPsec VPN 터널을 설정하기 위한 샘플 구성이 표시됩니다.
그림 2 는 영역 구성을 보여줍니다. VPN 터널은 VPN 영역이라는 별도의 영역에 속합니다. 또한 보안 정책을 설계할 때 데이터센터(또는 다른 브랜치)로 가는 트래픽이 이 영역을 통해 나가기 때문에 VPN 터널을 별도의 영역의 일부로 형성해야 합니다.
보안 영역
구성
SRX 시리즈 디바이스에서 중복 IPsec VPN 터널 구성
단계별 절차
이중화된 IPsec VPN 터널을 구성하려면 다음을 수행합니다.
글로벌 VPN 설정을 지정합니다.
[edit] user@host# set security ipsec vpn-monitor-options interval 5 user@host# set security ipsec vpn-monitor-options threshold 5
기본 모드, 사전 정의된 표준 제안 세트 및 사전 공유 키에 대한 IKE(Internet Key Exchange) 정책을 구성합니다.
[edit] user@host# set security ike policy preShared mode main user@host# set security ike policy preShared proposal-set standard user@host# set security ike policy preShared pre-shared-key ascii-text "$9$5Q69tuORcypuxNVwg469CA1RvWL" user@host# set security ike policy preShared_2 mode main user@host# set security ike policy preShared_2 proposal-set standard user@host# set security ike policy preShared_2 pre-shared-key ascii-text "$9$-9V24JGDkmfZGCt0BEh24oaikFn/"
피어 IP 주소, IKE(Internet Key Exchange) 정책 및 발신 인터페이스를 사용하여 IKE(Internet Key Exchange) 게이트웨이를 구성합니다.
[edit] user@host# set security ike gateway DCA_1 ike-policy preShared user@host# set security ike gateway DCA_1 address 4.4.4.2 user@host# set security ike gateway DCA_1 external-interface ge-0/0/4.0 user@host# set security ike gateway DCA_2 ike-policy preShared_2 user@host# set security ike gateway DCA_2 address 5.5.5.2 user@host# set security ike gateway DCA_2 external-interface ge-0/0/5.0
터널 인터페이스에 대한 IPsec 정책 및 바인딩 구성
st0.0이 예에서는 표준 제안 세트를 사용합니다. 그러나 고유한 제안을 만든 다음 필요한 경우 IPsec 정책에서 지정할 수 있습니다.
[edit] user@host# set security ipsec policy std proposal-set standard user@host# set security ipsec vpn DCA_1 bind-interface st0.0 user@host# set security ipsec vpn DCA_1 vpn-monitor optimized user@host# set security ipsec vpn DCA_1 ike gateway DCA_1 user@host# set security ipsec vpn DCA_1 ike no-anti-replay user@host# set security ipsec vpn DCA_1 ike proxy-identity local 0.0.0.0/0 user@host# set security ipsec vpn DCA_1 ike proxy-identity remote 0.0.0.0/0 user@host# set security ipsec vpn DCA_1 ike proxy-identity service any user@host# set security ipsec vpn DCA_1 ike ipsec-policy std user@host# set security ipsec vpn DCA_1 establish-tunnels immediately
터널 인터페이스에 대한 바인딩을 구성합니다
st0.1[edit] user@host# set security ipsec vpn DCA_2 bind-interface st0.1 user@host# set security ipsec vpn DCA_2 vpn-monitor optimized user@host# set security ipsec vpn DCA_2 ike gateway DCA_2 user@host# set security ipsec vpn DCA_2 ike no-anti-replay user@host# set security ipsec vpn DCA_2 ike proxy-identity local 0.0.0.0/0 user@host# set security ipsec vpn DCA_2 ike proxy-identity remote 0.0.0.0/0 user@host# set security ipsec vpn DCA_2 ike proxy-identity service any user@host# set security ipsec vpn DCA_2 ike ipsec-policy std user@host# set security ipsec vpn DCA_2 establish-tunnels immediately
st0.0및st0.1인터페이스 멀티포인트를 모두 구성합니다.[edit] user@host# set interfaces st0 unit 0 multipoint user@host# set interfaces st0 unit 0 family inet mtu 1500 user@host# set interfaces st0 unit 0 family inet address 10.255.1.5/24 user@host# set interfaces st0 unit 1 multipoint user@host# set interfaces st0 unit 1 family inet mtu 1500 user@host# set interfaces st0 unit 1 family inet address 10.255.2.5/24
두 터널 인터페이스에 대한 정적 경로를 구성합니다.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.204.115.254 user@host# set routing-options static route 172.16.0.0/24 next-hop 10.255.1.254 user@host# set routing-options static route 172.16.0.0/24 next-hop 10.255.2.254 user@host# set routing-options forwarding-table export load-balancing-policy user@host# set policy-options policy-statement load-balancing-policy then load-balance per-packet
관리 영역을 구성합니다.
[edit] user@host# set security zones functional-zone management interfaces ge-0/0/2.0 user@host# set security zones functional-zone management host-inbound-traffic system-services all user@host# set security zones functional-zone management host-inbound-traffic protocols all
트러스트 영역을 구성합니다.
[edit] user@host# set security zones security-zone trust address-book address 0.0.0.0/0 0.0.0.0/0 user@host# set security zones security-zone trust host-inbound-traffic system-services any-service user@host# set security zones security-zone trust host-inbound-traffic protocols all
신뢰할 수 없는 영역을 구성합니다.
[edit] user@host# set security zones security-zone untrust host-inbound-traffic system-services all user@host# set security zones security-zone untrust host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services any-service user@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security zones security-zone untrust interfaces lo0.0 user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 user@host# set security zones security-zone untrust interfaces ge-0/0/5.0 user@host# set security zones security-zone VPN host-inbound-traffic system-services all
인터페이스 및 호스트 인바운드 서비스를 할당하여 보안 영역을 구성합니다.
[edit] user@host# set security zones security-zone VPN host-inbound-traffic system-services all user@host# set security zones security-zone VPN host-inbound-traffic protocols all user@host# set security zones security-zone VPN interfaces st0.0 user@host# set security zones security-zone VPN interfaces st0.1
결과
운영 모드에서 명령을 입력하여 show configuration | no-more 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host>show configuration | no-more
## Last commit: 2013-05-28 20:10:49 UTC by root
version 12.1R5.5;
system {
root-authentication {
encrypted-password "$1$ltXYoZky$Gg3OHOmBGCBKwPET6ijPw0"; ## SECRET-DATA
}
name-server {
8.8.8.8;
}
services {
web-management {
http;
}
}
syslog {
file default-message {
any any;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.204.115.166/24;
address 30.30.30.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.99.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
address 4.4.4.1/30;
}
}
}
ge-0/0/5 {
unit 0 {
family inet {
address 5.5.5.1/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
mtu 1500;
address 10.255.1.5/24;
}
}
unit 1 {
multipoint;
family inet {
mtu 1500;
address 10.255.2.5/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.204.115.254;
route 172.16.0.0/24 next-hop [ 10.255.1.254 10.255.2.254 ];
}
forwarding-table {
export load-balancing-policy;
}
}
policy-options {
policy-statement load-balancing-policy {
then {
load-balance per-packet;
}
}
}
security {
ike {
policy preShared {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$5Q69tuORcypuxNVwg469CA1RvWL"; ## SECRET-DATA
}
policy preShared_2 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$9$-9V24JGDkmfZGCt0BEh24oaikFn/"; ## SECRET-DATA
}
gateway DCA_1 {
ike-policy preShared;
address 4.4.4.2;
external-interface ge-0/0/4.0;
}
gateway DCA_2 {
ike-policy preShared_2;
address 5.5.5.2;
external-interface ge-0/0/5.0;
}
}
ipsec {
vpn-monitor-options {
interval 5;
threshold 5;
}
policy std {
proposal-set standard;
}
vpn DCA_1 {
bind-interface st0.0;
vpn-monitor {
optimized;
}
ike {
gateway DCA_1;
no-anti-replay;
proxy-identity {
local 0.0.0.0/0;
remote 0.0.0.0/0;
service any;
}
ipsec-policy std;
}
establish-tunnels immediately;
}
vpn DCA_2 {
bind-interface st0.1;
vpn-monitor {
optimized;
}
ike {
gateway DCA_2;
no-anti-replay;
proxy-identity {
local 0.0.0.0/0;
remote 0.0.0.0/0;
service any;
}
ipsec-policy std;
}
establish-tunnels immediately;
}
}
policies {
default-policy {
permit-all;
}
}
zones {
functional-zone management {
interfaces {
ge-0/0/2.0;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
}
lo0.0;
ge-0/0/1.0;
ge-0/0/4.0;
ge-0/0/5.0;
}
}
security-zone trust {
address-book {
address 0.0.0.0/0 0.0.0.0/0;
}
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
st0.1;
}
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
터널 인터페이스 확인
목적
터널 인터페이스 구성이 올바르게 작동하고 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show interfaces terse | match st .
user@host>show interfaces terse | match st
st0 up up st0.0 up up inet 10.255.1.5/24 st0.1 up up inet 10.255.2.5/24
의미
명령은 show interfaces terse | match st 터널 인터페이스의 상태를 표시합니다.
IKE(Internet Key Exchange) 상태 확인
목적
IKE 상태를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security ike sa .
user@host>show security ike sa
Index State Initiator cookie Responder cookie Mode Remote Address 1898257 UP c3cc256b779db5ec 258300201eaba783 Main 5.5.5.2 1898255 UP ca13acf3daceb369 0921e2e7abf91a05 Main 4.4.4.2
의미
명령은 show security ike sa 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.
SA가 나열되어 있는 경우 다음 정보를 검토합니다.
인덱스 - 이 값은 각 IKE(Internet Key Exchange) SA에 대해 고유하며, SA에 대한 자세한 정보를 얻기 위해 명령에서
show security ike security-associations index detail사용할 수 있습니다.Remote Address(원격 주소) - 원격 IP 주소가 올바른지 확인합니다.
상태
UP—1단계 SA가 설정되었습니다.
DOWN—1단계 SA를 설정하는 데 문제가 있었습니다.
모드 - 올바른 모드가 사용되고 있는지 확인합니다.
IPsec 보안 연결 확인
목적
IPsec 보안 연결을 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security ipsec sa .
user@host>show security ipsec sa
Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:3des/sha1 3ca3386b 2492/ unlim U root 500 4.4.4.2 >131073 ESP:3des/sha1 be66b350 2492/ unlim U root 500 4.4.4.2 <131074 ESP:3des/sha1 84080019 2491/ unlim U root 500 5.5.5.2 >131074 ESP:3des/sha1 deabdb54 2491/ unlim U root 500 5.5.5.2
의미
출력은 다음을 나타냅니다.
구성된 IPsec SA 쌍을 사용할 수 있습니다. 포트 번호 500은 표준 IKE 포트가 사용됨을 나타냅니다. 그렇지 않으면 NAT-T(Network Address Translation-Traversal), 4500 또는 랜덤 하이 포트입니다.
SPI(보안 매개 변수 인덱스)는 양방향으로 사용됩니다. SA의 수명 또는 사용 제한은 초 또는 킬로바이트 단위로 표시됩니다. 출력에서 2492/ unlim은 2단계 수명이 2492초 후에 만료되도록 설정되었으며 지정된 수명 크기가 없음을 나타냅니다.
ID 번호는 각 IPsec SA의 고유 인덱스 값을 표시합니다.
경로 항목 확인
목적
라우팅 테이블에서 경로 항목을 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show route .
user@host>show route
inet.0: 19 destinations, 19 routes (19 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 10w5d 22:23:53
> to 10.204.115.254 via ge-0/0/0.0
4.4.4.0/30 *[Direct/0] 00:18:45
> via ge-0/0/4.0
4.4.4.1/32 *[Local/0] 00:18:45
Local via ge-0/0/4.0
5.5.5.0/30 *[Direct/0] 00:18:45
> via ge-0/0/5.0
5.5.5.1/32 *[Local/0] 00:18:45
Local via ge-0/0/5.0
10.10.99.1/32 *[Local/0] 10w5d 22:24:03
Reject
10.204.115.0/24 *[Direct/0] 10w5d 22:23:53
> via ge-0/0/0.0
10.204.115.166/32 *[Local/0] 10w5d 22:24:04
Local via ge-0/0/0.0
10.255.1.0/24 *[Direct/0] 00:18:40
> via st0.0
10.255.1.5/32 *[Local/0] 4d 02:50:20
Local via st0.0
10.255.2.0/24 *[Direct/0] 00:18:40
> via st0.1
10.255.2.5/32 *[Local/0] 4d 02:50:20
Local via st0.1
20.20.20.0/24 *[Direct/0] 03:46:19
> via ge-0/0/2.0
20.20.20.1/32 *[Local/0] 03:46:19
Local via ge-0/0/2.0
30.30.30.0/24 *[Direct/0] 03:46:19
> via ge-0/0/0.0
30.30.30.1/32 *[Local/0] 03:46:19
Local via ge-0/0/0.0
172.16.0.0/24 *[Static/5] 00:18:40
> to 10.255.1.254 via st0.0
to 10.255.2.254 via st0.1
172.16.1.0/24 *[Direct/0] 00:15:55
> via lo0.0
172.16.1.1/32 *[Local/0] 00:15:55
Local via lo0.0
의미
출력은 19개의 경로가 있고 모든 경로가 활성 상태임을 나타냅니다.