Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPSec VPN 개요

IPsec VPN은 인터넷과 같은 공용 WAN을 통해 원격 컴퓨터와 안전하게 통신할 수 있는 수단을 제공합니다. VPN 연결은 두 LAN(위치간 VPN) 또는 원격 다이얼 접속 사용자와 LAN을 연결할 수 있습니다. 이 두 포인트 사이의 트래픽은 공용 WAN을 구성하는 라우터, 스위치 및 기타 다른 네트워크 장비와 같은 공유 리소스를 통과합니다. WAN을 통과하는 VPN 통신을 보호하려면 IPsec 터널을 만들어야 합니다.

Security Director는 IPsec VPN의 관리 및 구축을 간소화합니다. 일반적으로 VPN 구성은 다수의 SRX 시리즈 디바이스에 구축할 때와 풀 메시 VPN을 구축할 때 지루하고 반복적입니다. Security Director를 사용하면 VPN 프로필을 사용하여 공통 설정을 그룹화하고 여러 SRX 시리즈 디바이스의 여러 VPN 터널 구성에 적용할 수 있습니다. 사이트 간, 허브 앤 스포크 및 풀 메시 VPN을 대량 구축할 수 있습니다. Security Director는 필요한 구축 시나리오를 결정하고 모든 SRX 시리즈 디바이스에 필요한 구성을 게시합니다.

Security Director는 SRX 시리즈 디바이스에서 정책 기반 및 경로 기반 IPsec VPN을 지원합니다. 정책 기반 VPN은 두 개의 끝점을 구성하는 사이트 간 배포에서만 지원됩니다. 두 개 이상의 SRX 시리즈 디바이스가 있는 경우 경로 기반 VPN이 더 많은 유연성과 확장성을 제공합니다. 지사와 본사 간에 데이터를 안전하게 전송할 수 있도록 하려면 정책 기반 또는 경로 기반 IPsec VPN을 구성합니다. 엔터프라이즈급 구축의 경우, 허브 앤 스포크 IPsec VPN을 구성합니다.

다음과 같은 경우 경로 기반 터널 모드를 사용합니다.

  • 참여 게이트웨이는 주니퍼 네트웍스 제품입니다.

  • 트래픽이 VPN을 통과할 때 소스 또는 대상 NAT가 발생해야 합니다.

  • VPN 라우팅에는 동적 라우팅 프로토콜을 사용해야 합니다.

  • 기본 및 백업 VPN은 설정에 필요합니다.

다음과 같은 경우 정책 기반 터널 모드를 사용합니다.

  • 원격 VPN 게이트웨이는 주니퍼 네트웍스 제품이 아닌 디바이스입니다.

  • 특정 애플리케이션 트래픽에 대해 VPN에 대한 액세스를 제한해야 합니다.

정책 기반 또는 경로 기반 IPSec VPN을 생성할 때 표현을 위해 토폴로지가 표시됩니다. 아이콘을 클릭하여 원격 게이트웨이를 구성해야 합니다.

메모:

  • Security Director는 각 논리적 시스템을 다른 보안 디바이스로 간주하고 논리적 시스템의 보안 구성에 대한 소유권을 갖습니다. Security Director에서 각 논리적 시스템은 고유한 보안 디바이스로 관리됩니다.

  • Security Director는 터널 인터페이스가 디바이스의 개별 논리 시스템에 배타적으로 할당되도록 합니다. 동일한 디바이스의 두 개 이상의 논리적 시스템에 터널 인터페이스가 할당되지 않습니다.

  • Security Director는 PPPoE(Point-to-Point Protocol over Ethernet)를 통한 VPN을 지원하지 않습니다.

IPsec VPN 토폴로지

지원되는 IPsec VPN은 다음과 같습니다.

  • 위치 간 VPN: 조직의 두 위치를 함께 연결하고 위치 간의 보안 통신을 허용합니다.

    Network diagram with two devices labeled Device connected to a central cloud, symbolizing data flow between devices and the cloud.

  • 허브 앤 스포크(모든 피어 설정) - 지사를 기업 네트워크의 본사에 연결합니다. 또한 이 토폴로지를 사용하여 허브를 통해 트래픽을 전송하여 스포크를 함께 연결할 수 있습니다.

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • 허브 앤 스포크(스포크에 의한 설정)—자동 VPN은 원격 사이트(스포크)에 대한 여러 터널의 단일 종료 지점 역할을 하는 IPsec VPN 어그리게이터(허브)를 지원합니다. 자동 VPN을 통해 네트워크 관리자는 현재 및 미래의 스포크에 대한 허브를 구성할 수 있습니다. 스포크 디바이스를 추가하거나 삭제할 때 허브에서 구성을 변경할 필요가 없으므로 관리자가 대규모 네트워크 구축을 유연하게 관리할 수 있습니다.

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • 허브 앤 스포크(자동 검색 VPN) - 자동 검색 VPN(ADVPN)은 중앙 허브가 두 스포크 간의 더 나은 트래픽 경로에 대해 스포크에 동적으로 알릴 수 있는 기술입니다. 두 스포크 모두 허브의 정보를 승인하면 바로 가기 터널을 설정하고 호스트가 허브를 통해 트래픽을 전송하지 않고 다른 쪽에 도달하도록 라우팅 토폴로지를 변경합니다.

    Hub-and-Spoke network topology with a central Hub connected to multiple Spoke nodes via a cloud representing the internet.

  • 풀 메시 - 두 개 이상의 참여 게이트웨이를 연결하고 그룹 내 다른 모든 디바이스와 별도의 터널을 설정합니다.

    Network diagram with six interconnected nodes, each as a brick-patterned square, showing a fully connected secure system.

  • 원격 액세스 VPN(Juniper Secure Connect) - Juniper Secure Connect는 사용자가 인터넷을 사용하여 기업 네트워크 및 리소스에 원격으로 연결할 수 있는 안전한 원격 액세스를 제공합니다. Juniper Secure Connect는 SRX 서비스 디바이스에서 구성을 다운로드하고 연결 설정 중에 가장 효과적인 전송 프로토콜을 선택합니다.

    Remote user connects to local gateway via cloud network showing remote access or VPN connection.

  • 원격 액세스 VPN(NCP 독점 클라이언트) - 원격 액세스 VPN을 사용하면 집에서 근무하거나 출장 중인 사용자가 본사 및 해당 리소스에 연결할 수 있습니다. 네트워크 제어 프로토콜(NCP) 독점 원격 액세스 클라이언트는 주니퍼 SRX 시리즈 게이트웨이를 위한 NCP 독점 원격 액세스 솔루션의 일부입니다. VPN 클라이언트는 NCP Exclusive Remote Access Management에서만 사용할 수 있습니다. NCP 독점 클라이언트를 사용하여 SRX 시리즈 게이트웨이와 연결된 경우 모든 위치에서 안전한 IPsec 기반 데이터 링크를 설정할 수 있습니다.

    Remote user connects to local gateway through cloud, illustrating remote access setup via internet or cloud service.

관련 설명서