허브 앤 스포크 자동 검색 VPN 생성

이름

공백 없이 최대 63자의 영숫자로 구성된 고유한 문자열을 입력합니다.

문자열에는 콜론, 마침표, 대시 및 밑줄이 포함될 수 있습니다.

묘사

VPN에 대해 최대 255자를 포함하는 설명을 입력합니다.

라우팅 토폴로지

OSPF-동적 라우팅을 선택하여 OSPF 구성을 생성합니다.

VPN 프로필

배포 시나리오에 따라 드롭다운 목록에서 VPN 프로필을 선택합니다.

• 인라인 프로필은 특정 IPSec VPN에만 적용됩니다. VPN 생성 페이지에서 IKE/IPsec 설정 보기를 클릭하여 세부 정보를 보고 편집할 수 있습니다.

• 공유 프로파일은 하나 이상의 IPsec VPN에서 사용할 수 있습니다. IKE/IPsec 설정 보기를 클릭해야만 공유 프로파일의 세부 정보를 볼 수 있습니다.

인증 방법

디바이스가 IKE 메시지 소스를 인증하는 데 사용하는 인증 방법을 목록에서 선택합니다.

• RSA-Signatures - 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되도록 지정합니다.

• DSA-Signatures - DSA(Digital Signature Algorithm)가 사용되도록 지정합니다.

• ECDSA-Signatures-256 - FIPS(Federal Information Processing Standard) DSS(Digital Signature Standard) 186-3에 지정된 대로 256비트 타원 곡선 secp256r1을 사용하는 ECDSA(Elliptic Curve DSA)가 사용되도록 지정합니다.

• ECDSA-Signatures-384 - FIPS DSS 186-3에 지정된 대로 384비트 타원 곡선 secp384r1을 사용하는 ECDSA가 사용되도록 지정합니다.

최대 전송 단위

바이트 단위의 최대 전송 단위(MTU)를 선택합니다.

MTU는 IPsec 오버헤드를 포함하여 IP 패킷의 최대 크기를 정의합니다. 터널 엔드포인트의 MTU 값을 지정할 수 있습니다. 유효한 범위는 68바이트에서 9192바이트까지이며 기본값은 1500바이트입니다.

사전 공유 키

기본적으로 양쪽 모두에게 동일한 암호인 미리 공유된 키를 사용하여 VPN 연결을 설정합니다.

사용할 사전 공유 키 유형을 선택합니다.

• Autogenerate(자동 생성) - 터널당 고유 키를 자동으로 생성하려면 선택합니다. 이 옵션을 선택하면 터널당 고유 키 생성 옵션이 자동으로 활성화됩니다. 터널당 고유 키 생성 옵션을 비활성화하면 Security Director가 모든 터널에 대해 단일 키를 생성합니다.

• Manual(수동) - 키를 수동으로 입력하려면 선택합니다. 기본적으로 수동 키는 마스킹됩니다.

사전 공유 키는 인증 방법이 사전 공유 기반인 경우에만 적용할 수 있습니다.

네트워크 IP

번호가 매겨진 터널 인터페이스의 IP 주소를 입력합니다.

터널 인터페이스에 대해 IP 주소가 자동으로 할당되는 서브넷 주소입니다.

터널 인터페이스당 스포크 디바이스 수

모두를 선택하거나 허브에서 하나의 터널 인터페이스를 공유할 스포크 디바이스 수를 지정합니다.

장치

VPN에서 디바이스를 엔드포인트로 추가합니다. 최대 2개의 장치를 추가할 수 있습니다.

경로 기반 VPN에서 디바이스를 추가하려면 다음을 수행합니다.

1. Add(추가)를 클릭하고 Hub Device(허브 디바이스), Spoke Device(스포크 디바이스) 또는 Extranet Spoke Device(엑스트라넷 스포크 디바이스) 중 하나를 클릭합니다.

   Add Device(장치 추가) 페이지가 열립니다.

2. 표 2에 설명된 대로 장치 매개변수를 구성합니다.
3. 확인을 클릭합니다.

장치

장치를 선택합니다.

외부 인터페이스

IKE 보안 연결(SA)에 대한 발신 인터페이스를 선택합니다.

이 인터페이스는 방화벽 보안을 제공하는 캐리어 역할을 하는 영역과 연결됩니다.

터널 구역

터널 영역을 선택합니다.

터널 영역은 캡슐화 전 및 후에 캡슐화된 IPsec 트래픽에 대한 NAT 애플리케이션의 동적 IP(DIP) 주소 풀을 지원할 수 있는 주소 공간의 논리적 영역입니다. 터널 영역은 또한 터널 인터페이스와 VPN 터널을 결합할 때 유연성을 제공합니다.

메트릭

다음 홉의 액세스 경로에 대한 비용을 지정합니다.

라우팅 인스턴스

필요한 라우팅 인스턴스를 선택합니다.

증명서

VPN 개시자 및 수신자를 인증하기 위한 인증서를 선택합니다.

이는 다음 시나리오 중 하나에 적용할 수 있습니다.

• VPN 프로필은 RSA 프로필 또는 ADVPN 프로필입니다.

• 인증 방법은 RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 또는 ECDSA-Signatures-384입니다.

신뢰할 수 있는 CA/그룹

목록에서 CA 프로필을 선택하여 로컬 인증서와 연결합니다.

이는 다음 시나리오 중 하나에 적용할 수 있습니다.

• VPN 프로필은 RSA 프로필 또는 ADVPN 프로필입니다.

• 인증 방법은 RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 또는 ECDSA-Signatures-384입니다.

컨테이너

허브는 스포크 인증서의 주체 필드가 허브에 구성된 값과 정확히 일치하는 경우 스포크의 IKE ID를 인증합니다.

각 제목 필드에 대해 여러 항목을 지정할 수 있습니다. 필드의 값 순서는 일치해야 합니다.

와일드 카드

허브는 스포크 인증서의 주체 필드가 허브에 구성된 값과 일치하는 경우 스포크의 IKE ID를 인증합니다.

와일드카드 일치는 필드당 하나의 값만 지원합니다. 필드의 순서는 중요하지 않습니다

수출

내보낼 경로 유형을 선택합니다.

• 고정 경로(Static Routes) 확인란을 선택하여 고정 경로를 내보냅니다.

  주니퍼 Security Director Cloud 는 관리자가 터널을 통해 정적 경로를 원격 사이트로 내보낼 수 있도록 하여 정적 경로 네트워크가 VPN에 참여할 수 있도록 함으로써 VPN 주소 관리를 간소화합니다. 그러나 허브 측의 디바이스만 정적 기본 경로를 디바이스 측으로 내보낼 수 있습니다. 스포크 측의 디바이스는 터널을 통해 정적 기본 경로를 내보낼 수 없습니다.

  eBGP 동적 라우팅의 경우 고정 경로 확인란이 기본적으로 선택되어 있습니다.

• RIP 경로(RIP Routes) 확인란을 선택하여 RIP 경로를 내보냅니다.

  라우팅 토폴로지가 OSPF 동적 라우팅인 경우에만 RIP 경로를 내보낼 수 있습니다.

• OSPF 경로를 내보내려면 OSPF 경로(OSPF Routes) 확인란을 선택합니다.

  라우팅 토폴로지가 RIP-동적 라우팅인 경우에만 OSPF 경로를 내보낼 수 있습니다.

OSPF 또는 RIP 내보내기를 선택하면 VPN 네트워크 외부의 OSPF 또는 RIP 경로를 OSPF 또는 RIP 동적 라우팅 프로토콜을 통해 VPN 네트워크로 가져옵니다.

OSPF 영역

이 VPN의 터널 인터페이스를 구성해야 하는 0에서 4,294,967,295 사이의 OSPF 영역 ID를 선택합니다.

OSPF 영역 ID는 라우팅 토폴로지가 OSPF-동적 라우팅인 경우에 적용할 수 있습니다.

보호된 네트워크

네트워크의 한 영역을 다른 영역으로부터 보호하기 위해 선택한 디바이스의 주소 또는 인터페이스 유형을 구성합니다.

동적 라우팅 프로토콜을 선택하면 인터페이스 옵션이 표시됩니다.

새 주소 추가를 클릭하여 주소를 만들 수도 있습니다.

IKE 버전

IPsec에 대한 동적 보안 연결(SA)을 협상하는 데 사용되는 필수 IKE 버전(V1 또는 V2)을 선택합니다.

기본적으로 IKE V2가 사용됩니다.

모드

IKE(Internet Key Exchange) 정책 모드를 선택합니다.

• Main—3개의 피어 투 피어 교환에서 6개의 메시지를 사용하여 IKE(Internet Key Exchange) SA를 설정합니다. 이 세 단계에는 IKE SA 협상, Diffie-Hellman 교환 및 피어 인증이 포함됩니다. 이 모드는 ID 보호도 제공합니다.

• 적극적 - 기본 모드의 메시지 수의 절반을 차지하고, 협상 권한이 적으며, ID 보호를 제공하지 않습니다.

모드는 IKE 버전이 V1인 경우에 적용할 수 있습니다.

암호화 알고리즘

적절한 암호화 메커니즘을 선택합니다.

인증 알고리즘

알고리즘을 선택합니다.

디바이스는 이 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다.

Deffie Hellman 그룹

그룹을 선택합니다.

DH(Diffie-Hellman) 그룹은 키 교환 프로세스에 사용되는 키의 강도를 결정합니다.

라이프타임 초(Lifetime Seconds)

IKE SA(보안 연결)의 수명을 선택합니다.

유효한 범위는 180초에서 86400초 사이입니다.

Dead Peer Detection(데드 피어 탐지)

이 옵션을 활성화하면 두 게이트웨이가 피어 게이트웨이가 작동 중이고 IPsec 설정 중에 협상되는 DPD(Dead Peer Detection) 메시지에 응답하는지 확인할 수 있습니다.

DPD 모드

DPD 모드를 선택합니다.

• 최적화: 디바이스가 피어에 발신 패킷을 전송한 후 구성된 간격 내에 들어오는 IKE 또는 IPsec 트래픽이 없으면 R-U-THERE 메시지가 트리거됩니다. 이것이 기본 모드입니다.

• 프로브 유휴 터널: 구성된 간격 내에 들어오거나 나가는 IKE 또는 IPsec 트래픽이 없는 경우 R-U-THERE 메시지가 트리거됩니다. R-U-THERE 메시지는 트래픽 활동이 있을 때까지 주기적으로 피어에 전송됩니다.

• Always-send: R-U-THERE 메시지는 피어 간의 트래픽 활동에 관계없이 구성된 간격으로 전송됩니다.

DPD 간격

데드 피어 탐지 메시지를 보낼 간격을 초 단위로 선택합니다.

기본 간격은 10초이며 유효한 범위는 2초에서 60초 사이입니다.

DPD 임계값

실패 DPD 임계값을 선택합니다.

피어로부터 응답이 없을 때 DPD 메시지를 보내야 하는 최대 횟수를 지정합니다. 기본 전송 횟수는 5회이며 유효 범위는 1에서 5 사이입니다.

일반 IKE(Internet Key Exchange) ID

피어 IKE(Internet Key Exchange) ID를 수락하려면 이 옵션을 활성화합니다

이 옵션은 기본적으로 비활성화되어 있습니다. 일반 IKE ID가 활성화된 경우 IKE ID 옵션이 자동으로 비활성화됩니다.

IKEv2 Re 인증

재인증 빈도를 선택합니다. 재인증 빈도를 0으로 설정하여 재인증을 비활성화할 수 있습니다.

유효한 범위는 0에서 100 사이입니다.

IKEv2 Re 단편화 지원

IP 수준에서 단편화가 발생하지 않도록 큰 IKEv2 메시지를 작은 메시지 집합으로 분할하려면 이 옵션을 활성화합니다.

IKEv2 재조각 크기

메시지가 조각화되는 패킷의 크기를 선택합니다.

기본적으로 IPv4의 크기는 576바이트이고 유효한 범위는 570에서 1320 사이입니다.

IKE(Internet Key Exchange) ID

다음 옵션 중 하나를 선택합니다.

• 없음

• 고유 이름

• 호스트 이름

• IPv4 주소

• 이메일 주소

IKE ID는 일반 IKE ID가 비활성화된 경우에만 적용할 수 있습니다.

NAT-T

동적 엔드포인트가 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 경우 NAT-T(Network Address Translation-Traversal)를 활성화합니다.

연결 유지

연결을 활성 상태로 유지하려면 기간(초)을 선택합니다.

VPN 피어 간 연결 중에 NAT 변환을 유지하려면 NAT 킵얼라이브가 필요합니다.

유효한 범위는 1초에서 300초 사이입니다.

프로토콜

VPN을 설정하는 데 필요한 프로토콜을 선택합니다.

• ESP—ESP(Encapsulating Security Payload) 프로토콜은 암호화와 인증을 모두 제공합니다.

• AH—인증 헤더(AH) 프로토콜은 데이터 무결성 및 데이터 인증을 제공합니다.

암호화 알고리즘

암호화 방법을 선택합니다.

이는 프로토콜이 ESP인 경우에 적용됩니다.

인증 알고리즘

알고리즘을 선택합니다.

디바이스는 이러한 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다.

PFS(Perfect Forward Secrecy)

디바이스가 암호화 키를 생성하는 데 사용하는 방법으로 PFS(Perfect Forward Secrecy)를 선택합니다.

PFS는 이전 키와 독립적으로 각각의 새 암호화 키를 생성합니다. 그룹 번호가 높을수록 보안이 강화되지만 처리 시간이 더 오래 걸립니다.

터널 설정

IKE(Internet Key Exchange)가 활성화되는 시기를 지정하는 옵션을 선택합니다.

• 즉시—VPN 구성 변경이 커밋된 직후 IKE(Internet Key Exchange)가 활성화됩니다.

• On-traffic—IKE(Internet Key Exchange)는 데이터 트래픽이 흐를 때만 활성화되며 피어 게이트웨이와 협상해야 합니다. 이것이 기본 동작입니다.

VPN 모니터

이 옵션을 활성화하면 ICMP(Internet Control Message Protocol)를 전송하여 VPN이 작동 중인지 확인할 수 있습니다.

최적화

이 옵션을 활성화하면 VPN 모니터링을 최적화하고 발신 트래픽이 있고 VPN 터널을 통해 구성된 피어에서 들어오는 트래픽이 없는 경우에만 핑이라고도 하는 ICMP 에코 요청을 보내도록 SRX 시리즈 방화벽을 구성할 수 있습니다.

VPN 터널을 통해 들어오는 트래픽이 있는 경우 SRX 시리즈 방화벽은 터널을 활성 상태로 간주하고 피어에 ping을 보내지 않습니다.

안티 리플레이

IPsec 패킷에 내장된 일련의 숫자를 사용하는 VPN 공격으로부터 보호하기 위해 IPsec 메커니즘에 대해 이 옵션을 활성화합니다.

IPsec은 이미 동일한 시퀀스 번호가 확인된 패킷을 수락하지 않습니다. 시퀀스 번호를 확인하고 시퀀스 번호를 무시하는 대신 검사를 적용합니다.

IPsec 메커니즘에 오류가 발생하여 패킷의 순서가 잘못되어 제대로 작동하지 못하게 되는 경우 이 옵션을 비활성화합니다.

기본적으로 Anti-Replay 검색은 사용하도록 설정되어 있습니다.

설치 간격

디바이스에 키가 다시 입력된 SA(아웃바운드 보안 연결)를 설치할 수 있는 최대 시간(초)을 선택합니다.

유휴 시간

적절한 유휴 시간 간격을 선택합니다.

세션과 해당 번역은 일반적으로 트래픽이 수신되지 않으면 특정 기간 후에 시간 초과됩니다.

DF 비트

IP 메시지에서 DF(Don't Fragment) 비트를 처리하는 옵션을 선택합니다.

• Clear - IP 메시지에서 DF 비트를 비활성화합니다. 이것이 기본 옵션입니다.

• Copy(복사) - DF 비트를 IP 메시지에 복사합니다.

• Set(설정) - IP 메시지에서 DF 비트를 활성화합니다.

외부 DSCP 복사

외부 IP 헤더 암호화된 패킷에서 암호 해독 경로의 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point) 필드를 복사할 수 있도록 하려면 이 옵션을 활성화합니다.

이 기능을 활성화하면 IPsec 암호 해독 후 일반 텍스트 패킷이 내부 CoS(Class of Service) 규칙을 따를 수 있다는 이점이 있습니다.

라이프타임 초(Lifetime Seconds)

IKE SA(보안 연결)의 수명을 선택합니다.

유효한 범위는 180초에서 86400초 사이입니다.

수명 킬로바이트

IPsec SA(Security Association)의 수명을 킬로바이트 단위로 선택합니다.

유효한 범위는 64킬로바이트에서 4294967294킬로바이트 사이입니다.