Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

허브 앤 스포크 자동 검색 VPN 생성

자동 검색 VPN(ADVPN)은 허브를 통한 라우팅 트래픽을 피하기 위해 스포크 간에 VPN 터널을 동적으로 설정합니다.

시작하기 전에

  1. SRX > IPsec VPN > IPSec VPN을 선택합니다.

    IPsec VPN 페이지가 열립니다.

  2. 경로 기반 > 만들기 - 허브 앤 스포크(ADVPN - 자동 검색 VPN)를 클릭합니다.

    허브 앤 스포크 생성(ADVPN - 자동 검색 VPN) 페이지가 열립니다.

  3. 표 1에 제공된 지침에 따라 VPN 구성 매개 변수를 완료합니다.
    참고:

    IKE/IPsec 설정 보기를 클릭하여 VPN 프로파일을 보거나 편집합니다. VPN 프로필이 기본값인 경우 구성을 편집할 수 있습니다. 프로필이 공유되면 구성만 볼 수 있습니다.

    VPN 연결은 토폴로지에서 회색에서 파란색 선으로 변경되어 구성이 완료되어 있음을 보여줍니다. 허브 앤 스포크용으로 표시되는 토폴로지는 단지 표현일 뿐입니다. 여러 허브 및 스포크도 구성할 수 있습니다.

  4. 저장을 클릭하여 IPSec VPN 구성을 저장합니다.
표 1: 허브 앤 스포크 생성(ADVPN - 자동 검색 VPN) 페이지 설정

설정

가이드

이름

공백이 없으면 최대 63자 영숫자의 고유한 문자열을 입력합니다.

문자열은 콜론, 기간, 대시 및 밑줄을 포함할 수 있습니다.

설명

VPN에 대한 최대 255자를 포함하는 설명을 입력합니다.

라우팅 토폴로지

OSPF-동적 라우팅을 선택하여 OSPF 구성을 생성합니다.

VPN 프로필

구축 시나리오를 기반으로 드롭다운 목록에서 VPN 프로필을 선택합니다.

  • 인라인 프로필은 특정 IPsec VPN에만 적용됩니다. VPN 생성 페이지에서 IKE/IPsec 설정 보기를 클릭하여 세부 정보를 보고 편집할 수 있습니다.

  • 공유 프로필은 하나 이상의 IPSec VPN에서 사용할 수 있습니다. IKE/IPsec 설정 보기를 클릭하여 공유 프로파일의 세부 정보만 볼 수 있습니다.

인증 방법

디바이스가 IKE 메시지 소스를 인증하는 데 사용하는 목록에서 인증 방법을 선택합니다.

  • RSA-Signatures - 암호화 및 디지털 서명을 지원하는 공개 키 알고리즘이 사용되는 것을 지정합니다.

  • DSA-Signatures - 디지털 서명 알고리즘(DSA)이 사용되는 것을 지정합니다.

  • ECDSA-Signatures-256 — 연방 정보 처리 표준(FIPS) 디지털 서명 표준(DSS) 186-3에 명시된 대로 256비트 타원곡선 secp256r1을 사용하는 ECDSA(Elliptic Curve DSA)가 사용되는 것을 지정합니다.

  • ECDSA-Signatures-384 - FIPS DSS 186-3에 명시된 대로 384비트 타원 곡선 secp384r1을 사용하는 ECDSA가 사용되는 것을 지정합니다.

최대 전송 단위

바이트 단위의 최대 전송 단위(MTU)를 선택합니다.

MTU는 IPSec 오버헤드를 포함하여 IP 패킷의 최대 크기를 정의합니다. 터널 엔드포인트에 대한 MTU 값을 지정할 수 있습니다. 유효한 범위는 68~9192바이트이고, 기본값은 1500바이트입니다.

사전 공유 키

사전 공유 키를 사용하여 VPN 연결을 설정합니다. 이는 본질적으로 양 당사자에게 동일한 암호입니다.

사용할 사전 공유 키 유형을 선택합니다.

  • 자동 생성 - 터널당 고유한 키를 자동으로 생성하려면 을(를) 선택합니다. 이 옵션을 선택하면 터널당 고유 키 생성 옵션이 자동으로 활성화됩니다. 터널당 고유 키 생성 옵션을 비활성화하면 Security Director 모든 터널에 대해 단일 키를 생성합니다.

  • 수동 - 키를 수동으로 입력하려면 을(를) 선택합니다. 기본적으로 수동 키는 마스킹됩니다.

사전 공유 키는 인증 방법이 사전 공유 기반인 경우에만 적용됩니다.

네트워크 IP

번호가 지정된 터널 인터페이스의 IP 주소를 입력합니다.

이것은 IP 주소가 터널 인터페이스에 자동으로 할당되는 서브넷 주소입니다.

터널 인터페이스당 스포크 디바이스 수

모두 를 선택하거나 허브에서 하나의 터널 인터페이스를 공유할 스포크 디바이스의 수를 지정합니다.

장치

VPN에서 디바이스를 엔드포인트로 추가합니다. 최대 2개의 디바이스를 추가할 수 있습니다.

경로 기반 VPN에 디바이스 추가:

  1. 추가를 클릭하고 다음 중 하나를 클릭합니다. 허브 디바이스, 스포크 디바이스 또는 엑스트라넷 스포크 디바이스.

    디바이스 추가 페이지가 열립니다.

  2. 표 2에 설명된 대로 디바이스 매개 변수를 구성합니다.
  3. [확인]을 클릭합니다.
표 2: 디바이스 페이지 설정 추가

설정

가이드

장치

디바이스를 선택합니다.

외부 인터페이스

IKE 보안 연결(SA)에 대한 발신 인터페이스를 선택합니다.

이 인터페이스는 서비스 프로바이더 역할을 하는 영역과 연결되어 방화벽 보안을 제공합니다.

터널 영역

터널 영역을 선택합니다.

터널 영역은 NAT 애플리케이션이 사전 및 사후 캡슐화 IPsec 트래픽에 대한 동적 IP(DIP) 주소 풀을 지원할 수 있는 주소 공간의 논리적 영역입니다. 터널 영역은 또한 터널 인터페이스와 VPN 터널을 결합할 때 유연성을 제공합니다.

메트릭

다음 홉에 대한 액세스 경로 비용을 지정합니다.

라우팅 인스턴스

필요한 라우팅 인스턴스를 선택합니다.

인증서

VPN 개시자 및 수신자를 인증할 인증서를 선택합니다.

이는 다음 시나리오 중 하나에 적용됩니다.

  • VPN 프로필은 RSA 프로필 또는 ADVPN 프로필입니다.

  • 인증 방법은 RSA 서명, DSA 서명, ECDSA-Signatures-256 또는 ECDSA-Signatures-384입니다.

신뢰할 수 있는 CA/그룹

목록에서 CA 프로필을 선택하여 로컬 인증서와 연결합니다.

이는 다음 시나리오 중 하나에 적용됩니다.

  • VPN 프로필은 RSA 프로필 또는 ADVPN 프로필입니다.

  • 인증 방법은 RSA 서명, DSA 서명, ECDSA-Signatures-256 또는 ECDSA-Signatures-384입니다.

컨테이너

스포크 인증서의 제목 필드가 허브에 구성된 값과 정확히 일치하면 허브는 스포크의 IKE ID를 인증합니다.

각 제목 필드에 대해 여러 항목을 지정할 수 있습니다. 필드의 값 순서는 일치해야 합니다.

와일드 카드

스포크 인증서의 제목 필드가 허브에 구성된 값과 일치하면 허브는 스포크의 IKE ID를 인증합니다.

와일드카드 일치는 필드당 하나의 값만 지원합니다. 필드 순서는 중요하지 않습니다.

내보내기

내보낼 경로 유형을 선택합니다.

  • 정적 경로 확인란을 선택하여 정적 경로를 내보냅니다.

    Juniper Security Director 클라우드는 관리자가 터널을 통해 원격 사이트로 정적 경로를 내보낼 수 있도록 함으로써 VPN 주소 관리를 단순화합니다. 이를 통해 정적 경로 네트워크가 VPN에 참여할 수 있습니다. 그러나 허브 측의 디바이스만 정적 기본 경로를 디바이스 측으로 내보낼 수 있습니다. 스포크 측의 디바이스는 터널을 통해 정적 기본 경로를 내보낼 수 없습니다.

    eBGP 동적 라우팅의 경우, 정적 경로 확인란이 기본적으로 선택됩니다.

  • RIP 경로를 내보내려면 RIP 경로 확인란을 선택합니다.

    라우팅 토폴로지가 OSPF 동적 라우팅일 때만 RIP 경로를 내보낼 수 있습니다.

  • OSPF 경로를 내보내려면 OSPF 경로 확인란을 선택합니다.

    라우팅 토폴로지가 RIP-Dynamic 라우팅일 때만 OSPF 경로를 내보낼 수 있습니다.

OSPF 또는 RIP 내보내기를 선택하는 경우, VPN 네트워크 외부의 OSPF 또는 RIP 경로는 OSPF 또는 RIP 동적 라우팅 프로토콜을 통해 VPN 네트워크로 가져옵니다.

OSPF 영역

이 VPN의 터널 인터페이스를 구성해야 하는 0~4,294,967,295 범위 내에서 OSPF 영역 ID를 선택합니다.

OSPF 영역 ID는 라우팅 토폴로지가 OSPF-Dynamic 라우팅일 때 적용됩니다.

보호 네트워크

선택한 디바이스의 주소 또는 인터페이스 유형을 구성하여 네트워크의 한 영역을 다른 영역으로부터 보호합니다.

동적 라우팅 프로토콜이 선택되면 인터페이스 옵션이 표시됩니다.

또한 새 주소 추가를 클릭하여 주소를 만들 수도 있습니다.

표 3: IKE/IPsec 설정 보기

설정

가이드

IKE 설정

IKE 버전

IPsec에 대한 동적 보안 연결(SA)을 협상하는 데 사용되는 필요한 IKE 버전(V1 또는 V2)을 선택합니다.

기본적으로 IKE(Internet Internet) V2가 사용됩니다.

모드

IKE(Internet Internet) 정책 모드를 선택합니다.

  • 메인 - IKE SA를 구축하기 위해 3개의 피어 투 피어 교환에서 6개의 메시지를 사용합니다. 이 세 단계는 IKE(Internet Key Exchange) SA 협상, Diffie-Hellman 교환 및 피어의 인증을 포함합니다. 이 모드는 ID 보호도 제공합니다.

  • 공격적-메인 모드의 메시지 수의 절반을 차지하고, 협상력이 적으며, ID 보호를 제공하지 않습니다.

모드는 IKE 버전이 V1일 때 적용됩니다.

암호화 알고리즘

적절한 암호화 메커니즘을 선택합니다.

인증 알고리즘

알고리즘을 선택합니다.

디바이스는 이 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다.

Deffie Hellman 그룹

그룹을 선택합니다.

DH(Diffie-Hellman) 그룹은 키 교환 프로세스에서 사용되는 키의 강도를 결정합니다.

수명 초

IKE 보안 연결(SA)의 수명을 선택합니다.

유효한 범위는 180 ~ 86400초입니다.

피어 디도스(Dead Peer Detection)

이 옵션을 활성화하면 두 게이트웨이가 IPsec 설정 중에 협상되는 피어 게이트웨이가 작동 중이고 DPD(Dead Peer Detection) 메시지에 응답하는지 확인할 수 있습니다.

DPD 모드

DPD 모드를 선택합니다.

  • 최적화: 디바이스가 피어에 발신 패킷을 전송한 후 구성된 간격 내에 들어오는 IKE 또는 IPsec 트래픽이 없는 경우 R-U-THERE 메시지가 트리거됩니다. 이것은 기본 모드입니다.

  • 프로브 유휴 터널: 구성된 간격 내에 들어오거나 나가는 IKE 또는 IPsec 트래픽이 없는 경우 R-U-THERE 메시지가 트리거됩니다. R-U-THERE 메시지는 트래픽 활동이 있을 때까지 피어에 주기적으로 전송됩니다.

  • 상시 전송: R-U-THERE 메시지는 피어 간의 트래픽 활동과 관계없이 구성된 간격으로 전송됩니다.

DPD 간격

초 단위의 간격을 선택하여 죽은 피어 탐지 메시지를 보냅니다.

기본 간격은 10초이며 유효한 범위는 2~60초입니다.

DPD 임계값

실패 DPD 임계값을 선택합니다.

이는 피어의 응답이 없을 때 DPD 메시지가 전송되어야 하는 최대 횟수를 지정합니다. 기본 전송 수는 유효한 범위가 1~5인 5회입니다.

사전 설정

일반 IKE ID

피어 IKE ID를 수락하도록 이 옵션을 활성화합니다.

이 옵션은 기본적으로 비활성화되어 있습니다. 일반 IKE ID가 활성화되면 IKE ID 옵션은 자동으로 비활성화됩니다.

IKEv2 재 인증

재인증 빈도를 선택합니다. 재인증 빈도를 0으로 설정하여 재인증을 비활성화할 수 있습니다.

유효한 범위는 0~100입니다.

IKEv2 재편성 지원

IP 수준에서 단편화가 없도록 큰 IKEv2 메시지를 일련의 작은 메시지로 분할하도록 이 옵션을 활성화합니다.

IKEv2 재편성 크기

메시지가 단편화된 패킷 크기를 선택합니다.

기본적으로 크기는 IPv4의 경우 576바이트이며 유효한 범위는 570~1320입니다.

IKE ID

다음 옵션 중 하나를 선택합니다.

  • 없음

  • 고유 이름

  • 호스트

  • IPv4 주소

  • 이메일 주소

IKE ID는 일반 IKE ID가 비활성화된 경우에만 적용됩니다.

NAT-T

동적 엔드포인트가 NAT 디바이스 뒤에 있는 경우 NAT-T(네트워크 주소 변환-Traversal)를 활성화합니다.

살아남기

초 단위로 기간을 선택하여 연결을 살아있게 유지합니다.

VPN 피어 간의 연결 중에 NAT 변환을 유지하려면 NAT Keepalives가 필요합니다.

유효한 범위는 1~300초입니다.

IPsec 설정

프로토콜

VPN을 설정하는 데 필요한 프로토콜을 선택합니다.

  • ESP- 캡슐화 보안 페이로드(ESP) 프로토콜은 암호화와 인증을 모두 제공합니다.

  • AH - 인증 헤더(AH) 프로토콜은 데이터 무결성 및 데이터 인증을 제공합니다.

암호화 알고리즘

암호화 방법을 선택합니다.

이는 프로토콜이 ESP인 경우 적용됩니다.

인증 알고리즘

알고리즘을 선택합니다.

디바이스는 이러한 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다.

PFS(Perfect Forward Secrecy)

디바이스가 암호화 키를 생성하는 데 사용하는 방법으로 PFS(Perfect Forward Secrecy)를 선택합니다.

PFS는 이전 키와 독립적으로 각 새 암호화 키를 생성합니다. 숫자가 높은 그룹은 더 많은 보안을 제공하지만 처리 시간이 더 필요합니다.

터널 설정

IKE(Internet Internet) 활성화 시기를 지정하는 옵션을 선택합니다.

  • 즉시 - VPN 구성 변경이 커밋된 직후 IKE가 활성화됩니다.

  • 트래픽 온- IKE는 데이터 트래픽이 흐를 때만 활성화되며 피어 게이트웨이와 협상해야 합니다. 이것은 기본 동작입니다.

사전 설정

VPN 모니터

이 옵션을 사용하여 ICMP(Internet Control Message Protocol)를 전송하여 VPN이 작동 중인지 확인합니다.

최적화

VPN 모니터링을 최적화하고 SRX 시리즈 방화벽이 핑이라고도 하는 ICMP 에코 요청을 전송하도록 구성하려면 이 옵션을 활성화합니다. 이는 VPN 터널을 통해 구성된 피어에서 나가는 트래픽이 없고 나가는 트래픽이 없는 경우에만 가능합니다.

VPN 터널을 통해 들어오는 트래픽이 있는 경우, SRX 시리즈 방화벽은 터널을 활성으로 간주하고 피어에 핑을 전송하지 않습니다.

리플레이 차단

IPsec 메커니즘에 대해 이 옵션을 활성화하여 IPsec 패킷에 내장된 숫자의 시퀀스를 사용하는 VPN 공격으로부터 보호합니다.

IPsec은 이미 동일한 시퀀스 번호를 본 패킷을 허용하지 않습니다. 시퀀스 번호를 확인하고 시퀀스 번호를 무시하는 대신 검사를 시행합니다.

순서를 벗어난 패킷을 초래하는 IPsec 메커니즘에 오류가 있으면 이 옵션을 비활성화하여 적절한 기능을 방지합니다.

기본적으로 안티리게이션 탐지가 활성화되어 있습니다.

설치 간격

디바이스에 다시 키링된 아웃바운드 보안 연결(SA)의 설치를 허용하는 최대 시간(초)을 선택합니다.

유휴 시간

적절한 유휴 시간 간격을 선택합니다.

트래픽이 수신되지 않은 경우 세션과 해당 변환은 일반적으로 특정 기간 이후에 시간 초과됩니다.

DF 비트

IP 메시지에서 DF(Don't Fragment) 비트를 처리할 옵션을 선택합니다.

  • 지우기 - IP 메시지에서 DF 비트를 비활성화합니다. 이것은 기본 옵션입니다.

  • 복사 - IP 메시지에 DF 비트를 복사합니다.

  • 설정 - IP 메시지에서 DF 비트를 활성화합니다.

외부 DSCP 복사

이 옵션을 활성화하여 외부 IP 헤더 암호화 패킷에서 복호화 경로의 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point) 필드를 복사할 수 있습니다.

이 기능을 활성화할 때의 이점은 IPsec 암호 해독 후 명확한 텍스트 패킷이 내부 CoS(class of service) 규칙을 따를 수 있다는 것입니다.

수명 초

IKE 보안 연결(SA)의 수명을 선택합니다.

유효한 범위는 180 ~ 86400초입니다.

수명 킬로바이트

IPsec 보안 연결(SA)의 킬로바이트 단위의 수명을 선택합니다.

유효한 범위는 64킬로바이트에서 4294967294 킬로바이트입니다.