허브 앤 스포크(Establishment by Spokes) VPN 생성
Auto-VPN을 사용하면 현재 및 향후 스포크용 허브를 구성할 수 있습니다. 스포크 디바이스를 추가하거나 삭제할 때 허브에서 구성을 변경할 필요가 없으므로 관리자가 대규모 네트워크 구축을 유연하게 관리할 수 있습니다.
시작하기 전에
IPsec VPN 개요 주제를 읽어보십시오.
현재 데이터 세트에 대한 이해를 위해 IPSec VPN 기본 페이지를 검토하십시오. 필드 설명은 IPsec VPN 메인 페이지 필드를 참조하십시오.
주소 및 주소 집합을 만듭니다. 주소 또는 주소 그룹 만들기를 참조하십시오.
VPN 프로필을 만듭니다. VPN 프로파일 생성의 내용을 참조하십시오.
설정 |
지침 |
---|---|
이름 |
공백 없이 최대 63자의 영숫자로 구성된 고유한 문자열을 입력합니다. 문자열에는 콜론, 마침표, 대시 및 밑줄이 포함될 수 있습니다. |
묘사 |
VPN에 대해 최대 255자를 포함하는 설명을 입력합니다. |
라우팅 토폴로지 |
OSPF-동적 라우팅을 선택하여 OSPF 구성을 생성합니다. |
VPN 프로필 |
배포 시나리오에 따라 드롭다운 목록에서 VPN 프로필을 선택합니다.
|
인증 방법 |
디바이스가 IKE 메시지 소스를 인증하는 데 사용하는 인증 방법을 목록에서 선택합니다.
|
최대 전송 단위 |
바이트 단위의 최대 전송 단위(MTU)를 선택합니다. MTU는 IPsec 오버헤드를 포함하여 IP 패킷의 최대 크기를 정의합니다. 터널 엔드포인트의 MTU 값을 지정할 수 있습니다. 유효한 범위는 68바이트에서 9192바이트까지이며 기본값은 1500바이트입니다. |
네트워크 IP |
번호가 매겨진 터널 인터페이스의 IP 주소를 입력합니다. 터널 인터페이스에 대해 IP 주소가 자동으로 할당되는 서브넷 주소입니다. |
장치 |
VPN에서 디바이스를 엔드포인트로 추가합니다.
메모:
멀티노드 고가용성(MNHA) 쌍을 추가할 수 없습니다. 그러나 MNHA 쌍에 디바이스 중 하나 또는 둘 다를 추가할 수 있습니다. 경로 기반 VPN에서 디바이스를 추가하려면 다음을 수행합니다.
|
설정 |
지침 |
---|---|
장치 |
장치를 선택합니다. |
외부 인터페이스 |
IKE 보안 연결(SA)에 대한 발신 인터페이스를 선택합니다. \ 이 인터페이스는 방화벽 보안을 제공하는 캐리어 역할을 하는 영역과 연결됩니다. |
터널 구역 |
터널 영역을 선택합니다. 터널 영역은 캡슐화 전 및 후에 캡슐화된 IPsec 트래픽에 대한 NAT 애플리케이션의 동적 IP(DIP) 주소 풀을 지원할 수 있는 주소 공간의 논리적 영역입니다. 터널 영역은 또한 터널 인터페이스와 VPN 터널을 결합할 때 유연성을 제공합니다. |
메트릭 |
다음 홉의 액세스 경로에 대한 비용을 지정합니다. |
라우팅 인스턴스 |
필요한 라우팅 인스턴스를 선택합니다. |
증명서 |
VPN(가상 사설망) 초기자 및 받는 사람을 인증할 인증서를 선택합니다. 이는 다음 시나리오 중 하나에 적용할 수 있습니다.
|
신뢰할 수 있는 CA/그룹 |
목록에서 CA 프로필을 선택하여 로컬 인증서와 연결합니다. 이는 다음 시나리오 중 하나에 적용할 수 있습니다.
|
수출 |
내보낼 경로 유형을 선택합니다.
OSPF 또는 RIP 내보내기를 선택하면 VPN 네트워크 외부의 OSPF 또는 RIP 경로를 OSPF 또는 RIP 동적 라우팅 프로토콜을 통해 VPN 네트워크로 가져옵니다. |
OSPF 영역 |
이 VPN의 터널 인터페이스를 구성해야 하는 0에서 4,294,967,295 사이의 OSPF 영역 ID를 선택합니다. OSPF 영역 ID는 라우팅 토폴로지가 OSPF-동적 라우팅인 경우에 적용할 수 있습니다. |
보호된 네트워크 |
네트워크의 한 영역을 다른 영역으로부터 보호하기 위해 선택한 디바이스의 주소 또는 인터페이스 유형을 구성합니다. 동적 라우팅 프로토콜을 선택하면 인터페이스 옵션이 표시됩니다. 새 주소 추가를 클릭하여 주소를 만들 수도 있습니다. |
설정 |
지침 |
---|---|
IKE(Internet Key Exchange) 설정 | |
IKE 버전 |
IPsec에 대한 동적 보안 연결(SA)을 협상하는 데 사용되는 필수 IKE 버전(V1 또는 V2)을 선택합니다. 기본적으로 IKE V2가 사용됩니다. |
모드 |
IKE(Internet Key Exchange) 정책 모드를 선택합니다.
모드는 IKE 버전이 V1인 경우에 적용할 수 있습니다. |
암호화 알고리즘 |
적절한 암호화 메커니즘을 선택합니다. |
인증 알고리즘 |
알고리즘을 선택합니다. 디바이스는 이 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다. |
Deffie Hellman 그룹 |
그룹을 선택합니다. DH(Diffie-Hellman) 그룹은 키 교환 프로세스에 사용되는 키의 강도를 결정합니다. |
라이프타임 초(Lifetime Seconds) |
IKE SA(보안 연결)의 수명을 선택합니다. 유효한 범위는 180초에서 86400초 사이입니다. |
Dead Peer Detection(데드 피어 탐지) |
이 옵션을 활성화하면 두 게이트웨이가 피어 게이트웨이가 작동 중이고 IPsec 설정 중에 협상되는 DPD(Dead Peer Detection) 메시지에 응답하는지 확인할 수 있습니다. |
DPD 모드 |
DPD 모드를 선택합니다.
|
DPD 간격 |
데드 피어 탐지 메시지를 보낼 간격을 초 단위로 선택합니다. 기본 간격은 10초이며 유효한 범위는 2초에서 60초 사이입니다. |
DPD 임계값 |
실패 DPD 임계값을 선택합니다. 피어로부터 응답이 없을 때 DPD 메시지를 보내야 하는 최대 횟수를 지정합니다. 기본 전송 횟수는 5회이며 유효 범위는 1에서 5 사이입니다. |
고급 설정 | |
일반 IKE(Internet Key Exchange) ID |
피어 IKE(Internet Key Exchange) ID를 수락하려면 이 옵션을 활성화합니다 이 옵션은 기본적으로 비활성화되어 있습니다. 일반 IKE ID가 활성화된 경우 IKE ID 옵션이 자동으로 비활성화됩니다. |
IKEv2 Re 인증 |
재인증 빈도를 선택합니다. 재인증 빈도를 0으로 설정하여 재인증을 비활성화할 수 있습니다. 유효한 범위는 0에서 100 사이입니다. |
IKEv2 Re 단편화 지원 |
IP 수준에서 단편화가 발생하지 않도록 큰 IKEv2 메시지를 작은 메시지 집합으로 분할하려면 이 옵션을 활성화합니다. |
IKEv2 재조각 크기 |
메시지가 조각화되는 패킷의 크기를 선택합니다. 기본적으로 IPv4의 크기는 576바이트이고 유효한 범위는 570에서 1320 사이입니다. |
IKE(Internet Key Exchange) ID |
다음 옵션 중 하나를 선택합니다.
IKE ID는 일반 IKE ID가 비활성화된 경우에만 적용할 수 있습니다. |
NAT-T |
동적 엔드포인트가 네트워크 주소 변환(NAT) 디바이스 뒤에 있는 경우 NAT-T(Network Address Translation-Traversal)를 활성화합니다. |
연결 유지 |
연결을 활성 상태로 유지하려면 기간(초)을 선택합니다. VPN 피어 간 연결 중에 NAT 변환을 유지하려면 NAT 킵얼라이브가 필요합니다. 유효한 범위는 1초에서 300초 사이입니다. |
IPsec 설정 | |
프로토콜 |
VPN을 설정하는 데 필요한 프로토콜을 선택합니다.
|
암호화 알고리즘 |
암호화 방법을 선택합니다. 이는 프로토콜이 ESP인 경우에 적용됩니다. |
인증 알고리즘 |
알고리즘을 선택합니다. 디바이스는 이러한 알고리즘을 사용하여 패킷의 신뢰성과 무결성을 확인합니다. |
PFS(Perfect Forward Secrecy) |
디바이스가 암호화 키를 생성하는 데 사용하는 방법으로 PFS(Perfect Forward Secrecy)를 선택합니다. PFS는 이전 키와 독립적으로 각각의 새 암호화 키를 생성합니다. 그룹 번호가 높을수록 보안이 강화되지만 처리 시간이 더 오래 걸립니다. |
터널 설정 |
IKE(Internet Key Exchange)가 활성화되는 시기를 지정하는 옵션을 선택합니다.
|
고급 설정 | |
VPN 모니터 |
이 옵션을 활성화하면 ICMP(Internet Control Message Protocol)를 전송하여 VPN이 작동 중인지 확인할 수 있습니다. |
최적화 |
이 옵션을 활성화하면 VPN 모니터링을 최적화하고 발신 트래픽이 있고 VPN 터널을 통해 구성된 피어에서 들어오는 트래픽이 없는 경우에만 핑이라고도 하는 ICMP 에코 요청을 보내도록 SRX 시리즈 방화벽을 구성할 수 있습니다. VPN 터널을 통해 들어오는 트래픽이 있는 경우 SRX 시리즈 방화벽은 터널을 활성 상태로 간주하고 피어에 ping을 보내지 않습니다. |
안티 리플레이 |
IPsec 패킷에 내장된 일련의 숫자를 사용하는 VPN 공격으로부터 보호하기 위해 IPsec 메커니즘에 대해 이 옵션을 활성화합니다. IPsec은 이미 동일한 시퀀스 번호가 확인된 패킷을 수락하지 않습니다. 시퀀스 번호를 확인하고 시퀀스 번호를 무시하는 대신 검사를 적용합니다. IPsec 메커니즘에 오류가 발생하여 패킷의 순서가 잘못되어 제대로 작동하지 못하게 되는 경우 이 옵션을 비활성화합니다. 기본적으로 Anti-Replay 검색은 사용하도록 설정되어 있습니다. |
설치 간격 |
디바이스에 키가 다시 입력된 SA(아웃바운드 보안 연결)를 설치할 수 있는 최대 시간(초)을 선택합니다. |
유휴 시간 |
적절한 유휴 시간 간격을 선택합니다. 세션과 해당 번역은 일반적으로 트래픽이 수신되지 않으면 특정 기간 후에 시간 초과됩니다. |
DF 비트 |
IP 메시지에서 DF(Don't Fragment) 비트를 처리하는 옵션을 선택합니다.
|
외부 DSCP 복사 |
외부 IP 헤더 암호화된 패킷에서 암호 해독 경로의 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point) 필드를 복사할 수 있도록 하려면 이 옵션을 활성화합니다. 이 기능을 활성화하면 IPsec 암호 해독 후 일반 텍스트 패킷이 내부 CoS(Class of Service) 규칙을 따를 수 있다는 이점이 있습니다. |
라이프타임 초(Lifetime Seconds) |
IKE SA(보안 연결)의 수명을 선택합니다. 유효한 범위는 180초에서 86400초 사이입니다. |
수명 킬로바이트 |
IPsec SA(Security Association)의 수명을 킬로바이트 단위로 선택합니다. 유효한 범위는 64킬로바이트에서 4294967294킬로바이트 사이입니다. |