Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

외부 사용자 인증(CLI 절차)

개요

이 구성은 도메인 로그인과 동일한 사용자 이름 및 암호를 사용하고 방화벽 관리자와 상호 작용하지 않고도 자격 증명을 변경하거나 복구할 수 있기 때문에 더욱 안전합니다. 또한 암호를 자주 변경해야 하기 때문에 관리자의 워크로드도 줄어듭니다. 사용자 인증을 위해 이 구성을 사용하는 것이 좋습니다.

그림 1에 설명된 대로 인터페이스, 존 및 보안 정책을 포함하여 SRX 시리즈 디바이스의 기본 설정을 완료했다고 가정합니다.

그림 1: 토폴로지 Topology

사전 필수 요건에 대한 자세한 내용은 시스템 요구 사항을 참조하십시오.

SRX 시리즈 디바이스가 기본 시스템 생성 인증서 대신 서명된 인증서 또는 자체 서명 인증서를 사용하는지 확인해야 합니다. Juniper Secure Connect 구성을 시작하기 전에 다음 명령을 실행하여 인증서를 SRX 시리즈 디바이스에 바인딩해야 합니다.

예를 들어:

SRX_Certificate 있는 경우 CA 또는 자체 서명 인증서에서 얻은 인증서입니다.

CLI 빠른 구성

SRX 시리즈 디바이스에서 이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음[ 편집] 계층 수준에서 CLI에 명령을 복사하여 붙여넣습니다.

단계별 절차

명령줄 인터페이스를 사용하여 VPN 설정을 구성하려면 다음을 수행합니다.

  1. CLI(Command Line Interface)를 사용하여 SRX 시리즈 디바이스에 로그인합니다.
  2. 구성 모드를 입력합니다.
  3. 원격 액세스 VPN을 구성합니다.

    주니퍼 시큐어 커넥트(Juniper Secure Connect)를 구축하려면 자체 서명 인증서를 생성하고 인증서를 SRX 시리즈 디바이스에 연계해야 합니다. 자세한 내용은 Preparing Juniper Secure Connect Configuration을 참조하십시오.

    IKE 구성:

    1. IKE 제안을 구성합니다.
      • IKE 제안 인증 방법, Diffie-Hellman 그룹 및 인증 알고리즘을 정의합니다.
      • 사전 공유 키를 인증 방법으로 구성합니다.
      제안서(Security IKE)를 참조하십시오.
    2. IKE 정책을 구성합니다.

      IKE 제안 및 IKE Phase 1 정책 인증 방법을 참조하는 IKE Phase 1 정책 모드를 설정합니다.

      정책(Security IKE)을 참조하십시오.
    3. IKE 게이트웨이 옵션을 구성합니다. 동적을 참조하십시오.

      DPD 값과 버전 정보를 구성하지 않으면 Junos OS가 이러한 옵션에 대한 기본값을 할당합니다. 죽은 피어 감지를 참조하십시오.

      클라이언트가 연결할 수 있도록 외부 인터페이스 IP 주소를 구성합니다. Juniper Secure Connect 애플리케이션에서 게이트웨이 주소 필드에 동일한 IP 주소(예: https://192.0.2.0/)를 입력해야 합니다. 게이트웨이를 참조하십시오.

    IPsec 구성:

    1. IPsec 제안을 구성합니다.
      제안서(Security IPsec)를 참조하십시오.
    2. IPsec 정책을 구성합니다.
      • Diffie-Hellman Group 19를 사용할 IPsec 단계 2 PFS를 지정합니다.
      • IPsec Phase 2 제안 참조를 지정합니다.
      정책(보안 IPsec)을 참조하십시오.

    IPsec VPN 구성:

    1. IPsec VPN 매개변수를 구성합니다. vpn(보안)을 참조하십시오.
    2. VPN 트래픽 셀렉터를 구성합니다. 트래픽 셀렉터를 참조하십시오.
  4. 원격 사용자 클라이언트 옵션을 구성합니다.
    1. 원격 액세스 프로파일을 구성합니다. 원격 액세스를 참조하십시오.
    2. 원격 액세스에 대한 멀티 디바이스 사용자 액세스를 구성합니다.

      멀티데비시 사용자 액세스를 구성하려면 다음 사전 필수 사항을 충족해야 합니다.

      • Secure Connect 클라이언트 버전이 지원됩니다.

      • 각 원격 디바이스(컴퓨터 또는 스마트 디바이스)에는 고유한 호스트네임이 있습니다.

      • 라이선스 소모를 줄이기 위해 명령을 사용하여 set security ipsec vpn vpn-nameike idle-time 유휴 타임아웃 옵션을 구성하여 비활성 연결을 끊을 수 있습니다.

      • 을 통해서만 group-ike-id지원.

      명령을 clear security ike active-peer aaa-username user-name사용하여 사용자의 모든 IKE 연결을 지울 수 있습니다.

      다중 디바이스 사용자 액세스 기능은 radius 속성 Framed-IP-Address를 사용하는 정적 주소 할당과 함께 작동하지 않습니다. 첫 번째 사용자 연결이 성공적으로 설정되고 나머지는 실패할 수 있습니다.

      인증된 프로세스를 사용하는 정적 주소 할당은 사용자의 첫 번째 연결에 대해 구성된 IP 주소를 제공하고 이후 연결에서는 명령을 사용하여 풀에서 무료 IP를 set access address-assignment pool family [inet|inet6] host ip-address user-name 제공합니다.

    3. 원격 액세스 클라이언트 구성을 구성합니다. 클라이언트 구성기본 프로필을 참조하십시오.

    표 1 은 원격 사용자 설정 옵션을 요약하고 있습니다.

    표 1: 원격 사용자 설정 옵션

    원격 사용자 설정

    설명

    연결 모드

    클라이언트 연결을 수동으로 또는 자동으로 설정하려면 적절한 옵션을 구성합니다.

    • 수동 옵션을 구성한 다음 Juniper Secure Connect 애플리케이션에서 연결을 설정하려면 토글 버튼을 클릭하거나 메뉴에서 Connection > Connect를 선택해야 합니다.

    • Always 옵션을 구성하면 주니퍼 시큐어 커넥트(Juniper Secure Connect)가 자동으로 연결을 설정합니다.

    알려진 제한 사항:

    Android 장비: Always를 사용하거나 선택하면 처음 사용된 SRX 장비에서 구성이 다운로드됩니다. 첫 번째 SRX 디바이스 구성이 변경되거나 새 SRX 디바이스에 연결하는 경우 구성이 Juniper Secure Connect 애플리케이션으로 다운로드되지 않습니다.

    즉, 일단 Android 디바이스를 사용하여 Always 모드로 연결하면 SRX 장비의 구성 변경 사항이 주니퍼 시큐어 커넥트(Juniper Secure Connect)에 적용되지 않습니다.

    죽은 피어 감지

    DPD(Dead Peer Detection)는 기본적으로 클라이언트가 SRX 시리즈 디바이스에 연결할 수 있는지, 장비에 연결할 수 없는지 감지할 수 있도록 허용하며, 도달 가능성이 복원될 때까지 연결을 비활성화합니다.

    기본 -프로필

    VPN 연결 프로필을 기본 프로파일로 구성하면 Juniper Secure Connect 애플리케이션에서 게이트웨이 주소만 입력해야 합니다. 애플리케이션이 자동으로 기본 프로필을 영역 이름으로 선택하기 때문에 Juniper Secure Connect 애플리케이션에서 영역 이름을 입력하는 것이 옵션입니다. 이 예에서는 Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 ra.example.com 입력합니다.

  5. 로컬 게이트웨이를 구성합니다.
    1. 클라이언트 동적 IP 할당을 위한 주소 풀을 만듭니다. 주소 할당(액세스)을 참조하십시오.
      • 주소 할당에 사용하는 네트워크 주소를 입력합니다.

      • DNS 서버 주소를 입력합니다. 필요한 경우 WINS 서버 세부 정보를 입력합니다. 클라이언트에 IP 주소를 할당하기 위해 주소 범위를 만듭니다.

      • 이름, 하한 및 하한을 입력합니다.

    2. 액세스 프로파일을 생성합니다.

      외부 사용자 인증을 위해 소스에서 조달할 Radius 통신을 위해 Radius Server IP Address, Radius Secret 및 Source Address를 제공합니다. 인증 순서에 대한 radius를 구성합니다.

    3. SSL 종료 프로파일을 만듭니다. SSL 종료는 SRX 시리즈 장치가 SSL 프록시 서버의 역할을 수행하며 클라이언트에서 SSL 세션을 종료하는 프로세스입니다. SSL 종료 프로파일의 이름을 입력하고 SRX 시리즈 장치의 SSL 종료에 사용할 서버 증명서를 선택합니다. 서버 인증서는 로컬 인증서 식별자입니다. 서버 인증서는 서버 ID를 인증하는 데 사용됩니다.
    4. SSL VPN 프로파일을 생성합니다. tcp 캡슐화(tcp-encap)를 참조하십시오.
    5. 방화벽 정책을 만듭니다.
      트러스트 존에서 VPN 존으로 트래픽을 허용하는 보안 정책을 만듭니다.
      VPN 존에서 트러스트 존으로 트래픽을 허용하는 보안 정책을 만듭니다.
  6. 이더넷 인터페이스 정보를 구성합니다.

    inet으로 설정된 제품군과 st0 인터페이스를 구성합니다.

  7. 보안 존을 구성합니다.
  8. 원격 사용자 및 로컬 게이트웨이를 통한 원격 액세스 구성이 성공적으로 구성되었습니다.
  9. Juniper Secure Connect 애플리케이션을 시작하고 Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에서 외부 IP 주소로 구성한 것과 동일한 IP 주소를 제공합니다.

    이 예에서는 클라이언트가 연결할 외부 인터페이스 IP 주소로 192.0.2.0을 구성했습니다. Juniper Secure Connect 애플리케이션에서 게이트웨이 주소 필드에 동일한 IP 주소(192.0.2.0)를 입력해야 합니다.

결과

운영 모드에서 , show accessshow services 명령을 입력show security하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

이미 SSL 종료 프로파일과 연결할 서버 증명서가 있는지 확인합니다.

디바이스에서 기능 구성을 마치면 구성 모드에서 커밋을 입력합니다.