예: Microsoft Azure의 vSRX 가상 방화벽 및 가상 네트워크 게이트웨이 사이에 IPsec VPN 구성
이 예는 Microsoft Azure의 vSRX 가상 방화벽 인스턴스와 가상 네트워크 게이트웨이 간에 IPsec VPN을 구성하는 방법을 보여줍니다.
시작하기 전에
Microsoft Azure 가상 네트워크에 vSRX 가상 방화벽 인스턴스를 설치하고 시작했는지 확인합니다.
추가 정보는 SRX 사이트 간 VPN 구성 생성기 및 중단되거나 활성화되지 않은 VPN 터널의 문제를 해결하는 방법을 참조하십시오.
개요
IPsec VPN을 사용하여 Microsoft Azure에서 두 VNET 간의 트래픽을 보호할 수 있습니다. 한 개의 vSRX 가상 방화벽 하나의 VNet을 보호하고 다른 VNet을 보호하는 Azure 가상 네트워크 게이트웨이 사용할 수 있습니다.
vSRX 가상 방화벽 IPSec VPN 구성
절차
단계별 절차
vSRX 가상 방화벽 IPsec VPN 구성 방법:
구성 편집 모드의 vSRX 가상 방화벽 로그인합니다( CLI를 사용하여 vSRX 구성하기를 참조).
vSRX 가상 방화벽 인터페이스에 대한 IP 주소를 설정합니다.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
신뢰할 수 없는 보안 영역을 설정합니다.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
트러스트 보안 영역을 설정합니다.
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
IKE(Internet Internet)를 구성합니다.
set security ike proposal ike-phase1-proposalA authentication-method pre-shared-keys set security ike proposal ike-phase1-proposalA dh-group group2 set security ike proposal ike-phase1-proposalA authentication-algorithm sha-256 set security ike proposal ike-phase1-proposalA encryption-algorithm aes-256-cbc set security ike policy ike-phase1-policyA mode main set security ike policy ike-phase1-policyA proposals ike-phase1-proposalA set security ike policy ike-phase1-policyA pre-shared-key ascii-text <preshared-key> set security ike gateway gw-siteB ike-policy ike-phase1-policyA set security ike gateway gw-siteB address 52.175.210.65 set security ike gateway gw-siteB version v2-only set security ike gateway gw-siteB external-interface ge-0/0/0.0
참고:이 예에서 올바른 공용 IP 주소로 대체
52.175.210.65해야 합니다.IPsec을 구성합니다.
다음 예는 CBC 암호화 알고리즘을 사용하는 vSRX 가상 방화벽 IPsec 구성을 보여줍니다.
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
필요한 경우 CBC 대신 vSRX 가상 방화벽 IPsec 구성에서 AES-GCM을 암호화 알고리즘으로 사용할 수 있습니다.
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-gcm set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
라우팅을 구성합니다.
set routing-instances siteA-vr1 instance-type virtual-router set routing-instances siteA-vr1 interface ge-0/0/0.0 set routing-instances siteA-vr1 interface ge-0/0/1.0 set routing-instances siteA-vr1 interface st0.1 set routing-instances siteA-vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances siteA-vr1 routing-options static route 10.20.20.0/24 next-hop st0.1 commit
Microsoft Azure 가상 네트워크 게이트웨이 구성
절차
단계별 절차
Microsoft Azure 가상 네트워크 게이트웨이 구성하려면 다음 Microsoft Azure 절차를 참조하십시오.
S2S VPN 또는 VNet-to-VNet 연결에 대한 IPsec/IKE 정책 구성
Microsoft Azure 가상 네트워크 게이트웨이 IPSec IKE 매개 변수가 사이트 대 사이트 VPN 연결이 형성된 경우 vSRX 가상 방화벽 IPSec IKE 매개 변수와 일치하도록 합니다.
활성 VPN 터널을 확인합니다.
터널이 vSRX 가상 방화벽 인스턴스와 Azure 가상 네트워크 게이트웨이 사이에 있는지 확인합니다.
root@> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 8290401 UP b1adf15fc3dfe0b0 89cc2a12cb7e3cd7 IKEv2 52.175.210.65
root@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-gcm-256/None c0e154e2 5567/ 102399997 - root 4500 52.175.210.65 >131073 ESP:aes-gcm-256/None 383bd606 5567/ 102399997 - root 4500 52.175.210.65