- play_arrow 포트 보안
- play_arrow 포트 보안 개요
-
- play_arrow 디지털 인증서
- play_arrow 디지털 인증서 구성
- play_arrow SSH 및 SSL 라우터 액세스 구성
-
- play_arrow Trusted Platform Module
- play_arrow MACsec
- play_arrow MAC 제한 및 이동 제한
- play_arrow DHCP 보호
- play_arrow DHCPv4 및 DHCPv6
- play_arrow DHCP 스누핑
- play_arrow DHCP 옵션 82
- play_arrow DAI(Dynamic ARP Inspection)
-
- play_arrow IP Source Guard
- play_arrow IP Source Guard 이해
- play_arrow IP Source Guard의 예
- 예: 음성 VLAN과 인터페이스를 공유하는 데이터 VLAN에서 IP Source Guard 구성
- 예: 신뢰할 수 없는 액세스 인터페이스에 대한 주소 스푸핑 공격을 완화하기 위해 다른 EX 시리즈 스위치 기능과 함께 IP Source Guard 구성
- 예: IP 스푸핑 및 ARP 스푸핑으로부터 스위치를 보호하기 위한 IP 소스 가드 및 동적 ARP 검사 구성
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
- 소스 IP 주소 스푸핑 및 소스 MAC 주소 스푸핑의 영향을 완화하기 위한 IP Source Guard 구성
- 예: 지정된 브리지 도메인에서 IP 소스 가드 및 동적 ARP 검사를 구성하여 공격으로부터 디바이스 보호
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
-
- play_arrow IPv6 액세스 보안
- play_arrow Neighbor Discovery 프로토콜
- play_arrow SLAAC 스누핑
- play_arrow 라우터 광고 가드
-
- play_arrow 컨트롤 플레인 디도스(DDoS) 공격 방어 및 플로우 탐지
- play_arrow 컨트롤 플레인 DDoS 방어
- play_arrow 플로우 감지 및 원인 플로우
-
- play_arrow 유니캐스트 포워딩
- play_arrow 유니캐스트 역방향 경로 전달
- play_arrow 알 수 없는 유니캐스트 포워딩
-
- play_arrow 스톰 컨트롤
- play_arrow 스톰 컨트롤의 이해 및 사용
-
- play_arrow 멀웨어 차단
- play_arrow 주니퍼 멀웨어 제거 도구
-
- play_arrow 구성 명령문 및 작동 명령
예: 동적 엔드포인트 터널링 구성
그림 1은 보안 게이트웨이 SG-1 뒤에 위치한 로컬 네트워크 N-1을 보여줍니다. SG-1은 동적 피어 엔드포인트를 종료하는 주니퍼 네트웍스 라우터입니다. SG-1의 터널 종료 주소는 10.7.7.2이며 로컬 네트워크 주소는 172.16.1.0/24입니다.
원격 피어 라우터는 ISP 풀에서 주소를 획득하고 RFC 준수 IKE(Internet Key Exchange)를 실행합니다. 원격 네트워크 N-2의 주소는 172.16.2.0/24 이며 터널 종료 주소는 10.7.7.1인 보안 게이트웨이 SG-2 뒤에 있습니다.
라우터 SG-1에서 SG-2의 제안을 수락하도록 IKE(Internet Key Exchange) 액세스 프로필을 구성합니다. 액세스 프로필의 인터페이스 식별자를 내부 서비스 인터페이스에 적용하고 IKE(Internet Key Exchange) 액세스 프로필 자체를 IPSec 다음 홉 스타일 서비스 세트에 적용합니다.
라우터 SG-1
[edit] access { profile ike_access { client * { # Accepts proposals from specified peers that use the preshared key. ike { allowed-proxy-pair local 10.255.14.63/32 remote 10.255.14.64/32; pre-shared-key ascii-text "$ABC123"; # SECRET-DATA interface-id test_id; # Apply this ID to the inside services interfaces. } } } } interfaces { fe-0/0/0 { description "Connection to the local network"; unit 0 { family inet { address 172.16.1.1/24; } } } so-1/0/0 { description "Connection to SG-2"; no-keepalives; encapsulation cisco-hdlc; unit 0 { family inet { address 10.7.7.2/30; } } } sp-3/3/0 { unit 0 { family inet; } unit 3 { dial-options { ipsec-interface-id test_id; # Accepts dynamic endpoint tunnels. shared; } service-domain inside; } unit 4 { family inet; service-domain outside; } } } services { service-set dynamic_nh_ss { # Create a next-hop service set next-hop-service { # for the dynamic endpoint tunnels. inside-service-interface sp-3/3/0.3; outside-service-interface sp-3/3/0.4; } ipsec-vpn-options { local-gateway 10.7.7.2; ike-access-profile ike_access; # Apply the IKE access profile here. } } }
작업 확인
AS PIC에 구성된 동적 엔드포인트 터널이 제대로 작동하는지 확인하려면 다음 명령을 사용합니다.
show services ipsec-vpn ipsec security-associations (detail)
다음 섹션에서는 구성 예제와 함께 사용된 이 명령의 출력을 보여 줍니다. 동적으로 생성된 규칙 _junos_ 가 출력에 나타나며, 동적으로 생성된 인바운드 및 아웃바운드 터널의 설정도 표시됩니다.
user@router> show services ipsec-vpn ipsec security-associations detail Service set: dynamic_nh_ss Rule: _junos_ , Term: tunnel4, Tunnel index: 4 Local gateway: 10.7.7.2, Remote gateway: 10.7.7.1 Local identity: ipv4(any:0,[0..3]=10.255.14.63) Remote identity: ipv4(any:0,[0..3]=10.255.14.64) Direction: inbound , SPI: 428111023, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 27660 seconds Hard lifetime: Expires in 27750 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound , SPI: 4035429231, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 27660 seconds Hard lifetime: Expires in 27750 seconds Anti-replay service: Enabled, Replay window size: 64