귀하의 경험을 개선할 수 있도록 도와주십시오.

귀하의 의견을 알려주십시오.

2분이 소요되는 설문 조사에 시간을 내주시겠습니까?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
close
keyboard_arrow_left
보안 서비스 관리 가이드
Table of Contents Expand all
list Table of Contents
keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

예: 동적 엔드포인트 터널링 구성

date_range 24-Jun-24
그림 1: IPSec 동적 엔드포인트 터널링 토폴로지 다이어그램 IPSec Dynamic Endpoint Tunneling Topology Diagram

그림 1은 보안 게이트웨이 SG-1 뒤에 위치한 로컬 네트워크 N-1을 보여줍니다. SG-1은 동적 피어 엔드포인트를 종료하는 주니퍼 네트웍스 라우터입니다. SG-1의 터널 종료 주소는 10.7.7.2이며 로컬 네트워크 주소는 172.16.1.0/24입니다.

원격 피어 라우터는 ISP 풀에서 주소를 획득하고 RFC 준수 IKE(Internet Key Exchange)를 실행합니다. 원격 네트워크 N-2의 주소는 172.16.2.0/24 이며 터널 종료 주소는 10.7.7.1인 보안 게이트웨이 SG-2 뒤에 있습니다.

라우터 SG-1에서 SG-2의 제안을 수락하도록 IKE(Internet Key Exchange) 액세스 프로필을 구성합니다. 액세스 프로필의 인터페이스 식별자를 내부 서비스 인터페이스에 적용하고 IKE(Internet Key Exchange) 액세스 프로필 자체를 IPSec 다음 홉 스타일 서비스 세트에 적용합니다.

라우터 SG-1

content_copy zoom_out_map
[edit] 
access {
    profile ike_access {
                           client * { # Accepts proposals from specified peers that use the preshared key.
            ike {
                allowed-proxy-pair local 10.255.14.63/32 remote 10.255.14.64/32;
                pre-shared-key ascii-text "$ABC123"; # SECRET-DATA
                                     interface-id test_id; # Apply this ID to the inside services interfaces.
            }
        }
    }
}
interfaces {
    fe-0/0/0 {
        description "Connection to the local network";
        unit 0 {
            family inet {
                address 172.16.1.1/24;
            }
        }
    }
    so-1/0/0 {
        description "Connection to SG-2";
        no-keepalives;
        encapsulation cisco-hdlc;
        unit 0 {
            family inet {
                address 10.7.7.2/30;
            }
        }
    }
    sp-3/3/0 {
        unit 0 {
            family inet;
        }
        unit 3 {
            dial-options {
                                     ipsec-interface-id test_id; # Accepts dynamic endpoint tunnels.
                shared;
            }
            service-domain inside;
        }
        unit 4 {
            family inet;
            service-domain outside;
        }
    }
}
services {
                     service-set dynamic_nh_ss { # Create a next-hop service set
        next-hop-service { # for the dynamic endpoint tunnels.
            inside-service-interface sp-3/3/0.3;
            outside-service-interface sp-3/3/0.4;
        }
        ipsec-vpn-options {
            local-gateway 10.7.7.2;
                               ike-access-profile ike_access; # Apply the IKE access profile here.
        }
    }
}

작업 확인

AS PIC에 구성된 동적 엔드포인트 터널이 제대로 작동하는지 확인하려면 다음 명령을 사용합니다.

content_copy zoom_out_map
show services ipsec-vpn ipsec security-associations (detail)

다음 섹션에서는 구성 예제와 함께 사용된 이 명령의 출력을 보여 줍니다. 동적으로 생성된 규칙 _junos_ 가 출력에 나타나며, 동적으로 생성된 인바운드 및 아웃바운드 터널의 설정도 표시됩니다.

content_copy zoom_out_map
user@router> show services ipsec-vpn ipsec security-associations detail         
Service set: dynamic_nh_ss
 
  Rule:  _junos_ , Term: tunnel4, Tunnel index: 4
  Local gateway: 10.7.7.2, Remote gateway: 10.7.7.1
  Local identity: ipv4(any:0,[0..3]=10.255.14.63)
  Remote identity: ipv4(any:0,[0..3]=10.255.14.64)
 
    Direction: inbound , SPI: 428111023, AUX-SPI: 0
     Mode: tunnel, Type: dynamic, State: Installed
    Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
    Soft lifetime: Expires in 27660 seconds
    Hard lifetime: Expires in 27750 seconds
    Anti-replay service: Enabled, Replay window size: 64
 
    Direction: outbound , SPI: 4035429231, AUX-SPI: 0
     Mode: tunnel, Type: dynamic, State: Installed
    Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
    Soft lifetime: Expires in 27660 seconds
    Hard lifetime: Expires in 27750 seconds
    Anti-replay service: Enabled, Replay window size: 64
external-footer-nav