이 페이지의 내용
ES PIC에서 IPsec을 위한 보안 연결 구성
IPsec 보안 서비스를 사용하려면 호스트 간에 SA를 생성합니다. SA는 두 호스트가 IPsec을 통해 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다. 두 가지 유형의 SA를 구성할 수 있습니다.
Manual(수동) - 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다. 수동 SA를 구성하는 방법에 대한 자세한 내용은 ES PIC에 대한 수동 IPsec 보안 연결 구성을 참조하십시오.
Dynamic(동적) - 터널 피어와 협상할 제안을 지정합니다. 키는 협상의 일부로 생성되므로 구성에 지정할 필요가 없습니다. 동적 SA에는 하나 이상의 제안 문이 포함되어 있어 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있습니다. 동적 SA를 구성하는 방법에 대한 자세한 내용은 구성된 보안 연결을 논리적 인터페이스와 연결을 참조하십시오.
메모:Junos OS는 BGP(Border Gateway Protocol) 프로토콜 섹션에서 참조되는 SA 이름이 [edit security ipsec] 계층 수준에서 구성되지 않은 경우 커밋 검사를 수행하지 않습니다.
ES PIC(Physical Interface Card)당 512개 이하의 동적 보안 연결을 구성하는 것이 좋습니다.
ES PIC의 IPsec용 SA를 구성하려면 계층 수준에서 security-association 문을 포함합니다 [edit security ipsec] :
[edit security ipsec] security-associationsa-name;
[edit services ipsec-vpn rule rule-name term term-name then dynamic], [edit services ipsec-vpn ike] 및 [edit services ipsec-vpn ipsec] 계층 수준에서 AS 및 MultiServices PIC에 대한 동적 SA를 구성합니다.
자세한 내용은 라우팅 디바이스용 Junos OS 서비스 인터페이스 라이브러리의 "IPsec 서비스 구성 지침" 장을 참조하십시오.
ES PIC의 IPsec용 SA를 구성하는 작업은 다음과 같습니다.
SA에 대한 설명 구성
IPsec SA에 대한 설명을 지정하려면 edit security ipsec security-association sa-name] 계층 수준에서 description 문을 포함합니다.
[edit security ipsec security-association sa-name] descriptiondescription;
IPsec 전송 모드 구성
전송 모드에서 IP 패킷의 데이터 부분은 암호화되지만 IP 헤더는 암호화되지 않습니다. 전송 모드는 통신 끝점과 암호화 끝점이 동일한 경우에만 사용할 수 있습니다. 보호된 호스트에 암호화 및 암호 해독 서비스를 제공하는 VPN(가상 사설망) 게이트웨이는 보호된 VPN 통신에 전송 모드를 사용할 수 없습니다. 수동 SA를 구성하며 SA의 양쪽 끝에서 정적 값을 구성해야 합니다.
전송 모드를 사용할 때 Junos OS는 수동 SA를 위해 BGP와 OSPFv3를 모두 지원합니다.
전송 모드에 대한 IPsec 보안을 구성하려면 edit security ipsec security-association sa-name] 계층 수준에서 전송 옵션과 함께 명령문을 mode 포함합니다.
[edit security ipsec security-association sa-name] mode transport;
터널 모드를 적용하려면 전송 모드에서 수동 SA를 구성한 다음 [edit protocols bgp] 계층 수준에서 이름으로 SA를 참조하여 지정된 피어와의 세션을 보호합니다.
암호화된 터널을 통해 피어 관계를 구축하도록 BGP를 구성할 수 있습니다.
IPsec 터널 모드 구성
IKE와 사전 공유 키를 사용하여 피어를 인증하거나 IKE 와 디지털 인증서를 사용하여 피어를 인증할 때 터널 모드를 사용합니다.
사전 공유 키를 사용하는 경우 사전 공유 키를 수동으로 구성하며, 이는 피어의 키와 일치해야 합니다. 디지털 인증서를 사용하면 각 라우터가 CA(인증 기관)에 동적 또는 수동으로 등록됩니다. 터널이 설정되면 IPsec에 사용되는 공개 키는 IKE를 통해 동적으로 획득되고 CA 인증서에 대해 검증됩니다. 이렇게 하면 토폴로지 내의 라우터에서 키를 수동으로 구성할 필요가 없습니다. 토폴로지에 새 라우터를 추가할 때 기존 라우터에 대한 보안 구성을 변경할 필요가 없습니다.
터널 모드에서 IPsec을 구성하려면 edit security ipsec security-association sa-name] 계층 수준에서 명령문을 tunnel 옵션과 함께 mode 포함합니다.
[edit security ipsec security-association sa-name] mode tunnel;
Junos OS는 전송 모드에서 BGP와 OSPFv3를 모두 지원합니다.
터널 모드를 사용하도록 설정하려면 다음 섹션의 단계를 수행합니다.