IPsec 동적 엔드포인트 터널에 대한 IKE(Internet Key Exchange) 액세스 프로파일 구성
IPsec 동적 엔드포인트 터널에 대한 IKE(Internet Key Exchange) 액세스 프로파일 구성
모든 동적 피어에 대해 서비스 세트당 하나의 터널 프로파일만 구성할 수 있습니다. 프로필에 구성된 사전 공유 키는 해당 서비스 세트에서 종료되는 모든 동적 피어의 IKE 인증에 사용됩니다.
IKE(Internet Key Exchange) 터널 프로필은 IKE(Internet Key Exchange) 협상을 완료하는 데 필요한 모든 정보를 지정합니다. 액세스 프로필에 대한 자세한 내용은 Junos 시스템 기본 구성 가이드를 참조하십시오.
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
동적 피어의 경우, Junos OS는 사전 공유 키 인증 방법이 있는 IKE(Internet Key Exchange) 메인 모드만 지원합니다. 이 모드에서는 IPv4 또는 IPv6 주소를 사용하여 터널 피어를 식별하여 사전 공유 키 정보를 가져옵니다. 클라이언트 값 * (와일드카드)은 이 프로필 내의 구성이 이 프로필에 액세스하는 서비스 세트 내에서 종료되는 모든 동적 피어에 대해 유효함을 의미합니다.
다음 문은 IKE 프로필의 일부입니다.
allowed-proxy-pair—2단계 IKE 협상 중에 원격 피어는 네트워크 주소(원격)와 피어의 네트워크 주소(로컬)를 제공합니다. 여러 동적 터널이 동일한 메커니즘을 통해 인증되므로 이 문에는 가능한 조합 목록이 포함되어야 합니다. 동적 피어가 유효한 조합을 제시하지 않으면 2단계 IKE 협상이 실패합니다.
값이 구성되지 않은 경우 기본적으로 원격 0.0.0.0/0 로컬 0.0.0.0/0이 사용됩니다.
pre-shared-key—IKE(Internet Key Exchange) 1단계 협상 중 동적 피어를 인증하는 데 사용되는 필수 키입니다. 이 키는 터널의 양쪽 끝에서 구성되어야 하며 대역 외 보안 메커니즘을 통해 배포되어야 합니다. 키 값은 16진수 또는 ASCII 텍스트 형식으로 구성할 수 있습니다.
interface-id - 인터페이스 식별자, 세션에 대한 논리적 서비스 인터페이스 정보를 도출하는 데 사용되는 필수 속성.
ipsec-policy - 세션에 대한 IPsec 정책 정보를 정의하는 IPsec 정책의 이름입니다. 계층 수준에서 IPsec 정책을
[edit services ipsec-vpn ipsec policy policy-name]정의합니다. 정책이 설정되지 않은 경우 동적 피어가 제안한 모든 정책이 수락됩니다.
IPsec 동적 엔드포인트 터널을 위한 서비스 세트 구성
동적 엔드포인트 터널 구성을 완료하려면 서비스 세트의 [edit access] 계층 수준에서 구성된 IKE 액세스 프로필을 참조해야 합니다. 이렇게 하려면 계층 수준에서 [edit services service-set name ipsec-vpn-options] 명령문을 포함합니다ike-access-profile.
[edit services] service-set name { next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; } ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } }
각 서비스 세트에서 하나의 액세스 프로필만 참조할 수 있습니다. 이 프로필은 동적 피어와의 IKE 및 IPsec 보안 연결을 협상하는 데만 사용됩니다.
서비스 세트에서 IKE(Internet Key Exchange) 액세스 프로필을 구성하는 경우, 다른 서비스 세트는 동일한 로컬 게이트웨이 주소를 공유할 수 없습니다.
IPsec 동적 엔드포인트 터널을 위한 인터페이스 식별자 구성
동적 IPsec 협상에 참여할 적응형 서비스 논리적 인터페이스를 지정하는 동적 피어 그룹에 대한 인터페이스 식별자를 구성할 수 있습니다. 여러 논리적 인터페이스에 동일한 인터페이스 식별자를 할당하여 이를 위한 인터페이스 풀을 생성할 수 있습니다. 구성하려면 계층 수준에서 [edit interfacesinterface-name] 문을 포함합니다ipsec-interface-id.
[edit interfaces sp-fpc/pic/port] unit logical-unit-number { dial-options { ipsec-interface-id identifier; (shared | dedicated); } }
문에 인터페이스 식별자를 dial-options 지정하면 IPsec 인터페이스 식별자로 식별되는 풀의 논리적 인터페이스 부분이 됩니다.
인터페이스 식별자는 한 번에 하나만 지정할 수 있습니다. 문 또는 l2tp-interface-id 문을 포함할 수 있지만 둘 다 동시에 포함할 ipsec-interface-id 수는 없습니다.
명령문은 shared 하나의 논리적 인터페이스를 여러 터널에서 공유할 수 있도록 합니다. 명령문은 dedicated 논리적 인터페이스가 IPsec 링크 유형 터널을 구성할 때 필요한 단일 터널과 연결되도록 지정합니다. ipsec-interface-id 값을 지정할 때 명령문을 포함해야 dedicated 합니다.
단일 다음 홉 서비스 세트에서 여러 개의 라우팅된 터널 구성
선택적으로 단일 다음 홉 서비스 세트 내에서 라우팅된 여러 IPSec 터널을 구성할 수 있습니다. 이렇게 하려면 먼저 계층 수준에서 명령문을 포함 service-domain inside 하여 여러 서비스 인터페이스를 내부 인터페이스로 설정합니다 [edit interfaces sp-fpc/pic/port unit logical-unit-number] . 그런 다음 계층 수준에서 문을 [edit services ipsec-vpn rule rule-name term term-name from] 포함합니다ipsec-inside-interface.
전체 IPsec 및 IKE 제안과 정책은 간결성을 위해 다음 예에 표시되지 않습니다.
[edit]
interfaces {
sp-3/3/0 {
unit 3 {
family inet;
service-domain inside;
}
unit 4 {
family inet;
service-domain outside;
}
unit 5 {
family inet;
service-domain inside;
}
}
}
services {
service-set link_type_ss_1 {
next-hop-service {
inside-service-interface sp-3/3/0.3;
outside-service-interface sp-3/3/0.4;
}
ipsec-vpn-options {
local-gateway 10.8.7.2;
}
ipsec-vpn-rules link_rule_1;
}
ipsec-vpn {
rule link_rule_1 {
term 1 {
from {
ipsec-inside-interface sp-3/3/0.3;
}
then {
remote-gateway 10.10.7.3;
backup-remote-gateway 10.8.7.1;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
term 2 {
from {
ipsec-inside-interface sp-3/3/0.5;
}
then {
remote-gateway 10.12.7.5;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
match-direction input;
}
}
}
구성이 작동하는지 확인하려면 명령을 실행합니다 show services ipsec-vpn ipsec security-associations . 각 IPsec 터널에 할당한 각 IPsec 내부 인터페이스가 이 명령의 출력에 포함됩니다.
user@router> show services ipsec-vpn ipsec security-associations
Service set: link_type_ss_1
Rule: link_rule_1, Term: 1, Tunnel index: 1
Local gateway: 10.8.7.2, Remote gateway: 10.8.7.1
IPSec inside interface: sp-3/3/0.3
Direction SPI AUX-SPI Mode Type Protocol
inbound 3216392497 0 tunnel dynamic ESP
outbound 398917249 0 tunnel dynamic ESP
Rule: link_rule_1, Term: 2, Tunnel index: 2
Local gateway: 10.8.7.2, Remote gateway: 10.12.7.5
IPSec inside interface: sp-3/3/0.5
Direction SPI AUX-SPI Mode Type Protocol
inbound 762146783 0 tunnel dynamic ESP
outbound 319191515 0 tunnel dynamic ESP