Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS 기반 IPsec VPN

Junos CoS(Class-of-Service) 기능을 구성하여 VPN에 여러 서비스 등급을 제공할 수 있습니다. 디바이스에서 패킷 전송을 위한 여러 포워딩 클래스를 구성하고, 각 출력 큐에 배치되는 패킷을 정의하고, 각 큐에 대한 전송 서비스 수준을 예약하고, 혼잡을 관리할 수 있습니다.

여러 IPsec SA를 사용하는 CoS 기반 IPsec VPN 이해

SRX 시리즈 방화벽에 구성된 CoS(Class of Service) 포워딩 클래스(FC)는 IPsec SA(Security Association)에 매핑할 수 있습니다. 각 FC의 패킷은 서로 다른 IPsec SA에 매핑되므로 로컬 디바이스와 중간 라우터에서 CoS를 처리할 수 있습니다.

여러 IPsec SA를 사용하는 CoS 기반 IPsec VPN의 이점

  • 각 터널이 별도의 보안 연결 집합을 사용하여 서로 다른 데이터 스트림을 보장하도록 지원합니다.

  • VoIP(Voice-over-IP)와 같이 차별화된 트래픽이 필요한 경우 IPsec VPN을 쉽게 구축할 수 있도록 지원합니다.

개요

이 기능은 주니퍼 네트웍스의 독점이며 지원되는 SRX 플랫폼 및 Junos OS 릴리스에서 작동합니다. VPN 피어 디바이스는 이 기능을 지원하는 SRX 시리즈 방화벽 또는 vSRX 가상 방화벽 인스턴스이거나 SRX 시리즈 방화벽과 동일한 방식으로 동일한 기능을 지원하는 다른 제품이어야 합니다.

IPsec SA에 FC 매핑

[edit security ipsec vpn vpn-name] 계층 수준에서 VPN multi-sa forwarding-classes 에 대해 최대 8개의 포워딩 클래스(FC)를 구성할 수 있습니다. 피어 게이트웨이와 협상된 IPsec SA의 수는 VPN에 구성된 FC의 수를 기반으로 합니다. IPsec SA에 대한 FC의 매핑은 VPN에 대해 구성된 모든 트래픽 선택기에 적용됩니다.

특정 VPN의 FC에 대해 생성된 모든 IPsec SA는 동일한 터널 ID로 표시됩니다. 터널 관련 이벤트는 모든 IPsec SA의 상태 및 통계를 고려합니다. 터널과 관련된 모든 IPsec SA는 SRX 시리즈 방화벽 또는 vSRX 가상 방화벽 인스턴스에서 동일한 SPU 또는 동일한 스레드 ID에 고정됩니다.

IPsec SA 협상

VPN에 대해 여러 FC가 구성된 경우 각 FC에 대해 피어와 고유한 IPsec SA가 협상됩니다. 또한 기본 IPsec SA는 구성된 FC와 일치하지 않는 패킷을 전송하도록 협상됩니다. VPN 피어 디바이스가 FC에 대해 구성되지 않았거나 FC와 IPsec SA 간의 매핑을 지원하지 않는 경우에도 기본 IPsec이 협상됩니다. 기본 IPsec SA는 협상되는 첫 번째 IPsec SA이며 해체될 마지막 SA입니다.

구성된 FC 수에 따라 다릅니다. IPsec SA가 협상 중일 때 패킷은 IPsec SA가 아직 협상되지 않은 FC와 함께 도착할 수 있습니다. 특정 FC에 대한 IPsec SA가 협상될 때까지 트래픽은 기본 IPsec SA로 전송됩니다. 설치된 IPsec SA와 일치하지 않는 FC가 있는 패킷은 기본 IPsec SA에서 전송됩니다.

IPsec SA에 대한 FC의 매핑은 로컬 VPN 게이트웨이에서 수행됩니다. 로컬 및 피어 게이트웨이에는 다른 순서로 구성된 FC가 있을 수 있습니다. 각 피어 게이트웨이는 IPsec SA 협상이 완료된 순서대로 FC를 매핑합니다. 따라서 로컬 및 피어 게이트웨이는 서로 다른 FC와 IPsec SA 간의 매핑을 가질 수 있습니다. 구성된 FC 수에 도달하면 게이트웨이가 새 IPsec SA 협상을 중단합니다. 피어 게이트웨이는 로컬 게이트웨이에 구성된 FC 수보다 더 많은 IPsec SA를 시작할 수 있습니다. 이 경우 로컬 게이트웨이는 추가 IPsec SA 요청(최대 18개의 IPsec SA)을 수락합니다. 로컬 게이트웨이는 들어오는 IPsec 트래픽의 암호를 해독하는 데만 다른 IPsec SA를 사용합니다. 구성된 FC와 일치하지 않는 FC와 함께 패킷이 수신되면 패킷은 기본 FC IPsec SA로 전송됩니다.

피어 디바이스로부터 기본 IPsec SA에 대한 삭제 알림을 받으면 기본 IPsec SA만 삭제되고 기본 IPsec SA가 새로 협상됩니다. 이 시간 동안 기본 IPsec SA로 이동할 수 있는 트래픽은 삭제됩니다. VPN 터널은 기본 IPsec SA가 마지막 SA인 경우에만 중단됩니다.

establish-tunnels immediately 옵션이 VPN에 대해 구성 및 커밋된 경우, SRX 시리즈 방화벽은 트래픽이 도착할 때까지 기다리지 않고 IPsec SA를 협상합니다. 구성된 FC의 IPsec SA에 대한 협상이 완료되지 않으면 60초마다 협상이 재시도됩니다.

establish-tunnels on-traffic 옵션이 VPN에 대해 구성된 경우, SRX 시리즈 방화벽은 첫 번째 데이터 패킷이 도착할 때 IPsec SA를 협상합니다. 첫 번째 패킷의 FC는 중요하지 않습니다. 두 옵션 중 하나를 사용하면 기본 IPsec SA가 먼저 협상된 다음 각 IPsec SA가 디바이스에서 FC가 구성된 순서대로 하나씩 협상됩니다.

키 재설정

트래픽 선택기와 함께 DSCP(Differentiated Services Code Point) 트래픽 스티어링과 함께 다중 SA를 사용하는 경우 키 재생성 중에 다음 동작이 발생합니다. 트래픽 선택기가 키 재생성을 수행할 때 하나 이상의 트래픽 선택기가 어떤 이유로든 키를 재생할 수 없는 경우 수명이 만료되면 특정 SA가 중단됩니다. 이 경우 특정 SA와 일치하는 데 사용하는 트래픽은 대신 기본 트래픽 선택기를 통해 전송됩니다.

VPN에서 FC 추가 또는 삭제

VPN에서 FC가 추가되거나 삭제되면 VPN에 대한 IKE 및 IPsec SA가 작동 또는 중단되고 협상이 다시 시작됩니다. 이 clear security ipsec security-associations 명령은 모든 IPsec SA를 지웁니다.

DPD(Dead Peer Detection)

DPD가 이 기능으로 optimized 구성되면 모드는 발신 트래픽이 있고 IPsec SA에 수신 트래픽이 없는 경우에만 프로브를 보냅니다. probe-idle 모드는 IPsec SA에 발신 및 수신 트래픽이 없을 때만 프로브를 보냅니다. VPN 모니터링은 DPD 기능으로 지원되지 않습니다.

명령을

명령은 show security ipsec sa details index tunnel-id FC 이름을 포함한 모든 IPsec SA 세부 정보를 표시합니다. 명령은 각 FC에 대한 통계를 show security ipsec stats index tunnel-id 표시합니다.

지원되는 VPN 기능

CoS 기반 IPsec VPN에서 지원되는 VPN 기능은 다음과 같습니다.

  • 경로 기반 사이트 간 VPN. 정책 기반 VPN은 지원되지 않습니다.

  • 오토VPN.

  • 트래픽 선택기.

  • 자동 검색 VPN(ADVPN).

  • IKEv2입니다. IKEv1는 지원되지 않습니다.

  • DPD(Dead Peer Detection). VPN 모니터링은 지원되지 않습니다.

트래픽 선택기 및 CoS 기반 IPsec VPN 이해

트래픽 셀렉터는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 VPN 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 트래픽 셀렉터를 준수하는 트래픽만 연결된 보안 연결(SA)을 통해 허용됩니다.

CoS 기반 IPsec VPN 기능은 다음과 같은 시나리오를 지원합니다

  • 동일한 FC를 사용하는 경로 기반 사이트 간 VPN의 하나 또는 여러 트래픽 선택기.

  • 각 트래픽 선택기에 대해 서로 다른 FC가 있는 여러 트래픽 선택기. 이 시나리오에는 별도의 VPN 구성이 필요합니다.

이 항목에서는 각 시나리오에 대해 협상되는 VPN 구성 및 IPsec SA에 대해 설명합니다.

다음 시나리오에서는 SRX 시리즈 방화벽에 3개의 FC가 구성됩니다.

첫 번째 시나리오에서 VPN vpn1은 단일 트래픽 선택기 ts1과 3개의 FC로 구성됩니다.

위의 구성에서 트래픽 선택기 ts1에 대해 4개의 IPsec SA가 협상됩니다(기본 IPsec SA에 대해 1개, FC에 매핑된 IPsec SA에 대해 3개).

두 번째 시나리오에서 VPN vpn1은 두 개의 트래픽 선택기 ts1 및 ts2와 세 개의 FC로 구성됩니다.

위의 구성에서 트래픽 선택기 ts1에 대해 4개의 IPsec SA가 협상되고 트래픽 선택기 ts2에 대해 4개의 IPsec SA가 협상됩니다. 각 트래픽 선택기에 대해 기본 IPsec SA에 대해 협상된 IPsec SA와 FC에 매핑된 IPsec SA에 대해 협상된 IPsec SA가 세 개 있습니다.

세 번째 시나리오에서 트래픽 선택기 ts1 및 ts2는 서로 다른 FC 집합을 지원합니다. 트래픽 선택기는 서로 다른 VPN에 대해 구성해야 합니다.

위의 구성에서 VPN vpn1의 트래픽 선택기 ts1에 대해 4개의 IPsec SA가 협상되며, 이는 기본 IPsec SA에 대해 1개, FC에 매핑된 IPsec SA에 대해 3개입니다.

예: CoS 기반 IPsec VPN 구성

이 예에서는 각 포워딩 클래스에 대한 패킷이 다른 IPsec SA에 매핑될 수 있도록 여러 IPsec SA가 있는 CoS 기반 IPsec VPN을 구성하여 로컬 디바이스와 중간 라우터에서 CoS를 처리하는 방법을 보여줍니다.

이 기능은 주니퍼 네트웍스의 독점이며 지원되는 SRX 플랫폼 및 Junos OS 릴리스에서만 작동합니다. VPN 피어 디바이스는 이 기능을 지원하는 SRX 시리즈 방화벽 또는 vSRX 가상 방화벽 인스턴스여야 합니다.

요구 사항

이 예는 다음 하드웨어를 사용합니다.

  • 모든 SRX 시리즈 방화벽

시작하기 전에:

  • SRX 시리즈 방화벽에 구성된 CoS(Class of Service) 포워딩 클래스(FC)를 IPsec SA(Security Association)에 매핑하는 방법을 이해합니다. 여러 IPsec SA를 사용하는 CoS 기반 IPsec VPN 이해를 참조하십시오.

  • 트래픽 선택기 및 CoS 기반 IPsec VPN에 대해 알아보십시오. 트래픽 선택기 및 CoS 기반 IPsec VPN 이해하기를 참조하십시오.

개요

이 예에서는 터널 리소스를 절약하거나 터널을 통과하는 트래픽을 필터링하기 위해 많은 보안 정책을 구성할 필요가 없기 때문에 시카고의 지점에 대한 IPsec 경로 기반 VPN을 구성합니다. 시카고 사무실의 사용자는 VPN을 사용하여 서니베일에 있는 본사에 연결합니다.

그림 1 은(는) IPsec 경로 기반 VPN 토폴로지의 예를 보여줍니다. 이 토폴로지에서 SRX 시리즈 방화벽 1개는 서니베일에, SRX 시리즈 방화벽 1개는 시카고에 위치합니다.

그림 1: IPsec 경로 기반 VPN 토폴로지IPsec 경로 기반 VPN 토폴로지

이 예에서는 인터페이스, IPv4 기본 경로 및 보안 영역을 구성합니다. 그런 다음 IKE(Internet Key Exchange), IPSec, 보안 정책 및 CoS 매개 변수를 구성합니다. 꿰뚫어 표 4본다표 1.

표 1: 인터페이스, 정적 경로 및 보안 영역 정보

기능

이름

구성 매개 변수

인터페이스

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (터널 인터페이스)

10.10.11.10/24

정적 라우팅

0.0.0.0/0(기본 경로)

다음 홉은 st0.0입니다.

보안 존

신뢰

  • 모든 시스템 서비스가 허용됩니다.

  • ge-0/0/0.0 인터페이스는 이 영역에 결합됩니다.

untrust

  • 모든 시스템 서비스가 허용됩니다.

  • ge-0/0/3.0 인터페이스는 이 영역에 결합됩니다.

VPN

st0.0 인터페이스는 이 영역에 결합됩니다.

표 2: IKE(Internet Key Exchange) 구성 매개 변수

기능

이름

구성 매개 변수

제안

IKE-제안

  • 인증 방법: RSA 서명

  • Diffie-Hellman 그룹: group14

  • 인증 알고리즘: sha-256

  • 암호화 알고리즘: AES-256-CBC

정책

IKE-정책

  • 모드: main

  • 제안 참조: IKE-제안

  • IKE(Internet Key Exchange) 정책 인증 방법: RSA 서명

게이트웨이

gw-sunnyvale

  • IKE(Internet Key Exchange) 정책 참조: IKE-정책

  • 외부 인터페이스: ge-0/0/3.0

  • 게이트웨이 주소: 10.2.2.2

표 3: IPsec 구성 매개 변수

기능

이름

구성 매개 변수

제안

ipsec_prop

  • 프로토콜: esp

  • 인증 알고리즘: hmac-sha-256

  • 암호화 알고리즘: AES-256-CBC

정책

ipsec_pol

  • 제안 참조: ipsec_prop

VPN

ipsec_vpn1

  • IKE(Internet Key Exchange) 게이트웨이 참조: GW-시카고

  • IPsec 정책 참조: ipsec_pol

표 4: 보안 정책 구성 매개 변수

목적

이름

구성 매개 변수

보안 정책은 트러스트 영역에서 VPN 영역으로 트래픽을 허용합니다.

VPN

  • 일치 기준:

    • 소스 주소 서니베일

    • 목적지 주소 시카고

    • 모든 애플리케이션

  • 작업: 허용(Permit)

보안 정책은 VPN 영역에서 트러스트 영역으로 트래픽을 허용합니다.

VPN

  • 일치 기준:

    • 소스 주소 시카고

    • 목적지 주소 서니베일

    • 모든 애플리케이션

  • 작업: 허용(Permit)

구성

기본 네트워크 및 보안 영역 정보 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

인터페이스, 정적 경로 및 보안 영역 정보 구성:

  1. 이더넷 인터페이스 정보를 구성합니다.

  2. 고정 경로 정보를 구성합니다.

  3. 언트러스트(untrust) 보안 영역을 구성합니다.

  4. 언트러스트(untrust) 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  5. 인터페이스를 보안 영역에 할당합니다.

  6. 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  7. 트러스트 보안 영역을 구성합니다.

  8. 인터페이스를 트러스트 보안 영역에 할당합니다.

  9. 트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.

  10. vpn 보안 영역을 구성합니다.

  11. 인터페이스를 보안 영역에 할당합니다.

결과

구성 모드에서 show interfaces, show routing-optionsshow security zones 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

CoS 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

CoS 구성 방법:

  1. DiffServ CoS에 대한 행동 집계 분류자를 구성합니다.

  2. best-effort 포워딩 클래스 분류자를 구성합니다.

  3. 포워딩 클래스에 할당할 DSCP 값을 정의합니다.

  4. 8개의 대기열에 대해 8개의 포워딩 클래스(대기열 이름)를 정의합니다.

  5. 수신(ge) 인터페이스에서 분류기를 구성합니다.

  6. 스케줄러 맵을 ge 인터페이스에 적용합니다.

  7. 스케줄러를 정의된 포워딩 클래스와 연결하도록 스케줄러 맵을 구성합니다.

  8. 우선순위와 전송 속도로 스케줄러를 정의합니다.

결과

구성 모드에서 show class-of-service 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

IKE(Internet Key Exchange) 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IKE(Internet Key Exchange) 구성:

  1. IKE(Internet Key Exchange) 제안을 생성합니다.

  2. IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.

  3. IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.

  4. IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.

  5. IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.

  6. IKE(Internet Key Exchange) 정책을 생성합니다.

  7. IKE(Internet Key Exchange) 정책 모드를 설정합니다.

  8. IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.

  9. IKE(Internet Key Exchange) 정책 인증 방법을 정의합니다.

  10. IKE(Internet Key Exchange) 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.

  11. IKE(Internet Key Exchange) 정책 참조를 정의합니다.

  12. IKE(Internet Key Exchange) 게이트웨이 주소를 정의합니다.

  13. IKE(Internet Key Exchange) 게이트웨이 버전을 정의합니다.

결과

구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

IPsec 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

IPsec 구성:

  1. IPsec 추적 옵션을 활성화합니다.

  2. IPsec 제안을 생성합니다.

  3. IPsec 제안 프로토콜을 지정합니다.

  4. IPsec 제안 인증 알고리즘을 지정합니다.

  5. IPsec 제안 암호화 알고리즘을 지정합니다.

  6. IPsec SA(Security Association)의 수명(초)을 지정합니다.

  7. IPsec 정책을 생성합니다.

  8. IPsec 제안 참조를 지정합니다.

  9. 바인딩할 인터페이스를 지정합니다.

  10. 다중 IPsec SA에 대한 포워딩 클래스를 구성합니다.

  11. IKE(Internet Key Exchange) 게이트웨이를 지정합니다.

  12. IPsec 정책을 지정합니다.

  13. 첫 번째 데이터 패킷이 전송될 때 IPsec SA를 협상하기 위해 터널을 즉시 가져오도록 지정합니다.

  14. 트래픽 선택기에 대한 로컬 IP 주소를 구성합니다.

  15. 트래픽 선택기에 대한 원격 IP 주소를 구성합니다.

결과

구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

보안 정책 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

정책 관련 문제를 해결하기 위해 보안 정책 추적 옵션을 활성화합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

보안 정책 구성:

  1. 트러스트 영역에서 VPN 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

  2. VPN 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IPsec 보안 연결 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 및 show security ipsec statistics index 131073 명령을 사용하십시오show security ipsec security-associations index 131073 detail.

간결성을 위해 show 명령 출력은 구성의 모든 값을 표시하지 않습니다. 구성의 하위 집합만 표시됩니다. 시스템의 나머지 구성은 줄임표(...)로 대체되었습니다.

의미

show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.

  • ID 번호는 131073입니다. 이 특정 SA에 대한 자세한 정보를 얻으려면 show security ipsec security-associations index 명령과 함께 이 값을 사용합니다.

  • 포트 500을 사용하는 IPsec SA 쌍이 하나 있습니다.

  • SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 1949/unlim 값은 위상 수명이 1949초 후에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다.

  • VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.

명령은 show security ike security-associations index 131073 detail 인덱스 번호가 131073인 SA에 대한 추가 정보를 나열합니다.

  • 로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다. 프록시 ID 불일치는 단계 실패의 가장 일반적인 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 단계 제안이 두 피어에 모두 올바른지 확인합니다.

  • 포워딩 클래스 이름을 포함한 모든 하위 SA 세부 정보를 표시합니다.

명령은 각 포워딩 클래스 이름에 대한 통계를 show security ipsec statistics index 131073 나열합니다.

  • 출력의 오류 값 0은 정상 상태를 나타냅니다.

  • 이 명령을 여러 번 실행하여 VPN 전반의 패킷 손실 문제를 관찰하는 것이 좋습니다. 이 명령의 출력에는 암호화 및 복호화된 패킷 카운터, 오류 카운터 등에 대한 통계도 표시됩니다.

  • 보안 플로우 추적 옵션을 활성화하여 오류가 발생하는 ESP 패킷과 그 이유를 조사해야 합니다.

st0 인터페이스에서 CoS 지원 이해

Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 분류기, 폴리서, 큐잉, 스케줄링, 셰이핑, 마커 재작성 및 가상 채널과 같은 CoS(Class of Service) 기능을 포인트 투 포인트 VPN용 보안 터널 인터페이스(st0)에서 구성할 수 있습니다.

st0 터널 인터페이스는 일반 텍스트 트래픽을 IPsec VPN 터널로 라우팅하기 위해 경로 기반 VPN에서 사용할 수 있는 내부 인터페이스입니다. 다음 CoS 기능은 사용 가능한 모든 SRX 시리즈 방화벽 및 vSRX2.0의 st0 인터페이스에서 지원됩니다.

  • 분류자

  • 폴리서

  • 큐잉, 스케줄링 및 셰이핑

  • 마커 다시 쓰기

  • Virtual channels

Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스용 st0 인터페이스에 큐잉, 스케줄링, 셰이핑 및 가상 채널에 대한 지원이 추가됩니다. 나열된 모든 CoS 기능에 대한 지원이 SRX1500, SRX4100 및 SRX4200 디바이스의 st0 인터페이스에 추가되었습니다. Junos OS 릴리스 17.4R1부터 SRX4600 디바이스의 st0 인터페이스에 나열된 CoS 기능에 대한 지원이 추가됩니다.

VPN st0 인터페이스에 대한 CoS 지원의 제한 사항

VPN st0 인터페이스의 CoS 지원에는 다음과 같은 제한이 적용됩니다.

  • 소프트웨어 대기열의 최대 수는 2048개입니다. st0 인터페이스 수가 2048개를 초과하면 모든 st0 인터페이스에 대해 충분한 소프트웨어 대기열을 생성할 수 없습니다.

  • 경로 기반 VPN만 st0 인터페이스에 CoS 기능을 적용할 수 있습니다. 표 5 에서는 다양한 유형의 VPN에 대한 st0 CoS 기능 지원에 대해 설명합니다.

    표 5: VPN에 대한 CoS 기능 지원
    분류자 기능 P2P(Site-to-Site VPN) 자동 VPN (P2P) 사이트 간/자동 VPN/AD-VPN(P2MP)

    분류자, 폴리서 및 재작성 마커

    지원됨

    지원됨

    지원됨

    st0 논리적 인터페이스를 기반으로 한 큐잉, 스케줄링, 셰이핑

    지원됨

    지원되지 않음

    지원되지 않음

    큐잉, 스케줄링, 가상 채널 기반 셰이핑

    지원됨

    지원됨

    지원됨

  • SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서 하나의 st0 논리적 인터페이스는 여러 VPN 터널에 바인딩할 수 있습니다. st0 논리적 인터페이스의 8개 대기열은 트래픽을 다른 터널로 다시 라우팅할 수 없으므로 사전 터널링이 지원되지 않습니다.

    가상 채널 기능은 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서 해결 방법으로 사용할 수 있습니다.

  • st0 터널 인터페이스에서 CoS 셰이핑 속도를 정의할 때 다음과 같은 제한 사항을 고려하십시오.

    • 터널 인터페이스의 셰이핑 속도는 물리적 송신 인터페이스의 셰이핑 속도보다 낮아야 합니다.

    • 셰이핑 속도는 ESP/AH 헤더와 외부 IP 헤더 캡슐화가 있는 내부 레이어 3 일반 텍스트 패킷을 포함하는 패킷 크기만 측정합니다. 물리적 인터페이스에 의해 추가된 외부 레이어 2 캡슐화는 쉐이핑 속도 측정에 포함되지 않습니다.

    • 물리적 인터페이스가 셰이핑된 GRE 또는 IP-IP 터널 트래픽만 전달할 때 CoS 동작이 예상대로 작동합니다. 물리적 인터페이스가 다른 트래픽을 전송하여 터널 인터페이스 트래픽에 사용 가능한 대역폭을 낮추면 CoS 기능이 예상대로 작동하지 않습니다.

  • SRX550M, SRX5400, SRX5600 및 SRX5800 디바이스에서 폴리서 구성의 대역폭 제한 및 버스트 크기 제한 값은 시스템당 제한이 아니라 SPU 단위입니다. 이는 물리적 인터페이스에서와 동일한 폴리서 동작입니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
23.4R1
SRX1600 및 SRX2300 방화벽에 대한 지원이 Junos OS 릴리스 23.4R1에 추가되었습니다. SRX1600 및 SRX2300 방화벽은 SRX1500 및 SRX4100이 각각 제공하는 것과 동일한 프로세스를 통해 모든 IPsec VPN 기능을 제공합니다. 이러한 플랫폼에서는 정책 기반 VPN 및 그룹 VPN에 대한 지원을 사용할 수 없습니다.
17.4R1
Junos OS 릴리스 17.4R1부터 SRX4600 디바이스의 st0 인터페이스에 나열된 CoS 기능에 대한 지원이 추가됩니다.
15.1X49-D70
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스용 st0 인터페이스에 큐잉, 스케줄링, 셰이핑 및 가상 채널에 대한 지원이 추가됩니다. 나열된 모든 CoS 기능에 대한 지원이 SRX1500, SRX4100 및 SRX4200 디바이스의 st0 인터페이스에 추가되었습니다.
15.1X49-D60
Junos OS 릴리스 15.1X49-D60 및 Junos OS 릴리스 17.3R1부터 분류기, 폴리서, 큐잉, 스케줄링, 셰이핑, 마커 재작성 및 가상 채널과 같은 CoS(Class of Service) 기능을 포인트 투 포인트 VPN용 보안 터널 인터페이스(st0)에서 구성할 수 있습니다.