Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

허브 앤 스포크 디바이스의 AutoVPN

AutoVPN은 원격 사이트(스포크라고 함)에 대한 여러 터널의 단일 종료 지점 역할을 하는 IPsec VPN 어그리게이터(허브)를 지원합니다. AutoVPN을 사용하면 네트워크 관리자가 현재 및 미래의 스포크용 허브를 구성할 수 있습니다.

AutoVPN 이해

AutoVPN은 원격 사이트(스포크라고 함)에 대한 여러 터널의 단일 종료 지점 역할을 하는 IPsec VPN 어그리게이터(허브)를 지원합니다. AutoVPN을 사용하면 네트워크 관리자가 현재 및 미래의 스포크용 허브를 구성할 수 있습니다. 스포크 디바이스를 추가하거나 삭제할 때 허브에서 구성을 변경할 필요가 없으므로 관리자가 대규모 네트워크 구축을 유연하게 관리할 수 있습니다.

보안 터널 모드

AutoVPN은 경로 기반 IPsec VPN에서 지원됩니다. 경로 기반 VPN의 경우, 보안 터널(st0) 인터페이스를 구성하고 이를 IPsec VPN 터널에 바인딩합니다. AutoVPN 네트워크의 st0 인터페이스는 다음 두 가지 모드 중 하나로 구성할 수 있습니다.

  • Point-to-point 모드 - 기본적으로 [edit interfaces st0 unit x] 계층 수준에서 구성된 st0 인터페이스는 point-to-point 모드입니다. Junos OS 릴리스 17.4R1부터 AutoVPN에서 IPv6 주소가 지원됩니다.

  • Point-to-multipoint 모드 - 이 모드 multipoint 에서는 AutoVPN 허브와 스포크의 [edit interfaces st0 unit x] 계층 수준에서 옵션이 구성됩니다. 허브와 스포크의 st0 인터페이스에는 번호가 매겨져야 하며 스포크에 구성된 IP 주소는 허브의 st0 인터페이스 서브네트워크에 존재해야 합니다.

표 1 AutoVPN 포인트-투-포인트(point-to-point) 및 포인트-투-멀티포인트(point-to-multipoint) 보안 터널 인터페이스 모드를 비교합니다.

표 1: AutoVPN Point-to-Point 및 Point-to-Multipoint 보안 터널 모드 비교

포인트 투 포인트 모드

포인트 투 멀티포인트 모드

IKEv1 또는 IKEv2를 지원합니다.

IKEv1 또는 IKEv2를 지원합니다.

IPv4 및 IPv6 트래픽을 지원합니다.

IPv4 또는 IPv6을 지원합니다.

트래픽 선택기

동적 라우팅 프로토콜(OSPF, OSPFv3 및 iBGP)

데드 피어 탐지

데드 피어 탐지

스포크 디바이스를 SRX 시리즈 또는 타사 디바이스로 허용합니다.

이 모드는 SRX 시리즈 방화벽에서만 지원됩니다.

인증

AutoVPN은 인증서 및 사전 공유 키 기반 인증 방법을 모두 지원합니다.

AutoVPN 허브 및 스포크의 인증서 기반 인증의 경우 X.509 PKI(Public Key Infrastructure) 인증서를 사용할 수 있습니다. 허브에 구성된 그룹 IKE(Internet Key Exchange) 사용자 유형을 사용하면 스포크 인증서의 대체 주체 필드와 일치하도록 문자열을 지정할 수 있습니다. 스포크 인증서의 주체 필드에 대한 부분 일치도 지정할 수 있습니다. AutoVPN 구축의 스포크 인증 이해을(를) 참조하십시오.

Junos OS 릴리스 21.2R1부터 iked 프로세스를 실행하는 vSRX 가상 방화벽과 SPC3 카드가 있는 SRX5000 라인은 시드된 사전 공유 키를 사용하는 AutoVPN을 지원합니다.

주:

SPC3 카드와 vSRX 가상 방화벽이 있는 SRX5000 라인은 패키지를 설치하는 경우에만 PSK를 통한 AutoVPN을 junos-ike 지원합니다.

다음 두 가지 옵션으로 AutoVPN을 지원합니다.

  • AutoVPN 시드 PSK: 서로 다른 사전 공유 키를 가진 동일한 게이트웨이에 연결하는 여러 피어.
  • AutoVPN 공유 PSK: 동일한 사전 공유 키를 가진 동일한 게이트웨이에 연결하는 여러 피어.

시드된 PSK는 시드되지 않은 PSK(즉, 동일한 공유 PSK)와 다릅니다. 시드된 PSK는 마스터 키를 사용하여 피어에 대한 공유 PSK를 생성합니다. 따라서 각 피어는 동일한 게이트웨이에 연결하는 서로 다른 PSK를 갖게 됩니다. 예: IKE ID가 있는 피어 1과 IKE ID user1@juniper.netuser2@juniper.net 가 있는 피어 2가 게이트웨이에 연결을 시도하는 시나리오를 고려하십시오. 이 시나리오에서 로 구성된 마스터 키를 포함하도록 구성된 HUB_GW 게이트웨이는 다음과 같이 다른 PSK를 갖게 됩니다.ThisIsMySecretPreSharedkey

피어 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

피어 2: 3db8385746f3d1e639435a882579a9f28464e5c7

즉, 다른 사용자 ID와 동일한 마스터 키를 가진 다른 사용자에 대해 다른 또는 고유한 사전 공유 키를 생성합니다.

Auto-VPN PSK에 또는 pre-shared-key 중 하나를 seeded-pre-shared-key 사용할 수 있습니다.

  • 다른 사전 공유 키: 이 seeded-pre-shared-key 설정된 경우 VPN 게이트웨이에서 다른 IKE 사전 공유 키를 사용하여 각 원격 피어를 인증합니다. 피어 사전 공유 키는 IKE(Internet Key Exchange) master-key 게이트웨이의 세트를 사용하여 생성되며 피어 간에 공유됩니다.

    VPN 게이트웨이가 각 원격 피어를 인증하기 위해 다른 IKE PSK(사전 공유 키)를 사용하도록 설정하려면 새 CLI 명령을 seeded-pre-shared-key ascii-text 사용하거나 seeded-pre-shared-key hexadecimal[edit security ike policy policy_name] 계층 수준에서 사용합니다.

    이 명령은 동일한 계층 아래의 명령과 pre-shared-key 함께 사용할 수 없습니다.

    정책을 참조하십시오.

  • 공유/동일한 사전 공유 키: 이(가) 구성되지 않은 경우 pre-shared-key-type PSK는 공유된 것으로 간주됩니다. VPN 게이트웨이는 동일한 IKE 사전 공유 키를 사용하여 모든 원격 피어를 인증합니다.

    VPN 게이트웨이가 모든 원격 피어를 인증하는 데 동일한 IKE PSK를 사용하도록 하려면 기존 CLI 명령 pre-sharedkey ascii-text 또는 pre-shared-key hexadecimal.

VPN 게이트웨이에서 계층 수준에서 구성 문을 사용하여 general-ikeid IKE ID 유효성 검사를 우회할 [edit security ike gateway gateway_name dynamic] 수 있습니다. 이 옵션을 구성하면 원격 피어 인증 중에 VPN 게이트웨이가 모든 원격 IKE ID 연결을 허용합니다. general-ikeid을(를) 참조하세요.

iked 프로세스를 실행하는 SPC3 카드 및 vSRX 가상 방화벽(패키지 포함)이 junos-ike 있는 SRX5000 라인은 다음 IKE 모드를 지원합니다.

표 2: AutoVPN PSK 지원

IKE(Internet Key Exchange) 모드

iked 프로세스를 실행하는 SPC3 카드 및 vSRX 가상 방화벽이 있는 SRX5000 라인

공유 PSK

시드-PSK

IKEv2

IKEv2 (임의- 포함)remote-id

IKEv1 적극적인 모드

IKEv1 적극적인 모드(/ 포함)any-remote-idgeneral-ikeid

IKEv1 기본 모드

아니요

IKEv1 기본 모드(any-remote-id/ 포함)general-ikeid

아니요

예: 사전 공유 키를 사용하여 AutoVPN 구성.

구성 및 관리

AutoVPN은 CLI를 사용하여 SRX 시리즈 방화벽에서 구성 및 관리됩니다. 단일 SRX 시리즈 방화벽에서 여러 AutoVPN 허브를 구성할 수 있습니다. 구성된 허브가 지원하는 최대 스포크 수는 SRX 시리즈 방화벽 모델에 따라 다릅니다.

PIM을 사용한 멀티캐스트 지원

IP 멀티캐스트는 데이터 패킷을 복제하여 의도된 둘 이상의 수신자에게 트래픽을 전달합니다. 비디오 스트리밍과 같은 응용 프로그램에 멀티캐스트 데이터를 사용할 수 있습니다. 방화벽은 P2MP(Point-to-Multipoint) 모드에서 PIM(Protocol Independent Multicast)을 지원합니다. 방화벽의 보안 터널인 st0, P2MP 모드의 인터페이스에서 PIM을 사용하도록 설정할 수 있습니다. 이 프로토콜은 인터페이스 구성에서 P2MP 인터페이스를 감지하고 멀티캐스트 트래픽을 지원합니다. PIM을 이해하려면 PIM 개요를 참조하십시오.

그림 1 는 P2MP 인프라의 멀티캐스트 토폴로지를 보여줍니다.

그림 1: P2MP 인프라의 멀티캐스트 토폴로지 P2MP 인프라의 멀티캐스트 토폴로지

토폴로지는 SRX 시리즈 방화벽 중 하나가 허브 역할을 하고 나머지 세 개가 스포크 역할을 하는 것을 보여줍니다. 토폴로지에 두 개의 스포크를 둘 수도 있습니다. 일반적으로 멀티캐스트 발신자는 허브 뒤에 있고 멀티캐스트 수신기는 스포크 뒤에 있습니다. 멀티캐스트 지원의 경우, 허브 앤 스포크 디바이스의 보안 터널 st0 논리적 인터페이스가 PIM P2MP 모드로 구성됩니다. 이러한 각 디바이스에서 st0 P2MP 인터페이스는 이웃 당 모든 PIM 가입을 추적하여 멀티캐스트 전달 또는 복제가 가입 상태에 있는 이웃에만 발생하도록 합니다.

SRX 시리즈 방화벽은 st0 P2MP 인터페이스를 통해 PIM 스파스 모드에서 IP 멀티캐스트 트래픽을 지원합니다. 허브는 첫 번째 홉 라우터(FHR) 또는 랑데부 포인트(RP) 역할을 합니다. 스포크는 P2MP 네트워크에서 마지막 홉 라우터(LHR) 역할을 할 수 있습니다. 네트워크의 디바이스는 멀티캐스트 데이터 패킷을 멀티캐스트 그룹에 가입하는 이웃에 복제합니다.

멀티캐스트 트래픽 지원을 구성할 때 다음 사항을 고려해야 합니다.

  • kmd 프로세스를 사용하는 IPsec VPN 서비스의 경우 Junos OS 릴리스 19.2R1 이상을 실행해야 합니다. SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0(vCPU 2개) 및 vSRX 3.0(vCPU 2개) 플랫폼을 사용할 수 있습니다.

  • iked 프로세스를 사용하는 IPsec VPN 서비스의 경우 Junos OS 릴리스 24.2R1 이상을 실행해야 합니다. SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600 및 vSRX 3.0 플랫폼을 사용할 수 있습니다.

  • P2MP 인터페이스에서는 IPv6 멀티캐스트를 구성할 수 없습니다.

  • IP 멀티캐스트 구성이 작동하려면 PMI(PowerMode IPsec)를 비활성화해야 합니다.

  • P2MP 인터페이스에서 멀티캐스트 ping을 수행할 수 없습니다.

  • PIM을 활성화하면 IGMP가 기본적으로 활성화되지만 P2MP 인터페이스에서는 작동하지 않습니다.

P2MP 인프라에서 멀티캐스트 지원을 구성하는 방법에 대한 자세한 내용은 P2MP 인프라에서 멀티캐스트 지원 구성을 참조하십시오.

AutoVPN 제한 사항 이해

다음 기능은 AutoVPN에서 지원되지 않습니다.

  • 정책 기반 VPN은 지원되지 않습니다.

  • RIP 동적 라우팅 프로토콜은 AutoVPN 터널에서 지원되지 않습니다.

  • 수동 키와 사전 공유 키가 있는 자동 키 IKE(Internet Key Exchange)는 지원되지 않습니다.

  • 스포크용 허브에서 정적 NHTB(Next-Hop Tunnel Binding) 구성은 지원되지 않습니다.

  • IPv6 multicast는 지원되지 않습니다.

  • 그룹 IKE(Internet Key Exchange) ID 사용자 유형은 IP 주소를 IKE(Internet Key Exchange) ID로 사용할 수 없습니다.

  • 그룹 IKE ID 사용자 유형을 사용하는 경우 IKE ID는 동일한 외부 인터페이스에 구성된 다른 IKE 게이트웨이와 겹치지 않아야 합니다.

트래픽 선택기를 사용한 AutoVPN 이해

AutoVPN 허브는 스포크에 대한 트래픽을 보호하기 위해 여러 트래픽 선택기로 구성할 수 있습니다. 이 기능은 다음 이점을 제공합니다:

  • 단일 VPN 구성으로 여러 피어를 지원할 수 있습니다.

  • VPN 피어는 SRX 시리즈 방화벽이 아닐 수 있습니다.

  • 단일 피어는 동일한 VPN으로 여러 터널을 설정할 수 있습니다.

  • 동적 라우팅 프로토콜을 사용하는 AutoVPN보다 더 많은 수의 터널을 지원할 수 있습니다.

Junos OS 릴리스 17.4R1부터 포인트 투 포인트 모드에서 보안 터널 인터페이스를 사용하는 AutoVPN 네트워크는 트래픽 선택기 및 IKE 피어에 대해 IPv6 주소를 지원합니다.

허브-스포크 터널이 설정되면 허브는 이전 릴리스에서 RRI(Reverse Route Insertion)로 알려진 자동 경로 삽입(ARI)을 사용하여 라우팅 테이블의 스포크 접두사에 경로를 삽입합니다. 그런 다음 ARI 경로를 라우팅 프로토콜로 가져와 코어 네트워크로 배포할 수 있습니다.

트래픽 선택기가 있는 AutoVPN은 IKEv1 및 IKEv2 모두에 대해 지점 간 모드에서 보안 터널(st0) 인터페이스로 구성할 수 있습니다.

동적 라우팅 프로토콜은 트래픽 선택기가 구성될 때 st0 인터페이스에서 지원되지 않습니다.

트래픽 선택기로 AutoVPN을 구성할 때 다음 주의 사항에 유의하십시오.

  • 동적 라우팅 프로토콜은 포인트 투 포인트 모드에서 st0 인터페이스가 있는 트래픽 선택기에서 지원되지 않습니다.

  • Auto Discovery VPN 및 IKEv2 구성 페이로드 는 트래픽 선택기가 있는 AutoVPN으로 구성할 수 없습니다.

  • 스포크는 SRX 시리즈 방화벽이 아닐 수 있습니다. 그러나 다음과 같은 차이점이 있습니다.

    • IKEv2에서 비 SRX 시리즈 스포크는 단일 SA 협상에서 여러 트래픽 선택기를 제안할 수 있습니다. 이는 SRX 시리즈 방화벽에서 지원되지 않으며 협상이 거부됩니다.

    • 비 SRX 시리즈 스포크는 트래픽 선택기 사용을 위해 특정 포트 또는 프로토콜을 식별할 수 있습니다. 포트 및 프로토콜은 SRX 시리즈 방화벽의 트래픽 선택기에서 지원되지 않으며 협상이 거부됩니다.

참조

AutoVPN 구축의 스포크 인증 이해

AutoVPN 구축에서 허브 및 스포크 디바이스에는 유효한 X.509 PKI 인증서가 로드되어 있어야 합니다. 명령을 사용하여 show security pki local-certificate detail 디바이스에 로드된 인증서에 대한 정보를 표시할 수 있습니다.

이 항목에서는 스포크가 인증서를 사용하여 허브를 인증하고 연결할 수 있도록 하는 허브의 구성에 대해 설명합니다.

허브의 그룹 IKE(Internet Key Exchange) ID 구성

그룹 IKE ID 기능을 사용하면 여러 스포크 디바이스가 허브에서 IKE 구성을 공유할 수 있습니다. 각 스포크의 X.509 인증서에 있는 제목 또는 대체 제목 필드에 있는 인증서 소유자의 ID에는 모든 스포크에 공통적인 부분이 포함되어야 합니다. 인증서 식별의 공통 부분은 허브의 IKE 구성에 대해 지정됩니다.

예를 들어, 허브에서 IKE ID example.net 를 구성하여 호스트 이름 device1.example.net, device2.example.net, 로 스포크를 식별할 수 있습니다 device3.example.net. 각 스포크의 인증서는 필드의 가장 오른쪽 부분에 있는 example.net 대체 주체 필드에 호스트 이름 ID를 포함해야 합니다(예: device1.example.net). 이 예에서 모든 스포크는 IKE ID 페이로드에서 이 호스트 이름 ID를 사용합니다. IKE 협상 중에 스포크의 IKE ID는 허브에 구성된 피어 IKE ID의 공통 부분과 일치시키는 데 사용됩니다. 유효한 인증서가 스포크를 인증합니다.

인증서 식별의 공통 부분은 다음 중 하나일 수 있습니다.

  • 인증서의 대체 주체 필드의 가장 오른쪽 부분에 있는 부분 호스트 이름(예: example.net)입니다.

  • 인증서의 대체 주체 필드 맨 오른쪽에 있는 전자 메일 주소(예: @example.net)입니다.

  • 컨테이너 문자열, 와일드카드 집합 또는 둘 다 인증서의 주체 필드와 일치합니다. 주체 필드에는 ASN.1(Abstract Syntax Notation One) DN(고유 이름) 형식의 디지털 인증서 소유자에 대한 세부 정보가 포함됩니다. 필드에는 조직, 조직 구성 단위, 국가, 구/군/시 또는 일반 이름이 포함될 수 있습니다.

    인증서의 주체 필드와 일치하도록 그룹 IKE(Internet Key Exchange) ID를 구성하기 위해 다음과 같은 유형의 ID 일치를 지정할 수 있습니다.

    • 컨테이너 - 스포크 인증서의 주체 필드가 허브에 구성된 값과 정확히 일치하는 경우 허브는 스포크의 IKE ID를 인증합니다. 각 주제 필드에 대해 여러 항목을 지정할 수 있습니다(예: ou=eng,ou=sw). 필드의 값 순서는 일치해야 합니다.

    • 와일드카드—스포크 인증서의 주체 필드가 허브에 구성된 값과 일치하는 경우 허브는 스포크의 IKE ID를 인증합니다. 와일드카드 일치는 필드당 하나의 값만 지원합니다(예: ou=eng 또는 ou=sw 지원 안 됨 ou=eng,ou=sw). 필드의 순서는 중요하지 않습니다.

다음 예제에서는 인증서의 대체 주체 필드에 부분 호스트 이름을 example.net 사용하여 그룹 IKE(Internet Key Exchange) ID를 구성합니다.

이 예에서 은(는) example.net 모든 스포크에 사용되는 호스트 이름 식별의 공통 부분입니다. 스포크의 모든 X.509 인증서는 가장 오른쪽 부분에 있는 example.net 대체 주체 필드에 호스트 이름 ID를 포함해야 합니다. 모든 스포크는 IKE ID 페이로드에서 호스트 이름 ID를 사용해야 합니다.

다음 예에서는 조직 구성 단위 및 example 인증서의 조직 주체 필드에 있는 값과 sales 일치하도록 와일드카드를 사용하여 그룹 IKE(Internet Key Exchange) ID를 구성합니다.

이 예에서 필드는 ou=sales,o=example 스포크에서 예상되는 인증서의 주체 필드의 공통 부분입니다. IKE 협상 중에 스포크가 인증서의 주체 필드 cn=alice,ou=sales,o=example 와 함께 인증서를 제시하면 인증이 성공하고 터널이 설정됩니다. 스포크가 인증서에 주체 필드가 cn=thomas,ou=engineer,o=example 있는 인증서를 제공하는 경우 조직 단위가 이어야 하므로 허브에서 인증서를 거부합니다 sales.

스포크 연결 제외

허브 연결에서 특정 스포크를 제외하려면 해당 스포크에 대한 인증서를 취소해야 합니다. 허브는 해지된 인증서의 일련 번호가 포함된 CA에서 최신 CRL(인증서 해지 목록)을 검색해야 합니다. 그러면 허브는 취소된 스포크의 VPN 연결을 거부합니다. 허브에서 최신 CRL을 사용할 수 있을 때까지 허브는 취소된 스포크에서 터널을 계속 설정할 수 있습니다. 자세한 내용은 온라인 인증서 상태 프로토콜 및 인증서 해지 목록 이해인증 기관 프로필 이해를 참조하십시오.

참조

AutoVPN 구성 개요

다음 단계에서는 허브 및 스포크 디바이스에서 AutoVPN을 구성하기 위한 기본 작업을 설명합니다. AutoVPN 허브는 모든 현재 및 새 스포크에 대해 한 번 구성됩니다.

AutoVPN 허브를 구성하려면 다음을 수행합니다.

  1. 디바이스에 CA 인증서 및 로컬 인증서를 등록합니다.

    • CA 인증서가 없는 경우 사전 공유 키 기반 인증을 사용할 수 있습니다.

  2. 보안 터널(st0) 인터페이스를 생성하고 point-to-multipoint 모드로 구성합니다.
  3. 단일 IKE(Internet Key Exchange) 정책을 구성합니다.
  4. 모든 스포크에 공통적인 그룹 IKE(Internet Key Exchange) ID를 사용하여 IKE(Internet Key Exchange) 게이트웨이를 구성합니다.
  5. 단일 IPsec 정책 및 VPN을 구성합니다.
  6. 동적 라우팅 프로토콜을 구성합니다.

SRX 시리즈 AutoVPN 스포크 디바이스 구성 방법:

  1. 디바이스에 CA 인증서 및 로컬 인증서를 등록합니다.

    • 허브에서 사전 공유 키 인증을 구성하는 경우 사전 공유 키 기반 인증 방법을 사용합니다.

  2. st0 인터페이스를 생성하고 point-to-multipoint 모드로 구성합니다.

  3. 허브에 구성된 IKE(Internet Key Exchange) 정책과 일치하도록 IKE(Internet Key Exchange) 정책을 구성합니다.

  4. 허브에 구성된 그룹 IKE(Internet Key Exchange) ID와 일치하도록 ID가 있는 IKE(Internet Key Exchange) 게이트웨이를 구성합니다.

  5. 허브에 구성된 IPsec 정책과 일치하도록 IPsec 정책을 구성합니다.

  6. 동적 라우팅 프로토콜을 구성합니다.

이 주제에 나열된 예에서는 허브 및 스포크 구성에 Junos OS를 실행하는 SRX 시리즈 방화벽을 사용합니다. 스포크 디바이스에서 Junos OS가 실행되고 있지 않다면 다음 홉 터널 바인딩을 구성해야 합니다. 자세한 내용은 예: 다음 홉 터널 바인딩을 사용한 멀티포인트 VPN 구성 구성.

참조

예: iBGP를 사용한 기본 AutoVPN 구성

이 예제에서는 AutoVPN 허브를 단일 종료 지점으로 구성한 다음 두 개의 스포크를 원격 사이트에 대한 터널 역할을 하도록 구성하는 방법을 보여 줍니다. 이 예에서는 VPN 터널을 통해 패킷을 전달하도록 iBGP를 구성하고 인증서 기반 인증을 사용합니다.

사전 공유 키를 사용한 인증의 경우 단계별 절차 허브 의 '1단계 옵션 구성' 단계를 참조하여 허브를 구성하고, 단계별 절차 spoke1 을 사용하여 spoke1을 구성하고, 단계별 절차 spoke2를 구성하여 spoke2 를 구성합니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • AutoVPN 허브 및 스포크로 지원되는 SRX 시리즈 방화벽 3개

  • AutoVPN을 지원하는 Junos OS 릴리스 12.1X44-D10 이상

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다. 동적 라우팅 프로토콜의 특정 요구 사항에 대한 자세한 내용은 라우팅 프로토콜 개요를 참조하십시오.

개요

이 예에서는 AutoVPN 허브의 구성과 두 개의 스포크에 대한 후속 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 스포크용 인증서에는 제목 필드에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 서로 통신할 수 있을 뿐만 아니라 허브의 리소스에 액세스할 수 있습니다. AutoVPN 허브와 모든 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 3 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 3: AutoVPN 허브 및 스포크 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

2

인증 알고리즘

SHA-1

암호화 알고리즘

AES 128 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

인증 알고리즘

HMAC MD5 96

암호화 알고리즘

DES CBC

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

14

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

Junos OS는 단일 수준의 인증서 계층만 지원합니다.

표 4 은 허브와 모든 스포크에 구성된 옵션을 보여줍니다.

표 4: 허브 및 모든 스포크에 대한 AutoVPN 구성

옵션

허브

모든 스포크

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

동적

1 0.1.1.1

원격 IKE(Internet Key Exchange) ID

OU(조직 구성 단위) 필드의 문자열 SLT 이 있는 스포크 인증서의 DN(고유 이름)

허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

ge-0/0/1.0

스포크 1: 철-0/0/1.0

스포크 2: ge-0/0/1.0

VPN:

바인드 인터페이스

st0.0

st0.0

터널 설정

(구성되지 않음)

구성 커밋 즉시

표 5 은(는) 각 스포크에서 다른 구성 옵션을 보여줍니다.

표 5: 스포크 구성 간 비교

옵션

스포크 1

스포크 2

st0.0 인터페이스

10.10.10.2/24

10.10.10.3/24

내부 네트워크 인터페이스

(철-0.0/4.0) 10.60.60.1/24

(철-0.0/4.0) 10.70.70.1/24

인터넷 인터페이스

(철-0/0/1.0) 10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 2 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 2: iBGP를 사용한 기본 AutoVPN 구축 iBGP를 사용한 기본 AutoVPN 구축

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다. PSK를 사용하는 경우 이 단계를 무시합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

단계별 절차

스포크 2에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

    인증에 인증서 대신 사전 공유 키를 사용하려면 구성을 다음과 같이 변경합니다.

    • ike 제안에서 [edit security ike proposal ike-proposal] 계층 수준에서 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

      옵션에 대한 자세한 내용은 제안(보안 IKE)을 참조하십시오.

    • ike 정책의 [edit security ike policy policy-name] 계층 수준에서 certificate local-certificate Local1pre-shared-key ascii-text key.

      • 예를 들면 set pre-shared-key ascii-text juniper123입니다.

      옵션에 대한 자세한 내용은 정책(보안 IKE)을 참조하십시오.

    • ike(Internet Key Exchange) 게이트웨이의 [edit security ike gateway hub-to-spoke-gw] 계층 수준에서

      • 를 로 dynamic hostname domain-name바꿉니다dynamic distinguished-name wildcard OU=SLT.

        • 예를 들면 set dynamic hostname juniper.net입니다.

          디바이스가 호스트 이름을 확인할 수 있는지 확인합니다. 또는 스포크 동적 ID에 및 set dynamic ike-user-type group-ike-id 을(를) 사용할 set dynamic general-ikeid 수 있습니다.

      • 를 로 local-identity hostname hub-hostname바꿉니다local-identity distinguished-name.

        • 예를 들어 set local-identity hostname hub.juniper.net.

          디바이스가 호스트 이름을 확인할 수 있는지 확인합니다. 또는 에서와 같이 사용할 inet ip-address 수 있습니다 set local-identity inet 192.168.1.100.

      옵션에 대한 자세한 내용은 게이트웨이(보안 IKE)를 참조하십시오.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다. PSK를 사용하는 경우 이 단계를 무시합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

    인증에 인증서 대신 사전 공유 키를 사용하려면 구성을 다음과 같이 변경합니다.

    • ike 제안에서 [edit security ike proposal ike-proposal] 계층 수준에서 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

    • ike 정책의 [edit security ike policy policy-name] 계층 수준에서 certificate local-certificate Local1pre-shared-key ascii-text key.

    • ike(Internet Key Exchange) 게이트웨이의 [edit security ike gateway hub-to-spoke-gw] 계층 수준에서

      • 를 로 local-identity hostname spoke1-hostname바꿉니다local-identity distinguished-name.

        • 예를 들어 set local-identity hostname spoke1.juniper.net.

      • 를 로 remote-identity hostname hub-hostname바꿉니다remote-identity distinguished-name.

        • 예를 들면 set remote-identity hostname hub.juniper.net입니다.

      디바이스가 호스트 이름을 확인할 수 있는지 확인합니다. 또는 및 에서 set local-identity inet 172.16.1.100 와 같이 사용할 inet ip-address 수 있습니다set remote-identity inet 192.168.1.100.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다. PSK를 사용하는 경우 이 단계를 무시합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 2를 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

    인증에 인증서 대신 사전 공유 키를 사용하려면 구성을 다음과 같이 변경합니다.

    • ike 제안에서 [edit security ike proposal ike-proposal] 계층 수준에서 authentication-method rsa-signaturesauthentication-method pre-shared-keys.

    • ike 정책의 [edit security ike policy policy-name] 계층 수준에서 certificate local-certificate Local1pre-shared-key ascii-text key.

    • ike(Internet Key Exchange) 게이트웨이의 [edit security ike gateway hub-to-spoke-gw] 계층 수준에서

      • 를 로 local-identity hostname spoke2-hostname바꿉니다local-identity distinguished-name.

        • 예를 들면 set local-identity hostname spoke2.juniper.net입니다.

      • 를 로 remote-identity hostname hub-hostname바꿉니다remote-identity distinguished-name.

        • 예를 들면 set remote-identity hostname hub.juniper.net입니다.

      디바이스가 호스트 이름을 확인할 수 있는지 확인합니다. 또는 및 에서 set local-identity inet 10.0.1.100 와 같이 사용할 inet ip-address 수 있습니다set remote-identity inet 192.168.1.100.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다. PSK를 사용하는 경우 이 단계를 무시합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 security ipsec security-associations 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크 인터페이스의 IP 주소 st0 입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

BGP 검증

목적

BGP가 스포크의 인터페이스에 대한 st0 IP 주소를 참조하는지 확인합니다.

작업

운영 모드에서 show bgp summary 명령을 입력합니다.

학습된 경로 확인

목적

스포크에 대한 경로가 학습되었는지 확인합니다.

작업

운영 모드에서 show route 10.60.60.0 명령을 입력합니다.

운영 모드에서 show route 10.70.70.0 명령을 입력합니다.

참조

예: IPv6 트래픽에 대해 iBGP를 사용하여 기본 AutoVPN 구성

이 예제에서는 AutoVPN 허브를 단일 종료 지점으로 구성한 다음 두 개의 스포크를 원격 사이트에 대한 터널 역할을 하도록 구성하는 방법을 보여 줍니다. 이 예에서는 인증서 기반 인증을 사용하여 VPN 터널을 통해 패킷을 전달하도록 iBGP를 사용하여 IPv6용 AutoVPN 환경을 구성합니다.사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 3개의 SRX 시리즈 방화벽을 AutoVPN 허브 및 스포크로 지원합니다.

  • Junos OS 릴리즈 18.1R1 이상 릴리즈.

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다. 동적 라우팅 프로토콜의 특정 요구 사항에 대한 자세한 내용은 라우팅 프로토콜 개요를 참조하십시오.

개요

이 예에서는 AutoVPN 허브의 구성과 두 개의 스포크에 대한 후속 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 스포크용 인증서에는 제목 필드에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 서로 통신할 수 있을 뿐만 아니라 허브의 리소스에 액세스할 수 있습니다. AutoVPN 허브와 모든 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 6 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 6: AutoVPN 허브 및 스포크 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

19

인증 알고리즘

SHA-384

암호화 알고리즘

AES 256 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

라이프타임 초(Lifetime Seconds)

3000

암호화 알고리즘

AES 256 GCM

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

19

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

Junos OS는 단일 수준의 인증서 계층만 지원합니다.

표 7 은 허브와 모든 스포크에 구성된 옵션을 보여줍니다.

표 7: 허브 및 모든 스포크에 대한 AutoVPN 구성

옵션

허브

모든 스포크

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

동적

2001:db8:2000::1

원격 IKE(Internet Key Exchange) ID

OU(조직 구성 단위) 필드의 문자열 SLT 이 있는 스포크 인증서의 DN(고유 이름)

허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

ge-0/0/0

스포크 1: ge-0/0/0.0

스포크 2: ge-0/0/0.0

VPN:

바인드 인터페이스

st0.1

st0.1

터널 설정

(구성되지 않음)

establish-tunnels on-traffic

표 8 은(는) 각 스포크에서 다른 구성 옵션을 보여줍니다.

표 8: 스포크 구성 간 비교

옵션

스포크 1

스포크 2

st0.0 인터페이스

2001:db8:7000::2/64

2001:db8:7000::3/64

내부 네트워크 인터페이스

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

인터넷 인터페이스

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 3 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 3: iBGP를 사용한 기본 AutoVPN 구축iBGP를 사용한 기본 AutoVPN 구축

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

단계별 절차

스포크 2에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 2를 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 상태 확인

목적

IKE 상태를 확인합니다.

작업

운영 모드에서 show security ike sa 명령을 입력합니다.

의미

show security ike sa 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 상태 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec sa 명령을 입력합니다.

의미

show security ipsec sa 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크 인터페이스의 IP 주소 st0 입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

BGP 검증

목적

BGP가 스포크의 인터페이스에 대한 st0 IP 주소를 참조하는지 확인합니다.

작업

운영 모드에서 show bgp summary 명령을 입력합니다.

참조

예: iBGP 및 ECMP를 사용한 AutoVPN 구성

이 예에서는 AutoVPN 허브와 스포크 간에 두 개의 IPsec VPN 터널을 구성하는 방법을 보여줍니다. 이 예에서는 인증서 기반 인증을 사용하여 VPN 터널을 통해 패킷을 전달하도록 ECMP(Equal-Cost Multipath)를 사용하는 iBGP를 구성합니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • AutoVPN 허브 및 스포크로 지원되는 SRX 시리즈 방화벽 2개

  • AutoVPN을 지원하는 Junos OS 릴리스 12.1X44-D10 이상

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다.

개요

이 예에서는 두 개의 IPSec VPN 터널이 있는 AutoVPN 허브와 스포크의 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 인증서는 각 IPSec VPN 터널의 허브 및 스포크에 등록됩니다. 스포크용 인증서 중 하나에는 고유 이름(DN)에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다. 스포크에 대한 다른 인증서에는 DN의 OU 값 "SBU"가 포함되어 있습니다. 허브는 OU 필드의 값 "SBU"와 일치하도록 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 허브의 리소스에 액세스할 수 있도록 합니다. AutoVPN 허브 및 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다.표 9 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 9: AutoVPN 허브 및 스포크 iBGP ECMP 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

2

인증 알고리즘

SHA-1

암호화 알고리즘

AES 128 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

인증 알고리즘

HMAC MD5 96

암호화 알고리즘

DES CBC

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

14

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

Junos OS는 단일 수준의 인증서 계층만 지원합니다.

표 10 은 허브와 스포크에 구성된 옵션을 보여줍니다.

표 10: 허브 및 스포크 1에 대한 AutoVPN iBGP ECMP 구성

옵션

허브

스포크 1

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

허브-스포크-GW-1: 동적

허브-스포크-GW-2: 동적

스포크 투 허브-GW-1: 1 0.1.1.1

스포크 투 허브-GW-2: 10.1.2.1

원격 IKE(Internet Key Exchange) ID

허브-스포크-GW-1: OU 필드에 문자열 SLT 이 있는 스포크 인증서의 DN

허브-스포크-GW-2: OU 필드에 문자열 SBU 이 있는 스포크 인증서의 DN

스포크 투 허브-GW-1: 허브 인증서의 DNDN on the hub's certificate

스포크 투 허브-GW-2: 허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

허브-스포크-GW-1: ge-0/0/1.0

허브-스포크-GW-2: ge-0/0/2.0

스포크 투 허브-GW-1: 철-0/0/1.0

스포크 투 허브-GW-2: 철-0/0/2.0

VPN:

바인드 인터페이스

허브-스포크-VPN-1: st0.0

허브-스포크-VPN-2: st0.1

허브-스포크 1: st0.0

스포크 투 허브-2: st0.1

터널 설정

(구성되지 않음)

구성 커밋 즉시

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 4 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 4: iBGP 및 ECMP를 사용한 AutoVPN 구축 iBGP 및 ECMP를 사용한 AutoVPN 구축

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 각 인증서에 대한 키 쌍을 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 각 인증서에 대한 키 쌍을 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT Local1 및 SBU Local2입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하기 위한 및 OU=SBU 가 포함됩니다OU=SLT.

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 security ipsec security-associations 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크 인터페이스의 IP 주소 st0 입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

BGP 검증

목적

BGP가 스포크의 인터페이스에 대한 st0 IP 주소를 참조하는지 확인합니다.

작업

운영 모드에서 show bgp summary 명령을 입력합니다.

학습된 경로 확인

목적

스포크에 대한 경로가 학습되었는지 확인합니다.

작업

운영 모드에서 show route 10.60.60.0 detail 명령을 입력합니다.

포워딩 테이블에서 경로 설치 확인

목적

스포크에 대한 경로가 포워딩 테이블에 설치되었는지 확인합니다.

작업

운영 모드에서 show route forwarding-table matching 10.60.60.0 명령을 입력합니다.

참조

예: iBGP 및 Active-Backup 터널을 사용한 AutoVPN 구성

이 예에서는 AutoVPN 허브와 스포크 간에 활성 및 백업 IPsec VPN 터널을 구성하는 방법을 보여줍니다. 이 예에서는 인증서 기반 인증을 사용하여 VPN 터널을 통해 트래픽을 전달하도록 iBGP를 구성합니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • AutoVPN 허브 및 스포크로 지원되는 SRX 시리즈 방화벽 2개

  • AutoVPN을 지원하는 Junos OS 릴리스 12.1X44-D10 이상

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다.

개요

이 예에서는 두 개의 IPSec VPN 터널이 있는 AutoVPN 허브와 스포크의 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 인증서는 각 IPSec VPN 터널의 허브 및 스포크에 등록됩니다. 스포크용 인증서 중 하나에는 고유 이름(DN)에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다. 스포크에 대한 다른 인증서에는 DN의 OU 값 "SBU"가 포함되어 있습니다. 허브는 OU 필드의 값 "SBU"와 일치하도록 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 허브의 리소스에 액세스할 수 있도록 합니다. AutoVPN 허브 및 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 11 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 11: AutoVPN 허브 및 스포크 iBGP Active-Backup 터널 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

2

인증 알고리즘

SHA-1

암호화 알고리즘

AES 128 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

인증 알고리즘

HMAC MD5 96

암호화 알고리즘

DES CBC

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

14

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

Junos OS는 단일 수준의 인증서 계층만 지원합니다.

표 12 은 허브와 스포크에 구성된 옵션을 보여줍니다.

표 12: 허브 및 스포크 1에 대한 AutoVPN IBGP Active-Backup 터널 구성

옵션

허브

스포크 1

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

허브-스포크-GW-1: 동적

허브-스포크-GW-2: 동적

스포크 투 허브-GW-1: 1 0.1.1.1

스포크 투 허브-GW-2: 10.1.2.1

원격 IKE(Internet Key Exchange) ID

허브-스포크-GW-1: OU 필드에 문자열 SLT 이 있는 스포크 인증서의 DN

허브-스포크-GW-2: OU 필드에 문자열 SBU 이 있는 스포크 인증서의 DN

스포크 투 허브-GW-1: 허브 인증서의 DNDN on the hub's certificate

스포크 투 허브-GW-2: 허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

허브-스포크-GW-1: ge-0/0/1.0

허브-스포크-GW-2: ge-0/0/2.0

스포크 투 허브-GW-1: 철-0/0/1.0

스포크 투 허브-GW-2: 철-0/0/2.0

VPN:

바인드 인터페이스

허브-스포크-VPN-1: st0.0

허브-스포크-VPN-2: st0.1

허브-스포크 1: st0.0

스포크 투 허브-2: st0.1

VPN 모니터

허브-스포크-VPN-1: ge-0/0/1.0(소스 인터페이스)

허브-스포크-VPN-2: ge-0/0/2.0(소스 인터페이스)

허브-스포크 1: 10.1.1.1(대상 IP)

스포크 투 허브-2: 10.1.2.1(대상 IP)

터널 설정

(구성되지 않음)

구성 커밋 즉시

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 5 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 5: iBGP 및 Active-Backup 터널을 사용한 AutoVPN 구축 iBGP 및 Active-Backup 터널을 사용한 AutoVPN 구축

이 예에서는 허브와 스포크 1 사이에 두 개의 IPSec VPN 터널이 설정됩니다. 라우팅 정보는 각 터널에서 iBGP 세션을 통해 교환됩니다. 10.60.60.0/24에 대한 경로에 대한 가장 긴 접두사 일치는 허브의 st0.0 인터페이스를 통해 이루어집니다. 따라서 경로의 기본 터널은 허브 및 스포크 1의 st0.0 인터페이스를 통과합니다. 기본 경로는 허브 및 스포크 1의 st0.1 인터페이스에 있는 백업 터널을 통과하는 것입니다.

VPN 모니터링은 터널의 상태를 확인합니다. 기본 터널에 문제가 있는 경우(예: 원격 터널 게이트웨이에 연결할 수 없는 경우) 터널 상태가 다운으로 변경되고 10.60.60.0/24로 향하는 데이터가 백업 터널을 통해 다시 라우팅됩니다.

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 각 인증서에 대한 키 쌍을 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 각 인증서에 대한 키 쌍을 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT Local1 및 SBU Local2입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하기 위한 및 OU=SBU 가 포함됩니다OU=SLT.

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show policy-options, , show routing-optionsshow protocols, show security ike, show security ipsec, show security zones, 및 show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 1단계 상태 확인(두 터널 모두 작동 중)

목적

두 IPSec VPN 터널이 모두 작동 중일 때 IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 2단계 상태 확인(두 터널 모두 작동 중)

목적

두 IPsec VPN 터널이 모두 작동 중일 때 IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 security ipsec security-associations 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인(두 터널 모두 작동 중)

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크의 인터페이스에 대한 st0 IP 주소입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

BGP 확인(두 터널이 모두 작동 중임)

목적

두 IPsec VPN 터널이 모두 작동 중일 때 BGP가 스포크 인터페이스의 IP 주소를 st0 참조하는지 확인합니다.

작업

운영 모드에서 show bgp summary 명령을 입력합니다.

학습된 경로 확인(두 터널 모두 작동 중)

목적

두 터널이 모두 작동 중일 때 스포크에 대한 경로가 학습되었는지 확인합니다. 10.60.60.0/24에 대한 경로는 st0.0 인터페이스를 통하고 기본 경로는 st0.1 인터페이스를 통합니다.

작업

운영 모드에서 show route 10.60.60.0 명령을 입력합니다.

운영 모드에서 show route 0.0.0.0 명령을 입력합니다.

IKE(Internet Key Exchange) 1단계 상태 확인(기본 터널이 다운됨)

목적

기본 터널이 다운되면 IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 2단계 상태 확인(기본 터널 다운)

목적

기본 터널이 다운되면 IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 security ipsec security-associations 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인(기본 터널이 다운됨)

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크의 인터페이스에 대한 st0 IP 주소입니다. 다음 홉은 올바른 IPSec VPN 이름(이 경우 백업 VPN 터널)과 연결되어야 합니다.

BGP 확인(기본 터널 다운)

목적

기본 터널이 다운되었을 때 BGP가 스포크 인터페이스의 IP 주소를 st0 참조하는지 확인합니다.

작업

운영 모드에서 show bgp summary 명령을 입력합니다.

학습된 경로 확인(기본 터널이 다운됨)

목적

기본 터널이 다운되었을 때 스포크에 대한 경로가 학습되었는지 확인합니다. 10.60.60.0/24에 대한 경로와 기본 경로는 모두 st0.1 인터페이스를 통해 이루어집니다.

작업

운영 모드에서 show route 10.60.60.0 명령을 입력합니다.

운영 모드에서 show route 0.0.0.0 명령을 입력합니다.

참조

예: OSPF를 사용한 기본 AutoVPN 구성

이 예제에서는 AutoVPN 허브를 단일 종료 지점으로 구성한 다음 두 개의 스포크를 원격 사이트에 대한 터널 역할을 하도록 구성하는 방법을 보여 줍니다. 이 예에서는 인증서 기반 인증을 사용하여 VPN 터널을 통해 패킷을 전달하도록 OSPF를 구성합니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • AutoVPN 허브 및 스포크로 지원되는 SRX 시리즈 방화벽 3개

  • AutoVPN을 지원하는 Junos OS 릴리스 12.1X44-D10 이상

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다.

개요

이 예에서는 AutoVPN 허브의 구성과 두 개의 스포크에 대한 후속 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 스포크용 인증서에는 제목 필드에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 서로 통신할 수 있을 뿐만 아니라 허브의 리소스에 액세스할 수 있습니다. AutoVPN 허브와 모든 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 13 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 13: AutoVPN 허브 및 스포크 기본 OSPF 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

2

인증 알고리즘

SHA-1

암호화 알고리즘

AES 128 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

인증 알고리즘

HMAC MD5 96

암호화 알고리즘

DES CBC

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

14

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

Junos OS는 단일 수준의 인증서 계층만 지원합니다.

표 14 은 허브와 모든 스포크에 구성된 옵션을 보여줍니다.

표 14: 허브 및 모든 스포크에 대한 AutoVPN 기본 OSPF 구성

옵션

허브

모든 스포크

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

동적

1 0.1.1.1

원격 IKE(Internet Key Exchange) ID

OU(조직 구성 단위) 필드의 문자열 SLT 이 있는 스포크 인증서의 DN(고유 이름)

허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

ge-0/0/1.0

스포크 1: 철-0/0/1.0

스포크 2: ge-0/0/1.0

VPN:

바인드 인터페이스

st0.0

st0.0

터널 설정

(구성되지 않음)

구성 커밋 즉시

표 15 은(는) 각 스포크에서 다른 구성 옵션을 보여줍니다.

표 15: 기본 OSPF 스포크 구성 간의 비교

옵션

스포크 1

스포크 2

st0.0 인터페이스

10.10.10.2/24

10.10.10.3/24

내부 네트워크 인터페이스

fe-0.0/4.0: 100.60.60.1/24

fe-0.0/4.0: 10.70.70.1/24

인터넷 인터페이스

fe-0/0/1.0: 10.2.2.1/30

ge-0/0/1.0: 10.3.3.1/30

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 6 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 6: OSPF를 사용한 기본 AutoVPN 구축 OSPF를 사용한 기본 AutoVPN 구축

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

단계별 절차

스포크 2에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 2를 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 1단계 상태 확인

목적

IKE(Internet Key Exchange) 1단계 상태를 확인합니다.

작업

운영 모드에서 show security ike security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 security ipsec security-associations 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크 인터페이스의 IP 주소 st0 입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

OSPF 확인

목적

OSPF가 스포크의 인터페이스에 대한 st0 IP 주소를 참조하는지 확인합니다.

작업

운영 모드에서 show ospf neighbor 명령을 입력합니다.

학습된 경로 확인

목적

스포크에 대한 경로가 학습되었는지 확인합니다.

작업

운영 모드에서 show route 60.60.60.0 명령을 입력합니다.

운영 모드에서 show route 10.70.70.0 명령을 입력합니다.

참조

예: IPv6 트래픽을 위해 OSPFv3를 사용하여 AutoVPN 구성

이 예제에서는 AutoVPN 허브를 단일 종료 지점으로 구성한 다음 두 개의 스포크를 원격 사이트에 대한 터널 역할을 하도록 구성하는 방법을 보여 줍니다. 이 예에서는 인증서 기반 인증을 사용하여 VPN 터널 을 통해 패킷을 전달하도록 OSPFv3을 사용하여 IPv6용 AutoVPN 환경을 구성합니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 3개의 SRX 시리즈 방화벽을 AutoVPN 허브 및 스포크로 지원합니다.

  • Junos OS 릴리즈 18.1R1 이상 릴리즈.

시작하기 전에:

  • 로컬 인증서에 대한 요청을 제출할 때 인증 기관(CA)의 주소와 필요한 정보(예: 인증 확인 암호)를 얻습니다.

VPN 터널을 통해 패킷을 전달하는 데 사용되는 동적 라우팅 프로토콜에 대해 잘 알고 있어야 합니다.

개요

이 예에서는 허브에서 OSPFv3 라우팅 프로토콜을 사용하는 AutoVPN의 구성과 두 개의 스포크의 후속 구성을 보여 줍니다.

이 예제에서 첫 번째 단계는 SCEP(단순 인증서 등록 프로토콜)를 사용하여 각 디바이스에 디지털 인증서를 등록하는 것입니다. 스포크용 인증서에는 제목 필드에 OU(조직 구성 단위) 값 "SLT"가 포함되어 있습니다. 허브는 OU 필드의 값 "SLT"와 일치하는 그룹 IKE ID로 구성됩니다.

스포크는 허브에 대한 IPsec VPN 연결을 설정하여 서로 통신할 수 있을 뿐만 아니라 허브의 리소스에 액세스할 수 있습니다. AutoVPN 허브와 모든 스포크에 구성된 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 16 은(는) 이 예에서 사용된 옵션을 보여줍니다.

표 16: AutoVPN 허브 및 스포크 기본 OSPFv3 구성을 위한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 디지털 인증서

DH(Diffie-Hellman) 그룹

19

인증 알고리즘

SHA-384

암호화 알고리즘

AES 256 CBC

IKE(Internet Key Exchange) 정책:

모드

주요한

IPsec 제안:

프로토콜

ESP

라이프타임 초(초)

3000

암호화 알고리즘

AES 256 GCM

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

19

모든 디바이스에 동일한 인증 기관(CA)이 구성됩니다.

표 17 은 허브와 모든 스포크에 구성된 옵션을 보여줍니다.

표 17: 허브 및 모든 스포크에 대한 AutoVPN OSPFv3 구성

옵션

허브

모든 스포크

IKE(Internet Key Exchange) 게이트웨이:

원격 IP 주소

동적

2001:db8:2000::1

원격 IKE(Internet Key Exchange) ID

OU(조직 구성 단위) 필드의 문자열 SLT 이 있는 스포크 인증서의 DN(고유 이름)

허브 인증서의 DNDN on the hub's certificate

로컬 IKE(Internet Key Exchange) ID

허브 인증서의 DNDN on the hub's certificate

스포크 인증서의 DN

외부 인터페이스

ge-0/0/0

스포크 1: ge-0/0/0.0

스포크 2: ge-0/0/0.0

VPN:

바인드 인터페이스

st0.1

st0.1

터널 설정

(구성되지 않음)

구성 커밋 즉시

표 18 은(는) 각 스포크에서 다른 구성 옵션을 보여줍니다.

표 18: OSPFv3 스포크 구성 간 비교

옵션

스포크 1

스포크 2

st0.1 인터페이스

2001:db8:7000::2/64

2001:db8:7000::3/64

내부 네트워크 인터페이스

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

인터넷 인터페이스

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

모든 디바이스에 대한 라우팅 정보는 VPN 터널을 통해 교환됩니다.

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.

토폴로지

그림 7 에는 이 예에서 AutoVPN에 대해 구성할 SRX 시리즈 방화벽이 나와 있습니다.

그림 7: OSPFv3을 사용한 기본 AutoVPN 구축OSPFv3을 사용한 기본 AutoVPN 구축

구성

AutoVPN을 구성하려면 다음 작업을 수행합니다.

첫 번째 섹션에서는 허브 및 스포크 디바이스에서 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인으로 CA 및 로컬 인증서를 얻는 방법을 설명합니다.

SCEP를 사용하여 장치 인증서 등록Enroll Device Certificates with SCEP

단계별 절차

허브에서 SCEP를 사용하여 디지털 인증서를 등록하려면 다음을 수행합니다.

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

단계별 절차

스포크 1에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

단계별 절차

스포크 2에서 SCEP를 사용하여 디지털 인증서를 등록하려면:

  1. CA를 구성합니다.

  2. CA 인증서를 등록합니다.

    프롬프트에 입력하여 yes CA 인증서를 로드합니다.

  3. 키 페어를 생성합니다.

  4. 로컬 인증서를 등록합니다.

  5. 로컬 인증서를 확인합니다.

    제목 필드에 표시된 OU(조직 구성 단위)는 SLT입니다. 허브의 IKE(Internet Key Exchange) 구성에는 스포크를 식별하는 기능이 포함됩니다 ou=SLT .

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성 1

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 1을 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 2 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

스포크 2를 구성하려면:

  1. 인터페이스를 구성합니다.

  2. 라우팅 프로토콜을 구성합니다.

  3. 1단계 옵션을 구성합니다.

  4. 2단계 옵션을 구성합니다.

  5. 영역을 구성합니다.

  6. 기본 보안 정책을 구성합니다.

  7. CA 프로필을 구성합니다.

결과

구성 모드에서 , show protocols, , show security ikeshow routing-options, show security ipsec, show security zones, show security policiesshow security pki 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

IKE(Internet Key Exchange) 상태 확인

목적

IKE 상태를 확인합니다.

작업

운영 모드에서 show security ike sa 명령을 입력합니다.

의미

show security ike sa 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 상태 확인

목적

IPsec 상태를 확인합니다.

작업

운영 모드에서 show security ipsec sa 명령을 입력합니다.

의미

show security ipsec sa 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브와 스포크에서 일치해야 합니다.

IPsec 다음 홉 터널 확인

목적

IPsec 다음 홉 터널을 확인합니다.

작업

운영 모드에서 show security ipsec next-hop-tunnels 명령을 입력합니다.

의미

다음 홉 게이트웨이는 스포크 인터페이스의 IP 주소 st0 입니다. next hop은 올바른 IPSec VPN 이름과 연결되어야 합니다.

OSPFv3 확인

목적

OSPFv3가 스포크 인터페이스의 IP 주소를 st0 참조하는지 확인합니다.

작업

운영 모드에서 show ospf3 neighbor detail 명령을 입력합니다.

허브:

스포크 1:

스포크 2:

참조

예: 트래픽 선택기를 사용하여 AutoVPN 터널을 통해 트래픽 전달

이 예에서는 AutoVPN 구축에서 VPN 터널을 통해 패킷을 전달하도록 동적 라우팅 프로토콜 대신 트래픽 선택기를 구성하는 방법을 보여줍니다. 트래픽 선택기가 구성되면 보안 터널(st0) 인터페이스는 포인트 투 포인트 모드여야 합니다. 트래픽 선택기는 허브 및 스포크 디바이스 모두에서 구성됩니다. 이 예에서는 인증서 기반 인증을 사용하고 있습니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 섀시 클러스터에 연결 및 구성된 SRX 시리즈 방화벽 2개. 섀시 클러스터는 AutoVPN 허브입니다.

  • AutoVPN 스포크로 구성된 SRX 시리즈 방화벽.

  • Junos OS 릴리스 12.3X48-D10 이상.

  • 허브에 등록된 디지털 인증서 및 장치가 서로 인증할 수 있도록 하는 스포크 장치.

시작하기 전에:

개요

이 예에서 트래픽 선택기는 AutoVPN 허브 및 스포크에 구성됩니다. 구성된 트래픽 선택기를 준수하는 트래픽만 터널을 통해 전달됩니다. 허브에서 트래픽 선택기는 로컬 IP 주소 192.0.0.0/8 및 원격 IP 주소 172.0.0.0/8로 구성됩니다. 스포크에서 트래픽 선택기는 로컬 IP 주소 172.0.0.0/8 및 원격 IP 주소 192.0.0.0/8로 구성됩니다.

스포크에 구성된 트래픽 선택기 IP 주소는 허브에 구성된 트래픽 선택기 IP 주소의 하위 집합일 수 있습니다. 이를 트래픽 선택기 플렉서블 매치라고 합니다.

AutoVPN 허브 및 스포크에 구성된 특정 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 19 은(는) 이 예에 사용된 값을 보여줍니다.

표 19: 트래픽 선택기가 있는 AutoVPN 허브 및 스포크에 대한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 서명

DH(Diffie-Hellman) 그룹

group5

인증 알고리즘

샤-1

암호화 알고리즘

AES-256-CBC

IKE(Internet Key Exchange) 정책:

모드

main

증명서

로컬 인증서

IKE(Internet Key Exchange) 게이트웨이:

동적

고유 이름 와일드카드 DC=Common_component

IKE 사용자 유형

그룹 IKE(Internet Key Exchange) ID

로컬 ID

고유 이름

버전

v1 전용

IPsec 제안:

프로토콜

esp

인증 알고리즘

hmac-sha1-96

암호화 알고리즘

AES-192-CBC

평생

3600 초

150,000킬로바이트

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

그룹5

토폴로지

그림 8 은(는) 이 예에서 구성할 SRX 시리즈 방화벽을 보여줍니다.

그림 8: 트래픽 선택기가 있는 AutoVPN 트래픽 선택기가 있는 AutoVPN

구성

허브 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

Junos OS 릴리스 15.1X49-D120부터 [edit security ike gateway gateway-name dynamic] 계층 수준에서 CLI 옵션을 reject-duplicate-connection 구성하여 기존 터널 세션을 유지하고 동일한 IKE ID를 가진 새 터널에 대한 협상 요청을 거부할 수 있습니다. 기본적으로 동일한 IKE(Internet Key Exchange) ID를 가진 새 터널이 설정되면 기존 터널이 해체됩니다. 이 reject-duplicate-connection 옵션은 IKE(Internet Key Exchange) 게이트웨이에 대해 또는 ike-user-type shared-ike-id 이(가) 구성된 경우에만 ike-user-type group-ike-id 지원되며, aaa access-profile profile-name 이 옵션에서는 구성이 지원되지 않습니다.

동일한 IKE(Internet Key Exchange) ID를 가진 새 터널의 재설정이 거부되어야 한다고 확신하는 경우에만 CLI 옵션을 reject-duplicate-connection 사용합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 1단계 옵션을 구성합니다.

  3. 2단계 옵션을 구성합니다.

  4. 인증서 정보를 구성합니다.

  5. 보안 영역을 구성합니다.

결과

구성 모드에서 show interfaces, show security ike, show security ipsec, show security pki, show security zonesshow security policies 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

스포크 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 1단계 옵션을 구성합니다.

  3. 2단계 옵션을 구성합니다.

  4. 인증서 정보를 구성합니다.

  5. 보안 영역을 구성합니다.

결과

구성 모드에서 show interfaces, show security ike, show security ipsec, show security pki, show security zonesshow security policies 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

터널 확인

목적

AutoVPN 허브와 스포크 사이에 터널이 설정되었는지 확인합니다.

작업

운영 모드에서 허브에 show security ike security-associationsshow security ipsec security-associations 명령을 입력합니다.

운영 모드에서 스포크에 show security ike security-associationsshow security ipsec security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. 허브는 스포크에 대한 하나의 활성 터널을 표시하고 스포크는 허브에 대한 하나의 활성 터널을 표시합니다.

IKE(Internet Key Exchange) 1단계에 대한 SA가 나열되지 않으면 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

IKE(Internet Key Exchange) 2단계에 대한 SA가 나열되지 않으면 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브 및 스포크에서 일치해야 합니다.

트래픽 선택기 확인

목적

트래픽 선택기를 확인합니다.

작업

운영 모드에서 허브에 show security ipsec traffic-selector interface-name st0.1 명령을 입력합니다.

운영 모드에서 스포크에 명령을 입력합니다 show security ipsec traffic-selector interface-name st0.1 .

의미

트래픽 선택기는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 트래픽 선택기를 준수하는 트래픽만 SA를 통해 허용됩니다. 트래픽 선택기는 개시자와 응답자(SRX 시리즈 허브) 간에 협상됩니다.

참조

예: AutoVPN 및 트래픽 선택기를 통한 VPN 터널 가용성 보장

지리적 중복성은 정전, 자연 재해 또는 사이트에 영향을 미치는 기타 재해 이벤트가 발생하더라도 트래픽이 공급자 네트워크를 통해 계속 흐를 수 있도록 지리적으로 멀리 떨어진 여러 사이트를 배포하는 것입니다. 모바일 프로바이더 네트워크에서는 SRX 시리즈 방화벽의 지역 중복 IPsec VPN 게이트웨이를 통해 여러 eNodeB(Evolved Node B) 디바이스를 코어 네트워크에 연결할 수 있습니다. eNodeB 디바이스에 대한 대체 경로는 동적 라우팅 프로토콜을 사용하여 코어 네트워크에 배포됩니다.

이 예에서는 SRX 시리즈 방화벽에서 여러 트래픽 선택기로 AutoVPN 허브를 구성하여 eNodeB 디바이스에 대한 지역 중복 IPsec VPN 게이트웨이가 있는지 확인합니다. 자동 경로 삽입(ARI)은 허브의 라우팅 테이블에서 eNodeB 디바이스로 경로를 자동으로 삽입하는 데 사용됩니다. 그런 다음 ARI 경로는 BGP를 통해 프로바이더의 코어 네트워크에 배포됩니다. 이 예에서는 인증서 기반 인증을 사용하고 있습니다. 사전 공유 키를 사용한 인증의 경우 예: iBGP를 사용하여 기본 AutoVPN 구성.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 섀시 클러스터에 연결 및 구성된 SRX 시리즈 방화벽 2개. 섀시 클러스터는 AutoVPN 허브 A입니다.

  • AutoVPN 허브 B로 구성된 SRX 시리즈 방화벽.

  • Junos OS 릴리스 12.3X48-D10 이상.

  • AutoVPN 허브를 사용하여 IPsec VPN 터널을 설정할 수 있는 eNodeB 디바이스입니다. eNodeB 디바이스는 AutoVPN 허브를 사용하여 VPN 터널을 시작하는 타사 네트워크 장비 공급자입니다.

  • 허브에 등록된 디지털 인증서 및 장치가 서로 인증할 수 있도록 하는 eNodeB 장치.

시작하기 전에:

이 예에서는 BGP 동적 라우팅 프로토콜을 사용하여 코어 네트워크에 eNodeB 디바이스로 향하는 경로를 보급합니다.

개요

이 예에서는 eNodeB 디바이스에 지역 중복 IPsec VPN 게이트웨이를 제공하기 위해 SRX 시리즈 방화벽에 여러 개의 트래픽 선택기와 함께 두 개의 AutoVPN 허브를 구성합니다. ARI는 허브의 라우팅 테이블에 있는 eNodeB 디바이스에 대한 경로를 자동으로 삽입합니다. 그런 다음 ARI 경로는 BGP를 통해 프로바이더의 코어 네트워크에 배포됩니다.

AutoVPN 허브 및 eNodeB 디바이스에 구성된 특정 1단계 및 2단계 IKE 터널 옵션은 동일한 값을 가져야 합니다. 표 20 은(는) 이 예에 사용된 값을 보여줍니다.

표 20: Georedundant AutoVPN 허브에 대한 1단계 및 2단계 옵션

옵션

가치

IKE(Internet Key Exchange) 제안:

인증 방법

RSA 서명

DH(Diffie-Hellman) 그룹

group5

인증 알고리즘

샤-1

암호화 알고리즘

AES-256-CBC

IKE(Internet Key Exchange) 정책:

증명서

로컬 인증서

IKE(Internet Key Exchange) 게이트웨이:

동적

고유 이름 와일드카드 DC=Common_component

IKE 사용자 유형

그룹 IKE(Internet Key Exchange) ID

데드 피어 탐지

probe-idle-tunnel

로컬 ID

고유 이름

버전

v2 전용

IPsec 제안:

프로토콜

esp

인증 알고리즘

hmac-sha1-96

암호화 알고리즘

AES-256-CBC

IPsec 정책:

PFS(Perfect Forward Secrecy) 그룹

그룹5

이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오. 단순화를 위해 SRX 시리즈 방화벽의 구성은 모든 유형의 인바운드 트래픽을 허용합니다. 이 구성은 프로덕션 배포에 권장되지 않습니다.

토폴로지

그림 9 은(는) 이 예에서 구성할 SRX 시리즈 방화벽을 보여줍니다.

그림 9: eNodeB 디바이스에 대한 지역 중복 IPsec VPN 게이트웨이eNodeB 디바이스에 대한 지역 중복 IPsec VPN 게이트웨이

구성

허브 A 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브 A를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 1단계 옵션을 구성합니다.

  3. 2단계 옵션을 구성합니다.

  4. BGP 라우팅 프로토콜을 구성합니다.

  5. 라우팅 옵션을 구성합니다.

  6. 인증서 정보를 구성합니다.

  7. 보안 영역을 구성합니다.

결과

구성 모드에서 , show security ipsec, , show policy-optionsshow protocols bgp, show security pkishow security zones, 및 show security policies 명령을 입력하여 show interfaces show security ike구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

허브 B 구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

허브 B를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. 1단계 옵션을 구성합니다.

  3. 2단계 옵션을 구성합니다.

  4. BGP 라우팅 프로토콜을 구성합니다.

  5. 라우팅 옵션을 구성합니다.

  6. 인증서 정보를 구성합니다.

  7. 보안 영역을 구성합니다.

결과

구성 모드에서 , show security ipsec, show protocols bgp, show security pki, show security zonesshow security policies 명령을 입력하여 show interfaces show security ike구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

eNodeB 구성(샘플 구성)

단계별 절차

  1. 이 예의 eNodeB 구성은 참조용으로 제공됩니다. 자세한 eNodeB 구성 정보는 이 문서의 범위를 벗어납니다. eNodeB 구성에는 다음 정보가 포함되어야 합니다.

    • 로컬 인증서(X.509v3) 및 IKE ID 정보

    • SRX 시리즈 IKE ID 정보 및 공용 IP 주소

    • SRX 시리즈 허브의 구성과 일치하는 1단계 및 2단계 제안

결과

이 예제의 eNodeB 디바이스는 IPsec 기반 VPN 연결을 위해 strongSwan 오픈 소스 소프트웨어를 사용합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

AutoVPN 허브에서 터널 확인

목적

AutoVPN 허브와 eNodeB 디바이스 간에 터널이 설정되었는지 확인합니다.

작업

운영 모드에서 허브에 show security ike security-associationsshow security ipsec security-associations 명령을 입력합니다.

의미

show security ike security-associations 명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. 허브에는 각 eNodeB 디바이스에 하나씩 두 개의 활성 터널이 표시됩니다.

IKE(Internet Key Exchange) 1단계에 대한 SA가 나열되지 않으면 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 1단계 제안 매개 변수는 허브 및 eNodeB 디바이스에서 일치해야 합니다.

IKE(Internet Key Exchange) 2단계에 대한 SA가 나열되지 않으면 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 허브 및 eNodeB 디바이스에서 일치해야 합니다.

트래픽 선택기 확인

목적

트래픽 선택기를 확인합니다.

작업

운영 모드에서 show security ipsec traffic-selector interface-name st0.1 명령을 입력합니다.

의미

트래픽 선택기는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 트래픽 선택기를 준수하는 트래픽만 SA를 통해 허용됩니다. 트래픽 선택기는 개시자와 응답자(SRX 시리즈 허브) 간에 협상됩니다.

ARI 경로 확인

목적

ARI 경로가 라우팅 테이블에 추가되었는지 확인합니다.

작업

운영 모드에서 show route 명령을 입력합니다.

의미

자동 경로 삽입(ARI)은 원격 터널 엔드포인트로 보호되는 원격 네트워크와 호스트에 대해 고정 경로를 자동으로 삽입합니다. 경로는 트래픽 선택기에 구성된 원격 IP 주소를 기반으로 생성됩니다. 트래픽 선택기의 경우, 구성된 원격 주소는 VPN에 바인딩된 st0 인터페이스와 연결된 라우팅 인스턴스에 경로로 삽입됩니다.

eNodeB 대상 에 대한 정적 경로 10.30.1.0/24 및 10.50.1.0/24가 SRX 시리즈 허브의 라우팅 테이블에 추가됩니다. 이러한 경로는 st0.1 인터페이스를 통해 연결할 수 있습니다.

참조

예: 사전 공유 키를 사용하여 AutoVPN 구성

이 예제에서는 원격 피어를 인증하기 위해 VPN 게이트웨이에서 사용하는 다른 IKE 사전 공유 키를 구성하는 방법을 보여 줍니다. 마찬가지로 VPN 게이트웨이에서 원격 피어를 인증하는 데 사용하는 것과 동일한 IKE 사전 공유 키를 구성합니다.

AutoVPN의 엔드 투 엔드 구성에 대해서는 이 주제의 다른 예를 참조하십시오.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • AutoVPN을 지원하는 MX-SPC3 및 Junos OS 릴리스 21.1R1이 포함된 MX240, MX480 및 MX960
  • 또는 AutoVPN을 지원하는 SPC3 및 Junos OS 릴리스 21.2R1과 SRX5000 라인
  • 또는 AutoVPN을 junos-ike 지원하는 iked 프로세스(패키지 포함) 및 Junos OS 릴리스 21.2R1을 실행하는 vSRX 가상 방화벽

다른 IKE 사전 공유 키 구성

VPN 게이트웨이가 원격 피어를 인증하는 데 사용하는 다른 IKE 사전 공유 키를 구성하려면 다음 작업을 수행합니다.

  1. AutoVPN 허브가 있는 디바이스에서 IKE 정책에 대해 시드된 사전 공유를 구성합니다.

    또는

    예:

    또는

  2. 게이트웨이 이름 및 사용자 ID를 사용하여 원격 피어에 대해 을( pre-shared key 를) 표시합니다.

    예:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. 원격 피어 디바이스의 ike 정책에서 생성된 PSK( 2단계의 "79e4ea39f5c06834a3c4c031e37c6de24d46798a")를 구성합니다.

    예:

  4. (선택 사항) IKE ID 검증을 우회하고 모든 IKE ID 유형을 허용하려면 게이트웨이의 [edit security ike gateway gateway_name dynamic] 계층 수준에서 구성 문을 구성합니다general-ikeid.

결과

구성 모드에서 show security 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

동일한 IKE 사전 공유 키 구성

VPN 게이트웨이가 원격 피어를 인증하는 데 사용하는 것과 동일한 IKE 사전 공유 키를 구성하려면 다음 작업을 수행합니다.

  1. AutoVPN 허브가 있는 디바이스에서 ike 정책에 대한 공통 pre-shared-key 을 구성합니다.

    예:

  2. 원격 피어 디바이스에 대한 ike(Internet Key Exchange) 정책에서 공통 pre-shared-key 을 구성합니다.

    예:

  3. (선택 사항) IKE ID 검증을 우회하고 모든 IKE ID 유형을 허용하려면 게이트웨이의 [edit security ike gateway gateway_name dynamic] 계층 수준에서 구성 문을 구성합니다general-ikeid.

결과

구성 모드에서 show security 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

P2MP 인프라에서 멀티캐스트 지원 구성

이 항목에서는 P2MP 인프라에서 멀티캐스트 지원을 사용하도록 설정하는 방법을 알아봅니다.

멀티캐스트 지원을 사용하도록 설정하기 전에 PIM을 사용한 멀티캐스트 지원에 나열된 고려 사항을 충족하는지 확인합니다.

다음 섹션을 참조하여 멀티캐스트 지원을 구성하고 확인합니다.

멀티캐스트 인터페이스 구성

  • st0.0 인터페이스에서 PIM을 활성화하려면 다음을 사용합니다.set protocols pim interface interface-name command

    st0.0 여기서는 보안 터널 인터페이스가 있습니다.

  • P2MP 모드를 위해 st0.0 인터페이스에서 멀티포인트를 활성화하려면 명령을 사용합니다 set interfaces interface-name unit unit-number multipoint .

  • st0.0 인터페이스에 대한 IPv4 주소를 설정하려면 명령을 사용합니다.set interfaces interface-name unit unit-number family inet address IPv4 address

    여기서 192.168.1.3/24는 인터페이스의 IP 주소입니다.

  • st0.0 인터페이스에서 PIM을 비활성화하려면 다음 옵션을 disable사용합니다.

멀티캐스트 구성을 확인하기 위한 CLI 명령

다음 명령을 사용하여 멀티캐스트 구성을 확인할 수 있습니다.

  • PIM 인터페이스를 나열하려면 명령을 사용합니다 show pim interfaces .

  • 멀티캐스트 그룹s에 가입한 이웃을 나열하려면 명령을 사용합니다 show pim join extensive .

  • IP 멀티캐스트 포워딩 테이블의 항목을 보려면 명령을 사용합니다 show multicast route .

  • 멀티캐스트 다음 홉 세부 정보를 보려면 명령을 사용합니다 show multicast next-hops detail .

  • IP 멀티캐스트 통계를 보려면 명령을 사용합니다 show multicast statistics .

  • 포워딩 테이블 항목을 보려면 명령을 사용합니다 show route forwarding-table extensive .

참조

관련 항목

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
24.2R1
iked 프로세스를 실행하는 방화벽에 대해 AutoVPN을 통한 멀티캐스트 트래픽(IPv4 주소)에 대한 지원이 Junos OS 릴리스 24.2R1에 추가되었습니다.
17.4R1
Junos OS 릴리스 17.4R1부터 AutoVPN에서 IPv6 주소가 지원됩니다.
17.4R1
Junos OS 릴리스 17.4R1부터 포인트 투 포인트 모드에서 보안 터널 인터페이스를 사용하는 AutoVPN 네트워크는 트래픽 선택기 및 IKE 피어에 대해 IPv6 주소를 지원합니다.
15.1X49-D120
Junos OS 릴리스 15.1X49-D120부터 [edit security ike gateway gateway-name dynamic] 계층 수준에서 CLI 옵션을 reject-duplicate-connection 구성하여 기존 터널 세션을 유지하고 동일한 IKE ID를 가진 새 터널에 대한 협상 요청을 거부할 수 있습니다.