그룹 VPNv1
그룹 VPN은 디바이스에서 시작되거나 디바이스를 통해 흐르는 프라이빗 WAN을 통한 IP 멀티캐스트 그룹 트래픽 또는 유니캐스트 트래픽을 보호하는 데 필요한 기능 집합입니다.
그룹 VPNv1 개요
IPsec SA(보안 연결)는 인증 및 암호화 알고리즘, 키 교환 메커니즘 및 보안 통신에 사용할 규칙을 정의하는 VPN(가상 사설망) 참가자 간의 단방향 계약입니다. 현재 VPN 구현에서 SA는 두 보안 디바이스 간의 지점 간 터널입니다. 그룹 VPNv1은 IPsec 아키텍처를 확장하여 보안 디바이스 그룹이 공유하는 SA를 지원합니다( 참조 그림 1).
그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다. 그룹 VPNv1을 사용하면 외부 헤더에 원래 소스 및 대상 IP 주소를 보존하여 애니-투-애니(any-to-any) 연결을 달성할 수 있습니다. 보안 멀티캐스트 패킷은 코어 네트워크의 일반 텍스트 멀티캐스트 패킷과 동일한 방식으로 복제됩니다.
Junos OS 릴리스 12.3X48-D30부터 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다.
그룹 VPNv1에는 RFC 6407, GDOI(Group Domain of Interpretation)와 관련하여 몇 가지 적절한 제한이 있습니다. 독점적 제한 없이 그룹 VPN을 사용하려면 그룹 VPNv2로 업그레이드하세요. 그룹 VPNv2는 Junos OS 릴리스 15.1X49-D30부터 시작하는 vSRX 가상 방화벽 인스턴스, Junos OS 릴리스 15.1X49-D40부터 시작하는 SRX 시리즈 방화벽 및 Junos OS 릴리스 15.1r2부터 시작하는 MX 시리즈 디바이스에서 지원됩니다.
- 그룹 VPNv1에 대한 GDOI 프로토콜 이해하기
- 그룹 VPNv1 제한 사항 이해
- 그룹 VPNv1 서버 및 구성원 이해하기
- 그룹 VPNv1 서버-멤버 통신 이해하기
- 그룹 VPNv1 그룹 주요 작업 이해
- 그룹 VPNv1 하트비트 메시지 이해하기
- 그룹 VPNv1 서버-멤버 코로케이션 모드 이해하기
그룹 VPNv1에 대한 GDOI 프로토콜 이해하기
그룹 VPNv1은 RFC 3547, GDOI( Group Domain of Interpretation)를 기반으로 합니다 . 이 RFC는 그룹 구성원 간에 SA를 설정하기 위한 그룹 구성원과 그룹 서버 간의 프로토콜을 설명합니다. GDOI 메시지는 디바이스 그룹에 대한 SA를 생성, 유지 또는 삭제합니다. GDOI 프로토콜은 포트 848에서 실행됩니다.
ISAKMP(Internet Security Association and Key Management Protocol)는 자동 키 IKE(Internet Key Exchange) IPsec 터널에 대한 SA를 설정하기 위한 두 가지 협상 단계를 정의합니다. 1단계에서는 두 디바이스가 ISAKMP SA를 설정할 수 있습니다. 2단계에서는 GDOI와 같은 다른 보안 프로토콜에 대한 SA를 설정합니다.
그룹 VPN을 사용하면 그룹 서버와 그룹 멤버 간에 1단계 ISAKMP SA 협상이 수행됩니다. 서버와 구성원은 동일한 ISAKMP 정책을 사용해야 합니다. 2단계에서 서버와 멤버 간의 GDOI 교환은 다른 그룹 멤버와 공유되는 SA를 설정합니다. 그룹 멤버는 다른 그룹 멤버와 IPsec을 협상할 필요가 없습니다. 2단계의 GDOI 교환은 ISAKMP 1단계 SA에 의해 보호되어야 합니다.
GDOI 거래소에는 두 가지 유형이 있습니다.
교환을
groupkey-pull
통해 구성원은 서버에서 그룹이 공유하는 SA 및 키를 요청할 수 있습니다.교환은
groupkey-push
기존 그룹 SA가 만료되기 전에 서버가 그룹 SA와 키를 구성원에게 보낼 수 있도록 하는 단일 키 재입력 메시지입니다. 키 재입력 메시지는 서버에서 구성원에게 보내는 원치 않는 메시지입니다.
그룹 VPNv1 제한 사항 이해
다음은 그룹 VPNv1에 대해 이 릴리스에서 지원되지 않습니다:
기본이 아닌 라우팅 인스턴스
섀시 클러스터
서버 클러스터
경로 기반 그룹 VPN
공용 인터넷 기반 배포
SNMP
Cisco GET VPN 서버의 정책 거부
구성 및 모니터링을 위한 J-Web 인터페이스
Junos OS 릴리스 12.3X48-D30부터 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 및 SRX650 디바이스의 그룹 VPNv1 멤버는 그룹 VPNv2 서버와 상호 운용할 수 있습니다. 그룹 VPNv2 서버와 함께 사용할 그룹 VPNv1 멤버를 구성할 때 다음 제한 사항에 유의하십시오.
그룹 VPNv2는 시간 기반 안티리플레이 메커니즘을 위한 IETF 초안 사양 IP Delivery Delay Detection Protocol 을 지원합니다. 따라서, IP 전달 지연 탐지 프로토콜 기반 안티리플레이는 그룹 VPNv1 멤버에서 지원되지 않으며 명령을 사용하여
deactivate security group-vpn server group group-name anti-replay-time-window
그룹 VPNv2 서버에서 비활성화해야 합니다.그룹 VPNv2 서버는 그룹 서버와 그룹 멤버 기능이 동일한 디바이스에 존재하는 코로케이션을 지원하지 않습니다.
그룹 VPNv2 서버는 하트비트 전송을 지원하지 않습니다. 명령을 사용하여 그룹 VPNv1 멤버에서 하트비트를
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold
비활성화해야 합니다. 그룹 VPNv2 서버의 재부팅 또는 기타 중단으로 인한 트래픽 영향을 방지하려면 그룹 VPNv2 서버 클러스터를 사용하는 것이 좋습니다.그룹 VPNv2 서버에서 전송된 Groupkey-push 메시지는 RFC 6407, GDOI(Group Domain of Interpretation)를 기반으로 하며 그룹 VPNv1 멤버에서는 지원되지 않습니다. 따라서 명령을 사용하여
deactivate security group-vpn server group group-name server-member-communication
그룹 VPNv2 서버에서 groupkey-push 메시지를 비활성화해야 합니다.키 재생성은 groupkey-pull 메시지에서 지원됩니다. TEK 하드 수명이 만료되기 전에 그룹 VPNv1 멤버가 groupkey-pull 작업을 완료할 수 없는 확장 문제가 있는 경우, 멤버가 groupkey-pull 작업을 완료할 수 있는 충분한 시간을 허용하기 위해 TEK 수명을 늘리는 것이 좋습니다. 주니퍼의 스케일링 수치는 2시간의 TEK 수명으로 검증됩니다.
그룹 VPNv2 서버가 재부팅 또는 업그레이드되거나 그룹의 SA가 지워진 경우, 기존 멤버에 대해 다음 키 재생성이 발생할 때까지 새 멤버를 네트워크에 추가할 수 없습니다. 새 멤버는 이전 키가 있는 기존 멤버로 트래픽을 보낼 수 없습니다. 차선책으로, 명령을 사용하여 기존 그룹 VPNv1 멤버의 SA를
clear security group-vpn member ipsec security-associations
지웁니다.멀티캐스트 데이터 트래픽은 그룹 VPNv2 멤버에 의해 지원되지 않기 때문에 그룹 VPNv1 및 그룹 VPNv2 멤버가 동일한 그룹의 네트워크에 공존할 때 멀티캐스트 데이터 트래픽을 사용할 수 없습니다.
그룹 VPNv1 서버 및 구성원 이해하기
그룹 VPN의 중심은 그룹 서버입니다. 그룹 서버는 다음 작업을 수행합니다.
그룹 구성원 자격을 제어합니다
암호화 키 생성
그룹 SA 및 키를 관리하고 그룹 구성원에게 배포합니다.
그룹 멤버는 그룹 SA와 그룹 서버가 제공하는 키를 기반으로 트래픽을 암호화합니다.
그룹 서버는 여러 그룹에 서비스를 제공할 수 있습니다. 단일 보안 디바이스는 여러 그룹의 구성원이 될 수 있습니다.
각 그룹은 1에서 65,535 사이의 숫자인 그룹 식별자로 표시됩니다. 그룹 서버 및 그룹 멤버는 그룹 식별자에 의해 함께 링크됩니다. 그룹당 하나의 그룹 식별자만 있을 수 있으며 여러 그룹이 동일한 그룹 식별자를 사용할 수 없습니다.
다음은 그룹 VPN 서버 및 구성원 작업에 대한 개략적인 보기입니다.
그룹 서버는 구성원이 등록할 수 있도록 UDP 포트 848에서 수신 대기합니다. 멤버 디바이스는 그룹에 가입하기 위해 올바른 IKE(Internet Key Exchange) 1단계 인증을 제공해야 합니다. 구성원 단위의 사전 공유 키 인증이 지원됩니다.
인증 및 등록에 성공하면 멤버 디바이스는 GDOI
groupkey-pull
교환을 통해 서버에서 그룹 SA 및 키를 검색합니다.서버는 그룹의 구성원 자격에 구성원을 추가합니다.
그룹 멤버는 그룹 SA 키로 암호화된 패킷을 교환합니다.
서버는 주기적으로 키 재생성(GDOI groupkey-push
) 메시지를 통해 그룹 구성원에게 SA 및 키 새로 고침을 보냅니다. 키 재입력 메시지는 SA가 만료되기 전에 전송됩니다. 이렇게 하면 그룹 구성원 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있습니다.
또한 서버는 그룹 구성원이 변경되거나 그룹 SA가 변경된 경우 구성원에게 새 키를 제공하기 위해 키 재입력 메시지를 보냅니다.
그룹 VPNv1 서버-멤버 통신 이해하기
그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다. 서버 멤버 통신을 통해 서버는 GDOI groupkey-push
메시지를 멤버에게 보낼 수 있습니다. 그룹에 대해 서버 멤버 통신이 구성되지 않은 경우 멤버는 GDOI groupkey-pull
메시지를 보내 서버에 등록 및 재등록할 수 있지만 서버는 멤버에게 키 재입력 메시지를 보낼 수 없습니다.
서버 구성원 통신은 [edit security group-vpn server
] 계층에서 server-member-communication
구성 문을 사용하여 그룹에 대해 구성됩니다. 다음 옵션을 정의할 수 있습니다.
서버와 멤버 간의 통신에 사용되는 암호화 알고리즘입니다. 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc 또는 des-cbc를 지정할 수 있습니다. 기본 알고리즘은 없습니다.
서버에 대해 구성원을 인증하는 데 사용되는 인증 알고리즘(md5 또는 sha1)입니다. 기본 알고리즘은 없습니다.
서버가 유니캐스트 또는 멀티캐스트 메시지를 그룹 구성원에게 보내는지 여부와 통신 유형과 관련된 매개 변수입니다.
서버가 그룹 구성원에게 하트비트 메시지를 보내는 간격입니다. 이를 통해 구성원은 서버가 재부팅되었는지 여부를 확인할 수 있으며, 이를 위해서는 구성원이 서버에 다시 등록해야 합니다. 기본값은 300초입니다.
KEK(키 암호화 키)의 수명입니다. 기본값은 3600초입니다.
그룹 서버가 구성원에게 키 재입력 메시지를 전송하려면 서버 멤버 통신을 구성해야 하지만, 이 동작이 바람직하지 않은 상황이 있을 수 있습니다. 예를 들어 그룹 구성원이 동적 피어인 경우(예: 홈 오피스) 디바이스가 항상 켜져 있는 것은 아니며 디바이스의 IP 주소는 전원을 켤 때마다 다를 수 있습니다. 동적 피어 그룹에 대해 서버 구성원 통신을 구성하면 서버에서 불필요한 전송이 발생할 수 있습니다. GDOI 협상을 보호하기 위해 IKE(Internet Key Exchange) 1단계 SA 협상이 항상 수행되도록 하려면 서버 멤버 통신을 구성하지 마십시오.
그룹에 대한 서버 구성원 통신이 구성되지 않은 경우 명령에 의해 show security group-vpn server registered-members
표시되는 구성원 목록에는 서버에 등록된 그룹 구성원이 표시되며 구성원은 활성 상태일 수도 있고 그렇지 않을 수도 있습니다. 그룹에 대한 서버 구성원 통신이 구성되면 그룹 구성원 목록이 지워집니다. 통신 유형이 유니캐스트 show security group-vpn server registered-members
로 구성된 경우 명령은 활성 멤버만 표시합니다. 통신 유형이 멀티캐스트 show security group-vpn server registered-members
로 구성된 경우 명령은 구성 후 서버에 등록한 구성원을 표시합니다. 등록 후 구성원이 탈락할 수 있으므로 구성원 목록이 반드시 활성 구성원을 나타내는 것은 아닙니다.
그룹 VPNv1 그룹 주요 작업 이해
이러한 주제에는 다음 섹션이 포함됩니다.
그룹 키
그룹 서버는 VPN 그룹, 그룹 구성원 및 그룹 키 간의 관계를 추적하기 위해 데이터베이스를 유지 관리합니다. 서버가 구성원에게 다운로드하는 그룹 키에는 두 가지 종류가 있습니다.
KEK(Key Encryption Key) - 키 재생성 메시지를 암호화하는 데 사용됩니다. 그룹당 하나의 KEK가 지원됩니다.
트래픽 암호화 키(TEK) - 그룹 멤버 간의 IPsec 데이터 트래픽을 암호화하고 해독하는 데 사용됩니다.
SA와 연결된 키는 멤버에 구성된 일치하는 범위 정책이 있는 경우에만 그룹 멤버가 수락합니다. 수락된 키는 그룹 VPN에 대해 설치되지만 거부된 키는 폐기됩니다.
메시지 키 재설정
그룹이 서버 구성원 통신을 위해 구성된 경우 서버는 키 재생성(GDOI groupkey-push
) 메시지와 함께 그룹 구성원에게 SA 및 키 새로 고침을 주기적으로 보냅니다. 키 재입력 메시지는 SA가 만료되기 전에 전송됩니다. 이렇게 하면 그룹 구성원 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있습니다.
또한 서버는 그룹 구성원이 변경되거나 그룹 SA가 변경된 경우(예: 그룹 정책 추가 또는 삭제) 구성원에게 새 키를 제공하기 위해 키 재입력 메시지를 보냅니다.
서버가 그룹 구성원에게 키 재입력 메시지를 보낼 수 있도록 서버에서 서버 구성원 통신 옵션을 구성해야 합니다. 이러한 옵션은 다음 섹션에서 설명하는 대로 메시지 유형과 메시지 전송 간격을 지정합니다.
키 재입력 메시지에는 두 가지 유형이 있습니다.
유니캐스트 키 재입력 메시지 - 그룹 서버는 각 그룹 멤버에게 키 재입력 메시지의 사본 하나를 보냅니다. 키 재입력 메시지를 수신하면 구성원은 서버에 확인서(ACK)를 보내야 합니다. 서버가 구성원으로부터 ACK를 수신하지 않으면(키 재입력 메시지 재전송 포함) 서버는 구성원을 비활성 상태로 간주하고 구성원 목록에서 제거합니다. 서버가 멤버에 대한 키 재입력 메시지 전송을 중지합니다.
서버 멤버 통신을 위한 및
retransmission-period
구성 문은number-of-retransmission
멤버로부터 ACK를 수신하지 않을 때 서버에 의한 키 재입력 메시지의 재전송을 제어합니다.멀티캐스트 키 재입력 메시지 - 그룹 서버는 지정된 발신 인터페이스에서 구성된 멀티캐스트 그룹 주소로 키 재입력 메시지의 복사본 하나를 보냅니다. 멤버는 멀티캐스트 키 재입력 메시지 수신 확인을 보내지 않습니다. 등록된 회원 목록은 초기 등록 후 회원이 탈퇴할 수 있으므로 반드시 활성 회원을 나타내는 것은 아닙니다. 그룹의 모든 구성원은 멀티캐스트 메시지를 지원하도록 구성되어야 합니다.
네트워크에서 멀티캐스트 트래픽을 전달할 수 있도록 IP 멀티캐스트 프로토콜을 구성해야 합니다. 주니퍼 네트웍스 디바이스의 멀티캐스트 프로토콜 구성에 대한 자세한 내용은 멀티캐스트 프로토콜 사용자 가이드를 참조하십시오.
서버가 키 재입력 메시지를 보내는 간격은 [edit security group-vpn server group
] 계층에 있는 및 activation-time-delay
구성 문의 값을 lifetime-seconds
기반으로 계산됩니다. 간격은 로 lifetime-seconds
minus 4*(activation-time-delay
)계산됩니다.
KEK의 경우 서버 lifetime-seconds
구성원 통신의 일부로 구성되며 기본값은 3600초입니다. TEK의 경우 lifetime-seconds
IPsec 제안에 대해 구성됩니다. 기본값은 3600초입니다. 은( activation-time-delay
는) 서버의 그룹에 대해 구성되며 기본값은 15초입니다. 및 에 대한 lifetime-seconds
기본값을 사용하여 서버가 키 재입력 메시지를 보내는 간격은 , 또는 3540초입니다3600 minus 4*15.activation-time-delay
회원가입
그룹 멤버가 현재 키가 만료되기 전에 서버에서 새 SA 키를 받지 못한 경우 멤버는 서버에 다시 등록하고 GDOI groupkey-pull
교환을 통해 업데이트된 키를 가져와야 합니다. 이 경우 서버가 키 재입력 메시지를 보내는 간격은 다음과 같이 계산됩니다. lifetime-seconds
마이너스 3*(activation-time-delay
). 및 activation-time-delay
의 기본값 lifetime-seconds
을 사용하여 서버가 키 재입력 메시지를 보내는 간격은 3600 - 3*15 또는 3555초입니다.
회원 재등록은 다음과 같은 이유로 발생할 수 있습니다.
구성원은 서버에서 수신된 하트비트가 없어 서버 재부팅을 감지합니다.
그룹 서버의 키 재입력 메시지가 손실 또는 지연되고 TEK 수명이 만료되었습니다.
키 활성화
멤버가 서버로부터 새 키를 받으면 암호화를 위해 키를 사용하기 전에 일정 시간 동안 대기합니다. 이 기간은 activation-time-delay
구성 문 과 서버에서 보낸 키 재입력 메시지를 통해 키를 수신하는지 또는 구성원이 서버에 재등록한 결과로 수신되는지에 따라 결정됩니다.
서버에서 보낸 키 재입력 메시지를 통해 키를 수신하면 멤버는 키를 사용하기 전에 2*(activation-time-delay
)초 동안 대기합니다. 멤버 재등록을 통해 키를 받은 경우 멤버는 값으로 지정된 시간(초) 동안 대기합니다 activation-time-delay
.
멤버는 멤버에 설치된 각 그룹 SA에 대해 서버에서 보낸 가장 최근 키 두 개를 보유합니다. 두 키 모두 암호 해독에 사용할 수 있으며 가장 최근 키는 암호화에 사용됩니다. 이전 키는 새 키가 활성화된 후 값으로 지정된 activation-time-delay
시간(초)만큼 제거됩니다.
구성 문의 기본값은 activation-time-delay
15초입니다. 이 기간을 너무 작게 설정하면 새 키가 설치되기 전에 원격 그룹 멤버에서 패킷이 삭제될 수 있습니다. 값을 변경할 때 네트워크 토폴로지 및 시스템 전송 지연을 activation-time-delay
고려하십시오. 유니캐스트 전송의 경우, 시스템 전송 지연은 그룹 멤버의 수에 비례합니다.
그룹 VPNv1 서버는 요청에 대한 응답으로 그룹 VPNv1 멤버에게 여러 개의 트래픽 암호화 키(TEK)를 전송할 수 있습니다 groupkey-pull
. 다음은 그룹 VPNv1 멤버가 기존 TEK 및 서버로부터 수신하는 TEK를 처리하는 방법을 설명합니다.
그룹 VPNv1 멤버가 두 개 이상의 TEK를 수신하는 경우, 가장 최근의 두 TEK를 보유하고 기존 TEK를 삭제합니다. 2개의 보류된 TEK 중 이전 TEK가 즉시 활성화되고 그룹 VPNv1 서버에 구성된 시간이 경과한 후
activation-time-delay
최신 TEK가 활성화됩니다(기본값은 15초).그룹 VPNv1 멤버가 하나의 TEK만 수신하거나 서버로부터 메시지를 통해
groupkey-push
TEK를 수신하는 경우, 하드 수명이 만료될 때까지 기존 TEK는 삭제되지 않습니다. 기존 TEK의 수명은 단축되지 않습니다.
그룹 VPNv1 멤버는 TEK 수명이 값의 2배 미만인 경우에도 수신된 TEK를 activation-time-delay
설치합니다.
그룹 VPNv1 하트비트 메시지 이해하기
서버 구성원 통신이 구성되면 그룹 VPNv1 서버는 지정된 간격(기본 간격은 300초)으로 구성원에게 하트비트 메시지를 보냅니다. 하트비트 메커니즘을 사용하면 지정된 수의 하트비트가 수신되지 않는 경우 멤버가 서버에 다시 등록할 수 있습니다. 예를 들어 구성원은 서버를 다시 부팅하는 동안 하트비트 메시지를 받지 않습니다. 서버가 재부팅되면 구성원이 서버에 다시 등록합니다.
하트비트는 메시지를 통해 groupkey-push
전송됩니다. 시퀀스 번호는 각 하트비트 메시지에서 증가하여 회신 공격으로부터 구성원을 보호합니다. 키 재입력 메시지와 달리 하트비트 메시지는 수신자가 승인하지 않으며 서버에서 재전송되지 않습니다.
하트비트 메시지에는 다음 정보가 포함됩니다.
서버에 있는 키의 현재 상태 및 구성
상대적 시간(antireplay가 활성화된 경우)
멤버는 하트비트의 정보를 비교하여 서버 정보가 누락되었는지 또는 메시지를 다시 입력했는지 여부를 감지할 수 있습니다. 멤버가 다시 등록되어 서버와 동기화됩니다.
하트비트 메시지는 네트워크 정체를 증가시키고 불필요한 구성원 재등록을 유발할 수 있습니다. 따라서, 필요한 경우 구성원에 대한 하트비트 검출을 비활성화할 수 있습니다.
그룹 VPNv1 서버-멤버 코로케이션 모드 이해하기
그룹 서버 및 그룹 멤버 기능은 별개이며 겹치지 않습니다. 서버 및 멤버 기능은 동일한 물리적 장치에 공존할 수 있으며, 이를 코로케이션 모드라고 합니다. 코로케이션 모드에서는 서버나 멤버의 기능 및 동작에 변화가 없으나, 패킷이 제대로 전달될 수 있도록 서버와 멤버에 각각 다른 IP 주소를 할당해야 한다. 코로케이션 모드에서는 서버에 하나의 IP 주소만 할당되고 그룹 전체에서 구성원에게 하나의 IP 주소가 할당될 수 있습니다.
참조
그룹 VPNv1 구성 개요
이 주제는 그룹 VPNv1을 구성하기 위한 주요 작업에 대해 설명합니다.
그룹 서버에서 다음을 구성합니다.
- IKE(Internet Key Exchange) 1단계 협상. [
edit security group-vpn server ike
] 계층을 사용하여 IKE(Internet Key Exchange) 1단계 SA를 구성합니다. 그룹 VPNv2에 대한 IKE(Internet Key Exchange) 1단계 구성 이해를 참조하십시오. - 2단계: IPsec SA. 그룹 VPNv1에 대한 IPsec SA 구성 이해를 참조하십시오.
- VPN 그룹. 그룹 VPNv1 구성 개요를 참조하십시오.
그룹 멤버에서 다음을 구성합니다.
IKE(Internet Key Exchange) 1단계 협상. [
edit security group-vpn member ike
] 계층을 사용하여 IKE(Internet Key Exchange) 1단계 SA를 구성합니다. 그룹 VPNv1에 대한 IKE(Internet Key Exchange) 1단계 구성 이해를 참조하십시오.2단계: IPsec SA. 그룹 VPNv1에 대한 IPsec SA 구성 이해를 참조하십시오.
구성원에 설치되는 그룹 정책을 결정하는 범위 정책입니다. 그룹 VPNv1에 대한 동적 정책 이해의 내용을 참조하십시오.
패킷 단편화 문제를 방지하려면 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. set interface mtu
구성 문을 사용하여 MTU 크기를 설정합니다.
VPN 그룹은 [edit security group-vpn server
] 계층의 group
구성 문을 사용하여 서버에서 구성됩니다.
그룹 정보는 다음 정보로 구성됩니다.
Group identifier(그룹 식별자) - VPN 그룹을 식별하는 1에서 65,535 사이의 값입니다. 자동 키 IKE(Internet Key Exchange)의 그룹 멤버에 동일한 그룹 식별자를 구성해야 합니다.
구성 문으로
ike-gateway
구성된 그룹 멤버. 이 구성 문에는 그룹의 각 멤버에 대해 하나씩 여러 인스턴스가 있을 수 있습니다.서버의 IP 주소입니다(루프백 인터페이스 주소 권장).
그룹 정책 - 구성원에게 다운로드할 정책입니다. 그룹 정책은 SA와 키가 적용되는 트래픽을 설명합니다. 그룹 VPNv1에 대한 동적 정책 이해의 내용을 참조하십시오.
서버-멤버 통신 - 서버가 멤버에게 키 재입력 메시지를 보낼 수 있도록 하는 선택적 구성입니다. 그룹 VPNv1 개요를 참조하십시오.
Antireplay—패킷 가로채기 및 재생을 감지하는 선택적 구성입니다. 그룹 VPNv1에 대한 Antireplay 이해를 참조하십시오.
그룹 VPNv1의 IKE 1단계 구성 이해
그룹 서버와 그룹 멤버 간의 IKE(Internet Key Exchange) 1단계 SA는 그룹이 공유하는 IPsec SA를 협상할 보안 채널을 설정합니다. 주니퍼 네트웍스 보안 디바이스의 표준 IPsec VPN의 경우, 1단계 SA 구성은 IKE(Internet Key Exchange) 제안, 정책 및 게이트웨이 지정으로 구성됩니다. 그룹 VPNv1의 경우, IKE(Internet Key Exchange) 1단계 SA 구성은 표준 IPsec VPN의 구성과 유사하지만 [edit security group-vpn
] 계층에서 수행됩니다.
IKE(Internet Key Exchange) 제안 구성에서는 참가자 간의 보안 채널을 여는 데 사용할 인증 방법과 인증 및 암호화 알고리즘을 설정합니다. IKE(Internet Key Exchange) 정책 구성에서 1단계 채널이 협상될 모드(주 또는 적극적)를 설정하고, 사용할 키 교환 유형을 지정하며, 1단계 제안을 참조합니다. IKE(Internet Key Exchange) 게이트웨이 구성에서는 1단계 정책을 참조합니다.
그룹 VPNv2는 강력한 알고리즘 sha-256
만 지원하기 때문에 인증 알고리즘 옵션은 SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 및 SRX650 디바이스의 그룹 VPNv1 멤버에 대해 지원됩니다. 그룹 VPNv1 멤버가 그룹 VPNv2 서버와 상호 운용하는 경우, 명령을 사용하여 edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256
그룹 VPNv1 멤버에 이 옵션을 구성해야 합니다. 그룹 VPNv2 서버에서 authentication-algorithm sha-256
IKE 제안에 대해 이(가) 구성되어야 하며 authentication-algorithm hmac-sha-256-128
IPsec 제안에 대해 구성되어야 합니다.
그룹 VPNv1 멤버의 IKE 게이트웨이가 둘 이상의 게이트웨이 주소로 구성된 경우, 구성이 커밋될 때 "IKE 게이트웨이 구성당 하나의 원격 주소만 구성할 수 있습니다"라는 오류 메시지가 표시됩니다.
그룹 서버의 IKE(Internet Key Exchange) 1단계 구성은 그룹 멤버의 IKE(Internet Key Exchange) 1단계 구성과 일치해야 합니다.
그룹 VPNv1에 대한 IPsec SA 구성 이해
서버와 멤버가 1단계 협상에서 안전하고 인증된 채널을 설정한 후 2단계를 진행합니다. 2단계 협상은 멤버 간에 전송되는 데이터를 보호하기 위해 그룹 멤버가 공유하는 IPsec SA를 설정합니다. 그룹 VPN에 대한 IPsec SA 구성은 표준 VPN에 대한 구성과 유사하지만, 그룹 멤버는 다른 그룹 멤버와 SA를 협상할 필요가 없습니다.
그룹 VPNv1에 대한 2단계 IPsec 구성은 다음 정보로 구성됩니다.
SA에 사용할 보안 프로토콜, 인증 및 암호화 알고리즘에 대한 제안입니다. IPsec SA 제안은 [
edit security group-vpn server ipsec
] 계층의proposal
구성 문을 사용하여 그룹 서버에서 구성됩니다.제안을 참조하는 그룹 정책입니다. 그룹 정책은 SA와 키가 적용되는 트래픽(프로토콜, 원본 주소, 원본 포트, 대상 주소 및 대상 포트)을 지정합니다. 그룹 정책은 [
edit security group-vpn server group
] 계층의 구성 문을 사용하여ipsec-sa
서버에서 구성됩니다.그룹 식별자, 그룹 서버(구성 문으로
ike-gateway
구성됨) 및 멤버가 그룹에 연결하는 데 사용하는 인터페이스를 참조하는 자동 키 IKE(Internet Key Exchange)입니다. 자동 키 IKE(Internet Key Exchange)는 [edit security group-vpn member
] 계층의 구성 문을 사용하여ipsec vpn
멤버에 구성됩니다.
그룹 VPNv1의 동적 정책 이해
그룹 서버는 지정된 그룹의 구성원에게 그룹 SA 및 키를 배포합니다. 동일한 그룹에 속한 모든 멤버는 동일한 IPsec SA 집합을 공유할 수 있습니다. 그러나 그룹에 대해 구성된 모든 SA가 모든 그룹 멤버에 설치되는 것은 아닙니다. 특정 멤버에 설치된 SA는 그룹 SA와 연관된 정책 및 멤버에 구성된 보안 정책에 의해 결정됩니다.
VPN 그룹에서 서버가 구성원에게 푸시하는 각 그룹 SA 및 키는 그룹 정책과 연결됩니다. 그룹 정책은 프로토콜, 원본 주소, 원본 포트, 대상 주소 및 대상 포트를 포함하여 키를 사용해야 하는 트래픽을 설명합니다.
동일한 그룹 정책(동일한 원본 주소, 대상 주소, 원본 포트, 대상 포트 및 프로토콜 값으로 구성됨)은 단일 그룹에 대해 존재할 수 없습니다. 그룹에 대해 동일한 그룹 정책을 포함하는 구성을 커밋하려고 하면 오류가 반환됩니다. 이 경우 동일한 그룹 정책 중 하나를 삭제해야 합니다.
그룹 구성원에서는 서버에서 다운로드한 그룹 정책의 범위를 정의하는 범위 정책을 구성해야 합니다. 서버에서 배포된 그룹 정책을 멤버에 구성된 범위 정책과 비교합니다. 구성원에 그룹 정책을 설치하려면 다음 조건이 충족되어야 합니다.
그룹 정책에 지정된 모든 주소는 범위 정책에 지정된 주소 범위 내에 있어야 합니다.
그룹 정책에 지정된 원본 포트, 대상 포트 및 프로토콜은 범위 정책에 구성된 것과 일치해야 합니다.
구성원에 설치된 그룹 정책을 동적 정책이라고 합니다.
범위 정책은 특정 from-zone 및 to-zone 컨텍스트에 대한 보안 정책의 정렬된 목록의 일부일 수 있습니다. Junos OS는 순서 있는 목록의 맨 위부터 들어오는 패킷에 대한 보안 정책 조회를 수행합니다.
순서가 지정된 보안 정책 목록 내에서 범위 정책의 위치에 따라 동적 정책 조회에 대한 몇 가지 가능성이 있습니다.
범위 정책이 고려되기 전에 들어오는 패킷이 보안 정책과 일치하면 동적 정책 조회가 발생하지 않습니다.
들어오는 정책이 범위 정책과 일치하는 경우 일치하는 동적 정책에 대한 검색 프로세스가 계속됩니다. 일치하는 동적 정책이 있는 경우 해당 정책 작업(허용)이 수행됩니다. 일치하는 동적 정책이 없는 경우 검색 프로세스는 범위 정책 아래의 정책을 계속 검색합니다.
이 릴리스에서는 범위 정책에 대한 작업만
tunnel
허용됩니다. 다른 작업은 지원되지 않습니다.
[] 계층에서 policies
구성 문을 사용하여 그룹 구성원에edit security
대한 범위 정책을 구성합니다. ipsec-group-vpn
허용 터널 규칙의 구성 문을 사용하여 그룹 VPN을 참조합니다. 이렇게 하면 그룹 멤버가 단일 SA를 공유할 수 있습니다.
참조
그룹 VPNv1에 대한 Antireplay 이해하기
Antireplay는 패킷이 가로채서 공격자에 의해 재생되는 경우를 감지할 수 있는 IPsec 기능입니다. Antireplay는 그룹 VPN에 대해 기본적으로 활성화되지만 no-anti-replay
구성 문이 있는 그룹에 대해 비활성화할 수 있습니다.
안티리플레이가 사용 가능한 경우, 그룹 서버는 그룹 구성원 간의 시간을 동기화합니다. 각 IPsec 패킷에는 타임스탬프가 포함되어 있습니다. 그룹 멤버는 패킷의 타임스탬프가 구성된 anti-replay-time-window
값(기본값은 100초) 내에 있는지 확인합니다. 타임스탬프가 값을 초과하면 패킷이 삭제됩니다.
참조
예: 그룹 VPNv1 서버 및 구성원 구성
이 예는 보안 디바이스 그룹이 공유하는 SA를 지원하기 위해 IPsec 아키텍처를 확장하도록 그룹 VPNv1을 구성하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.
요구 사항
시작하기 전에:
네트워크 통신을 위한 주니퍼 네트웍스 보안 디바이스를 구성합니다.
서버 및 구성원 장치에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
에서 그림 2그룹 VPN은 두 개의 멤버 디바이스(member1 및 member2)와 그룹 서버(서버 루프백 인터페이스의 IP 주소는 20.0.0.1)로 구성됩니다. 그룹 식별자는 1입니다.
2단계 그룹 VPN SA는 1단계 SA에 의해 보호되어야 합니다. 따라서 그룹 VPN 구성에는 그룹 서버와 그룹 멤버 모두에 대한 IKE(Internet Key Exchange) 1단계 협상 구성이 포함되어야 합니다. 또한 그룹 서버와 그룹 멤버 모두에서 동일한 그룹 식별자를 구성해야 합니다.
그룹 정책은 그룹 서버에서 구성됩니다. 그룹에 대해 구성된 모든 그룹 정책이 그룹 구성원에게 다운로드됩니다. 그룹 구성원에 구성된 범위 정책은 구성원에 실제로 설치되는 그룹 정책을 결정합니다. 이 예에서는 모든 그룹 구성원에게 다운로드할 수 있도록 그룹 서버에 다음 그룹 정책이 구성됩니다.
p1—10.1.0.0/16에서 10.2.0.0./16까지 모든 트래픽을 허용합니다.
p2—10.2.0.0./16에서 10.1.0.0/16까지의 모든 트래픽을 허용합니다.
p3—10.1.1.1/32에서 멀티캐스트 트래픽 허용
member1 디바이스는 10.0.0.0/8 서브네트워크에서 들어오고 나가는 모든 유니캐스트 트래픽을 허용하는 범위 정책으로 구성됩니다. member1에는 멀티캐스트 트래픽을 허용하도록 구성된 범위 정책이 없습니다. 따라서 SA 정책 p3은 member1에 설치되지 않습니다.
member2 디바이스는 10.1.0.0/16에서 트러스트 영역의 언트러스트 영역으로 트래픽을 드롭하고 언트러스트 영역에서 트러스트 영역으로 10.1.0.0/16으로 트래픽을 드롭하는 범위 정책으로 구성됩니다. 따라서 SA 정책 p2는 member2에 설치되지 않습니다.
구성
그룹 서버 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
그룹 서버를 구성하려면 다음을 수행합니다.
디바이스에서 루프백 주소를 구성합니다.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
IKE(Internet Key Exchange) 1단계 SA를 구성합니다(이 구성은 그룹 멤버에 구성된 1단계 SA와 일치해야 함).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
2단계 SA 교환을 구성합니다.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
그룹 식별자 및 IKE(Internet Key Exchange) 게이트웨이를 구성합니다.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
서버 간 통신을 구성합니다.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
그룹 구성원에게 다운로드할 그룹 정책을 구성합니다.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
결과
구성 모드에서 show security group-vpn server
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security group-vpn server ike { proposal srv-prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy srv-pol { mode main; proposals srv-prop; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway gw1 { ike-policy srv-pol; address 10.1.0.1; } gateway gw2 { ike-policy srv-pol; address 10.2.0.1; } } ipsec { proposal group-prop { authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } } group grp1 { group-id 1; ike-gateway gw1; ike-gateway gw2; anti-replay-time-window 120; server-address 20.0.0.1; ipsec-sa group-sa { proposal group-prop; match-policy p1 { source 10.1.0.0/16; destination 10.2.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p2 { source 10.2.0.0/16; destination 10.1.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p3 { source 10.1.1.1/16; destination 239.1.1.1/32; source-port 0; destination-port 0; protocol 0; } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
Member1 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
member1을 구성하려면 다음을 수행합니다.
1단계 SA를 구성합니다(이 구성은 그룹 서버에 구성된 1단계 SA와 일치해야 함).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
member1에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
패킷 단편화 문제를 방지하기 위해 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다.
set interface mtu
구성 문을 사용하여 MTU 크기를 설정합니다.주소록을 생성하고 영역을 연결합니다.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 언트러스트 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
언트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 트러스트 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
결과
구성 모드에서 show security group-vpn member
및 show security policies
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@member1# show security group-vpn member ike { proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode main; proposals prop1; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway g1 { ike-policy pol1; address 20.0.0.1; local-address 10.1.0.1; } } ipsec { vpn v1 { ike-gateway g1; group-vpn-external-interface ge-0/1/0; group 1; } }
[edit] user@member1# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
Member2 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
member2를 구성하려면:
1단계 SA를 구성합니다(이 구성은 그룹 서버에 구성된 1단계 SA와 일치해야 함).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
member2에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
패킷 단편화 문제를 방지하기 위해 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다.
set interface mtu
구성 문을 사용하여 MTU 크기를 설정합니다.주소록을 생성하여 트러스트 존에 첨부합니다.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
다른 주소록을 생성하여 신뢰할 수 없는 영역에 첨부합니다.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
트러스트 영역에서 10.1.0.0/16의 트래픽을 차단하는 언트러스트 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
신뢰할 수 없는 영역에서 10.1.0.0/16에 대한 트래픽을 차단하는 신뢰할 수 있는 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
결과
구성 모드에서 show security group-vpn member
및 show security policies
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@member2# show security group-vpn member ike { proposal prop2 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol2 { mode main; proposals prop2; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway g2 { ike-policy pol2; address 20.0.0.1; local-address 10.2.0.1; } } ipsec { vpn v2 { ike-gateway g2; group-vpn-external-interface ge-0/1/0; group 1; } }
[edit] user@member2# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy deny2 { match { source-address 10_1_0_0_16; destination-address any; application any; } then { reject; } } policy scope2 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy multicast-scope2 { match { source-address 10_subnet; destination-address multicast-net; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy deny2 { match { source-address any; destination-address 10_1_0_0_16; application any; } then { reject; } } policy scope2 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy multicast-scope2 { match { source-address 10_subnet; destination-address multicast-net; application any; } then { permit { tunnel { ipsec-group-vpn v2; } } } } policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오.
Member1에 대한 동적 정책 확인
목적
member1에 설치된 동적 정책을 봅니다.
작업
그룹 서버가 member1에 키를 다운로드한 후 운영 모드에서 명령을 입력합니다 show security dynamic-policies
.
user@member1> show security dynamic-policies Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
의미
member1에 멀티캐스트 트래픽을 허용하는 범위 정책이 구성되어 있지 않기 때문에 서버의 멀티캐스트 정책 p3이 member1에 설치되지 않습니다.
Member2에 대한 동적 정책 확인
목적
구성원 2에 설치된 동적 정책을 봅니다.
작업
그룹 서버가 member2에 키를 다운로드한 후 운영 모드에서 명령을 입력합니다 show security dynamic-policies
.
user@member2> show security dynamic-policies Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.0.0/16 Destination addresses: 10.2.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4 Policy Type: Dynamic Sequence number: 1 From zone: untrust, To zone: trust Source addresses: 10.1.1.1/32 Destination addresses: 239.1.1.1/32 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.2.0.0/16/0 Destination addresses: 10.1.0.0/16 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586 Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5 Policy Type: Dynamic Sequence number: 2 From zone: trust, To zone: untrust Source addresses: 10.1.1.1/32 Destination addresses: 239.1.1.1/32 Application: Unknown IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
의미
서버의 정책 p2(10.1.0.0/16에서 10.2.0.0/16까지의 트래픽)는 member2에 구성된 deny2 보안 정책과 일치하기 때문에 member2에 설치되지 않습니다.
예: 유니캐스트 키 재입력 메시지를 위한 그룹 VPNv1 서버-멤버 통신 구성
이 예는 서버가 그룹 멤버에게 유니캐스트 키 재입력 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.
요구 사항
시작하기 전에:
IKE(Internet Key Exchange) 1단계 협상을 위한 그룹 서버 및 구성원을 구성합니다.
2단계 IPsec SA에 대한 그룹 서버 및 구성원을 구성합니다.
그룹 서버에서 그룹을
g1
구성합니다.
개요
이 예에서는 group g1
에 대해 다음과 같은 서버 멤버 통신 매개변수를 지정합니다.
서버는 그룹 멤버에게 유니캐스트 키 재입력 메시지를 보냅니다.
3DES-CBC는 서버와 멤버 간의 트래픽을 암호화하는 데 사용됩니다.
SHA1은 구성원 인증에 사용됩니다.
기본값은 서버 하트비트, KEK 수명 및 재전송에 사용됩니다.
구성
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
서버 구성원 통신을 구성하려면 다음을 수행합니다.
통신 유형을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
암호화 알고리즘을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
구성원 인증을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
검증
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security group-vpn server group g1 server-member-communication
.
예: 멀티캐스트 키 재입력 메시지를 위한 그룹 VPNv1 서버-멤버 통신 구성
이 예는 서버가 그룹 멤버에게 멀티캐스트 키 재입력 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있도록 하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.
요구 사항
시작하기 전에:
IKE(Internet Key Exchange) 1단계 협상 및 2단계 IPsec SA를 위한 그룹 서버 및 구성원을 구성합니다. 예: 그룹 VPNv1 서버 및 구성원 구성 또는 예: 서버 멤버 코로케이션을 사용하여 그룹 VPNv1 구성.
서버가 멀티캐스트 메시지를 보내는 데 사용할 인터페이스인 ge-0/0/1.0을 구성합니다. Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
멀티캐스트 그룹 주소 226.1.1.1을 구성합니다. Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
네트워크에서 멀티캐스트 트래픽을 전달할 수 있도록 IP 멀티캐스트 프로토콜을 구성해야 합니다. 이 예는 멀티캐스트 구성을 보여주지 않습니다.
개요
이 예에서는 group g1
에 대해 다음과 같은 서버 구성원 통신을 지정합니다.
서버는 멀티캐스트 주소 226.1.1.1 및 인터페이스 ge-0/0/1.0을 통해 그룹 멤버에게 멀티캐스트 키 재입력 메시지를 보냅니다.
3DES-CBC는 서버와 멤버 간의 트래픽을 암호화하는 데 사용됩니다.
SHA1은 구성원 인증에 사용됩니다.
기본값은 서버 하트비트, KEK 수명 및 재전송에 사용됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
멀티캐스트 키 재입력 메시지에 대한 서버 구성원 통신 구성을 구성하려면:
통신 유형을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
멀티캐스트 그룹을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
나가는 멀티캐스트 메시지에 대한 인터페이스를 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
암호화 알고리즘을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
구성원 인증을 설정합니다.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
결과
구성 모드에서 show security group-vpn server group g1 server-member-communication
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
예: 서버 멤버 코로케이션으로 그룹 VPNv1 구성
이 예에서는 서버 및 멤버 기능이 동일한 물리적 디바이스에서 공존할 수 있도록 하는 코로케이션 모드에 맞게 디바이스를 구성하는 방법을 보여줍니다. 그룹 VPNv1은 SRX100, SRX110, SRX210, SRX220, SRX240 및 SRX650 디바이스에서 지원됩니다.
요구 사항
시작하기 전에:
네트워크 통신을 위한 주니퍼 네트웍스 보안 디바이스를 구성합니다.
서버 및 구성원 장치에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
코로케이션 모드가 구성되면 그룹 서버 및 그룹 멤버 기능이 동일한 디바이스에 공존할 수 있습니다. 코로케이션 모드에서는 패킷이 제대로 전달되도록 서버와 멤버의 IP 주소가 서로 달라야 합니다.
에서 그림 3그룹 VPN(그룹 식별자는 1)은 두 개의 멤버(member1 및 member2)와 그룹 서버(루프백 인터페이스의 IP 주소는 20.0.0.1)로 구성됩니다. member1은 그룹 서버와 동일한 디바이스에 공존합니다. 이 예에서는 member1이 MPLS 네트워크(ge-0/1/0)에 연결하는 데 사용하는 인터페이스에 IP 주소 10.1.0.1/32가 할당됩니다.
이 항목의 구성 지침에서는 공동 배치 모드를 위해 그룹 server-member1 디바이스를 구성하는 방법을 설명합니다. member2를 구성하려면 예: 그룹 VPNv1 서버 및 구성원 구성.
패킷 단편화 문제를 방지하려면 그룹 구성원이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 1400바이트 이하의 최대 전송 단위(MTU) 크기로 구성하는 것이 좋습니다. set interface mtu
구성 문을 사용하여 MTU 크기를 설정합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
서버 구성원 코로케이션을 사용하여 그룹 VPN을 구성하려면 다음을 수행합니다.
디바이스에서 루프백 주소를 구성합니다.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
member1이 MPLS 네트워크에 연결하는 데 사용하는 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
디바이스에서 그룹 VPN 코로케이션을 구성합니다.
[edit security group-vpn] user@host# set co-location
서버에 대한 IKE(Internet Key Exchange) 1단계 SA를 구성합니다(이 구성은 그룹 멤버에 구성된 1단계 SA와 일치해야 함).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
IKE(Internet Key Exchange) 정책을 정의하고 원격 게이트웨이를 설정합니다.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
서버에 대한 2단계 SA 교환을 구성합니다.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
서버에서 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이, 안티리플레이 시간 및 서버 주소를 구성합니다.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
서버 대 구성원 통신을 구성합니다.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
그룹 구성원에게 다운로드할 그룹 정책을 구성합니다.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
구성원1에 대해 1단계 SA를 구성합니다(이 구성은 그룹 서버에 대해 구성된 1단계 SA와 일치해야 함).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
정책을 정의하고 member1에 대한 원격 게이트웨이를 설정합니다.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
member1에 대한 그룹 식별자, IKE(Internet Key Exchange) 게이트웨이 및 인터페이스를 구성합니다.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
주소록을 생성하여 영역에 연결합니다.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 언트러스트 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
언트러스트 영역에서 10.0.0.0/8 서브네트워크와의 유니캐스트 트래픽을 허용하는 트러스트 영역으로 범위 정책을 구성합니다.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
결과
구성 모드에서 및 show security policies
명령을 입력하여 show security group-vpn
구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
구성된 보안 정책 목록에서 범위 정책이 기본 정책 앞에 나열되어 있는지 확인합니다.
[edit] user@host# show security group-vpn member { ike { proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode main; proposals prop1; pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA } gateway g1 { ike-policy pol1; address 20.0.0.1; local-address 10.1.0.1; } } ipsec { vpn v1 { ike-gateway g1; group-vpn-external-interface ge-0/1/0; group 1; } } } server { ike { proposal srv-prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy srv-pol { mode main; proposals srv-prop; pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA } gateway gw1 { ike-policy srv-pol; address 10.1.0.1; } gateway gw2 { ike-policy srv-pol; address 10.2.0.1; } } ipsec { proposal group-prop { authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } } group grp1 { group-id 1; ike-gateway gw1; ike-gateway gw2; anti-replay-time-window 120; server-address 20.0.0.1; server-member-communication { communication-type unicast; encryption-algorithm aes-128-cbc; sig-hash-algorithm md5; certificate srv-cert; } ipsec-sa group-sa { proposal group-prop; match-policy p1 { source 10.1.0.0/16; destination 10.2.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p2 { source 10.2.0.0/16; destination 10.1.0.0/16; source-port 0; destination-port 0; protocol 0; } match-policy p3 { source 10.1.1.1/16; destination 239.1.1.1/32; source-port 0; destination-port 0; protocol 0; } } } } co-location;
[edit] user@host# show security policies from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy default-deny { match { source-address any; destination-address any; application any; } then { deny; } } policy scope1 { match { source-address 10_subnet; destination-address 10_subnet; application any; } then { permit { tunnel { ipsec-group-vpn v1; } } } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
- 그룹 VPN 회원 등록 확인
- IKE에 대한 그룹 VPN 서버 보안 연결 확인
- IPsec에 대한 그룹 VPN 서버 보안 연결 확인
- IKE에 대한 그룹 VPN 멤버 보안 연결 확인
- IPsec에 대한 그룹 VPN 멤버 보안 연결 확인
그룹 VPN 회원 등록 확인
목적
그룹 VPN 멤버가 올바르게 등록되었는지 확인합니다.
작업
운영 모드에서 show security group-vpn registered-members
명령을 입력합니다.
IKE에 대한 그룹 VPN 서버 보안 연결 확인
목적
IKE에 대한 그룹 VPN 서버의 SA를 확인합니다.
작업
운영 모드에서 show security group-vpn server ike security-associations
명령을 입력합니다.
IPsec에 대한 그룹 VPN 서버 보안 연결 확인
목적
IPsec에 대한 그룹 VPN 서버의 SA를 확인합니다.
작업
운영 모드에서 show security group-vpn server ipsec security-associations
명령을 입력합니다.
IKE에 대한 그룹 VPN 멤버 보안 연결 확인
목적
IKE에 대한 그룹 VPN 멤버의 SA를 확인합니다.
작업
운영 모드에서 show security group-vpn member ike security-associations
명령을 입력합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.