IPv6 IPsec VPN
주니퍼 네트웍스는 IPv6 IPsec VPN에 대한 사전 공유 키 구성을 사용하여 수동 및 자동 키 IKE(Internet Key Exchange)를 지원합니다.
IPv6 주소에 대한 VPN 기능 지원
지점 간 보안 터널 인터페이스가 있는 경로 기반 사이트 간 VPN 터널은 IPv4-in-IPv4, IPv6-in-IPv6, IPv6-in-IPv4 또는 IPv4-in-IPv6 터널 모드에서 작동할 수 있습니다. IPv6 주소는 터널 엔드포인트를 나타내는 외부 IP 헤더 또는 패킷의 최종 소스 및 대상 주소를 나타내는 내부 IP 헤더에 있을 수 있습니다.
표 1 는 VPN 기능에서 IPv6 주소에 대한 지원을 정의합니다.
기능 |
지원됨 |
예외 사항 |
|---|---|---|
IKE(Internet Key Exchange) 및 IPsec 지원: |
||
IKEv1 및 IKEv2 |
예 |
지정하지 않는 한 지원되는 모든 기능은 IKEv1 및 IKEv2에 적용됩니다. |
경로 기반 VPN |
예 |
– |
정책 기반 VPN |
예 |
IPv6 정책 기반 VPN은 섀시 클러스터 구성의 SRX 시리즈 방화벽에서 지원되지 않습니다. IPv6 정책 기반 VPN은 독립형 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스의 IPv6-in-IPv6 터널에서만 지원됩니다. |
사이트 간 VPN |
예 |
일대일, 사이트 간 VPN만 지원됩니다. 다대일 NHTB(site-to-site VPN)는 지원되지 않습니다. IPv4-in-IPv4 터널 이외의 터널 모드에 대해서는 NHTB 구성을 커밋할 수 없습니다. |
동적 엔드포인트 VPN |
예 |
– |
전화 접속 VPN |
예 |
– |
AutoVPN |
예 |
포인트 투 포인트 모드에서 보안 터널 인터페이스를 사용하는 AutoVPN 네트워크는 트래픽 선택기 및 IKE(Internet Key Exchange) 피어에 대해 IPv6 주소를 지원합니다. Point-to-Multipoint 모드의 AutoVPN은 IPv6 트래픽을 지원하지 않습니다. |
그룹 VPN |
아니요 |
– |
포인트 투 포인트 터널 인터페이스 |
예 |
– |
Point-to-Multipoint 터널 인터페이스 |
아니요 |
– |
사이트 간 VPN에 대한 허브 앤 스포크 시나리오 |
예 |
– |
번호가 매겨진 터널 인터페이스와 번호가 지정되지 않은 터널 인터페이스 |
예 |
– |
유니캐스트 정적 및 동적(RIP, OSPF, BGP) 라우팅 |
예 |
– |
멀티캐스트 동적 라우팅(PIM) |
아니요 |
– |
가상 라우터(VR) |
예 |
– |
논리적 시스템 |
아니요 |
– |
자동 및 수동 SA 및 키 관리 |
예 |
– |
여러 SPU |
예 |
– |
섀시 클러스터 |
예 |
액티브-액티브 모드의 IPsec VPN은 경로 기반 IPv6 터널을 위한 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서만 지원됩니다. 액티브-액티브 모드의 IPsec VPN은 SRX5400, SRX5600 및 SRX5800 디바이스에서 지원되지 않습니다. |
통계, 로그, 터널별 디버깅 |
예 |
– |
SNMP 관리 정보 베이스(MIB) |
예 |
– |
로컬 주소 선택 |
예 |
동일한 주소 패밀리의 여러 주소가 VPN 피어에 대한 물리적 외부 인터페이스에 구성된 경우 [] 계층 수준에서도 구성하는 것이 좋습니다. |
루프백 주소 종료 |
예 |
– |
IPv6을 통한 Xauth 또는 modecfg |
아니요 |
– |
SPC 인서트 |
예 |
– |
ISSU |
예 |
– |
IKE 게이트웨이 주소로서의 DNS 이름 |
예 |
IPv4 터널과 마찬가지로 DNS 이름의 피어 게이트웨이 주소 변경은 IPv6 터널에서 지원되지 않습니다. |
사전 공유 키 또는 인증서 인증 |
예 |
– |
IPv4 IKE(Internet Key Exchange) 피어에 대한 NAT-Traversal(NAT-T) |
예 |
NAT-T는 IKEv1을 사용하는 IPv6-in-IPv4 및 IPv4-in-IPv4 터널 모드에서만 지원됩니다. IPv6-in-IPv6 및 IPv4-in-IPv6 터널 모드는 지원되지 않습니다. IKEv2는 NAT-T에 대해 지원되지 않습니다. IPv6에서 IPv4로 또는 IPv4에서 IPv6으로 NAT-T는 지원되지 않습니다. |
DPD(Dead Peer Detection) 및 DPD 게이트웨이 페일오버 |
예 |
DPD 게이트웨이 페일오버는 동일한 제품군 내의 서로 다른 게이트웨이 주소에 대해서만 지원됩니다. IPv6 게이트웨이 주소에서 IPv4 게이트웨이 주소로 또는 그 반대로 페일오버는 지원되지 않습니다. |
SRX 시리즈 방화벽용 Junos OS 릴리스 12.1X45-D10 릴리스에서 지원되는 암호화 세트, 인증 알고리즘 및 DH 그룹. |
예 |
– |
IPv6 및 IPv4에 대한 일반 제안 및 정책 |
예 |
– |
일반 IKE(Internet Key Exchange) ID |
예 |
– |
ESP 및 AH 전송 모드 |
아니요 |
이러한 모드는 IPv4에서 지원되지 않습니다. |
ESP 및 AH 터널 모드 |
예 |
변경 가능한 확장 헤더 및 옵션이 있는 AH 터널 모드는 지원되지 않습니다. |
확장 시퀀스 번호 |
아니요 |
– |
단일 프록시 ID 쌍 |
예 |
– |
다중 트래픽 선택기 쌍 |
예 |
IKEv1에서만 지원됩니다. |
IKE 또는 IPsec SA의 수명(초) |
예 |
– |
IKE SA의 수명(킬로바이트 단위) |
예 |
– |
VPN 모니터링 |
아니요 |
IPv6 터널을 사용한 구성은 커밋할 수 없습니다. |
DF 비트 |
예 |
IPv6-in-IPv6 터널의 경우 DF 비트는 [] 계층 수준에서 구성된 경우에만 설정됩니다. 이 기본값입니다. |
단일 물리적 인터페이스를 통한 이중 스택(병렬 IPv4 및 IPv6 터널) |
예 |
경로 기반 사이트 간 VPN의 경우. 단일 IPv4 터널은 IPv4-in-IPv4 및 IPv6-in-IPv4 터널 모드 모두에서 작동할 수 있으며, 단일 IPv6 터널은 IPv4-in-IPv6 및 IPv6-in-IPv6 터널 모드 모두에서 작동할 수 있습니다. |
IPv6 확장 헤더 |
예 |
IKE 및 IPsec 패킷에 대한 IPv6 확장 헤더와 IPv4 옵션은 허용되지만 처리되지는 않습니다. 변경 가능한 EH 및 옵션이 있는 AH는 지원되지 않습니다. |
단편화 및 재조립 |
예 |
– |
VPN 세션 선호도 |
예 |
– |
멀티캐스트 트래픽 |
아니요 |
– |
터널 IP 서비스(Screen, NAT, ALG, IPS, AppSecure) |
예 |
– |
터널을 통한 IPv6 단편에 대한 패킷 순서 변경 |
아니요 |
– |
st0 인터페이스의 OSPFv3 경로를 통한 BFD(Bidirectional Forwarding Detection) |
아니요 |
– |
st0 인터페이스를 통한 NDP(Neighbor Discovery Protocol) |
아니요 |
– |
PKI 지원: |
||
가상 라우터의 PKI |
예 |
– |
RSA 서명 인증(512비트, 1024비트, 2048비트 또는 4096비트 키 크기) |
예 |
– |
DSA 서명 인증(1024비트, 2048비트 또는 4096비트 키 크기) |
예 |
– |
ECDSA 서명 |
예 |
– |
인증서 체인 인증 |
아니요 |
– |
IPv4를 통한 자동 또는 수동 등록 |
예 |
– |
IPv4를 통한 자동 또는 수동 해지 |
예 |
– |
IPv6을 통한 자동 또는 수동 등록 |
아니요 |
– |
IPv6을 통한 자동 또는 수동 해지 |
아니요 |
– |
PKI 인증서 필드 내의 IPv6 주소 |
아니요 |
– |
참조
IPv6 IKE 및 IPsec 패킷 처리 이해
이 주제는 다음 섹션을 포함합니다.
IPv6 IKE 패킷 처리
IKE(Internet Key Exchange)는 IPsec 프로토콜 제품군의 일부입니다. 자동으로 두 개의 터널 엔드포인트가 보안 연결(SA)을 설정하고 비밀 키를 서로 협상할 수 있습니다. 보안 매개 변수를 수동으로 구성할 필요가 없습니다. IKE(Internet Key Exchange)는 통신 피어를 위한 인증도 제공합니다.
IPv6 네트워크에서의 IKE(Internet Key Exchange) 패킷 처리에는 다음과 같은 요소가 포함됩니다.
ISAKMP(Internet Security Association and Key Management Protocol) 식별 페이로드
ISAKMP 식별 페이로드는 통신하는 IPv6 피어를 식별하고 인증하는 데 사용됩니다. IPv6에 대해 두 가지 ID 유형(ID_IPV6_ADDR 및 ID_IPV6_ADDR_SUBNET)을 사용할 수 있습니다. ID 유형은 사용할 신분증 유형을 나타냅니다. ID_IPV6_ADDR 유형은 단일 16-옥텟 IPv6 주소를 지정합니다. 이 ID 유형은 IPv6 주소를 나타냅니다. ID_IPV6_ADDR_SUBNET 유형은 두 개의 16-옥텟 값으로 표시되는 IPv6 주소의 범위를 지정합니다. 이 ID 유형은 IPv6 네트워크 마스크를 나타냅니다. 표 2 은(는) ID 유형과 ID 페이로드에 할당된 값을 나열합니다.
표 2: ISAKMP ID 유형 및 해당 값 ID 유형
가치
예약
0
ID_IPV4_ADDR
1
ID_FQDN
2
ID_USER_FQDN
3
ID_IPV4_ADDR_SUBNET
4
ID_IPV6_ADDR
5
ID_IPV6_ADDR_SUBNET
6
ID_IPV4_ADDR_RANGE
7
ID_IPV6_ADDR_RANGE
8
ID_DER_ASN1_DN
9
ID_DER_ASN1_GN
10
ID_KEY_ID
11
ID_LIST
12
ID_IPV6_ADDR_RANGE 유형은 두 개의 16-옥텟 값으로 표시되는 IPv6 주소의 범위를 지정합니다. 첫 번째 옥텟 값은 시작 IPv6 주소를 나타내고 두 번째 옥텟 값은 범위의 끝 IPv6 주소를 나타냅니다. 첫 번째 IPv6 주소와 마지막 IPv6 주소 사이에 있는 모든 IPv6 주소는 목록의 일부로 간주됩니다.
ISAKMP 식별 페이로드의 두 가지 ID 유형(ID_IPV6_ADDR_RANGE 및 ID_IPV4_ADDR_RANGE)은 이 릴리스에서 지원되지 않습니다.
프록시 ID
프록시 ID는 IKE(Internet Key Exchange) 협상의 2단계에서 사용됩니다. IPsec 터널이 설정되기 전에 생성됩니다. 프록시 ID는 VPN에 사용할 SA를 식별합니다. 두 개의 프록시 ID(로컬 및 원격)가 생성됩니다. 로컬 프록시 ID는 로컬 IPv4 또는 IPv6 주소/네트워크 및 서브넷 마스크를 참조합니다. 원격 프록시 ID는 원격 IPv4 또는 IPv6 주소/네트워크 및 서브넷 마스크를 참조합니다.
보안 연결
SA는 보안 통신을 지원하기 위한 VPN 참가자 간의 계약입니다. SA는 SPI(Security Parameter Index), 대상 IPv6 주소 및 보안 프로토콜(AH 또는 ESP)의 세 가지 매개 변수를 기반으로 차별화됩니다. SPI는 여러 SA 중에서 SA를 식별하는 데 도움이 되도록 SA에 할당된 고유한 값입니다. IPv6 패킷에서 SA는 외부 IPv6 헤더의 대상 주소에서 식별되고 보안 프로토콜은 AH 또는 ESP 헤더에서 식별됩니다.
IPv6 IPsec 패킷 처리
IKE 협상이 완료되고 두 개의 IKE 게이트웨이가 1단계 및 2단계 SA를 설정한 후 IPv6 IPsec은 인증 및 암호화 기술을 사용하여 IPv6 패킷을 보호합니다. IPv6 주소는 32비트 길이의 IPv4 주소에 비해 128비트 길이이므로 IPv6 IPsec 패킷 처리에는 더 많은 리소스가 필요합니다.
터널을 통한 IPv6 단편에 대한 패킷 순서 변경은 지원되지 않습니다.
IPv6 주소 지정을 사용하는 디바이스는 단편화를 수행하지 않습니다. IPv6 호스트는 경로 MTU 검색을 수행하거나 IPv6 최소 MTU 크기인 1280바이트보다 작은 패킷을 전송해야 합니다.
이 주제는 다음 섹션을 포함합니다.
IPv6의 AH 프로토콜
AH 프로토콜은 IPv6 패킷에 대한 데이터 무결성 및 데이터 인증을 제공합니다. IPv6 IPsec은 IPv6 데이터그램에서 특정 방식으로 정렬되어야 하는 확장 헤더(예: 홉 바이 홉 및 라우팅 옵션)를 사용합니다. AH 터널 모드에서 AH 헤더는 IPv4 AH 터널 모드와 유사한 새로운 외부 IPv6 헤더 바로 뒤에 옵니다. 확장 헤더는 원래 내부 헤더 뒤에 배치됩니다. 따라서 AH 터널 모드에서는 에 표시된 대로 새로운 외부 IPv6 헤더를 추가한 다음 인증 헤더, 내부 헤더, 확장 헤더 및 나머지 원본 데이터그램을 추가하여 전체 패킷을 캡슐화합니다.그림 1
ESP와 달리 AH 인증 알고리즘은 외부 헤더와 새로운 확장 헤더 및 옵션을 포함합니다.
SRX 시리즈 방화벽의 AH 터널 모드는 IPv4 변경 가능 옵션 또는 IPv6 변경 가능 확장 헤더를 지원하지 않습니다. 표 3을(를) 참조하세요.
IPv6의 ESP 프로토콜
ESP 프로토콜은 IPv6 패킷에 대한 암호화와 인증을 모두 제공합니다. IPv6 IPsec은 IPv6 데이터그램에서 확장 헤더(예: 홉 바이 홉 및 라우팅 옵션)를 사용하므로 IPv6 ESP 터널 모드와 IPv4 ESP 터널 모드 간의 가장 중요한 차이점은 패킷 레이아웃에 확장 헤더를 배치하는 것입니다. ESP 터널 모드에서 ESP 헤더는 IPv4 ESP 터널 모드와 유사한 새 외부 IPv6 헤더 바로 뒤에 옵니다. 따라서 ESP 터널 모드에서는 에 표시된 대로 새로운 외부 IPv6 헤더를 추가한 다음 ESP 헤더, 내부 헤더, 확장 헤더 및 나머지 원본 데이터그램을 추가하여 전체 패킷을 캡슐화합니다.그림 2
IPv4 옵션 및 IPv6 확장 헤더(AH 및 ESP 포함)
IPv4 옵션 또는 IPv6 확장 헤더가 있는 IPsec 패킷은 SRX 시리즈 방화벽에서 캡슐화 해제를 위해 수신할 수 있습니다. 은(는) SRX 시리즈 방화벽의 ESP 또는 AH 프로토콜이 지원하는 IPv4 옵션 또는 IPv6 확장 헤더를 보여줍니다.표 3 지원되지 않는 IPsec 패킷이 수신되면 ICV 계산이 실패하고 패킷이 삭제됩니다.
옵션 또는 확장 헤더 |
SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스 |
SRX5400, SRX5600 및 SRX5800 디바이스 |
|---|---|---|
IPv4 옵션이 있는 ESP |
지원됨 |
지원됨 |
IPv6 확장 헤더가 있는 ESP |
지원됨 |
지원됨 |
AH(IPv4 불변 옵션 포함) |
지원됨 |
지원됨 |
IPv6 불변 확장 헤더가 있는 AH |
지원됨 |
지원됨 |
AH(IPv4 변경 가능 옵션 포함) |
지원되지 않음 |
지원되지 않음 |
IPv6 변경 가능한 확장 헤더가 있는 AH |
지원되지 않음 |
지원되지 않음 |
IPv6에서 무결성 검사 값 계산
AH 프로토콜은 패킷 내용에 대한 ICV(무결성 검사 값)를 계산하여 IPv6 패킷의 무결성을 확인합니다. ICV는 일반적으로 MD5 또는 SHA-1과 같은 인증 알고리즘을 통해 구축됩니다. IPv6 ICV 계산은 변경 가능한 헤더와 선택적 확장 헤더라는 두 개의 헤더 필드 측면에서 IPv4의 계산과 다릅니다.
전송 중에 변경할 수 없거나 터널 엔드포인트에 도착할 때 값을 예측할 수 있는 IPv6 헤더 필드를 통해 AH ICV를 계산할 수 있습니다. AH 헤더와 상위 수준 프로토콜 데이터(전송 중에는 변경할 수 없는 것으로 간주됨)를 통해 AH ICV를 계산할 수도 있습니다. 새 외부 IPv6 헤더와 선택적 확장 헤더를 제외한 전체 IPv6 패킷에 대해 ESP ICV를 계산할 수 있습니다.
IPv4와 달리 IPv6에는 전송 중에 변경 가능한 옵션을 태깅하는 방법이 있습니다. IPv6 선택적 확장 헤더에는 변경 가능성을 나타내는 플래그가 포함되어 있습니다. 이 플래그는 적절한 처리를 결정합니다.
IPv4 변경 가능 옵션 및 IPv6 확장 헤더는 AH 프로토콜에서 지원되지 않습니다.
터널 모드에서 헤더 구성
터널 모드에서 외부 IPv4 또는 IPv6 헤더의 소스 및 대상 주소는 터널 엔드포인트를 나타내고, 내부 IPv4 또는 IPv6 헤더의 소스 및 대상 주소는 최종 소스 및 대상 주소를 나타냅니다. 에서는 IPv6-in-IPv6 또는 IPv4-in-IPv6 터널 모드에서 외부 IPv6 헤더가 내부 IPv6 또는 IPv4 헤더와 어떻게 관련되는지 요약합니다.표 4 외부 헤더 필드에서 "Constructed"는 외부 헤더 필드의 값이 내부 헤더 필드의 값과 독립적으로 구성됨을 의미합니다.
헤더 필드 |
캡슐화 필터의 외부 헤더 |
디캡슐레이터의 내부 헤더 |
|---|---|---|
버전 |
6. |
변경 사항 없음. |
DS 필드 |
내부 헤더에서 복사되었습니다. |
변경 사항 없음. |
ECN 필드 |
내부 헤더에서 복사되었습니다. |
건설. |
플로우 레이블 |
0. |
변경 사항 없음. |
페이로드 길이 |
건설. |
변경 사항 없음. |
다음 헤더 |
AH, ESP 및 라우팅 헤더. |
변경 사항 없음. |
홉 제한 |
64. |
감소. |
src 주소 |
건설. |
변경 사항 없음. |
DEST 주소 |
건설. |
변경 사항 없음. |
확장 헤더 |
복사되지 않았습니다. |
변경 사항 없음. |
표 5 에서는 IPv6-in-IPv4 또는 IPv4-in-IPv4 터널 모드에서 외부 IPv4 헤더가 내부 IPv6 또는 IPv4 헤더와 어떻게 관련되는지 요약합니다. 외부 헤더 필드에서 "Constructed"는 외부 헤더 필드의 값이 내부 헤더 필드의 값과 독립적으로 구성됨을 의미합니다.
헤더 필드 |
외부 헤더 |
내부 헤더 |
|---|---|---|
버전 |
4. |
변경 사항 없음. |
헤더 길이 |
건설. |
변경 사항 없음. |
DS 필드 |
내부 헤더에서 복사되었습니다. |
변경 사항 없음. |
ECN 필드 |
내부 헤더에서 복사되었습니다. |
건설. |
총 길이 |
건설. |
변경 사항 없음. |
ID |
건설. |
변경 사항 없음. |
플래그(DF, MF) |
건설. |
변경 사항 없음. |
부분 오프셋 |
건설. |
변경 사항 없음. |
Ttl |
64. |
감소. |
프로토콜 |
아, ESP |
변경 사항 없음. |
체크섬 |
건설. |
건설. |
src 주소 |
건설. |
변경 사항 없음. |
DEST 주소 |
건설. |
변경 사항 없음. |
옵션 |
복사되지 않았습니다. |
변경 사항 없음. |
IPv6-in-IPv4 터널 모드의 경우 DF(Don't Fragment) 비트가 기본적으로 지워집니다. 또는 옵션이 해당 IPv4 VPN에 대한 [] 계층 수준에서 구성된 경우, DF 비트는 외부 IPv4 헤더에 설정됩니다.df-bit setdf-bit copyedit security ipsec vpn vpn-name
IPv4-in-IPv4 터널 모드의 경우 외부 IPv4 헤더의 DF 비트는 내부 IPv4 헤더에 대해 구성된 옵션을 기반으로 합니다.df-bit 내부 IPv4 헤더에 대해 이(가) 구성되지 않은 경우 외부 IPv4 헤더에서 DF 비트가 지워집니다.df-bit
참조
IPv6 IPsec 구성 개요
주니퍼 네트웍스는 IPv6 IPsec VPN에 대한 사전 공유 키 구성을 사용하여 수동 및 자동 키 IKE(Internet Key Exchange)를 지원합니다.
자동 키 IKE(Internet Key Exchange) VPN - 자동 키 IKE(Internet Key Exchange) VPN 구성에서 자동 키 IKE(Internet Key Exchange) 메커니즘을 사용하여 비밀 키와 SA가 자동으로 생성됩니다. IPv6 자동 키 IKE(Internet Key Exchange) VPN을 설정하려면 1단계와 2단계의 두 가지 협상이 필요합니다.
1단계 - 이 단계에서 참가자는 IPsec SA를 협상하기 위한 보안 채널을 설정합니다.
2단계 - 이 단계에서 참가자는 IPv6 데이터 패킷을 인증하고 암호화하기 위해 IPsec SA를 협상합니다.
1단계 및 2단계 협상에 대한 자세한 내용은 Internet Key Exchange를 참조하십시오
참조
예: IPv6 IPsec 수동 VPN 구성
이 예에서는 IPv6 IPsec 수동 VPN을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
VPN의 작동 방식을 이해합니다. IPsec 개요을(를) 참조하세요.
IPv6 IPsec 패킷 처리에 대해 이해합니다. IPv6 IKE 및 IPsec 패킷 처리 이해를 참조하십시오.
개요
수동 VPN 구성에서 비밀 키는 두 개의 IPsec 엔드포인트에서 수동으로 구성됩니다.
이 예에서는 다음을 수행합니다.
vpn-sunnyvale이라는 VPN에 대한 인증 매개 변수를 구성합니다.
vpn-sunnyvale에 대한 암호화 매개 변수를 구성합니다.
SA에 대한 발신 인터페이스를 지정합니다.
피어의 IPv6 주소를 지정합니다.
IPsec 프로토콜을 정의합니다. 구성에 인증과 암호화가 모두 포함되므로 ESP 프로토콜을 선택합니다.
SPI(Security Parameter Index)를 구성합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ipsec vpn vpn-sunnyvale manual authentication algorithm hmac-md5–96 key ascii-text “$ABC123” set security ipsec vpn vpn-sunnyvale manual encryption algorithm 3des-cbc key ascii-text “$ABC123” set security ipsec vpn vpn-sunnyvale manual external-interface ge-0/0/14.0 set security ipsec vpn vpn-sunnyvale manual gateway 2001:db8:1212::1112 set security ipsec vpn vpn-sunnyvale manual protocol esp set security ipsec vpn vpn-sunnyvale manual spi 12435
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 알고리즘 구성 방법:
인증 매개 변수를 구성합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set authentication algorithm hmac-md5–96 key ascii-text “$ABC123”
암호화 매개 변수를 구성합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set encryption algorithm 3des-cbc key ascii-text “$ABC123”
SA에 대한 발신 인터페이스를 지정합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set external-interface ge-0/0/14.0
피어의 IPv6 주소를 지정합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set gateway 2001:db8:1212::1112
IPsec 프로토콜을 정의합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set protocol esp
SPI를 구성합니다.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set spi 12435
결과
구성 모드에서 show security ipsec vpn vpn-sunnyvale 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
[user@host]show security ipsec vpn vpn-sunnyvale
manual {
gateway 2001:db8:1212::1112 ;
external-interface ge-0/0/14.0 ;
protocol esp ;
spi 12435 ;
authentication {
algorithm hmac-md5-96 ;
key ascii-text $ABC123” ;## SECRET DATA
}
encryption {
algorithm 3des-cbc ;
key ascii-text $ABC123”; ## SECRET DATA
}
}
예: IPv6 자동 키 IKE(Internet Key Exchange) 정책 기반 VPN 구성
이 예에서는 IPv6 데이터가 지사와 본사 간에 안전하게 전송될 수 있도록 정책 기반 IPv6 자동 키 IKE(Internet Key Exchange) VPN을 구성하는 방법을 보여줍니다.
IPv6 정책 기반 VPN은 독립형 SRX300, SRX320, SRX340, SRX345 및 SRX550HM 디바이스에서만 지원됩니다.
요구 사항
이 예는 다음 하드웨어를 사용합니다.
-
SRX300 디바이스
시작하기 전에:
-
VPN의 작동 방식을 이해합니다. IPsec 개요을(를) 참조하세요.
-
IPv6 IKE 및 IPsec 패킷 처리에 대해 이해합니다. IPv6 IKE 및 IPsec 패킷 처리 이해를 참조하십시오.
개요
이 예에서는 터널 리소스를 절약하거나 터널을 통과하는 트래픽을 필터링하기 위해 많은 보안 정책을 구성할 필요가 없기 때문에 일리노이주 시카고에 있는 지점에 대해 IPv6 IKE 정책 기반 VPN을 구성합니다. 시카고 사무실의 사용자는 VPN을 사용하여 캘리포니아 서니베일에 있는 본사에 연결합니다.
그림 3 은(는) IPv6 IKE(Internet Key Exchange) 정책 기반 VPN 토폴로지의 예를 보여줍니다. 이 토폴로지에서 SRX 시리즈 방화벽 하나는 서니베일에 있고 다른 SRX 시리즈 방화벽(두 번째 SRX 시리즈 방화벽 또는 타사 디바이스일 수 있음)은 시카고에 있습니다.
이 예에서는 인터페이스, IPv6 기본 경로, 보안 영역 및 주소록을 구성합니다. 그런 다음 IKE(Internet Key Exchange) 1단계, IPsec 2단계, 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 꿰뚫어 본다.표 6표 10
|
기능 |
이름 |
구성 매개 변수 |
|---|---|---|
|
인터페이스 |
ge-0/0/14.0 |
2001년:DB8:3::1/96 |
|
ge-0/0/15.0 |
2001:db8:0:2::1/96 |
|
|
보안 존 |
T녹 |
|
|
유앤트러스트 |
|
|
|
주소록 항목 |
Sunnyvale |
|
|
C히카고 |
|
|
기능 |
이름 |
구성 매개 변수 |
|---|---|---|
|
제안 |
ipv6-ike-phase1-제안 |
|
|
정책 |
ipv6-ike-1단계-정책 |
|
|
게이트웨이 |
gw-c 히카고 |
|
|
기능 |
이름 |
구성 매개 변수 |
|---|---|---|
|
제안 |
ipv6-ipsec-phase2-제안 |
|
|
정책 |
ipv6-ipsec-2단계-정책 |
|
|
VPN |
ipv6-ike-vpn-시카고 |
|
|
목적 |
이름 |
구성 매개 변수 |
|---|---|---|
|
이 보안 정책은 트러스트 영역에서 언트러스트 영역으로 트래픽을 허용합니다. |
ipv6-vpn-tr-untr |
|
|
이 보안 정책은 언트러스트(Untrust) 영역에서 트러스트 영역으로의 트래픽을 허용합니다. |
ipv6-vpn-untr-tr |
|
|
이 보안 정책은 트러스트 영역에서 언트러스트 영역으로 모든 트래픽을 허용합니다. permit-any 보안 정책 앞에 ipv6-vpn-tr-untr 정책을 배치해야 합니다. Junos OS는 목록의 맨 위부터 보안 정책 조회를 수행합니다. permit-any 정책이 ipv6-vpn-tr-untr 정책 앞에 오는 경우 트러스트 영역의 모든 트래픽이 permit-any 정책과 일치하여 허용됩니다. 따라서 ipv6-vpn-tr-untr 정책과 일치하는 트래픽이 없습니다. |
permit-any |
|
|
목적 |
구성 매개 변수 |
|---|---|
|
TCP-MSS는 TCP 3방향 핸드셰이크의 일부로 협상되며, TCP 세그먼트의 최대 크기를 제한하여 네트워크에서 MTU 제한에 더 잘 맞도록 합니다. IPsec 캡슐화 오버헤드는 IP 및 프레임 오버헤드와 함께 결과 ESP 패킷이 물리적 인터페이스의 최대 전송 단위(MTU)를 초과하여 단편화를 유발할 수 있으므로 VPN 트래픽에 특히 중요합니다. 단편화로 인해 대역폭과 디바이스 리소스 사용이 증가합니다. 1500 이상의 최대 전송 단위(MTU)를 가진 대부분의 이더넷 기반 네트워크의 시작 지점으로 1350의 값을 권장합니다. 최적의 성능을 얻기 위해서는 다양한 TCP-MSS 값의 실험이 필요할 수 있습니다. 예를 들어, 경로의 디바이스가 낮은 최대 전송 단위(MTU)를 가졌거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수도 있습니다. |
MSS 값: 1350 |
구성
기본 네트워크, 보안 영역 및 주소록 정보 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:3::1/96 set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:2::1/96 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set security zones security-zone Untrust interfaces ge-0/0/15.0 set security zones security-zone Untrust host-inbound-traffic system-services ike set security zones security-zone Trust interfaces ge-0/0/14.0 set security zones security-zone Trust host-inbound-traffic system-services all set security address-book book1 address Sunnyvale 2001:db8:3::2/96 set security address-book book1 attach zone Trust set security address-book book2 address Chicago 2001:db8:0::2/96 set security address-book book2 attach zone Untrust
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
기본 네트워크, 보안 영역 및 주소록 정보 구성하기:
-
이더넷 인터페이스 정보를 구성합니다.
[edit] user@host# set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:3::1/96 user@host# set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:2::1/96
-
고정 경로 정보를 구성합니다.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
-
신뢰할 수 없는 보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone Untrust
-
신뢰할 수 없는 보안 영역에 인터페이스를 할당합니다.
[edit security zones security-zone Untrust] user@host# set interfaces ge-0/0/15.0
-
신뢰할 수 없는 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone Untrust] user@host# set host-inbound-traffic system-services ike
-
TRust 보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone Trust
-
인터페이스를 트러스트 보안 영역에 할당합니다.
[edit security zones security-zone Trust] user@host# set interfaces ge-0/0/14.0
-
트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone Trust] user@host# set host-inbound-traffic system-services all
-
주소록을 생성하고 영역을 연결합니다.
[edit security address-book book1] user@host# set address Sunnyvale 2001:db8:3::2/96 user@host# set attach zone Trust
-
다른 주소록을 생성하고 영역을 연결합니다.
[edit security address-book book2] user@host# set address Chicago 2001:db8:0::2/96 user@host# set attach zone Untrust
결과
구성 모드에서 show interfaces, show routing-options, show security zones 및 show security address-book 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/14 {
unit 0 {
family inet6 {
address 2001:db8:3::1/96;
}
}
}
ge-0/0/15 {
unit 0 {
family inet6 {
address 2001:db8:2::1/96;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
}
[edit]
user@host# show security zones
security-zone Untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/15.0;
}
}
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/14.0;
}
}
[edit]
user@host# show security address-book
book1 {
address Sunnyvale 2001:db8:3::2/96;
attach {
zone Trust;
}
}
book2 {
address Chicago 2001:db8:0::2/96;
attach {
zone Untrust;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
IKE(Internet Key Exchange) 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ike proposal ipv6-ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ipv6-ike-phase1-proposal dh-group group2 set security ike proposal ipv6-ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ipv6-ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ipv6-ike-phase1-policy mode aggressive set security ike policy ipv6-ike-phase1-policy proposals ipv6-ike-phase1-proposal set security ike policy ipv6-ike-phase1-policy pre-shared-key ascii-text 1111111111111111 set security ike gateway gw-chicago external-interface ge-0/0/15.0 set security ike gateway gw-chicago ike-policy ipv6-ike-phase1-policy set security ike gateway gw-chicago address 2001:db8:0:1::1/96
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IKE(Internet Key Exchange) 구성:
-
IKE(Internet Key Exchange) 1단계 제안을 만듭니다.
[edit security ike] user@host# set proposal ipv6-ike-phase1-proposal
-
IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
-
IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set dh-group group2
-
IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set authentication-algorithm sha1
-
IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
-
IKE(Internet Key Exchange) 1단계 정책을 생성합니다.
[edit security ike] user@host# set policy ipv6-ike-phase1-policy
-
IKE(Internet Key Exchange) 1단계 정책 모드를 설정합니다.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set mode aggressive
-
IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set proposals ipv6-ike-phase1-proposal
-
IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set pre-shared-key ascii-text 1111111111111111
-
IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/15.0
-
IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.
[edit security ike gateway gw-chicago] user@host# set ike-policy ipv6-ike-phase1-policy
-
IKE(Internet Key Exchange) 1단계 게이트웨이에 IP 주소를 할당합니다.
[edit security ike gateway gw-chicago] user@host# set address 2001:db8:1::1
결과
구성 모드에서 show security ike 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security ike
proposal ipv6-ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ike-phase1-policy {
mode ;
proposals ipv6-ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ipv6-ike-phase1-policy;
address 2001:db8:1::1;
external-interface ge-0/0/15.0;
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
IPsec 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security ipsec proposal ipv6-ipsec-phase2-proposal protocol esp set security ipsec proposal ipv6-ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipv6-ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipv6-ipsec-phase2-policy proposals ipv6-ipsec-phase2-proposal set security ipsec policy ipv6-ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipv6-ike-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipv6-ike-vpn-chicago ike ipv6-ipsec-policy ipsec-phase2-policy
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPsec 구성:
-
IPsec 2단계 제안을 만듭니다.
[edit] user@host# set security ipsec proposal ipv6-ipsec-phase2-proposal
-
IPsec 2단계 제안 프로토콜을 지정합니다.
[edit security ipsec proposal ipv6- ipsec-phase2-proposal] user@host# set protocol esp
-
IPsec 2단계 제안 인증 알고리즘을 지정합니다.
[edit security ipsec proposal ipv6-ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
-
IPsec 2단계 제안 암호화 알고리즘을 지정합니다.
[edit security ipsec proposal ipv6-ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
-
IPsec 2단계 정책을 생성합니다.
[edit security ipsec] user@host# set policy ipv6-ipsec-phase2-policy
-
IPsec 2단계 제안 참조를 지정합니다.
[edit security ipsec policy ipv6-ipsec-phase2-policy] user@host# set proposals ipv6-ipsec-phase2-proposal
-
Diffie-Hellman 그룹 2를 사용할 수 있도록 IPsec 2단계 PFS를 지정합니다.
[edit security ipsec policy ipv6-ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
-
IKE(Internet Key Exchange) 게이트웨이를 지정합니다.
[edit security ipsec] user@host# set vpn ipv6-ike-vpn-chicago ike gateway gw-chicago
-
IPsec 2단계 정책을 지정합니다.
[edit security ipsec] user@host# set vpn ipv6-ike-vpn-chicago ike ipsec-policy ipv6-ipsec-phase2-policy
결과
구성 모드에서 show security ipsec 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security ipsec
proposal ipv6-ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipv6-ipsec-phase2-proposal;
}
vpn ipv6-ike-vpn-chicago {
ike {
gateway gw-chicago;
ipsec-policy ipv6-ipsec-phase2-policy;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
보안 정책 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match source-address Sunnyvale set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match destination-address Chicago set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match application any set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr then permit tunnel pair-policy ipv6-vpn-untr-tr set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match source-address Chicago set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match destination-address Sunnyvale set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match application any set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr then permit tunnel pair-policy ipv6-vpn-tr-untr set security policies from-zone Trust to-zone Untrust policy permit-any match source-address any set security policies from-zone Trust to-zone Untrust policy permit-any match destination-address any set security policies from-zone Trust to-zone Untrust policy permit-any match application any set security policies from-zone Trust to-zone Untrust policy permit-any then permit insert security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr before policy permit-any
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 정책 구성:
-
트러스트 영역에서 언트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone Trust to-zone Untrust] user@host# set policy ipv6-vpn-tr-untr match source-address Sunnyvale user@host# set policy ipv6-vpn-tr-untr match destination-address Chicago user@host# set policy ipv6-vpn-tr-untr match application any user@host# set policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago user@host# set policy ipv6-vpn-tr-untr then permit tunnel pair-policy ipv6-vpn-untr-tr
-
언트러스트(Untrust) 영역에서 트러스트 영역으로의 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone Untrust to-zone Trust] user@host# set policy ipv6-vpn-untr-tr match source-address Sunnyvale user@host# set policy ipv6-vpn-untr-tr match destination-address Chicago user@host# set policy ipv6-vpn-untr-tr match application any user@host# set policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago user@host# set policy ipv6-vpn-untr-tr then permit tunnel pair-policy ipv6-vpn-tr-untr
-
트러스트 영역에서 언트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone Trust to-zone Untrust] user@host# set policy permit-any match source-address any user@host# set policy permit-any match destination-address any user@host# set policy permit-any match application any user@host# set policy permit-any then permit
-
vpn-tr-untr 보안 정책이 permit-any 보안 정책 위에 배치되도록 보안 정책을 재정렬합니다.
[edit security policies from-zone Trust to-zone Untrust] user@host# insert policy ipv6-vpn-tr-untr before policy permit-any
결과
구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone Trust to-zone Untrust {
policy ipv6-vpn-tr-untr {
match {
source-address Sunnyvale;
destination-address Chicago;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-untr-tr;
}
}
}
}
policy permit-any {
match {
source-address any;
destination-address any;
application any;
}
then {
permit
}
}
}
from-zone Untrust to-zone Trust {
policy ipv6-vpn-untr-tr {
match {
source-address Chicago;
destination-address Sunnyvale;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-tr-untr;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
TCP-MSS 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security flow tcp-mss ipsec-vpn mss 1350
단계별 절차
TCP-MSS 정보 구성:
-
TCP-MSS 정보를 구성합니다.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
결과
구성 모드에서 show security flow 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
IKE(Internet Key Exchange) 1단계 상태 확인
목적
IKE(Internet Key Exchange) 1단계 상태를 확인합니다.
작업
확인 프로세스를 시작하기 전에 서니베일의 호스트에서 시카고의 호스트로 트래픽을 전송해야 합니다. 정책 기반 VPN의 경우 별도의 호스트가 트래픽을 생성해야 합니다. SRX 시리즈 방화벽에서 시작된 트래픽은 VPN 정책과 일치하지 않습니다. 테스트 트래픽은 VPN의 한 쪽에 있는 별도의 디바이스에서 VPN의 다른 쪽에 있는 두 번째 디바이스로 하는 것이 좋습니다. 예를 들어 2001:db8:3::2/96에서 2001:db8:0::2/96으로 ping을 시작합니다.
운영 모드에서 show security ike security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail 명령을 사용하십시오.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 5 2001:db8:1::1 UP e48efd6a444853cf 0d09c59aafb720be Aggressive
user@host> show security ike security-associations index 5 detail
IKE peer 2001:db8:1::1, Index 5,
Role: Initiator, State: UP
Initiator cookie: e48efd6a444853cf, Responder cookie: 0d09c59aafb720be
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 2001:db8:2::1:500, Remote: 2001:db8:1::1:500
Lifetime: Expires in 19518 seconds
Peer ike-id: not valid
Xauth assigned IP: 0.0.0.0
Algorithms:
Authentication : sha1
Encryption : aes-128-cbc
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1568
Output bytes : 2748
Input packets: 6
Output packets: 23
Flags: Caller notification sent
IPSec security associations: 5 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 2900338624
Local: 2001:db8:2::1:500, Remote: 2001:db8:1::1:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done의미
명령은 모든 활성 IKE(Internet Key Exchange) 1단계 보안 연결(SA)을 나열합니다.show security ike security-associations SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.
SA가 나열되어 있는 경우 다음 정보를 검토합니다.
-
인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해
show security ike security-associations index index_number detail명령을 사용할 수 있습니다. -
원격 주소 - 원격 IP 주소가 올바른지 확인합니다.
-
주
-
UP—1단계 SA가 설정되었습니다.
-
DOWN—1단계 SA를 설정하는 데 문제가 있었습니다.
-
-
모드 - 올바른 모드가 사용되고 있는지 확인합니다.
구성에서 다음 사항이 올바른지 확인합니다.
-
외부 인터페이스(인터페이스는 IKE 패킷을 수신해야 합니다)
-
IKE(Internet Key Exchange) 정책 매개 변수
-
사전 공유 키 정보
-
1단계 제안 매개 변수(두 피어 모두에서 일치해야 합니다)
show security ike security-associations index 5 detail 명령은 인덱스 번호 5과의 보안 연결에 대한 추가 정보를 나열합니다.
-
사용된 인증 및 암호화 알고리즘
-
1단계 수명
-
트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)
-
개시자 및 응답자 역할 정보
문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.
-
생성된 IPsec SA의 수
-
진행 중인 2단계 협상 수
IPsec 2단계 상태 확인
목적
IPsec 2단계 상태를 확인합니다.
작업
운영 모드에서 show security ipsec security-associations 명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail 명령을 사용하십시오.
user@host> show security ipsec security-associations total configured sa: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway 2 ESP:aes-128/sha1 14caf1d9 3597/ unlim - root 500 2001:db8:1::1 2 ESP:aes-128/sha1 9a4db486 3597/ unlim - root 500 2001:db8:1::1
user@host> show security ipsec security-associations index 2 detail
Virtual-system: Root
Local Gateway: 2001:db8:2::1, Remote Gateway: 2001:db8:1::1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 14caf1d9, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3440 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2813 seconds
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 9a4db486, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3440 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2813 seconds
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: counter-based enabled, Replay window size: 64의미
show security ipsec security-associations 명령의 출력은 다음 정보를 나열합니다.
-
ID 번호는 2입니다. 이 특정 SA에 대한 자세한 정보를 얻으려면 명령과 함께 이 값을 사용합니다.
show security ipsec security-associations index -
포트 500을 사용하는 하나의 IPsec SA 쌍이 있으며, 이것은 NAT-Traversal이 구현되지 않는다는 의미입니다. (NAT-traversal은 포트 4500 또는 다른 임의의 큰 수의 포트를 사용합니다.)
-
SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3597/무제한 값은 2단계 수명이 3597초 후에 만료되고 실물 크기가 지정되지 않았음을 나타냅니다. 이는 수명이 무제한임을 나타냅니다. 2단계 수명은 VPN이 up된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.
-
VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U(up) 또는 D(down)가 나열됩니다.
-
가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.
show security ipsec security-associations index 2 detail 명령의 출력은 다음 정보를 나열합니다.
-
로컬 및 원격 ID는 SA의 프록시 ID를 구성합니다.
프록시 ID 불일치는 2단계 실패의 가장 일반적인 이유 중 하나입니다. 정책 기반 VPN의 경우 프록시 ID는 보안 정책에서 파생됩니다. 로컬 및 원격 주소는 주소록 항목에서 파생되며 서비스는 정책에 대해 구성된 응용 프로그램에서 파생됩니다. 프록시 ID 불일치로 인해 2단계가 실패할 경우 정책을 사용하여 어떤 주소록 항목이 구성되었는지 확인할 수 있습니다. 주소가 전송되는 정보와 일치하는지 확인합니다. 서비스를 확인하여 포트가 전송되는 정보와 일치하는지 확인합니다.
일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.