경로 기반 VPN의 트래픽 셀렉터
트래픽 셀렉터는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 VPN 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 트래픽 셀렉터에 부합하는 트래픽만이 보안 연관(SA)을 통해 허용됩니다.
경로 기반 VPN의 트래픽 선택기 이해하기
트래픽 선택기는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 이 기능을 사용하면 특정 경로 기반 VPN 내에서 트래픽 선택기를 정의할 수 있으며, 그 결과 여러 개의 Phase 2 IPsec 보안 연결(SA)을 만들 수 있습니다. 트래픽 선택기에 일치하는 트래픽만 연결된 SA를 통해 허용됩니다.
Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터 IKEv1 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다. Junos OS 릴리스 15.1X49-D100부터 IKEv2 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다.
트래픽 선택기 구성
트래픽 선택기를 구성하려면 [edit security ipsec vpn vpn-name] 계층 수준에서 traffic-selector구성 문을 사용합니다. 트래픽 선택기는 필수 local-ip ip-address/netmask 및 remote-ip ip-address/netmask 문으로 정의됩니다. CLI 작동 명령 show security ipsec security-association detail은(는) SA에 대한 트래픽 선택기를 표시합니다. show security ipsec security-association traffic-selector traffic-selector-name CLI 명령은 지정된 트래픽 선택기에 대한 정보를 표시합니다.
해당 트래픽 선택기의 경우, 로컬 및 원격 주소에 대해 단일 주소와 넷마스크가 지정됩니다. 트래픽 선택기는 IPv4 또는 IPv6 주소로 구성할 수 있습니다. 로컬 또는 원격 주소를 지정하는 데 주소록을 사용할 수 없습니다.
동일한 VPN에 대해 여러 개의 트래픽 선택기를 구성할 수 있습니다. 각 VPN에 대해 최대 200개의 트래픽 선택기를 구성할 수 있습니다. 트래픽 선택기는 IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 또는 IPv6-in-IPv4 터널 모드에서 사용할 수 있습니다.
아래 기능은 트래픽 선택기에서 지원되지 않습니다.
VPN 모니터링
트래픽 선택기의 로컬 및 원격 IP 주소에 구성된 다양한 주소 패밀리
site-to-site VPN용 원격 주소 0.0.0.0/0(IPv4) 또는 0::0(IPv6)
Junos OS 릴리스 15.1X49-D140부터 모든 SRX 시리즈 방화벽 및 vSRX 가상 방화벽 인스턴스에서는 0::0(IPv6) 원격 주소로 traffic-selector를 구성할 경우 커밋 수행 시 구성 체크아웃이 실패하면 다음과 같은 “error: configuration check-out failed” 메시지가 표시됩니다.
P2MP(Point-to-multipoint) 인터페이스
st0 인터페이스에 구성된 동적 라우팅 프로토콜
경로 기반 VPN에 대해 구성된 트래픽 선택기가 여러 개 있으면, IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 가상 라우터(VR)로 이동하는 경우, clear 트래픽이 트래픽 선택기와 일치하지 않아도 VPN 터널에 들어갈 수 있습니다. 소프트웨어는 IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 VR로 이동할 때 생성되는 여러 개의 비동기 인터페이스 이벤트를 처리하지 않습니다. 해결 방법으로, IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 VR로 이동하기 전에 먼저 IPSec VPN 터널을 비활성화하고 해당 터널 없이 구성을 커밋합니다.
Junos OS 릴리스 21.1R1부터는 로컬 IP 접두사, 원격 IP 접두사, 원본 포트 범위, 대상 포트 범위 및 트래픽 선택용 프로토콜을 여러 세트로 구성할 수 있습니다. 이는 RFC 7296에 정의된 것과 같이 여러 세트의 IP 주소 범위, 포트 범위 및 프로토콜이 동일한 트래픽 선택기의 일부가 될 수 있음을 의미합니다. 여러 트래픽 선택기를 구성할 때 각 트래픽 선택기는 개별적인 협상으로 이어져 결국 여러 IPsec 터널이 생겨납니다. 그러나 한 개의 트래픽 선택기 아래에 여러 조건을 구성하는 경우, 이 구성은 여러 IP 접두사, 포트 및 프로토콜을 포함하는 하나의 IPsec SA 협상을 생성합니다. 트래픽 선택기를 참조하십시오.
자동 경로 삽입 이해하기
자동 경로 삽입(ARI)은 원격 터널 엔드포인트로 보호되는 원격 네트워크와 호스트에 대해 고정 경로를 자동으로 삽입합니다. 경로는 트래픽 선택기에서 구성된 원격 IP 주소를 기반으로 생성됩니다. 트래픽 선택기의 경우, 구성된 원격 주소는 VPN에 바인딩된 st0 인터페이스와 연결된 라우팅 인스턴스에 경로로 삽입됩니다.
라우팅 프로토콜과 트래픽 선택기 구성은 터널을 향해 트래픽을 조정하는 상호 배타적인 방법입니다. ARI 경로는 라우팅 프로토콜을 통해 채워진 경로와 충돌할 수 있습니다. 따라서 트래픽 선택기가 구성된 VPN에 바인딩된 st0 인터페이스에서 라우팅 프로토콜을 구성해서는 안 됩니다.
ARI는 RRI(Reverse Route Insertion)라고도 합니다. ARI 경로는 라우팅 테이블에 다음과 같이 삽입됩니다.
establish-tunnels immediately옵션이 [edit security ipsec vpn vpn-name] 계층 수준에서 구성되는 경우, Phase 1 및 Phase 2 협상이 완료된 이후에 ARI 경로가 추가됩니다. 경로는 SA가 설정될 때까지 추가되지 않기 때문에, 협상에 실패하더라도 다운된 st0 인터페이스로 트래픽이 라우팅되지 않습니다. 대신 대체 또는 백업 터널이 사용됩니다.establish-tunnels immediately옵션이 [edit security ipsec vpn vpn-name] 계층 수준에서 구성되지 않는 경우, 구성 커밋 시 ARI 경로가 추가됩니다.트래픽 선택기에서 구성되거나 협상된 원격 주소가 0.0.0.0/0 또는 0::0인 경우, ARI 경로가 추가되지 않습니다.
고정 ARI 경로에 대한 기본 설정은 5입니다. 이 값은 라우팅 프로토콜 프로세스에 의해 추가될 수 있는 유사한 경로와 충돌을 방지하는 데 필요합니다.
고정 ARI 경로는 rib-groups 구성을 사용하는 다른 라우팅 인스턴스로 누수될 수 없습니다. 고정 ARI 경로를 누수하려면 import-policy 구성을 사용합니다.
트래픽 선택기와 IP 주소 오버래핑 이해하기
이 섹션은 트래픽 선택기 구성의 오버래핑 IP 주소에 대해 설명합니다.
- 동일한 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑
- 동일한 st0 인터페이스에 바인딩된 동일한 VPN의 IP 주소 오버래핑
- 다른 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑
동일한 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑
이 시나리오는 트래픽 선택기에서 지원되지 않습니다. 트래픽 선택기는 다음 예시와 같이 동일한 P2MP(Point-to-multipoint) 인터페이스에 바인딩된 다른 VPN에서 구성할 수 없습니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
}
vpn vpn-2 {
bind-interface st0.1;
}
동일한 st0 인터페이스에 바인딩된 동일한 VPN의 IP 주소 오버래핑
동일한 VPN의 여러 트래픽 선택기에 대해 오버래핑된 IP 주소가 구성된 경우, 패킷과 일치하는 첫 번째로 구성된 트래픽 선택기가 패킷 암호화에 사용된 터널을 결정합니다.
다음 예시에서는 point-to-point st0.1 인터페이스에 바인딩된 VPN(vpn-1)에 대해 4개의 트래픽 선택기(ts-1, ts-2, ts-3, ts-4)를 구성합니다.
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
traffic-selector ts-3 {
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
traffic-selector ts-4 {
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
소스 주소가 192.168.5.5, 대상 주소가 10.1.5.10인 패킷은 트래픽 선택기 ts-1 및 ts-2와 일치합니다. 그러나 트래픽 선택기 ts-1은 첫 번째로 구성된 일치 항목이고, ts-1과 연결된 터널은 패킷 암호화에 사용됩니다.
소스 주소가 172.16.5.5, 대상 주소가 10.2.5.10인 패킷은 트래픽 선택기 ts-3 및 ts-4와 일치합니다. 그러나 트래픽 선택기 ts-3은 첫 번째로 구성된 일치 항목이고, 트래픽 선택기 ts-3과 연결된 터널은 패킷 암호화에 사용됩니다.
다른 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑
서로 다른 point-to-point st0 인터페이스에 바인딩된 서로 다른 VPN의 여러 트래픽 선택기에 대해 오버래핑된 IP 주소가 구성된 경우, st0 인터페이스는 먼저 해당 패킷에 대해 접두사 일치가 가장 긴 항목으로 선택됩니다. 선택된 st0 인터페이스에 바인딩된 VPN 내에서 트래픽 선택기는 패킷에 대해 처음으로 구성된 일치 항목을 기준으로 선택됩니다.
다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 동일한 로컬 서브네트워크이지만 서로 다른 원격 서브네트워크로 구성됩니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
각 트래픽 선택기에서 서로 다른 원격 서브네트워크가 구성되므로, 두 개의 다른 경로가 라우팅 테이블에 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.
다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 원격 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 로컬 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
각 트래픽 선택기에서 서로 다른 원격 서브네트워크가 구성되므로, 라우팅 테이블에 두 개의 다른 경로가 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.
다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 로컬 및 원격 서브네트워크로 구성됩니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
이 경우, 트래픽 선택기는 오버래핑되지 않습니다. 트래픽 선택기에서 구성된 원격 서브네트워크가 다르기 때문에 라우팅 테이블에 두 개의 다른 경로가 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.
다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 동일한 로컬 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 원격 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
ts-1용으로 구성된 remote-ip은(는) 10.1.1.0/24이고, ts-2용으로 구성된 remote-ip은(는) 10.1.0.0/16입니다. 10.1.1.1로 향하는 패킷의 경우, 경로 조회는 접두사 일치가 더 긴 st0.1 인터페이스를 선택합니다. 패킷은 st0.1 인터페이스에 해당하는 터널을 기준으로 암호화됩니다.
일부 경우, 트래픽 선택기의 트래픽 적용으로 인해 유효한 패킷이 누락될 수 있습니다. 다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 로컬 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 원격 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
10.1.1.0에 대한 2개의 경로(인터페이스 st0.1을 통하는 10.1.1.0/24, 인터페이스 st0.2를 통하는 10.1.0.0/16)가 라우팅 테이블에 추가됩니다. 소스 172.16.1.1에서 대상 10.1.1.1로 전송된 패킷은 인터페이스 st0.1을 통하는 10.1.1.0/24의 라우팅 테이블 항목과 일치합니다. 그러나 패킷이 트래픽 선택기 ts-1에 의해 지정된 트래픽과 일치하지 않아 누락됩니다.
동일한 원격 서브네트워크 및 넷마스크로 여러 개의 트래픽 선택기가 구성된 경우, 동일한 비용 경로가 라우팅 테이블에 추가됩니다. 선택한 경로를 예측할 수 없으므로 이 경우는 트래픽 선택기에서 지원되지 않습니다.
참조
예: 경로 기반 VPN에서 트래픽 선택기 구성
다음 예에서는 경로 기반 VPN에 대한 트래픽 선택기를 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 다음을 수행하십시오.
-
경로 기반 VPN의 트래픽 선택기 이해하기를 읽어봅니다.
-
IKE(Internet Key Exchange) 패키지를 설치합니다.
user@host> request system software add optional://junos-ike.tgz
개요
이 예에서는 SRX_A의 하위 네트워크와 SRX_B의 하위 네트워크 간에 트래픽이 흐를 수 있도록 트래픽 선택기를 구성합니다.
표 1은(는) 이 예에 대한 트래픽 선택기를 표시합니다. 트래픽 선택기는 2단계 옵션에서 구성됩니다.
SRX_A |
SRX_B |
||||
|---|---|---|---|---|---|
트래픽 선택기 이름 |
로컬 IP |
원격 IP |
트래픽 선택기 이름 |
로컬 IP |
원격 IP |
TS1-ipv6 |
2001:db8:10::0/64 |
2001:db8:20::0/64 |
TS1-ipv6 |
2001:db8:20::0/64 |
2001:db8:10::0/64 |
TS2-ipv4 |
192.168.10.0/24 |
192.168.0.0/16 |
TS2-ipv4 |
192.168.0.0/16 |
192.168.10.0/24 |
흐름 기반 IPv6 트래픽 처리는 반드시 [edit security forwarding-options family inet6] 계층 수준에서 mode flow-based 구성 옵션으로 활성화되어야 합니다.
토폴로지
그림 1에서 IPv6 VPN 터널은 SRX_A 및 SRX_B 디바이스 간 IPv4와 IPv6 트래픽을 전송합니다. 즉, 터널은 IPv4-in-IPv6 및 IPv6-in-IPv6 터널 모드 모두에서 작동합니다.
구성
SRX_A 구성하기
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.10.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64 set security ike proposal PSK-DH14-AES256-SHA256 authentication- method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication- algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_A-to-SRX_B ike-policy site-2-site set security ike gateway SRX_A-to-SRX_B address 192.168.20.2 set security ike gateway SRX_A-to-SRX_B external-interface ge-0/0/1.0 set security ike gateway SRX_A-to-SRX_B local-address 192.168.10.1 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication- algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_A-to-SRX_B bind-interface st0.1 set security ipsec vpn SRX_A-to-SRX_B ike ipsec-policy site-2-site set security ipsec vpn SRX_A-to-SRX_B ike gateway SRX_A-to-SRX_B set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
트래픽 선택기를 구성하려면,
외부 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
안전한 터널 인터페이스를 구성합니다.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
내부 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
1단계 옵션을 구성합니다.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_A-to-SRX_B] user@host# set ike-policy site-2-site user@host# set address 192.168.20.2 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.10.1
2단계 옵션을 구성합니다.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_A-to-SRX_B] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_A-to-SRX_B user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 user@host# set traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16
IPv6 플로우 기반 포워딩을 지원합니다.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
보안 영역과 보안 정책을 구성합니다.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
결과
구성 모드에서 show interfaces, show security ike, show security ipsec, show security forwarding-options, show security zones 및 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
family inet6 {
address 10::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text
"$ABC123"; ## SECRET-DATA
}
gateway SRX_A-to-SRX_B {
ike-policy site-2-site;
address 192.168.20.2;
external-interface ge-0/0/1.0;
local-address 192.168.10.1;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_A-to-SRX_B {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_A-to-SRX_B;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:10::0/64;
remote-ip 2001:db8:20::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.10.0/24;
remote-ip 192.168.0.0/16;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
SRX_B 구성하기
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 set interfaces ge-1/1/1 unit 0 family inet address 192.168.0.1/24 set security ike proposal PSK-DH14-AES256-SHA256 authentication-method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication-algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_B-to-SRX_A ike-policy site-2-site set security ike gateway SRX_B-to-SRX_A address 192.168.10.1 set security ike gateway SRX_B-to-SRX_A external-interface ge-0/0/1.0 set security ike gateway SRX_B-to-SRX_A local-address 192.168.20.2 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication-algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_B-to-SRX-A bind-interface st0.1 set security ipsec vpn SRX_B-to-SRX-A ike ipsec-policy site-2-site set security ipsec vpn SRX_B-to-SRX-A ike gateway SRX_B-to-SRX_A set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone trust interfaces ge-1/1/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone VPN interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
트래픽 선택기를 구성하려면,
외부 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
안전한 터널 인터페이스를 구성합니다.
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
내부 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
1단계 옵션을 구성합니다.
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_B-to-SRX_A] user@host# set ike-policy site-2-site user@host# set address 192.168.10.1 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.20.2
2단계 옵션을 구성합니다.
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_B-to-SRX-A] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_B-to-SRX_A user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24
IPv6 플로우 기반 포워딩을 지원합니다.
[edit security forwarding-options] user@host# set family inet6 mode flow-based
보안 영역과 보안 정책을 구성합니다.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
결과
구성 모드에서 show interfaces, show security ike, show security ipsec, show security forwarding-options, show security zones 및 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
family inet6 {
address 2001:db8:20::0/64;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.0.1/24;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway SRX_B-to-SRX_A {
ike-policy site-2-site;
address 192.168.10.1;
external-interface ge-0/0/1.0;
local-address 192.168.20.2;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_B-to-SRX-A {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_B-to-SRX_A;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:20::0/64;
remote-ip 2001:db8:10::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.0.0/16;
remote-ip 192.168.10.0/24;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
ge-1/1/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
표시된 샘플 출력은 SRX-A에 있습니다.
IPsec 2단계 상태 확인
목적
IPsec 2단계 상태를 확인합니다.
작업
운영 모드에서 show security ipsec security-associations 명령을 입력합니다.
user@host> show security ipsec security-associations Total active tunnels: 3 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500 2001:db8:2000::2 >268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500 2001:db8:2000::2 <268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500 2001:db8:2000::2 >268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500 2001:db8:2000::2
운영 모드에서 show security ipsec security-associations detail 명령을 입력합니다.
user@host> show security ipsec security-associations detail
ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 2192.168.20.2
Traffic Selector Name: TS1-ipv6
Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff)
Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a468fece, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 192.168.20.2
Traffic Selector Name: TS2-ipv4
Local Identity: ipv4(192.168.10.0-192.168.10.255)
Remote Identity: ipv4(192.168.20.0-192.168.20.255)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 417f3cea, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a4344027, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
의미
show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 피어 디바이스에서 일치해야 합니다.
트래픽 선택기 확인
목적
안전한 터널 인터페이스에서 합의된 트래픽 선택기를 확인합니다.
작업
운영 모드에서 show security ipsec traffic-selector st0.1 명령을 입력합니다.
user@host> show security ipsec traffic-selector st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff 2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.0.0-192.168.255.255 st0.1 268173316 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.20.0-192.168.20.255 st0.1 268173317 2001:db8:2000::1
경로 확인
목적
활성 경로 확인
작업
운영 모드에서 show route 명령을 입력합니다.
user@host> show route
inet.0: 24 destinations, 24 routes (24 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/16 *[ARI-TS/5] 00:00:32
> via st0.1
2001:db8:20::0/64 *[ARI-TS/5] 00:00:34
> via st0.1의미
show route 명령은 라우팅 테이블에서 활성 항목을 나열합니다. 각 트래픽 선택기에 구성된 원격 IP 주소로의 경로는 올바른 st0 인터페이스와 함께 제시되어야 합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.