Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

경로 기반 VPN의 트래픽 셀렉터

트래픽 셀렉터는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 VPN 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 트래픽 셀렉터에 부합하는 트래픽만이 보안 연관(SA)을 통해 허용됩니다.

경로 기반 VPN의 트래픽 선택기 이해하기

트래픽 선택기는 트래픽이 로컬 및 원격 주소의 특정 한 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE(Internet Key Exchange) 피어 간의 계약입니다. 이 기능을 사용하면 특정 경로 기반 VPN 내에서 트래픽 선택기를 정의할 수 있으며, 그 결과 여러 개의 Phase 2 IPsec 보안 연결(SA)을 만들 수 있습니다. 트래픽 선택기에 일치하는 트래픽만 연결된 SA를 통해 허용됩니다.

Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터 IKEv1 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다. Junos OS 릴리스 15.1X49-D100부터 IKEv2 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다.

트래픽 선택기 구성

트래픽 선택기를 구성하려면 [edit security ipsec vpn vpn-name] 계층 수준에서 traffic-selector구성 문을 사용합니다. 트래픽 선택기는 필수 local-ip ip-address/netmaskremote-ip ip-address/netmask 문으로 정의됩니다. CLI 작동 명령 show security ipsec security-association detail은(는) SA에 대한 트래픽 선택기를 표시합니다. show security ipsec security-association traffic-selector traffic-selector-name CLI 명령은 지정된 트래픽 선택기에 대한 정보를 표시합니다.

해당 트래픽 선택기의 경우, 로컬 및 원격 주소에 대해 단일 주소와 넷마스크가 지정됩니다. 트래픽 선택기는 IPv4 또는 IPv6 주소로 구성할 수 있습니다. 로컬 또는 원격 주소를 지정하는 데 주소록을 사용할 수 없습니다.

동일한 VPN에 대해 여러 개의 트래픽 선택기를 구성할 수 있습니다. 각 VPN에 대해 최대 200개의 트래픽 선택기를 구성할 수 있습니다. 트래픽 선택기는 IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 또는 IPv6-in-IPv4 터널 모드에서 사용할 수 있습니다.

아래 기능은 트래픽 선택기에서 지원되지 않습니다.

  • VPN 모니터링

  • 트래픽 선택기의 로컬 및 원격 IP 주소에 구성된 다양한 주소 패밀리

  • site-to-site VPN용 원격 주소 0.0.0.0/0(IPv4) 또는 0::0(IPv6)

    Junos OS 릴리스 15.1X49-D140부터 모든 SRX 시리즈 방화벽 및 vSRX 가상 방화벽 인스턴스에서는 0::0(IPv6) 원격 주소로 traffic-selector를 구성할 경우 커밋 수행 시 구성 체크아웃이 실패하면 다음과 같은 “error: configuration check-out failed” 메시지가 표시됩니다.

  • P2MP(Point-to-multipoint) 인터페이스

  • st0 인터페이스에 구성된 동적 라우팅 프로토콜

경로 기반 VPN에 대해 구성된 트래픽 선택기가 여러 개 있으면, IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 가상 라우터(VR)로 이동하는 경우, clear 트래픽이 트래픽 선택기와 일치하지 않아도 VPN 터널에 들어갈 수 있습니다. 소프트웨어는 IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 VR로 이동할 때 생성되는 여러 개의 비동기 인터페이스 이벤트를 처리하지 않습니다. 해결 방법으로, IKE(Internet Key Exchange) 게이트웨이 외부 인터페이스가 다른 VR로 이동하기 전에 먼저 IPSec VPN 터널을 비활성화하고 해당 터널 없이 구성을 커밋합니다.

Junos OS 릴리스 21.1R1부터는 로컬 IP 접두사, 원격 IP 접두사, 원본 포트 범위, 대상 포트 범위 및 트래픽 선택용 프로토콜을 여러 세트로 구성할 수 있습니다. 이는 RFC 7296에 정의된 것과 같이 여러 세트의 IP 주소 범위, 포트 범위 및 프로토콜이 동일한 트래픽 선택기의 일부가 될 수 있음을 의미합니다. 여러 트래픽 선택기를 구성할 때 각 트래픽 선택기는 개별적인 협상으로 이어져 결국 여러 IPsec 터널이 생겨납니다. 그러나 한 개의 트래픽 선택기 아래에 여러 조건을 구성하는 경우, 이 구성은 여러 IP 접두사, 포트 및 프로토콜을 포함하는 하나의 IPsec SA 협상을 생성합니다. 트래픽 선택기를 참조하십시오.

자동 경로 삽입 이해하기

자동 경로 삽입(ARI)은 원격 터널 엔드포인트로 보호되는 원격 네트워크와 호스트에 대해 고정 경로를 자동으로 삽입합니다. 경로는 트래픽 선택기에서 구성된 원격 IP 주소를 기반으로 생성됩니다. 트래픽 선택기의 경우, 구성된 원격 주소는 VPN에 바인딩된 st0 인터페이스와 연결된 라우팅 인스턴스에 경로로 삽입됩니다.

라우팅 프로토콜과 트래픽 선택기 구성은 터널을 향해 트래픽을 조정하는 상호 배타적인 방법입니다. ARI 경로는 라우팅 프로토콜을 통해 채워진 경로와 충돌할 수 있습니다. 따라서 트래픽 선택기가 구성된 VPN에 바인딩된 st0 인터페이스에서 라우팅 프로토콜을 구성해서는 안 됩니다.

ARI는 RRI(Reverse Route Insertion)라고도 합니다. ARI 경로는 라우팅 테이블에 다음과 같이 삽입됩니다.

  • establish-tunnels immediately 옵션이 [edit security ipsec vpn vpn-name] 계층 수준에서 구성되는 경우, Phase 1 및 Phase 2 협상이 완료된 이후에 ARI 경로가 추가됩니다. 경로는 SA가 설정될 때까지 추가되지 않기 때문에, 협상에 실패하더라도 다운된 st0 인터페이스로 트래픽이 라우팅되지 않습니다. 대신 대체 또는 백업 터널이 사용됩니다.

  • establish-tunnels immediately 옵션이 [edit security ipsec vpn vpn-name] 계층 수준에서 구성되지 않는 경우, 구성 커밋 시 ARI 경로가 추가됩니다.

  • 트래픽 선택기에서 구성되거나 협상된 원격 주소가 0.0.0.0/0 또는 0::0인 경우, ARI 경로가 추가되지 않습니다.

고정 ARI 경로에 대한 기본 설정은 5입니다. 이 값은 라우팅 프로토콜 프로세스에 의해 추가될 수 있는 유사한 경로와 충돌을 방지하는 데 필요합니다.

고정 ARI 경로는 rib-groups 구성을 사용하는 다른 라우팅 인스턴스로 누수될 수 없습니다. 고정 ARI 경로를 누수하려면 import-policy 구성을 사용합니다.

트래픽 선택기와 IP 주소 오버래핑 이해하기

이 섹션은 트래픽 선택기 구성의 오버래핑 IP 주소에 대해 설명합니다.

동일한 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑

이 시나리오는 트래픽 선택기에서 지원되지 않습니다. 트래픽 선택기는 다음 예시와 같이 동일한 P2MP(Point-to-multipoint) 인터페이스에 바인딩된 다른 VPN에서 구성할 수 없습니다.

동일한 st0 인터페이스에 바인딩된 동일한 VPN의 IP 주소 오버래핑

동일한 VPN의 여러 트래픽 선택기에 대해 오버래핑된 IP 주소가 구성된 경우, 패킷과 일치하는 첫 번째로 구성된 트래픽 선택기가 패킷 암호화에 사용된 터널을 결정합니다.

다음 예시에서는 point-to-point st0.1 인터페이스에 바인딩된 VPN(vpn-1)에 대해 4개의 트래픽 선택기(ts-1, ts-2, ts-3, ts-4)를 구성합니다.

소스 주소가 192.168.5.5, 대상 주소가 10.1.5.10인 패킷은 트래픽 선택기 ts-1 및 ts-2와 일치합니다. 그러나 트래픽 선택기 ts-1은 첫 번째로 구성된 일치 항목이고, ts-1과 연결된 터널은 패킷 암호화에 사용됩니다.

소스 주소가 172.16.5.5, 대상 주소가 10.2.5.10인 패킷은 트래픽 선택기 ts-3 및 ts-4와 일치합니다. 그러나 트래픽 선택기 ts-3은 첫 번째로 구성된 일치 항목이고, 트래픽 선택기 ts-3과 연결된 터널은 패킷 암호화에 사용됩니다.

다른 st0 인터페이스에 바인딩된 서로 다른 VPN의 IP 주소 오버래핑

서로 다른 point-to-point st0 인터페이스에 바인딩된 서로 다른 VPN의 여러 트래픽 선택기에 대해 오버래핑된 IP 주소가 구성된 경우, st0 인터페이스는 먼저 해당 패킷에 대해 접두사 일치가 가장 긴 항목으로 선택됩니다. 선택된 st0 인터페이스에 바인딩된 VPN 내에서 트래픽 선택기는 패킷에 대해 처음으로 구성된 일치 항목을 기준으로 선택됩니다.

다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 동일한 로컬 서브네트워크이지만 서로 다른 원격 서브네트워크로 구성됩니다.

각 트래픽 선택기에서 서로 다른 원격 서브네트워크가 구성되므로, 두 개의 다른 경로가 라우팅 테이블에 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.

다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 원격 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 로컬 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.

각 트래픽 선택기에서 서로 다른 원격 서브네트워크가 구성되므로, 라우팅 테이블에 두 개의 다른 경로가 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.

다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 로컬 및 원격 서브네트워크로 구성됩니다.

이 경우, 트래픽 선택기는 오버래핑되지 않습니다. 트래픽 선택기에서 구성된 원격 서브네트워크가 다르기 때문에 라우팅 테이블에 두 개의 다른 경로가 추가됩니다. 경로 조회는 적절한 VPN에 바인딩된 st0 인터페이스를 사용합니다.

다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 동일한 로컬 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 원격 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.

ts-1용으로 구성된 remote-ip은(는) 10.1.1.0/24이고, ts-2용으로 구성된 remote-ip은(는) 10.1.0.0/16입니다. 10.1.1.1로 향하는 패킷의 경우, 경로 조회는 접두사 일치가 더 긴 st0.1 인터페이스를 선택합니다. 패킷은 st0.1 인터페이스에 해당하는 터널을 기준으로 암호화됩니다.

일부 경우, 트래픽 선택기의 트래픽 적용으로 인해 유효한 패킷이 누락될 수 있습니다. 다음 예시에서 트래픽 선택기는 두 개의 VPN 각각에서 구성됩니다. 트래픽 선택기는 서로 다른 로컬 서브네트워크로 구성됩니다. 각 트래픽 선택기에 대해 동일한 원격 서브네트워크가 구성되지만 서로 다른 넷마스크 값이 지정됩니다.

10.1.1.0에 대한 2개의 경로(인터페이스 st0.1을 통하는 10.1.1.0/24, 인터페이스 st0.2를 통하는 10.1.0.0/16)가 라우팅 테이블에 추가됩니다. 소스 172.16.1.1에서 대상 10.1.1.1로 전송된 패킷은 인터페이스 st0.1을 통하는 10.1.1.0/24의 라우팅 테이블 항목과 일치합니다. 그러나 패킷이 트래픽 선택기 ts-1에 의해 지정된 트래픽과 일치하지 않아 누락됩니다.

동일한 원격 서브네트워크 및 넷마스크로 여러 개의 트래픽 선택기가 구성된 경우, 동일한 비용 경로가 라우팅 테이블에 추가됩니다. 선택한 경로를 예측할 수 없으므로 이 경우는 트래픽 선택기에서 지원되지 않습니다.

예: 경로 기반 VPN에서 트래픽 선택기 구성

다음 예에서는 경로 기반 VPN에 대한 트래픽 선택기를 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에 다음을 수행하십시오.

개요

이 예에서는 SRX_A의 하위 네트워크와 SRX_B의 하위 네트워크 간에 트래픽이 흐를 수 있도록 트래픽 선택기를 구성합니다.

표 1은(는) 이 예에 대한 트래픽 선택기를 표시합니다. 트래픽 선택기는 2단계 옵션에서 구성됩니다.

표 1: 트래픽 선택기 구성

SRX_A

SRX_B

트래픽 선택기 이름

로컬 IP

원격 IP

트래픽 선택기 이름

로컬 IP

원격 IP

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

흐름 기반 IPv6 트래픽 처리는 반드시 [edit security forwarding-options family inet6] 계층 수준에서 mode flow-based 구성 옵션으로 활성화되어야 합니다.

토폴로지

그림 1에서 IPv6 VPN 터널은 SRX_A 및 SRX_B 디바이스 간 IPv4와 IPv6 트래픽을 전송합니다. 즉, 터널은 IPv4-in-IPv6 및 IPv6-in-IPv6 터널 모드 모두에서 작동합니다.

그림 1: 트래픽 선택기 구성 예시트래픽 선택기 구성 예시

구성

SRX_A 구성하기

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

트래픽 선택기를 구성하려면,

  1. 외부 인터페이스를 구성합니다.

  2. 안전한 터널 인터페이스를 구성합니다.

  3. 내부 인터페이스를 구성합니다.

  4. 1단계 옵션을 구성합니다.

  5. 2단계 옵션을 구성합니다.

  6. IPv6 플로우 기반 포워딩을 지원합니다.

  7. 보안 영역과 보안 정책을 구성합니다.

결과

구성 모드에서 show interfaces, show security ike, show security ipsec, show security forwarding-options, show security zonesshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

SRX_B 구성하기

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

트래픽 선택기를 구성하려면,

  1. 외부 인터페이스를 구성합니다.

  2. 안전한 터널 인터페이스를 구성합니다.

  3. 내부 인터페이스를 구성합니다.

  4. 1단계 옵션을 구성합니다.

  5. 2단계 옵션을 구성합니다.

  6. IPv6 플로우 기반 포워딩을 지원합니다.

  7. 보안 영역과 보안 정책을 구성합니다.

결과

구성 모드에서 show interfaces, show security ike, show security ipsec, show security forwarding-options, show security zonesshow security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

표시된 샘플 출력은 SRX-A에 있습니다.

IPsec 2단계 상태 확인

목적

IPsec 2단계 상태를 확인합니다.

작업

운영 모드에서 show security ipsec security-associations 명령을 입력합니다.

운영 모드에서 show security ipsec security-associations detail 명령을 입력합니다.

의미

show security ipsec security-associations 명령은 모든 활성 IKE 2단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 2단계 제안 매개 변수는 피어 디바이스에서 일치해야 합니다.

트래픽 선택기 확인

목적

안전한 터널 인터페이스에서 합의된 트래픽 선택기를 확인합니다.

작업

운영 모드에서 show security ipsec traffic-selector st0.1 명령을 입력합니다.

경로 확인

목적

활성 경로 확인

작업

운영 모드에서 show route 명령을 입력합니다.

의미

show route 명령은 라우팅 테이블에서 활성 항목을 나열합니다. 각 트래픽 선택기에 구성된 원격 IP 주소로의 경로는 올바른 st0 인터페이스와 함께 제시되어야 합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
15.1X49-D140
Junos OS 릴리스 15.1X49-D140부터 모든 SRX 시리즈 방화벽 및 vSRX 가상 방화벽 인스턴스에서는 0::0(IPv6) 원격 주소로 traffic-selector를 구성할 경우 커밋 수행 시 구성 체크아웃이 실패하면 다음과 같은 “error: configuration check-out failed” 메시지가 표시됩니다.
15.1X49-D100
Junos OS 릴리스 15.1X49-D100부터 IKEv2 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다.
12.1X46-D10
Junos OS 릴리스 12.1X46-D10 및 Junos OS 릴리스 17.3R1부터 IKEv1 site-to-site VPN으로 트래픽 선택기를 구성할 수 있습니다.