IKEv2를 사용하는 경로 기반 VPN
IKEv2(Internet Key Exchange version 2)는 피어 VPN 디바이스 간에 보안 VPN 통신 채널을 제공하고 IPsec SA(보안 연결)에 대한 협상 및 인증을 보호된 방식으로 정의하는 IPsec 기반 터널링 프로토콜입니다.
표 1 은(는) IPsec Radius xAuth 또는 CP 값을 설명합니다.
Radius 속성 | 속성 ID | 속성 이름 | 공급업체 ID(사전) | 공급업체 속성 ID | 속성 값 | 형식 |
---|---|---|---|---|---|---|
표준 | 8 | 프레이밍된 IP 주소 | NA | NA | IP 주소 | IPv4 주소 |
표준 | 9 | 프레임 IP 넷마스크 | NA | NA | IP 주소 | IPv4 주소 |
표준 | 88 | 액자 수영장 | NA | NA | 이름 | 문자 메시지 |
표준 | 100 | 프레임 IPv6 풀 | NA | NA | 이름 | 문자 메시지 |
점원 | 26 | 기본 DNS | 4874(주니퍼 ERX) | 4 | IP 주소 | IPv4 주소 |
점원 | 26 | 보조 DNS | 4874(주니퍼 ERX) | 5 | IP 주소 | IPv4 주소 |
점원 | 26 | 기본 WINS(NBNS) | 4874(주니퍼 ERX) | 6 | IP 주소 | IPv4 주소 |
점원 | 26 | 보조 WINS(NBNS) | 4874(주니퍼 ERX) | 7 | IP 주소 | IPv4 주소 |
점원 | 26 | IPv6 기본 DNS | 4874(주니퍼 ERX) | 47 | IP 주소 | hex-string 또는 octets |
점원 | 26 | IPv6 보조 DNS | 4874(주니퍼 ERX) | 48 | IP 주소 | hex-string 또는 octets |
예: IKEv2에 대한 경로 기반 VPN 구성
이 예에서는 지사와 본사 간에 데이터를 안전하게 전송할 수 있도록 경로 기반 IPsec VPN을 구성하는 방법을 보여줍니다.
요구 사항
개요
이 예에서는 터널 리소스를 절약하면서도 VPN 트래픽에 대한 세부적인 제한을 적용하기 위해 일리노이주 시카고에 있는 지점에 대한 경로 기반 VPN을 구성합니다. 시카고 사무실의 사용자는 VPN을 사용하여 캘리포니아 서니베일에 있는 본사에 연결합니다.
이 예에서는 인터페이스, IPv4 기본 경로, 보안 영역 및 주소록을 구성합니다. 그런 다음 IKE(Internet Key Exchange) 1단계, IPsec 2단계, 보안 정책 및 TCP-MSS 매개 변수를 구성합니다. 이 예에서 사용되는 특정 구성 매개 변수에 표 2~표 6을(를) 참조하십시오.
기능 |
이름 |
구성 매개 변수 |
---|---|---|
인터페이스 |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0 (터널 인터페이스) |
10.11.11.10/24 |
|
정적 라우팅 |
0.0.0.0/0(기본 경로) |
다음 홉은 10.1.1.1입니다. |
192.168.168.0/24 |
다음 홉은 st0.0입니다. |
|
보안 존 |
신뢰 |
|
untrust |
|
|
VPN-시카고 |
st0.0 인터페이스는 이 영역에 결합됩니다. |
|
주소록 항목 |
서 니 베일 |
|
시카고 |
|
기능 |
이름 |
구성 매개 변수 |
---|---|---|
제안 |
ike-phase1-proposal |
|
정책 |
ike-phase1-policy |
|
게이트웨이 |
GW-시카고 |
|
기능 |
이름 |
구성 매개 변수 |
---|---|---|
제안 |
ipsec-phase2-proposal |
|
정책 |
ipsec-phase2-policy |
|
VPN |
ipsec-vpn-시카고 |
|
목적 |
이름 |
구성 매개 변수 |
---|---|---|
보안 정책은 트러스트 영역에서 vpn-chicago 영역으로 트래픽을 허용합니다. |
vpn-tr-chi |
|
보안 정책은 vpn-chicago 영역에서 트러스트 영역으로 트래픽을 허용합니다. |
vpn-chi-tr |
|
목적 |
구성 매개 변수 |
---|---|
TCP-MSS는 TCP 3방향 핸드셰이크의 일부로 협상되며, TCP 세그먼트의 최대 크기를 제한하여 네트워크에서 MTU 제한에 더 잘 맞도록 합니다. VPN 트래픽의 경우, IPSec 캡슐화 오버헤드는 IP 및 프레임 오버헤드와 함께 결과 ESP 패킷이 단편화를 유발하는 물리적 인터페이스의 최대 전송 단위(MTU)를 초과하게 할 수 있습니다. 단편화는 대역폭과 디바이스 리소스를 증가시킵니다. 1500 이상의 최대 전송 단위(MTU)를 가진 대부분의 이더넷 기반 네트워크의 시작 지점으로 1350의 값을 권장합니다. 최적의 성능을 얻기 위해서는 다양한 TCP-MSS 값의 실험이 필요할 수 있습니다. 예를 들어, 경로의 디바이스가 낮은 최대 전송 단위(MTU)를 가졌거나 PPP 또는 프레임 릴레이와 같은 추가 오버헤드가 있는 경우 값을 변경해야 할 수도 있습니다. |
MSS 값: 1350 |
구성
- 인터페이스, 정적 경로, 보안 영역 및 주소록 정보 구성
- IKE(Internet Key Exchange) 구성
- IPsec 구성
- 보안 정책 구성
- TCP-MSS 구성
- SSG 시리즈 디바이스 구성
인터페이스, 정적 경로, 보안 영역 및 주소록 정보 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust address-book address sunnyvale 192.168.10.0/24 set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago address-book address chicago 192.168.168.0/24
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
인터페이스, 정적 경로, 보안 영역 및 주소록 정보 구성 방법:
이더넷 인터페이스 정보를 구성합니다.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.11.11.10/24
고정 경로 정보를 구성합니다.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@host# set routing-options static route 192.168.168.0/24 next-hop st0.0
언트러스트(untrust) 보안 영역을 구성합니다.
[edit ] user@host# edit security zones security-zone untrust
인터페이스를 보안 영역에 할당합니다.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
트러스트 보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone trust
인터페이스를 트러스트 보안 영역에 할당합니다.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
트러스트 보안 영역에 허용되는 시스템 서비스를 지정합니다.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
트러스트 보안 영역에 대한 주소록 항목을 구성합니다.
[edit security zones security-zone trust] user@host# set address-book address sunnyvale 192.168.10.0/24
vpn-chicago 보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone vpn-chicago
인터페이스를 보안 영역에 할당합니다.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0
vpn-chicago 영역에 대한 주소록 항목을 구성합니다.
[edit security zones security-zone vpn-chicago] user@host# set address-book address chicago 192.168.168.0/24
결과
구성 모드에서 show interfaces
, show routing-options
및 show security zones
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.10.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 10.1.1.2/30 } } } st0{ unit 0 { family inet { address 10.11.11.10/24 } } }
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
address-book {
address sunnyvale 192.168.10.0/24;
}
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
IKE(Internet Key Exchange) 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-chicago external-interface ge-0/0/3.0 set security ike gateway gw-chicago ike-policy ike-phase1-policy set security ike gateway gw-chicago address 10.2.2.2 set security ike gateway gw-chicago version v2-only
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IKE(Internet Key Exchange) 구성:
IKE(Internet Key Exchange) 1단계 제안을 만듭니다.
[edit security ike] user@host# set proposal ike-phase1-proposal
IKE(Internet Key Exchange) 제안 인증 방법을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
IKE(Internet Key Exchange) 제안 Diffie-Hellman 그룹을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@host# set dh-group group2
IKE(Internet Key Exchange) 제안 인증 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-algorithm sha1
IKE(Internet Key Exchange) 제안 암호화 알고리즘을 정의합니다.
[edit security ike proposal ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
IKE(Internet Key Exchange) 1단계 정책을 생성합니다.
[edit security ike] user@host# set policy ike-phase1-policy
IKE(Internet Key Exchange) 제안에 대한 참조를 지정합니다.
[edit security ike policy ike-phase1-policy] user@host# set proposals ike-phase1-proposal
IKE(Internet Key Exchange) 1단계 정책 인증 방법을 정의합니다.
[edit security ike policy ike-phase1-policy] user@host# set pre-shared-key ascii-text “$ABC123”
IKE(Internet Key Exchange) 1단계 게이트웨이를 생성하고 외부 인터페이스를 정의합니다.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/3.0
IKE(Internet Key Exchange) 1단계 정책 참조를 정의합니다.
[edit security ike gateway gw-chicago] user@host# set ike-policy ike-phase1-policy
IKE(Internet Key Exchange) 1단계 게이트웨이 주소를 정의합니다.
[edit security ike gateway gw-chicago] user@host# set address 10.2.2.2
IKE(Internet Key Exchange) 1단계 게이트웨이 버전을 정의합니다.
[edit security ike gateway gw-chicago] user@host# set version v2-only
결과
구성 모드에서 show security ike
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
IPsec 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipsec-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy set security ipsec vpn ipsec-vpn-chicago bind-interface st0.0
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
IPsec 구성:
IPsec 2단계 제안을 만듭니다.
[edit] user@host# set security ipsec proposal ipsec-phase2-proposal
IPsec 2단계 제안 프로토콜을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set protocol esp
IPsec 2단계 제안 인증 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
IPsec 2단계 제안 암호화 알고리즘을 지정합니다.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
IPsec 2단계 정책을 생성합니다.
[edit security ipsec] user@host# set policy ipsec-phase2-policy
IPsec 2단계 제안 참조를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@host# set proposals ipsec-phase2-proposal
Diffie-Hellman 그룹 2를 사용할 수 있도록 IPsec 2단계 PFS를 지정합니다.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKE(Internet Key Exchange) 게이트웨이를 지정합니다.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike gateway gw-chicago
IPsec 2단계 정책을 지정합니다.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
바인딩할 인터페이스를 지정합니다.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago bind-interface st0.0
결과
구성 모드에서 show security ipsec
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ipsec-vpn-chicago {
bind-interface st0.0;
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
보안 정책 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address chicago set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address sunnyvale set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 정책 구성:
트러스트 영역에서 vpn-chicago 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone trust to-zone vpn-chicago] user@host# set policy vpn-tr-chi match source-address sunnyvale user@host# set policy vpn-tr-chi match destination-address chicago user@host# set policy vpn-tr-chi match application any user@host# set policy vpn-tr-chi then permit
vpn-chicago 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone vpn-chicago to-zone trust] user@host# set policy vpn-chi-tr match source-address sunnyvale user@host# set policy vpn-chi-tr match destination-address chicago user@host# set policy vpn-chi-tr match application any user@host# set policy vpn-chi-tr then permit
결과
구성 모드에서 show security policies
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security policies from-zone trust to-zone vpn-chicago { policy vpn-tr-vpn { match { source-address sunnyvale; destination-address chicago; application any; } then { permit; } } } from-zone vpn-chicago to-zone trust { policy vpn-tr-vpn { match { source-address chicago; destination-address sunnyvale; application any; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
TCP-MSS 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
set security flow tcp-mss ipsec-vpn mss 1350
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
TCP-MSS 정보 구성:
TCP-MSS 정보를 구성합니다.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
결과
구성 모드에서 show security flow
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security flow tcp-mss { ipsec-vpn { mss 1350; } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
SSG 시리즈 디바이스 구성
CLI 빠른 구성
참고로 SSG 시리즈 디바이스 구성이 제공됩니다. SSG 시리즈 디바이스에 대한 정보는 https://www.juniper.net/documentation에서 Concepts & Examples ScreenOS Reference Guide을(를) 참조하십시오.
이 예의 섹션을 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고 계층 수준에서 [edit]
명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set zone name vpn-chicago set interface ethernet0/6 zone Trust set interface ethernet0/0 zone Untrust set interface tunnel.1 zone vpn-chicago set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address Trust “192.168.168-net” 192.168.168.0 255.255.255.0 set address vpn-chicago "192.168.10-net" 192.168.10.0 255.255.255.0 set ike gateway corp-ike address 10.1.1.2 IKEv2 outgoing-interface ethernet0/0 preshare 395psksecr3t sec-level standard set vpn corp-vpn gateway corp-ike replay tunnel idletime 0 sec-level standard set vpn corp-vpn monitor optimized rekey set vpn corp-vpn bind interface tunnel.1 set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit set policy from Trust to vpn-chicago “192.168.168-net” “192.168.10-net” “ANY” permit set policy from vpn-chicago to Trust “192.168.10-net” “192.168.168-net” “ANY” permit set route 192.168.10.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
검증
구성이 올바르게 작동하고 있는지 확인합니다.
IKE(Internet Key Exchange) 1단계 상태 확인
목적
IKE(Internet Key Exchange) 1단계 상태를 확인합니다.
작업
확인 프로세스를 시작하기 전에 192.168.10/24 네트워크의 호스트에서 192.168.168/24 네트워크의 호스트로 트래픽을 전송해야 합니다. 경로 기반 VPN의 경우, SRX 시리즈 방화벽이 터널을 통해 트래픽을 시작할 수 있습니다. IPsec 터널을 테스트할 때, VPN 한쪽에 있는 별도의 디바이스에서 VPN의 다른쪽에 있는 두 번째 디바이스로 테스트 트래픽을 전송하는 것이 좋습니다. 예를 들어, 192.168.10.10에서 192.168.168.10으로 ping을 시작합니다.
운영 모드에서 show security ike security-associations
명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations index index_number detail
명령을 사용하십시오.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 IKEv2
user@host> show security ike security-associations index 1 detail IKE peer 10.2.2.2, Index 1, Role: Responder, State: UP Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 28570 seconds Algorithms: Authentication : sha1 Encryption : aes-cbc (128 bits) Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 852 Output bytes : 940 Input packets : 5 Output packets : 5 Flags: Caller notification sent IPSec security associations: 1 created, 0 deleted
의미
show security ike security-associations
명령은 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다.
SA가 나열되어 있는 경우 다음 정보를 검토합니다.
인덱스 - 이 값은 각 IKE(Internet Key Exchange)에 대해 고유한 값이며 SA에 대한 자세한 정보를 얻기 위해
show security ike security-associations index detail
명령을 사용할 수 있습니다.원격 주소 - 원격 IP 주소가 올바른지 확인합니다.
주
UP—1단계 SA가 설정되었습니다.
DOWN—1단계 SA를 설정하는 데 문제가 있었습니다.
모드 - 올바른 모드가 사용되고 있는지 확인합니다.
구성에서 다음 사항이 올바른지 확인합니다.
외부 인터페이스(인터페이스는 IKE 패킷을 수신하는 인터페이스여야 함).
IKE(Internet Key Exchange) 정책 매개 변수.
사전 공유 키 정보.
1단계 제안 매개 변수(두 피어 모두에서 일치해야 함).
명령은 show security ike security-associations index 1 detail
인덱스 번호가 1인 SA에 대한 추가 정보를 나열합니다.
사용된 인증 및 암호화 알고리즘
1단계 수명
트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)
역할 정보
문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.
개시자 및 응답자 정보
생성된 IPsec SA의 수
IPsec 2단계 상태 확인
목적
IPsec 2단계 상태를 확인합니다.
작업
운영 모드에서 show security ipsec security-associations
명령을 입력합니다. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations index index_number detail
명령을 사용하십시오.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0
user@host> show security ipsec security-associations index 16384 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) Version: IKEv2 DF-bit: clear Direction: inbound, SPI: 1993755933, AUX-SPI: 0 Hard lifetime: Expires in 3352 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2775 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 2701283042, AUX-SPI: 0 Hard lifetime: Expires in 3352 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2775 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits) Anti-replay service: enabled, Replay window size: 32
의미
show security ipsec security-associations
명령의 출력은 다음 정보를 나열합니다.
ID 번호는 16384입니다. 이 특정 SA에 대한 자세한 정보를 얻기 위해
show security ipsec security-associations index
명령의 이 값을 사용합니다.포트 500을 사용하는 IPsec SA 쌍이 하나 있습니다.
SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3363/ 무제한 값은 2단계 수명이 3363초 후에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다. 2단계 수명은 VPN이 가동된 후 1단계에 종속되지 않기 때문에 1단계 수명과 다를 수 있습니다.
vsys는 루트 시스템이며 항상 0으로 나열됩니다.
IKEv2는 버전 2 피어의 연결을 허용하고 버전 2 협상을 시작합니다.
show security ipsec security-associations index 16384 detail
명령의 출력은 다음 정보를 나열합니다.
로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.
프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.
2단계 실패에 대한 또 다른 일반적인 이유는 ST 인터페이스 바인딩을 지정하지 않았기 때문입니다. IPsec 완료되지 않은 경우 kmd 로그 또는 추적 옵션을 확인합니다.
IPsec 보안 연결에 대한 통계 및 오류 검토
목적
IPsec SA에 대한 ESP 및 인증 헤더 카운터 및 오류를 검토합니다.
작업
작동 모드에서 통계를 보고 싶은 VPN의 색인 번호를 사용하여 show security ipsec statistics index index_number
명령을 입력하십시오.
user@host> show security ipsec statistics index 16384 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
또한 모든 SA의 통계 및 오류를 검토하는 show security ipsec statistics
명령을 사용할 수 있습니다.
모든 IPsec 통계를 지우려면, clear security ipsec statistics
명령을 사용합니다.
의미
VPN 전반에서 패킷 손실 문제가 있는 경우, show security ipsec statistics
또는 show security ipsec statistics detail
명령을 여러 차례 실행하여 암호화 및 복호화된 패킷 카운터가 증가하는지 확인할 수 있습니다. 또한 다른 오류 카운터가 증가하는지 확인해야 합니다.
VPN 전반의 트래픽 플로우 테스트
목적
VPN 전반의 트래픽 플로우를 확인합니다.
작업
SRX 시리즈 방화벽에서 ping
명령을 사용하여 원격 호스트 PC로의 트래픽 플로우를 테스트할 수 있습니다. 경로 조회가 정확하고 정책 조회 중에 적절한 보안 영역이 참조되도록 소스 인터페이스를 지정해야 합니다.
운영 모드에서 ping
명령을 입력합니다.
ssg-> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
또한 SSG 시리즈 디바이스에서 ping
명령을 사용할 수 있습니다.
user@host> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
의미
SRX 시리즈 또는 SSG 시리즈 디바이스에서 ping
명령이 실패한 경우, 라우팅, 보안 정책, 종료 호스트 또는 ESP 패킷의 암호화와 복호화에 문제가 있을 수 있습니다.
예: IKEv2 구성 페이로드를 사용한 Pico 셀 프로비저닝을 위한 SRX 시리즈 구성
많은 디바이스가 구축되는 네트워크에서는 네트워크 관리가 간단해야 합니다. IKEv2 구성 페이로드 기능은 디바이스 구성이나 SRX 시리즈 구성을 건드리지 않고 이러한 디바이스의 프로비저닝을 지원합니다. 이 예에서는 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝을 지원하도록 SRX 시리즈를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
섀시 클러스터에서 구성된 SRX 시리즈 방화벽 2개
-
중간 라우터로 구성된 SRX 시리즈 방화벽 1개
-
두 개의 피코 셀 클라이언트
-
피코 셀 클라이언트 프로비저닝 정보로 구성된 RADIUS 서버 1개
-
IKEv2 구성 페이로드 지원을 위한 Junos OS 릴리스 12.1X46-D10 이상
개요
이 예에서 SRX 시리즈는 IKEv2 구성 페이로드 기능을 사용하여 프로비저닝 정보를 일련의 피코 셀로 전파합니다. 피코 셀은 SRX 시리즈에 연결할 수 있는 표준 구성으로 공장에서 출하되지만, 피코 셀 프로비저닝 정보는 외부 RADIUS 서버에 저장됩니다. 피코 셀은 보호된 네트워크에서 프로비저닝 서버와의 보안 연결을 설정한 후 전체 프로비저닝 정보를 받습니다. IKEv2 구성 페이로드는 IPv4 및 IPV6 모두에서 지원됩니다. 이 예에서는 IPv4에 대한 IKEv2 구성 페이로드를 다루지만 IPv6 주소로도 구성할 수 있습니다.
Junos OS 릴리스 20.3R1부터 iked 프로세스를 실행하는 SRX5000 라인 에 IPv6 주소를 할당하기 위한 IKEv2 IPv6 구성 페이로드를 지원합니다. Junos OS 릴리스 21.1R1부터 iked 프로세스를 실행하는 vSRX 가상 방화벽에도 동일한 지원이 포함됩니다.
그림 1 은(는) SRX 시리즈가 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝을 지원하는 토폴로지를 보여줍니다.
이 토폴로지의 각 피코 셀은 두 개의 IPsec VPN을 시작합니다. 하나는 관리용이고 다른 하나는 데이터용입니다. 이 예에서 관리 트래픽은 OAM 터널로 레이블이 지정된 터널을 사용하는 반면, 데이터 트래픽은 3GPP 터널로 레이블이 지정된 터널을 통해 흐릅니다. 각 터널은 별도의 구성 가능한 네트워크에서 OAM 및 3GPP 프로비저닝 서버와의 연결을 지원하므로 별도의 라우팅 인스턴스 및 VPN이 필요합니다. 이 예에서는 OAM 및 3GPP VPN을 설정하기 위한 IKE(Internet Key Exchange) 1단계 및 2단계 옵션을 제공합니다.
이 예에서 SRX 시리즈는 IKEv2 구성 페이로드 서버 역할을 하며, RADIUS 서버에서 프로비저닝 정보를 획득하고 해당 정보를 피코 셀 클라이언트에 제공합니다. SRX 시리즈는 터널 협상 중에 IKEv2 구성 페이로드에서 인증된 각 클라이언트에 대한 프로비저닝 정보를 반환합니다. SRX 시리즈는 클라이언트 디바이스로 사용할 수 없습니다.
또한 SRX 시리즈는 IKEv2 구성 페이로드 정보를 사용하여 터널 협상 중에 클라이언트와 교환되는 TSi(Traffic Selector Initiator) 및 TSr(Traffic Selector Responder) 값을 업데이트합니다. 구성 페이로드는 [edit security ipsec vpn vpn-name ike
] 계층 수준의 문을 사용하여 proxy-identity
SRX 시리즈에 구성된 TSi 및 TSr 값을 사용합니다. TSi 및 TSr 값은 각 VPN에 대한 네트워크 트래픽을 정의합니다.
중간 라우터는 피코 셀 트래픽을 SRX 시리즈의 적절한 인터페이스로 라우팅합니다.
다음 프로세스에서는 연결 시퀀스에 대해 설명합니다.
-
피코 셀은 공장 구성을 사용하여 SRX 시리즈와 IPsec 터널을 시작합니다.
-
SRX 시리즈는 SRX 시리즈에 등록된 CA의 루트 인증서와 클라이언트 인증서 정보를 사용하여 클라이언트를 인증합니다. 인증 후 SRX 시리즈는 인증 요청에서 클라이언트 인증서의 IKE ID 정보를 RADIUS 서버로 전달합니다.
-
클라이언트에 권한을 부여한 후 RADIUS 서버는 클라이언트 프로비저닝 정보를 사용하여 SRX 시리즈에 응답합니다.
-
IP 주소(TSi 값)
-
IP 서브넷 마스크(옵션, 기본값은 32비트)
-
DNS 주소(선택 사항)
-
-
SRX 시리즈는 각 클라이언트 연결에 대한 IKEv2 구성 페이로드의 프로비저닝 정보를 반환하고 최종 TSi 및 TSr 값을 피코 셀과 교환합니다. 이 예에서 SRX 시리즈는 각 VPN에 대해 다음과 같은 TSi 및 TSr 정보를 제공합니다.
VPN 연결
SRX에서 제공하는 TSi/TSr 값
피코 1 OAM
TSi: 1 0.12.1.201/32, TSr: 192.168.2.0/24
피코 1 3GPP
TSi: 1 0.13.1.201/32, TSr: 192.168.3.0/24, TSr: 10.13.0.0/16
피코 2 OAM
TSi: 1 0.12.1.205/32, TSr: 192.168.2.0/24
피코 2 3GPP
TSi: 1 0.13.1.205/32, TSr: 192.168.3.0/24, TSr: 무료 v0.13.0.0/16
RADIUS 서버에서 제공하는 프로비저닝 정보에 서브넷 마스크가 포함된 경우 SRX 시리즈는 IP 서브넷을 포함하는 클라이언트 연결에 대한 두 번째 TSr 값을 반환합니다. 이렇게 하면 해당 서브넷의 디바이스에 대한 피어 내 통신이 가능합니다. 이 예에서는 3GPP VPN(13.13.0.0/16)과 연결된 서브넷에 대해 피어 내 통신이 활성화됩니다.
IKEv2 구성 페이로드 기능은 포인트-투-멀티포인트 보안 터널(st0) 인터페이스와 포인트-투-포인트 인터페이스 모두에서 지원됩니다. 포인트-투-멀티포인트 인터페이스의 경우, 인터페이스에 번호를 매겨야 하며, 구성 페이로드에 제공된 주소는 연결된 포인트-투-멀티포인트 인터페이스의 서브네트워크 범위 내에 있어야 합니다.
Junos OS 릴리스 20.1R1부터 SRX5000 라인 의 포인트 투 포인트 인터페이스와 iked를 실행하는 vSRX 가상 방화벽 을 통해 IKEv2 구성 페이로드 기능을 지원합니다.
표 7 은(는) OAM 및 3GPP 터널 설정에 대한 정보를 포함하여 SRX 시리즈에 구성된 1단계 및 2단계 옵션을 보여줍니다.
옵션 |
가치 |
---|---|
IKE(Internet Key Exchange) 제안: | |
제안 이름 |
IKE_PROP |
인증 방법 |
RSA 디지털 인증서 |
DH(Diffie-Hellman) 그룹 |
group5 |
인증 알고리즘 |
SHA-1 |
암호화 알고리즘 |
AES 256 CBC |
IKE(Internet Key Exchange) 정책: | |
IKE(Internet Key Exchange) 정책 이름 |
IKE_POL |
로컬 인증서 |
Example_SRX |
IKE(Internet Key Exchange) 게이트웨이(OAM): | |
IKE(Internet Key Exchange) 정책 |
IKE_POL |
원격 IP 주소 |
동적인 |
IKE 사용자 유형 |
그룹 ike-id |
로컬 IKE(Internet Key Exchange) ID |
호스트 이름: srx_series.example.net |
원격 IKE(Internet Key Exchange) ID |
호스트 이름 .pico_cell.net |
외부 인터페이스 |
reth0.0 |
액세스 프로필 |
radius_pico |
IKE 버전 |
v2 전용 |
IKE(Internet Key Exchange) 게이트웨이(3GPP): | |
IKE(Internet Key Exchange) 정책 |
IKE_POL |
원격 IP 주소 |
동적 |
IKE 사용자 유형 |
그룹 ike-id |
로컬 IKE(Internet Key Exchange) ID |
구별 이름 와일드카드 OU=srx_series |
원격 IKE(Internet Key Exchange) ID |
구별 이름 와일드카드 OU=pico_cell |
외부 인터페이스 |
레트1 |
액세스 프로필 |
radius_pico |
IKE 버전 |
v2 전용 |
IPsec 제안: | |
제안 이름 |
IPSEC_PROP |
프로토콜 |
ESP |
인증 알고리즘 |
HMAC SHA-1 96 |
암호화 알고리즘 |
AES 256 CBC |
IPsec 정책: | |
정책 이름 |
IPSEC_POL |
PFS(Perfect Forward Secrecy) 키 |
그룹5 |
IPsec 제안 |
IPSEC_PROP |
IPsec VPN(OAM): | |
바인드 인터페이스 |
st0.0 |
IKE(Internet Key Exchange) 게이트웨이 |
OAM_GW |
로컬 프록시 ID |
192.168.2.0/24 |
원격 프록시 ID |
0.0.0.0/0 |
IPsec 정책 |
IPSEC_POL |
IPsec VPN(3GPP): | |
바인드 인터페이스 |
st0.1 |
IKE(Internet Key Exchange) 게이트웨이 |
3GPP_GW |
로컬 프록시 ID |
192.168.3.0/24 |
원격 프록시 ID |
0.0.0.0/0 |
IPsec 정책 |
IPSEC_POL |
인증서는 피코 셀과 SRX 시리즈에 저장됩니다.
이 예에서는 모든 트래픽을 허용하는 기본 보안 정책이 모든 디바이스에 사용됩니다. 생산 환경에 대해 보다 더 제한적인 보안 정책을 구성해야 합니다. 보안 정책 개요를 참조하십시오.
구성
SRX 시리즈 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set chassis cluster reth-count 5 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 250 set chassis cluster redundancy-group 0 node 1 priority 150 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/1 weight 255 set interfaces ge-3/0/0 gigether-options redundant-parent reth0 set interfaces ge-3/0/1 gigether-options redundant-parent reth1 set interfaces ge-3/2/0 gigether-options redundant-parent reth2 set interfaces ge-3/2/1 gigether-options redundant-parent reth3 set interfaces ge-8/0/0 gigether-options redundant-parent reth0 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/2/0 gigether-options redundant-parent reth2 set interfaces ge-8/2/1 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.2.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.3.3.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 192.168.2.20/24 set interfaces reth3 redundant-ether-options redundancy-group 1 set interfaces reth3 unit 0 family inet address 192.168.3.20/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.12.1.20/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.13.1.20/24 set routing-options static route 10.1.0.0/16 next-hop 10.2.2.253 set routing-options static route 10.5.0.0/16 next-hop 10.2.2.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone oam-trust host-inbound-traffic system-services all set security zones security-zone oam-trust host-inbound-traffic protocols all set security zones security-zone oam-trust interfaces reth2.0 set security zones security-zone oam-trust interfaces st0.0 set security zones security-zone 3gpp-trust host-inbound-traffic system-services all set security zones security-zone 3gpp-trust host-inbound-traffic protocols all set security zones security-zone 3gpp-trust interfaces reth3.0 set security zones security-zone 3gpp-trust interfaces st0.1 set access profile radius_pico authentication-order radius set access profile radius_pico radius-server 192.168.2.22 secret "$ABC123" set access profile radius_pico radius-server 192.168.2.22 routing-instance VR-OAM set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate example_SRX set security ike gateway OAM_GW ike-policy IKE_POL set security ike gateway OAM_GW dynamic hostname .pico_cell.net set security ike gateway OAM_GW dynamic ike-user-type group-ike-id set security ike gateway OAM_GW local-identity hostname srx_series.example.net set security ike gateway OAM_GW external-interface reth0.0 set security ike gateway OAM_GW aaa access-profile radius_pico set security ike gateway OAM_GW version v2-only set security ike gateway 3GPP_GW ike-policy IKE_POL set security ike gateway 3GPP_GW dynamic distinguished-name wildcard OU=pico_cell set security ike gateway 3GPP_GW dynamic ike-user-type group-ike-id set security ike gateway 3GPP_GW local-identity distinguished-name wildcard OU=srx_series set security ike gateway 3GPP_GW external-interface reth1.0 set security ike gateway 3GPP_GW aaa access-profile radius_pico set security ike gateway 3GPP_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec proposal IPSEC_PROP lifetime-seconds 300 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn OAM_VPN bind-interface st0.0 set security ipsec vpn OAM_VPN ike gateway OAM_GW set security ipsec vpn OAM_VPN ike proxy-identity local 192.168.2.0/24 set security ipsec vpn OAM_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn OAM_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn 3GPP_VPN bind-interface st0.1 set security ipsec vpn 3GPP_VPN ike gateway 3GPP_GW set security ipsec vpn 3GPP_VPN ike proxy-identity local 192.168.3.0/24 set security ipsec vpn 3GPP_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn 3GPP_VPN ike ipsec-policy IPSEC_POL set routing-instances VR-OAM instance-type virtual-router set routing-instances VR-OAM interface reth2.0 set routing-instances VR-OAM interface st0.0 set routing-instances VR-3GPP instance-type virtual-router set routing-instances VR-3GPP interface reth3.0 set routing-instances VR-3GPP interface st0.1 set security policies default-policy permit-all
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
SRX 시리즈 구성 방법:
-
섀시 클러스터를 구성합니다.
[edit chassis cluster] user@host# set reth-count 5 user@host# set node 0 user@host# set node 1 user@host#set redundancy-group 0 node 0 priority 250 user@host#set redundancy-group 0 node 1 priority 150 user@host#set redundancy-group 1 node 0 priority 220 user@host#set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-3/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/1 weight 255
-
인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-3/0/0 gigether-options redundant-parent reth0 user@host# set ge-3/0/1 gigether-options redundant-parent reth1 user@host# set ge-3/2/0 gigether-options redundant-parent reth2 user@host# set ge-3/2/1 gigether-options redundant-parent reth3 user@host# set ge-8/0/0 gigether-options redundant-parent reth0 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/2/0 gigether-options redundant-parent reth2 user@host# set ge-8/2/1 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.2.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.3.3.1/24 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth2 unit 0 family inet address 192.168.2.20/24 user@host# set reth3 redundant-ether-options redundancy-group 1 user@host# set reth3 unit 0 family inet address 192.169.3.20/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.12.1.20/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.13.1.20/24
-
라우팅 옵션을 구성합니다.
[edit routing-options] user@host# set static route 10.1.0.0/16 next-hop 10.2.2.253 user@host# set static route 10.5.0.0/16 next-hop 10.2.2.253
-
보안 영역을 지정합니다.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces reth0.0 user@host# set interfaces reth1.0 [edit security zones security-zone oam-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth2.0 user@host# set interfaces st0.0 [edit security zones security-zone 3gpp-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth3.0 user@host# set interfaces st0.1
-
RADIUS 프로파일을 생성합니다.
[edit access profile radius_pico] user@host# set authentication-order radius user@host# set radius-server 192.168.2.22 secret “$ABC123” user@host# set radius-server 192.168.2.22 routing-instance VR-OAM
-
1단계 옵션을 구성합니다.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate example_SRX [edit security ike gateway OAM_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname .pico_cell.net user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity hostname srx.example.net user@host# set external-interface reth0.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only [edit security ike gateway 3GPP_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=pico_cell user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name wildcard OU=srx_series user@host# set external-interface reth1.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only
-
2단계 옵션을 지정합니다.
[edit set security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn OAM_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway OAM_GW user@host# set ike proxy-identity local 192.168.2.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL [edit security ipsec vpn 3GPP_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway 3GPP_GW user@host# set ike proxy-identity local 192.168.3.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL
-
라우팅 인스턴스를 지정합니다.
[edit routing-instances VR-OAM] user@host# set instance-type virtual router user@host# set interface reth2.0 user@host# set interface st0.0 [edit routing-instances VR-3GPP] user@host# set instance-type virtual router user@host# set interface reth3.0 user@host# set interface st0.1
-
사이트 간 트래픽을 허용하는 보안 정책을 지정합니다.
[edit security policies] user@host# set default-policy permit-all
결과
구성 모드에서 , show interfaces
, , show access profile radius_pico
show security zones
, show security ike
, show security ipsec
, show routing-instances
및 show security policies
명령을 입력하여 show chassis cluster
구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show chassis cluster reth-count 5 node 0 node 1 redundancy-group 0{ node 0 priority 250; node 1 priority 150; redundancy-group 1 { node 0 priority 220; node 1 priority 149; interface-monitor { ge-3/0/0 weight 255; ge-8/0/0 weight 255; ge-3/0/1 weight 255; ge-8/0/1 weight 255; ge-3/2/0 weight 255; ge-8/2/0 weight 255; ge-3/2/1 weight 255; ge-8/2/1 weight 255; } } [edit] user@host# show interfaces ge-3/0/0 { gigether-options { redundant-parent reth0; } } ge-3/0/1 { gigether-options { redundant-parent reth1; } } ge-3/2/0 { gigether-options { redundant-parent reth2; } } ge-3/2/1 { gigether-options { redundant-parent reth3; } } ge-8/0/0 { gigether-options { redundant-parent reth0; } } ge-8/0/1 { gigether-options { redundant-parent reth1; } } ge-8/2/0 { gigether-options { redundant-parent reth2; } } ge-8/2/1 { gigether-options { redundant-parent reth3; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.2.2.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.3.3.1/24; } } } reth2 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.168.2.20/24; } } } reth3 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.168.3.20/24; } } } st0 { unit 0{ multipoint; family inet { address 12.12.1.20/24; } } unit 1{ multipoint; family inet { address 13.13.1.20/24; } } } [edit] user@host# show routing-options static { route 10.1.0.0/16 next-hop 10.2.2.253; route 10.5.0.0/16 next-hop 10.2.2.253; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; reth0.0; } } security-zone oam-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth2.0; st0.0; } } security-zone 3gpp-trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth3.0; st0.1; } } [edit] user@host# show access profile radius_pico authentication-order radius; radius-server { 192.168.2.22 { secret "$ABC123"; routing-instance VR-OAM; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate example_SRX; } } gateway OAM_GW { ike-policy IKE_POL; dynamic { hostname .pico_cell.net; ike-user-type group-ike-id; } local-identity hostname srx_series.example.net; external-interface reth0.0; aaa access-profile radius_pico; version v2-only; } gateway 3GPP_GW { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=pico_cell; } ike-user-type group-ike-id; } local-identity distinguished-name; external-interface reth1.0; aaa access-profile radius_pico; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; lifetime-seconds 300; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn OAM_VPN { bind-interface st0.0; ike { gateway OAM_GW; proxy-identity { local 192.168.2.0/24; remote 0.0.0.0/0; } ipsec-policy IPSEC_POL; } } vpn 3GPP_VPN { bind-interface st0.1; ike { gateway 3GPP_GW; proxy-identity { local 192.168.3.0/24; remote 0.0.0.0/0; } ipsec-policy IPSEC_POL; } } [edit] user@host# show routing-instances VR-OAM { instance-type virtual-router; interface reth2.0; interface st0.0; } VR-3GPP { instance-type virtual-router; interface reth3.0; interface st0.1; } [edit] user@host# show security policies default-policy { permit-all; }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
중간 라우터 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.253/24 set interfaces ge-0/0/2 unit 0 family inet address 10.5.5.253/24 set interfaces ge-0/0/14 unit 0 family inet address 10.3.3.253/24 set interfaces ge-0/0/15 unit 0 family inet address 10.2.2.253/24 set routing-options static route 192.168.3.0/24 next-hop 10.2.2.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/14.0 set security zones security-zone trust interfaces ge-0/0/15.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
중간 라우터를 구성하려면 다음을 수행합니다.
-
인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.253/24 user@host# set ge-0/0/2 unit 0 family inet address 10.5.5.253/24 user@host# set ge-0/0/14 unit 0 family inet address 10.3.3.253/24 user@host# set ge-0/0/15 unit 0 family inet address 10.2.2.253/24
-
라우팅 옵션을 구성합니다.
[edit routing-options] user@host# set static route 192.168.3.0/24 next-hop 10.2.2.1
-
보안 영역을 지정합니다.
[edit security zones security-zone trust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces ge-0/0/14.0 user@host# set interfaces ge-0/0/15.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0
-
보안 정책을 지정합니다.
[edit security policies] user@host# set default-policy permit-all
결과
구성 모드에서 show interfaces
, show routing-options
, show security zones
및 show security policies
명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 10.1.1.253/24; } } } ge-0/0/2 { unit 0 { family inet { address 10.5.5.253/24; } } } ge-0/0/14 { unit 0 { family inet { address 10.3.3.253/24; } } } ge-0/0/15 { unit 0 { family inet { address 10.2.2.253/24; } } } [edit] user@host# show routing-options static { route 192.168.3.0/24 next-hop 10.2.2.1; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/14.0; ge-0/0/15.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; } } } [edit] user@host# show security policies default-policy { permit-all; }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
Pico 셀 구성(샘플 구성)
단계별 절차
이 예의 피코 셀 정보는 참조용으로 제공됩니다. 자세한 피코 셀 구성 정보는 이 문서의 범위를 벗어납니다. 피코 셀 공장 구성에는 다음 정보가 포함되어야 합니다.
-
로컬 인증서(X.509v3) 및 IKE ID 정보
-
임의/임의(0.0.0.0/0)로 설정된 트래픽 선택기(TSi, TSr) 값
-
SRX 시리즈 IKE ID 정보 및 공용 IP 주소
-
SRX 시리즈 구성과 일치하는 1단계 및 2단계 제안
이 예제의 피코 셀은 IPsec 기반 VPN 연결을 위해 strongSwan 오픈 소스 소프트웨어를 사용합니다. 이 정보는 SRX 시리즈에서 IKEv2 구성 페이로드 기능을 사용하여 피코 셀 프로비저닝에 사용됩니다. 많은 디바이스가 배포되는 네트워크에서 피코 셀 구성은 인증서(leftcert) 및 ID(leftid) 정보를 제외하고 동일할 수 있습니다. 다음 샘플 구성은 공장 설정을 보여줍니다.
-
Pico 1 구성을 검토합니다.
피코 1: 샘플 구성
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico1.pico_cell.net leftfirewall=yes reauth=yes right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1” leftfirewall=yes reauth=yes right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
-
Pico 2 구성을 검토합니다.
Pico 2 샘플 구성
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico2.pico_cell.net leftfirewall=yes #reauth=no right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2” leftfirewall=yes #reauth=no right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
RADIUS 서버 구성(FreeRADIUS를 사용한 샘플 구성)
단계별 절차
이 예의 RADIUS 서버 정보는 참조용으로 제공됩니다. 전체 RADIUS 서버 구성 정보는 이 문서의 범위를 벗어납니다. RADIUS 서버가 SRX 시리즈에 반환하는 정보는 다음과 같습니다.
-
프레임 IP 주소
-
Framed-IP-Netmask(옵션)
-
Primary-DNS 및 Secondary-DNS(선택 사항)
이 예에서 RADIUS 서버에는 OAM 및 3GPP 연결에 대한 별도의 프로비저닝 정보가 있습니다. User-Name은 SRX 시리즈 인증 요청에 제공된 클라이언트 인증서 정보에서 가져옵니다.
RADIUS 서버가 DHCP 서버로부터 클라이언트 프로비저닝 정보를 획득하는 경우, RADIUS 서버가 DHCP 서버로 전달하는 클라이언트 ID 정보는 SRX 시리즈 방화벽을 통해 RADIUS 서버로 전달되는 클라이언트 IKE ID 정보와 일치해야 합니다. 이렇게 하면 다양한 프로토콜에서 클라이언트 ID의 연속성이 보장됩니다.
SRX 시리즈 방화벽과 RADIUS 서버 간의 통신 채널은 RADIUS 공유 암호로 보호됩니다.
-
Pico 1 OAM VPN에 대한 RADIUS 구성을 검토합니다. RADIUS 서버에는 다음 정보가 있습니다.
15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2 이전의 Junos OS 릴리스 12.3X48 및 Junos OS 릴리스의 샘플 RADIUS 구성:
FreeRADIUS 컨피그레이션 예:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
Junos OS 릴리스 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2부터 시작하는 샘플 RADIUS 구성:
FreeRADIUS 컨피그레이션 예:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
이 경우 RADIUS 서버는 피어 내 트래픽을 차단하는 기본 서브넷 마스크(255.255.255.255)를 제공합니다.
-
Pico 1 3GPP VPN에 대한 RADIUS 컨피그레이션을 검토합니다. RADIUS 서버에는 다음 정보가 있습니다.
15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2 이전의 Junos OS 릴리스 12.3X48 및 Junos OS 릴리스의 샘플 RADIUS 구성:
FreeRADIUS 컨피그레이션 예:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
Junos OS 릴리스 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 및 18.1R3-S2부터 시작하는 샘플 RADIUS 구성:
FreeRADIUS 컨피그레이션 예:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,
이 경우 RADIUS 서버는 피어 내 트래픽을 활성화하는 서브넷 마스크 값(255.255.0.0)을 제공합니다.
Junos OS 릴리스 20.1R1부터 IKE(Internet Key Exchange) 게이트웨이 구성의 IKEv2 구성 페이로드 요청에 대한 공통 암호를 구성할 수 있습니다. 1자에서 128자 사이의 공통 비밀번호를 사용하면 관리자가 공통 비밀번호를 정의할 수 있습니다. 이 암호는 SRX 시리즈 방화벽이 IKEv2 구성 페이로드를 사용하여 원격 IPsec 피어를 대신하여 IP 주소를 요청할 때 SRX 시리즈 방화벽과 RADIUS 서버 간에 사용됩니다. RADIUS 서버는 구성 페이로드 요청을 위해 SRX 시리즈 방화벽에 IP 정보를 제공하기 전에 자격 증명을 검증합니다. 계층 수준에서 구성 문을
[edit security ike gateway gateway-name aaa access-profile access-profile-name]
사용하여config-payload-password configured-password
공통 암호를 구성할 수 있습니다. 또한 이 예에서는 사용자 이름(IKE ID) 정보에 대한 인증서의 다른 부분을 사용하여 동일한 클라이언트 인증서에서 두 개의 터널을 만듭니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
SRX 시리즈에 대한 IKE(Internet Key Exchange) 1단계 상태 확인
목적
IKE(Internet Key Exchange) 1단계 상태를 확인합니다.
작업
노드 0의 운영 모드에서 show security ike security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ike security-associations detail 명령을 사용하십시오.
user@host# show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 553329718 UP 99919a471d1a5278 3be7c5a49172e6c2 IKEv2 10.1.1.1 1643848758 UP 9e31d4323195a195 4d142438106d4273 IKEv2 10.1.1.1
user@host# show security ike security-associations index 553329718 detail node0: -------------------------------------------------------------------------- IKE peer 10.1.1.1, Index 553329718, Gateway Name: OAM_GW Location: FPC 2, PIC 0, KMD-Instance 1 Role: Responder, State: UP Initiator cookie: 99919a471d1a5278, Responder cookie: 3be7c5a49172e6c2 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 10.2.2.1:500, Remote: 10.1.1.1:500 Lifetime: Expires in 28738 seconds Peer ike-id: C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1 aaa assigned IP: 10.12.1.201 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2104 Output bytes : 425 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
의미
이 show security ike security-associations
명령은 피코 셀 디바이스가 있는 모든 활성 IKE(Internet Key Exchange) 1단계 SA를 나열합니다. SA가 나열되어 있지 않은 경우, 1단계 설정에 문제가 있는 것입니다. 구성에서 IKE(Internet Key Exchange) 정책 매개 변수 및 외부 인터페이스 설정을 확인합니다. 이 예에서는 OAM VPN에 대한 IKE(Internet Key Exchange) 1단계 SA만 보여줍니다. 그러나 3GPP VPN에 대한 IKE 1단계 매개변수를 보여주는 별도의 IKE 1단계 SA가 표시됩니다.
SA가 나열되어 있는 경우 다음 정보를 검토합니다.
-
인덱스 - 이 값은 각 IKE(Internet Key Exchange) SA에 대해 고유합니다. 명령을 사용하여
show security ike security-associations index detail
SA에 대한 자세한 정보를 얻을 수 있습니다. -
원격 주소 - 로컬 IP 주소가 올바르고 포트 500이 피어 투 피어의 통신에 사용되고 있는지 확인합니다.
-
역할 응답자 상태:
-
업 - 1단계 SA가 설정되었습니다.
-
다운 - 1단계 SA를 설정하는 데 문제가 있었습니다.
-
-
피어(원격) IKE ID - 인증서 정보가 올바른지 확인합니다.
-
로컬 ID 및 원격 ID - 이러한 주소가 올바른지 확인합니다.
-
모드 - 올바른 모드가 사용되고 있는지 확인합니다.
구성에서 다음 항목이 올바른지 확인합니다.
-
외부 인터페이스(인터페이스는 IKE 패킷을 전송하는 인터페이스여야 합니다)
-
IKE(Internet Key Exchange) 정책 매개 변수
-
1단계 제안 매개 변수(피어 간에 일치해야 함)
명령은 show security ike security-associations
보안 연관에 대한 다음과 같은 추가 정보를 나열합니다.
-
사용된 인증 및 암호화 알고리즘
-
1단계 수명
-
트래픽 통계(트래픽이 양방향으로 올바르게 흐르고 있는지 확인하는 데 사용할 수 있습니다)
-
역할 정보
문제 해결은 응답자 역할을 사용하여 피어에서 가장 잘 수행됩니다.
-
개시자 및 응답자 정보
-
생성된 IPsec SA의 수
-
진행 중인 2단계 협상 수
SRX 시리즈에 대한 IPsec 보안 연결 확인
목적
IPsec 상태를 확인합니다.
작업
노드 0의 운영 모드에서 show security ipsec security-associations 명령을 입력하십시오. 명령에서 인덱스 번호를 얻은 후 show security ipsec security-associations detail 명령을 사용하십시오.
user@host# show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <214171651 ESP:aes-cbc-256/sha1 cc2869e2 3529/ - root 500 10.1.1.1 >214171651 ESP:aes-cbc-256/sha1 c0a54936 3529/ - root 500 10.1.1.1 <205520899 ESP:aes-cbc-256/sha1 84e49026 3521/ - root 500 10.1.1.1 >205520899 ESP:aes-cbc-256/sha1 c4ed1849 3521/ - root 500 10.1.1.1
user@host# show security ipsec security-associations detail node0: -------------------------------------------------------------------------- Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x604a29 Last Tunnel Down Reason: SA not initiated ID: 214171651 Virtual-system: root, VPN Name: 3GPP_VPN Local Gateway: 10.3.3.1, Remote Gateway: 10.1.1.1 Local Identity: list(any:0,ipv4_subnet(any:0-65535,[0..7]=192.168.3.0/24), ipv4_subnet(any:0-65535,[0..7]=10.13.0.0/16)) Remote Identity: ipv4(any:0,[0..3]=10.13.1.201) DF-bit: clear Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Last Tunnel Down Reason: SA not initiated Location: FPC 6, PIC 0, KMD-Instance 2 Direction: inbound, SPI: cc2869e2, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Soft lifetime: Expires in 2965 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 6, PIC 0, KMD-Instance 2 Direction: outbound, SPI: c0a54936, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Soft lifetime: Expires in 2965 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 205520899 Virtual-system: root, VPN Name: OAM_VPN Local Gateway: 10.2.2.1, Remote Gateway: 10.1.1.1 Local Identity: ipv4_subnet(any:0-65535,[0..7]=192.168.2.0/24) Remote Identity: ipv4(any:0,[0..3]=10.12.1.201) Version: IKEv2 DF-bit: clear Bind-interface: st0.0 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Last Tunnel Down Reason: SA not initiated Location: FPC 2, PIC 0, KMD-Instance 1 Direction: inbound, SPI: 84e49026, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3515 seconds Lifesize Remaining: Soft lifetime: Expires in 2933 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Location: FPC 2, PIC 0, KMD-Instance 1 Direction: outbound, SPI: c4ed1849, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3515 seconds Lifesize Remaining: Soft lifetime: Expires in 2933 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
의미
이 예에서는 Pico 1에 대한 활성 IKE 2단계 SA를 보여 줍니다. SA가 나열되지 않은 경우, 2단계 설정에 문제가 있는 것입니다. 구성에서 IPsec 정책 매개 변수를 확인합니다. 각 Phase 2 SA(OAM 및 3GPP)에 대해 인바운드 및 아웃보드 방향으로 정보가 제공됩니다. show security ipsec security-associations
명령의 출력은 다음 정보를 나열합니다.
-
원격 게이트웨이의 IP 주소는 10.1.1.1입니다.
-
SPI, 수명(초 단위) 및 사용 제한(또는 KB의 실물 크기)이 양방향으로 표시됩니다. 3529/ 값은 2단계 수명이 3529초 후에 만료되고 수명 크기가 지정되지 않았음을 나타냅니다. 이는 무제한임을 나타냅니다. VPN이 가동된 후 2단계는 1단계에 종속되지 않기 때문에 2단계 수명은 1단계 수명과 다를 수 있습니다.
-
VPN 모니터링은 Mon 열에서 하이픈으로 표시되므로, 이 SA에서 가능하지 않습니다. VPN 모니터링이 활성화된 경우, U는 모니터링이 up 상태이고 D는 모니터링이 down 상태임을 나타냅니다.
-
가상 시스템(vsys)은 루트 시스템으로 항상 0을 나열합니다.
명령의 show security ipsec security-associations index index_id detail
위 출력은 다음 정보를 나열합니다.
-
로컬 ID 및 원격 ID는 SA의 프록시 ID를 구성합니다.
프록시 ID 불일치는 2단계 실패에 대한 가장 흔한 원인 중 하나입니다. IPsec SA가 나열되지 않은 경우 프록시 ID 설정을 포함한 2단계 제안이 두 피어에 대해 정확한지 확인합니다. 경로 기반 VPN의 경우, 기본 프록시 ID는 local=0.0.0.0/0, remote=0.0.0.0/0, 그리고 service=any입니다. 동일한 피어 IP의 다중 경로 기반 VPN에서 문제가 발생할 수 있습니다. 이 경우 각 IPsec SA에 대한 고유 프록시 ID를 지정해야 합니다. 일부 타사 밴더의 경우 프록시 ID는 수동으로 입력해 일치시켜야 합니다.
-
사용된 인증 및 암호화 알고리즘.
-
2단계 제안 매개 변수(피어 간에 일치해야 함).
-
OAM 및 3GPP 게이트웨이에 대한 보안 터널(st0.0 및 st0.1) 바인딩.
신뢰할 수 있는 CA의 IKE(Internet Key Exchange) 정책
이 예에서는 신뢰할 수 있는 CA 서버를 피어의 IKE 정책에 바인딩하는 방법을 보여 줍니다.
시작하기 전에 피어의 IKE 정책과 연결할 모든 신뢰할 수 있는 CA 목록이 있어야 합니다.
IKE(Internet Key Exchange) 정책을 신뢰할 수 있는 단일 CA 프로필 또는 신뢰할 수 있는 CA 그룹에 연결할 수 있습니다. 보안 연결 설정을 위해 IKE 게이트웨이는 IKE 정책을 사용하여 인증서의 유효성을 검증하는 동안 구성된 CA 그룹(ca-profiles)으로 자신을 제한합니다. 신뢰할 수 있는 CA 또는 신뢰할 수 있는 CA 그룹 이외의 소스에서 발행한 인증서의 유효성이 검사되지 않습니다. IKE 정책에서 인증서 유효성 검사 요청이 있는 경우 IKE 정책의 연결된 CA 프로필이 인증서의 유효성을 검사합니다. IKE 정책이 CA와 연결되어 있지 않은 경우 기본적으로 구성된 CA 프로필 중 하나에 의해 인증서의 유효성이 검사됩니다.
이 예에서는 라는 root-ca
CA 프로필이 생성되고 이(가 root-ca-identity
) 프로필에 연결됩니다.
신뢰할 수 있는 CA 그룹에 추가할 CA 프로필을 최대 20개까지 구성할 수 있습니다. 신뢰할 수 있는 CA 그룹에서 20개 이상의 CA 프로필을 구성하는 경우 구성을 커밋할 수 없습니다.
디바이스에 구성된 CA 프로필 및 신뢰할 수 있는 CA 그룹을 보려면 명령을 실행합니다 show security pki
.
user@host# show security ike proposal ike_prop { authentication-method rsa-signatures; dh-group group2; authentication-algorithm sha-256; encryption-algorithm aes-256-cbc; } policy ike_policy { proposals ike_prop; certificate { local-certificate SPOKE; trusted-ca ca-profile root-ca; } }
이 show security ike
명령은 IKE ike_policy
(Internet Key Exchange) 정책 아래에 CA 프로필 그룹을 표시하고 IKE(Internet Key Exchange) 정책과 연결된 인증서를 표시합니다.