Juniper
- 인쇄
- PDF
Juniper
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
Classic 환경에서 이용 가능합니다.
IPsec VPN Tunnel 생성을 위해 고객 VPN 게이트웨이에서 리소스를 구성하는 방법을 설명합니다. VPN 게이트웨이 장비가 Juniper 사의 SRX 계열 제품이라면 다음의 내용을 참고해 주십시오.
참고
여기서는 로컬 네트워크가 고객 네트워크, 원격 네트워크가 네이버 클라우드 플랫폼 Private Subnet이 됩니다. Peer IP 또한 네이버 클라우드 플랫폼의 VPN 게이트웨이 공인 IP가 됩니다.
인터페이스 IP 설정
인터페이스 IP를 설정하는 방법은 다음과 같습니다.
IP 인터페이스 설정
set interfaces ge-0/0/0 unit 0 family inet address <공인 IP> set interfaces ge-0/0/1 unit 0 family inet address <내부 사설 IP>
터널 인터페이스 설정
set interfaces st0 unit 0 family inet
security zone 생성 및 인터페이스 할당
- trust zone에 내부 인터페이스 할당
set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
- untrust zone에 외부 및 터널 인터페이스 할당
set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.0
- trust zone에 내부 인터페이스 할당
security zone 정책 설정
set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security policies from-zone untrust to-zone trust policy untrust-to-trust match source-address any set security policies from-zone untrust to-zone trust policy untrust-to-trust match destination-address any set security policies from-zone untrust to-zone trust policy untrust-to-trust match application any set security policies from-zone untrust to-zone trust policy untrust-to-trust then permit
라우팅 설정
외부 라우팅, 내부 라우팅, Peer 터널 사설 라우팅을 각각 설정해 주십시오.
외부 라우팅 설정
set routing-options static route 0.0.0.0/0 next-hop <VPN 게이트웨이 공인 IP>
내부 라우팅 및 트래픽 선택기 설정
set routing-options static route <내부 사설 IP> next-hop <내부 게이트웨이 IP> set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24 set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24
Peer 터널 사설 라우팅(proxy-ID) 설정
set routing-options static route <원격 네트워크 사설 IP> next-hop st0.0
IKE 설정
IKE를 설정하려면 IKEv1과 IKEv2를 구성해야 합니다.
참고
암호와 및 인증 알고리즘 설정값이 네이버 클라우드 플랫폼 콘솔에서 생성한 IPsec VPN Gateway의 설정값과 동일해야 합니다.
IKEv1 구성
IKEv1을 구성하는 방법은 다음과 같습니다.
set security ike proposal <proposal 1 이름> authentication-method pre-shared-keys
set security ike proposal <proposal 1 이름> dh-group group2
set security ike proposal <proposal 1 이름> authentication-algorithm sha1
set security ike proposal <proposal 1 이름> encryption-algorithm aes-128-cbc
set security ike proposal <proposal 1 이름> lifetime-seconds 28800
set security ike policy <policy 1 이름> mode main
set security ike policy <policy 1 이름> proposals <proposal 1 이름>
set security ike policy <policy 1 이름> pre-shared-key ascii-text <pre-shared 키 값>
set security ipsec policy <policy 1 이름> perfect-forward-secrecy keys group2
set security ipsec vpn <VPN 이름> ike proxy-identity local <Peer IP>
set security ipsec vpn <VPN 이름> ike proxy-identity remote <로컬 네트워크>
set security ipsec vpn <VPN 이름> ike proxy-identity service any
set security ike gateway <VPN gateway 이름> ike-policy <policy 1 이름>
set security ike gateway <VPN gateway 이름> address <Peer IP>
set security ike gateway <VPN gateway 이름> external-interface ge-0/0/0
set security ike gateway <VPN gateway 이름> version v1-only *(기본값)
- D-H 그룹: 2
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha-1
- lifetime: 28800
IKEv2 구성
IKEv2를 구성하는 방법은 다음과 같습니다.
set security ipsec proposal <proposal 2 이름> protocol esp
set security ipsec proposal <proposal 2 이름> authentication-algorithm hmac-sha1-96
set security ipsec proposal <proposal 2 이름> encryption-algorithm aes-128-cbc
set security ipsec proposal <proposal 2 이름> lifetime-seconds 3600
set security ipsec policy <policy 2 이름> proposals <proposal 2 이름>
set security ipsec vpn <VPN 이름> bind-interface st0.0
set security ipsec vpn <VPN 이름> ike gateway <VPN gateway 이름>
set security ipsec vpn <VPN 이름> ike ipsec-policy <policy 2 이름>
set security ipsec vpn <VPN 이름> establish-tunnels immediately
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 local-ip 100.1.1.0/24
set security ipsec vpn ike-vpn-DE_QA traffic-selector t1 remote-ip 192.168.100.0/24
- 프로토콜: esp
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha-1
- lifetime: 3600
IKE 터널 확인
모든 과정을 마친 후 IKE 터널 상태를 확인할 수 있습니다. 확인 예시는 다음과 같습니다.
IKEv1
hostname# show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 4789230 UP d2a027bc622f8ec6 d79c7b79fab2e1cb Main <Peer IP>
IKEv2
hostname# show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-cbc-128/sha1 4e82e2b4 3429/4607971 - root 500 <Peer IP> >131073 ESP:aes-cbc-128/sha1 58407288 3429/4607971 - root 500 <Peer IP>
이 문서가 도움이 되었습니까?