Netpro Expert 26호

IPSec 리던던시 실행 & 트러블슈팅 3題

시스코 네트워킹 전문가 커넥션은 네트워킹 솔루션과 제품, 기술에 관한 질문과 제언, 정보를 공유하는 정보 제공의 장이다. 다음은 시스코의 자지브 프라힘(Jazib Frahim)이 주도한 'IPSec 리던던시 실행 및 트러블슈팅에 관한 모든 것'에서 발췌한 질문과 대답이다. 기사 전문은 cisco.com/packet/181_10a1을 방문하면 된다. 온라인 토론에 참여하고 싶으면 cisco.com/discuss/networking을 주소창에 입력하면 된다.


라우팅 프로토콜 없이 고가용성과 로드 밸런스를 이용할 수 있습니까?


VTI(virtual tunnel interfaces)를 이용할 경우 라우팅 프로토콜을 사용할 필요가 없습니다. OSPF(Open Shortest Path First) 같은 라우팅 프로토콜이 루트 관리를 간편하게 해주죠. 옵션으로 터널 인터페이스에서 정적 루트와 포인트 트래픽을 사용할 수 있습니다.


IPSec 트래픽을 위해 두 가지 허브 라우터를 액티브/스탠바이 대신 액티브/액티브로 셋업할 수 있습니까?


인터페이스 내외부에서 다양한 HSRP(Hot Standby Router Protocol)를 셋업할 수 있죠. 그런 다음 라우터 1에서 그룹 하나를 액티브하게 만들고, 라우터 2에서 다른 그룹을 액티브하게 만듭니다. 트래픽이 VIP(virtual IP)나 다른 IP를 얻을 수 있도록 몇 가지 정책 라우팅을 시도해볼 수도 있습니다.


서로 다른 ISP 시나리오를 사용하는 IPSec 리던던시는 다음과 같습니다. 즉 본사는 서로 다른 공공 IP를 사용하는 두 가지 라우터, ISP-A와 ISP-B 라우터를 통해 서로 다른 ISP에 연결되죠. ISP-A와 ISP-B에는 OSPF를 실행시키는 L3 스위치가 깔려있습니다. 원격 지사는 시스코 PIX 방화벽을 사용해 본사 ISP-A와 ISP-B로 가는 IPSec 터널을 만듭니다. 두 가지 사이트를 위해 추천할 만한 IPSec config는 무엇입니까? 상단에서 하단으로 이루어지는 셋업은 아래와 같습니다:

1. HQ 네트워크에서 L3 스위치
2. L3 스위치에서 ISP-A와 ISP-B 라우터
3a. ISP-A 라우터에서 인터넷
3b. ISP-B 라우터에서 인터넷
4. 인터넷에서 PIX
5. PIX에서 지사 네트워크


원격 PIX 방화벽 상에서 크립토 맵(crypto map)으로 다양한 셋 피어 어드레스(set peer addresses)를 가질 수 있습니다. PIX는 첫 번째 어드레스에 연결을 시도하다가, 반응이 없을 경우, 다른 어드레스로 연결을 시도할 겁니다. 나아가 선택된 라우터가 액티브 라우팅/VPN 터미네이션 디바이스 역할을 한다는 사실을 보장하기 위해 내부 네트워크에서 HSRP를 실행해야 합니다.


PIX에서 '복합 셋 피어'를 설정하는데 대한 조언은 아래 (a)와 (b) 모두에서 적용 가능한가요?

(a)
crypto map mymap 10 ipsec-isakmp
crypto map ios 10 match address ac1
crypto map ios 10 set peer ISP-A
crypto map ios 10 set peer ISP-B
crypto map ios 10 set transform-set trans

(b)
crypto map mymap 10 ipsec-isakmp
crypto map ios 10 match address ac1
crypto map ios 10 set peer ISP-A
crypto map ios 10 set transform-set trans
crypto map mymap 20 ipsec-isakmp
crypto map ios 20 match address ac1
crypto map ios 20 set peer ISP-B
crypto map ios 20 set transform-set trans

IPSec용 복합 피어를 설정하는 방식은 어떤가요? ISP-A가 실패할 경우, PIX는 ISP-B에 연결되죠. SA(Security Association) 투 ISP-B가 끝나면, PIX는 ISP-A로 연결됩니까, 아니면 ISP-B로 되돌아갑니까? 본사와 지사가 IPSec 터널을 초기화할 수 있다고 가정할 때, 계층 3 스위치에서 본사로 가는 지사 네트워크 루트를 어떻게 정할 수 있나요? ISP-A와 ISP-B 라우터에서 RRI(Reverse Route Injection)를 사용할 수 있나요?


옵션 (a)의 설정이 정확합니다. PIX가 ISP-A에 연결될 수 없다면, ISP-B로 시도할 겁니다. ISP-B가 둘 중 하나를 사용할 수 없다면, ISP-A에 다시 시도할 겁니다. 본사에서 지사로 트래픽 루트를 설정하려면, 내부 HSRP를 사용해 L3 스위치가 VIP로 트래픽을 전송하게 할 수도 있습니다. ISP 라우터가 액티브하건 아니건 그 여부를 떠나 터널 만드는 업무를 담당할 것입니다.



JAZIB FRAHIM
자지브 프라힘(JAZIB FRAHIM)은 시스코 네트워크 보안 그룹 어드밴스드 서비스 전세계 보안 서비스 실행 부문 수석 네트워크 보안 엔지니어다. 이메일 주소는 jfrahim@cisco.com이다.


맨위로

Cisco에 문의하세요



Packet 지난 호 보기