'Network' 카테고리의 글 목록

Network

FortiGate) 이기종 IPsec VPN IKEv2 phase1 negotiate ERROR 2024.02.06
전용회선/전용선 내용 정리 2024.01.05

FortiGate) 이기종 IPsec VPN IKEv2 phase1 negotiate ERROR

zosys 2024. 2. 6. 16:27

2024. 2. 6. 16:27

증상 :

FortiGate와 대외기관 CheckPoint 장비 간 IKEv2로 IPSec VPN을 구성했으나, key lifetime 만료 후

재협상시 아래와 같이 에러가 지속적으로 발생함

auto negotiation 옵션으로 터널을 다시 맺긴하지만 기본 IPSec rekey 옵션이 정상적으로 작동되지않는것으로 추정됨

조치내역 :

포티게이트 CLI 설정 중 phase1-interface의 reauth 활성화

config vpn ipsec phase1-interface 

edit 'phase1-interface Name'

set reauth enable

* rekey : CREATE_CHILD_SA IKEv2에서 지원되는 충돌 없이 런타임에 교환할 수 있는 새로운 키 세트( ) 를 생성하려고 시도합니다

* reauth: 인증( IKE_SA_INIT , IKE_AUTH)을 포함하여 완전한 재생성을 수행하고 작업을 중단할 수 있습니다. IKEv2에서는 가동 중지 시간 없이 발생할 수 있습니다

조치 결과 :

reauth 활성화 이후 key lifetime 만료 후 재협상시마다 발생하던 에러가 사라졌다.

이기종 장비에 대한 IPSec은 밴더에서도 비추천하는 이유가 있는듯하다.
IKEv2 프로세스는 아래와 같은 초기협상 이후 IKEv2로 진행되는데

1. IKE_SA_INIT Exchange
2. IKE_AUTH Exchange
3. CREATE_CHILD_SA(IKEv2진행)

ipsec phase1에서 진행하는 키 세트 변경시에 문제가 있는것으로 보인다.

그래서 reauth(IKE_SA,AUTH을 포함)를 통한 전체 재 인증 활성화 이후 정상화 된것으로 추정된다.

참조 URL :
https://www.samuraj-cz.com/clanek/fortigate-ipsec-vpn-debug-a-problemy/

https://www.cisco.com/c/ko_kr/support/docs/security-vpn/ipsec-negotiation-ike-protocols/115936-understanding-ikev2-packet-exch-debug.html

전용회선/전용선 내용 정리

zosys 2024. 1. 5. 10:51

2024. 1. 5. 10:51

기업용 전용회선 관련 참고 자료 정리

1) 기본 데이터 통신 시스템 구성
DTE <==> DCE <==> DTE

*DTE(Data Terminal Equipment) = 데이터 종단장치라는 뜻이며, 라우터나 사용자 PC 등 주로 데이터를 발생시키는 장치이다.

*DCE(Data Communication Equipment) = 데이터 회선종단장치라는 뜻이며, DCE는 DTE에서 바라볼 때 전송로(통신망)를 대표한다고 볼 수 있음. 데이터의 전송을 담당하는 장치(DSU, CSU, MSPP가 여기에 해당)

2) 전용회선 통신을 위한 구성

Router<= 회선종단장치(DSU,CSU,MUX,MSPP) <= PCM장비 => 회선종단장치(DSU,CSU,MUX,MSPP) => Router

*CSU에서 채널이라는 의미는 64K Slot을 의미 CSU의 회선속도는 T1, E1 속도범위 n64K n56K로 자유롭게 조정가능
*MUX라는 집중 장비가 여러 개의 채널들을 모아서 하나의 대용량 전송로를 통하여 한꺼번에 전송되는 트렁크 방식으로 전송

*CSU 인터페이스는 V.35, RS449가 있다.

*이더넷 인터페이스의 경우 RJ45

*위 구성으로 생각해 보면 전용선을 제공해 주는 통신사에서 회선종단장치까지 이어주고,

각 상위국 하위국에서는 회선종단장치 - Router(데이터종단장치) 인터페이스만 연결하여 설정 잡아주면 마무리.

3) 전용회선의 종류

1. TDM전용회선= 64 Kbps~2.048 Mbps 기준(V.35, RS232)

2. 이더넷 전용회선 = 2M 이상 일 경우(UTP)

4) 참고사항

* 전용선의 경우 전용장비가 있는데 만약 특정 통신사의 IDC를 이용 중이라면, 해당 통신사의 전용회선은 문제없으나 타 통신사의 전용선을 이용할 경우 IDC의 회선을 임차하거나 장비가 직접 들어오는 등 변수가 있으니 반드시 참고할 것.

* 이더넷 전용회선의 경우 라우터연결 시 Half-Duplex로 인해 통신이 정상적으로 안 될 경우가 있는데, 라우터 설정은 기본적으로 Auto Nego로 되어있다. duplex Full로 강제로 잡아주거나, 상단 MSPP 설정을 한번 확인해 보는 게 좋다.

5) 전용회선 트러블 슈팅

정상적으로 전용선 통신이 안될 경우, 통신사에서 설정하는 회선종단장치에서 루핑테스트를 요청하여 진행한다.

만약 회선종단장치-데이터종단장치간 정상 통신이 된다면, 아래와 같이 데이터종단장치의 인터페이스가 루핑상태가 된다.

6)전용회선 증속/감속

전용회선의 증속/감속의 경우 양사 합의를 통해 증속/감속을 진행 할 수 있다. 감속의 경우에는 시리얼 포트 이동과 같은 이슈가 없다면, 통신사에 요청하여 설정만 변경하면되지만, 증속의 경우엔 CSU 추가와 같은 이슈가 있을수있으니 참고해야한다. 만약 MUX같은 장비로 채널라이징 구성이 되어있다면, 증속을 할 경우 연속된(1,2,3,4) 채널로만 가능하니 이점도 참고하면 좋다.

*전용선의 경우 여러 국사를 거치게끔 되어있으므로, 국사별 담당하는 부서에 연락하여 루핑테스트를 진행하면 문제가 되는 구간을 확인 할 수있다.

PREV 이전 1 NEXT 다음

ZO