13IP Reachability Detection·IPsec RoutingIP Reachability Detection·IPsec Routing
이 장은 경로(next hop)가 살아 있는지 빠르게 감지(IP Reachability Detection) 하는 기능과, 동적 라우팅 패킷을 IPsec으로 보호(IPsec Routing) 하는 기능을 묶어 정리합니다. 앞쪽은 BFD·ICMP ping으로 원격 IP의 도달 가능성을 확인하는 법을, 뒤쪽은 정적 IPsec SA를 OSPFv3와 결합해 라우팅 프로토콜 헤더를 인증·암호화하는 법을 다룹니다. 원문이 표와 절차로 길게 나열한 파라미터·예제·모니터링 출력까지 빠짐없이 담되, 왜 그렇게 쓰는지를 함께 풀어 둡니다.
IP Reachability Detection
IP Reachability Detection 은 원격 IP 주소가 도달 가능한지(reachable)를 감지 하는 기능입니다. 감지 방식은 두 가지입니다 — BFD(Bidirectional Forwarding Detection) 프로토콜과 ICMP ping 입니다.
BFD(Bidirectional Forwarding Detection) 소개
R80.20부터 Gaia OS는 BFD를 지원 합니다. BFD는 두 라우터가 짧은 주기로 패킷을 주고받아 링크·경로 장애를 라우팅 프로토콜의 기본 타이머보다 훨씬 빠르게 감지하는 프로토콜입니다. 자세한 규격은 RFC 5880과 RFC 5881을 참고하세요.
클러스터 환경에서 BFD가 어느 멤버에서 동작하는지는 분명한 규칙이 있습니다.
- ClusterXL High Availability 모드 에서는 Active 멤버만 BFD 패킷을 보내고 받습니다.
- VRRP 클러스터 에서는 Master 멤버만 BFD 패킷을 보내고 받습니다.
- ClusterXL Standby·VRRP Backup 멤버 는 BFD 패킷을 보내지도 받지도 않으며, 모든 피어 클러스터 멤버를 도달 가능(reachable)한 것으로 간주 합니다.
또 R80.30부터는 Static Routes에서도 BFD를 지원 합니다. 정적 경로용 BFD는 BFD 프로토콜로 BFD 피어의 도달 가능성을 감시하고, 그 결과에 맞춰 연결된 정적 경로의 next hop 상태를 갱신합니다. 즉 BFD 피어가 도달 불가능하면 해당 정적 경로 next hop의 상태가 "down" 으로 바뀝니다.
Gaia Portal에서 IP Reachability Detection 구성
기본 흐름은 다음과 같습니다.
- 왼쪽 탐색 트리에서 Advanced Routing > IP Reachability Detection 을 클릭합니다.
- Global Settings 영역에서 해당 설정을 구성하고 Apply 를 클릭합니다.
Global Settings — 감지 시간(timeout)을 정하는 값
전역 설정의 핵심은 Detect Multiplier, Minimum RX Interval, Minimum TX Interval 세 값입니다. 양쪽(local·remote)의 이 설정이 합쳐져 BFD가 사용하는 감지 시간(timeout) 을 만듭니다. 구체적으로는 Detect Multiplier와 Minimum Interval을 곱한 값이 timeout 이 됩니다.
이 설정들은 Security Gateway 또는 VSX Virtual System의 모든 BFD 세션에 적용되는 전역(global) 값 입니다.
| 파라미터 | 설명 |
|---|---|
| BFD Detect Multiplier | 시스템이 광고하는 BFD detect multiplier. 원격 시스템의 timeout을 결정 합니다. 값이 작을수록 감지가 빠르고, 클수록 신뢰성이 높아집니다. 원격 피어의 Detect Multiplier가 1이면, 신뢰성을 위해 Gaia 게이트웨이의 감지 시간이 RFC 5880 규격보다 12.5% 늘어납니다. 범위: 1-100, 기본값: 10, 권장: 최소 3 |
| BFD Minimum RX Interval | 시스템이 광고하는 BFD 최소 RX 간격. 로컬 시스템의 timeout과 원격 시스템이 패킷을 보내는 속도 를 설정합니다. 값이 작을수록 감지가 빠르고, 클수록 네트워크 부하가 줄어듭니다. 범위: 50-1000밀리초, 기본값: 300밀리초 |
| BFD Minimum TX Interval | 시스템이 광고하는 BFD 최소 TX 간격. 원격 시스템의 timeout과 로컬 시스템이 패킷을 보내는 속도 를 설정합니다. 값이 작을수록 감지가 빠르고, 클수록 네트워크 부하가 줄어듭니다. 범위: 50-1000밀리초, 기본값: 300밀리초 |
| Ping Count | ICMP ping으로 도달 가능성을 감지할 때, 주소를 "not reachable"로 보기 전까지 연속으로 허용할 누락 패킷(ICMP Echo Reply 없음) 수 . 범위: 1-100, 기본값: 3 |
| Ping Interval | ICMP ping으로 도달 가능성을 감지할 때, 보내는 ICMP Echo Request 패킷 사이의 간격 . 범위: 50-1000초, 기본값: 3초 |
Static Sessions — 감지할 세션 추가
- Static Sessions 영역에서 해당 세션을 추가합니다.
- Add 를 클릭합니다.
- Address Family 에서 IPv4 또는 IPv6 를 선택합니다.
- Address 에 해당 IP 주소를 입력합니다.
- Type 에서 BFD 유형을 선택합니다(아래 세 가지).
- Save 를 클릭합니다.
Type으로 고를 수 있는 세 가지는 다음과 같습니다.
- Singlehop BFD — 원격 주소가 정확히 한 홉(hop) 떨어져 있어야 합니다(RFC 5881). BFD Singlehop Control 패킷은 UDP 목적지 포트 3784 를, UDP 출발지 포트 49152~65535 를 사용합니다.
- Multihop BFD — 원격 주소가 몇 홉이든 떨어져 있어도 됩니다 (심지어 0홉도 가능하나 거의 쓸모는 없습니다, RFC 5883). 이 유연성을 위해 multihop BFD에서는 이 Gaia의 Local Address를 반드시 지정 해야 합니다. Multihop BFD는 양쪽 피어의 원격·로컬 IP가 올바르게 구성되어야만 동작합니다.
- Peer #1 에서 — 세션 IP 주소(원격 IP)는 Peer #2에 구성된 로컬 IP이고, 세션 로컬 IP는 Peer #1에 구성된 로컬 IP입니다.
- Peer #2 에서 — 세션 IP 주소(원격 IP)는 Peer #1에 구성된 로컬 IP이고, 세션 로컬 IP는 Peer #2에 구성된 로컬 IP입니다.
BFD Multihop Control 패킷은 UDP 목적지 포트 4784 를 사용합니다. - Ping — ICMP ping으로 원격 IP의 도달 가능성을 감지합니다. ICMP Echo 패킷은 UDP 목적지 포트 3785 를 사용합니다.
BFD Authentication — 인증 설정
- BFD Authentication 영역에서 해당 인증 설정을 구성합니다.
BFD는 지정한 주소 범위(address range)에 대해 Authentication Type, Key ID, Shared Secret 으로 인증할 수 있습니다. BFD 인증은 기본적으로 비활성 입니다. 이미 주소 범위에 인증이 켜져 있다면, 고유한 Key ID로 최대 10개까지 Key를 추가 하거나 기존 Key를 교체할 수 있습니다.
BFD 인증이 제대로 동작하려면 로컬·원격 BFD 피어를 다음과 같이 맞춰야 합니다.
- 양쪽 모두 인증을 활성화 합니다.
- 같은 authentication type 설정을 갖습니다.
- Key ID와 Shared Secret이 일치하는, 완전히 동일한 Key 집합 을 갖습니다.
구성 절차는 다음과 같습니다.
- Add 를 클릭합니다.
- Address Family 에서 IPv4 또는 IPv6 를 선택합니다.
- BFD 인증을 모든 IP 주소에 적용할지 정합니다. 아니면 적용할 IP 주소 범위를 명시적으로 구성합니다 — IPv4는 All IPv4 Addresses, IPv6는 All IPv6 Addresses 를 선택합니다.
- 피어의 IP 주소 범위를 구성합니다. 이 범위 안의 원격 피어 주소를 가진 모든 BFD 세션에 설정이 적용됩니다. 범위가 겹치면 가장 좁은(narrowest) 범위가 우선 합니다(예:
10.1.1.0/24가10.1.0.0/16을 덮어씀).
IPv4의 경우 Address 에 IPv4 주소를, Subnet mask 에 서브넷 마스크를 입력합니다(명시하지 않으면 최대값 32). IPv6의 경우 IPv6 Address / Mask Length 에 주소와 마스크 길이를 입력합니다(명시하지 않으면 최대값 128).
| 예시 | 의미 |
|---|---|
0.0.0.0/0 | 모든 IPv4 주소 |
1.0.0.0/8 | 1.0.0.0 ~ 1.255.255.255 |
1.1.1.0/24 | 1.1.1.0 ~ 1.1.1.255 |
1.2.3.4/32 또는 1.2.3.4 | 단일 주소 1.2.3.4 |
::/0 | 모든 IPv6 주소(link-local 포함) |
fe80::/10 | 모든 link-local 주소(인터페이스 필요) |
- Authentication Type 에서 인증 유형을 선택합니다(RFC 5880 참고). 세션의 인증 유형을 바꾸면 기존 키는 새 인증 유형으로 전환 됩니다.
- None — 인증을 쓰지 않습니다. 다른 유형에서 None으로 바꾸면 모든 키가 제거되고 해당 범위의 인증이 비활성 됩니다(더 넓고 겹치는 범위에 인증이 구성되어 있어도 마찬가지).
- Meticulous MD5, MD5 — 사용을 강력히 권장하지 않 습니다. BFD Control 패킷 위로 계산한 16바이트 MD5 다이제스트를 쓰지만 키 자체는 패킷에 실리지 않습니다. Meticulous MD5는 패킷마다 시퀀스 번호를 증가 시키고, MD5는 가끔만 증가 시킵니다.
- Meticulous SHA1, SHA1 — BFD Control 패킷 위로 계산한 SHA1 해시를 씁니다. Meticulous SHA1은 패킷마다, SHA1은 가끔만 시퀀스 번호를 증가시킵니다.
- 해당 Key 를 구성합니다.
- Add 를 클릭합니다.
- Key ID 에 0~255 사이 값을 입력합니다. 이 번호는 키가 둘 이상일 때 키를 고유하게 식별 합니다. BFD는 최대 10개 키를 지원합니다. 키 구성(Key ID·Shared Secret)이 원격 피어와 동일 한지 확인하세요.
- Enter secret as hex 옵션 — 끄면(기본) shared secret의 각 ASCII 문자가 1바이트를 나타내고, 켜면 16진 표기로 2자리마다 1바이트를 지정합니다.
- Secret(또는 Hex Secret)에 shared secret을 입력합니다. ASCII 문자(예:
testing) 또는 hex 숫자(예:74657374696e67)만 지원 하며 공백은 허용되지 않습니다.- Meticulous MD5·MD5 — 1~16자(hex로는 2~32자리)
- Meticulous SHA1·SHA1 — 1~20자(hex로는 2~40자리)
- 다른 벤더와의 호환을 위해 길이를 제한해야 할 수 있습니다.
- 구성된 값은 null 바이트로 전체 길이까지 자동 패딩 됩니다.
- OK 를 클릭합니다.
- Save 를 클릭합니다.
Gaia Clish에서 IP Reachability Detection 구성
사용할 수 있는 명령을 보려면 Gaia Clish에서 다음을 입력합니다([Esc][Esc] 로 가능한 전체 명령 형태를 펼침).
set ip-reachability-detection[Esc][Esc]
show ip-reachability-detection[Esc][Esc]전체 구문은 다음과 같습니다.
set ip-reachability-detection
bfd
address <IP Address>
authtype delete
authtype none
authtype {md5 | meticulous-md5 | sha1 | meticulous-sha1} key <0-255>
hex-secret "<Hex Password>"
off
secret "<Password>"
enable-bfd multihop local-address <IPv4 Address>
enable-bfd off
enable-bfd on
detect-multiplier {<1-100> | default}
min-rx-interval {<50-1000> | default}
min-tx-interval {<50-1000> | default}
ping
address <IPv4 Address> enable-ping {off | on}
count {<1-100> | default}
interval {<1-100> | default}각 파라미터의 뜻은 다음과 같습니다.
| 파라미터 | 설명 | |||
|---|---|---|---|---|
bfd address <IP Address> | 피어의 IP 주소 범위를 구성합니다. 이 범위 안의 원격 피어 주소를 가진 모든 BFD 세션에 적용됩니다. 범위가 겹치면 가장 좁은 범위가 우선 (예: 10.1.1.0/24 가 10.1.0.0/16 을 덮어씀). IPv4는 주소와 (선택) 서브넷 마스크(미지정 시 32), IPv6는 주소와 (선택) 마스크 길이(미지정 시 128)를 지정합니다. 예시는 위 Portal 표와 동일(0.0.0.0/0·1.0.0.0/8·1.1.1.0/24·1.2.3.4/32·::/0·fe80::/10). | |||
bfd address <IP Address> authtype delete | BFD 인증 설정(키·인증 유형 포함)을 삭제 합니다. 더 넓고 겹치는 범위에 인증이 구성되어 있으면 그 설정이 사용됩니다. | |||
bfd address <IP Address> authtype none | BFD 인증을 쓰지 않 습니다. 다른 유형에서 none으로 바꾸면 모든 키가 제거되고 해당 범위의 인증이 비활성됩니다(더 넓고 겹치는 범위가 있어도 마찬가지). | |||
| `bfd address <IP Address> authtype {md5 \ | meticulous-md5 \ | sha1 \ | meticulous-sha1} key <0-255>` | BFD 인증 유형과 키 를 구성합니다. 인증은 주소 범위에 대해 Authentication Type·Key ID·Shared Secret으로 적용되며 기본은 비활성, 최대 10개 키 지원. Meticulous MD5·MD5는 강력히 비권장(16바이트 MD5 다이제스트, 키는 패킷에 미포함), Meticulous SHA1·SHA1은 SHA1 해시 사용. Key ID 범위 0-255, 기본 None. Gaia는 가장 낮은 Key ID만 전송하되 어떤 키든 받아 들입니다. |
... key <0-255> hex-secret "<Hex Password>" | shared secret을 16진 표기(2자리=1바이트) 로 지정. hex 숫자만 지원, 공백 불가. MD5 계열 2~32자리, SHA1 계열 2~40자리. null 바이트로 자동 패딩. Best Practice — 이 옵션은 켜지 마세요. | |||
... key <0-255> off | BFD 인증 키 하나를 제거하고 다른 키는 그대로 둡니다. 주소 범위의 마지막 키를 지우면 더 넓은 겹치는 범위의 설정을 쓰고, 그것도 없으면 인증 없이 동작합니다. | |||
... key <0-255> secret "<Password>" | shared secret을 각 ASCII 문자가 1바이트 인 형태로 지정. ASCII만 지원, 공백 불가. MD5 계열 1~16자, SHA1 계열 1~20자. null 바이트로 자동 패딩. Best Practice — 이 옵션을 사용하세요. | |||
bfd address <IP Address> enable-bfd multihop local-address <IPv4 Address> | 이 IP에 multihop BFD를 활성 화합니다. 원격 주소가 몇 홉이든(0홉 포함) 떨어져 있어도 됩니다(RFC 5883). 이 Gaia의 Local Address를 반드시 지정해야 하며, 양쪽 피어의 원격·로컬 IP가 올바라야 동작합니다. Control 패킷은 UDP 목적지 포트 4784 . | |||
bfd address <IP Address> enable-bfd off | 이 IP에 대해 BFD를 완전히 비활성화합니다. | |||
bfd address <IP Address> enable-bfd on | 이 IP에 singlehop BFD를 활성 화합니다. 원격 주소가 정확히 한 홉이어야 함(RFC 5881). Control 패킷은 UDP 목적지 포트 3784 , 출발지 포트 49152~65535. | |||
| `bfd detect-multiplier {<1-100> \ | default}` | 시스템이 광고하는 detect multiplier. 원격 시스템 timeout을 결정. 작을수록 빠른 감지, 클수록 신뢰성. 원격 Detect Multiplier가 1이면 감지 시간이 RFC 5880보다 12.5% 증가. 전역 설정 . 범위 1-100, 기본 10, 권장 최소 3. | ||
| `bfd min-rx-interval {<50-1000> \ | default}` | 시스템이 광고하는 최소 RX 간격. 로컬 timeout과 원격의 전송 속도를 설정. 전역 설정 . 범위 50-1000ms, 기본 300ms. | ||
| `bfd min-tx-interval {<50-1000> \ | default}` | 시스템이 광고하는 최소 TX 간격. 원격 timeout과 로컬의 전송 속도를 설정. 전역 설정 . 범위 50-1000ms, 기본 300ms. | ||
| `ping address <IPv4 Address> enable-ping {off \ | on}` | ICMP ping으로 도달 가능성을 감지. 이 IP의 ICMP Echo를 끄거나(off) 켭니다(on). | ||
| `ping count {<1-100> \ | default}` | 주소를 "not reachable"로 보기 전까지 연속 허용할 누락 패킷 수. 범위 1-100, 기본 3. | ||
| `ping interval {<1-100> \ | default}` | 보내는 ICMP Echo Request 사이의 간격. 전역 설정 . 범위 50-1000초, 기본 3초. |
IP Reachability Detection 모니터링
기본 BFD 설정(구성값 또는 기본값)과, 피어 IP 주소·상태(reachable 여부) 표 를 볼 수 있습니다.
Gaia Portal 에서 — Advanced Routing > IP Reachability Detection 으로 간 뒤 오른쪽 위 Monitoring 을 클릭하고, IP Reachability Detection Monitor 영역에서 Information 범주를 클릭합니다.
Gaia Clish 에서 — 다음 명령으로 봅니다.
show ip-reachability-detection[Esc][Esc]요약(summary) 수준 출력 예시는 다음과 같습니다 — 전역 간격·멀티플라이어 뒤에 원격 주소별 프로토콜·도달 여부가 나옵니다.
MyGW> show ip-reachability-detection summary
BFD Minimum TX Interval: 300 ms
BFD Minimum RX Interval: 300 ms
BFD Detect Multiplier: 10
Remote Address Protocol Reachable
10.1.3.13 BFD No
10.1.254.1 BFD Yes
13::1 BFD Yes
34::4 BFD Yes
fe80::a1 (bond212) BFD Yes
MyGW>특정 주소의 최대 상세(maximum detail) 출력 은 다음처럼 봅니다.
MyGW> show ip-reachability-detection ip-address 10.1.1.13이 상세 출력의 주요 필드는 다음과 같습니다.
| 출력 필드 | 설명 |
|---|---|
Remote Address 10.1.1.13 | 피어의 IP 주소. |
Protocol: BFD | BFD를 쓰는지 여부. |
Reachable: No | (BFD 프로토콜 상태 기준) 피어가 도달 가능한지. |
Downtime: 0 days 0 hrs 2 mins 21 secs | 현재 상태(uptime 또는 downtime)가 얼마나 지속됐는지. |
Session State: 1 (Down) | 상태, 그리고 Up이 아니면 진단 코드(diagnostic code). |
Diagnostics ... Advertised/Received Min RX·TX, Multiplier | 우리와 피어가 광고한 간격, 피어가 광고한 detect multiplier(RFC 5880 기준). |
Detection Time: 3.0 sec | 장애 감지 시간. 연결이 이미 끊긴 상태일 때가 살아 있을 때보다 더 길게 나오는 경우가 많습니다. 0.1초 단위로 반올림. |
Rx Count: 223 / last: 144728 ms ago | 이 세션에서 받은 BFD 패킷 총수와, 마지막으로 받아들인 패킷 이후 경과 시간. |
Tx Count: 226 (0 failed) / last: 393 ms ago | 이 세션에서 BFD 모듈이 보낸 패킷 수와 마지막 전송 시점. 방화벽이 드롭한 패킷은 전송됨(transmitted)으로 집계되고 failed로는 세지 않 습니다. |
Local Discriminator: 742320834 (0x2c3eeac2) | Gaia 머신에서 BFD 세션을 식별하는 무작위 고유 식별자. |
UDP Source Port: 61244 | 이 호스트가 이 피어로 BFD 패킷을 보낼 때 쓰는 UDP 출발지 포트. |
Number of Transitions: 4 / Last 10 Transitions | 이 피어와의 최근 상태 전환(reachable·not reachable) 기록. 현재 날짜·시각을 함께 표시해 이벤트 시각과 비교하기 쉽습니다. |
Rx Drops by Reason 은 받았으나 거부된 BFD 패킷을 사유별로 센 값입니다(인터페이스가 받지 못한 패킷, 방화벽이 드롭한 패킷, 잘못된 BFD 패킷, 세션에 속하지 않은 것은 제외). 이 카운터는 부팅·BFD 세션 삭제·routed 재시작 시 초기화 됩니다. 인증 관련 사유는 다음과 같습니다.
| 사유 | 의미 |
|---|---|
apparent config mismatch | 양 끝의 인증 구성이 다름(인증 유형 또는 Key ID 불일치). 예: 한쪽만 BFD 인증을 씀. 구성을 바꿀 때 보일 수 있습니다. |
bad packet form | 유효한 BFD 패킷 안의 인증 섹션 형식이 잘못됨. 매우 드뭅니다. |
sequence numbering | 받은 패킷의 시퀀스 번호가 순서에 어긋남. 잠깐이면 피어가 다시 도달 가능해졌거나 구성이 바뀐 것이고, 계속 증가하면 재전송(replay) 공격 시도 일 수 있습니다. |
message digest / password | 받은 패킷의 message digest가 틀림. 두 피어가 BFD 인증의 shared secret을 다르게 구성 했을 때 나타납니다. |
for discriminator values | BFD 패킷의 discriminator가 허용되지 않는 0이었음. 잠깐이면 도달 불가였던 피어가 다시 도달 가능해진 것입니다. |
for TTL | IPv4 패킷의 TTL이 RFC 5881이 요구하는 255가 아니었음. 잘못된 구성이나 공격 시도(드묾)를 뜻할 수 있습니다. |
IP Reachability Detection 문제 해결
문제 해결은 별도 절의 Trace Options 를 참고하세요.
IPsec Routing
IPsec Routing 은 정적 IPsec Security Association(SA)을 동적 라우팅 프로토콜과 결합 해 구성하는 기능입니다. 정적 SA를 동적 라우팅 프로토콜과 함께 구성하면, Gaia가 라우팅 프로토콜 헤더를 구성된 IPsec 프로토콜의 패킷으로 캡슐화 합니다. 즉 OSPF·BGP를 위한 Route-Based VPN의 VTI와는 다른 차원에서, 라우팅 프로토콜 패킷 자체를 IPsec으로 보호 하는 방식입니다.
IPsec Routing의 이점은 세 가지입니다.
- 데이터 무결성 보호(Data integrity protection)
- 데이터 출처 인증(Data source authentication)
- 데이터 기밀성(Data confidentiality)
R82가 지원하는 IPsec Routing 조합은 다음과 같습니다.
| 프로토콜 범주 | 지원 프로토콜 |
|---|---|
| IPsec | Authentication Header (AH) |
| Dynamic Routing | IPv6 OSPFv3 |
Gaia Portal에서 IPsec Routing 구성
새 Security Association(SA) 구성
- 왼쪽 탐색 트리에서 Advanced Routing > IPsec Routing 을 클릭합니다.
- Security Associations 영역에서 Add 를 클릭합니다.
- 해당 설정을 구성합니다.
- SPI 에 256 ~ 4294967295 사이 숫자 를 입력하거나 선택합니다.
- Integrity Algorithm 에서 알고리즘을 선택하고 해당 해시 키를 입력합니다.
- Save 를 클릭합니다.
- 이 SA를 OSPFv3 인터페이스 설정에서 사용합니다.
- 왼쪽 탐색 트리에서 Advanced Routing > IPv6 OSPF 를 클릭합니다.
- Interfaces 영역에서 인터페이스를 추가하거나 편집합니다.
- Security 에서 IPsec 를 선택합니다.
- Security Association 에서 해당 SA를 선택합니다.
- Save 를 클릭합니다.
자세한 내용은 Configuring IPv6 OSPFv3 Interfaces in Gaia Portal 절을 참고하세요.
기존 SA 편집 — Advanced Routing > IPsec Routing 의 Security Associations 에서 해당 SA를 선택하고 Edit 를 누른 뒤, 설정을 바꾸고 Save 합니다.
기존 SA 삭제 — 먼저 해당 인터페이스의 OSPFv3 설정에서 이 SA를 제거합니다(Configuring IPv6 OSPFv3 Interfaces in Gaia Portal 절 참고). 그런 다음 Advanced Routing > IPsec Routing 의 Security Associations 에서 해당 SA를 선택하고 Delete 를 클릭합니다.
Gaia Clish에서 IPsec Routing 구성
사용할 수 있는 명령을 보려면 다음을 입력합니다.
set ipsec-routing[Esc][Esc]
show ipsec-routing[Esc][Esc]IPsec Routing을 구성한 뒤에는 해당 SA를 OSPFv3 인터페이스 설정에서 사용합니다(Configuring IPv6 OSPFv3 Interfaces in Gaia Clish 절 참고).
전체 구문은 다음과 같습니다.
set ipsec-routing
spi <SPI> ah algorithm {md5 | sha1 | sha256 | sha384 | sha512} key <Key>
off각 파라미터의 뜻은 다음과 같습니다.
| 파라미터 | 설명 | ||||
|---|---|---|---|---|---|
spi <SPI> | 시스템 전체에서 고유한 Security Parameters Index(SPI) 를 구성합니다. 범위: 256-4294967295, 기본값: None. | ||||
| `ah algorithm {md5 \ | sha1 \ | sha256 \ | sha384 \ | sha512}` | IPsec Authentication Header(AH) 알고리즘을 구성합니다. md5=HMAC-MD5-96, sha1=HMAC-SHA1-96, sha256=HMAC-SHA-256-128, sha384=HMAC-SHA-384-192, sha512=HMAC-SHA-512-256. Best Practice — 약한 MD5·SHA1은 쓰지 마세요. |
key <Key> | IPsec Authentication Header 키를 구성합니다. 알고리즘별로 정확한 16진 문자 수가 필요합니다 — MD5는 32자, SHA1은 40자, SHA256은 64자, SHA384는 96자, SHA512는 128자 . | ||||
off | 이 Security Association의 구성을 제거합니다. |
IPsec Routing 모니터링
Gaia Portal 에서 — Advanced Routing > IPsec Routing 으로 간 뒤 오른쪽 위 Monitoring 을 클릭합니다. Statistics 영역에 Authentication Header(AH) 데이터 가 표시됩니다.
Gaia Clish 에서 — 다음 명령으로 봅니다.
show ipsec-routing stats특정 인터페이스의 OSPFv3 보안 설정을 보려면 다음을 실행하고 출력의 Security 절을 확인합니다.
show ipv6 ospf3 interface <Name of Interface> detailed