15명령줄·참조명령줄·참조
Site-to-Site VPN을 명령줄로 제어하고 진단하는 도구를 빠짐없이 모았습니다. SmartConsole이 평소의 정책·구성을 맡는다면, 이 장의 명령들은 터널 상태 확인·SA(보안 연관) 조회·터널 강제 재협상·상세 디버그·인증서 관리 같은 운영과 문제 해결을 명령줄에서 직접 해냅니다. VPN 명령은 정보를 보여 주거나, 특정 VPN 서비스를 멈췄다 다시 시작하는 일을 합니다. 모든 VPN 명령은 Security Gateway와 Cluster Member에서 실행하며, 더 자세한 전체 구문은 R82 CLI Reference Guide 와 R82 Remote Access VPN Administration Guide 에 정리되어 있습니다(이 장은 Site-to-Site에 해당하는 핵심을 추려 담았습니다).
CLI 구문 표기법 읽는 법
이 가이드(와 Check Point 문서 전반)는 명령·파라미터·옵션을 가능하면 알파벳 순으로 싣고, 구문을 다음 약속대로 표기합니다. 이걸 알아야 아래의 모든 명령 설명을 정확히 읽을 수 있습니다.
| 표기 | 뜻 | |
|---|---|---|
| TAB(들여쓰기) | 중첩된 하위 명령을 나타냅니다. 들여쓴 줄은 위 명령의 하위 명령입니다. | |
중괄호 { } | 세로줄 `\ | ` 로 구분된 후보 목록. 이 중 하나만 고를 수 있습니다. |
꺾쇠 < > | 변수. 사용자가 지원되는 실제 값을 직접 지정 해야 합니다. | |
대괄호 [ ] | 선택적(optional) 명령·파라미터. 넣어도 되고 안 넣어도 됩니다. |
들여쓰기(TAB) 표기가 헷갈리기 쉬운데, 예를 들어 이렇게 쓰여 있으면:
config
-a <options>
-d <options>
-p
-r
del <options>실제로는 아래 중 하나의 명령을 실행하라는 뜻입니다 — cpwd_admin config -a <options>, cpwd_admin config -d <options>, cpwd_admin config -p, cpwd_admin config -r, 또는 cpwd_admin del <options>.
VPN 데몬을 먼저 이해하기 — vpnd · iked · cccd
ike debug와 vpn debug를 제대로 쓰려면, R81.10부터 서로 다른 데몬이 서로 다른 VPN 연결을 나눠 처리한다는 배경을 알아야 합니다. 어떤 연결이 어느 데몬을 거치느냐에 따라 디버그를 켜는 명령과 로그 파일이 달라지기 때문입니다.
VPN 데몬 vpnd 는 다음 연결을 처리합니다.
- 고정 IP(Statically Assigned IP)를 가진 피어 Security Gateway와의 Site-to-Site 연결
- IPsec가 아닌 모든 Remote Access 클라이언트(SSL Network Extender) 연결
- Multi-Portal 트래픽
vpnd는 Security Gateway에서 다음 포트를 엽니다(수신 대기).
| 용도 | 포트 |
|---|---|
| IKE | 500 (UDP) |
| IKE NAT-T | 4500 (UDP) |
| Tunnel Test | 18234 (UDP) |
| L2TP | 1701 (UDP) |
| Reliable Data Protocol (RDP) | 259 (UDP) |
| Session infrastructure manager | 9996 (TCP) |
vpnd는 FWD 프로세스의 자식 프로세스입니다(Security Gateway의 $FWDIR/conf/fwauthd.conf 파일 참고).
IKE 데몬 iked(R81.10에서 도입)는 다음 연결을 처리합니다.
- IKE Remote Access 클라이언트(예: Endpoint 클라이언트)의 모든 연결
- 동적 IP(DAIP, Dynamically Assigned IP)를 가진 피어 Security Gateway와의 Site-to-Site 연결
- Large Scale VPN(LSV) 연결
- SmartLSM ROBO 게이트웨이에서 오는 연결
iked는 다음 포트 범위를 엽니다.
| 용도 | 포트 범위 |
|---|---|
| IKE | 30500 - 30563 (UDP) |
| IKE NAT-T | 34500 - 34563 (UDP) |
| Tunnel Test | 48234 - 48297 (UDP) |
| Reliable Data Protocol (RDP) | 30259 - 30322 (UDP) |
| L2TP | 31701 - 31764 (UDP) |
iked는 CLI에서 vpn iked 명령으로 다룹니다. R81.20부터 iked 인스턴스는 최대 64개까지 둘 수 있고, 그 개수는 다음 공식으로 계산됩니다.
IKED 인스턴스 수 = (CoreXL Firewall 인스턴스 수) / (커널 파라미터 'ike_num_instances_per_daemon' 값)CCC 데몬 cccd(R81.10에서 도입)는 Circuit Cross-Connect(CCC) 프로토콜을 담당합니다. 이때 같은 클라이언트의 IKE는 iked에서, CCC TLS는 vpnd에서 돌아갑니다. cccd는 CLI에서 vpn cccd 명령으로 다루며, 역시 FWD 프로세스의 자식 프로세스입니다.
IKE 데몬 iked를 끄고 레거시 모드로 돌리기
Security Gateway를 레거시 모드(R81 이하처럼 vpnd가 모든 VPN 연결을 처리)로 돌리려면 IKE 데몬 iked를 비활성화할 수 있습니다. 절차는 다음과 같습니다.
| 단계 | 할 일 |
|---|---|
| 1 | Security Gateway / 각 Cluster Member의 명령줄에 접속합니다. |
| 2 | Expert 모드로 로그인합니다. |
| 3 | 현재 상태를 확인합니다 — vpn iked status |
| 4 | IKE 데몬을 끕니다 — vpn iked disable |
vpn iked status의 출력은 두 가지입니다.
vpn: 'iked' is enabled— IKE 데몬iked가 켜져 있습니다(R81.10 이상의 새 모드, 기본값). 다음 단계로 진행하세요.vpn: 'iked' is disabled—iked가 이미 꺼져 있습니다(R81 이하의 레거시 모드). 할 일이 없습니다.
비활성화했던 iked를 다시 켜려면 vpn iked enable을 실행합니다.
CCC 데몬 cccd를 끄고 레거시 모드로 돌리기
마찬가지로 CCC 데몬 cccd를 끄고 vpnd가 모든 VPN 연결을 처리하는 레거시 모드로 돌릴 수 있습니다.
| 단계 | 할 일 |
|---|---|
| 1 | Security Gateway / 각 Cluster Member의 명령줄에 접속합니다. |
| 2 | Expert 모드로 로그인합니다. |
| 3 | 현재 상태를 확인합니다 — vpn cccd status |
| 4 | CCC 데몬을 끕니다 — vpn cccd disable |
vpn cccd status의 출력도 vpn: 'cccd' is enabled(켜짐, 기본값) 또는 vpn: 'cccd' is disabled(꺼짐, 레거시) 두 가지입니다. 다시 켜려면 vpn cccd enable을 실행합니다. 위 iked와 똑같이, 이 명령들도 fwkern.conf를 수정하고 로컬 정책을 설치하며(SSH 끊김 가능) 재부팅해도 유지됩니다.
ike debug — IKE 데몬 디버그
ike debug 명령은 IKE 데몬 iked가 디버그 메시지를 로그 파일에 쓰도록 지시합니다. 로그는 인스턴스마다 따로 쌓입니다.
| 로그 파일 | 설명 |
|---|---|
$FWDIR/log/iked0.elg · iked1.elg … iked64.elg | 주 디버그 출력 파일 |
$FWDIR/log/iked0.ikev1trace … iked64.ikev1trace | IKEv1 출력 |
$FWDIR/log/iked0.ikev2trace … iked64.ikev2trace | IKEv2 출력 |
IKE 데몬 디버그는 Debug Topic(디버그 주제) 와 Debug Level(디버그 수준) 두 축으로 동작합니다.
- Debug Topic 은 디버그할 특정 영역입니다. 필요한 주제는 Check Point Support가 알려 줍니다.
- Debug Level 은 1(정보 최소)부터 5(정보 최대 — 모든 디버그 메시지 기록)까지입니다.
함께 보면 좋은 명령은 아래 vpn debug 입니다.
ike debug
on [<Debug_Topic>=<Debug_Level>]
off
ikeon [-s <Size_in_MB>]
ikeoff
[-i <IKED Index>] trunc [<Debug_Topic>=<Debug_Level>]
truncon [<Debug_Topic>=<Debug_Level>]
truncoff
timeon [<Seconds>]
timeoff
ikefail [-s <Size_in_MB>]
mon
moff
say ["String"]
tunnel [<Level>]각 파라미터의 뜻은 다음과 같습니다.
| 파라미터 | 설명 |
|---|---|
| (파라미터 없음) | 내장 사용법을 보여 줍니다. |
on | 상위 수준(high level) IKE 디버그를 켭니다. iked<Index>.elg·iked<Index>.ikev1trace·iked<Index>.ikev2trace* 파일에 기록합니다. |
<Debug_Topic>=<Debug_Level> | 디버그 주제와 수준을 지정합니다(Check Point Support가 제공). |
off | 모든 IKE 디버그를 끕니다. |
ikeon [-s <Size_in_MB>] | IKE 트레이스를 켭니다. iked<Index>.elg* 파일에 기록하며, -s로 로그 회전(rotation)을 수행할 파일 크기(MB)를 지정합니다. 로그 회전이란 현재 활성 파일을 닫고 이름을 바꾼 뒤 새 활성 파일을 여는 동작입니다. |
ikeoff | IKE 트레이스를 끕니다(ike debug ikeoff). |
trunc (또는 truncon) | ① iked<Index>.elg 회전 → ② iked<Index>.ikev1trace 회전 → ③ iked<Index>.ikev2trace 회전 → ④ IKE 데몬 디버그 시작. |
truncoff | IKE 데몬 디버그를 멈춥니다. |
timeon [<Seconds>] | 로그 파일에 타임스탬프를 켭니다. 지정한 초마다 타임스탬프를 한 번씩 찍습니다(기본 10초마다). |
timeoff | 일정 초마다 찍던 타임스탬프를 끕니다. |
ikefail [-s <Size_in_MB>] | 실패한 IKE 협상을 기록합니다. -s로 iked<Index>.elg 파일의 로그 회전 크기를 지정합니다. |
mon | IKE Monitor를 켭니다. IKE 패킷을 $FWDIR/log/ikemonitor.snoop 파일에 기록합니다. |
moff | IKE Monitor를 끕니다. |
say "String" | 지정한 텍스트 문자열을 iked<Index>.elg 파일에 씁니다. 예: ike debug say "BEGIN TEST" |
tunnel [<Debug_Level>] | iked<Index>.elg를 회전한 뒤, tunnel·ikev2 두 주제로 디버그를 시작합니다. <Debug_Level>이 2·3·4·5이면 CRLCache 주제도 함께 켭니다. |
-i <IKED Index> 옵션을 붙이면 특정 IKE 데몬 인스턴스만 디버그할 수 있습니다.
반환 값 — 성공은 0, 실패는 그 외 값(보통 -1 또는 1)입니다.
probemon — Network Probe 기반 터널 상태
R82 이상의 Security Gateway에서, probemon은 구성된 Network Probe를 바탕으로 Site-to-Site VPN 터널의 상태를 보여 줍니다(sk181994 참고). 이 명령은 Security Gateway의 Probe Monitor 데몬 probemond 를 제어합니다.
알아 둘 점이 여럿 있습니다.
- 반드시 Expert 모드에서 실행합니다. Scalable Platforms(Maestro·Chassis)에서는 해당 Security Group의 Expert 모드에서 실행합니다.
probemon은 IPv6 터널을 지원하지 않습니다.- Network Probe는 최대 500개까지만 다룹니다.
- ClusterXL에서 Standby 멤버는 spoofed ICMP 프로브를 쓸 때 상태를 "DOWN"으로 보고할 수 있습니다.
probemond데몬은 포트 9877에서probemonCLI나 그 소비자(consumer)의 RPC 요청을 받습니다.$FWDIR/conf/probemond.C파일에서 다른 포트 번호로 바꿀 수 있습니다(데몬 재시작 필요).- 프로빙 방식은 Network Probe 구성에 따라 다음과 같습니다.
- HTTP / HTTPS — Network Probe에 설정한 URL로 요청을 보냅니다. 표준 라우팅과 DNS 조회 구성을 따릅니다.
- ICMP — Direct ICMP 는 설정한 대상 IP/객체로 ICMP 'Echo Request' 패킷을 표준 라우팅 흐름으로 보내고, Spoofed ICMP 는 마치 자신의 인터페이스로 도착한 것처럼 ICMP 패킷을 주입합니다. ICMP 프로빙에서는
probemond가 Direct/Spoofed 방식을 자동 판단합니다.
probemond데몬은 이벤트를$FWDIR/log/probemon.elg*파일에 저장합니다.
probemon [-d]
help
start
status
stop
report [<parameters>]
debug [<parameters>]| 파라미터 | 설명 |
|---|---|
-d | 디버그 모드로 명령을 실행합니다. |
help | 명령과 각 하위 명령의 내장 도움말을 보여 줍니다. |
start | probemond 데몬을 시작합니다(기본 상태). |
status | probemond 데몬의 현재 상태를 보여 줍니다. |
stop | probemond 데몬을 멈춥니다. |
report [<parameters>] | 프로빙 보고서를 보여 줍니다(아래 표 참고). |
debug [<parameters>] | probemond 데몬의 디버그를 제어합니다 — on(시작)·off(중지)·trunc(시작하며 현재 로그 파일 $FWDIR/log/probemon.elg를 자동 회전). |
report에 붙일 수 있는 파라미터는 다음과 같습니다.
| report 파라미터 | 설명 | ||
|---|---|---|---|
essential_only | 핵심(essential) Network Probe만 보고서에 표시합니다. | ||
extended | 보고서에 추가 상세 정보를 표시합니다. | ||
live | CTRL+C를 누를 때까지 실시간으로 움직이는 보고서를 보여 줍니다. | ||
max_elems <Number> | 보고서에 표시할 최대 프로브 개수(페이징용). | ||
offset <Number> | 프로브 목록에서 시작 위치(offset)(페이징용). | ||
| `order {ascending \ | descending}` | 보고서 정렬 순서. | |
probes | 프로브만 표시(통계 제외). | ||
| `sort_by {id \ | status \ | destination}` | 보고서 정렬 기준 열. |
stats | 통계만 표시(모니터링되는 프로브 제외). | ||
| `status_max {up \ | down \ | unknown}` | 프로브 상태의 최대 제약(constraint). |
| `status_min {up \ | down \ | unknown}` | 프로브 상태의 최소 제약. |
상태를 확인한 예시와, 프로브가 하나도 없을 때의 보고서 예시입니다.
[Expert@MyGW:0]# probemon status
Probe monitor daemon has been up and running for: 148h, 14m, 50s.
[Expert@MyGW:0]#[Expert@MyGW:0]# probemon report
Report:
Monitored probes:
No probes.
Statistics:
Probes up: 0
Probes down: 0
Probes with unknown status: 0
Total probes: 0
[Expert@MyGW:0]#vpn — VPN 설정·정보의 중심 명령
vpn 명령은 VPN 설정을 구성하고 VPN 정보를 보여 주는, 이 장의 가장 중심이 되는 명령입니다. 하위 명령이 매우 많습니다.
check_ttm
compreset
compstat
crl_zap
crlview
debug
dll
drv
dump_psk
ipafile_check
ipafile_users_capacity
macutil
mep_refresh
neo_proto
nssm_topology
overlap_encdom
rim_cleanup
rll
set_slim_server
set_snx_encdom_groups
set_trac
shell
show_tcpt
sw_topology
{tunnelutil | tu}
ver| 하위 명령 | 하는 일 | |
|---|---|---|
check_ttm | 지정한 TTM 파일이 유효한지 검사합니다. | |
compreset | 압축·압축 해제 통계 카운터를 초기화합니다. | |
compstat | 압축·압축 해제 통계 카운터를 보여 줍니다. | |
crl_zap | 캐시의 모든 CRL(인증서 폐기 목록)을 지웁니다. | |
crlview | 여러 배포 지점에서 CRL을 가져와 보여 줍니다. | |
debug | vpnd 데몬과 IKE의 디버그를 제어합니다. | |
dll | DNS Lookup Layer를 다룹니다. | |
drv | VPN 커널 모듈을 제어합니다. | |
dump_psk | 피어 사전 공유 키(PSK)의 해시(SHA256)를 보여 줍니다. | |
ipafile_check | $FWDIR/conf/ipassignment.conf 후보 파일을 검증합니다. | |
ipafile_users_capacity | ipassignment.conf의 용량을 조회·설정합니다. | |
macutil | Office Mode Remote Access VPN에서 사용자 이름별 생성된 MAC 주소를 보여 줍니다. | |
mep_refresh | MEP 재결정(re-decision)을 시작합니다. | |
neo_proto | NEO 클라이언트 프로토콜을 제어합니다. | |
nssm_topology | NSSM 형식 토폴로지를 생성해 NSSM 서버에 업로드합니다. | |
overlap_encdom | 겹치는(overlapping) VPN 도메인을 모두 보여 줍니다. | |
rim_cleanup | RIM 경로를 정리합니다. | |
rll | Route Lookup Layer를 다룹니다. | |
set_slim_server | Deprecated(폐기 예정). | |
set_snx_encdom_groups | SSL Network Extender의 사용자 그룹별 암호화 도메인 기능을 제어합니다. | |
set_trac | TRAC 서버를 제어합니다. | |
shell | VPN Command Line Interface(vpn shell)를 엽니다. | |
show_tcpt | Visitor Mode 사용자를 보여 줍니다. | |
sw_topology | UTM-1 Edge / Safe@Office 장치의 토폴로지를 내려받습니다(R82 미지원, 구문만 남김). | |
| `{tunnelutil \ | tu}` | VPN 터널을 제어하는 TunnelUtil 도구를 엽니다. |
ver | VPN 커널 모듈의 주 버전·빌드 번호를 보여 줍니다. |
vpn check_ttm
지정한 TTM 파일이 유효한 구문을 담고 있는지 확인합니다.
vpn check_ttm <Path to TTM file>| 파라미터 | 설명 |
|---|---|
<Path to TTM file> | TTM 파일의 전체 경로와 이름. |
먼저 시스템의 .ttm 파일을 찾은 뒤 검사하는 예시입니다.
[Expert@MyGW:0]# find / -name \*.ttm -type f
/var/opt/CPsuite-R82/fw1/conf/fw_client_1.ttm
/var/opt/CPsuite-R82/fw1/conf/trac_client_1.ttm
... ... ...
[Expert@MyGW:0]# vpn check_ttm /var/opt/CPsuite-R82/fw1/conf/trac_client_1.ttm
Summary for the file: trac_client_1.ttm
result: the file passed the check without any problems
[Expert@MyGW:0]#vpn compreset
압축·압축 해제 통계 카운터를 초기화합니다.
vpn compreset[Expert@MyGW:0]# vpn compreset
Compression statistics were reset.
[Expert@MyGW:0]#vpn compstat
압축·압축 해제 통계 카운터를 보여 줍니다. 압축 전/후 바이트 수, 압축 오버헤드, 압축되지 않은 바이트, 압축 패킷 수, 오류, 순수·실효 압축률 등과, 같은 항목들의 압축 해제 통계를 함께 출력합니다.
vpn compstat[Expert@MyGW:0]# vpn compstat
Compression:
Bytes before compression : 0
Bytes after compression : 0
Compression overhead (bytes) : 0
Compressed packets : 0
Pure compression ratio : 0.000000
Effective compression ratio : 0.000000
Decompression:
Bytes before decompression : 0
Bytes after decompression : 0
Pure decompression ratio : 0.000000
[Expert@MyGW:0]#vpn crl_zap
캐시에서 모든 CRL(Certificate Revocation List)을 지웁니다.
vpn crl_zap반환 값 — 성공은 0, 실패는 그 외 값입니다.
vpn crlview
여러 배포 지점(distribution point)에서 CRL을 가져와 사용자에게 보여 줍니다.
vpn crlview [-d]
-obj <Network Object Name> -cert <Certificate Object Name>
-f <Certificate File>
-view| 파라미터 | 설명 |
|---|---|
-d | 디버그 모드로 실행합니다. 명령 자체를 문제 해결할 때만 쓰세요. |
-obj <Network Object Name> | CA 네트워크 객체의 이름을 지정합니다. |
-cert <Certificate Object Name> | 인증서 객체의 이름을 지정합니다. |
-f <Certificate File> | 인증서 파일의 경로와 이름을 지정합니다. |
-view | CRL을 보여 줍니다. |
반환 값 — 성공은 0, 실패는 그 외 값입니다. 동작 흐름은 세 가지 예시로 보면 명확합니다.
vpn crlview -obj <MyCA> -cert <MyCert>VPN 데몬이 ① MyCA라는 CA에 접속해 MyCert 인증서를 찾고 → ② 인증서에서 배포 지점을 추출한 뒤 → ③ 그 배포 지점(LDAP 또는 HTTP 서버)으로 가서 CRL을 가져오고 → ④ 표준 출력으로 보여 줍니다.
vpn crlview -f /var/log/MyCert이번에는 인증서 파일에서 배포 지점을 추출해 같은 방식으로 CRL을 가져와 보여 줍니다.
vpn crlview -view <Lastest CRL>과거에 이미 CRL을 가져왔다면, 이 명령은 그 내용을 표준 출력에 그대로 보여 줍니다.
vpn debug — VPN 데몬·IKE 디버그
vpn debug는 VPN 데몬 vpnd가 디버그 메시지를 로그 파일에 쓰도록 지시합니다(앞의 "VPN 데몬 이해하기"의 iked·cccd 활성/비활성 절차도 이 명령과 같은 배경을 공유합니다). 로그 파일은 데몬별로 나뉩니다.
| 출력 종류 | VPND 로그 | IKED 로그(인스턴스별) | CCCD 로그 |
|---|---|---|---|
| 주 디버그 출력 | $FWDIR/log/vpnd.elg* | $FWDIR/log/iked0.elg … iked64.elg | $FWDIR/log/cccd.elg |
| IKEv1 출력 | $FWDIR/log/vpnd.ikev1trace | $FWDIR/log/iked0.ikev1trace … iked64.ikev1trace | N / A |
| IKEv2 출력 | $FWDIR/log/vpnd.ikev2trace | $FWDIR/log/iked0.ikev2trace … iked64.ikev2trace | N / A |
vpnd 디버그도 Debug Topic 과 Debug Level(1~5) 로 동작합니다. 예를 들어 Topic이 LDAP이면 VPN 데몬과 LDAP 서버 사이의 모든 트래픽이 로그에 기록됩니다. 자세한 내용은 sk180488을 참고하세요. 함께 보면 좋은 명령은 앞의 ike debug 입니다.
vpn debug
on [<Debug_Topic>=<Debug_Level>]
off
ikeon [-s <Size_in_MB>]
ikeoff
trunc [<Debug_Topic>=<Debug_Level>]
truncon [<Debug_Topic>=<Debug_Level>]
truncoff
timeon [<Seconds>]
timeoff
ikefail [-s <Size_in_MB>]
mon
moff
say ["String"]
tunnel [<Level>]| 파라미터 | 설명 |
|---|---|
| (파라미터 없음) | 내장 사용법을 보여 줍니다. |
on | 상위 수준 VPN 디버그를 켭니다. $FWDIR/log/vpnd.elg* 파일에 기록합니다. iked를 꺼 레거시 모드라면 iked<Index>.ikev1trace·iked<Index>.ikev2trace에도 함께 기록합니다. |
<Debug_Topic>=<Debug_Level> | 디버그 주제와 수준을 지정합니다(Check Point Support 제공). |
off | VPN 디버그를 끕니다(레거시 모드에서는 IKE 디버그도 함께 끔). |
ikeon [-s <Size_in_MB>] | (레거시 모드에서만 적용) IKE 트레이스를 켭니다. iked<Index>.ikev1trace·iked<Index>.ikev2trace에 기록하며, -s로 로그 회전 크기를 지정합니다. |
ikeoff | (레거시 모드에서만 적용) IKE 트레이스를 끕니다(vpn debug ikeoff). |
trunc (또는 truncon) | ① vpnd.elg 회전 → ② (레거시면) iked<Index>.ikev1trace·ikev2trace 자름(truncate) → ③ vpnd 디버그 시작 → ④ (레거시면) IKE 디버그 시작. |
truncoff | VPN 데몬 디버그를 멈춥니다. |
timeon [<Seconds>] | 로그에 타임스탬프를 켭니다. 지정한 초마다 한 번 찍습니다(기본 10초). |
timeoff | 타임스탬프를 끕니다. |
ikefail [-s <Size_in_MB>] | (레거시 모드에서만 적용) 실패한 IKE 협상을 기록합니다. -s로 ikev1trace·ikev2trace의 로그 회전 크기를 지정합니다. |
mon | (레거시 모드에서만 적용) IKE Monitor를 켭니다. IKE 패킷을 $FWDIR/log/ikemonitor.snoop에 기록합니다. |
moff | (레거시 모드에서만 적용) IKE Monitor를 끕니다. |
say "String" | 지정한 문자열을 $FWDIR/log/vpnd.elg에 씁니다. 예: vpn debug say "BEGIN TEST" |
tunnel [<Debug_Level>] | ① vpnd.elg 회전 → ② iked<Index>.ikev1trace 자름 → ③ iked<Index>.ikev2trace 자름 → ④ tunnel·ikev2 두 주제로 디버그 시작(레벨 2~5면 CRLCache도 켬) → ⑤ (레거시면) IKE 디버그 시작. |
반환 값 — 성공은 0, 실패는 그 외 값(보통 -1 또는 1)입니다.
vpn dll
VPN DNS Lookup Layer 를 다룹니다 — 정보를 파일로 저장하거나, 호스트 이름을 해석(resolve)합니다.
vpn dll
dump <File>
resolve <HostName>| 파라미터 | 설명 |
|---|---|
dump <File> | DNS Lookup Layer 정보(DNS 이름과 IP 주소)를 지정한 파일에 저장합니다. |
resolve <HostName> | 지정한 호스트 이름을 해석합니다. 마지막으로 지정한 호스트 이름은 $FWDIR/tmp/vpnd_cmd.tmp에 저장됩니다. |
vpn drv
VPN 커널 모듈을 제어합니다.
vpn drv {off | on | stat}| 파라미터 | 설명 |
|---|---|
off | VPN 커널 모듈을 멈춥니다. |
on | VPN 커널 모듈을 시작합니다. |
stat | VPN 커널 모듈의 현재 상태를 보여 줍니다. |
[Expert@MyGW:0]# vpn drv stat
VPN-1 module active
[Expert@MyGW:0]#vpn dump_psk
피어의 사전 공유 키(pre-shared-key)의 해시(SHA256)를 보여 줍니다.
vpn dump_pskvpn ipafile_check
$FWDIR/conf/ipassignment.conf 파일의 후보(candidate)를 검증합니다.
vpn ipafile_check <File> [{err | warn | detail}] [verify_group_names]| 파라미터 | 설명 | ||
|---|---|---|---|
<File> | 후보 파일의 전체 경로와 이름. | ||
| `{err \ | warn \ | detail}` | 보여 줄 정보량 — err(오류만)·warn(경고만)·detail(모든 상세). |
verify_group_names | 그룹 이름을 검사합니다. |
vpn ipafile_users_capacity
$FWDIR/conf/ipassignment.conf 파일의 용량(저장할 수 있는 사용자 수)을 조회·설정합니다.
vpn ipafile_users_capacity get
vpn ipafile_users_capacity set <128-32768>| 파라미터 | 설명 |
|---|---|
get | 현재 용량을 보여 줍니다. |
set <128-32768> | 새 용량을 지정한 사용자 수로 설정합니다. |
[Expert@MyGW:0]# vpn ipafile_users_capacity get
The gateway can currently read 1024 users from the ipassignment.conf file
[Expert@MyGW:0]#vpn macutil
Office Mode Remote Access VPN을 쓸 때, 사용자 이름마다 생성된 MAC 주소를 보여 줍니다. DHCP로 IP 주소를 할당할 때만 쓸 수 있습니다. Office Mode 사용자는 하드웨어(MAC) 주소에 매핑된 IP 주소를 받습니다.
vpn macutil <username># vpn macutil John
20-0C-EB-26-80-7D, "John"vpn mep_refresh
MEP 재결정(re-decision)을 시작합니다. "backup stickiness" 구성에서 MEP 재결정을 일으켜, 가능하면 기본(primary) Security Gateway로 다시 돌아가도록(fail back) 할 때 씁니다.
vpn mep_refreshvpn neo_proto
NEO 클라이언트 프로토콜을 제어합니다.
vpn neo_proto {off | on}| 파라미터 | 설명 |
|---|---|
off | NEO 클라이언트 프로토콜을 끕니다. |
on | NEO 클라이언트 프로토콜을 켭니다. |
vpn nssm_topology
NSSM 형식의 토폴로지를 생성해 NSSM 서버에 업로드합니다.
vpn nssm_topology -url <"url"> -dn <"dn"> -name <"name"> -pass <"password"> [-action {bypass | drop}] [-print_xml]| 파라미터 | 설명 | |
|---|---|---|
-url <"url"> | NSSM 서버의 URL. | |
-dn <"dn"> | NSSM 서버의 Distinguished Name(SSL 연결 수립에 필요). | |
-name <"name"> | NSSM 서버의 유효한 로그인 이름. | |
-pass <"password"> | NSSM 서버의 유효한 암호. | |
| `-action {bypass \ | drop}` | 패킷이 VPN 도메인의 IP가 아닐 때 Symbian 클라이언트가 취할 동작. 기본은 bypass. |
-print_xml | 토폴로지를 XML 형식 파일로 씁니다. |
vpn overlap_encdom
겹치는(overlapping) VPN 도메인을 모두 보여 줍니다. 어떤 IP 주소가 두 개 이상의 VPN 도메인에 속할 수 있는데, 다음 중 하나라도 해당하면 이 명령이 경고합니다 — ① 두 Security Gateway에 같은 VPN 도메인이 정의됨, ② Security Gateway에 인터페이스가 여러 개인데 그중 하나 이상이 같은 IP 주소·넷마스크를 가짐.
vpn overlap_encdom [communities | traditional]| 파라미터 | 설명 |
|---|---|
communities | VPN 도메인이 겹치는 객체 쌍을, 두 객체가 같은 VPN 커뮤니티에 포함된 경우에만 보여 줍니다. 같은 목적지 IP에 둘 이상의 VPN 커뮤니티로 도달할 수 있을 때도 쓰입니다. |
traditional | 기본 파라미터. VPN 도메인이 겹치는 모든 객체 쌍을 보여 줍니다. |
# vpn overlap_encdom communities
The objects Paris and London have overlapping encryption domains.
The overlapping domain is:
10.8.8.1 - 10.8.8.1
10.10.8.0 - 10.10.9.255
- This overlapping encryption domain generates a multiple entry points configuration in
MyIntranet and RemoteAccess communities.
- Same destination address can be reached in more than one community (Meshed, Star). This
configuration is not supported.vpn rim_cleanup
RIM 경로를 정리(clean)합니다.
vpn rim_cleanupvpn rll
VPN Route Lookup Layer 를 제어합니다 — 정보를 파일로 저장하거나, 라우팅 테이블을 동기화합니다.
vpn rll
dump <File>
sync| 파라미터 | 설명 |
|---|---|
dump <File> | Route Lookup Layer 정보를 파일에 저장합니다 — ISP Redundancy 기본 경로(Next Hop·Interface·Metric), Route Shadow(Interface·Metric, IP/Mask, Next Hop), 모니터링 IP 주소(Data, IP/Mask). |
sync | 라우팅 테이블을 동기화합니다. |
vpn set_slim_server
Deprecated(폐기 예정). $FWDIR/conf/slim.conf 파일을 삭제하고, SSL Network Extender는 Management Server에서 구성하세요. slim.conf 파일이 남아 있는 한, 이 파일이 Management Server의 설정을 덮어씁니다.
vpn set_snx_encdom_groups
SSL Network Extender의 사용자 그룹별 암호화 도메인(encryption domain per usergroup) 기능을 제어합니다.
vpn set_snx_encdom_groups
off
on| 파라미터 | 설명 |
|---|---|
off | 사용자 그룹별 암호화 도메인 기능을 끕니다. |
on | 사용자 그룹별 암호화 도메인 기능을 켭니다. |
vpn set_trac
TRAC 서버를 제어합니다.
vpn set_trac
disable
enable| 파라미터 | 설명 |
|---|---|
disable | TRAC 서버를 끕니다. |
enable | TRAC 서버를 켭니다. |
[Expert@MyGW:0]# vpn set_trac enable
Trac client enabled, Install Policy for this change to take effect
[Expert@MyGW:0]# vpn set_trac disable
Trac client disabled, Install Policy for this change to take effect
[Expert@MyGW:0]#vpn shell — VPN 명령줄 인터페이스
vpn shell은 대화형 VPN 명령줄 인터페이스를 엽니다. IPv4는 vpn shell, IPv6는 vpn6 shell로 진입합니다.
vpn shell진입하면 다음과 같은 메뉴가 뜹니다.
[Expert@MyGW:0]# vpn shell
? - This help
.. - Go up one level
quit - Quit
[interface] - Manipulate tunnel interfaces
[show] - Show internal data
[tunnels] - Manipulate tunnel data
[license] - Display SCM licenses
VPN shell:[/] >메뉴의 주요 옵션은 다음과 같습니다.
| 옵션 | 설명 |
|---|---|
? | 현재 메뉴 단계에서 쓸 수 있는 고급 명령을 보여 줍니다. |
.. | 메뉴 한 단계 위로 올라갑니다. |
quit | VPN shell을 빠져나갑니다(메인 단계에서만 가능). |
interface | (Gaia OS에서 deprecated) 터널 인터페이스 다루기. Gaia Portal 옵션이나 Gaia Clish 명령을 쓰세요(R82 Gaia Administration Guide 참고). |
show | 내부 데이터를 보여 줍니다. show > interface(인터페이스, Gaia OS에서 deprecated)와 show > tunnels(SA 보기)가 있습니다. |
tunnels | SA를 보고(show) 삭제(delete)합니다. |
license | SecureClient Mobile(SCM) 라이선스를 보여 줍니다. |
show > tunnels 와 tunnels > show 의 하위 옵션은 vpn tu 메뉴·vpn tu list 명령과 똑같은 동작을 합니다.
| vpn shell 옵션 | 같은 동작 |
|---|---|
show/tunnels > tunnels > IKE > all | vpn tu 메뉴 (1) List all IKE SAs · vpn tu [-w] list ike |
show/tunnels > tunnels > IKE > peer <IP> | vpn tu 메뉴 (3) · vpn tu [-w] list peer_ike <IP> |
show/tunnels > tunnels > IPsec > all | vpn tu 메뉴 (2) · vpn tu [-w] list ipsec |
show/tunnels > tunnels > IPsec > peer <IP> | vpn tu 메뉴 (4) · vpn tu [-w] list peer_ipsec <IP> |
tunnels > delete 의 하위 옵션으로 SA를 삭제합니다.
| vpn shell 삭제 옵션 | 같은 동작 |
|---|---|
tunnels > delete > IKE > peer <IP> | 지정한 피어의 모든 IKE 삭제 |
tunnels > delete > IKE > user <Username> | 지정한 사용자의 모든 IKE 삭제 |
tunnels > delete > IKE > all (또는 delete > all > IKE) | 모든 피어·사용자의 IKE SA 삭제 |
tunnels > delete > IPsec > peer <IP> | vpn tu 메뉴 (5) · vpn tu [-w] del ipsec <IP> |
tunnels > delete > IPsec > user <Username> | vpn tu 메뉴 (6) · vpn tu [-w] del ipsec <IP> <Username> |
tunnels > delete > IPsec > all (또는 delete > all > IPsec) | vpn tu 메뉴 (9) · vpn tu [-w] del ipsec all |
license 하위에는 license > scm > status(SCM 라이선스 현재 상태)와 license > scm > list(SCM 라이선스 장치 목록)가 있습니다.
vpn show_tcpt
Visitor Mode로 연결된 사용자를 보여 줍니다.
vpn show_tcptvpn sw_topology
UTM-1 Edge / Safe@Office 장치의 토폴로지를 내려받습니다.
vpn [-d] sw_toplogy -dir <directory> -name <name> -profile <profile> [-filename <filename>]| 파라미터 | 설명 |
|---|---|
-d | 디버그 모드로 실행합니다(명령 자체 문제 해결 시). 출력은 파일로 리디렉션하거나 script로 저장하길 권장합니다. |
-dir <directory> | 파일을 내보낼 출력 디렉터리. |
-name <name> | 원격 클라이언트에 표시될 사이트의 별명(nickname). |
-profile <profile> | 토폴로지를 만들 UTM-1 Edge / Safe@Office 프로파일 이름. |
-filename <filename> | 출력 파일의 이름. |
vpn tu — TunnelUtil(터널 제어 도구)
vpn tu(또는 vpn tunnelutil)는 VPN 터널을 제어하는 TunnelUtil 도구를 엽니다. 일상적인 터널 진단에서 가장 자주 쓰는 도구입니다.
vpn tu
vpn tunnelutil실행하면 번호로 고르는 메뉴가 뜹니다.
[Expert@MyGW:0]# vpn tu
Select Option
(1) List all IKE SAs
(2) * List all IPsec SAs
(3) List all IKE SAs for a given peer (GW)
(4) * List all IPsec SAs for a given peer (GW)
(5) Delete all IPsec SAs for a given peer (GW)
(6) Delete all IPsec SAs for a given User (Client)
(7) Delete all IPsec+IKE SAs for a given peer (GW)
(8) Delete all IPsec+IKE SAs for a given User (Client)
(9) Delete all IPsec SAs for ALL peers
(0) Delete all IPsec+IKE SAs for ALL peers
* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.
(Q) Quit* 표시가 붙은 항목은 -i <instance number>를 덧붙여 특정 CoreXL 인스턴스의 데이터만 볼 수 있습니다.
메뉴 대신 명령줄에서 바로 쓰는 고급 구문도 있습니다.
vpn tu
help
del <options>
list <options>
mstats
tlist <options>| 파라미터 | 설명 |
|---|---|
help | 쓸 수 있는 고급 명령을 보여 줍니다. |
del <options> | IPsec·IKE SA를 삭제합니다. |
list <options> | IPsec·IKE SA를 보여 줍니다. |
mstats | CoreXL Firewall 인스턴스 사이의 VPN 터널(SPI) 분포를 보여 줍니다. |
tlist <options> | VPN 터널 정보를 보여 줍니다. |
vpn tu del
IPsec SA와 IKE SA를 삭제합니다. IPv4와 IPv6 구문이 조금 다릅니다.
# IPv4
vpn tu [-w] del
all
ipsec
all
<IPv4 Address>
<IPv4 Address> <Username>
<IPv4 Address>
<IPv4 Address> <Username>
# IPv6
vpn tu [-w] del
all
ipsec
all
<IPv6 Address>
<IPv6 Address>
<IPv6 Address> <Username>| 파라미터 | 설명 |
|---|---|
-w | 화면에 여러 경고를 표시합니다. |
all | 모든 피어·사용자의 IPsec SA와 IKE SA를 모두 삭제합니다(메뉴 (0)과 동일, vpn shell의 delete > all > IKE·delete > all > IPsec와 동일). |
ipsec all | 모든 피어·사용자의 IPsec SA를 삭제합니다(메뉴 (9), vpn shell delete > all > IPsec와 동일). |
ipsec <IP Address> | 지정한 피어의 IPsec SA를 삭제합니다(메뉴 (5), vpn shell delete > IPsec > peer <IP>와 동일). |
ipsec <IPv4 Address> <Username> | 지정한 피어·사용자의 IPsec SA를 삭제합니다(메뉴 (6), vpn shell delete > IPsec > user <Username>와 동일). IPv6 주소는 지원하지 않습니다. |
<IP Address> | 지정한 피어의 IPsec SA와 IKE SA를 모두 삭제합니다(메뉴 (7)). |
<IP Address> <Username> | 지정한 피어·사용자의 IPsec SA와 IKE SA를 모두 삭제합니다(메뉴 (8)). |
vpn tu list
IPsec SA와 IKE SA를 보여 줍니다. IPv4·IPv6 구문이 같습니다.
vpn tu [-w] list
ike
ipsec
peer_ike <IP Address>
peer_ipsec <IP Address>
tunnels| 파라미터 | 설명 |
|---|---|
-w | 화면에 여러 경고를 표시합니다. |
ike | 모든 IKE SA를 보여 줍니다(메뉴 (1), vpn shell show/tunnels > IKE > all과 동일). |
ipsec | 모든 IPsec SA를 보여 줍니다(메뉴 (2), vpn shell ... IPsec > all과 동일). |
peer_ike <IP Address> | 지정한 피어의 모든 IKE SA를 보여 줍니다(메뉴 (3), vpn shell ... IKE > peer <IP>와 동일). |
peer_ipsec <IP Address> | 지정한 피어의 모든 IPsec SA를 보여 줍니다(메뉴 (4), vpn shell ... IPsec > peer <IP>와 동일). |
tunnels | VPN 터널 정보를 보여 줍니다(아래 vpn tu tlist 함께 참고). |
vpn tu mstats
CoreXL Firewall 인스턴스 사이의 VPN 트래픽 분포를 보여 줍니다(sk118097 — MultiCore Support for IPsec VPN 참고). IPv4는 vpn tu [-w] mstats, IPv6는 vpn6 tu [-w] mstats입니다. -w는 화면에 여러 경고를 표시합니다.
[Expert@MyGW:0]# vpn tu mstats
Instance# # of inSPIs # of outSPIs
0 182 170
1 184 176
...
9 199 187
-----------------------------------------
Summary: 1940 1803
[Expert@MyGW:0]#[Expert@MyGW:0]# vpn6 tu mstats
Instance# # of inSPIs # of outSPIs
0 238 228
1 224 214
-----------------------------------------
Summary: 462 442
[Expert@MyGW:0]#vpn tu tlist
VPN 터널 정보를 보여 줍니다. IPv4는 vpn tu, IPv6는 vpn6 tu로 시작합니다.
vpn tu [-w] tlist
{-h | -help}
[clear]
[start]
[state]
[stop]
[<Sort Options>]| 파라미터 | 설명 | |
|---|---|---|
-w | 화면에 여러 경고를 표시합니다. | |
| `-h \ | -help` | 내장 사용법을 보여 줍니다. |
clear | Tunnel List 볼륨 통계를 지웁니다. | |
start | Tunnel List 볼륨 통계를 켭니다. | |
state | Tunnel List 볼륨 통계의 현재 상태를 보여 줍니다. | |
stop | Tunnel List 볼륨 통계를 끕니다. |
<Sort Options>(정렬 옵션)는 다음과 같습니다.
| 정렬 옵션 | 설명 |
|---|---|
-b | 총(암호화+복호화) 바이트 기준 정렬. |
-d | 인바운드(복호화) 바이트 기준 정렬. |
-e | 아웃바운드(암호화) 바이트 기준 정렬. |
-i | CoreXL Firewall 인스턴스별 행을 누적 트래픽으로 합칩니다. 기본은 총 바이트 내림차순. |
-m | MSPI 기준 정렬. |
-n | VPN 피어 이름 기준 정렬. |
-p <IP Address> | 지정한 IP 주소의 VPN 피어 터널만 보여 줍니다. |
-r | 역순 정렬. |
-s | SPI 기준 정렬. |
-t | VPN 피어별 행을 누적 트래픽으로 합칩니다. 기본은 총 바이트 내림차순. |
-v | Verbose 모드 — 각 옵션마다 헤더 메시지를 출력합니다. |
정렬 옵션을 여러 개 줄 때는 공백으로 띄우거나(-v -t -b -r) 붙여서(-vtbr) 쓸 수 있습니다.
출력은 터널 표 + 아래쪽 카운터 형태입니다. 표의 각 행은 한 VPN 피어의 정보를 담으며, 세 열로 나뉩니다.
왼쪽 열 에 나타날 수 있는 필드입니다.
| 필드 | 설명 |
|---|---|
Peer: [IP ADDRESS] | VPN 터널로 게이트웨이와 통신하는 원격 피어의 IP 주소. |
Client public IP | Remote Access 터널에서, Remote Access 클라이언트의 공인 IP 주소. |
Authenticated at | 게이트웨이가 Remote Access 클라이언트와 터널 수립을 끝낸 날짜·시각. |
Methods | 터널에 구성된 암호화 방식. 예 — 터널 종류(SSL·ESP), 암호화(3DES·AES-128), 무결성 알고리즘(MD5·SHA1). |
My TS | Traffic Selector — 게이트웨이 뒤편에서 터널을 통과하는 트래픽의 목적지가 될 수 있는 서브넷·서브넷 일부·단일 IP. |
Peer TS | Peer Traffic Selector — Site-to-Site에서는 피어 뒤편의 목적지 서브넷 등, Remote Access에서는 연결된 컴퓨터의 IP 주소. |
User | Remote Access 터널에서 원격 사용자의 사용자 이름. |
MSPI | 아래 지표 값 표 참고. |
Tunnel created | 연결돼 있으면 터널이 생성된 날짜·시각(끊겨 있으면 값 없음). |
Tunnel expiration | 연결돼 있으면 터널이 만료될 날짜·시각(끊겨 있으면 값 없음). |
MSPI 줄에 함께 나오는 지표(indicator) 값의 뜻입니다.
| 지표 값 | 설명 |
|---|---|
Hash [STRING] | 게이트웨이로 가는 터널의 고유 지표. 피어가 클러스터면 멤버마다 자기 해시를 가집니다. |
i [INTEGER] | 터널이 열린 방화벽 인스턴스 번호. |
- | 터널이 가속되지 않음(not accelerated). |
p [INTEGER] | 터널이 가속됨. 숫자는 터널을 처리하는 PPAC. |
d [INTEGER] | 터널 트래픽을 처리하는 IKE 데몬 번호. |
가운데 열 에 나타날 수 있는 필드입니다.
| 필드 | 설명 |
|---|---|
MSA [HASH ID] | Security Association의 고유 해시 ID. |
IPsec / SSL | 터널 종류가 IPsec / SSL임을 나타냅니다. |
No outbound SPI | 아웃바운드 트래픽용 SPI(Security Parameter Index)가 없습니다. |
Connected | 게이트웨이가 이 터널의 암호화 키를 가지고 있습니다. |
Disconnected | 게이트웨이가 암호화 키를 가지고 있지 않습니다. |
오른쪽 열 에 나타날 수 있는 필드입니다.
| 필드 | 설명 |
|---|---|
i [INTEGER] | 터널이 열린 방화벽 인스턴스 번호. |
ref [INTEGER] | 그 방화벽 인스턴스가 처리하는 연결 수. |
-- [INTEGER]/[INTEGER] | 터널이 끊긴 상태에서 종료/재수립까지의 카운트다운. 슬래시 앞은 0까지 남은 초, 뒤는 카운트다운 총 길이. 예: ref: --57/60이면 끊긴 상태에서 60초 카운트다운 중 57초 남음. |
표 아래에는 카운터 가 두 묶음 나옵니다. "Site-to-Site tunnels are up:" 아래에는 연결된 Site-to-Site 터널 수가, "Number of Active Clients:" 아래에는 모드별 Remote Access 클라이언트 수가 나옵니다.
| 위치 | 필드 | 설명 |
|---|---|---|
| Site-to-Site tunnels are up | IPsec | 연결된 IPsec 종류 Site-to-Site 터널 수. |
| Site-to-Site tunnels are up | NAT-T | 연결된 NAT-T 종류 Site-to-Site 터널 수. |
| Number of Active Clients | NAT-T | NAT-T 모드로 연결된 Remote Access 클라이언트 수. |
| Number of Active Clients | Visitor Mode | Visitor Mode로 연결된 클라이언트 수. |
| Number of Active Clients | SSL | SSL 모드로 연결된 클라이언트 수. |
| Number of Active Clients | L2TP | L2TP 모드로 연결된 클라이언트 수. |
| Number of Active Clients | strongSwan | strongSwan 모드로 연결된 클라이언트 수. |
vpn ver
VPN 커널 모듈의 주 버전 번호와 빌드 번호를 보여 줍니다.
vpn ver [-k] [-f <filename>]| 파라미터 | 설명 |
|---|---|
-k | 버전 이름·빌드 번호와 함께 커널 빌드 번호도 보여 줍니다. |
-f | 정보를 지정한 텍스트 파일로 저장합니다. |
[Expert@MyGW:0]# vpn ver -k
This is Check Point VPN-1(TM) R82 - Build 123
kernel: R82 - Build 456
[Expert@MyGW:0]#mcc — Multi-Certificate CA 관리
mcc(VPN Multi-Certificate CA) 명령은 Security Management Server 또는 Domain Management Server에서 인증서와 인증 기관(CA)을 관리합니다 — CA 보기, 인증서 보기·추가·삭제.
실행 전에 꼭 지킬 점이 있습니다.
- 명령을 실행하기 전에 모든 SmartConsole·Database Tool(GuiDBEdit)·
dbedit클라이언트를 닫아 관리 데이터베이스가 잠기는 것을 막아야 합니다(sk13301 참고). 예외는mcc lca·mcc show명령뿐입니다. mcc명령은cpca프로세스가 떠 있어야 동작합니다. 확인:ps auxw | egrep "cpca|COMMAND"- Multi-Domain Server에서는 해당 Domain Management Server의 컨텍스트에서 실행해야 합니다:
mdsenv <IP Address or Name of Domain Management Server>
-h
add <options>
add2main <options>
del <options>
lca
main2add <options>
show <options>| 파라미터 | 설명 |
|---|---|
-h | 내장 사용법을 보여 줍니다. |
add <options> | 인증서를 추가합니다. |
add2main <options> | 추가 인증서를 주 인증서로 승격합니다. |
del <options> | 인증서를 삭제합니다. |
lca | 인증 기관(CA)을 보여 줍니다. |
main2add <options> | 주 인증서를 추가 인증서로 복사합니다. |
show <options> | 인증서를 보여 줍니다. |
mcc add
DER 형식으로 파일에 저장된 인증서를, 지정한 CA의 추가(additional) 인증서로 더합니다. 새 인증서는 기존 최대 인덱스보다 1 큰 인덱스 번호를 받습니다.
mcc add <CA Name> <Certificate File>| 파라미터 | 설명 |
|---|---|
<CA Name> | Management Server 데이터베이스에 정의된 CA의 이름. |
<Certificate File> | 인증서 파일의 경로와 이름. |
mcc add2main
지정한 CA의 지정한 인덱스 번호의 추가 인증서를 주(main) 위치로 복사하고, 이전 주 인증서를 덮어씁니다.
mcc add2main <CA Name> <Certificate Index Number>| 파라미터 | 설명 |
|---|---|
<CA Name> | Management Server 데이터베이스에 정의된 CA의 이름. |
<Certificate Index Number> | 인증서 인덱스 번호. |
mcc del
지정한 CA에서 지정한 인덱스 번호의 추가 인증서를 제거합니다. 그보다 큰 인덱스 번호(다른 추가 인증서)는 1씩 줄어듭니다.
mcc del <CA Name> <Certificate Index Number>| 파라미터 | 설명 |
|---|---|
<CA Name> | Management Server 데이터베이스에 정의된 CA의 이름. |
<Certificate Index Number> | 인증서 인덱스 번호. |
mcc lca
Management Server 데이터베이스에 정의된 모든 CA를, 각 CA의 추가 인증서 개수와 함께 보여 줍니다.
mcc lca[Expert@MGMT:0]# mcc lca
MCC: Here is a list of the CAs, with the number of additional CA certificates
1. internal_ca (0)
[Expert@MGMT:0]#mcc main2add
지정한 CA의 주 인증서를 추가 위치로 복사합니다. 복사된 인증서는 기존 최대 인덱스보다 1 큰 인덱스 번호를 받습니다.
mcc main2add <CA Name>| 파라미터 | 설명 |
|---|---|
<CA Name> | Management Server 데이터베이스에 정의된 CA의 이름. |
mcc show
지정한 CA의 지정한 인증서 상세 정보를 보여 줍니다.
mcc show <CA Name> [<Certificate Index Number>]| 파라미터 | 설명 |
|---|---|
<CA Name> | Management Server 데이터베이스에 정의된 CA의 이름. |
<Certificate Index Number> | (선택) 인증서 인덱스 번호. CA의 주 인증서를 보려면 이 파라미터를 생략합니다. |
"internal_ca"의 주 인증서를 본 예시입니다(공개 키 Modulus·Exponent, X509 버전, Serial Number, Issuer·Subject, 유효 기간, 서명 알고리즘, Key Usage 등 확장 정보가 출력됩니다).
[Expert@MGMT:0]# mcc show internal_ca
PubKey:
Exponent: 65537 (0x10001)
X509 Certificate Version 3
Serial Number: 1
Issuer: O=MyServer.checkpoint.com.s6t98x
Subject: O=MyServer.checkpoint.com.s6t98x
Not valid before: Sun Apr 8 13:41:00 2018 Local Time
Not valid after: Fri Jan 1 05:14:07 2038 Local Time
Signature Algorithm: RSA with SHA-256 Public key: RSA (2048 bits)
Extensions:
Key Usage: digitalSignature keyCertSign cRLSign
Basic Constraint (Critical): is CA
[Expert@MGMT:0]#커널 파라미터·커널 디버그 다루기
원문 끝에는 다른 가이드와 마찬가지로 Working with Kernel Parameters(커널 파라미터 다루기)와 Kernel Debug(커널 디버그) 절이 있습니다. 이 두 주제는 모두 Security Gateway 가이드의 공통 내용을 가리키므로, 자세한 절차는 그쪽을 참고하세요.
- Working with Kernel Parameters → R82 Quantum Security Gateway Guide 의 "Working with Kernel Parameters" 장
- Kernel Debug → R82 Quantum Security Gateway Guide 의 "Kernel Debug on Security Gateway" 장
같은 주제를 쉬운 한국어로 푼 설명은 Security Gateway 가이드의 명령줄·커널 참조에 정리되어 있습니다.
부록 — VPN 커뮤니티별 세부 설정 덮어쓰기
SmartConsole의 Global properties에서 구성하는 많은 전역 VPN 설정은 기본적으로 관리되는 모든 Security Gateway에 적용됩니다. 그런데 특정 VPN 커뮤니티에 대해서만 이 전역 설정을 덮어쓸(override) 수 있습니다. 덮어쓸 수 있는 항목은 두 가지입니다 — life sign 패킷 전송 간격(초) 과, 동시에 일어나는 IKE 협상의 최대 개수 입니다.
이 작업은 Database Tool(GuiDBEdit Tool) 에서 직접 속성을 고치는 방식입니다. 절차는 다음과 같습니다.
- Security Management Server / 해당 Domain Management Server를 백업합니다(sk108902 — Best Practices Backup on Gaia OS, sk91400 — System Backup and Restore, sk98153 — Endpoint Security Management Server 스냅샷 참고).
- 모든 SmartConsole 창을 닫습니다.
- Database Tool(GuiDBEdit)로 해당 서버에 접속합니다.
- 왼쪽 위 창에서 Tables > Managed Objects > Communities 를 클릭합니다.
- 오른쪽 위 창에서 해당 VPN 커뮤니티를 선택합니다.
- CTRL+F(또는 Search > Find)를 누릅니다.
- 해당 속성(attribute) 이름을 입력합니다(아래 표 참고).
- Find Next 를 클릭합니다.
- 아래쪽 창에서 속성 이름을 오른쪽 클릭합니다.
- Edit 를 선택합니다.
- 적용할 값을 설정합니다.
- OK 를 클릭합니다.
- 변경을 저장합니다 — File > Save All.
- Database Tool(GuiDBEdit)을 닫습니다.
- SmartConsole로 해당 서버에 접속합니다.
- 이 VPN 커뮤니티에 참여하는 모든 Security Gateway·Cluster 객체에 Access Control 정책을 설치합니다.
고칠 수 있는 속성과 유효 값은 다음과 같습니다.
| VPN 기능 | 속성(Attribute) | 유효 값 | 설명 |
|---|---|---|---|
| Dead Peer Detection (DPD) | life_sign_timeout | 범위 5~3600초, 기본 40초 | VPN 커뮤니티의 DPD 타임아웃을 제어합니다. |
| Dead Peer Detection (DPD) | life_sign_transmitter_interval | 범위 5~600초, 기본 10초 | VPN 커뮤니티의 DPD 전송 간격을 제어합니다. |
| Dead Peer Detection (DPD) | override_global_settings_for_life_sign_intervals | true / false, 기본 false | life sign 간격의 전역 설정을 덮어쓸지 여부. |
| IKE Negotiations | max_negotiations | 범위 1~10000, 기본 10000 | VPN 커뮤니티의 IKE 협상 개수를 제어합니다. 느린 WAN 링크에서 부트 스톰(boot-storm) 상황을 견디도록 돕습니다. 새 IKE/IPsec(IKEv1·IKEv2) 협상이 시작되면 설정한 임계값에 따라 허용·거부합니다. DPD 같은 IKE 정보 패킷은 협상으로 세지 않습니다. |
| IKE Negotiations | override_max_concurrent_ike_negotiation | true / false, 기본 false | 커뮤니티별 동시 IKE 협상 최대 개수의 덮어쓰기 여부. |