구성 3: 두 로컬 링크 호스트 간에 IPsec 사용
이 구성은 AH(인증 헤더)와 MD5(메시지 다이제스트 5) 해시 알고리즘을 사용하여 인증을 수행하기 위해 동일한 서브넷의 두 호스트 간에 IPsec SA(보안 연결)를 만듭니다. 이 예제에서 표시된 구성은 링크 로컬 주소 FE80::2AA:FF:FE53:A92C 및 호스트 2를 사용하여 링크-로컬 주소 FE80::2AA:FF:FE92:D0F1을 사용하여 인접한 두 호스트 간의 모든 트래픽을 보호합니다.
두 로컬 링크 호스트 간에 IPsec을 사용하려면
호스트 1에서 ipsec6 c 명령을 사용하여 빈 보안 연결(SAD) 및 SPD(보안 정책) 파일을 만듭니다. 이 예제에서 Ipsec6.exe 명령은 ipsec6 c 테스트입니다. 이렇게 하면 보안 연결(Test.sad) 및 보안 정책(Test.spd)을 수동으로 구성하는 두 개의 파일이 만들어집니다.
호스트 1에서 SPD 파일을 편집하여 호스트 1과 호스트 2 간의 모든 트래픽을 보호하는 보안 정책을 추가합니다.
다음 표에서는 이 예제의 첫 번째 항목 앞에 Test.spd 파일에 추가된 보안 정책을 보여 줍니다(Test.spd 파일의 첫 번째 항목이 수정되지 않음).
SPD 파일 필드 이름 예제 값 정책 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * 프로토콜 * LocalPort * IPSecProtocol AH IPSecMode 전송 RemoteGWIPAddr * SABundleIndex NONE 방향 BIDIRECT 작업 적용 InterfaceIndex 0 이 보안 정책을 구성하는 줄의 끝에 세미콜론을 배치합니다. 정책 항목은 숫자 순서를 줄여야 합니다.
호스트 1에서 SAD 파일을 편집하고 SA 항목을 추가하여 호스트 1과 호스트 2 간의 모든 트래픽을 보호합니다. 호스트 2에 대한 트래픽과 호스트 2의 트래픽에 대해 하나씩 두 개의 보안 연결을 만들어야 합니다.
다음 표에서는 이 예제의 Test.sad 파일에 추가된 첫 번째 SA 항목(호스트 2에 대한 트래픽)을 보여 줍니다.
SAD 파일 필드 이름 예제 값 SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr 정책 SrcIPAddr 정책 프로토콜 정책 DestPort 정책 SrcPort 정책 AuthAlg HMAC-MD5 KeyFile Test.key 방향 아웃 바운드 SecPolicyIndex 2 이 SA를 구성하는 줄의 끝에 세미콜론을 배치합니다.
다음 표에서는 이 예제의 Test.sad 파일에 추가된 두 번째 SA 항목(호스트 2의 트래픽)을 보여 줍니다.
SAD 파일 필드 이름 예제 값 SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr 정책 SrcIPAddr 정책 프로토콜 정책 DestPort 정책 SrcPort 정책 AuthAlg HMAC-MD5 KeyFile Test.key 방향 인바운드 SecPolicyIndex 2 이 SA를 구성하는 줄의 끝에 세미콜론을 배치합니다. SA 항목은 숫자 순서를 줄여야 합니다.
호스트 1에서 호스트 2로 만든 SAS를 인증하는 데 사용되는 텍스트 문자열이 포함된 텍스트 파일을 만듭니다. 이 예제에서 Test.key 파일은 "테스트입니다"라는 내용으로 만들어집니다. ipsec6 도구에서 키를 읽으려면 키 문자열 주위에 큰따옴표를 포함해야 합니다.
Microsoft IPv6 기술 미리 보기는 IPsec SA 인증을 위해 수동으로 구성된 키만 지원합니다. 수동 키는 수동 키의 텍스트 문자열을 포함하는 텍스트 파일을 만들어 구성됩니다. 이 예제에서는 SA에 대해 동일한 키가 양방향으로 사용됩니다. 다른 키 파일을 만들고 SAD 파일의 KeyFile 필드를 사용하여 참조하여 인바운드 및 아웃바운드 SA에 다른 키를 사용할 수 있습니다.
호스트 2에서 ipsec6 c 명령을 사용하여 빈 SAD(보안 연결) 및 SPD(보안 정책) 파일을 만듭니다. 이 예제에서 Ipsec6.exe 명령은 ipsec6 c 테스트입니다. 이렇게 하면 보안 연결(Test.sad) 및 보안 정책(Test.spd)을 수동으로 구성하기 위한 빈 항목이 있는 두 개의 파일이 만들어집니다.
예제를 간소화하기 위해 SAD 및 SPD 파일에 대한 동일한 파일 이름이 호스트 2에서 사용됩니다. 각 호스트에서 다른 파일 이름을 사용하도록 선택할 수 있습니다.
호스트 2에서 SPD 파일을 편집하여 호스트 2와 호스트 1 간의 모든 트래픽을 보호하는 보안 정책을 추가합니다.
다음 표에서는 이 예제의 Test.spd 파일에 대한 첫 번째 항목 앞에 추가된 보안 정책 항목을 보여 줍니다(Test.spd 파일의 첫 번째 항목은 수정되지 않음).
SPD 파일 필드 이름 예제 값 정책 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * 프로토콜 * LocalPort * IPSecProtocol AH IPSecMode 전송 RemoteGWIPAddr * SABundleIndex NONE 방향 BIDIRECT 작업 적용 InterfaceIndex 0 이 보안 정책을 구성하는 줄의 끝에 세미콜론을 배치합니다. 정책 항목은 숫자 순서를 줄여야 합니다.
호스트 2에서 SAD 파일을 편집하고 SA 항목을 추가하여 호스트 2와 호스트 1 간의 모든 트래픽을 보호합니다. 호스트 1에 대한 트래픽과 호스트 1의 트래픽에 대해 하나씩 두 개의 보안 연결을 만들어야 합니다.
다음 표에서는 이 예제의 Test.sad 파일에 추가된 첫 번째 SA(호스트 1의 트래픽)를 보여 줍니다.
SAD 파일 필드 이름 예제 값 SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr 정책 SrcIPAddr 정책 프로토콜 정책 DestPort 정책 SrcPort 정책 AuthAlg HMAC-MD5 KeyFile Test.key 방향 인바운드 SecPolicyIndex 2 이 SA를 구성하는 줄의 끝에 세미콜론을 배치합니다.
다음 표에서는 이 예제의 Test.sad 파일에 추가된 두 번째 SA 항목을 보여 줍니다(호스트 1에 대한 트래픽의 경우).
SAD 파일 필드 이름 예제 값 SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr 정책 SrcIPAddr 정책 프로토콜 정책 DestPort 정책 SrcPort 정책 AuthAlg HMAC-MD5 KeyFile Test.key 방향 아웃 바운드 SecPolicyIndex 2 이 SA를 구성하는 줄의 끝에 세미콜론을 배치합니다. SA 항목은 숫자 순서를 줄여야 합니다.
호스트 2에서 호스트 1로 만든 SAS를 인증하는 데 사용되는 텍스트 문자열이 포함된 텍스트 파일을 만듭니다. 이 예제에서 Test.key 파일은 "This is a test"라는 내용으로 만들어집니다. ipsec6 도구에서 키를 읽으려면 키 문자열 주위에 큰따옴표를 포함해야 합니다.
호스트 1에서 ipsec6 명령을 사용하여 SPD 및 SAD 파일에서 구성된 보안 정책 및 SA를 추가합니다. 이 예제에서는 테스트 명령 ipsec6이 호스트 1에서 실행됩니다.
호스트 2에서 ipsec6 a 명령을 사용하여 SPD 및 SAD 파일에서 구성된 보안 정책 및 SA를 추가합니다. 이 예제에서는 테스트 명령 ipsec6이 호스트 2에서 실행됩니다.
ping6 명령을 사용하여 호스트 2에서 호스트 1을 Ping합니다.
Microsoft 네트워크 모니터 또는 다른 패킷 스니퍼를 사용하여 트래픽을 캡처하는 경우 IPv6 헤더와 ICMPv6 헤더 간에 인증 헤더가 있는 ICMPv6 Echo Request 및 Echo Reply 메시지의 교환이 표시됩니다.
관련 항목