【注意】
F60/F200/F2200의 경우 오류 수정으로 인한 펌웨어 버전 수에는 제한이 있으므로 믹스에서 수정 전후에 버전을 사용하지 않도록주의하십시오.
사전 수정 된 버전에서 MPSA 클라이언트는 서버에서 알리는 PRF (Pseudo-Random 함수)가 아닌 ESP 인증 알고리즘을 PRF로 사용했습니다.

                                                                                                   
F60 V01.10 (00) 또는 이전 V01.10 (00) 이상
F200 V01.16 (00) 또는 이전 V01.16 (00) 이상
F2200 V01.02 (00) 또는 이전 V01.02 (00) 이후

Multipoint SA는 저렴한 비용으로 위치 간의 저도 암호화 통신을 가능하게하는 기능입니다.

• 중심 부하가 낮고 대기 시간이 낮은 사이트 간의 저렴한 암호화 통신 달성
• 베이스를 추가하거나 삭제할 때 기존베이스의 설정을 변경할 필요가 없습니다
• 각 위치 간의 전체 메쉬 통신은 각 SA를 생성하지 않고 단일 멀티 포인트 SA를 사용하여 만들 수 있습니다
• 모든 기본 경로는 BGP를 사용하여 Golden Week에서 CPE로 광고됩니다. 각 위치의 WAN 주소를 변경할 때마다 자동으로 추적 할 수 있습니다.

다중 포인트 SA는 무엇입니까

• 메쉬 유형 및 별 유형의 기능을 사용하는 하이브리드 시스템
  데이터 평면 : 메쉬 타입, 제어 평면 : 별 유형
• 데이터 평면 만 메쉬 유형이므로 Star-Type 작동 및 관리 (간단한 CPE 구성, 간단한 세션 관리)를 통해 사이트 간의 전체 메쉬 통신을 쉽게 달성 할 수 있습니다.
• 중앙 GW와 기본 CPE 사이에 설정된 IKEV2에서 각 기지에 공통적 인 그룹 키 정보는 GW에서 CPE에 분산됩니다. 데이터 평면 암호화 통신을 위해 모든 위치에 공통적 인 멀티 포인트 SA 사용 확장 성을 크게 향상 시키는데, 이는 암호화 통신의 전통적인 문제입니다
• 센터 ​​GW와 기본 CPE 사이에 BGP 세션을 설정하십시오. Golden Week의 노선은 BGP를 통해 통보됩니다
• 베이스를 추가하거나 삭제할 때 Golden Week에서만 설정 만 변경할 수 있으며 CPE의 설정에 대한 변경 사항이 필요하지 않습니다
• 기본 통신이 많더라도 중앙 장비에 트래픽이 집중되어 있지 않아 중앙 장비의 부하 (GW 장비, 센터 라인)
• F60은 Multipoint SA 서버 기능 (중앙 측면 기능)을 지원하지 않습니다.

적용 가능한 모델	서버 기능	클라이언트 기능
Fitelnet F70/F71	×	○
Fitelnet F220/F221	○	○
5Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드	○	○
52013 년 6 월 14 일	×	○
5Multipoint 토토 사이트 추천로 이름이 변경되었습니다	×	○
52014 년 12 월 1 일	○	○
6멀티 포인트 토토 사이트 추천에 대한 기능 개요	○	○
62013 년 7 월 31 일	× (진행중인 고려 사항 향상)	× (진행중인 고려 사항 향상)
6멀티 포인트 토토 사이트 추천 BGP 원격 넥스트 홉 방법과 호환	○	○
fitelnet fx201	○	○
7First Edition	○	○
72014 년 7 월 31 일	○	○
8Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드	○	○
82013 년 6 월 14 일	×	×


• 사이트 간 직접 통신 중 IPSEC 터널 비교 (아래 표 참조)
  *멀티 포인트 SA 방법에는 각 위치에 2 개의 IPSEC 터널이 있습니다.

다중 포인트 SA를 구성하는 기술 요소

■IKEV2
센터와베이스가 서로를 식별하고 인증하고 안전한 커뮤니케이션 경로를 설정할 수있는 기술. IKE_SA, IKEV2의 제어 정보를 교환하기위한 안전한 통신 경로 인 IKE_SA와 BGP를 포함한 센터와 기지 간의 통신을 수행하기위한 안전한 통신 경로 인 IKE_SA의 두 가지 유형의 통신 경로가 사용됩니다.

■9First Edition
각 위치에 대한 광고 경로 정보 기술. 기본 네트워크는 NLRI로 광고되며, 상자 간 통신 엔드 포인트 주소는 원격 -Next-Hop 속성 (※)으로 광고됩니다.
중앙 라우터는 경로 반사기 역할을합니다.

*F60 V01.08 (00), F200 V01.14 (00) 또는 이전 펌웨어는 NextThop으로 광고됩니다.

■멀티 포인트 SA
센터를 통과하지 않고 단일 SA를 사용하여 중심 간 통신을 수행하는 기술. 모든 위치는 동일한 SA 정보를 공유하고 동일한 키로 암호화되며 엔드 포인트 주소는 BGP에서 배운 경로 정보에 따라 결정됩니다.
각 위치에서 사용되는 Multipoint SA 정보 (Cryptometric Key, SPI 값, 수명 등)는 중앙에서 IKE_SA를 통해 위치로 배포됩니다.

■중복 함수 (중앙 측면 다중 포인트 SA 동기화 함수)
여러 센터 라우터를 배포 할 수 있고 고장 또는 유지 보수가 발생한 경우에도 멀티 포인트 SAS를 사용하여 지속적인 사이트 간 통신을 허용하는 기술. 다중 센터 라우터는 다중 포인트 SA 정보를 동기화합니다.

전체 구조

■센터와베이스와 IKEV2, BGP 및 Multipoint SA 간의 관계
멀티 포인트 SA에서 시스템은 각 위치와 해당 위치를 관리하는 센터간에 통신하는 여러 위치로 구성됩니다.

베이스와 센터 사이에 IKEV2 SA를 설정하는 데 필요한 정보를 수행 한 다음, 사이트 간 통신 (Multipoint SA 정보 및 캡슐화 된 경로 정보)을 수행하는 정보가 센터에서 기본에 배포됩니다. 우리는 IKEV2를 확장하여 캡슐화 된 경로 정보를 제공하기 위해 다중 포인트 SA 정보를 제공하고 BGP를 제공했습니다. 따라서 IKEV2 및 BGP는 Multipoint SA를 사용하려면 실행해야합니다.

멀티 포인트 SA는 모든 위치 간의 통신에 동일한 다중 포인트 SA 정보를 사용합니다. 즉, 동일한 SPI 값 및 암호화 키가 모든 사이트 간 통신에 사용됩니다. 또한 일반 child_sa와 달리 동일한 SPI 값과 암호화 키가 전송 및 수신 모두에 사용됩니다.

협상 개요

Multipoint SA와의 의사 소통이 이루어질 때까지 협상의 개요는 다음과 같습니다.

첫째, IKE_SA 및 Child_SA를 설정하기 위해 정기적 인 IKEV2 협상을 수행하십시오. 그 후, 멀티 포인트 SA 정보는 IKE_SA의 정보를 통해 배포되며 캡슐화 경로 정보를 배포하기 위해 child_sa에 BGP 세션이 설정됩니다. 이 점을 완료하면 멀티 포인트 SAS와 필요한 모든 정보 및 통신이 가능합니다. 자세한 내용은 아래에 제공됩니다.

IKEV2 SA 설정 및 다중 포인트 SA 정보 배포

먼저,베이스는 중심과 함께 IKEV2 SA를 설정합니다. IKEV2 협상 중에이 인증을 통해 센터는 Multipoint SAS에 참여할 수있는 위치를 보장합니다.

또한, 수많은 SA 정보는 확립 된 SA를 사용하여 중앙에서베이스로 배포됩니다. 이 멀티 포인트 SA 정보에는 SPI 값, 유효한 시간 및 멀티 포인트 SA의 암호화/인증 키의 소스 역할을하는 정보가 포함됩니다. 각베이스는이 멀티 포인트 SA 정보를 사용하여 다중 포인트 SA 암호화와 같은 ESP 처리를 수행합니다. 또한이 멀티 포인트 SA 정보는 Multipoint SA의 가상 IF (인터페이스)와 관련이 있으며이 가상에서 전송 된 패킷은 다중 포인트 SA 처리 대상입니다.

BGP를 사용한 캡슐화 경로 정보 분포

IKEV2 SA가 설립 된 후, 기본 및 센터는이 SA에 BGP 세션을 설정합니다.

이 BGP 세션은 모든 위치에 캡슐화 경로 정보를 제공합니다. 캡슐화 경로 정보에는베이스 아래의 서브넷을 대상 (NLRI)으로 사용하는 정보와 Multipoint SA의 종말점 주소를 다음 홉으로 사용하는 정보가 포함됩니다.

Draft-Vandevelde-idr-Remote-Next-Hop-07 메소드 (※)는 멀티 포인트 SA 엔드 포인트 주소를 알립니다.
*F60 V01.08 (00) 이전의 펌웨어 버전에서, F200 V01.14 (00) RFC5566 Method

중앙은 경로 반사기 역할을합니다. 각 기지가 BGP를 통해 자체 기반의 경로 정보 중심에 알리면, 센터는 캡슐화 된 경로 정보를 다른 모든베이스에 배포합니다. 이 캡슐화 경로 정보를 통해 각 위치는 특정 대상으로 보낼 위치를 알 수 있습니다. 또한,베이스가 자체 경로 테이블 에서이 캡슐화 경로를 등록하면, 전송 인터페이스는 멀티 포인트 SA의 IF로 등록되어 멀티 포인트 SA 처리를 수행해야한다는 것을 알 수 있습니다.

멀티 포인트 SA를 사용한 인터넷 통신

사이트 간 통신은 Multipoint SA를 사용하여 수행됩니다.
한 위치가 멀티 포인트 SA를 사용하여 다른 위치로 전송되면, 패킷의 대상 주소에 해당하는 항목은 경로 테이블에서 검색되고, 멀티 포인트 SA의 경우 가상 인 경우 전송이 가상 SA 정보를 사용하여 수행되며 다음 홉은 대상으로 전송됩니다.

예를 들어, 아래 다이어그램의베이스 A가 네트워크 A에서 네트워크 B로 향하는 패킷을 보낼 때, 경로 테이블이 먼저 검색되고, 경로 테이블이 검색되고, 전송 인터페이스는 멀티 포인트 SA의 경우 가상 IF와 관련된 다중 포인트 SA 정보를 사용하여 수행되며 다음 홉의 기본 B 주소는 대상으로 전송됩니다.

반면에, 멀티 포인트 SA에서 수신되면 Decoding은 SPI 값의 해당 다중 포인트 SA 정보를 사용하여 수행됩니다. 예를 들어, 기본 B가 위의 ESP 패킷을 수신하는 경우, 원래 일반 텍스트 패킷을 검색하기 위해 SPI 정보에서 얻은 다중 포장 SA 정보로 디코딩 된 다음 경로 검색이 정상적인 패킷 수신 처리와 동일한 방식으로 수행되며 결과에 따라 전송 처리가 수행됩니다.

멀티 포인트 SA 관련 IKEV2 설정 (기본)

 *이 섹션에서는 f60/f200/f2200을 사용할 때 명령을 설명합니다.
　 F70/F71/F220/F221을 사용하는 경우예제 설정를 참조하십시오.

■멀티 포인트 SA 정보를위한베이스에 대한 IKEV2 설정
 ・ Group-Security Client SPI 마스크 육각형 및 마스크 또는 마스크 (Crypto IKEV2 정책 모드)
  그것이 다수의 SA베이스라고 선언했다. SPI 마스크 육각형 및 마스크는 오 또는 마스크에서 멀티 포인트 SA에 사용되는 SPI 값의 범위를 지정합니다. 센터와 동일한 값으로 설정하십시오. 정상적인 IKEV2에서 child_sa의 SPI 값은이 범위 외부의 값에서 선택되므로 Multipoint SA 및 Child_SA의 SPI 값이 동일하지 않습니다. 값이 동일하면 ESP를받을 때 멀티 포인트 SA 및 child_sa가 혼란스러워서 결정되지 않을 수 있습니다.
예를 들어, IF 마스크 및 마스크 및 마스크는 00FFFFFF 01000000으로 설정되고 Multipoint SA에 사용되는 SPI 값은 01xxxxxx (x는 임의의 숫자)이며 다른 모든 값은 일반 child_sa의 SPI 값으로 사용됩니다.

 ・ Crypto Group-Security Map Mapname (인터페이스 ipsecif 모드)
  지정된 ipsecif가 Multipoint SA 가상 if라고 선언합니다. 지정된 암호화 맵에서 수신 된 멀티 포인트 SA 정보는이 ipsecif에 등록 되며이 ipsecif에서 전송 된 패킷은 등록 된 멀티 포인트 SA 정보를 기반으로 캡슐화 된 ESP로 전송됩니다.

■멀티 포인트 SA 정보의 기반에 대한 BGP 설정
 ・ 이웃 <BGP 피어 주소> ENCAP 기본 인터페이스 <인터페이스 이름> (라우터 BGP 모드)
  경로 테이블의 다른 위치에 대한 캡슐화 된 경로 정보를 등록 할 때 인터페이스를 보내기 인터페이스로 지정하십시오. 위의 암호화 그룹 보안 맵이 설정된 ipsecif 인터페이스를 지정하십시오.
*이 설정은 F70/F71/F220/F221로 전송 인터페이스를 자동으로 결정할 수 없습니다
  사용할 수 없습니다.

 ・ 이웃 <BGP 피어 주소> Encap 유형 ipsec-tunnel (라우터 bgp 모드)
  자체 캡슐화 된 경로 정보의 터널 유형을 IPSEC-Tunnel로 알립니다.

 ・ 이웃 <BGP 피어 주소> Encap endpoint
 ・ 이웃 <bgp 피어 주소> Encap endpoint <터널 엔드 포인트 주소> | ipv4 | ipv6
 자신의 캡슐화 된 경로 정보를 광고 할 때 터널의 종말점이 될 다음 홉을 지정합니다. 지정된 주소 또는 지정된 인터페이스의 주소는 캡슐화 된 경로 정보의 다음 홉으로 광고됩니다.

이미지 설정 (base)

*1 F60 V01.09 (00), F200 V01.15 (00) 또는 이후 펌웨어

다중 포장 SA 관련 설정 (중심)

 *이 섹션에서는 f60/f200/f2200을 사용할 때 명령을 설명합니다.
　 F70/F71/F220/F221을 사용하는 경우설정 예제를 참조하십시오.

■멀티 포인트 SA 정보 센터 용 IKEV2 구성
 ・ Crypto IPsec Group-Security Policy Num (기본 설정 모드)
  Multipoint SA 서버를 구성하려면 Crypto IPsec 그룹 보안 정책 모드로 이동하십시오.

 ・ SPI 마스크 육각형 및 마스크 또는 마스크 (Crypto IPsec Group-Security Policy Mode)
  마스크를 멀티 포인트 SA에 사용 된 SPI 값에 적용하도록 설정하십시오. 기지에서 Group-Security Client SPI 마스크 육각형과 동일한 값을 설정하십시오.

 ・ 평생 SEC-Rekey SEC-to-Delete (Crypto IPsec Group-Security Policy Mode)
 Sec-to-Rekey로 다중 포인트 SA Rekey를 시작하기 전 초의 수를 지정하고 SEC-to-Delete를 사용하여 SEC-to-Rekey 후 다중 포인트 SA가 비활성화되기 전에 초의 수를 지정하십시오. Sec-to-Rekey 및 SEC-to-Delete를 추가하는 시간은 클라이언트에게 수명 수명의 수명을 통지합니다.

 ・ Rollover SEC-to-Act-out SEC-DEACT-Oldin (Crypto IPsec Group-Security Policy Mode)
  멀티 포인트 SA를 재생 한 후, 멀티 포인트 SA의 인바운드 SA가 즉시 등록됩니다. 아웃 바운드 SA가 등록 될 때까지 시간을 설정하고 (SEC-to-Act-Out) 이전 인바운드 SA가 삭제 될 때까지 시간을 설정하십시오 (SEC-to-Act-Ocdin).

 ・ 변환 세트 변환 세트 (Crypto IPsec Group-Security Policy Mode)
 Multipoint SA의 암호화 및 인증 알고리즘을 지정합니다. IKEV2에서 child_sa로 지정된 것과 마찬가지로 변환은 ipsec 변환 세트로 지정됩니다.

 ・ 변환 키즈 키즈 설정 (Crypto IPsec Group-Security Policy Mode)
 멀티 포인트 SA 암호화 알고리즘에서 사용할 키 길이를 지정합니다. Keysize는 ikev2의 child_sa로 지정된 것과 마찬가지로 ipsec 변환 키즈로 지정된 것입니다.

 ・ Group-Security Server Num (Crypto IKEV2 정책 모드)
  Crypto IPsec Group-Security Policy는 Peers에게 Num Multipoint SA를 알립니다.

■멀티 포인트 SA 정보 센터 용 BGP 구성
 ・ 이웃 <BGP 피어 주소> Route-Reflector-Client (라우터 BGP 모드)
  경로 반사기 역할을합니다. <BGP 피어 주소>는 Route Reflector 클라이언트입니다.

 ・ 이웃 <BGP 피어 주소> ENCAP 기본 인터페이스 <인터페이스 이름> (라우터 BGP 모드)
  경로 테이블의베이스에 대한 캡슐화 된 경로 정보를 등록 할 때 인터페이스를 보내기 인터페이스로 지정하십시오. 위치와 통신하려면 ipsecif 인터페이스를 지정하십시오.

설정 이미지 (중심)

*1 F60 V01.09 (00), F200 V01.15 (00) 또는 이후 펌웨어
*2 F200 V01.15 (00) 이상의 펌웨어 (F60 지원되지 않음)에서 지원

센터 ​​중복 구성

Multipoint SA에서 중심을 중복 시키면 센터가 실패하더라도 영향을받지 않고 센터 간 통신을 작동 할 수 있습니다.

중복 구성은 여러 센터간에 멀티 포인트 SA 정보가 동기화되도록합니다. 따라서 다른 센터의 설정이 필요합니다. 또한베이스가 한 센터와 계속 통신하기 위해서는 한 센터와 의사 소통 할 수 없더라도 모든 센터와 IKEV2 SA를 설정해야합니다.
캡슐화 경로 정보는 기본의 모든 센터에 통지됩니다. 이러한 이유로 BGP는 센터간에 동기화되지 않습니다.

멀티 포인트 SA 중복 구성 설정 (중앙)

 *이 섹션에서는 f60/f200/f2200을 사용할 때 명령을 설명합니다.
　 F70/F71/F220/F221을 사용하는 경우설정 예제를 참조하십시오.

 ・ IPSEC Group-Security Server HA 로컬-드레스 로컬-ADDR 원격 아드 드레스 원격 ADDR
 Multipoint SA 정보 동기화 채널의 주소 (Local-ADDR)와 다른 센터의 주소 (원격 ADDR)를 지정하십시오.

 ・ IPSEC Group-Security Server 우선 순위 우선 순위
  중복 될 때 자신의 우선 순위를 지정합니다. 動作しているセンタの中で一番優先度の高いがマスタとして動作し、それ以外のセンタはバックアップとして動作します。 다중 포인트 SA 정보는 마스터에 의해 생성되고 동기식 통신 채널을 통해 다른 백업과 동기화됩니다.

이미지 설정 (중심 A)

이미지 설정 (중심 B)

이미지 설정 (기본 A)

이미지 설정 (기본 B)

*1 F60 V01.09 (00), F200 V01.15 (00) 또는 이후의 펌웨어로 지원됩니다
*2 Supported on F200 V01.15(00) or later firmware (F60 not supported)