VMware Cloud Director 환경에서 NSX Data Center for vSphere Edge 게이트웨이는 조직 가상 데이터 센터 네트워크 간 VPN 터널 또는 조직 가상 데이터 센터 네트워크와 외부 IP 주소 간 VPN 터널의 보안을 위한 사이트 간 IPsec(인터넷 프로토콜 보안)을 지원합니다. Edge 게이트웨이에서 IPsec VPN 서비스를 구성할 수 있습니다.

원격 네트워크에서 조직 가상 데이터 센터로의 IPsec VPN 연결을 설정하는 것이 가장 일반적인 시나리오입니다. NSX 소프트웨어는 인증서 인증, 미리 공유한 키 모드, 자체 및 원격 VPN 라우터 간의 IP 유니캐스트 트래픽 지원을 비롯한 Edge 게이트웨이 IPsec VPN 기능을 제공합니다. 또한 IPsec 터널을 통해 Edge 게이트웨이 뒤의 내부 네트워크에 연결하도록 다수의 서브넷을 구성할 수 있습니다. IPsec 터널을 통해 내부 네트워크에 연결하도록 여러 서브넷을 구성하는 경우 이러한 서브넷과 Edge 게이트웨이 뒤 내부 네트워크의 주소 범위가 겹치지 않아야 합니다.

참고: IPsec 터널에서 로컬 및 원격 피어의 IP 주소가 겹치면 로컬로 연결된 경로 및 자동 배관된 경로의 존재 유무에 따라 터널을 통과하여 전달되는 트래픽의 일관성이 유지되지 않을 수 있습니다.

다음 IPsec VPN 알고리즘이 지원됩니다.

  • AES(AES128-CBC)
  • AES256(AES256-CBC)
  • Triple-DES(3DES192-CBC)
  • AES-GCM(AES128-GCM)
  • DH-2(Diffie-Hellman 그룹 2)
  • DH-5(Diffie-Hellman 그룹 5)
  • DH-14(Diffie-Hellman 그룹 14)
참고: 동적 라우팅 프로토콜은 IPsec VPN에서 지원되지 않습니다. 조직 가상 데이터 센터의 Edge 게이트웨이와 물리적 사이트의 실제 게이트웨이 VPN 사이에 IPsec VPN 터널을 구성하면 해당 연결에 대한 동적 라우팅을 구성할 수 없습니다. 해당 원격 사이트의 IP 주소는 Edge 게이트웨이 업링크의 동적 라우팅을 통해 알 수 없습니다.

"NSX 관리 가이드" 의 "IPSec VPN 개요" 항목에 설명된 대로 Edge 게이트웨이에서 지원되는 최대 터널 수는 구성된 크기(소형, 대형, 초대형, 4배 대형)에 따라 결정됩니다.

Edge 게이트웨이 구성의 크기를 보려면 Edge 게이트웨이로 이동하여 Edge 게이트웨이 이름을 클릭합니다.

Edge 게이트웨이에 IPsec VPN을 구성하는 프로세스는 여러 단계를 수행하여 완료됩니다.

참고: 터널 끝점 간에 방화벽이 있는 경우 IPsec VPN 서비스를 구성한 후 다음 IP 프로토콜 및 UDP 포트를 허용하도록 방화벽 규칙을 업데이트해야 합니다.
  • IP 프로토콜 ID 50(ESP)
  • IP 프로토콜 ID 51(AH)
  • UDP 포트 500(IKE)
  • UDP 포트 4500

[IPsec VPN] 화면으로 이동

IPsec VPN 화면에서 NSX Data Center for vSphere Edge 게이트웨이에 대한 IPsec VPN 서비스 구성을 시작할 수 있습니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. VPN > IPsec VPN으로 이동합니다.

다음에 수행할 작업

IPsec VPN 사이트 화면을 사용하여 IPsec VPN 연결을 구성합니다. Edge 게이트웨이에서 IPsec VPN 서비스를 사용하도록 설정하려면 하나 이상의 연결이 구성되어 있어야 합니다. NSX Data Center for vSphere Edge 게이트웨이에 대한 IPsec VPN 사이트 연결 구성의 내용을 참조하십시오.

NSX Data Center for vSphere Edge 게이트웨이에 대한 IPsec VPN 사이트 연결 구성

VMware Cloud Director 테넌트 포털의 IPsec VPN 사이트 화면에서 조직 가상 데이터 센터와 Edge 게이트웨이 IPsec VPN 기능을 사용하는 다른 사이트 간에 IPsec VPN 연결을 만드는 데 필요한 설정을 구성합니다.

사이트 간 IPsec VPN 연결을 구성하는 경우 현재 위치의 관점에서 연결을 구성합니다. 연결을 설정하려면 VMware Cloud Director 환경의 컨텍스트에서 개념을 이해해야 VPN 연결을 올바르게 구성할 수 있습니다.

  • 로컬 및 피어 서브넷은 VPN이 연결하는 네트워크를 지정합니다. IPsec VPN 사이트에 대한 구성에서 이러한 서브넷을 지정하는 경우에는 특정 IP 주소가 아닌 네트워크 범위를 입력합니다. 192.168.99.0/24 같은 CIDR 형식을 사용합니다.
  • 피어 ID는 VPN 연결을 종료하는 원격 디바이스를 고유하게 식별하는 식별자이며 일반적으로 해당 디바이스의 공개 IP 주소입니다. 인증서 인증을 사용하는 피어의 경우 이 ID는 피어 인증서에 설정된 고유 이름이어야 합니다. PSK 피어의 경우 이 ID는 임의의 문자열일 수 있습니다. NSX 모범 사례는 원격 디바이스의 공개 IP 주소 또는 FQDN을 피어 ID로 사용하는 것입니다. 피어 IP 주소가 다른 조직 가상 데이터 센터 네트워크의 주소인 경우 피어의 기본 IP 주소를 입력합니다. 피어에 NAT가 구성된 경우 피어의 개인 IP 주소를 입력합니다.
  • 피어 끝점은 연결하는 원격 디바이스의 공개 IP 주소를 지정합니다. 인터넷에서 피어의 게이트웨이에 직접 액세스할 수 없고 다른 디바이스를 통해 연결되는 경우 피어 끝점이 피어 ID와 다른 주소일 수 있습니다. 피어에 NAT가 구성된 경우 디바이스가 NAT에 사용하는 공개 IP 주소를 입력합니다.
  • 로컬 ID는 조직 가상 데이터 센터의 Edge 게이트웨이에 대한 공개 IP 주소를 지정합니다. Edge 게이트웨이 방화벽과 함께 IP 주소 또는 호스트 이름을 입력할 수 있습니다.
  • 로컬 끝점은 Edge 게이트웨이가 전송 시 사용하는 조직 가상 데이터 센터의 네트워크를 지정합니다. 일반적으로 Edge 게이트웨이의 외부 네트워크는 로컬 끝점입니다.

사전 요구 사항

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. IPsec VPN 탭에서 IPsec VPN 사이트를 클릭합니다.
  3. 추가(만들기 버튼) 버튼을 클릭합니다.
  4. IPsec VPN 연결 설정을 구성합니다.
    옵션 작업
    사용 두 개의 VPN 끝점 사이에 이 연결을 사용합니다.
    PFS(Perfect Forward Secrecy) 사용 사용자가 시작하는 모든 IPsec VPN 세션에 대해 시스템이 고유 공용 키를 생성하도록 하려면 이 옵션을 사용합니다.

    PFS를 사용하면 시스템이 Edge 게이트웨이 개인 키와 각 세션 키 사이의 링크를 만들지 않습니다.

    세션 키가 손상될 경우 해당 키로 보호되는 특정 세션에서 교환되는 데이터를 제외한 다른 데이터는 영향을 받지 않습니다. 서버의 개인 키가 손상되면 아카이브된 세션 또는 이후 세션을 암호 해독하는 데 사용할 수 없습니다.

    PFS를 사용하는 경우 이 Edge 게이트웨이에 대한 IPsec VPN 연결에 약간의 처리 오버헤드가 발생합니다.

    중요: 고유 세션 키를 사용하여 추가 세션 키를 파생할 수 없습니다. 또한 PFS가 작동하려면 IPsec VPN 터널의 양쪽에서 PFS를 지원해야 합니다.
    이름 (선택 사항) 연결의 이름을 입력합니다.
    로컬 ID Edge 게이트웨이 인스턴스의 외부 IP 주소(Edge 게이트웨이의 공개 IP 주소)를 입력합니다.

    이 IP 주소는 원격 사이트의 IPsec VPN 구성에서 피어 ID로 사용됩니다.

    로컬 끝점 이 연결의 로컬 끝점인 네트워크를 입력합니다.

    로컬 끝점은 Edge 게이트웨이가 전송 시 사용하는 조직 가상 데이터 센터의 네트워크를 지정합니다. 일반적으로 외부 네트워크가 로컬 끝점입니다.

    미리 공유한 키를 사용하는 IP-to-IP 터널을 추가하는 경우에는 로컬 ID와 로컬 끝점 IP가 같을 수 있습니다.

    로컬 서브넷 사이트 간에 공유하는 네트워크를 입력하고, 서브넷을 여러 개 입력하려면 쉼표를 구분 기호로 사용합니다.

    IP 주소를 CIDR 형식으로 입력하여 네트워크 범위(특정 IP 주소 아님)를 입력합니다(예: 192.168.99.0/24).

    피어 ID 피어 사이트를 고유하게 식별할 피어 ID를 입력합니다.

    피어 ID는 VPN 연결을 종료하는 원격 디바이스를 고유하게 식별하는 식별자이며 일반적으로 해당 디바이스의 공개 IP 주소입니다.

    인증서 인증을 사용하는 피어의 경우 ID는 피어 인증서의 고유 이름이어야 합니다. PSK 피어의 경우 이 ID는 임의의 문자열일 수 있습니다. NSX 모범 사례는 원격 디바이스의 IP 주소 또는 FQDN을 피어 ID로 사용하는 것입니다.

    피어 IP 주소가 다른 조직 가상 데이터 센터 네트워크의 주소인 경우 피어의 기본 IP 주소를 입력합니다. 피어에 NAT가 구성된 경우 피어의 개인 IP 주소를 입력합니다.

    피어 끝점 피어 사이트의 IP 주소 또는 FQDN을 입력합니다. 이는 연결하는 원격 디바이스의 공용 주소입니다.
    참고: 피어에 NAT가 구성된 경우 디바이스가 NAT에 사용하는 공개 IP 주소를 입력합니다.
    피어 서브넷 VPN이 연결하는 원격 네트워크를 입력하고, 서브넷을 여러 개 입력하려면 쉼표를 구분 기호로 사용합니다.

    IP 주소를 CIDR 형식으로 입력하여 네트워크 범위(특정 IP 주소 아님)를 입력합니다(예: 192.168.99.0/24).

    암호화 알고리즘 드롭다운 메뉴에서 암호화 알고리즘 유형을 선택합니다.
    참고: 원격 사이트 VPN 디바이스에 구성된 암호화 유형과 일치하는 암호화 유형을 선택해야 합니다.
    인증 인증을 선택합니다. 옵션은 다음과 같습니다.
    • PSK

      PSK(미리 공유한 키)는 Edge 게이트웨이와 피어 사이트 간에 공유되는 비밀 키를 인증에 사용하도록 지정합니다.

    • 인증서

      인증서 인증은 글로벌 수준에서 정의된 인증서를 인증에 사용하도록 지정합니다. 이 옵션은 IPsec VPN 탭의 글로벌 구성 화면에서 글로벌 인증서를 구성한 경우에만 사용할 수 있습니다.

    공유 키 변경 (선택 사항) 기존 연결의 설정을 업데이트하는 경우 이 옵션을 사용하도록 설정하여 미리 공유한 키 필드를 사용할 수 있도록 한 후 공유 키를 업데이트할 수 있습니다.
    미리 공유한 키 인증 유형으로 PSK를 선택한 경우, 최대 길이가 128바이트인 영숫자 암호 문자열을 입력합니다.
    참고: 공유 키는 원격 사이트 VPN 디바이스에 구성된 키와 일치해야 합니다. 모범 사례는 익명 사이트가 VPN 서비스에 연결할 때 공유 키를 구성하는 것입니다.
    공유 키 표시 (선택 사항) 공유 키를 화면에 표시하려면 이 옵션을 사용하도록 설정합니다.
    Diffie-Hellman 그룹 피어 사이트와 이 Edge 게이트웨이가 비보안 통신 채널을 통해 공유 암호를 설정하는 것을 허용하는 암호화 체계를 선택합니다.
    참고: Diffie-Hellman 그룹은 원격 사이트 VPN 디바이스에 구성된 Diffie-Hellman 그룹과 일치해야 합니다.
    확장 (선택 사항) 다음 옵션 중 하나를 입력합니다.
    • securelocaltrafficbyip=IPAddress - Edge 게이트웨이 로컬 트래픽을 IPsec VPN 터널을 통해 리디렉션합니다.

      기본값입니다.

    • passthroughSubnets=PeerSubnetIPAddress - 서브넷을 겹칠 수 있습니다.
  5. 유지를 클릭합니다.
  6. 변경 내용 저장을 클릭합니다.

다음에 수행할 작업

원격 사이트에 대한 연결을 구성합니다. 연결의 양쪽(조직 가상 데이터 센터와 피어 사이트)에서 IPsec VPN 연결을 구성해야 합니다.

이 Edge 게이트웨이에서 IPsec VPN 서비스를 사용하도록 설정합니다. IPsec VPN 연결을 하나 이상 구성한 경우 서비스를 사용하도록 설정할 수 있습니다. NSX Data Center for vSphere Edge 게이트웨이에서 IPsec VPN 서비스 사용의 내용을 참조하십시오.

NSX Data Center for vSphere Edge 게이트웨이에서 IPsec VPN 서비스 사용

하나 이상의 IPsec VPN 연결이 구성된 경우 Edge 게이트웨이에서 IPsec VPN 서비스를 사용하도록 설정할 수 있습니다.

사전 요구 사항

프로시저

  1. IPsec VPN 탭에서 활성화 상태를 클릭합니다.
  2. IPsec VPN 서비스를 사용하도록 설정하려면 IPsec VPN 서비스 상태를 클릭합니다.
  3. 변경 내용 저장을 클릭합니다.

결과

Edge 게이트웨이의 IPsec VPN 서비스가 활성화됩니다.

글로벌 IPsec VPN 설정 지정

글로벌 구성 화면을 사용하여 Edge 게이트웨이 수준에서 IPsec VPN 인증 설정을 구성합니다. 이 화면에서 미리 공유한 글로벌 키를 설정하고 인증서 인증을 사용하도록 설정할 수 있습니다.

미리 공유한 글로벌 키는 피어 끝점이 any로 설정된 사이트에 사용됩니다.

사전 요구 사항

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. IPsec VPN 탭에서 글로벌 구성을 클릭합니다.
  3. (선택 사항) 미리 공유한 글로벌 키를 설정합니다.
    1. 공유 키 변경 옵션을 사용하도록 설정합니다.
    2. 미리 공유한 키를 입력합니다.
      글로벌 PSK(미리 공유한 키)는 피어 끝점이 any로 설정된 모든 사이트에서 공유됩니다. 글로벌 PSK가 이미 설정된 경우 PSK를 빈 값으로 변경하고 저장해도 기존 설정에 영향을 주지 않습니다.
    3. (선택 사항) 필요한 경우 공유 키 표시를 사용하도록 설정하여 미리 공유한 키를 표시합니다.
    4. 변경 내용 저장을 클릭합니다.
  4. 인증서 인증을 구성합니다.
    1. 인증서 인증 사용을 켭니다.
    2. 해당하는 서비스 인증서, CA 인증서 및 CRL을 선택합니다.
    3. 변경 내용 저장을 클릭합니다.

다음에 수행할 작업

필요한 경우 Edge 게이트웨이의 IPsec VPN 서비스에 대한 로깅을 사용하도록 설정할 수 있습니다. NSX Data Center for vSphere Edge 게이트웨이에 대한 통계 및 로그의 내용을 참조하십시오.