VMware Cloud Director 환경에서 NSX Data Center for vSphere Edge 게이트웨이는 조직 가상 데이터 센터 네트워크 간 VPN 터널 또는 조직 가상 데이터 센터 네트워크와 외부 IP 주소 간 VPN 터널의 보안을 위한 사이트 간 IPsec(인터넷 프로토콜 보안)을 지원합니다. Edge 게이트웨이에서 IPsec VPN 서비스를 구성할 수 있습니다.

원격 네트워크에서 조직 가상 데이터 센터로의 IPsec VPN 연결을 설정하는 것이 가장 일반적인 시나리오입니다. NSX 소프트웨어는 인증서 인증, 미리 공유한 키 모드, 자체 및 원격 VPN 라우터 간의 IP 유니캐스트 트래픽 지원을 비롯한 Edge 게이트웨이 IPsec VPN 기능을 제공합니다. 또한 IPsec 터널을 통해 Edge 게이트웨이 뒤의 내부 네트워크에 연결하도록 다수의 서브넷을 구성할 수 있습니다. IPsec 터널을 통해 내부 네트워크에 연결하도록 여러 서브넷을 구성하는 경우 이러한 서브넷과 Edge 게이트웨이 뒤 내부 네트워크의 주소 범위가 겹치지 않아야 합니다.

참고: IPsec 터널에서 로컬 및 원격 피어의 IP 주소가 겹치면 로컬로 연결된 경로 및 자동 배관된 경로의 존재 유무에 따라 터널을 통과하여 전달되는 트래픽의 일관성이 유지되지 않을 수 있습니다.

다음 IPsec VPN 알고리즘이 지원됩니다.

  • AES(AES128-CBC)
  • AES256(AES256-CBC)
  • Triple-DES(3DES192-CBC)
  • AES-GCM(AES128-GCM)
  • DH-2(Diffie-Hellman 그룹 2)
  • DH-5(Diffie-Hellman 그룹 5)
  • DH-14(Diffie-Hellman 그룹 14)
참고: 동적 라우팅 프로토콜은 IPsec VPN에서 지원되지 않습니다. 조직 가상 데이터 센터의 Edge 게이트웨이와 물리적 사이트의 실제 게이트웨이 VPN 사이에 IPsec VPN 터널을 구성하면 해당 연결에 대한 동적 라우팅을 구성할 수 없습니다. 해당 원격 사이트의 IP 주소는 Edge 게이트웨이 업링크의 동적 라우팅을 통해 알 수 없습니다.

"NSX 관리 가이드" 의 "IPSec VPN 개요" 항목에 설명된 대로 Edge 게이트웨이에서 지원되는 최대 터널 수는 구성된 크기(소형, 대형, 초대형, 4배 대형)에 따라 결정됩니다.

Edge 게이트웨이 구성의 크기를 보려면 Edge 게이트웨이로 이동하여 Edge 게이트웨이 이름을 클릭합니다.

Edge 게이트웨이에 IPsec VPN을 구성하는 프로세스는 여러 단계를 수행하여 완료됩니다.

참고: 터널 끝점 간에 방화벽이 있는 경우 IPsec VPN 서비스를 구성한 후 다음 IP 프로토콜 및 UDP 포트를 허용하도록 방화벽 규칙을 업데이트해야 합니다.
  • IP 프로토콜 ID 50(ESP)
  • IP 프로토콜 ID 51(AH)
  • UDP 포트 500(IKE)
  • UDP 포트 4500