VMware Cloud Director 테넌트 포털의 IPsec VPN 사이트 화면에서 조직 가상 데이터 센터와 Edge 게이트웨이 IPsec VPN 기능을 사용하는 다른 사이트 간에 IPsec VPN 연결을 만드는 데 필요한 설정을 구성합니다.
사이트 간 IPsec VPN 연결을 구성하는 경우 현재 위치의 관점에서 연결을 구성합니다. 연결을 설정하려면 VMware Cloud Director 환경의 컨텍스트에서 개념을 이해해야 VPN 연결을 올바르게 구성할 수 있습니다.
- 로컬 및 피어 서브넷은 VPN이 연결하는 네트워크를 지정합니다. IPsec VPN 사이트에 대한 구성에서 이러한 서브넷을 지정하는 경우에는 특정 IP 주소가 아닌 네트워크 범위를 입력합니다. 192.168.99.0/24 같은 CIDR 형식을 사용합니다.
- 피어 ID는 VPN 연결을 종료하는 원격 디바이스를 고유하게 식별하는 식별자이며 일반적으로 해당 디바이스의 공개 IP 주소입니다. 인증서 인증을 사용하는 피어의 경우 이 ID는 피어 인증서에 설정된 고유 이름이어야 합니다. PSK 피어의 경우 이 ID는 임의의 문자열일 수 있습니다. NSX 모범 사례는 원격 디바이스의 공개 IP 주소 또는 FQDN을 피어 ID로 사용하는 것입니다. 피어 IP 주소가 다른 조직 가상 데이터 센터 네트워크의 주소인 경우 피어의 기본 IP 주소를 입력합니다. 피어에 NAT가 구성된 경우 피어의 개인 IP 주소를 입력합니다.
- 피어 끝점은 연결하는 원격 디바이스의 공개 IP 주소를 지정합니다. 인터넷에서 피어의 게이트웨이에 직접 액세스할 수 없고 다른 디바이스를 통해 연결되는 경우 피어 끝점이 피어 ID와 다른 주소일 수 있습니다. 피어에 NAT가 구성된 경우 디바이스가 NAT에 사용하는 공개 IP 주소를 입력합니다.
- 로컬 ID는 조직 가상 데이터 센터의 Edge 게이트웨이에 대한 공개 IP 주소를 지정합니다. Edge 게이트웨이 방화벽과 함께 IP 주소 또는 호스트 이름을 입력할 수 있습니다.
- 로컬 끝점은 Edge 게이트웨이가 전송 시 사용하는 조직 가상 데이터 센터의 네트워크를 지정합니다. 일반적으로 Edge 게이트웨이의 외부 네트워크는 로컬 끝점입니다.
사전 요구 사항
- VMware Cloud Director Service Provider Admin Portal에서 NSX Data Center for vSphere Edge 게이트웨이의 IPsec VPN 화면으로 이동.
- VMware Cloud Director Service Provider Admin Portal에서 NSX Data Center for vSphere Edge 게이트웨이의 IPsec VPN 구성.
- 글로벌 인증서를 인증 방법으로 사용하려는 경우 글로벌 구성 화면에서 인증서 인증이 사용되도록 설정되었는지 확인합니다. VMware Cloud Director Service Provider Admin Portal에서 NSX Edge 게이트웨이의 글로벌 IPsec VPN 설정 지정의 내용을 참조하십시오.
프로시저
- IPsec VPN 탭에서 IPsec VPN 사이트를 클릭합니다.
- 추가() 버튼을 클릭합니다.
- IPsec VPN 연결 설정을 구성합니다.
옵션 작업 사용 두 개의 VPN 끝점 사이에 이 연결을 사용합니다. PFS(Perfect Forward Secrecy) 사용 사용자가 시작하는 모든 IPsec VPN 세션에 대해 시스템이 고유 공용 키를 생성하도록 하려면 이 옵션을 사용합니다. PFS를 사용하면 시스템이 Edge 게이트웨이 개인 키와 각 세션 키 사이의 링크를 만들지 않습니다.
세션 키가 손상될 경우 해당 키로 보호되는 특정 세션에서 교환되는 데이터를 제외한 다른 데이터는 영향을 받지 않습니다. 서버의 개인 키가 손상되면 아카이브된 세션 또는 이후 세션을 암호 해독하는 데 사용할 수 없습니다.
PFS를 사용하는 경우 이 Edge 게이트웨이에 대한 IPsec VPN 연결에 약간의 처리 오버헤드가 발생합니다.
중요: 고유 세션 키를 사용하여 추가 세션 키를 파생할 수 없습니다. 또한 PFS가 작동하려면 IPsec VPN 터널의 양쪽에서 PFS를 지원해야 합니다.이름 (선택 사항) 연결의 이름을 입력합니다. 로컬 ID Edge 게이트웨이 인스턴스의 외부 IP 주소(Edge 게이트웨이의 공개 IP 주소)를 입력합니다. 이 IP 주소는 원격 사이트의 IPsec VPN 구성에서 피어 ID로 사용됩니다.
로컬 끝점 이 연결의 로컬 끝점인 네트워크를 입력합니다. 로컬 끝점은 Edge 게이트웨이가 전송 시 사용하는 조직 가상 데이터 센터의 네트워크를 지정합니다. 일반적으로 외부 네트워크가 로컬 끝점입니다.
미리 공유한 키를 사용하는 IP-to-IP 터널을 추가하는 경우에는 로컬 ID와 로컬 끝점 IP가 같을 수 있습니다.
로컬 서브넷 사이트 간에 공유하는 네트워크를 입력하고, 서브넷을 여러 개 입력하려면 쉼표를 구분 기호로 사용합니다. CIDR 형식을 사용하여 IP 주소를 입력하여 네트워크 범위(특정 IP 주소 아님)를 입력합니다. 예를 들어 192.168.99.0/24를 입력합니다.
피어 ID 피어 사이트를 고유하게 식별할 피어 ID를 입력합니다. 피어 ID는 VPN 연결을 종료하는 원격 디바이스를 고유하게 식별하는 식별자이며 일반적으로 해당 디바이스의 공개 IP 주소입니다.
인증서 인증을 사용하는 피어의 경우 ID는 피어 인증서의 고유 이름이어야 합니다. PSK 피어의 경우 이 ID는 임의의 문자열일 수 있습니다. NSX 모범 사례는 원격 디바이스의 IP 주소 또는 FQDN을 피어 ID로 사용하는 것입니다.
피어 IP 주소가 다른 조직 가상 데이터 센터 네트워크의 주소인 경우 피어의 기본 IP 주소를 입력합니다. 피어에 NAT가 구성된 경우 피어의 개인 IP 주소를 입력합니다.
피어 끝점 피어 사이트의 IP 주소 또는 FQDN을 입력합니다. 이는 연결하는 원격 디바이스의 공용 주소입니다. 참고: 피어에 NAT가 구성된 경우 디바이스가 NAT에 사용하는 공개 IP 주소를 입력합니다.피어 서브넷 VPN이 연결하는 원격 네트워크를 입력하고, 서브넷을 여러 개 입력하려면 쉼표를 구분 기호로 사용합니다. CIDR 형식을 사용하여 IP 주소를 입력하여 네트워크 범위(특정 IP 주소 아님)를 입력합니다. 예를 들어 192.168.99.0/24를 입력합니다.
암호화 알고리즘 드롭다운 메뉴에서 암호화 알고리즘 유형을 선택합니다. 참고: 원격 사이트 VPN 디바이스에 구성된 암호화 유형과 일치하는 암호화 유형을 선택해야 합니다.인증 인증을 선택합니다. 옵션은 다음과 같습니다. - PSK
PSK(미리 공유한 키)는 Edge 게이트웨이와 피어 사이트 간에 공유되는 비밀 키를 인증에 사용하도록 지정합니다.
- 인증서
인증서 인증은 글로벌 수준에서 정의된 인증서를 인증에 사용하도록 지정합니다. 이 옵션은 IPsec VPN 탭의 글로벌 구성 화면에서 글로벌 인증서를 구성한 경우에만 사용할 수 있습니다.
공유 키 변경 (선택 사항) 기존 연결의 설정을 업데이트하는 경우 이 옵션을 사용하도록 설정하여 미리 공유한 키 필드를 사용할 수 있도록 한 후 공유 키를 업데이트할 수 있습니다. 미리 공유한 키 인증 유형으로 PSK를 선택한 경우, 최대 길이가 128바이트인 영숫자 암호 문자열을 입력합니다. 참고: 공유 키는 원격 사이트 VPN 디바이스에 구성된 키와 일치해야 합니다. 모범 사례는 익명 사이트가 VPN 서비스에 연결할 때 공유 키를 구성하는 것입니다.공유 키 표시 (선택 사항) 공유 키를 화면에 표시하려면 이 옵션을 사용하도록 설정합니다. Diffie-Hellman 그룹 피어 사이트와 이 Edge 게이트웨이가 비보안 통신 채널을 통해 공유 암호를 설정하는 것을 허용하는 암호화 체계를 선택합니다. 참고: Diffie-Hellman 그룹은 원격 사이트 VPN 디바이스에 구성된 Diffie-Hellman 그룹과 일치해야 합니다.확장 (선택 사항) 다음 옵션 중 하나를 입력합니다. securelocaltrafficbyip=
IPAddress - Edge 게이트웨이 로컬 트래픽을 IPsec VPN 터널을 통해 리디렉션합니다.기본값입니다.
passthroughSubnets=
PeerSubnetIPAddress - 서브넷을 겹칠 수 있습니다.
- PSK
- 유지를 클릭합니다.
- 변경 내용 저장을 클릭합니다.
다음에 수행할 작업
원격 사이트에 대한 연결을 구성합니다. 연결의 양쪽(조직 가상 데이터 센터와 피어 사이트)에서 IPsec VPN 연결을 구성해야 합니다.
이 Edge 게이트웨이에서 IPsec VPN 서비스를 사용하도록 설정합니다. IPsec VPN 연결을 하나 이상 구성한 경우 서비스를 사용하도록 설정할 수 있습니다. VMware Cloud Director Service Provider Admin Portal에서 NSX Data Center for vSphere Edge 게이트웨이의 IPsec VPN 서비스 사용의 내용을 참조하십시오.