VMware Cloud DirectorNSX Edge 게이트웨이 인스턴스와 원격 사이트 간에 사이트 간 정책 기반 및 경로 기반 IPSec VPN을 지원합니다.

IPSec VPN은 NSX를 사용하는 원격 사이트 또는 IPSec을 지원하는 VPN 게이트웨이나 타사 하드웨어 라우터가 있는 원격 사이트와 Edge 게이트웨이 사이에 사이트 간 연결을 제공합니다.

정책 기반 IPSec VPN을 사용하려면 VPN 정책을 패킷에 적용하여 VPN 터널을 통과하기 전에 IPSec에서 보호할 트래픽을 결정해야 합니다. 이러한 유형의 VPN은 로컬 네트워크 토폴로지 및 구성이 변경될 때 변경 내용을 수용하도록 VPN 정책 설정도 업데이트되어야 하기 때문에 정적으로 간주됩니다.

NSX Edge 게이트웨이는 IPSec 트래픽이 라우팅 우선 순위를 갖는 분할 터널 구성을 지원합니다.

NSX Edge 게이트웨이에서 IPSec VPN을 사용하는 경우 VMware Cloud Director는 자동 라우트 재분산을 지원합니다.

버전 10.6부터 사이트 간 경로 기반 IPSec VPN을 구성할 수 있습니다. NSX Edge 게이트웨이에 대한 경로 기반 IPSec VPN의 경우 VMware Cloud Director가 정적 경로만 지원합니다. 경로 기반 IPSec VPN은 표준 라우팅 프로토콜을 사용하며 확장성을 향상합니다. 더 크고 복잡한 네트워크에 더 적합합니다.

VMware Cloud Director Service Provider Admin Portal에서 NSX IPSec VPN 구성

NSX Edge 게이트웨이와 원격 사이트 간에 사이트 간 연결을 구성할 수 있습니다. 원격 사이트는 NSX를 사용하거나 IPSec을 지원하는 VPN 게이트웨이 또는 타사 하드웨어 라우터를 사용해야 합니다.

NSX Edge 게이트웨이에서 IPSec VPN을 구성하는 경우 VMware Cloud Director는 자동 라우트 재분산을 지원합니다.

사전 요구 사항

  • NSX 경로 기반 IPSec VPN 터널을 구성하려면 정적 라우팅을 구성합니다. VMware Cloud Director Service Provider Admin Portal에서 NSX Edge 게이트웨이에 정적 라우팅 구성의 내용을 참조하십시오.
  • 인증서 인증을 사용하여 IPSec VPN 통신을 보호하려는 경우 시스템 관리자가 로컬 NSX Edge 게이트웨이에 대한 서버 인증서와 조직에 대한 CA 인증서를 VMware Cloud Director 인증서 라이브러리에 업로드했는지 확인합니다.
  • 테넌트가 사용할 수 있는 보안 프로파일의 수를 제한하려는 경우 VMware Cloud Director CMT(셀 관리 도구)의 manage-config 하위 명령을 사용할 수 있습니다. 예를 들어 목록을 FIPSFoundation으로 제한하려면 다음 CMT 명령을 실행합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

프로시저

  1. 기본 왼쪽 탐색 패널에서 리소스를 선택하고 페이지 상단 탐색 모음에서 클라우드 리소스를 선택합니다.
  2. 보조 왼쪽 패널에서 Edge 게이트웨이를 선택하고 대상 Edge 게이트웨이의 이름을 클릭합니다.
  3. 서비스 아래에서 IPSec VPN을 클릭하고 새로 만들기를 클릭합니다.
  4. IPSec VPN 터널의 이름과 설명(선택 사항)을 입력합니다.
  5. IPSec VPN 터널 유형을 선택합니다.
    버전 10.6부터 VMware Cloud Director는 정적 경로에 대해 경로 기반 IPSec VPN을 지원합니다.
  6. 전송된 데이터를 보호하기 위한 보안 프로파일을 선택합니다.
  7. 생성 시 터널을 사용하도록 설정하려면 상태 토글을 설정합니다.
  8. 로깅을 사용하도록 설정하려면 로깅 토글을 설정합니다.
  9. 다음을 클릭합니다.
  10. 피어 인증 모드를 선택합니다.
    옵션 설명
    미리 공유한 키 입력할 미리 공유한 키를 선택합니다. 미리 공유한 키는 IPSec VPN 터널의 다른 쪽 끝에서 동일해야 합니다.
    인증서 인증에 사용할 사이트 및 CA 인증서를 선택합니다.
  11. 드롭다운 메뉴에서 로컬 끝점에 대해 Edge 게이트웨이에서 사용할 수 있는 IP 주소 중 하나를 선택합니다.
    IP 주소는 Edge 게이트웨이의 기본 IP이거나 Edge 게이트웨이에 개별적으로 할당된 IP 주소여야 합니다.
  12. 정책 기반 IPSec VPN을 구성하는 경우 IPSec VPN 터널에 사용할 하나 이상의 로컬 IP 서브넷 주소를 CIDR 표기법으로 입력합니다.
  13. 원격 끝점의 IP 주소를 입력합니다.
  14. 정책 기반 IPSec VPN을 구성하는 경우 IPSec VPN 터널에 사용할 하나 이상의 원격 IP 서브넷 주소를 CIDR 표기법으로 입력합니다.
  15. 피어 사이트의 원격 ID를 입력합니다.
    원격 ID는 원격 끝점 인증서(사용 가능한 경우)의 SAN(주체 대체 이름)과 일치해야 합니다. 원격 인증서에 SAN이 포함되어 있지 않으면 원격 ID는 원격 끝점을 보호하는 데 사용되는 인증서의 고유 이름과 일치해야 합니다(예: C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1).
  16. 경로 기반 IPSec VPN을 구성하는 경우 VTI(가상 터널 인터페이스)에 대해 올바른 IPv4 CIDR, IPv6 CIDR 또는 각각 하나씩 쉼표로 구분하여 입력합니다.

    VTI(가상 터널 인터페이스)는 네트워크 디바이스에서 IPSec 터널의 끝점을 나타냅니다.

  17. 다음을 클릭합니다.
  18. 설정을 검토하고 마침을 클릭합니다.

결과

새로 만들어진 IPSec VPN 터널은 IPSec VPN 보기에 나열됩니다.

다음에 수행할 작업

  • 터널이 작동하는지 확인하려면 해당 터널을 선택하고 통계 보기를 클릭합니다.

    터널이 작동하는 경우 터널 상태IKE 서비스 상태가 모두 작동으로 표시됩니다.

  • IPSec VPN 터널의 원격 끝점을 구성합니다.
  • IPSec VPN 터널 설정을 편집하고 필요에 따라 해당 보안 프로파일을 사용자 지정할 수 있습니다.

VMware Cloud Director Service Provider Admin Portal에서 IPSec VPN 터널의 보안 프로파일 사용자 지정

생성 시 IPSec VPN 터널에 할당되었던 시스템 생성 보안 프로파일을 사용하지 않기로 결정한 경우 이를 사용자 지정할 수 있습니다.

프로시저

  1. 기본 왼쪽 탐색 패널에서 리소스를 선택하고 페이지 상단 탐색 모음에서 클라우드 리소스를 선택합니다.
  2. 보조 왼쪽 패널에서 Edge 게이트웨이를 선택하고 대상 Edge 게이트웨이의 이름을 클릭합니다.
  3. 서비스에서 IPSec VPN을 클릭합니다.
  4. IPSec VPN 터널을 선택하고 보안 프로파일 사용자 지정을 클릭합니다.
  5. IKE 프로파일을 구성합니다.
    IKE(Internet Key Exchange) 프로파일은 IKE 터널을 설정할 때 네트워크 사이트 간에 공유 암호를 인증, 암호화 및 설정하는 데 사용되는 알고리즘에 대한 정보를 제공합니다.
    1. IPSec 프로토콜 그룹에서 SA(보안 연결)를 설정할 IKE 프로토콜 버전을 선택합니다.
      옵션 설명
      IKEv1 이 옵션을 선택하면 IPSec VPN이 시작되고 IKEv1 프로토콜에만 응답합니다.
      IKEv2 기본 옵션입니다. 이 버전을 선택하면 IPSec VPN이 시작되고 IKEv2 프로토콜에만 응답합니다.
      IKE-Flex 이 옵션을 선택하는 경우 IKEv2 프로토콜을 사용한 터널 설정이 실패하면 소스 사이트가 폴백되지 않고 IKEv1 프로토콜을 사용한 연결을 시작합니다. 대신 원격 사이트에서 IKEv1 프로토콜을 사용한 연결을 시작하면 연결이 허용됩니다.
    2. IKE(Internet Key Exchange) 협상 중에 사용할 지원되는 암호화 알고리즘을 선택합니다.
    3. 다이제스트 드롭다운 메뉴에서 IKE 협상 중에 사용할 보안 해싱 알고리즘을 선택합니다.
    4. Diffie-Hellman 그룹 드롭다운 메뉴에서 피어 사이트 및 Edge 게이트웨이가 비보안 통신 채널을 통해 공유 암호를 설정하도록 허용하는 암호화 체계 중 하나를 선택합니다.
    5. (선택 사항) 연결 수명 텍스트 상자에서 IPSec 터널을 재설정해야 하는 기본 시간(초)을 수정합니다.
  6. IPSec VPN 터널을 구성합니다.
    1. 전달 완전 보안을 사용하도록 설정하려면 옵션의 토글을 켭니다.
    2. 조각 모음 정책을 선택합니다.
      조각 모음 정책은 내부 패킷에 있는 조각 모음 비트를 처리하는 데 도움이 됩니다.
      옵션 설명
      복사 조각 모음 비트를 내부 IP 패킷에서 외부 패킷으로 복사합니다.
      지우기 내부 패킷에 있는 조각 모음 비트를 무시합니다.
    3. IKE(Internet Key Exchange) 협상 중에 사용할 지원되는 암호화 알고리즘을 선택합니다.
    4. 다이제스트 드롭다운 메뉴에서 IKE 협상 중에 사용할 보안 해싱 알고리즘을 선택합니다.
    5. Diffie-Hellman 그룹 드롭다운 메뉴에서 피어 사이트 및 Edge 게이트웨이가 비보안 통신 채널을 통해 공유 암호를 설정하도록 허용하는 암호화 체계 중 하나를 선택합니다.
    6. (선택 사항) 연결 수명 텍스트 상자에서 IPSec 터널을 재설정해야 하는 기본 시간(초)을 수정합니다.
  7. (선택 사항) 검색 간격 텍스트 상자에서 비활성 피어 감지를 위한 기본 시간(초)을 수정합니다.
  8. 저장을 클릭합니다.

결과

IPSec VPN 보기에서 IPSec VPN 터널의 보안 프로파일이 사용자 정의로 표시됩니다.