정책 기반 VPN은 IPsec 터널 및 이것을 트래픽이 사용하는 방법을 지정하는 정책을 생성합니다. 정책 기반 VPN을 사용하는 경우에는 새 경로가 추가될 때 네트워크 양쪽 끝에서 라우팅 테이블을 업데이트해야 합니다.

VMware Cloud on AWS SDDC의 정책 기반 VPN은 IPsec 프로토콜을 사용하여 트래픽을 보호합니다. 정책 기반 VPN을 생성하려면 로컬(SDDC) 끝점을 구성한 다음, 일치하는 원격(온-프레미스) 끝점을 구성합니다. 각 정책 기반 VPN은 각 네트워크에 대해 새로운 IPsec 보안 연결을 생성해야 하기 때문에 관리자는 새 정책 기반 VPN이 생성될 때마다 온-프레미스 및 SDDC에서 라우팅 정보를 업데이트해야 합니다. VPN의 양쪽 끝에 네트워크가 몇 개밖에 없거나 온-프레미스 네트워크 하드웨어가 BGP(경로 기반 VPN에 필요함)를 지원하지 않는 경우에는 정책 기반 VPN을 선택하는 것이 적절할 수 있습니다.

중요:

SDDC에 정책 기반 VPN과 경로 기반 VPN이 모두 포함되어 있는 경우 경로 기반 VPN이 SDDC에 기본 경로(0.0.0.0/0)를 보급하면 정책 기반 VPN을 통한 연결이 실패합니다.

프로시저

  1. https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.
  2. 네트워킹 및 보안 > VPN > 정책 기반을 선택합니다.
  3. VPN 추가를 클릭하고 새 VPN에 이름설명(선택 사항)을 지정합니다.
  4. 드롭다운 메뉴에서 로컬 IP 주소를 선택합니다.
    • 이 SDDC가 SDDC 그룹의 멤버이거나 AWS Direct Connect를 사용하도록 구성된 경우 VPN이 인터넷을 통한 연결 대신 해당 연결을 사용하도록 개인 IP 주소를 선택합니다. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect 또는 VMware 관리 Transit Gateway(VTGW)를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성의 내용을 참조하십시오.
    • 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.
  5. 온-프레미스 게이트웨이의 원격 공용 IP 주소를 입력합니다.
    주소가 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN 연결에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정책 기반 또는 L2VPN)만 생성할 수 있습니다. 단계 4에서 공용 IP를 지정한 경우에는 인터넷을 통해 이 IP 주소에 연결할 수 있어야 합니다. 개인 IP를 지정한 경우에는 Direct Connect를 통해 전용 VIF에 연결할 수 있어야 합니다. 기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트래픽을 허용하지만 VPN 터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.
  6. 이 VPN이 연결할 수 있는 원격 네트워크를 지정합니다.
    이 목록에는 온-프레미스 VPN 게이트웨이에서 로컬로 정의된 모든 네트워크가 포함되어야 합니다. 각 네트워크를 CIDR 형식으로 입력하고 여러 CIDR 블록은 쉼표로 구분합니다.
  7. 이 VPN이 연결할 수 있는로컬 네트워크를 지정합니다.
    이 목록에는 SDDC의 라우팅된 모든 계산 네트워크는 물론 전체 관리 네트워크와 장치 서브넷(vCenter 및 기타 관리 장치를 포함하지만 ESXi 호스트는 포함하지 않는 관리 네트워크의 일부)이 포함됩니다. 또한 CGW DNS 서비스를 통해 전달되는 소스 요청에 사용되는 단일 IP 주소인 CGW DNS 네트워크도 포함됩니다.
  8. 미리 공유한 키 문자열을 입력합니다.

    최대 키 길이는 128자입니다. 이 키는 VPN 터널의 양쪽 끝에 대해 동일해야 합니다.

  9. (선택 사항) 온-프레미스 게이트웨이가 NAT 디바이스 뒤에 있는 경우 게이트웨이 주소를 원격 개인 IP로 입력합니다.
    이 IP 주소는 온-프레미스 VPN 게이트웨이에서 전송된 로컬 ID(IKE ID)와 일치해야 합니다. 이 필드가 비어 있으면 원격 공용 IP 필드가 온-프레미스 VPN 게이트웨이의 로컬 ID와 일치시키는 데 사용됩니다.
  10. 고급 터널 매개 변수를 구성합니다.
    매개 변수
    IKE 프로파일 > IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.
    IKE 프로파일 > IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니다. IKE 다이제스트 알고리즘터널 다이제스트 알고리즘 모두에 대해 동일한 알고리즘을 사용하는 것이 가장 좋습니다.
    참고:

    IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다.

    .
    IKE 프로파일 > IKE 버전
    • IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.
    • IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.
    • IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.
    IKE 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
    IPSec 프로파일 > Tunnel 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니다.
    IPSec 프로파일 Tunnel 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합니다.
    참고:

    터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.

    IPSec 프로파일 > Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경우 기록된(과거) 세션의 암호가 해독되지 않습니다.
    IPSec 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
    DPD 프로파일 > DPD 프로브 모드 주기적 또는 주문형 중 하나.

    주기적 DPD 프로브 모드의 경우 지정된 DPD 프로브 간격 시간에 도달할 때마다 DPD 프로브가 전송됩니다.

    주문형 DPD 프로브 모드의 경우 유휴 기간이 지난 후 피어 사이트에서 IPSec 패킷이 수신되지 않으면 DPD 프로브가 전송됩니다. DPD 프로브 간격의 값은 사용되는 유휴 기간을 나타냅니다.

    DPD 프로파일 > 재시도 횟수 허용되는 재시도 횟수(정수)입니다. 1~100 범위의 값이 유효합니다. 기본 재시도 횟수는 10입니다.
    DPD 프로파일 > DPD 프로브 간격 DPD 프로브를 보내는 사이에 NSX IKE 데몬이 대기할 시간(초)입니다.

    주기적 DPD 프로브 모드의 경우 유효한 값은 3~360초입니다. 기본값은 60초입니다.

    주문형 프로브 모드의 경우 유효한 값은 1~10초입니다. 기본값은 3초입니다.

    주기적 DPD 프로브 모드가 설정되어 있으면 IKE 데몬은 주기적으로 DPD 프로브를 보냅니다. 피어 사이트가 0.5초 내에 응답하면 구성된 DPD 프로브 간격 시간에 도달한 후에 다음 DPD 프로브를 보냅니다. 피어 사이트가 응답하지 않으면 0.5초 동안 기다린 후 DPD 프로브를 다시 보냅니다. 원격 피어 사이트가 계속 응답하지 않으면 IKE 데몬은 응답을 받거나 재시도 횟수에 도달할 때까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언되기 전에 IKE 데몬은 재시도 횟수 속성에 지정된 최대 횟수까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언된 후 NSX는 비활성 피어의 링크에서 SA(보안 연결)를 해체합니다.

    주문형 DPD 모드가 설정되어 있으면 구성된 DPD 프로브 간격 시간에 도달한 후에 피어 사이트에서 IPSec 트래픽을 받지 않은 경우에만 DPD 프로브를 보냅니다.

    DPD 프로파일 > 관리 상태 DPD 프로파일을 사용하거나 사용하지 않도록 설정하려면 관리 상태 토글을 클릭합니다. 기본적으로 이 값은 사용으로 설정됩니다. DPD 프로파일을 사용하도록 설정하면 DPD 프로파일을 사용하는 IPSec VPN 서비스의 모든 IPSec 세션에 DPD 프로파일이 사용됩니다.
    TCP MSS 클램핑 IPsec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후 필요에 따라 TCP MSS 값을 설정합니다. "NSX-T Data Center 관리 가이드" 에서 TCP MSS 클램핑 이해를 참조하십시오.
  11. (선택 사항) VPN에 태그를 지정합니다.

    NSX-T 개체 태그 지정에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 개체에 태그 추가를 참조하십시오.

  12. 저장을 클릭합니다.

결과

VPN 생성 프로세스에 몇 분 정도 걸릴 수 있습니다. 정책 기반 VPN을 사용할 수 있게 되면 다음 작업을 통해 온-프레미스의 VPN 끝 부분에 대한 문제를 해결하고 구성할 수 있습니다.
  • 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를 사용하여 이 VPN의 온-프레미스 끝을 구성할 수 있습니다.
  • 통계 보기를 클릭하여 이 VPN의 패킷 트래픽 통계를 봅니다. VPN 터널 상태 및 통계 보기의 내용을 참조하십시오.

다음에 수행할 작업

필요에 따라 방화벽 규칙을 생성하거나 업데이트합니다. 정책 기반 VPN을 통한 트래픽을 허용하려면 적용 대상 필드에 인터넷 인터페이스를 지정합니다.