경로 기반 VPN은 IPsec 터널 인터페이스를 생성하고 이 인터페이스를 통해 SDDC 라우팅 테이블에 지정된 대로 트래픽을 라우팅합니다. 경로 기반 VPN은 여러 서브넷에 대해 복원력이 있고 안전한 액세스를 제공합니다. 경로 기반 VPN을 사용하면 새 네트워크가 생성될 때 새 경로가 자동으로 추가됩니다.

VMware Cloud on AWS SDDC의 경로 기반 VPN은 IPsec 프로토콜을 사용하여 트래픽을 보호하고 BGP(Border Gateway Protocol)를 사용하여 네트워크가 추가되고 제거될 때 경로를 검색하고 전파합니다. 경로 기반 VPN을 생성하려면 로컬(SDDC) 및 원격(온-프레미스) 끝점에 대한 BGP 정보를 구성한 다음 터널의 SDDC 끝에 대해 터널 보안 매개 변수를 지정합니다.
중요:

SDDC에 정책 기반 VPN과 경로 기반 VPN이 모두 포함되어 있는 경우 경로 기반 VPN이 SDDC에 기본 경로(0.0.0.0/0)를 보급하면 정책 기반 VPN을 통한 연결이 실패합니다.

프로시저

  1. https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.
  2. 네트워킹 및 보안 > VPN > 경로 기반을 클릭합니다.
  3. (선택 사항) 기본 로컬 ASN(Autonomous System Number)을 변경합니다.
    SDDC의 모든 경로 기반 VPN의 기본값은 ASN 65000입니다. 로컬 ASN은 원격 ASN과 달라야 합니다. (로컬 및 원격 ASN이 동일해야 하는 iBGP는 SDDC 네트워크에서 지원되지 않습니다.) 기본 로컬 ASN을 변경하려면 로컬 ASN 편집을 클릭하고 64521~65534(또는 4200000000~4294967294) 범위의 새 값을 입력한 후 적용을 클릭합니다.
    참고: 이 값을 변경하면 이 SDDC의 모든 경로 기반 VPN에 영향을 줍니다.
  4. VPN 추가를 클릭하고 새 VPN에 이름설명(선택 사항)을 지정합니다.
  5. 드롭다운 메뉴에서 로컬 IP 주소를 선택합니다.
    • 이 SDDC가 SDDC 그룹의 멤버이거나 AWS Direct Connect를 사용하도록 구성된 경우 VPN이 인터넷을 통한 연결 대신 해당 연결을 사용하도록 개인 IP 주소를 선택합니다. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect 또는 VMware 관리 Transit Gateway(VTGW)를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성의 내용을 참조하십시오.
    • 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.
  6. 원격 공용 IP로 온-프레미스 VPN 끝점의 주소를 입력합니다.
    이 주소는 이 VPN에 대한 IPsec 요청을 시작하거나 요청에 응답하는 디바이스의 주소입니다. 이 주소는 다음 요구 사항을 충족해야 합니다.
    • 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN 연결에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정책 기반 또는 L2VPN)만 생성할 수 있습니다.
    • 단계 5에서 공용 IP를 지정한 경우에는 인터넷을 통해 여기에 연결할 수 있어야 합니다.
    • 단계 5에서 개인 IP를 지정한 경우에는 VTGW 또는 Direct Connect를 통해 전용 VIF에 연결할 수 있어야 합니다.
    기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트래픽을 허용하지만 VPN 터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.
  7. BGP 로컬 IP/접두사 길이의 경우 169.254.0.0/16 서브넷 내에서 크기가 /30인 CIDR 블록의 네트워크 주소를 입력합니다.

    이 범위의 일부 블록은 예약된 네트워크 주소에 설명된 대로 예약되어 있습니다. 기존 네트워크와의 충돌로 인해 169.254.0.0/16 서브넷에서 네트워크를 사용할 수 없는 경우 BGP 서비스로부터 여기에서 선택한 서브넷으로의 트래픽을 허용하는 방화벽 규칙을 생성해야 합니다. 계산 게이트웨이 방화벽 규칙 추가 또는 수정의 내용을 참조하십시오.

    BGP 로컬 IP/접두사 길이는 로컬 서브넷과 그 안의 IP 주소를 모두 지정하므로 입력하는 값은 /30 범위의 두 번째 또는 세 번째 주소가 되어야 하며 /30 접미사를 포함해야 합니다. 예를 들어 BGP 로컬 IP/접두사 길이가 169.254.32.1/30이면 네트워크 169.254.32.0을 생성하고 169.254.32.1을 로컬 BGP IP(가상 터널 인터페이스 또는 VTI라고도 함)로 할당합니다.

  8. BGP 원격 IP의 경우, 단계 7에서 지정한 범위의 나머지 IP 주소를 입력합니다.
    예를 들어 BGP 로컬 IP/접두사 길이를 169.254.32.1/30으로 지정한 경우 BGP 원격 IP에 대해 169.254.32.2를 사용합니다. 이 VPN의 온-프레미스 끝을 구성할 때 BGP 원격 IP에 대해 지정한 IP 주소를 로컬 BGP IP 또는 VTI 주소로 사용합니다.
  9. BGP 인접 항목 ASN의 경우 온-프레미스 VPN 게이트웨이의 ASN을 입력합니다.
  10. 미리 공유한 키 문자열을 입력합니다.

    최대 키 길이는 128자입니다. 이 키는 VPN 터널의 양쪽 끝에 대해 동일해야 합니다.

  11. 원격 개인 IP를 지정합니다.
    원격 공용 IP를 IKE 협상을 위한 원격 ID로 사용하려면 이 필드를 비워 두십시오. 온-프레미스 VPN 게이트웨이가 NAT 디바이스 뒤에 있거나 다른 IP를 해당 로컬 ID로 사용하는 경우에는 해당 IP를 여기에 입력합니다.
  12. 고급 터널 매개 변수를 구성합니다.
    매개 변수
    IKE 프로파일 > IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.
    IKE 프로파일 > IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니다. IKE 다이제스트 알고리즘터널 다이제스트 알고리즘 모두에 대해 동일한 알고리즘을 사용하는 것이 가장 좋습니다.
    참고:

    IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다.

    .
    IKE 프로파일 > IKE 버전
    • IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.
    • IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.
    • IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.
    IKE 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
    IPSec 프로파일 > Tunnel 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니다.
    IPSec 프로파일 Tunnel 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합니다.
    참고:

    터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.

    IPSec 프로파일 > Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경우 기록된(과거) 세션의 암호가 해독되지 않습니다.
    IPSec 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
    DPD 프로파일 > DPD 프로브 모드 주기적 또는 주문형 중 하나.

    주기적 DPD 프로브 모드의 경우 지정된 DPD 프로브 간격 시간에 도달할 때마다 DPD 프로브가 전송됩니다.

    주문형 DPD 프로브 모드의 경우 유휴 기간이 지난 후 피어 사이트에서 IPSec 패킷이 수신되지 않으면 DPD 프로브가 전송됩니다. DPD 프로브 간격의 값은 사용되는 유휴 기간을 나타냅니다.

    DPD 프로파일 > 재시도 횟수 허용되는 재시도 횟수(정수)입니다. 1~100 범위의 값이 유효합니다. 기본 재시도 횟수는 10입니다.
    DPD 프로파일 > DPD 프로브 간격 DPD 프로브를 보내는 사이에 NSX IKE 데몬이 대기할 시간(초)입니다.

    주기적 DPD 프로브 모드의 경우 유효한 값은 3~360초입니다. 기본값은 60초입니다.

    주문형 프로브 모드의 경우 유효한 값은 1~10초입니다. 기본값은 3초입니다.

    주기적 DPD 프로브 모드가 설정되어 있으면 IKE 데몬은 주기적으로 DPD 프로브를 보냅니다. 피어 사이트가 0.5초 내에 응답하면 구성된 DPD 프로브 간격 시간에 도달한 후에 다음 DPD 프로브를 보냅니다. 피어 사이트가 응답하지 않으면 0.5초 동안 기다린 후 DPD 프로브를 다시 보냅니다. 원격 피어 사이트가 계속 응답하지 않으면 IKE 데몬은 응답을 받거나 재시도 횟수에 도달할 때까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언되기 전에 IKE 데몬은 재시도 횟수 속성에 지정된 최대 횟수까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언된 후 NSX는 비활성 피어의 링크에서 SA(보안 연결)를 해체합니다.

    주문형 DPD 모드가 설정되어 있으면 구성된 DPD 프로브 간격 시간에 도달한 후에 피어 사이트에서 IPSec 트래픽을 받지 않은 경우에만 DPD 프로브를 보냅니다.

    DPD 프로파일 > 관리 상태 DPD 프로파일을 사용하거나 사용하지 않도록 설정하려면 관리 상태 토글을 클릭합니다. 기본적으로 이 값은 사용으로 설정됩니다. DPD 프로파일을 사용하도록 설정하면 DPD 프로파일을 사용하는 IPSec VPN 서비스의 모든 IPSec 세션에 DPD 프로파일이 사용됩니다.
    TCP MSS 클램핑 IPsec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후 필요에 따라 TCP MSS 값을 설정합니다. "NSX-T Data Center 관리 가이드" 에서 TCP MSS 클램핑 이해를 참조하십시오.
  13. (선택 사항) 고급 BGP 매개 변수에서 온-프레미스 게이트웨이에 사용된 것과 일치하는 BGP 암호를 입력합니다.
  14. (선택 사항) VPN에 태그를 지정합니다.

    NSX-T 개체 태그 지정에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 개체에 태그 추가를 참조하십시오.

  15. 저장을 클릭합니다.

결과

VPN 생성 프로세스에 몇 분 정도 걸릴 수 있습니다. 경로 기반 VPN을 사용할 수 있게 되면 터널 상태 및 BGP 세션 상태가 표시됩니다. 다음 작업을 통해 온-프레미스의 VPN 끝 부분에 대한 문제를 해결하고 구성할 수 있습니다.
  • 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를 사용하여 이 VPN의 온-프레미스 끝을 구성할 수 있습니다.
  • 통계 보기를 클릭하여 이 VPN의 패킷 트래픽 통계를 봅니다. VPN 터널 상태 및 통계 보기의 내용을 참조하십시오.
  • 경로 보기를 클릭하여 이 VPN이 보급하고 학습한 경로의 보기를 엽니다.
  • 경로 다운로드를 클릭하여 보급된 경로 또는 학습된 경로의 목록을 CSV 형식으로 다운로드합니다.

다음에 수행할 작업

필요에 따라 방화벽 규칙을 생성하거나 업데이트합니다. 경로 기반 VPN을 통한 트래픽을 허용하려면 적용된 대상 필드의 VPN 터널 인터페이스를 지정합니다. 모든 업링크 옵션에는 라우팅된 VPN 터널이 포함되지 않습니다.