이 워크플로에 대해 VMware Cloud 콘솔 네트워킹 및 보안 탭을 사용할 수도 있습니다.

SDDC의 모든 경로 기반 VPN의 기본값은 ASN 65000입니다. 로컬 ASN은 원격 ASN과 달라야 합니다. (로컬 및 원격 ASN이 동일해야 하는 iBGP는 SDDC 네트워크에서 지원되지 않습니다.) 기본 로컬 ASN을 변경하려면 로컬 ASN 편집을 클릭하고 64521~65534(또는 4200000000~4294967294) 범위의 새 값을 입력한 후 적용을 클릭합니다.

• 이 SDDC가 SDDC 그룹의 멤버이거나 AWS Direct Connect를 사용하도록 구성된 경우 VPN이 인터넷을 통한 연결 대신 해당 연결을 사용하도록 개인 IP 주소를 선택합니다. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect 또는 VTGW(VMware 관리 Transit Gateway)를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성의 내용을 참조하십시오.
• 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.

이 주소는 이 VPN에 대한 IPsec 요청을 시작하거나 요청에 응답하는 디바이스의 주소입니다. 이 주소는 다음 요구 사항을 충족해야 합니다.

• 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN 연결에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정책 기반 또는 L2VPN)만 생성할 수 있습니다.
• 단계 6에서 공용 IP를 지정한 경우에는 인터넷을 통해 여기에 연결할 수 있어야 합니다.
• 단계 6에서 개인 IP를 지정한 경우에는 VTGW 또는 Direct Connect를 통해 전용 VIF에 연결할 수 있어야 합니다.

기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트래픽을 허용하지만 VPN 터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.

이 범위의 일부 블록은 예약된 네트워크 주소에 설명된 대로 예약되어 있습니다. 기존 네트워크와의 충돌로 인해 169.254.0.0/16 서브넷에서 네트워크를 사용할 수 없는 경우 BGP 서비스로부터 여기에서 선택한 서브넷으로의 트래픽을 허용하는 방화벽 규칙을 생성해야 합니다. 계산 게이트웨이 방화벽 규칙 추가 또는 수정의 내용을 참조하십시오.

BGP 로컬 IP/접두사 길이는 로컬 서브넷과 그 안의 IP 주소를 모두 지정하므로 입력하는 값은 /30 범위의 두 번째 또는 세 번째 주소가 되어야 하며 /30 접미사를 포함해야 합니다. 예를 들어 BGP 로컬 IP/접두사 길이가 169.254.32.1/30이면 네트워크 169.254.32.0을 생성하고 169.254.32.1을 로컬 BGP IP(가상 터널 인터페이스 또는 VTI라고도 함)로 할당합니다.

예를 들어 BGP 로컬 IP/접두사 길이를 169.254.32.1/30으로 지정한 경우 BGP 원격 IP에 대해 169.254.32.2를 사용합니다. 이 VPN의 온-프레미스 끝을 구성할 때 BGP 원격 IP에 대해 지정한 IP 주소를 로컬 BGP IP 또는 VTI 주소로 사용합니다.

• PSK 인증의 경우 미리 공유한 키 문자열을 입력합니다. 최대 키 길이는 128자입니다. 이 키는 VPN 터널의 양쪽 끝에 대해 동일해야 합니다.
• 인증서 기반 인증에 대한 자세한 내용은 IPSec VPN에 대한 인증서 기반 인증 구성 항목을 참조하십시오.

원격 공용 IP를 IKE 협상을 위한 원격 ID로 사용하려면 이 필드를 비워 두십시오. 온-프레미스 VPN 게이트웨이가 NAT 디바이스 뒤에 있거나 다른 IP를 해당 로컬 ID로 사용하는 경우에는 해당 IP를 여기에 입력합니다.

매개 변수	값
IKE 프로파일 > IKE 암호화	온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.
IKE 프로파일 > IKE 다이제스트 알고리즘	온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니다. IKE 다이제스트 알고리즘과 터널 다이제스트 알고리즘 모두에 대해 동일한 알고리즘을 사용하는 것이 가장 좋습니다. 참고: IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다. .
IKE 프로파일 > IKE 버전	IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다. IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다. IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.
IKE 프로파일 > Diffie Hellman	온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
IPSec 프로파일 > Tunnel 암호화	온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니다.
IPSec 프로파일 Tunnel 다이제스트 알고리즘	온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합니다. 참고: 터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.
IPSec 프로파일 > Perfect Forward Secrecy	온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경우 기록된(과거) 세션의 암호가 해독되지 않습니다.
IPSec 프로파일 > Diffie Hellman	온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
DPD 프로파일 > DPD 프로브 모드	주기적 또는 주문형 중 하나. 주기적 DPD 프로브 모드의 경우 지정된 DPD 프로브 간격 시간에 도달할 때마다 DPD 프로브가 전송됩니다. 주문형 DPD 프로브 모드의 경우 유휴 기간이 지난 후 피어 사이트에서 IPSec 패킷이 수신되지 않으면 DPD 프로브가 전송됩니다. DPD 프로브 간격의 값은 사용되는 유휴 기간을 나타냅니다.
DPD 프로파일 > 재시도 횟수	허용되는 재시도 횟수(정수)입니다. 1~100 범위의 값이 유효합니다. 기본 재시도 횟수는 10입니다.
DPD 프로파일 > DPD 프로브 간격	DPD 프로브를 보내는 사이에 NSX IKE 데몬이 대기할 시간(초)입니다. 주기적 DPD 프로브 모드의 경우 유효한 값은 3~360초입니다. 기본값은 60초입니다. 주문형 프로브 모드의 경우 유효한 값은 1~10초입니다. 기본값은 3초입니다. 주기적 DPD 프로브 모드가 설정되어 있으면 IKE 데몬은 주기적으로 DPD 프로브를 보냅니다. 피어 사이트가 0.5초 내에 응답하면 구성된 DPD 프로브 간격 시간에 도달한 후에 다음 DPD 프로브를 보냅니다. 피어 사이트가 응답하지 않으면 0.5초 동안 기다린 후 DPD 프로브를 다시 보냅니다. 원격 피어 사이트가 계속 응답하지 않으면 IKE 데몬은 응답을 받거나 재시도 횟수에 도달할 때까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언되기 전에 IKE 데몬은 재시도 횟수 속성에 지정된 최대 횟수까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언된 후 NSX는 비활성 피어의 링크에서 SA(보안 연결)를 해체합니다. 주문형 DPD 모드가 설정되어 있으면 구성된 DPD 프로브 간격 시간에 도달한 후에 피어 사이트에서 IPSec 트래픽을 받지 않은 경우에만 DPD 프로브를 보냅니다.
DPD 프로파일 > 관리 상태	DPD 프로파일을 사용하거나 사용하지 않도록 설정하려면 관리 상태 토글을 클릭합니다. 기본적으로 이 값은 사용으로 설정됩니다. DPD 프로파일을 사용하도록 설정하면 DPD 프로파일을 사용하는 IPSec VPN 서비스의 모든 IPSec 세션에 DPD 프로파일이 사용됩니다.
TCP MSS 클램핑	IPsec 연결 중에 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이기 위해 TCP MSS 클램핑을 사용하려면 이 옵션을 사용으로 전환한 다음 TCP MSS 방향 및 필요에 따라 TCP MSS 값을 선택합니다. "NSX Data Center 관리 가이드" 에서 TCP MSS 클램핑 이해를 참조하십시오.

NSX 개체 태그 지정에 대한 자세한 내용은 "NSX Data Center 관리 가이드" 에서 개체에 태그 추가를 참조하십시오.