VPN을 Tier-1 게이트웨이에 연결하려면 게이트웨이에서 IPsec 서비스를 만들고 게이트웨이의 인터넷 인터페이스를 통해 IPsec VPN 트래픽을 사용하도록 설정하는 적절한 NAT 규칙을 생성해야 합니다.
SDDC 버전 1.18 이상에서는 사용자 지정 Tier-1 게이트웨이에서 종료되는 VPN을 생성하는 옵션이 있습니다. 이 구성은 특정 테넌트 또는 작업 그룹에 전용 VPN 액세스를 제공해야 하는 경우에 특히 유용합니다.
자세한 내용은 VMware Tech Zone 문서 VMC on AWS의 고객 생성 NSX T1에 대한 VPN 이해를 참조하십시오.
사전 요구 사항
NAT된 또는 라우팅된 Tier-1 게이트웨이를 생성합니다. VMware Cloud on AWS SDDC에 사용자 지정 Tier-1 게이트웨이 추가의 내용을 참조하십시오.
프로시저
- https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
- 인벤토리 > SDDC를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
- NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다.
- (선택 사항) VPN 끝점에 대한 공용 IP 주소를 요청합니다.
인터넷에서 이 VPN에 도달하려는 일반적인 경우 로컬 끝점은 공용 IP 주소여야 합니다. 공용 IP 주소 요청 또는 해제의 내용을 참조하십시오. 이 예에서는 93.184.216.34를 해당 주소로 사용합니다. DX 또는 VMware Transit Connect를 통해 이 VPN에 연결하려는 경우 SDDC 계산 네트워크에서 사용 가능한 모든 IP 주소를 사용할 수 있습니다.참고: 관리 CIDR의 서브넷은 로컬 끝점으로 사용할 수 없습니다.
- Tier-1 게이트웨이에 VPN 서비스를 추가합니다.
네트워킹 > VPN을 클릭합니다. Tier-1 탭을 열고 VPN 서비스 > 서비스 추가 > IPSec을 클릭합니다. IPsec 서비스에 이름을 지정한 다음, 드롭다운 메뉴에서 Tier-1 게이트웨이를 선택합니다. 저장을 클릭하여 서비스를 생성합니다.
- 로컬 끝점을 생성합니다.
로컬 끝점 탭을 열고 로컬 끝점 추가를 클릭합니다. 새 로컬 끝점에 이름 및 설명(선택 사항)을 입력합니다. VPN 서비스의 경우 5단계에서 생성한 IPsec 서비스의 이름을 사용합니다. IP 주소는 단계 4에서 요청한 공용 IP 주소 또는 SDDC 계산 네트워크의 사용 가능한 주소를 사용합니다. 저장을 클릭하여 로컬 끝점을 생성합니다.
- VPN을 구성합니다.
IPSec 세션 탭을 열고 IPSEC 세션 추가 드롭다운에서 경로 기반 또는 정책 기반을 선택합니다.
- VPN 서비스의 경우 5단계에서 생성한 IPsec 서비스의 이름을 사용합니다. 로컬 끝점의 경우 6단계에서 생성한 것을 사용합니다.
- 원격 IP에 온-프레미스 VPN 끝점의 주소를 입력합니다.
- 미리 공유한 키 문자열을 입력합니다.
최대 키 길이는 128자입니다. 이 키는 VPN 터널의 양쪽 끝에 대해 동일해야 합니다.
- 원격 ID를 지정합니다.
원격 IP를 IKE 협상을 위한 원격 ID로 사용하려면 이 필드를 비워 두십시오. 온-프레미스 VPN 게이트웨이가 NAT 디바이스 뒤에 있거나 다른 IP를 해당 로컬 ID로 사용하는 경우에는 해당 IP를 여기에 입력합니다.
- 고급 터널 매개 변수를 구성합니다.
매개 변수 값 IKE 프로파일 > IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다. IKE 프로파일 > IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니다. IKE 다이제스트 알고리즘과 터널 다이제스트 알고리즘 모두에 대해 동일한 알고리즘을 사용하는 것이 가장 좋습니다. 참고:IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다.
.IKE 프로파일 > IKE 버전 - IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.
- IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.
- IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.
IKE 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다. IPSec 프로파일 > Tunnel 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니다. IPSec 프로파일 Tunnel 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합니다. 참고:터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.
IPSec 프로파일 > Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경우 기록된(과거) 세션의 암호가 해독되지 않습니다. IPSec 프로파일 > Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다. DPD 프로파일 > DPD 프로브 모드 주기적 또는 주문형 중 하나. 주기적 DPD 프로브 모드의 경우 지정된 DPD 프로브 간격 시간에 도달할 때마다 DPD 프로브가 전송됩니다.
주문형 DPD 프로브 모드의 경우 유휴 기간이 지난 후 피어 사이트에서 IPSec 패킷이 수신되지 않으면 DPD 프로브가 전송됩니다. DPD 프로브 간격의 값은 사용되는 유휴 기간을 나타냅니다.
DPD 프로파일 > 재시도 횟수 허용되는 재시도 횟수(정수)입니다. 1~100 범위의 값이 유효합니다. 기본 재시도 횟수는 10입니다. DPD 프로파일 > DPD 프로브 간격 DPD 프로브를 보내는 사이에 NSX IKE 데몬이 대기할 시간(초)입니다. 주기적 DPD 프로브 모드의 경우 유효한 값은 3~360초입니다. 기본값은 60초입니다.
주문형 프로브 모드의 경우 유효한 값은 1~10초입니다. 기본값은 3초입니다.
주기적 DPD 프로브 모드가 설정되어 있으면 IKE 데몬은 주기적으로 DPD 프로브를 보냅니다. 피어 사이트가 0.5초 내에 응답하면 구성된 DPD 프로브 간격 시간에 도달한 후에 다음 DPD 프로브를 보냅니다. 피어 사이트가 응답하지 않으면 0.5초 동안 기다린 후 DPD 프로브를 다시 보냅니다. 원격 피어 사이트가 계속 응답하지 않으면 IKE 데몬은 응답을 받거나 재시도 횟수에 도달할 때까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언되기 전에 IKE 데몬은 재시도 횟수 속성에 지정된 최대 횟수까지 DPD 프로브를 다시 보냅니다. 피어 사이트가 비활성으로 선언된 후 NSX는 비활성 피어의 링크에서 SA(보안 연결)를 해체합니다.
주문형 DPD 모드가 설정되어 있으면 구성된 DPD 프로브 간격 시간에 도달한 후에 피어 사이트에서 IPSec 트래픽을 받지 않은 경우에만 DPD 프로브를 보냅니다.
DPD 프로파일 > 관리 상태 DPD 프로파일을 사용하거나 사용하지 않도록 설정하려면 관리 상태 토글을 클릭합니다. 기본적으로 이 값은 사용으로 설정됩니다. DPD 프로파일을 사용하도록 설정하면 DPD 프로파일을 사용하는 IPSec VPN 서비스의 모든 IPSec 세션에 DPD 프로파일이 사용됩니다. TCP MSS 클램핑 IPsec 연결 중에 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이기 위해 TCP MSS 클램핑을 사용하려면 이 옵션을 사용으로 전환한 다음 TCP MSS 방향 및 필요에 따라 TCP MSS 값을 선택합니다. "NSX Data Center 관리 가이드" 에서 TCP MSS 클램핑 이해를 참조하십시오. - (선택 사항) VPN에 태그를 지정합니다.
NSX 개체 태그 지정에 대한 자세한 내용은 "NSX Data Center 관리 가이드" 에서 개체에 태그 추가를 참조하십시오.
- 저장을 클릭하여 VPN을 생성합니다.
- CGW의 인터넷 인터페이스를 통해 IPsec VPN 트래픽을 허용하는 계산 게이트웨이 방화벽 규칙을 추가합니다.
게이트웨이 방화벽 탭을 열고 계산 게이트웨이를 클릭합니다. 이와 같은 규칙은 작동하지만 운영 용도로 사용하려는 것보다 더 관대할 수 있습니다. 신뢰하거나 제어하는 CIDR 블록으로 소스를 제한하는 것이 좋습니다. 이 예에서는 단계 4에서 얻은 공용 IP 주소(93.184.216.34)를 대상 주소로 사용하고 있습니다.
이름 소스 대상 서비스 적용 대상 작업 VPN 액세스 임의 93.184.216.34 IKE(NAT 통과), IKE(키 교환), IPSec VPN ESP를 포함해야 합니다. 인터넷 인터페이스 허용 - VPN의 공용 IP 주소를 외부에서 액세스할 수 있도록 NAT 규칙을 생성합니다.
네트워킹 > NAT > 인터넷으로 이동합니다. NAT 규칙 추가를 클릭하고 이와 같은 NAT 규칙을 생성합니다.
이름 공용 IP 서비스 공용 포트 내부 IP 방화벽 VPN 액세스 93.184.216.34 모든 트래픽 임의 93.184.216.34 외부 주소와 일치