정책 기반 VPN은 IPsec 터널 및 이것을 트래픽이 사용하는 방법을 지정하는 정책을 생성합니다. 정책 기반 VPN을 사용하는 경우에는 새 경로가 추가될 때 네트워크 양쪽 끝에서 라우팅 테이블을 업데이트해야 합니다.

VMware Cloud on AWS SDDC의 정책 기반 VPN은 IPsec 프로토콜을 사용하여 트래픽을 보호합니다. 정책 기반 VPN을 생성하려면 로컬(SDDC) 끝점을 구성한 다음, 일치하는 원격(온-프레미스) 끝점을 구성합니다. 각 정책 기반 VPN은 각 네트워크에 대해 새로운 IPsec 보안 연결을 생성해야 하기 때문에 관리자는 새 정책 기반 VPN이 생성될 때마다 온-프레미스 및 SDDC에서 라우팅 정보를 업데이트해야 합니다. VPN의 양쪽 끝에 네트워크가 몇 개밖에 없거나 온-프레미스 네트워크 하드웨어가 BGP(경로 기반 VPN에 필요함)를 지원하지 않는 경우에는 정책 기반 VPN을 선택하는 것이 적절할 수 있습니다.

중요:

SDDC에 정책 기반 VPN과 경로 기반 VPN이 모두 포함되어 있는 경우 경로 기반 VPN이 SDDC에 기본 경로(0.0.0.0/0)를 보급하면 정책 기반 VPN을 통한 연결이 실패합니다.

프로시저

  1. https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.
  2. 네트워킹 및 보안 > VPN > 정책 기반을 선택합니다.
  3. VPN 추가를 클릭하고 새 VPN에 이름설명(선택 사항)을 지정합니다.
  4. 드롭다운 메뉴에서 로컬 IP 주소를 선택합니다.
    • 이 SDDC가 SDDC 그룹의 멤버이거나 AWS Direct Connect를 사용하도록 구성된 경우 VPN이 인터넷을 통한 연결 대신 해당 연결을 사용하도록 개인 IP 주소를 선택합니다. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect 또는 VMware 관리 Transit Gateway(VTGW)를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성의 내용을 참조하십시오.
    • 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.
  5. 온-프레미스 게이트웨이의 원격 공용 IP 주소를 입력합니다.
    주소가 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN 연결에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정책 기반 또는 L2VPN)만 생성할 수 있습니다. 단계 4에서 공용 IP를 지정한 경우에는 인터넷을 통해 이 IP 주소에 연결할 수 있어야 합니다. 개인 IP를 지정한 경우에는 Direct Connect를 통해 전용 VIF에 연결할 수 있어야 합니다. 기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트래픽을 허용하지만 VPN 터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.
  6. (선택 사항) 온-프레미스 게이트웨이가 NAT 디바이스 뒤에 있는 경우 게이트웨이 주소를 원격 개인 IP로 입력합니다.
    이 IP 주소는 온-프레미스 VPN 게이트웨이에서 전송된 로컬 ID(IKE ID)와 일치해야 합니다. 이 필드가 비어 있으면 원격 공용 IP 필드가 온-프레미스 VPN 게이트웨이의 로컬 ID와 일치시키는 데 사용됩니다.
  7. 이 VPN이 연결할 수 있는 원격 네트워크를 지정합니다.
    이 목록에는 온-프레미스 VPN 게이트웨이에서 로컬로 정의된 모든 네트워크가 포함되어야 합니다. 각 네트워크를 CIDR 형식으로 입력하고 여러 CIDR 블록은 쉼표로 구분합니다.
  8. 이 VPN이 연결할 수 있는로컬 네트워크를 지정합니다.
    이 목록에는 SDDC의 라우팅된 모든 계산 네트워크는 물론 전체 관리 네트워크와 장치 서브넷(vCenter 및 기타 관리 장치를 포함하지만 ESXi 호스트는 포함하지 않는 관리 네트워크의 일부)이 포함됩니다. 또한 CGW DNS 서비스를 통해 전달되는 소스 요청에 사용되는 단일 IP 주소인 CGW DNS 네트워크도 포함됩니다.
  9. 고급 터널 매개 변수를 구성합니다.
    옵션 설명
    터널 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니다.
    터널 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합니다.
    참고:

    터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.

    Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경우 기록된(과거) 세션의 암호가 해독되지 않습니다.
    IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.
    IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니다. IKE 다이제스트 알고리즘터널 다이제스트 알고리즘 모두에 대해 동일한 알고리즘을 사용하는 것이 가장 좋습니다.
    참고:

    IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다.

    .
    IKE 유형
    • IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.
    • IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.
    • IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.
    Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이 값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.
    미리 공유한 키 터널의 양쪽 끝에 사용되는 미리 공유한 키를 입력하여 서로를 인증합니다.

    문자열의 최대 길이는 128자입니다.

    연결 시작 모드 연결 시작 모드는 터널 생성 프로세스에서 로컬 끝점에 사용되는 정책을 정의합니다. 다음 모드를 사용할 수 있습니다.
    이니시에이터
    기본값입니다. 이 모드에서 로컬 끝점은 VPN 터널 생성을 시작하고 피어 게이트웨이에서 들어오는 터널 설정 요청에 응답합니다.
    요청 시
    이 모드에서 로컬 끝점은 정책 규칙과 일치하는 첫 번째 패킷이 수신된 후 VPN 터널 생성을 시작합니다. 또한 들어오는 시작 요청에도 응답합니다.
    응답만
    이 모드에서는 VPN이 연결을 시작하지 않습니다. 피어 사이트는 항상 연결 요청을 시작하고 로컬 끝점은 해당 연결 요청에 응답합니다.
    TCP MSS 클램핑 IPsec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후 필요에 따라 TCP MSS 값을 설정합니다. "NSX-T Data Center 관리 가이드" 에서 TCP MSS 클램핑 이해를 참조하십시오.
  10. (선택 사항) VPN에 태그를 지정합니다.

    NSX-T 개체 태그 지정에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 개체에 태그 추가를 참조하십시오.

  11. 저장을 클릭합니다.

결과

VPN 생성 프로세스에 몇 분 정도 걸릴 수 있습니다. 정책 기반 VPN을 사용할 수 있게 되면 다음 작업을 통해 온-프레미스의 VPN 끝 부분에 대한 문제를 해결하고 구성할 수 있습니다.
  • 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를 사용하여 이 VPN의 온-프레미스 끝을 구성할 수 있습니다.
  • 통계 보기를 클릭하여 이 VPN의 패킷 트래픽 통계를 봅니다. VPN 터널 상태 및 통계 보기의 내용을 참조하십시오.

다음에 수행할 작업

필요에 따라 방화벽 규칙을 생성하거나 업데이트합니다. 정책 기반 VPN을 통한 트래픽을 허용하려면 적용 대상 필드에 인터넷 인터페이스를 지정합니다.