IPSec VPN 서비스를 제공하려면 NSX Edge에 외부 IP 주소를 하나 이상 구성해야 합니다.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)를 클릭합니다.
  3. NSX Edge를 두 번 클릭합니다.
  4. 관리 > VPN > IPSec VPN을 클릭합니다.
  5. 추가(Add)를 클릭합니다.
  6. IPSec VPN 사이트의 이름을 입력합니다.
  7. IPSec VPN 사이트의 끝점 매개 변수를 구성합니다.
    1. 로컬 NSX Edge 인스턴스를 식별하기 위한 로컬 ID를 입력합니다. 이 로컬 ID는 원격 사이트의 피어 ID입니다.
      로컬 ID는 임의의 문자열일 수 있습니다. 가능하면, VPN의 공용 IP 주소 또는 VPN 서비스의 FQDN(정규화된 도메인 이름)을 로컬 ID로 사용합니다.
    2. 로컬 끝점의 IP 주소 또는 FQDN을 입력합니다.
      사전 공유 키를 사용하는 IP 터널에 IP를 추가하는 경우에는 로컬 ID와 로컬 끝점 IP가 같을 수 있습니다.
    3. IPSec VPN 사이트 간에 공유할 서브넷을 CIDR 형식으로 입력합니다. 서브넷을 여러 개 입력하려면 구분 문자로 쉼표를 사용합니다.
    4. 피어 사이트를 식별할 피어 ID를 입력합니다.
      • 인증서 인증을 사용하는 피어의 경우 이 ID는 피어 인증서의 DN(고유 이름)이어야 합니다. 인증서의 DN을 다음 순서에 따라 공백 없이 쉼표로 구분된 값의 문자열로 입력합니다. C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.
      • PSK 피어의 경우에는 피어 ID가 임의의 문자열일 수 있습니다. 가능하면 VPN 서비스의 FQDN 또는 VPN의 공용 IP 주소를 피어 ID로 사용하는 것이 좋습니다.
      참고: Edge에 원격 IPSec 피어에 도달할 수 있는 업링크 인터페이스가 두 개 이상 있는 경우, IPSec 트래픽이 로컬 피어 IP로 구성된 Edge 인터페이스에서 벗어나도록 라우팅을 해야 합니다.
    5. 피어 끝점의 IP 주소 또는 FQDN을 입력합니다. 기본값은 모두입니다. 기본값을 유지하는 경우에 글로벌 PSK를 구성해야 합니다.
    6. 피어 서브넷의 내부 IP 주소를 CIDR 형식으로 입력합니다. 서브넷을 여러 개 입력하려면 구분 문자로 쉼표를 사용합니다.
  8. 터널 매개 변수를 구성합니다.
    1. (선택 사항) 보안 규정 준수 제품군을 선택하여 해당 제품군에서 미리 정의된 값으로 IPSec VPN 사이트의 보안 프로파일을 구성합니다.
      기본 선택 항목은 없음으로, 인증 방법, IKE 프로파일 및 터널 프로파일에 대한 구성 값을 수동으로 지정해야 함을 의미합니다. 규정 준수 제품군을 선택하는 경우 표준 규정 준수 제품군에서 미리 정의된 값이 자동으로 할당되고 이 값은 편집할 수 없습니다. 규정 준수 제품군에 대한 자세한 내용은 지원되는 규정 준수 제품군을 참조하십시오.
      참고:
      • 규정 준수 제품군은 NSX Data Center 6.4.5 이상에서 지원됩니다.
      • Edge에서 FIPS 모드를 사용하도록 설정하는 경우 규정 준수 제품군을 지정할 수 없습니다.
    2. IPSec 프로토콜 집합에서 보안 연결(SA)을 설정하려면 다음 IKE(Internet Key Exchange) 프로토콜 중 하나를 선택합니다.
      옵션 설명
      IKEv1 이 옵션을 선택하는 경우 IPSec VPN이 시작되고 IKEv1 프로토콜에만 응답합니다.
      IKEv2 이 옵션을 선택하는 경우 IPSec VPN이 시작되고 IKEv2 프로토콜에만 응답합니다.
      IKE-Flex 이 옵션을 선택하고 IKEv2 프로토콜을 사용한 터널 설정이 실패하는 경우 소스 사이트는 폴백되지 않고 IKEv1 프로토콜을 사용한 연결을 시작하지 않습니다. 대신, 원격 사이트가 IKEv1 프로토콜을 통해 연결을 시작하면 연결이 허용됩니다.
      중요: 동일한 로컬 및 원격 끝점을 사용해서 여러 사이트를 구성하는 경우 이러한 모든 IPSec VPN 사이트에서 동일한 IKE 버전 및 PSK를 선택해야 합니다.
    3. 다이제스트 알고리즘(Digest Algorithm) 드롭다운 메뉴에서 다음과 같은 보안 해싱 알고리즘 중 하나를 선택합니다.
      • SHA1
      • SHA_256
    4. 암호화 알고리즘(Encryption Algorithm) 드롭다운 메뉴에서 다음과 같은 지원 암호화 알고리즘 중 하나를 선택합니다.
      • AES(AES128-CBC)
      • AES256(AES256-CBC)
      • Triple DES(3DES192-CBC)
      • AES-GCM(AES128-GCM)
      참고:
      • AES-GCM 암호화 알고리즘은 FIPS를 준수하지 않습니다.
      • NSX 6.4.5부터 Triple DES 암호 알고리즘이 IPSec VPN 서비스에서 더 이상 지원되지 않습니다.

      다음 표에서는 로컬 NSX Edge에서 선택하는 암호화 설정에 대해 피어 VPN 게이트웨이에서 사용되는 암호화 설정을 설명합니다.

      표 1. 암호화 설정
      NSX Edge의 암호화 설정 피어 VPN 게이트웨이의 IKE 설정 피어 VPN 게이트웨이의 IPSec 설정
      AES-256 AES-256 AES-256
      AES-128 AES-128 AES-128
      3DES 3DES 3DES
      AES-GCM, IKEv1 AES-128 AES-GCM
      AES-GCM, IKEv2 AES-128 또는 AES-GCM AES-GCM
    5. 인증 방법에서 다음 옵션 중 하나를 선택합니다.
      옵션 설명
      PSK(사전 공유 키) NSX Edge와 피어 사이트 간에 공유되는 비밀 키가 인증에 사용됨을 나타냅니다. 비밀 키는 최대 길이가 128바이트인 문자열일 수 있습니다.

      PSK 인증은 FIPS 모드에서 사용되지 않도록 설정됩니다.

      인증서 글로벌 수준에서 정의된 인증서가 인증에 사용됨을 나타냅니다.
    6. (선택 사항) 피어 IPSec VPN 사이트의 미리 공유한 키를 입력합니다.
    7. 피어 사이트에서 이 키를 표시하려면 사전 공유 키 표시(표시 아이콘) 아이콘을 클릭하거나 공유 키 표시(Display Shared Key) 확인란을 선택합니다.
    8. DH(Diffie-Hellman) 그룹(Diffie-Hellman (DH) Group) 드롭다운 메뉴에서 피어 사이트 및 NSX Edge가 비보안 통신 채널을 통해 공유 암호를 설정하도록 하는 다음과 같은 암호화 체계 중 하나를 선택합니다.
      • DH-2
      • DH-5
      • DH-14
      • DH-15
      • DH-16
      DH14는 FIPS 및 비 FIPS 모드 둘 다에 대한 기본 선택 옵션입니다. FIPS 모드가 사용되도록 설정되면 DH2 및 DH5를 사용할 수 없습니다.
  9. 고급 매개 변수를 구성합니다.
    1. 원격 IPSec VPN 사이트에서 PFS를 지원하지 않는 경우 PFS(전달 완전 보안)(Perfect forward secrecy (PFS)) 옵션을 사용하지 않도록 설정합니다. 기본적으로 PFS는 사용하도록 설정됩니다.
    2. (선택 사항) 응답자 전용 모드에서 IPSec VPN를 작동하려면 응답자 전용(Responder only) 확인란을 선택합니다.
      IPSec VPN은 이 모드에서 연결을 시작하지 않습니다.
    3. (선택 사항) 확장(Extension) 텍스트 상자에서 다음 중 하나를 입력합니다.
      • securelocaltrafficbyip=IPAddress(IPSec VPN 터널에서 Edge의 로컬 트래픽이 리디렉션됨) IP 주소는 기본값입니다. 자세한 내용은 http://kb.vmware.com/kb/20080007을 참조하십시오.
      • passthroughSubnets=PeerSubnetIPAddress(서브넷의 겹침을 지원).
  10. 추가 또는 확인(OK)을 클릭하고 변경 내용 게시(Publish Changes)를 클릭합니다.
    IPSec VPN 구성이 NSX Edge에 저장됩니다.

다음에 수행할 작업

IPSec VPN 서비스를 사용하도록 설정합니다.

팁: vSphere Web Client에서 IPSec VPN 페이지의 단계에 따라 피어 VPN 게이트웨이에 대한 구성 스크립트를 생성할 수 있습니다.
  • NSX 6.4.6 이상에서 IPSec VPN 사이트를 선택하고 작업 > 피어 구성 생성을 클릭합니다.
  • NSX 6.4.5 이하 버전에서 IPSec VPN 사이트를 선택하고 피어 구성 생성 아이콘을 클릭합니다. 대화 상자가 열리면 피어 구성 생성을 클릭합니다.

    구성 스크립트가 생성됩니다. 이 스크립트를 참조하여 피어 VPN 게이트웨이에서 IPSec VPN 매개 변수를 구성할 수 있습니다.