이 항목의 단계를 사용하여 NSX Edge 인스턴스에서 IPSec VPN을 사용하도록 설정합니다.

사전 요구 사항

인증서 인증을 사용하도록 설정하려면 서버 인증서 및 해당 CA 서명된 인증서를 가져와야 합니다. 필요한 경우 OpenSSL과 같은 오픈 소스 명령줄 도구를 사용하여 CA 서명된 인증서를 생성할 수 있습니다.

자체 서명된 인증서는 IPSec VPN에 사용할 수 없습니다. 이러한 인증서는 로드 밸런싱 및 SSL VPN에만 사용할 수 있습니다.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)를 클릭합니다.
  3. NSX Edge를 두 번 클릭합니다.
  4. 관리 > VPN > IPSec VPN을 클릭합니다.
  5. 글로벌 구성 옆의 편집 또는 변경(Change)을 클릭합니다.
  6. 피어 끝점이 "임의"로 설정된 사이트에 대해 글로벌 사전 공유 키를 입력합니다.
    사전 공유 키를 보려면 사전 공유 키 표시( 표시 아이콘) 아이콘을 클릭하거나 공유 키 표시(Display shared key) 확인란을 선택합니다.
  7. 글로벌 확장을 구성합니다.
    다음 표에서는 글로벌 확장에 대해 설명합니다.
    확장 설명
    add_spd

    허용되는 값은 onoff입니다. 기본값은 이 확장을 구성하지 않을 때도 on입니다.

    add_spd=off인 경우:
    • 보안 정책은 터널이 실행 중일 때만 설치됩니다.
    • 터널이 실행 중일 경우 패킷이 암호화된 상태로 터널을 통해 전송됩니다.
    • 터널이 다운된 경우 경로를 사용할 수 있으면 패킷이 암호화되지 않은 상태로 전송됩니다.
    add_spd=on인 경우:
    • 보안 정책은 터널 설정 여부에 관계 없이 설치됩니다.
    • 터널이 실행 중일 경우 패킷이 암호화된 상태로 터널을 통해 전송됩니다.
    • 터널이 다운된 경우 패킷이 삭제됩니다.
    ike_fragment_size MTU(최대 전송 단위)가 작으면 이 확장을 사용하여 IKE 협상 실패를 방지하도록 IKE 조각 크기를 설정할 수 있습니다. 예: ike_fragment_size=900
    ignore_df
    허용되는 값은 onoff입니다. 기본값은 off입니다.
    • ignore_df=off인 경우 NSX Edge는 평문 패킷의 "DF(don't fragment)" 비트 값을 암호화된 패킷으로 복사합니다. 즉, 평문 패킷에 DF 비트가 설정되어 있으면 암호화 후에 패킷에도 DF 비트가 설정됩니다.
    • ignore_df=on인 경우 NSX Edge는 평문 패킷의 DF 비트 값을 무시하고 암호화된 패킷에서는 DF 비트가 항상 0입니다.

    • DF 비트가 평문 패킷에서 설정되고 암호화 후의 패킷 크기가 TCP 패킷의 MTU를 초과하면 이 플래그를 on으로 설정합니다. DF 비트가 설정된 경우 패킷이 삭제되지만 해당 비트를 지우면 패킷이 조각화됩니다.

  8. 인증서 인증을 사용하도록 설정하고 해당 서비스 인증서, CA 인증서 및 CRL(인증서 해지 목록)을 선택합니다.
  9. 저장 또는 확인(OK)을 클릭하고 변경 내용 게시(Publish Changes)를 클릭합니다.