로컬 사이트의 NSX Edge와 피어 사이트의 원격 VPN 게이트웨이 간에 경로 기반 IPSec 터널을 구성하려고 합니다.

로컬 및 원격 서브넷을 구성하는 정책 기반 IPSec 터널 구성과 달리, 경로 기반 IPSec 터널 구성에서는 서로 통신하려는 로컬 및 피어 서브넷을 정의하지 않습니다. 경로 기반 IPSec 터널 구성에서는 로컬 및 피어 사이트 둘 다에서 개인 IP 주소로 VTI를 정의해야 합니다. 로컬 서브넷의 트래픽은 VTI를 통해 피어 서브넷으로 라우팅됩니다. BGP와 같은 동적 라우팅 프로토콜을 사용하여 IPSec 터널을 통해 트래픽을 라우팅합니다. 동적 라우팅 프로토콜은 IPSec 터널을 사용하여 로컬 서브넷이 피어 서브넷으로 라우팅되는 트래픽을 결정합니다.

다음 단계에서는 두 사이트 간에 경로 기반 IPSec 터널을 구성하는 절차를 설명합니다.
  1. 로컬 NSX Edge에서 IPSec VPN 매개 변수를 구성합니다. NSX Data Center 6.4.2 이상에서는 REST API를 사용해야만 경로 기반 IPSec VPN 매개 변수를 구성할 수 있습니다. 자세한 내용은 "NSXAPI 가이드" 를 참조하십시오.
    • 로컬 NSX Edge 게이트웨이를 식별하기 위한 로컬 끝점 IP 주소 및 로컬 ID
    • 피어 VPN 게이트웨이를 식별하기 위한 피어 끝점 IP 주소 및 피어 ID
    • 두 사이트 간 보안 연결을 설정하기 위한 IKE 버전
    • 다이제스트 알고리즘
    • 암호화 알고리즘
    • 인증 메커니즘(미리 공유한 키 또는 인증서)
    • DH(Diffie-hellman) 그룹 공개 키 암호화 체계
    • Perfect Forward Secrecy를 사용하거나 사용하지 않도록 설정합니다.
    • 응답자 전용 모드를 사용하거나 사용하지 않도록 설정합니다.
    • NSX Edge의 VTI(가상 터널 인터페이스) VTI에 대한 정적 개인 IP 주소를 제공합니다.
    참고: 사용자가 구성한 VTI는 정적 VTI입니다. 따라서 둘 이상의 IP 주소를 가질 수 없습니다. 로컬 및 피어 사이트 둘 다의 VTI IP 주소가 동일한 서브넷에 있는지 확인하는 것이 좋습니다.
  2. IPSec 구성 다운로드 API를 사용하여 참조용으로 피어 구성을 가져오고 피어 VPN 게이트웨이를 구성합니다.
  3. 두 사이트 모두에서 VTI 간에 BGP 피어링을 구성합니다. 피어링을 구성하면 로컬 사이트의 BGP가 피어 VPN 게이트웨이에 로컬 서브넷을 보급하고, 마찬가지로 피어 사이트의 BGP가 로컬 VPN 게이트웨이에 원격 서브넷을 보급하게 됩니다. BGP 구성에 대한 자세한 내용은 "NSX 관리 가이드" 의 "라우팅" 섹션을 참조하십시오.
    중요: NSX 6.4.2 이상에서 IPSec 터널을 통한 정적 라우팅 및 OSPF 동적 라우팅은 지원되지 않습니다.
  4. 둘 이상의 터널을 통해 터널 이중화를 구성하려는 경우 BGP 보류(Hold Down) 타이머 및 연결 유지(Keep Alive) 타이머 값을 구성합니다. 타이머 값은 필요한 페일오버 시간 내에 원격 VPN 게이트웨이와의 끊어진 연결을 감지하는 데 유용합니다.

로컬 NSX Edge와 원격 Cisco CSR 1000V VPN 게이트웨이 간에 경로 기반 IPSec 터널을 구성하는 방법에 대한 자세한 예제를 보려면 Cisco CSR 1000V 장치 사용을 참조하십시오.