경로 기반 IPSec VPN은 IPSec 처리를 적용하기 전에 패킷에 추가 캡슐화가 추가되지 않는다는 점을 제외하고 IPSec을 통한 GRE(일반 라우팅 캡슐화)와 비슷합니다.

이 VPN 터널링 접근법에서는 VTI(가상 터널 인터페이스)가 ESG 장치에서 생성됩니다. 각 VTI는 IPSec 터널과 연결됩니다. 암호화된 트래픽은 VTI 인터페이스를 통해 한 사이트에서 다른 사이트로 라우팅됩니다. IPSec 처리는 VTI 인터페이스에서만 발생합니다.

VPN 터널 이중화

경로 기반 IPSec VPN 서비스를 사용하여 VPN 터널 이중화를 구성할 수 있습니다. 터널 이중화는 ISP 링크에 장애가 발생할 경우 또는 원격 VPN 게이트웨이가 실패하는 경우 두 사이트 간에 중단 없는 데이터 경로 연결을 제공합니다.

중요:
  • NSX Data Center 6.4.2 이상에서 IPSec VPN 터널 이중화는 BGP를 사용해야만 지원됩니다. IPSec VPN 터널을 통한 라우팅에 대해서는 OSPF 동적 라우팅이 지원되지 않습니다.
  • VPN 터널 이중화를 달성하려면 경로 기반 IPSec VPN 터널에 대해 정적 라우팅을 사용하지 마십시오.

다음 그림은 두 사이트 간의 IPSec VPN 터널 이중화를 논리적으로 보여 줍니다. 이 그림에서 사이트 A와 사이트 B는 2개의 데이터 센터를 나타냅니다. 이 예에서는 사이트 A에는 NSX에서 관리되지 않을 수 있는 Edge VPN Gateway가 있고 사이트 B에는 NSX에서 관리되는 Edge Gateway 가상 장치가 있다고 가정합니다.

그림 1. 경로 기반 IPSec VPN의 터널 이중화
다이어그램은 BGP 동적 라우팅을 사용하여 두 데이터 센터 사이트 A와 사이트 B 간의 IPsec VPN 터널 이중화를 보여 줍니다.

그림에 나와 있는 것처럼 VTI를 사용하여 두 개의 독립 IPSec VPN 터널을 구성할 수 있습니다. 동적 라우팅은 터널 이중화를 달성하기 위해 BGP 프로토콜을 사용하여 구성됩니다. 두 IPSec VPN 터널은 사용 가능한 경우 둘 다 서비스 가능 상태를 유지합니다. ESG를 통해 사이트 A에서 사이트 B로 경로가 지정된 모든 트래픽은 VTI를 통해 라우팅됩니다. 데이터 트래픽은 IPSec 처리를 거치고 연결된 ESG 업링크 인터페이스에서 벗어납니다. ESG 업링크 인터페이스의 사이트 B VPN 게이트웨이에서 수신된 모든 들어오는 IPSec 트래픽이 암호 해독 후에 VTI로 전달되면 일반적인 라우팅이 발생합니다.

필요한 페일오버 시간 내에 피어와의 연결 끊김을 감지하도록 BGP 보류 타이머 및 연결 유지 타이머 값을 구성해야 합니다.

경로 기반 IPSec VPN 서비스에 대해 기억해야 하는 몇 가지 핵심 사항은 다음과 같습니다.
  • 동일한 ESG 장치에서 정책 기반 IPSec VPN 터널 및 경로 기반 IPSec 터널을 구성할 수 있습니다. 하지만 동일한 VPN 피어 사이트를 사용하여 정책 기반 터널과 경로 기반 터널을 구성할 수 없습니다.
  • NSX는 단일 ESG 장치에서 최대 32개의 VTI를 지원합니다. 즉, 최대 32개의 경로 기반 VPN 피어 사이트를 구성할 수 있습니다.
  • NSX는 기존의 정책 기반 IPSec VPN 터널을 경로 기반 터널로, 또는 그 반대로 마이그레이션하도록 지원하지 않습니다.

경로 기반 IPSec VPN 사이트를 구성하는 방법에 대한 내용은 경로 기반 IPSec VPN 사이트 구성을 참조하십시오.

로컬 NSX Edge와 원격 Cisco CSR 1000V VPN 게이트웨이 간에 경로 기반 IPSec VPN 터널을 구성하는 방법에 대한 자세한 예제를 보려면 Cisco CSR 1000V 장치 사용을 참조하십시오.