IPSec(인터넷 프로토콜 보안) 프로파일은 IPSec 터널을 설정할 때 네트워크 사이트 간에 공유 암호를 인증, 암호화 및 설정하는 데 사용되는 알고리즘에 대한 정보를 제공합니다.

NSX-T Data Center는 IPSec VPN이나 L2 VPN 서비스를 구성할 때 기본적으로 할당되는 시스템 생성 IPSec 프로파일을 제공합니다. 다음 표에는 제공된 기본 IPSec 프로파일이 나열되어 있습니다.
표 1. IPSec VPN 또는 L2 VPN 서비스에 사용되는 기본 IPSec 프로파일
기본 IPSec 프로파일의 이름 설명
nsx-default-l2vpn-tunnel-profile
  • L2 VPN에 사용됩니다.
  • AES GCM 128 암호화 알고리즘 및 Diffie-Hellman 그룹 14 키 교환 알고리즘을 사용하여 구성됩니다.
nsx-default-l3vpn-tunnel-profile
  • IPSec VPN에 사용됩니다.
  • AES GCM 128 암호화 알고리즘 및 Diffie-Hellman 그룹 14 키 교환 알고리즘을 사용하여 구성됩니다.

기본 IPSec 프로파일 대신, NSX-T Data Center 2.5부터 지원되는 규정 준수 제품군 중 하나를 선택할 수도 있습니다. 자세한 내용은 지원되는 규정 준수 제품군 정보를 참조하십시오.

제공된 기본 IPSec 프로파일 또는 규정 준수 제품군을 사용하지 않으려는 경우 다음 단계를 사용하여 직접 구성할 수 있습니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 네트워킹 > VPN을 선택하고 프로파일 탭을 클릭합니다.
  3. IPSec 프로파일 프로파일 유형을 선택하고 IPSec 프로파일 추가를 클릭합니다.
  4. IPSec 프로파일의 이름을 입력합니다.
  5. 드롭다운 메뉴에서 암호화, 다이제스트 및 Diffie-Hellman 알고리즘을 선택합니다. 적용할 알고리즘을 여러 개 선택할 수 있습니다.
    사용하지 않으려는 항목은 선택을 취소합니다.
    표 2. 사용되는 알고리즘
    알고리즘 유형 유효한 값 설명
    암호화
    • AES GCM 128(기본값)
    • AES 128
    • AES 256
    • AES GCM 192
    • AES GCM 256
    • 암호화 인증 AES GMAC 128 없음
    • 암호화 인증 AES GMAC 192 없음
    • 암호화 인증 AES GMAC 256 없음
    • 암호화 없음

    IPSec(인터넷 프로토콜 보안) 협상 중 사용되는 암호화 알고리즘입니다.

    AES 128 및 AES 256 알고리즘은 CBC 작동 모드를 사용합니다.

    다이제스트
    • SHA 1
    • SHA2 256
    • SHA2 384
    • SHA2 512

    IPSec 협상 중에 사용되는 보안 해싱 알고리즘입니다.

    Diffie-Hellman 그룹
    • 그룹 14(기본값)
    • 그룹 2
    • 그룹 5
    • 그룹 15
    • 그룹 16
    • 그룹 19
    • 그룹 20
    • 그룹 21

    피어 사이트와 NSX Edge가 비보안 통신 채널을 통해 공유 암호를 설정하는 데 사용되는 암호화 체계입니다.

  6. VPN 서비스에서 PFS 그룹 프로토콜을 사용하지 않으려면 PFS 그룹 선택을 취소합니다.
    이 항목은 기본적으로 선택됩니다.
  7. SA 수명 텍스트 상자에서 IPSec 터널을 다시 설정해야 하는 기본 경과 시간(초)을 수정합니다.
    기본적으로 SA 수명은 24시간(86,400초)이 사용됩니다.
  8. IPSec 터널에 사용할 DF 비트의 값을 선택합니다.
    이 값은 수신된 데이터 패킷에 포함된 DF(Don't Fragment) 비트를 처리하는 방법을 결정합니다. 허용되는 값은 다음 표에 설명되어 있습니다.
    표 3. DF 비트 값
    DF 비트 값 설명
    COPY

    기본값입니다. 이 값을 선택하면 NSX-T Data Center는 수신된 패킷의 DF 비트 값을 전달된 패킷으로 복사합니다. 이 값은 수신된 데이터 패킷에 DF 비트가 설정되어 있으면 암호화 후 패킷에도 DF 비트가 설정되어 있음을 의미합니다.

    CLEAR

    이 값을 선택하면 NSX-T Data Center는 수신된 데이터 패킷의 DF 비트 값을 무시하고 암호화된 패킷에서 DF 비트는 항상 0입니다.

  9. 설명을 제공하고 필요한 경우 태그를 추가합니다.
  10. 저장을 클릭합니다.

결과

새로운 행이 사용 가능한 IPSec 프로파일 테이블에 추가됩니다. 비시스템 생성 프로파일을 편집하거나 삭제하려면 3개의 점 메뉴(3개 검은 점이 세로로 정렬됨. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)을 클릭하고 사용 가능한 작업 목록에서 선택합니다.