구성 중인 IPSec VPN에서 사용할 로컬 끝점을 구성해야 합니다.

다음 단계에서는 NSX Manager UI의 로컬 끝점 탭을 사용합니다. IPSec VPN 세션을 추가하는 동안 3개의 점으로 표시된 메뉴()를 클릭하고 로컬 끝점 추가를 선택하여 로컬 끝점을 생성할 수도 있습니다. 현재 IPSec VPN 세션을 구성하는 중이라면 3단계로 진행하십시오. 여기에서 새 로컬 끝점 생성 과정을 안내합니다.

사전 요구 사항

  • 구성 중인 로컬 끝점을 사용할 IPSec VPN 세션에 대해 인증서 기반 인증 모드를 사용 중인 경우 로컬 끝점에서 사용해야 하는 인증서에 대한 정보를 가져옵니다.
  • 이 로컬 끝점을 연결할 IPSec VPN 서비스를 구성했는지 확인합니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 네트워킹 > VPN > 로컬 끝점로 이동하고 로컬 끝점 추가를 클릭합니다.
  3. 로컬 끝점의 이름을 입력합니다.
  4. VPN 서비스 드롭다운 메뉴에서 이 로컬 끝점을 연결할 IPSec VPN 서비스를 선택합니다.
  5. 로컬 끝점의 IP 주소를 입력합니다.
    Tier-0 게이트웨이에서 실행되는 IPSec VPN 서비스의 경우 로컬 끝점 IP 주소는 Tier-0 게이트웨이의 업링크 인터페이스 IP 주소와 달라야 합니다. 제공하는 로컬 끝점 IP 주소는 Tier-0 게이트웨이의 루프백 인터페이스에 연결되며 업링크 인터페이스를 통해 라우팅할 수 있는 IP 주소로도 게시됩니다. Tier-1 게이트웨이에서 실행되는 IPSec VPN 서비스의 경우 로컬 끝점 IP 주소를 라우팅할 수 있으려면 IPSec 로컬 끝점에 대한 경로 보급이 Tier-1 게이트웨이 구성에서 사용되도록 설정되어야 합니다. 자세한 내용은 Tier-1 게이트웨이 추가 항목을 참조하십시오.
  6. IPSec VPN 세션에 대해 인증서 기반 인증 모드를 사용 중인 경우 사이트 인증서 드롭다운 메뉴에서 로컬 끝점이 사용할 인증서를 선택합니다.
  7. (선택 사항) 필요에 따라 설명에 설명을 추가합니다.
  8. 로컬 NSX Edge 인스턴스를 식별하는 데 사용되는 로컬 ID 값을 입력합니다.
    이 로컬 ID는 원격 사이트의 피어 ID입니다. 로컬 ID는 원격 사이트의 공용 IP 주소이거나 FQDN이어야 합니다. 인증서 기반 인증이 있고 로컬 끝점에 연결된 IPSec VPN의 경우 로컬 ID는 로컬 끝점과 연결된 인증서에서 파생됩니다. 로컬 ID 텍스트 상자에 지정된 ID는 무시됩니다. VPN 세션의 인증서에서 파생된 로컬 ID는 인증서에 있는 확장에 따라 다릅니다.
    • X509v3 확장 X509v3 Subject Alternative Name이 인증서에 없으면 DN(고유 이름)이 로컬 ID 값으로 사용됩니다.

      예를 들어 인증서에 SAN(주체 대체 이름) 필드가 없고 해당 DN 문자열이 다음과 같으면

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      DN 문자열이 로컬 ID로 사용됩니다. 이 로컬 ID는 원격 사이트의 피어 ID입니다.

    • X509v3 확장 X509v3 Subject Alternative Name이 인증서에 있으면 SAN 필드 중 하나가 로컬 ID 값으로 사용됩니다.

      인증서에 여러 SAN 필드가 있는 경우 다음 순서를 사용하여 로컬 ID를 선택합니다.

      순서 SAN 필드
      1 IP 주소
      2 DNS
      3 이메일 주소

      예를 들어 구성된 사이트 인증서에 다음과 같은 SAN 필드가 있는 경우

      x509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      IP 주소 1.1.1.1이 로컬 ID로 사용됩니다. IP 주소를 사용할 수 없는 경우 DNS 문자열이 사용됩니다. IP 주소와 DNS를 사용할 수 없으면 이메일 주소가 사용됩니다.

    IPSec VPN 세션에 사용되는 로컬 ID를 보려면 다음을 수행합니다.

    1. 네트워킹 > VPN으로 이동한 다음, IPSec 세션 탭을 클릭합니다.
    2. IPSec VPN 세션을 확장합니다.
    3. 구성 다운로드를 클릭하여 로컬 ID가 포함된 구성 파일을 다운로드합니다.
  9. 신뢰할 수 있는 CA 인증서인증서 해지 목록 드롭다운 메뉴에서 로컬 끝점에 필요한 적절한 인증서를 선택합니다.
  10. (선택 사항) 태그를 지정합니다.
  11. 저장을 클릭합니다.