정책 기반 IPSec VPN을 추가할 때 IPSec 터널이 NSX Edge 노드 뒤의 다중 로컬 서브넷을 원격 VPN 사이트의 피어 서브넷과 연결하는 데 사용됩니다.

다음 단계에서는 NSX Manager UI의 IPSec 세션 탭을 사용하여 정책 기반 IPSec 세션을 만듭니다. 또한 터널, IKE 및 DPD 프로파일에 대한 정보를 추가하고 정책 기반 IPSec VPN에 사용할 기존 로컬 끝점을 선택합니다.

참고:

IPSec VPN 서비스를 구성한 직후에 IPSec VPN 세션을 추가할 수도 있습니다. IPSec VPN 서비스 구성을 계속할지 묻는 메시지가 표시되면 를 클릭하고 [IPSec 세션 추가] 패널에서 세션 > 세션 추가를 선택합니다. 다음 절차의 처음 몇 개 단계는 IPSec VPN 서비스 구성을 계속할지 묻는 메시지에서 아니요를 선택한 경우를 가정한 것입니다. 를 선택하면, 다음 단계의 3단계로 진행하여 나머지 정책 기반 IPSec VPN 세션 구성을 안내합니다.

사전 요구 사항

  • 계속하기 전에 IPSec VPN 서비스를 구성해야 합니다. IPSec VPN 서비스 추가의 내용을 참조하십시오.
  • 추가하려는 정책 기반 IPSec VPN 세션에서 사용할 로컬 끝점, 피어 사이트의 IP 주소, 로컬 네트워크 서브넷 및 원격 네트워크 서브넷에 대한 정보를 확보합니다. 로컬 끝점을 생성하려면 로컬 끝점 추가의 내용을 참조하십시오.
  • 인증에 PSK(사전 공유 키)를 사용 중이면 PSK 값을 가져옵니다.
  • 인증에 인증서를 사용 중이라면 필요한 서버 인증서와 해당하는 CA 서명된 인증서를 이미 가져왔는지 확인합니다. 인증서의 내용을 참조하십시오.
  • NSX-T Data Center에서 제공하는 IPSec 터널, IKE 또는 DPD(Dead Peer Detection) 프로파일의 기본값을 사용하지 않으려면, 사용하려는 프로파일을 대신 구성합니다. 자세한 내용은 프로파일 추가의 내용을 참조하십시오.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 네트워킹 > VPN > IPSec 세션 탭으로 이동합니다.
  3. IPSec 세션 추가 > 정책 기반를 선택합니다.
  4. 정책 기반 IPSec VPN 세션의 이름을 입력합니다.
  5. VPN 서비스 드롭다운 메뉴에서, 이 새로운 IPSec 세션을 추가할 IPSec VPN 서비스를 선택합니다.
    참고: IPSec 세션 추가 대화 상자에서 이 IPSec 세션을 추가하는 경우에는 IPSec 세션 추가 버튼 위에 VPN 서비스 이름이 이미 표시되어 있습니다.
  6. 드롭다운 메뉴에서 기존의 로컬 끝점을 선택합니다.
    이 로컬 끝점 값은 필수이며 로컬 NSX Edge 노드를 식별합니다. 다른 로컬 끝점을 생성하려는 경우 3개 점 메뉴( 3개의 검은 점이 세로로 정렬된 아이콘. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)를 클릭하고 로컬 끝점 추가를 선택합니다.
  7. 원격 IP 텍스트 상자에 원격 사이트의 필수 IP주소를 입력합니다.
    이 값은 필수입니다.
  8. 이 정책 기반 IPSec VPN 세션에 대한 설명(선택 사항)을 입력합니다.
    최대 길이는 1024자입니다.
  9. IPSec VPN 세션을 사용하거나 사용하지 않도록 설정하려면 관리 상태를 클릭합니다.
    기본적으로 값은 Enabled으로 설정됩니다. 즉, IPSec VPN 세션이 NSX Edge 노드로 구성됩니다.
  10. (선택 사항) 규정 준수 제품군 드롭다운 메뉴에서 보안 규정 준수 제품군을 선택합니다.
    참고: 규정 준수 제품군 지원은 NSX-T Data Center 2.5부터 제공됩니다. 자세한 내용은 지원되는 규정 준수 제품군 정보를 참조하십시오.
    선택된 기본값은 None입니다. 규정 준수 제품군을 선택하는 경우 인증 모드Certificate로 설정되고 고급 속성 섹션에서 IKE 프로파일IPSec 프로파일의 값이 선택한 보안 규정 준수 제품군에 대한 시스템 정의 프로파일로 설정됩니다. 이러한 시스템 정의 프로파일은 편집할 수 없습니다.
  11. 규정 준수 제품군None으로 설정하면 인증 모드 드롭다운 메뉴에서 모드를 선택합니다.
    사용되는 기본 인증 모드는 PSK입니다. 이것은 NSX Edge와 원격 사이트 간에 공유되는 비밀 키가 IPSec VPN 세션에 사용됨을 의미합니다. Certificate를 선택하면 로컬 끝점을 구성하는 데 사용된 사이트 인증서가 인증에 사용됩니다.
  12. 로컬 네트워크 및 원격 네트워크 텍스트 상자에 이 정책 기반 IPSec VPN 세션에 사용할 IP 서브넷 주소를 하나 이상 입력합니다.
    이러한 서브넷은 CIDR 형식이어야 합니다.
  13. 인증 모드PSK로 설정되면 사전 공유 키 텍스트 상자에 키 값을 입력합니다.
    비밀 키는 최대 길이가 128자인 문자열일 수 있습니다.
    경고: PSK 값에는 일부 민감한 정보가 포함되어 있으므로 공유하거나 저장할 때 주의해야 합니다.
  14. 피어 사이트를 식별하려면 원격 ID에 값을 입력합니다.
    PSK 인증을 사용하는 피어 사이트의 경우 이 ID 값은 공용 IP 주소이거나 피어 사이트의 FQDN이어야 합니다. 인증서 인증을 사용하는 피어 사이트의 경우 이 ID 값은 피어 사이트 인증서에서 사용되는 CN(일반 이름) 또는 DN(고유 이름)이어야 합니다.
    참고: 피어 사이트의 인증서에는 DN 문자열의 이메일 주소가 포함되어 있습니다. 예를 들어 다음과 같습니다.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    그런 다음, 예에서처럼 다음 형식을 사용하여 원격 ID 값을 입력합니다.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    로컬 사이트의 인증서에 DN 문자열의 이메일 주소가 포함되어 있고 피어 사이트에서 strongSwan IPsec 구현을 사용하는 경우, 해당 피어 사이트에 로컬 사이트의 ID 값을 입력합니다. 예제는 다음과 같습니다.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. 정책 기반 IPSec VPN 세션에서 사용되는 프로파일, 초기 모드, TCP MSS 클램핑 모드 및 태그를 변경하려면 고급 속성을 클릭합니다.
    기본적으로 시스템에서 생성한 프로파일이 사용됩니다. 기본 프로파일을 사용하지 않으려면 사용 가능한 다른 프로파일을 선택합니다. 아직 구성되지 않은 프로파일을 사용하려는 경우에는 3개의 점으로 표시된 메뉴( 3개 검은 점이 세로로 정렬된 아이콘. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)를 클릭하여 다른 프로파일을 생성합니다. 프로파일 추가의 내용을 참조하십시오.
    1. IKE 프로파일 드롭다운 메뉴가 사용하도록 설정되면 IKE 프로파일을 선택합니다.
    2. IPSec 프로파일 드롭다운 메뉴를 사용하도록 설정한 경우 IPsec 터널 프로파일을 선택합니다.
    3. DPD 프로파일 드롭다운 메뉴를 사용하도록 설정한 경우 기본 DPD 프로파일을 선택합니다.
    4. 연결 시작 모드 드롭다운 메뉴에서 기본 모드를 선택합니다.
      연결 시작 모드는 터널 생성 프로세스 중에 로컬 끝점에서 사용하는 정책을 정의합니다. 기본값은 이니시에이터입니다. 다음 표에서는 사용 가능한 서로 다른 연결 시작 모드에 대해 설명합니다.
      표 1. 연결 시작 모드
      연결 시작 모드 설명
      Initiator 기본값입니다. 이 모드에서 로컬 끝점은 IPSec VPN 터널 생성을 시작하고 피어 게이트웨이로부터 들어오는 터널 설정 요청에 응답합니다.
      On Demand 이 모드에서 로컬 끝점은 정책 규칙과 일치하는 첫 번째 패킷이 수신된 이후 IPSec VPN 터널 생성을 시작합니다. 또한 들어오는 시작 요청에도 응답합니다.
      Respond Only

      IPSec VPN은 연결을 시작하지 않습니다. 항상 피어 사이트에서 연결 요청을 시작하고 로컬 끝점은 해당 연결 요청에 응답합니다.

    5. IPSec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후, 필요에 따라 TCP MSS 값을 설정합니다.
      자세한 내용은 TCP MSS 클램핑 이해 항목을 참조하십시오.
    6. 특정 그룹의 일부로 이 세션을 포함하려는 경우 태그에 태그 이름을 입력합니다.
  16. 저장을 클릭합니다.

결과

새 정책 기반 IPSec VPN 세션이 성공적으로 구성되면 사용 가능한 IPsec VPN 세션 목록에 추가됩니다. 이것은 읽기 전용 모드입니다.

다음에 수행할 작업

  • IPSec VPN 터널 상태가 [실행 중]인지 확인합니다. 자세한 내용은 VPN 세션 모니터링 및 문제 해결의 내용을 참조하십시오.
  • 필요한 경우 세션 행 왼쪽에 있는 3개 점 메뉴( 3개 검은 점이 세로로 나열됨. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)를 클릭하여 IPSec VPN 세션 정보를 관리합니다. 수행할 수 있는 작업 중 하나를 선택합니다.