경로 기반 IPSec VPN은 BGP 등을 프로토콜로 사용하여 VTI(가상 터널 인터페이스)라는 특수 인터페이스를 통해 고정 경로 또는 동적으로 학습된 경로를 기준으로 트래픽을 터널링합니다. IPSec은 VTI를 통과하는 모든 트래픽을 보호합니다.

참고:
  • IPSec VPN 터널을 통한 라우팅에 대해서는 OSPF 동적 라우팅이 지원되지 않습니다.
  • VTI에 대한 동적 라우팅은 Tier-1 게이트웨이를 기준으로 하는 VPN에서는 지원되지 않습니다.
  • IPSec VPN을 통한 로드 밸런서는 Tier-1 게이트웨이에서 종료되는 경로 기반 VPN에 대해 지원되지 않습니다.
  • NAT 및 IPSec 둘 다로 NSX를 구성할 때는 적절한 기능을 보장하기 위해 올바른 단계 순서를 따르는 것이 중요합니다. 특히 VPN 연결을 설정하기 전에 NAT를 구성합니다. 예를 들어 VPN 세션이 구성된 후 NAT 규칙을 추가하여 NAT 전에 VPN을 실수로 구성하면 VPN 터널 상태가 종료된 상태로 유지됩니다. VPN 터널을 다시 설정하려면 VPN 구성을 다시 사용하도록 설정하거나 다시 시작해야 합니다. 이 문제를 방지하려면 항상 NSX에서 VPN 연결을 설정하기 전에 NAT를 구성하거나 이 해결 방법을 수행하십시오.

경로 기반 IPSec VPN은 IPSec 처리를 적용하기 전에 패킷에 추가 캡슐화가 추가되지 않는다는 점을 제외하고 IPSec을 통한 GRE(일반 라우팅 캡슐화)와 비슷합니다.

이 VPN 터널링 방식에서는 NSX Edge 노드에 VTI가 생성됩니다. 각 VTI는 IPSec 터널과 연결됩니다. 암호화된 트래픽은 VTI 인터페이스를 통해 한 사이트에서 다른 사이트로 라우팅됩니다. IPSec 처리는 VTI에서만 발생합니다.

VPN 터널 이중화

Tier-0 게이트웨이에 구성된 경로 기반 IPSec VPN 세션을 사용하여 VPN 터널 이중화를 구성할 수 있습니다. 터널 이중화를 사용하면 두 사이트 간에 여러 개의 터널을 설정할 수 있습니다. 이중 하나의 터널을 기본 터널을 사용할 수 없을 때 다른 터널로의 페일오버를 통해 기본 터널로 사용합니다. 이 기능은 링크 이중화에 대해 다른 ISP를 사용하는 것과 같은 여러 연결 옵션이 있는 경우에 가장 유용합니다.

중요:
  • NSX-T Data Center에서 IPSec VPN 터널 이중화는 BGP를 사용해야만 지원됩니다.
  • VPN 터널 이중화를 달성하려면 경로 기반 IPSec VPN 터널에 대해 고정 라우팅을 사용하지 마십시오.

다음 그림은 두 사이트 간의 IPSec VPN 터널 이중화를 논리적으로 보여 줍니다. 이 그림에서 사이트 A와 사이트 B는 2개의 데이터 센터를 나타냅니다. 이 예의 경우 NSX-T Data Center가 사이트 A에서 Edge VPN 게이트웨이를 관리하고 있지 않으며 NSX-T Data Center가 사이트 B에서 Edge Gateway 가상 장치를 관리하고 있다고 가정합니다.

그림 1. 경로 기반 IPSec VPN의 터널 이중화

그림은 BGP 동적 라우팅을 사용하여 두 데이터 센터 사이트 A와 B 간의 IPsec VPN 터널 이중화 설정을 보여 줍니다.

그림에 나와 있는 것처럼 VTI를 사용하여 두 개의 독립 IPSec VPN 터널을 구성할 수 있습니다. 동적 라우팅은 터널 이중화를 달성하기 위해 BGP 프로토콜을 사용하여 구성됩니다. 두 IPSec VPN 터널을 사용할 수 있는 경우 서비스에 남아 있습니다. NSX Edge 노드를 통해 사이트 A에서 사이트 B로 경로가 지정된 모든 트래픽은 VTI를 통해 라우팅됩니다. 데이터 트래픽은 IPSec 처리를 거치고 연결된 NSX Edge 노드 업링크 인터페이스에서 벗어납니다. NSX Edge 노드 업링크 인터페이스의 사이트 B VPN 게이트웨이에서 수신된 모든 들어오는 IPSec 트래픽이 암호 해독 후에 VTI로 전달되면 일반적인 라우팅이 발생합니다.

필요한 페일오버 시간 내에 피어와의 연결 끊김을 감지하도록 BGP 보류 타이머 및 연결 유지 타이머 값을 구성해야 합니다. BGP 구성 항목을 참조하십시오.