IPSec VPN 서비스를 제공하려면 NSX Edge에 외부 IP 주소를 하나 이상 구성해야 합니다.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security)을 클릭한 다음 NSX Edge(NSX Edges)를 클릭합니다.
  3. NSX Edge를 두 번 클릭합니다.
  4. 모니터(Monitor) 탭을 클릭하고 VPN 탭을 클릭합니다.
  5. IPSec VPN을 클릭합니다.
  6. 추가(Add)(추가 아이콘) 아이콘을 클릭합니다.
  7. IPSec VPN의 이름을 입력합니다.
  8. 로컬 ID(Local Id)NSX Edge 인스턴스의 IP 주소를 입력합니다. 이 로컬 ID는 원격 사이트의 피어 ID가 됩니다.
  9. 로컬 끝점의 IP 주소를 입력합니다.

    사전 공유 키를 사용하는 IP 터널에 IP를 추가하는 경우에는 로컬 ID와 로컬 끝점 IP가 같을 수 있습니다.

  10. 사이트 간에 공유할 서브넷을 CIDR 형식으로 입력합니다. 서브넷을 여러 개 입력하려면 구분 문자로 쉼표를 사용합니다.
  11. 피어 사이트를 고유하게 식별할 피어 ID를 입력합니다. 인증서 인증을 사용하는 피어의 경우 이 ID는 피어 인증서의 일반 이름이어야 합니다. PSK 피어의 경우에는 이 ID가 임의의 문자열일 수 있습니다. 피어 ID로는 VPN 서비스의 FQDN 또는 VPN의 공용 IP 주소를 사용하는 것이 좋습니다.
  12. 피어 끝점에 피어 사이트의 IP 주소를 입력합니다. 이 항목을 비워 둘 경우 NSX Edge는 피어 디바이스가 연결을 요청할 때까지 대기합니다.
  13. 피어 서브넷의 내부 IP 주소를 CIDR 형식으로 입력합니다. 서브넷을 여러 개 입력하려면 구분 문자로 쉼표를 사용합니다.
  14. 암호화 알고리즘을 선택합니다.
  15. 인증 방법에서 다음 중 하나를 선택합니다.

    옵션

    설명

    PSK(사전 공유 키)

    NSX Edge와 피어 사이트 간에 공유되는 비밀 키가 인증에 사용됨을 나타냅니다. 비밀 키는 최대 길이가 128바이트인 문자열일 수 있습니다.

    인증서

    글로벌 수준에서 정의된 인증서가 인증에 사용됨을 나타냅니다.

  16. 익명 사이트가 VPN 서비스에 연결할 경우 공유 키를 입력합니다.
  17. 피어 사이트에 키를 표시려면 공유 키 표시(Display Shared Key)를 클릭합니다.
  18. DH(Diffie-Hellman) 그룹에서 피어 사이트 및 NSX Edge가 보안되지 않는 통신 채널에 공유 암호를 설정하도록 허용할 암호화 체계를 선택합니다.
  19. 필요한 경우 MTU 임계값을 변경합니다.
  20. PFS(Perfect Forward Secrecy) 임계값을 사용하도록 설정할지 여부를 선택합니다. IPSec 협상에서 PFS(Perfect Forward Secrecy)를 사용하면 새로운 각 암호화 키에서 이전의 모든 키와 연관된 관계가 해제됩니다.
  21. 확인(OK)을 클릭합니다.

    NSX Edge는 로컬 서브넷에서 피어 서브넷으로 연결되는 터널을 생성합니다.

다음에 수행할 작업

IPSec VPN 서비스를 사용하도록 설정합니다.