정책 기반 IPSec VPN을 사용하려면 VPN 터널을 통과하기 전에 IPSec으로 보호되는 트래픽을 확인하기 위해 패킷에 VPN 정책을 적용해야 합니다.
이런 유형의 VPN은 로컬 네트워크 토폴로지 및 구성이 변경될 때 변경 사항을 수용하기 위해 VPN 정책 설정도 업데이트해야 하기 때문에 고정으로 간주됩니다.
NSX와 함께 정책 기반 IPSec VPN을 사용하는 경우 IPSec 터널을 사용하여 NSX Edge 노드 뒤에 있는 하나 이상의 로컬 서브넷을 원격 VPN 사이트의 피어 서브넷과 연결합니다.
NAT 및 IPSec 둘 다로 NSX를 구성할 때는 적절한 기능을 보장하기 위해 올바른 단계 순서를 따르는 것이 중요합니다. 특히 VPN 연결을 설정하기 전에 NAT를 구성합니다. 예를 들어 VPN 세션이 구성된 후 NAT 규칙을 추가하여 NAT 전에 VPN을 실수로 구성하면 VPN 터널 상태가 종료된 상태로 유지됩니다. VPN 터널을 다시 설정하려면 VPN 구성을 다시 사용하도록 설정하거나 다시 시작해야 합니다. 이 문제를 방지하려면 항상 NSX에서 VPN 연결을 설정하기 전에 NAT를 구성하거나 이 해결 방법을 수행하십시오.
NAT 디바이스 뒤에 NSX Edge 노드를 배포할 수 있습니다. 이 배포에서 NAT 디바이스는 NSX Edge 노드의 VPN 주소를 인터넷에 연결하는 공용 액세스 가능 주소로 변환합니다. 원격 VPN 사이트는 이 공용 주소를 사용하여 NSX Edge 노드에 액세스합니다.
NAT 디바이스 뒤에 원격 VPN 사이트를 배치할 수도 있습니다. IPSec 터널을 설정하려면 원격 VPN 사이트의 공용 IP 주소 및 해당 ID(FQDN 또는 IP 주소)를 제공해야 합니다. 양쪽 끝점에서 VPN 주소에 대해 고정 일대일 NAT가 필요합니다.
IPSec VPN은 온-프레미스 네트워크와 클라우드 SDDC(소프트웨어 정의 데이터 센터)의 네트워크 간에 보안 통신 터널을 제공할 수 있습니다. 정책 기반 IPSec VPN의 경우, 세션에 제공된 로컬 및 피어 네트워크를 두 끝점 모두에서 대칭적으로 구성해야 합니다. 예를 들어, 클라우드 SDDC에 X, Y, Z 서브넷으로 구성된 로컬 네트워크가 있고 피어 네트워크가 A인 경우, 온-프레미스 VPN 구성에 로컬 네트워크에서는 A가, 피어 네트워크에서는 X, Y, Z가 있어야 합니다. A가 ANY (0.0.0.0/0)로 설정된 경우도 마찬가지입니다. 예를 들어, 클라우드 SDDC 정책 기반 VPN 세션에 10.1.1.0/24로 구성된 로컬 네트워크와 0.0.0.0/0으로 구성된 피어 네트워크가 있는 경우, 온-프레미스 VPN 끝점에서 VPN 구성에는 로컬 네트워크로 0.0.0.0/0이, 피어 네트워크로 10.1.1.0/24가 있어야 합니다. 잘못 구성된 경우, IPSec VPN 터널 협상이 실패할 수 있습니다.
Edge 노드 크기 | VPN 세션(정책 기반)당 IPSec 터널 수 |
VPN 서비스당 세션 수 | VPN 서비스당 IPSec 터널 수 (세션당 터널 16개) |
---|---|---|---|
소형 | 해당 없음(POC/Lab 전용) | 해당 없음(POC/Lab 전용) | 해당 없음(POC/Lab 전용) |
중형 | 128 | 128 | 2048 |
대형 | 128(소프트 한도) | 256 | 4096 |
베어메탈 | 128(소프트 한도) | 512 | 6000 |
정책 기반 IPSec VPN을 구성하는 방법에 대한 내용은 IPSec VPN 서비스 추가 항목을 참조하십시오.