경로 기반 IPSec VPN을 추가하면 BGP와 같은 기본 프로토콜을 사용하여 VTI(가상 터널 인터페이스)를 통해 동적으로 학습된 경로를 기반으로 트래픽에 터널링이 제공됩니다. IPSec은 VTI를 통과하는 모든 트래픽을 보호합니다.
이 항목에 설명된 단계에서는 IPSec 세션 탭을 사용하여 경로 기반 IPSec 세션을 생성합니다. 터널, IKE 및 DPD 프로파일에 대한 정보를 추가하고 경로 기반 IPSec VPN에서 사용할 기존의 로컬 끝점을 선택합니다.
참고:
IPSec VPN 서비스가 성공적으로 구성된 직후에 IPSec VPN 세션을 추가할 수도 있습니다. IPSec VPN 서비스 구성을 계속할지 묻는 메시지가 표시되면 예를 클릭하고 [IPSec 세션 추가] 패널에서 를 선택합니다. 다음 절차의 처음 몇 개 단계는 IPSec VPN 서비스 구성을 계속할지 묻는 메시지에서 아니요를 선택한 경우를 가정한 것입니다. 예를 선택했다면 3단계를 진행합니다. 여기서는 경로 기반 IPSec VPN 세션 구성의 나머지 작업을 안내합니다.
사전 요구 사항
- 계속하기 전에 IPSec VPN 서비스를 구성해야 합니다. IPSec VPN 서비스 추가 항목을 참조하십시오.
- 추가하려는 경로 기반 IPSec 세션에서 사용할 터널 서비스 IP 서브넷 주소, 피어 사이트의 IP 주소 및 로컬 끝점에 대한 정보를 가져옵니다. 로컬 끝점을 생성하려면 로컬 끝점 추가 항목을 참조하십시오.
- 인증에 PSK(사전 공유 키)를 사용 중이면 PSK 값을 가져옵니다.
- 인증에 인증서를 사용 중이라면 필요한 서버 인증서와 해당하는 CA 서명된 인증서를 이미 가져왔는지 확인합니다. 인증서 항목을 참조하십시오.
- NSX에서 제공된 IPSec 터널, IKE 또는 DPD(Dead Peer Detection) 프로파일에 대해 기본값을 사용하지 않으려는 경우에는 대신 사용할 프로파일을 구성합니다. 자세한 내용은 프로파일 추가 항목을 참조하십시오.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 로 이동합니다.
- 를 선택합니다.
- 경로 기반 IPSec 세션의 이름을 입력합니다.
- VPN 서비스 드롭다운 메뉴에서, 이 새로운 IPSec 세션을 추가할 IPSec VPN 서비스를 선택합니다.
참고:
IPSec 세션 추가 대화 상자에서 이 IPSec 세션을 추가하는 경우에는
IPSec 세션 추가 버튼 위에 VPN 서비스 이름이 이미 표시되어 있습니다.
- 드롭다운 메뉴에서 기존의 로컬 끝점을 선택합니다.
로컬 끝점 값은 필수이며 로컬
NSX Edge 노드를 식별합니다. 다른 로컬 끝점을 생성하려는 경우 3개 점 메뉴(
)를 클릭하고
로컬 끝점 추가를 선택합니다.
- 원격 IP 텍스트 상자에 원격 사이트의 IP 주소를 입력합니다.
이것은 필수 값입니다.
- 이 경로 기반 IPSec VPN 세션에 대한 설명(선택 사항)을 입력합니다.
최대 길이는 1024자입니다.
- IPSec 세션을 사용 또는 사용하지 않도록 설정하려면 관리 상태를 클릭합니다.
기본적으로 값은
Enabled
으로 설정됩니다. 즉, IPSec 세션이
NSX Edge 노드로 구성됩니다.
- (선택 사항) 규정 준수 제품군 드롭다운 메뉴에서 보안 규정 준수 제품군을 선택합니다.
기본값은
None
으로 설정됩니다. 규정 준수 제품군을 선택하는 경우
인증 모드가
Certificate
로 설정되고
고급 속성 섹션에서
IKE 프로파일 및
IPSec 프로파일의 값이 선택한 규정 준수 제품군에 대한 시스템 정의 프로파일로 설정됩니다. 이러한 시스템 정의 프로파일은 편집할 수 없습니다.
- 터널 인터페이스에 CIDR 표기법으로 IP 서브넷 주소를 입력합니다.
이 주소는 필수입니다.
- 규정 준수 제품군을
None
으로 설정하면 인증 모드 드롭다운 메뉴에서 모드를 선택합니다.
사용되는 기본 인증 모드는
PSK
입니다. 이것은
NSX Edge와 원격 사이트 간에 공유되는 비밀 키가 IPSec VPN 세션에 사용됨을 의미합니다.
Certificate
를 선택하면 로컬 끝점을 구성하는 데 사용된 사이트 인증서가 인증에 사용됩니다.
인증서 기반 인증에 대한 자세한 내용은 IPSec VPN 세션에 인증서 기반 인증 사용 항목을 참조하십시오.
- 인증 모드로
PSK
를 선택했다면 사전 공유 키 텍스트 상자에 키 값을 입력합니다.
비밀 키는 최대 길이가 128자인 문자열일 수 있습니다.
경고: PSK 값에는 일부 민감한 정보가 포함되어 있으므로 공유하거나 저장할 때 주의해야 합니다.
- 원격 ID에 값을 입력합니다.
PSK 인증을 사용하는 피어 사이트의 경우 이 ID 값은 피어 사이트의 공용 IP 주소이거나 FQDN이어야 합니다. 인증서 인증을 사용하는 피어 사이트의 경우 이 ID 값은 피어 사이트 인증서에서 사용되는 CN(일반 이름) 또는 DN(고유 이름)이어야 합니다.
참고: 피어 사이트의 인증서에는 DN 문자열의 이메일 주소가 포함되어 있습니다. 예를 들어 다음과 같습니다.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
그런 다음, 예에서처럼 다음 형식을 사용하여
원격 ID 값을 입력합니다.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
로컬 사이트의 인증서에 DN 문자열의 이메일 주소가 포함되어 있고 피어 사이트에서 strongSwan IPsec 구현을 사용하는 경우, 해당 피어 사이트에 로컬 사이트의 ID 값을 입력합니다. 예제는 다음과 같습니다.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 특정 그룹 태그의 일부로 이 IPSec 세션을 포함하려는 경우 태그에 태그 이름을 입력합니다.
- 경로 기반 IPSec VPN 세션에서 사용되는 프로파일, 초기 모드, TCP MSS 클램핑 모드 및 태그를 변경하려면 고급 속성을 클릭합니다.
기본적으로 시스템에서 생성한 프로파일이 사용됩니다. 기본 프로파일을 사용하지 않으려면 사용 가능한 다른 프로파일을 선택합니다. 아직 구성되지 않은 프로파일을 사용하려는 경우에는 3개의 점으로 표시된 메뉴(
)를 클릭하여 다른 프로파일을 생성합니다.
프로파일 추가 항목을 참조하십시오.
- IKE 프로파일 드롭다운 메뉴가 사용하도록 설정되면 IKE 프로파일을 선택합니다.
- IPSec 프로파일 드롭다운 메뉴를 사용하도록 설정한 경우 IPsec 터널 프로파일을 선택합니다.
- DPD 프로파일 드롭다운 메뉴를 사용하도록 설정한 경우 기본 DPD 프로파일을 선택합니다.
- 연결 시작 모드 드롭다운 메뉴에서 기본 모드를 선택합니다.
연결 시작 모드는 터널 생성 프로세스 중에 로컬 끝점에서 사용하는 정책을 정의합니다. 기본값은
이니시에이터입니다. 다음 표에서는 사용 가능한 다양한 연결 시작 모드에 대해 설명합니다.
표 1.
연결 시작 모드
연결 시작 모드 |
설명 |
Initiator |
기본값입니다. 이 모드에서 로컬 끝점은 IPSec VPN 터널 생성을 시작하고 피어 게이트웨이로부터 들어오는 터널 설정 요청에 응답합니다. |
On Demand |
경로 기반 VPN에서는 사용하지 마십시오. 이 모드는 정책 기반 VPN에만 적용됩니다. |
Respond Only |
IPSec VPN은 연결을 시작하지 않습니다. 항상 피어 사이트에서 연결 요청을 시작하고 로컬 끝점은 해당 연결 요청에 응답합니다. |
- IPSec 연결 중에 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후, 필요에 따라 TCP MSS 값을 설정합니다.
- 특정 그룹 태그의 일부로 이 IPSec 세션을 포함하려는 경우 태그에 태그 이름을 입력합니다.
- 저장을 클릭합니다.
결과
새로운 경로 기반 IPSec VPN 세션이 성공적으로 구성되면 사용 가능한 IPsec VPN 세션 목록에 추가됩니다. 이것은 읽기 전용 모드입니다.