NSX는 Tier-0 또는 Tier-1 게이트웨이와 원격 사이트 사이에서 사이트 간 IPSec VPN 서비스를 지원합니다. 정책 기반 또는 경로 기반 IPSec VPN 서비스를 생성할 수 있습니다. 정책 기반 또는 경로 기반 IPSec VPN 세션을 구성하려면 먼저 IPSec VPN 서비스를 생성해야 합니다.

참고: NSX 수출 제한 릴리스에서는 IPSec VPN이 지원되지 않습니다.

IPSec VPN은 로컬 끝점 IP 주소가 IPSec VPN 세션이 구성된 동일한 논리적 라우터에서 NAT를 통과할 때는 지원되지 않습니다.

사전 요구 사항

  • IPSec VPN을 숙지합니다. IPSec VPN 이해 항목을 참조하십시오.
  • Tier-0 또는 Tier-1 게이트웨이가 하나 이상 구성되어 있고 사용할 수 있어야 합니다. 자세한 내용은 NSX Tier-0 게이트웨이 추가 또는 NSX Tier-1 게이트웨이 추가 항목을 참조하십시오.
  • NAT 및 IPSec 둘 다로 NSX를 구성할 때는 적절한 기능을 보장하기 위해 올바른 단계 순서를 따르는 것이 중요합니다. 특히 VPN 연결을 설정하기 전에 NAT를 구성합니다. 예를 들어 VPN 세션이 구성된 후 NAT 규칙을 추가하여 NAT 전에 VPN을 실수로 구성하면 VPN 터널 상태가 종료된 상태로 유지됩니다. VPN 터널을 다시 설정하려면 VPN 구성을 다시 사용하도록 설정하거나 다시 시작해야 합니다. 이 문제를 방지하려면 항상 NSX에서 VPN 연결을 설정하기 전에 NAT를 구성하거나 해결 방법을 수행하여 문제를 해결하십시오.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 네트워킹 > VPN > VPN 서비스로 이동합니다.
  3. 서비스 추가 > IPSec를 선택합니다.
  4. IPSec 서비스의 이름을 입력합니다.
    이 이름은 필수입니다.
  5. Tier-0/Tier-1 게이트웨이 드롭다운 메뉴에서 이 IPSec VPN 서비스와 연결할 Tier-0 또는 Tier-1 게이트웨이를 선택합니다.
  6. 관리 상태를 사용하거나 사용하지 않도록 설정합니다.
    기본적으로 이 값은 Enabled로 설정됩니다. 즉, 새 IPSec VPN 서비스가 구성된 후 IPSec VPN 서비스가 Tier-0 또는 Tier-1 게이트웨이에서 사용하도록 설정됩니다.
  7. IKE 로그 수준에 대한 값을 설정합니다.
    기본값은 Info 수준으로 설정됩니다.
  8. 이 서비스를 태그 그룹에 포함시키려면 태그에 대한 값을 입력합니다.
  9. VPN 세션의 상태 저장 동기화를 사용하거나 사용하지 않도록 설정하려면 세션 동기화를 전환합니다.
    기본적으로 값은 Enabled으로 설정됩니다.
  10. IPSec 보호 없이 지정된 로컬 및 원격 IP 주소 간에 데이터 패킷을 교환할 수 있도록 허용하려면 글로벌 바이패스 규칙을 클릭합니다. 로컬 네트워크원격 네트워크 텍스트 상자에 바이패스 규칙이 적용되는 로컬 및 원격 서브넷 목록을 입력합니다.
    이러한 규칙을 사용하도록 설정하면 해당 IP 주소가 IPSec 세션 규칙에 지정된 경우에도 지정된 로컬 및 원격 IP 사이트 간에 데이터 패킷이 교환됩니다. 기본값은 로컬 사이트와 원격 사이트 간에 데이터를 교환할 때 IPSec 보호를 사용하는 것입니다. 이 규칙은 이 IPSec VPN 서비스 내에서 생성된 모든 IPSec VPN 세션에 적용됩니다.
  11. IPSec 보호 없이 지정된 로컬 및 원격 IP 주소 간에 데이터 패킷을 교환할 수 있도록 허용하려면 글로벌 바이패스 규칙을 클릭합니다. 로컬 네트워크원격 네트워크 텍스트 상자에 바이패스 규칙이 적용되는 로컬 및 원격 서브넷 목록을 입력합니다.
    이러한 규칙을 사용하도록 설정하면 해당 IP 주소가 IPSec 세션 규칙에 지정된 경우에도 지정된 로컬 및 원격 IP 사이트 간에 데이터 패킷이 교환됩니다. 기본값은 로컬 사이트와 원격 사이트 간에 데이터를 교환할 때 IPSec 보호를 사용하는 것입니다. 이 규칙은 이 IPSec VPN 서비스 내에서 생성된 모든 IPSec VPN 세션에 적용됩니다.
  12. 저장을 클릭합니다.
    새 IPSec VPN 서비스가 성공적으로 만들어지면 나머지 IPSec VPN 구성을 계속할지 묻는 메시지가 나타납니다. 를 클릭하면 [IPSec VPN 서비스 추가] 패널로 되돌아갑니다. 이제 세션 링크가 활성화되어 있고, 이것을 클릭하여 IPSec VPN 세션을 추가할 수 있습니다.

결과

하나 이상의 IPSec VPN 세션이 추가되면 각 VPN 서비스에 대한 세션 수가 VPN 서비스 탭에 표시됩니다. 세션 열의 수를 클릭하여 세션을 재구성하거나 추가할 수 있습니다. 따라서 서비스를 편집할 필요는 없습니다. 이 수가 0이면 클릭할 수 없으며 서비스를 편집하여 세션을 추가해야 합니다.

다음에 수행할 작업

IPSec VPN 세션 추가의 정보를 사용하여 IPSec VPN 세션을 추가하는 과정을 안내합니다. IPSec VPN 구성을 마치는 데 필요한 프로파일 및 로컬 끝점에 대한 정보도 제공합니다.