두 사이트 간에 IPSec을 설정하려면 일치하는 특성을 사용하여 두 VPN 끝점을 구성해야 합니다. 이 항목은 IPSec VPN 디바이스 벤더 특성이 로컬 IPSec VPN 세션의 VPN 관련 특성과 일치하는지 확인하기 위한 요구 사항을 이해하는 데 도움을 줍니다.
각 IPSec VPN 벤더에는 구성을 수락하는 고유한 형식이 있습니다. 경우에 따라 몇 가지 매개 변수에 기본값이 사용됩니다. NSX IPSec VPN 세션 UI에서 관리자가 피어 VPN 벤더 디바이스를 구성하는 데 사용할 수 있는 모든 VPN 관련 구성을 제공하는 구성 다운로드 기능을 사용할 수 있습니다. 이 기능은 NSX에 구성된 IPSec VPN 세션을 기준으로 합니다. 또한 IPSec VPN 세션에 대한 모든 숨겨진/기본 특성을 표시하여 관리자가 다른 기본값을 가질 수 있는 피어 VPN 디바이스를 구성할 수 있도록 합니다. 구성이 일치하지 않으면 IPsec VPN 터널이 제대로 작동하지 않을 수 있습니다.
![맨 왼쪽 [IPSec VPN 세션] 페이지에 있는 [구성 다운로드] 버튼](images/GUID-068B69F2-EC2C-4AF5-BA0E-C25BBDFBE125-low.png)
- 계속하기 전에 IPSec VPN 서비스 및 세션을 구성했는지 확인합니다.
- 탭으로 이동하여 구성 다운로드 버튼에 액세스합니다.
- IPSec VPN 세션 테이블에서 IPSec VPN 세션 구성에 대해 사용하려는 세션에 대한 행을 확장합니다. 예를 들어 IPSec VPN 세션 [구성 다운로드] 버튼 이미지에서 "Sample_Policy_Based" 행이 확장됩니다.
- 구성 다운로드를 클릭하고 [주의] 대화상자의 예를 클릭하여 텍스트 파일 다운로드를 계속합니다.
- 다운로드한 구성 파일을 사용하여 피어 VPN 끝점에서 정책 또는 경로 기반 IPSec VPN 세션 특성을 구성하여 일치하는 필수 값이 포함되어 있는지 확인합니다.
다음 샘플 텍스트 파일은 다운로드되는 파일과 유사합니다. 파일 이름 "Sample_Policy_Based.txt" 는 NSX에 구성된 정책 기반 IPSec VPN 세션입니다. 다운로드한 파일의 이름은 세션의 이름을 기준으로 합니다. 예: <session-name>.txt.
# Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name : SAMPLE_POLICY_BASED
# IPSec VPN session description :
# Tier 0 path : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path : /infra/sites/default/enforcement-points/default
# Enforcement point type : NSX
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name : SAMPLE_POLICY_BASED
# IPSecVPNSession description:
# IPSecVPNSession enabled : true
# IPSecVPNSession type : Policy based VPN
# Logical router Id : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version : IKE_V2
Connection initiation mode : INITIATOR
Authentication method : PSK
Pre shared key : nsxtVPN!234
Authentication algorithm : [SHA2_256]
Encryption algorithm : [AES_128]
SA life time : 86400
Negotiation mode : Not applicable for ikev2
DH group : [GROUP14]
Prf Algorithm : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol : ESP
Authentication algorithm :
Sa life time : 3600
Encryption algorithm : [AES_GCM_128]
Encapsulation mode : TUNNEL_MODE
Enable perfect forward secrecy : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled : true
DPD probe interval : 60
#
# IPSec VPN Session Configuration
Peer address : 1.1.1.10 # Peer gateway public IP.
Peer id : 1.1.1.10
#
Local address : 200.200.200.1 # Local gateway public IP.
Local id : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]
IPSec VPN 세션 구성 파일 특성 테이블에는 피어 VPN 디바이스에서 IPSec VPN을 구성할 때 사용할 "Sample_Policy_Based.txt" VPN 세션 구성 파일의 특성이 포함되어 있습니다.
| 범주 | 특성 이름 | 피어 VPN 디바이스에서 구성할 특성의 의미 및 값 | 피어 디바이스 구성 가능성 |
|---|---|---|---|
| ISAKMP 1단계 매개 변수 | IKE 버전 | IKE 프로토콜 버전 | 필수 |
| 연결 시작 모드 | 디바이스가 IKE 연결을 시작하는지 여부 | 선택 사항. NSX IPSec이 연결 시작 모드 = "응답만"으로 구성된 경우 필수 |
|
| 인증 방법 | IKE에 대한 인증 모드 - 미리 공유한 키 또는 인증서 | 필수 | |
| 미리 공유한 키 | 인증 모드가 PSK인 경우 공유 키의 값 | 필수 | |
| 인증 알고리즘 | IKE에 사용할 인증 알고리즘 | 필수 | |
| 암호화 알고리즘 | IKE에 사용할 암호화 알고리즘 | 필수 | |
| SA 수명 시간 | IKE SA(보안 연결)의 수명(초) | 선택 사항 | |
| 협상 모드 | IKEv1 프로토콜 모드 - 기본 모드만 지원됩니다. IKEv2와 관련이 없음 | 필수 | |
| DH 그룹 | IKE SA 협상에 사용할 Diffie Hellman 그룹 | 필수 | |
| Prf 알고리즘 | IKE SA 협상에 사용되는 유사 임의 함수 | 필수 | |
| 피어 주소 | NSX 측 VPN 끝점의 IP 주소 | 필수 | |
| 피어 ID | NSX 측 VPN 끝점의 ID | 필수 | |
| 로컬 주소 | 피어 끝점 측 VPN 끝점의 주소(NSX 측에서 수행된 구성) |
필수 | |
| 로컬 ID | 피어 끝점 측에서 구성할 VPN 끝점의 ID | 필수 | |
| ISAKMP 2단계 매개 변수 | 변환 프로토콜 | 변환 프로토콜 | 변환 프로토콜 |
| 인증 알고리즘 | IPSec 패킷에 대한 무결성 보호 알고리즘 | 필수 | |
| SA 수명 | IPSec SA의 수명(초). SA 수명이 가까워지면 키가 새로 고쳐집니다. |
선택 사항 | |
| 암호화 알고리즘 | IPSec 패킷에 대한 암호화 보호 | 필수 | |
| 캡슐화 모드 | IPSec 터널 모드(터널 또는 전송) | 필수. 터널 모드만 지원됩니다. | |
| Perfect Forward Secrecy 사용 | PFS(사용 또는 비활성) | 필수 | |
| Perfect Forward Secrecy DH 그룹 | PFS에 사용할 DH 그룹 | 필수 | |
| 소스 | 정책 기반 VPN에 적용됩니다. 피어 VPN 끝점 뒤에 있는 서브넷입니다. |
정책 기반 VPN에 필수 | |
| 대상 | 정책 기반 VPN에 적용됩니다. IPSec을 통해 트래픽을 터널링해야 하는 NSX VPN 끝점 뒤에 있는 서브넷입니다. |
정책 기반 VPN에 필수 | |
| 기타 매개 변수 | DPD 사용 | Dead Peer Detection를 사용하도록 설정하는지 여부 | 선택 사항 |
| DPD가 수행되는 빈도(초) | 선택 사항 |
