SD-WAN Orchestrator에서 SD-WAN Edge를 통해 일반 IKEv1 라우터(경로 기반 VPN)(Generic IKEv1 Router (Route Based VPN)) 유형의 비 SD-WAN 대상를 구성하는 방법을 설명합니다.
프로시저
- SD-WAN Orchestrator의 탐색 패널에서 구성(Configure) > 네트워크 서비스(Network Services)로 이동합니다.
서비스(Services) 화면이 나타납니다.
- Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 영역에서 새로 만들기(New) 버튼을 클릭합니다.
Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) 대화상자가 나타납니다.
- 서비스 이름(Service Name) 텍스트 상자에 비 SD-WAN 대상의 이름을 입력합니다.
- 서비스 유형(Service Type) 드롭다운 메뉴에서 일반 IKEv1 라우터(경로 기반 VPN)(Generic IKEv1 Router (Route Based VPN))를 IPSec 터널 유형으로 선택합니다.
- 다음(Next)을 클릭합니다.
IKEv1 유형의 경로 기반 비 SD-WAN 대상가 생성되고 비 SD-WAN 대상에 대한 대화상자가 나타납니다.
- 기본 VPN 게이트웨이(Primary VPN Gateway)의 공용 IP(Public IP) 텍스트 상자에 기본 VPN 게이트웨이의 IP 주소를 입력합니다.
- 비 SD-WAN 대상의 기본 VPN 게이트웨이에 대한 터널 설정을 구성하려면 고급(Advanced) 버튼을 클릭합니다.
- Primary VPN Gateway(기본 VPN 게이트웨이) 영역에서 다음 터널 설정을 구성할 수 있습니다.
필드 설명 암호화(Encryption) 데이터를 암호화하는 AES 알고리즘 키 크기로 AES 128 또는 AES 256을 선택합니다. 데이터를 암호화하지 않으려면 Null을 선택합니다. 기본값은 AES 128입니다. DH 그룹(DH Group) 미리 공유한 키를 교환할 때 사용할 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5, 14, 15, 16입니다. DH 그룹 14를 사용하는 것이 좋습니다. PFS 추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 2, 5, 14, 15, 16입니다. 기본값은 비활성화됨(Deactivated)입니다. 해시(Hash) VPN 헤더에 대한 인증 알고리즘입니다. 목록에서 다음과 같이 지원되는 SHA(Secure Hash Algorithm) 기능 중 하나를 선택합니다. - SHA 1
- SHA 256
- SHA 384
- SHA 512
기본값은 SHA 256입니다.
IKE SA 수명(분)(IKE SA Lifetime(min)) IKE(Internet Key Exchange) 재입력이 Edge에 대해 시작되는 시간입니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다. IPsec SA 수명(분)(IPsec SA Lifetime(min)) IPsec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다. DPD 시간 초과 타이머(초)(DPD Timeout Timer(sec)) DPD 시간 초과 값을 입력합니다. 아래 설명된 대로 DPD 시간 초과 값이 내부 DPD 타이머에 추가됩니다. 피어가 비활성(Dead Peer Detection)인 것으로 간주하기 전에 DPD 메시지의 응답을 기다립니다. 5.1.0 릴리스 이전에는 기본값이 20초입니다. 5.1.0 이상 릴리스의 경우 기본값은 아래 목록을 참조하십시오.- 라이브러리 이름: Quicksec
- 검색 간격: 지수형(0.5초, 1초, 2초, 4초, 8초, 16초)
- 기본 최소 DPD 간격: 47.5초(Quicksec은 마지막 재시도 후 16초 동안 대기합니다. 따라서 0.5+1+2+4+8+16+16 = 47.5초가 됩니다.)
- 기본 최소 DPD 간격 + DPD 시간 초과(초): 67.5초
참고: 5.1.0 릴리스 이전에는 DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 있습니다. 그러나 5.1.0 이상 릴리스의 경우 DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 없습니다. DPD 시간 초과 값(초)이 기본 최소값인 47.5초에 추가됩니다.참고: AWS가 VMware SD-WAN Gateway(비 SD-WAN 대상)를 사용하여 키 재생성 터널을 시작하면 장애가 발생하고 터널이 설정되지 않아 트래픽이 중단될 수 있습니다. 다음을 준수하십시오.- AWS 기본 IPsec 구성과 일치하려면 SD-WAN Gateway에 대한 IPsec SA 수명(분)(IPsec SA Lifetime(min)) 타이머 구성이 60분보다 작아야 합니다(50분 권장).
- DH 및 PFS DH 그룹은 일치해야 합니다.
- 이 사이트에 대한 보조 VPN 게이트웨이를 생성하려면 보조 VPN 게이트웨이(Secondary VPN Gateway) 확인란을 선택하고 공용 IP(Public IP) 텍스트 상자에 보조 VPN 게이트웨이의 IP 주소를 입력합니다.
이 사이트에 대해 보조 VPN 게이트웨이가 즉시 생성되고 이 게이트웨이에 대한 VMware VPN 터널을 프로비저닝합니다.
- 이 사이트에 대해 보조 VPN 터널을 활성 상태로 두려면 터널 활성 유지(Keep Tunnel Active) 확인란을 선택합니다.
- 기본 VPN 게이트웨이와 동일한 터널 설정을 적용하려면 터널 설정이 기본 VPN 게이트웨이와 동일함(Tunnel settings are same as Primary VPN Gateway) 확인란을 선택합니다.
기본 VPN 게이트웨이에 대한 터널 설정 변경 사항이 보조 VPN 터널(구성된 경우)에도 적용됩니다.
- 사이트 서브넷(Site Subnets)에서 + 버튼을 클릭하여 비 SD-WAN 대상에 대한 서브넷을 추가할 수 있습니다.
참고: IPSec 연결 외에도 데이터 센터 유형의 비 SD-WAN 대상를 지원하려면 비 SD-WAN 대상 로컬 서브넷을 VMware 시스템으로 구성해야 합니다.
- 변경 내용 저장(Save Changes)을 클릭합니다.