이 서비스를 사용하여 하나 이상의 비 SD-WAN 대상에 액세스하기 위해 VPN 터널 구성을 생성할 수 있습니다. VMware는 터널을 생성하는 데 필요한 구성(IKE IPsec 구성 생성 및 사전 공유 키 생성)을 제공합니다.
개요
다음 그림에서는 VMware와 비 SD-WAN 대상 간에 생성될 수 있는 VPN 터널의 개요를 보여 줍니다.
참고:비 SD-WAN 대상의 기본 VPN 게이트웨이에 대해 IP 주소를 지정해야 합니다. IP 주소는
SD-WAN Gateway와 기본 VPN 게이트웨이 간에 기본 VPN 터널을 구성하는 데 사용됩니다.
필요한 경우 SD-WAN Gateway와 보조 VPN 게이트웨이 간에 보조 VPN 터널을 구성하기 위해 보조 VPN 게이트웨이에 대한 IP 주소를 지정할 수 있습니다. 생성하는 모든 VPN 터널에 대해 중복 VPN 터널을 지정할 수 있습니다.
AWS VPN 게이트웨이 유형의 비 SD-WAN 대상 구성
AWS VPN 게이트웨이(AWS VPN Gateway) 유형의
비 SD-WAN 대상 구성을 생성하면 추가 구성 옵션 페이지로 리디렉션됩니다.
다음 터널 설정을 구성하고
변경 내용 저장(Save Changes)을 클릭할 수 있습니다.
옵션
설명
일반
이름(Name)
이전에 입력한 비 SD-WAN 대상의 이름을 편집할 수 있습니다.
유형(Type)
유형을 AWS VPN 게이트웨이(AWS VPN Gateway)로 표시합니다. 이 옵션은 편집할 수 없습니다.
터널 사용(Enable Tunnel(s))
토글 버튼을 클릭하여 SD-WAN Gateway에서 AWS VPN 게이트웨이로의 터널을 시작합니다.
터널 모드(Tunnel Mode)
활성/핫 대기(Active/Hot-Standby)가 표시되면서 활성 터널이 종료된 경우 대기(핫 대기) 터널이 해당 역할을 인계받아 활성 터널이 된다는 사실을 나타냅니다.
기본 VPN 게이트웨이(Primary VPN Gateway)
공용 IP(Public IP)
기본 VPN 게이트웨이의 IP 주소를 표시합니다.
PSK
PSK(사전 공유한 키)는 터널 전체의 인증을 위한 보안 키입니다. SASE Orchestrator는 기본적으로 PSK를 생성합니다. 고유한 PSK 또는 암호를 사용하려면 텍스트 상자에 입력합니다.
암호화(Encryption)
데이터를 암호화하는 AES 알고리즘 키 크기로 AES-128 또는 AES-256을 선택합니다. 기본값은 AES-128입니다.
DH 그룹(DH Group)
드롭다운 메뉴에서 DH(Diffie-Hellman) 그룹 알고리즘을 선택합니다. 키 자료 생성에 사용됩니다. DH 그룹은 알고리즘의 강도를 비트 단위로 설정합니다. 지원되는 DH 그룹은 2, 5 및 14입니다. 기본값은 2입니다.
PFS
추가 보안을 위해 PFS(Perfect Forward Secrecy) 수준을 선택합니다. 지원되는 PFS 수준은 비활성화됨(deactivated), 2 및 5입니다. 기본값은 2입니다.
인증 알고리즘(Authentication Algorithm)
VPN 헤더에 대한 인증 알고리즘을 선택합니다. 드롭다운 메뉴에서 다음과 같이 지원되는 SHA(Secure Hash Algorithm) 기능 중 하나를 선택합니다.
SHA1
SHA256
SHA384
SHA512
기본값은 SHA 1입니다.
IKE SA 수명(분)(IKE SA Lifetime(min))
IKE(Internet Key Exchange) 재입력이 SD-WAN Edge에 대해 시작되는 시간입니다. 최소 IKE 수명 시간은 10분이고, 최대 IKE 수명 시간은 1440분입니다. 기본값은 1440분입니다.
IPsec SA 수명(분)(IPsec SA Lifetime(min))
IPsec(인터넷 보안 프로토콜) 재입력이 Edge에 대해 시작될 때의 시간입니다. 최소 IPsec 수명 시간은 3분이고, 최대 IPsec 수명 시간은 480분입니다. 기본값은 480분입니다.
DPD 유형(DPD Type)
DPD(Dead Peer Detection) 방법은 IKE(Internet Key Exchange) 피어가 활성 상태인지 또는 비활성 상태인지를 감지하는 데 사용됩니다. 피어가 비활성으로 감지되면 디바이스가 IPsec 및 IKE 보안 연결을 삭제합니다. 드롭다운 메뉴에서 정기(Periodic) 또는 요청 시(onDemand)를 선택합니다. 기본값은 요청 시(onDemand)입니다.
DPD 시간 초과(초)(DPD Timeout(sec))
DPD 시간 초과 값을 입력합니다. 아래 설명된 대로 DPD 시간 초과 값이 내부 DPD 타이머에 추가됩니다. 피어가 비활성(Dead Peer Detection)인 것으로 간주하기 전에 DPD 메시지의 응답을 기다립니다.
5.1.0 릴리스 이전에는 기본값이 20초입니다. 5.1.0 이상 릴리스의 경우 기본값은 아래 목록을 참조하십시오.
라이브러리 이름: Quicksec
검색 간격: 지수형(0.5초, 1초, 2초, 4초, 8초, 16초)
기본 최소 DPD 간격: 47.5초(Quicksec은 마지막 재시도 후 16초 동안 대기합니다. 따라서 0.5+1+2+4+8+16+16 = 47.5초가 됩니다.)
기본 최소 DPD 간격 + DPD 시간 초과(초): 67.5초
참고: 5.1.0 릴리스 이전에는 DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 있습니다. 그러나 5.1.0 이상 릴리스의 경우 DPD 시간 초과 타이머를 0초로 구성하여 DPD를 비활성화할 수 없습니다. DPD 시간 초과 값(초)이 기본 최소값인 47.5초에 추가됩니다.
보조 VPN 게이트웨이(Secondary VPN Gateway)
추가(Add) 버튼을 클릭한 다음, 보조 VPN 게이트웨이의 IP 주소를 입력합니다. 변경 내용 저장(Save Changes)을 클릭합니다.
이 사이트에 대해 보조 VPN 게이트웨이가 즉시 생성되고 이 게이트웨이에 대한 VMware VPN 터널을 프로비저닝합니다.
중복 VMware Cloud VPN(Redundant VMware Cloud VPN)
각 VPN 게이트웨이에 대해 중복 터널을 추가하려면 이 확인란을 선택합니다. 기본 VPN 게이트웨이의 암호화(Encryption), DH 그룹(DH Group) 또는 PFS에 대한 변경 내용은 이중화된 VPN 터널(구성된 경우)에도 적용됩니다.
로컬 인증 ID(Local Auth Id)
로컬 인증 ID는 로컬 게이트웨이의 형식 및 ID를 정의합니다. 드롭다운 메뉴의 다음 유형 중에서 선택하고 값을 입력합니다.
FQDN - 정규화된 도메인 이름 또는 호스트 이름입니다. 예: vmware.com
사용자 FQDN(User FQDN) - 이메일 주소 형식의 사용자 정규화된 도메인 이름입니다. 예: [email protected]
IPv4 - 로컬 게이트웨이와 통신하는 데 사용되는 IP 주소입니다.
IPv6 - 로컬 게이트웨이와 통신하는 데 사용되는 IP 주소입니다.
참고: 값을 지정하지 않으면
기본값(Default)이 로컬 인증 ID로 사용됩니다.
샘플 IKE/IPsec(Sample IKE / IPsec)
비 SD-WAN 대상 게이트웨이를 구성하는 데 필요한 정보를 보려면 클릭합니다. 게이트웨이 관리자는 이 정보를 사용하여 게이트웨이 VPN 터널을 구성해야 합니다.
위치(Location)
편집(Edit)을 클릭하여 구성된 비 SD-WAN 대상에 대한 위치를 설정합니다. 위도 및 경도 세부 정보는 네트워크에서 연결할 최상의 Edge 또는 게이트웨이를 결정하는 데 사용됩니다.
사이트 서브넷(Site Subnets)
토글 버튼을 사용하여 사이트 서브넷(Site Subnets)을 활성화하거나 비활성화합니다. 추가(Add)를 클릭하여 비 SD-WAN 대상에 대한 서브넷을 추가합니다. 사이트에 대한 서브넷이 필요하지 않은 경우 서브넷을 선택하고 삭제(Delete)를 클릭합니다.
참고:
IPsec 연결 외에도 데이터 센터 유형의 비 SD-WAN 대상를 지원하려면 비 SD-WAN 대상 로컬 서브넷을 VMware 시스템으로 구성해야 합니다.
구성된 사이트 서브넷이 없는 경우 사이트 서브넷(Site Subnets)을 비활성화하여 터널을 활성화합니다.
