IPsec(Internet Protocol Security)은 호스트에서 주고받는 IP 통신에 보안을 적용합니다. ESXi 호스트는 IPv6을 사용하는 IPsec을 지원합니다.

ESXi 호스트에서 IPsec을 설정할 때는 수신 및 송신 패킷에 대해 인증과 암호화가 사용되도록 설정해야 합니다. IP 트래픽이 암호화되는 시기와 방법은 시스템의 보안 연결과 보안 정책을 설정하는 방법에 따라 달라집니다.

보안 연결은 시스템에서 트래픽을 암호화하는 방법을 결정합니다. 보안 연결을 생성할 때는 소스와 대상, 암호화 매개 변수, 그리고 보안 연결의 이름을 지정해야 합니다.

보안 정책은 시스템에서 트래픽을 암호화해야 하는 시기를 결정합니다. 보안 정책에는 소스 및 대상 정보, 암호화할 트래픽의 프로토콜과 방향, 사용할 모드(전송 또는 터널)와 보안 연결이 포함됩니다.

ESXi 호스트에서 사용 가능한 보안 연결 나열

ESXi는 보안 정책에 의해 사용할 수 있는 모든 보안 연결 목록을 제공할 수 있습니다. 이 목록에는 사용자가 생성한 보안 연결과 VMkernel이 IKE(Internet Key Exchange)를 통해 설치한 보안 연결이 모두 포함됩니다.

esxcli 명령을 사용하여 사용 가능한 보안 연결 목록을 가져올 수 있습니다.

프로시저

  • 명령 프롬프트에서 esxcli network ip ipsec sa list 명령을 입력합니다.

결과

ESXi가 사용 가능한 모든 보안 연결 목록을 표시합니다.

ESXi 호스트에 IPsec 보안 연결 추가

연결된 IP 트래픽의 암호화 매개 변수를 지정하기 위해 보안 연결을 추가합니다.

esxcli 명령을 사용하여 보안 연결을 추가할 수 있습니다.

프로시저

  • 명령 프롬프트에서 다음 옵션을 하나 이상 포함하여 esxcli network ip ipsec sa add 명령을 입력합니다.
    옵션 설명
    --sa-source= source address 필수. 소스 주소를 지정합니다.
    --sa-destination= destination address 필수. 대상 주소를 지정합니다.
    --sa-mode= mode 필수. transport 또는 tunnel으로 모드를 지정합니다.
    --sa-spi= security parameter index 필수. 보안 매개 변수 인덱스를 지정합니다. 보안 매개 변수 인덱스는 호스트에서 보안 연결을 식별하는 데 사용되며 0x 접두사로 시작하는 16진수여야 합니다. 생성하는 각 보안 연결에는 프로토콜과 보안 매개 변수 인덱스의 고유한 조합이 있어야 합니다.
    --encryption-algorithm= encryption algorithm 필수. 다음 매개 변수 중 하나를 사용하여 암호화 알고리즘을 지정합니다.
    • 3des-cbc
    • aes128-cbc
    • null(암호화를 제공하지 않음)
    --encryption-key= encryption key 암호화 알고리즘을 지정하는 경우 필수. 암호화 키를 지정합니다. ASCII 텍스트 또는 0x 접두사로 시작하는 16진수를 키로 입력할 수 있습니다.
    --integrity-algorithm= authentication algorithm 필수. 인증 알고리즘을 hmac-sha1 또는 hmac-sha2-256으로 지정합니다.
    --integrity-key= authentication key 필수. 인증 키를 지정합니다. ASCII 텍스트 또는 0x 접두사로 시작하는 16진수를 키로 입력할 수 있습니다.
    --sa-name=name 필수. 보안 연결에 대한 이름을 제공합니다.

예: 새 보안 연결 명령

다음 예에는 읽기 쉽도록 줄 바꿈이 추가로 포함되어 있습니다. 

esxcli network ip ipsec sa add 
--sa-source 3ffe:501:ffff:0::a 
--sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--sa-spi 0x1000
--encryption-algorithm 3des-cbc
--encryption-key 0x6970763672656164796c6f676f336465736362636f757432
--integrity-algorithm hmac-sha1
--integrity-key 0x6970763672656164796c6f67736861316f757432
--sa-name sa1

ESXi 호스트에서 IPsec 보안 연결 제거

ESXCLI 명령을 사용하여 보안 연결을 제거할 수 있습니다.

사전 요구 사항

사용하려는 보안 연결이 현재 사용 중인지 확인합니다. 사용 중인 보안 연결을 제거하려고 시도하면 제거 작업이 실패합니다.

프로시저

  • 명령 프롬프트에서 esxcli network ip ipsec sa remove --sa-name security_association_name 명령을 입력합니다.

ESXi 호스트에서 사용 가능한 IPsec 보안 정책 나열

ESXCLI 명령을 사용하여 사용 가능한 보안 정책을 나열할 수 있습니다.

프로시저

  • 명령 프롬프트에서 esxcli network ip ipsec sp list 명령을 입력합니다.

결과

사용 가능한 모든 보안 정책의 목록이 표시됩니다.

ESXi 호스트에서 IPSec 보안 정책 생성

보안 연결에 설정되어 있는 인증 및 암호화 매개 변수를 사용할 시점을 판단하기 위해 보안 정책을 생성합니다. ESXCLI 명령을 사용하여 보안 정책을 추가할 수 있습니다.

사전 요구 사항

보안 정책을 생성하기 전에 ESXi 호스트에 IPsec 보안 연결 추가에 설명되어 있는 대로 적절한 인증 및 암호화 매개 변수가 설정된 보안 연결을 추가합니다.

프로시저

  • 명령 프롬프트에서 다음 옵션을 하나 이상 포함하여 esxcli network ip ipsec sp add 명령을 입력합니다.
    옵션 설명
    --sp-source= source address 필수. 소스 IP 주소와 접두사 길이를 지정합니다.
    --sp-destination= destination address 필수. 대상 주소 및 접두사 길이를 지정합니다.
    --source-port= port 필수. 소스 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다.
    --destination-port= port 필수. 대상 포트를 지정합니다. 소스 포트는 0에서 65535 사이의 숫자여야 합니다.
    --upper-layer-protocol= protocol 다음 매개 변수 중 하나를 사용하여 상위 계층 프로토콜을 지정합니다.
    • tcp
    • udp
    • icmp6
    • any
    --flow-direction= direction in 또는 out을 사용하여 트래픽을 모니터링할 방향을 지정합니다.
    --action= action 지정한 매개 변수를 사용하는 트래픽을 발견했을 때 수행할 작업을 지정합니다. 다음 매개 변수 중 하나를 사용할 수 있습니다.
    • none: 어떤 작업도 수행하지 않습니다.
    • discard: 데이터 수신 및 송신을 허용하지 않습니다.
    • ipsec: 보안 연결에 제공되는 인증 및 암호화 정보를 사용하여 데이터가 신뢰할 수 있는 소스에서 제공되었는지 확인합니다.
    --sp-mode= mode tunnel 또는 transport으로 모드를 지정합니다.
    --sa-name=security association name 필수. 보안 정책에 사용할 보안 연결의 이름을 제공합니다.
    --sp-name=name 필수. 보안 정책에 대한 이름을 제공합니다.

예: 새 보안 정책 명령

다음 예제에서는 가독성을 높이기 위해 추가로 줄 바꿈이 포함됩니다. 

esxcli network ip ipsec add
--sp-source=2001:db8:1::/64
--sp-destination=2002:db8:1::/64
--source-port=23
--destination-port=25
--upper-layer-protocol=tcp
--flow-direction=out
--action=ipsec
--sp-mode=transport
--sa-name=sa1
--sp-name=sp1

ESXi 호스트에서 IPsec 보안 정책 제거

ESXCLI 명령을 사용하여 ESXi 호스트에서 보안 정책을 제거할 수 있습니다.

사전 요구 사항

사용하려는 보안 정책이 현재 사용 중인지 확인합니다. 사용 중인 보안 정책을 제거하려고 하면 제거 작업이 실패합니다.

프로시저

  • 명령 프롬프트에서 esxcli network ip ipsec sp remove --sa-name security policy name 명령을 입력합니다.
    모든 보안 정책을 제거하려면 esxcli network ip ipsec sp remove --remove-all 명령을 입력합니다.