IPsec IKEv2 사이트 설정

이 기사에서는 IPsec IKEv2 연결 유형을 사용하는 사이트를 생성하고 구성하는 방법에 대해 설명합니다. 새 사이트 생성에 대한 자세한 내용은 사이트 추가를 위한 CMA 사용을 참조하십시오.

참고: 최근 IPsec 사이트에 여러 활성 터널을 도입하는 과정에서, 고객은 관련 알림과 함께 잘못된 연결 끊김 및 재연결 이벤트를 받을 수 있습니다. 이것은 업데이트 프로세스 중에 한 번 발생하는 일로, 이러한 이벤트와 알림은 안전하게 무시 가능합니다. 이벤트와 알림은 잘못된 타임스탬프를 포함할 수 있으며 실제 서비스 중단을 반영하지 않습니다. IPsec 터널은 이 프로세스 동안 완전히 운영 상태를 유지합니다.

개요

IPsec 터널을 사용하여 사이트와 내부 네트워크를 Cato Cloud 및 원격 네트워크에 연결할 수 있습니다. IPsec 연결이 있는 사이트는 다음의 용도로 사용됩니다:

  • AWS나 Azure 같은 공공 클라우드에 있는 사이트
  • 서로 다른 위치에 있는 지사 사이트들이 타사 방화벽 뒤에 위치한 경우

IPsec IKEv2 사이트를 구성할 때 다음의 옵션 중 하나를 사용하여 연결을 시작할 수 있습니다:

  • 응답자만 - 방화벽 초기화. 사이트의 장치가 Cato PoP와의 연결을 시작합니다.
  • 양방향 – 연결은 방화벽이나 Cato에 의해 초기화될 수 있습니다.

응답자만 연결 모드

Cato의 IKEv2 응답자만 설정은 NAT 장치 뒤에 있는 동적 IP 주소를 가진 에지 장치에 대한 솔루션입니다. (즉, 방화벽이나 라우터) 이 솔루션은 원격 측의 에지 장비가 IKEv2 연결을 시작하고 관리할 수 있도록 허용합니다.

더불어, 응답자만 사용할 때 Cato를 구성하여 FQDN을 Cato 식별자로 사용할 수 있습니다. 이렇게 하면 Cato는 해시 값을 생성하고 이를 IP 주소로 변환하여 각 터널에 대한 최상의 PoP 위치를 제공합니다.

예를 들어, 연결 모드를 응답자만으로 구성하고 대상 유형을 FQDN으로 설정합니다. Cato는 somevalue.ipsec.dev.catonetworks.org의 해시 값을 생성합니다. 이 값은 원격 사이트에서 구성되며 FQDN 값을 사용하는 DNS 요청의 해결자로 작동합니다. PoP는 지리적 위치, RTT 등 여러 매개변수를 기반으로 선택됩니다.

이 시나리오에서 지정된 FQDN에 대해 원래 지정된 PoP가 사용 불가능하면 새로운 PoP가 자동으로 선택됩니다. 또한, Cato의 모범 사례를 따르고 FQDN을 사용할 때 기본 및 보조 터널을 정의하면 Cato는 이상적인 HA를 위해 다른 PoP 위치를 자동으로 선택합니다.

또는, 일부 방화벽 판매자는 FQDN을 사용하는 것을 지원하지 않으며 이 경우 IPv4를 대상으로 선택할 수 있습니다. 이 경우, 정적 PoP 위치를 선택해야 하며, 특정 이유로 그 PoP가 사용 불가하면 터널도 사용할 수 없습니다. 정적 IP 주소 정의에 대한 자세한 정보는 원격 사용자에 대한 IP 할당 정책을 참조하세요.

양방향 연결 모드

양방향 연결 모드에서는 장치 또는 Cato가 선택한 PoP에서 사이트 및/또는 클라우드 데이터 센터로 IPsec 터널을 시작하고 유지할 수 있습니다.

터널이 사용 불가할 경우, 장치가 연결을 시작할 필요 없이 터널이 빠르게 재설정됩니다.

IPsec 사이트와 여러 활성 터널

Cato는 기본 및 보조 HA 역할 모두에 대해 여러 활성 터널을 구성할 수 있습니다. 다음 작업을 수행할 수 있도록 여러 활성 터널을 사용합니다:

  • 마지막 마일 활용 - 여러 활성 터널을 통해 서로 다른 경로 간에 네트워크 트래픽을 분산하여 로드를 균형 있게 조정하고 네트워크 성능을 향상시킵니다.
  • 재정복 - 여러 활성 터널은 재정복을 제공합니다. 하나의 터널이 실패하면 트래픽은 다른 활성 터널을 통해 다시 라우팅되어 끊김 없는 연결성을 보장합니다.
  • 타사 통합 - SSE 서비스를 위해 타사 SD-WAN CPE와 통합합니다.
  • 트래픽 분리 - 서로 다른 유형의 트래픽을 분리하기 위해 서로 다른 터널을 사용할 수 있습니다. 예를 들어, 하나의 터널은 음성 트래픽에 사용될 수 있고 다른 터널은 데이터 트래픽에 사용될 수 있습니다.
ipsec-active-active.png

각 HA 역할에 대해 최대 3개의 활성 터널을 구성할 수 있으며, 모두 동일한 Cato PoP에 연결됩니다. 즉, 모든 기본 터널은 하나의 PoP에 연결되고, 모든 보조 터널은 다른 PoP에 연결됩니다. 각 터널은 고유 식별자를 가져야 하며, 예를 들어 FQDN 또는 공용 IP 주소 같은 로컬 ID를 사용할 수 있습니다.

여러 활성 터널의 HA

기본적으로, HA 역할의 모든 활성 터널이 다운되면 Cato는 자동으로 다른 HA 역할로 복구됩니다. 즉, 기본 HA 역할의 모든 터널이 다운되면 HA가 트리거되며, Cato는 다음 모든 사이트 경로의 다음 홉으로 보조 터널을 사용합니다. 그러나 기본 HA 역할에 2개의 터널이 있고 하나의 터널이 연결된 상태라면 장애전환은 발생하지 않습니다.

스토리 워크벤치에서 링크가 끊겼다는 이야기를 통해 터널을 모니터링할 수 있습니다.

참고: Cato가 터널이 내려갔다고 판단하는 데 최대 30초가 걸립니다.

대역폭 관리

IPsec 사이트에 대한 하향 및 상향 대역폭을 관리하도록 선택할 수 있습니다. Cato Cloud가 하향 대역폭을 제한하도록 하려면, 필요한 제한을 입력합니다. 그렇지 않으면 ISP 링크의 실제 연결 속도에 따라 값을 입력하세요. ISP 연결 속도를 모를 경우, 이 사이트의 라이센스에 따라 하향 대역폭을 설정하십시오. 상향 대역폭에 대해 Cato Cloud는 상향 트래픽을 제어하지 않으며, 이를 강제로 제한할 수 없습니다. 상향 대역폭 설정은 Cato Cloud의 최선의 노력입니다.

참고: 상향/하향 값이 ISP의 링크의 실제 연결 속도보다 크면 소켓 QoS 엔진이 효과가 없습니다.

Cato 내 QoS에 대한 자세한 내용은 Cato 대역폭 관리 프로필이란 무엇인가요?를 참조하세요.

아래 다중 활성 터널에 대한 라우팅 QoS를 참조하세요.

전제 조건

  • 네트워크 트래픽의 일부만을 Cato Cloud를 통해 보내는 경우, 네트워크 장비가 다음 IP 주소를 라우팅 테이블에 포함하도록 구성합니다:

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 네트워크의 자체 VPN 사용자 IP 주소 범위를 구성하지 않은 경우 10.41.0.0/16을 사용하십시오

  • 대역폭이 100Mbps 이상인 IPsec 사이트의 경우 AES 128 GCM-16 또는 AES 256 GCM-16 알고리즘만 사용하십시오. AES CBC 알고리즘은 100Mbps 미만의 대역폭을 가진 사이트에서만 사용됩니다.

    GCM 암호화가 CBC보다 더 효율적이고 확장 가능하기 때문에, Cato Cloud에서 고처리량 암호화된 트래픽에 대해 더 나은 성능과 신뢰성을 제공합니다.

  • Cato IPsec IKEv2 사이트는 최대 256비트의 넌스 길이를 지원합니다.
  • FTP 트래픽에 대해, Cato는 FTP 서버의 연결 시간 초과를 30초 이상으로 구성할 것을 권장합니다.
  • IPSec 공유 비밀(PSK)을 최대 64자로 설정할 수 있습니다.
  • Zscaler 환경에 연결되는 사이트의 경우, Phase2에서 암호화 선택을 활성화하려면 업그레이드된 Zscaler 라이센스가 필요합니다.

IKEv2 사이트 추가

새로운 IPsec IKEv2 사이트를 생성한 다음, IKEv2 설정에 맞춰 구성하고 기본 및 보조 터널 용도로 카토 할당 IP 주소를 지정하십시오. 자세한 내용은 계정에 대한 IP 주소 할당을 참고하십시오.

새로운 IPsec 사이트를 생성하려면:

  1. 탐색 메뉴에서 네트워크 > 사이트를 클릭한 다음 새로운을 클릭합니다.

    사이트 추가 패널이 열립니다.

  2. 사이트의 설정을 구성합니다:

    • 이름: 사이트의 이름
    • 유형: 토폴로지 페이지에서 사이트에 표시되는 아이콘
    • 연결 유형: 선택 IPsec IKEv2
    • 국가: 사이트가 위치한 국가
    • 주: 사이트가 위치한 주(해당하는 경우)
    • 라이센스: 사이트에 적합한 대역폭 라이센스를 선택하십시오.
    • 기본 범위: IPSec 사이트의 LAN 서브넷
  3. 새로 만들기를 클릭하십시오.

IPsec IKEv2 설정 구성

Cato Cloud에 연결하는 IPsec IKEv2를 사용하는 새 사이트를 만든 후 사이트를 편집하고 IPsec 설정을 구성합니다.

참고

중요: 고가용성을 위해 두 번째 터널(다른 Cato 공인 IP 사용)을 구성할 것을 강력히 권장합니다. 그렇지 않으면 사이트가 Cato Cloud에 연결을 잃을 위험이 있습니다.

연결 방식 설정을 사용하여 Cato PoP이 원격 사이트에서의 연결에만 응답해야 하는지, 또는 연결도 시작할 수 있는지(양방향) 정의하십시오.

동적 IP로 작업하는 사이트의 경우, Cato 관리 애플리케이션은 사이트를 위해 로컬 ID를 생성하여, 사용자가 선택한 인증 식별자로 사용됩니다. 타사 장치에서 필요한 인증 식별자: FQDN, 이메일, 또는 KEY_ID를 사용하고, 타사 장치의 IKE 설정에 로컬 ID를 입력하십시오.

로컬 ID 외에도 인증을 위한 사전 공유 키(PSK)를 구성하십시오. 장치에 BGP를 통해 기본 및 보조 IPsec 터널을 정의하여 고가용성을 제공합니다. 이렇게 하면 Cato Cloud는 BGP 라우트 메트릭스를 자동으로 조정하여 기본 터널을 우선하고, 연결이 끊어지면 사이트는 자동으로 보조 터널로 이동합니다.

IPsec IKEv2 사이트의 설정을 구성하려면:

  1. 탐색 메뉴에서 클릭 네트워크 > 사이트 그리고 사이트를 선택합니다.
  2. 탐색 메뉴에서 클릭 사이트 설정 > IPsec.

  3. 일반 섹션을 확장하고 사이트가 PoP에 연결 및 인증하는 방법을 정의하십시오:

    1. 사이트에 대한 연결 모드를 선택하십시오:

      • 응답자만 - 방화벽 init. 사이트의 방화벽이 연결을 시작하고, Cato가 응답합니다.
      • 양방향 - Cato PoP는 들어오는 연결에 대한 협상에 응답하고 나가는 협상을 시작합니다.

    2. 인증 식별자를 선택하십시오.

      • IPv4 - 사이트의 기본보조 섹션에서 구성한 정적 IP 주소를 사용하십시오

        현재 Cato PoP를 통한 IPSec에서는 IPv6가 지원되지 않습니다.

      • FQDN, Email, KEY_ID - 이러한 형식 중 하나로 로컬 ID를 생성합니다.

  4. 기본 섹션을 확장하고 기본 IPsec 터널의 다음 설정을 구성하십시오:

    • 대상 유형에서 FQDN 또는 IPv4 중 하나를 선택하십시오. 모든 활성 터널의 목적지는 HA 역할(기본 또는 보조)에 대해 동일해야 합니다.

      • 정규화된 도메인 이름(FQDN) - Cato에서 생성된 해시된 FQDN 값이 생성됩니다. 이 값은 특정 터널에 고유합니다. 이 값을 방화벽에 제공해야 합니다.

        선택하면 PoP 위치를 정의해야 합니다. Cato는 최적의 PoP가 선택되도록 자동을 사용할 것을 권장합니다. 특정 위치를 선택하고 보조 사이트도 구성하는 경우, 반드시 다른 위치를 선택하십시오.

      • IPv4 - Cato IP (송신) 드롭다운에서 정적 IP 주소를 선택하십시오.

  5. 새로운을 클릭하십시오. 터널 추가 페이지가 표시됩니다.

    1. 역할에서, 이 터널에 사용할 논리적 WAN 인터페이스를 선택하십시오. WAN 역할은 네트워크 규칙 정책에서 우선순위 기반 라우팅에 사용됩니다.
    2. 이름에서 설명이 담긴 이름을 입력하십시오.
    3. 공인 IP 아래에서 이 터널의 공인 IP 주소를 입력하십시오. 각 터널은 다른 공인 IP 주소를 사용해야 합니다.

    4. BGP를 사용하는 사이트의 경우 Private IPs을 구성하십시오.

      • Cato - IPsec 터널을 시작하는 Cato PoP 및 IP 주소를 입력하십시오.
      • 사이트 - BGP 피어의 개인 IP 주소를 입력하십시오.
    5. 마지막 마일 대역폭에서 사이트에 사용할 수 있는 최대 하향상향 대역폭(Mbps)을 구성하십시오.
    6. PSK에서 비밀번호 편집을 클릭하여 기본 IPsec 터널의 공유 비밀을 입력하십시오.

  6. 적용을 클릭하십시오. 터널이 기본 표에 추가됩니다.

    primary-ipsec-tunnel.png
  7. 보조 IPsec 터널을 사용하는 사이트의 경우, 보조 섹션을 확장하고 이전 단계에서 설정을 구성한 다음 저장을 클릭하십시오.
  8. 여러 활성/활성 터널을 사용하는 사이트의 경우, 5-7단계를 반복하십시오.

  9. (선택 사항) 초기 메시지 매개변수 섹션을 확장하고 설정을 구성하십시오. 유효한 매개 변수에 대한 정보는 아래의 초기화 및 인증 매개 변수를 참조하십시오.

    대부분의 IPsec IKEv2 지원 솔루션은 다음 초기 및 인증 매개변수의 자동 협상을 구현합니다. 방화벽 벤더에 의해 특별히 지시되지 않는 한, 이들을 자동으로 설정하는 것이 좋습니다.

  10. (선택 사항) 인증 매개변수 섹션을 확장하고 설정을 구성하십시오. 유효한 매개 변수는 아래 Init and Auth Parameters를 참조하세요.

  11. 라우팅 섹션을 확장하고 사이트에 대한 라우팅 옵션을 정의하십시오:

    IPsec_IKEv2_Routing.png
    • SA(보안 협회)가 이 터널에 대해 정의된 원격 측과의 IPsec 연결의 경우, 네트워크 범위에서 이 형식으로 SA에 대한 원격 IP 범위(일반적으로 다른 사이트의 네트워크)를 입력하고 추가를 클릭하십시오.

    • "SA에 대한 로컬 IP 범위는 로컬 트래픽 선택자 및 피어 트래픽 선택자를 포함하여 사이트 설정 > 네트워크 페이지에서 구성됩니다."

      ipsec_ikev2_native.png
      로컬 네트워크가 IPsec 피어에 대해 설정한 내용과 일치하는지 확인하십시오.

    • 다른 쪽을 기다리지 않고 중단된 연결을 재설정하도록 Cato Cloud가 사전 작업을 시도할 수 있도록 하려면 Cato에 의한 연결 시작을 선택하십시오. 그러지 않으면 방화벽이 연결을 재설정하려고 합니다.

      참고: 사이트에 대한 네트워크 범위가 구성되지 않은 경우 라우트 기반 VPN으로 간주됩니다 (내포: 0.0.0.0 <> 0.0.0.0).

  12. 저장을 클릭합니다.

    최적의 PoP 위치가 이 설정에 대해 결정될 수 있도록, 방화벽에 주요 및 보조 FQDN 값을 입력하기 전에 최소 3분을 기다리십시오.

  13. 이 사이트에 대한 연결 세부 정보와 IPsec 터널의 상태를 표시하려면 연결 상태를 클릭하십시오.

다중 활성 터널용 라우팅 QoS

기본적으로, 카토는 하향 트래픽만 제어할 수 있습니다. 트래픽은 건강 지표, 링크 선호도, 각 링크에 대해 구성된 대역폭의 비례 비율에 따라 터널(WAN 링크)에 분산됩니다. 건강 지표는 매초 재계산되고, 트래픽은 매 10초마다 가장 성능이 좋은 링크로 재분배됩니다.

상향 트래픽은 원격 IPsec 피어에 의해 제어되며, 피어가 사용하는 정책 기반 라우팅에 따라 결정됩니다.

네트워크 규칙을 사용하여 하향 트래픽에 대한 WAN 링크 선택을 무시할 수 있습니다. 특정 트래픽 튜플에 대해 어떤 WAN 링크가 사용될지를 결정하는 규칙을 구성할 수 있으며, 이 경우 트래픽은 도착한 터널이 아니라 규칙에서 구성된 WAN 링크로 전송됩니다.

active-active-rule.png

Init and Auth Parameters

초기 및 인증 매개변수를 정의할 때 다음 매개변수를 사용할 수 있습니다. 방화벽 벤더에서 달리 지시하지 않는 한 이러한 매개변수를 자동으로 설정할 것을 Cato는 권장합니다.

매개 변수

유효 값

암호화 알고리즘

  • 자동

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

의사 랜덤

  • 자동

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

무결성 알고리즘

  • 자동

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

디피-헬만 그룹

  • 2 (1024비트)

  • 5 (1536비트)

  • 14 (2048비트)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit random)

  • 20 (384-bit random)

사이트의 기본 IKEv2 매개 변수

다음은 IKEv2 매개변수의 기본값 목록입니다. 사용자 정의 값이 필요한 경우, 지원에 문의하십시오.

매개 변수

Keep-alive 확인 (빈 정보 요청 전송). 사이트가 터널에서 데이터를 받지 못한 후의 초 수.

10초

재전송 간격(초).

이 매개변수에 대해 사용자 지정 값을 구성하는 것은 불가능합니다.

10초

재전송의 최대 수.

이 매개 변수에 대해 사용자 정의 값을 구성할 수 없습니다.

5회 재전송

사이트가 Keep-alive 확인에 대한 데이터 또는 응답을 받지 못하는 최대 시간 간격. 이 시간 이후 사이트는 터널을 종료하고 재구축을 시도합니다.

60초

사이트가 다운되었고 다시 복구하지 못하는 터널을 재구축하려고 시도하는 시간 간격.

매 90초마다

IKE SA 수명(IPsec 단계 1). 사이트에 대한 고급 구성을 사용하여 이 매개변수의 값을 구성할 수 있습니다.

19,800초(약 5.5시간)

하위 SA 수명 (IPsec 단계 2).

3,600초 (1시간)

IKEv2 사이트에 대한 단일 트래픽 선택기 보내기

When creating a child SA, Cato sends multiple traffic selectors (TS) in the same TS payload in accordance with RFC 7295. Some third-party solutions, such as Cisco ASAs, only support a single TS in each child SA. A Cisco ASA will send a TS_UNACCEPTABLE message in response to a Cato proposal to create a child SA with multiple TS.

각 TS를 별도의 패킷으로 보내어 제3자 솔루션과의 상호 운용성을 지원하도록 사이트 구성 > 고급 구성 아래에서 이 구성을 활성화하여 보냅니다. 계정 또는 특정 IPsec IKEv2 사이트를 구성할 수 있습니다.

AWS VPC에 대한 두 터널 연결

카토는 두 개의 IPsec 터널을 통해 BGP를 사용하여 AWS VPC를 카토 클라우드에 연결하여 고가용성(HA) 구성을 할 수 있습니다. AWS 이중 터널은 두 개의 고객 게이트웨이를 정의하고, 각각 다른 카토 공인 IP 주소를 나타낼 때만 지원됩니다. 다음은 요구 사항입니다:

  • 두 개의 Cato 공인 IP 주소
  • 같은 VPC에 있는 두 개의 고객 게이트웨이, 각각 Cato 공인 IP 주소에 할당됨
  • AWS에서 사이트 간 연결 두 개

알려진 서비스 제한

  • 다중 테넌트 계정(예: Cato 파트너)은 각 계정이 IPsec 터널에 대해 다른 PoP 위치에서 할당된 IP 주소를 사용해야 합니다. 예를 들어, account1은 프랑크푸르트에서 할당된 IP를 사용하고, account2는 뮌헨 PoP 위치에서 할당된 IP를 사용해야 합니다.

도움이 되었습니까?

5명 중 3명이 도움이 되었다고 했습니다.

댓글 0개