IPsec IKEv2 사이트 설정

이 문서에서는 IPsec IKEv2 연결 유형을 사용하는 사이트를 생성하고 구성하는 방법에 대해 설명합니다． 새로운 사이트 생성에 대한 자세한 내용은 Cato 관리 애플리케이션을 사용하여 사이트 추가하기를 참조하십시오．

IPsec IKEv2 연결 개요

IPsec 터널을 사용하여 사이트 및 내부 네트워크를 Cato Cloud와 원격 네트워크에 연결할 수 있습니다． IPsec 연결을 사용하는 사이트는 다음과 같은 용도로 사용됩니다：

AWS 또는 Azure와 같은 공용 클라우드에 있는 사이트
방화벽 뒤에 있는 여러 위치의 지사용 사이트

IPsec IKEv2 사이트를 구성할 때, 다음 옵션 중 하나를 사용하여 연결을 시작할 수 있습니다：

응답자만 - 방화벽 초기화． 사이트의 장치가 Cato PoP와 연결을 시작합니다
양방향 – 연결은 방화벽 또는 Cato에 의해 시작될 수 있습니다

응답자만 연결 모드

Cato의 IKEv2 응답자만 설정은 동적 IP 주소를 가지거나 NAT 장비 뒤에 위치한 엣지 장치에 대한 솔루션입니다． (즉, 방화벽 또는 라우터) 이 솔루션은 원격 종단의 엣지 장치가 IKEv2 연결을 시작하고 관리할 수 있도록 합니다．

또한, 응답자만을 사용할 때 Cato를 정규화된 도메인 이름(FQDN)을 Cato 식별자로 사용하도록 구성할 수 있습니다． 이렇게 하면 Cato가 해시 값을 생성하고 이를 IP 주소로 변환하며 각 터널에 최적의 PoP 위치를 할당하도록 선택할 수 있습니다． 각 터널에 대해 PoP 위치를 수동으로 구성할 수도 있습니다．

예시로, 연결 모드를 응답자만으로 구성하고 대상 유형을 FQDN으로 설정합니다． Cato는 somevalue.ipsec.dev.catonetworks.org의 해시 값을 생성합니다． 이 값은 원격 사이트에서 설정되어 FQDN 값을 사용하는 DNS 요청에 대한 해석자로 작동합니다． 여러 매개변수(예: 지리적 위치, RTT 등)를 바탕으로 PoP가 자동으로 선택됩니다． 또한, Cato의 모범 사례를 따르고 FQDN을 사용할 때 주 및 보조 터널을 정의하면, Cato는 자동으로 이상적인 HA를 위해 다른 PoP 위치를 선택합니다．

대안으로, 일부 방화벽 벤더는 FQDN 사용을 지원하지 않으며, 이 경우 대상 유형으로 IPv4를 선택할 수 있습니다． 이 경우, 정적 PoP 위치를 선택해야 하며, 해당 PoP가 어떤 이유로든 사용 불가능할 경우 터널이 사용 불가능합니다．

양방향 연결 모드

양방향 연결 모드에서는 귀하의 장치 또는 Cato 모두 선택된 PoP에서 사이트 및/또는 클라우드 데이터 센터로의 IPsec 터널을 IPsec IKEv2 프로토콜을 통해 시작하고 유지할 수 있습니다．

터널이 사용 불가한 경우, Cato는 장치가 연결을 시작하기를 기다릴 필요가 없으므로 터널을 빠르게 재설정할 수 있습니다．

대역폭 관리

IPsec 사이트의 하향 및 상향 대역폭을 관리하도록 선택할 수 있습니다． Cato Cloud가 하향 대역폭을 제한하도록 하려면, 필요한 제한을 입력하십시오． 그렇지 않으면, ISP 링크의 실제 연결 속도에 대해 정의된 값을 입력하십시오． ISP 연결 속도를 모르는 경우, 이 사이트의 라이센스에 따라 하향 대역폭을 구성하십시오． 상향 대역폭에 관해서는, Cato Cloud가 상향 트래픽을 제어하지 않으며, 이를 강제 제한할 수 없습니다． 대신, 상향 대역폭 설정은 Cato Cloud의 최선의 노력이 반영된 것입니다.

참고

참고: 상향/하향 값이 ISP 링크의 실제 연결 속도보다 크면 소켓 QoS 엔진이 효과적이지 않습니다.

Cato 내 QOS에 대한 자세한 내용은 Cato 대역폭 관리 프로필이란 무엇인가요?를 참조하세요．

필수 조건

Cato Cloud에 네트워크 트래픽의 일부만 보내는 경우, 네트워크 장비를 구성하여 라우팅 테이블에 다음 IP 주소를 포함하여 Cato Cloud로 설정하십시오：
- 10.254.254.1
- 10.254.254.5
- 10.254.254.253
- 네트워크의 VPN 사용자 IP 주소 범위를 구성하지 않은 경우 10.41.0.0/16
대역폭이 100Mbps를 초과하는 IPsec 사이트의 경우 AES 128 GCM-16 또는 AES 256 GCM-16 알고리즘만 사용하십시오． AES CBC 알고리즘은 대역폭이 100Mbps 미만인 사이트에서만 사용됩니다．
Cato IPsec IKEv2 사이트는 최대 256비트의 nonce 길이를 지원합니다．
FTP 트래픽의 경우, Cato는 30초 이상의 연결 시간 초과 시간을 사용하여 FTP 서버를 구성할 것을 권장합니다．
IPSec 공유 비밀(PSK)은 최대 64자까지 설정할 수 있습니다．
Zscaler 환경에 연결하는 사이트의 경우, Phase2에서 암호화 선택을 활성화하려면 업그레이드된 Zscaler 라이선스가 필요합니다．

IKEv2 사이트 추가

새로운 IPsec IKEv2 사이트를 만든 다음 IKEv2 설정을 구성하고 기본 및 보조 터널에 할당된 Cato IP 주소를 할당하십시오． 자세한 정보는 계정에 대한 IP 주소 할당을 참조하세요．

새로운 IPsec 사이트를 생성하려면：

탐색 메뉴에서 네트워크 > 사이트를 클릭한 다음 새로운을 클릭합니다．

사이트 추가 패널이 열립니다．
사이트의 설정을 구성합니다：
- 이름: 사이트의 이름
- 유형: 토폴로지 페이지에 표시되는 사이트의 아이콘
- 연결 유형: IPsec IKEv2를 선택하세요
- 국가: 사이트가 위치한 국가입니다．
- 주: 사이트가 위치한 주(해당되는 경우)
- 라이선스: 사이트에 적합한 대역폭 라이선스를 선택하세요
- 네이티브 범위: IPsec 사이트의 LAN 서브넷
저장을 클릭합니다．

IPsec IKEv2 설정 구성

Cato Cloud에 연결하는 IPsec IKEv2를 사용하는 새 사이트를 만든 후 사이트를 편집하고 IPsec 설정을 구성합니다．

참고

중요: 고가용성을 위해 두 번째 터널(다른 Cato 공인 IP 사용)을 구성할 것을 강력히 권장합니다． 그렇지 않으면 사이트가 Cato Cloud에 연결을 잃을 위험이 있습니다．

연결 방식 설정을 사용하여 Cato PoP이 원격 사이트에서의 연결에만 응답해야 하는지, 또는 연결도 시작할 수 있는지(양방향) 정의하십시오．

동적 IP로 작업하는 사이트의 경우, Cato 관리 애플리케이션은 사이트를 위해 로컬 ID를 생성하여, 사용자가 선택한 인증 식별자로 사용됩니다． 타사 장치에서 요구하는 인증 식별자: FQDN, 이메일, 또는 KEY_ID를 사용하고 타사 장치의 IKE 설정에 로컬 ID를 입력하십시오．

로컬 ID 외에도 인증을 위한 사전 공유 키(PSK)를 구성하십시오． 그렇게 하면, BGP를 통해 장치에 대한 기본 및 보조 IPsec 터널을 정의할 수 있으며 이는 높은 가용성을 제공합니다． 이렇게 하면 Cato Cloud는 BGP 라우트 메트릭스를 자동으로 조정하여 기본 터널을 우선하고, 연결이 끊어지면 사이트는 자동으로 보조 터널로 이동합니다．

IPsec IKEv2 사이트 설정을 구성하려면：

네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택하십시오．
네비게이션 메뉴에서 사이트 설정 > IPsec을 클릭하십시오．
일반 섹션을 확장하고 사이트가 PoP에 연결 및 인증하는 방법을 정의하십시오：
1. 사이트에 대한 연결 모드를 선택하십시오：
  - 응답자만 – 방화벽 시작． 사이트의 방화벽이 연결을 시작하고 Cato가 응답합니다
  - 양방향 - Cato PoP는 들어오는 연결의 협상에 응답하고 나가는 협상을 시작합니다．
2. 인증 식별자를 선택하십시오．
  
  양방향 모드는 인증 식별자에 대해 IPv4만 지원합니다．
  - IPv4 - 사이트의 기본 및 보조 섹션에서 구성한 정적 IP 주소를 사용하십시오
    
    현재 Cato PoP를 통한 IPSec에서는 IPv6가 지원되지 않습니다．
  - 정규화된 도메인 이름(FQDN), 이메일, KEY_ID - 이러한 형식 중 하나로 로컬 ID가 생성됩니다
기본 섹션을 확장하고 기본 IPsec 터널의 다음 설정을 구성하십시오：
- 대상 유형에서 FQDN 또는 IPv4 중 하나를 선택하십시오．
  - 정규화된 도메인 이름(FQDN) - Cato에서 생성된 해시된 FQDN 값이 생성됩니다． 이 값은 특정 터널에 고유합니다． 이는 방화벽 또는 BGP 피어에 제공할 값입니다．
    
    선택하면 PoP 위치를 정의해야 합니다． Cato는 최적의 PoP가 선택되도록 자동을 사용할 것을 권장합니다． 특정 위치를 선택하고 보조 사이트도 구성하는 경우, 반드시 다른 위치를 선택하십시오．
  - IPv4 - Cato IP (송신) 드롭다운에서 정적 IP 주소를 선택하십시오.
- 공용 사이트 식별자에서, IPsec 터널이 시작되는 원격 사이트의 공용 사이트 IP 주소 또는 로컬 ID를 입력하십시오.
- 개인 IP에서:
  - Cato - IPsec 터널을 시작하는 Cato PoP와 IP 주소를 입력하십시오.
  - 사이트 – BGP 피어의 개인 IP 주소를 입력하십시오.
- 마지막 마일 대역폭에서, 사이트에 사용할 수 있는 최대 하향 및 상향 대역폭 (Mbps)을 구성하십시오
- 기본 사전 공유 키에서, 기본 IPsec 터널의 공유 비밀을 입력하려면 비밀번호 편집을 클릭하십시오．
  
  참고: 각 사이트에 대해 사이트 IP가 다르기만 하면 하나 이상의 IPsec 사이트에 동일한 할당된 IP 주소를 선택적으로 사용할 수 있습니다． Cato는 각 사이트에 대해 다른 할당된 IP를 사용할 것을 권장합니다．
보조 IPsec 터널을 사용하는 사이트의 경우 보조 섹션을 확장하고 이전 단계의 설정을 구성한 다음 저장을 클릭하십시오．
(선택 사항) 초기 메시지 매개변수 섹션을 확장하고 설정을 구성하십시오． 아래의 초기 및 인증 매개변수에 대한 유효한 매개변수를 확인하십시오．

대부분의 IPsec IKEv2 지원 솔루션이 다음 초기 및 인증 매개변수의 자동 협상을 구현하므로, 방화벽 공급업체에서 특별히 지시하지 않는 한 이를 자동으로 설정할 것을 권장합니다．
(선택 사항) 인증 매개변수 섹션을 확장하고 설정을 구성하십시오． 아래의 초기 및 인증 매개변수에 대한 유효한 매개변수를 확인하십시오．
라우팅 섹션을 확장하고 사이트에 대한 라우팅 옵션을 정의하십시오：
- 이 터널에 대해 SA(보안 연결)가 정의된 원격 측과의 IPsec 연결의 경우 네트워크 범위 섹션에서 이 형식 <레이블:IP 범위>로 SA의 로컬 IP 범위를 입력하고 추가를 클릭하십시오．
  
  SA에 대한 원격 IP 범위는 사이트 설정 > 네트워크 화면에서 구성됩니다．
- 다른 쪽을 기다리지 않고 중단된 연결을 재설정하도록 Cato Cloud가 사전 작업을 시도할 수 있도록 하려면 Cato에 의한 연결 시작을 선택하십시오． 그러지 않으면 방화벽이 연결을 재설정하려고 합니다．
참고: 사이트에 대한 네트워크 범위가 구성되지 않은 경우 라우트 기반 VPN으로 간주됩니다 (내포: 0.0.0.0 <> 0.0.0.0)．
저장을 클릭하십시오．

최적의 PoP 위치가 이 설정에 대해 결정될 수 있도록, 방화벽에 주요 및 보조 FQDN 값을 입력하기 전에 최소 3분을 기다리십시오.
이 사이트의 IPsec 터널에 대한 연결 세부 정보와 상태를 표시하려면 연결 상태를 클릭하십시오.

초기 및 인증 매개변수

초기 및 인증 매개변수를 정의할 때 다음 매개변수를 사용할 수 있습니다. 방화벽 벤더에서 달리 지시하지 않는 한 이러한 매개변수를 자동으로 설정할 것을 Cato는 권장합니다.

매개변수	유효한 값
암호화 알고리즘	자동 AES-CBC-128 AES-CBC-256 AES-GCM-128 AES-GCM-256
유사 랜덤	자동 SHA1 SHA2 256 SHA2 384 SHA2 512
무결성 알고리즘	자동 SHA1 SHA2 256 SHA2 384 SHA2 512
Diffie-Hellman 그룹	2 (1024비트) 5 (1536비트) 14 (2048비트) 15 (3072-bit) 16 (4096-bit) 19 (256비트 랜덤) 20 (384비트 랜덤)

사이트의 기본 IKEv2 매개변수

다음은 IKEv2 매개변수의 기본값 목록입니다． 사용자 정의 값이 필요한 경우, 지원에 문의하십시오．

매개변수	값
Keep-alive 검사 (빈 정보 요청을 전송합니다)． 사이트가 터널에서 데이터를 받지 못한 후의 초 수입니다．	10초
재전송 간격 (초)． 이 매개변수에 대한 사용자 정의 값을 구성할 수 없습니다．	10초
최대 재전송 횟수입니다． 이 매개변수에 대한 사용자 정의 값을 구성할 수 없습니다．	5회 재전송
사이트가 데이터를 받지 못하거나 keep-alive 검사의 응답을 받지 못하는 최대 시간 간격입니다． 이 시간이 지나면 사이트는 터널을 해제하고 재구성을 시도합니다．	60초
사이트가 다운된 터널을 재구성하려고 시도했던 시간 간격입니다．	매 90초마다
IKE SA 수명 (IPsec 단계 1)． 사이트에 대한 고급 구성을 사용하여 이 매개변수의 값을 구성할 수 있습니다．	19,800 seconds (approximately 5.5 hours)
Child SA lifetime (IPsec phase 2).	3,600 seconds (1 hour)

Sending a Single Traffic Selector for IKEv2 Sites

When creating a child SA, Cato sends multiple traffic selectors (TS) in the same TS payload in accordance with RFC 7295. Some third-party solutions, such as Cisco ASAs, only support a single TS in each child SA. A Cisco ASA will send a TS_UNACCEPTABLE message in response to a Cato proposal to create a child SA with multiple TS.

계정 또는 특정 IPsec IKEv2 사이트를 구성하여 이 구성에서 각 TS를 개별 패킷으로 보내 제3자 솔루션과의 상호 운용성을 지원할 수 있으며, 이 구성은 사이트 설정 > 고급 구성에서 활성화할 수 있습니다．

HA를 위한 AWS VPC에 두 터널 연결

카토는 두 개의 IPsec 터널을 통해 BGP를 사용하여 AWS VPC를 카토 클라우드에 연결하여 고가용성(HA) 구성을 할 수 있습니다． AWS 이중 터널은 두 개의 고객 게이트웨이를 정의하고, 각각 다른 카토 공인 IP 주소를 나타낼 때만 지원됩니다． 다음은 요구 사항입니다：

두 개의 카토 공인 IP 주소
동일한 VPC 내 두 개의 고객 게이트웨이이며 각각이 카토 공인 IP 주소에 할당됩니다
AWS 내 두 개의 사이트 간 연결