IPsec IKEv1 사이트 구성

이 문서에서는 IPsec IKEv1 연결 유형을 사용하는 사이트를 구성하는 방법에 대해 설명합니다. 새 사이트 생성에 대한 자세한 내용은 사이트 추가를 위한 CMA 사용을 참조하십시오.

IPsec IKEv1 연결 개요

Cato는 선택된 PoP에서 사이트 및/또는 클라우드 데이터 센터로의 IPsec IKEv1 터널을 시작하고 유지할 수 있습니다.

참고

참고: Cato Cloud를 통해 네트워크 트래픽의 일부만 보내는 경우, 라우팅 테이블에 다음 IP 범위를 포함하도록 네트워크 장비를 구성하십시오:

  • 10.254.254.0/24 - Cato Cloud를 통한 트래픽에 예약된 기본 서브넷 (사용자 정의 범위가 있는 계정은 사용자 정의 서브넷을 사용하십시오)

  • 10.41.0.0/16 - 네트워크의 자체 SDP 사용자 IP 주소 범위를 구성하지 않은 경우 (자세한 내용은 원격 사용자에 대한 IP 할당 정책)를 참조하십시오.

AWS VPC에 두 터널 연결하기 (HA를 위한)

Cato는 고가용성 (HA) 구성을 위해 두 개의 IPsec 터널을 통해 BGP를 사용하여 AWS VPC를 Cato Cloud에 연결할 수 있습니다. AWS 이중 터널은 두 개의 고객 게이트웨이를 정의하고 각각이 다른 Cato 공용 IP 주소를 나타내는 경우에만 지원됩니다. 다음은 요구 사항입니다:

  • 두 개의 Cato 공인 IP 주소

  • 같은 VPC에서 두 개의 고객 게이트웨이를 구성하고 각 게이트웨이는 Cato 공인 IP 주소로 할당됩니다.

  • AWS에서 두 사이트 간 연결을 구성하십시오

IPsec IKEv1 사이트를 구성하기

IPsec IKEv1을 사용하여 Cato Cloud에 연결하는 새 사이트를 생성한 후, 사이트를 편집하고 IPsec 설정을 구성하십시오.

고유 IP 주소에 대한 자세한 내용은 계정에 대한 IP 주소 할당을 참조하십시오.

참고

중요: 높은 가용성을 위해 보조 터널(다른 Cato 공용 IP 사용)을 구성할 것을 강력히 권장합니다. 그렇지 않으면 사이트가 Cato Cloud와 연결성을 잃을 수 있는 위험이 있습니다.

IPsec 사이트의 다운스트림 및 업스트림 대역폭을 관리하도록 선택할 수 있습니다. Cato Cloud가 다운스트림 대역폭을 제한하도록 하려면, 필요한 한도치를 입력하십시오. 그렇지 않으면, ISP 링크의 실제 연결 속도에 따라 값을 입력하십시오. ISP 연결 속도를 모를 경우, 해당 사이트의 라이센스에 맞게 하향 대역폭을 설정하십시오. 업스트림 대역폭의 경우, Cato Cloud는 업스트림 트래픽을 제어하지 않으며 강력한 한계를 설정할 수 없습니다. 대신, 업스트림 대역폭 설정은 Cato Cloud의 최선 노력이 됩니다.

사이트에 대한 특정 라우팅 Specific: x.x.x.x/y<-->a.a.a.a/b (각 로컬 범위에서 특정 원격 범위까지 터널)을 사용하는 경우, ???를 검토하십시오 IPsec 설정을 구성하기 시작하기 전에.

모범 사례: Dead Peer Detection (DPD) 설정을 IKEv1 2단계에 대해 구성하여 DPD 응답이 없을 경우 연결을 자동으로 재시작합니다. 또한 Cato Cloud가 DPD 패킷을 보내고 터널 상태를 모니터링하는 빈도를 정의할 수 있으며 (DPD 패킷 간의 최대 간격은 35초입니다).

  • 100Mbps 이상의 대역폭이 있는 IPsec 사이트의 경우, AES 128 GCM-16 또는 AES 256 GCM-16 알고리즘만 사용하십시오. AES CBC 알고리즘은 100Mbps 미만 대역폭의 사이트에서만 사용됩니다.

  • FTP 트래픽의 경우, Cato는 FTP 서버를 30초 이상의 연결 타임아웃으로 구성할 것을 권고합니다.

  • Cato IPsec IKEv1 사이트는 최대 48비트의 누스 길이를 지원합니다.

  • IPSec 공유 비밀 키 (PSK)를 최대 64자까지 설정할 수 있습니다.

SA 수명은 암호화 키가 만료되기 전까지 유효한 기간이며 새 키가 필요합니다. IKEv1 단계 1 및 단계 2 매개변수에 대해 SA 수명을 구성할 수 없으며, 설정은 다음과 같습니다:

  • 단계 1 - 86,400초 (24시간)

  • 단계 2 - 3,600초 (1시간)

참고

참고: 만약 ISP의 링크 실제 연결 속도보다 높은 상향/하향 값을 입력하면 Socket QoS 엔진은 효과적이지 않습니다.

Cato의 QoS에 대한 자세한 내용은 Cato 대역폭 관리 프로필이란 무엇인가요?을 참조하십시오.

ikev1_site.png

IPsec IKEv1 사이트의 설정을 구성하려면:

  1. 탐색 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택합니다.

  2. 탐색 메뉴에서 사이트 설정 > IPsec을 클릭합니다.

  3. 일반 섹션을 확장하고 사전 구성된 IPsec 피어 유형(AWS나 Azure)에 대한 선택을 하거나 일반을 선택하십시오.

  4. 기본 섹션을 확장하고 기본 IPsec 터널에 대한 다음 설정을 구성합니다:

    • 공인 IP > Cato IP (송신) 에서 IPsec 터널을 시작하는 Cato PoP와 IP 주소를 선택합니다.

      계정에 다른 IP 주소를 할당해야 하는 경우, IP 할당 설정 을 클릭하고 PoP 위치와 IP 주소를 선택합니다.

    • 공인 IP > 사이트 IP에서 공인 IP 주소를 입력하여 IPsec 터널을 시작하십시오.

    • BGP 동적 라우팅을 사용하는 사이트의 경우, VPN 터널 내부의 개인 IP를 입력할 수 있습니다.

    • 대역폭에서 사이트를 위한 사용 가능한 최대 다운스트림업스트림 (Mbps) 대역폭을 설정하십시오.

    • 기본 PSK에 대해, 비밀번호 편집을 클릭하여 기본 IPsec 터널의 공유 비밀을 입력합니다.

    참고: 하나 이상의 IPsec 사이트에 대해 동일한 할당된 IP 주소를 사용할 수 있으며, 사이트 IP는 각각 다른 경우에만 가능합니다. Cato는 각 사이트에 대해 다른 할당된 IP를 사용하는 것을 권장합니다.

  5. (선택사항) IKEv1 1단계 매개변수 섹션을 확장하고 설정을 구성합니다.

    1. 알고리즘 섹션에서 암호화 알고리즘을 선택하십시오: AES-CBC-128 또는 AES-CBC-256

    2. 알고리즘 섹션에서 해시 알고리즘을 선택하십시오: MD5, SHA1 또는 SHA256

    3. Diffie-Hellman 그룹에서 암호화에 사용되는 키 길이를 선택하십시오: 2 (1024-비트), 5 (1536-비트), 14 (2048-비트), 15 (3072-비트), 16 (4096-비트)

  6. (선택사항) IKEv1 2단계 매개변수 섹션을 확장하고 설정을 구성합니다.

    1. 알고리즘 섹션에서 암호화 알고리즘을 선택하십시오: AES-CBC-128, AES-CBC-256, AES-GCM-128, 또는 AES-GCM-256

    2. 알고리즘 섹션에서 해시 알고리즘을 선택하십시오: MD5, SHA1, 또는 SHA256

    3. 2단계 Diffie-Hellman 그룹 설정을 구성하려면 먼저 완벽한 전진 비밀성을 활성화하십시오.

      1. 완벽한 전진 비밀성에서는 과거 전송의 "보호"를 미래의 비밀 키의 위협으로부터 활성화하여 이 기능을 사이트에 대해 설정하십시오.

      2. Diffie-Hellman 그룹에서 암호화에 사용되는 키 길이를 선택하십시오: 2 (1024-비트), 5 (1536-비트), 14 (2048-비트), 15 (3072-비트), 16 (4096-비트)

  7. IKEv1 2단계 매개변수를 위한 DPD 설정을 구성합니다:

    1. 킵얼라이브 간격 (초)을 선택하고 유지 증명 패킷 사이의 초 수를 입력하십시오 (최대 값은 35입니다).

    2. (모범 사례) DPD 응답 없음 시 연결 재시작을 선택하여 35초 내에 DPD 패킷에 대한 응답을 받지 못할 경우 IPsec 연결을 재시작할 수 있도록 활성화하십시오.

      사이트에 대해 DPD를 비활성화하려면 유지 간격 (초)을 삭제하십시오.

  8. 라우팅 섹션을 확장하고 사이트에 대한 라우팅 옵션을 선택합니다:

    • 암묵적: 0.0.0.0/0<-->0.0.0.0/0 (모든 로컬 범위에서 모든 원격 범위로의 단일 터널) - 모든 WAN 트래픽은 하나의 암호화 키(각 ESP SA 쌍에 대해 하나)로 단일 단계 II 터널 내 IPsec 연결을 통해 전송됩니다.

    • 명시적: x.x.x.x/y<-->0.0.0.0/0 (각 로컬 범위에서 모든 원격 범위로의 터널) - 모든 WAN 트래픽은 사이트에 대한 네트워크 범위 설정의 로컬 IP 범위에 대해 각각 하나의 암호화 키를 사용하는 단일 2단계 터널 내에서 모든 원격 IP 범위로 전송됩니다 (각 로컬 범위에 대해 하나의 ESP SA).

    • Specific: x.x.x.x/y<-->a.a.a.a/b (각 로컬 범위에서 특정 원격 범위까지 터널) - 아래를 보십시오 ???

  9. 저장을 클릭합니다.

  10. 보조 IPsec 터널을 사용하는 사이트의 경우, 보조 섹션을 확장하고 이전 단계의 설정을 구성한 후 저장을 클릭합니다.

  11. 이 사이트의 IPsec 터널에 대한 연결 세부 정보 및 상태를 표시하려면 연결 상태를 클릭하십시오.

특정 라우팅 구성

IPsec 사이트에 대해 특정 라우팅을 선택할 때, 모든 WAN 트래픽은 로컬 및 원격 IP 범위 사이의 전체 메시를 사용하는 Phase II 터널에서 IPsec 연결을 통해 전송됩니다.

사이트에 대한 IPsec 설정을 구성하기 전에, 로컬 네트워크가 IPsec 피어에 대해 설정한 것과 일치하는지 확인하십시오.

  • 로컬 IP 범위(일반적으로 IPsec 피어 뒤에 위치하는 서브넷)는 사이트 설정 > 네트워크 페이지에서 정의됩니다:

    ipsec_native.png

  • 원격 IP 범위(일반적으로 다른 사이트의 네트워크)는 특정 옵션을 선택한 후 라우팅 섹션에서 정의됩니다.

    IPsec_IKEv1_Routing.png

    • 장치 추가를 클릭하여 IP 범위를 입력하십시오

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개