IPsec VPN 연결 설정
IPsec VPN은 더 이상 사용되지 않습니다. 2024년 11월 3일부터 IPsec VPN의 새 인스턴스를 만들 수 없습니다. 기존 IPsec VPN 인스턴스는 2025년 6월 15일까지 지원됩니다. 해당 날짜에 여전히 존재하는 모든 인스턴스는 삭제됩니다.
IPsec VPN 개념
IPsec은 두 위치 사이의 모든 IP 트래픽을 인증하고 암호화하도록 디자인된 프로토콜 모음입니다. 이는 신뢰할 수 있는 데이터가 네트워크를 통해 이동할 수 있도록 허용하며, 그렇지 않은 데이터는 안전하지 않은 것으로 간주합니다. IPsec 터널 엔드포인트는 어디든 배치될 수 있으며 여전히 사용자의 전체 사설 네트워크, 또는 사용자가 지정하는 네트워크에 대한 액세스를 제공할 수 있습니다. IPsec 터널은 구역 또는 클라우드 서비스 엔드포인트를 사용하는 경우 호환되지 않습니다.
IBM Cloud VPN 액세스를 사용하면 사용자가 IBM Cloud 사설 네트워크를 통해 원격으로 안전하게 모든 서버를 관리할 수 있습니다. 사용자 위치에서 사설 네트워크로의 VPN 연결은 암호화된 VPN 터널을 통한 대역 외 관리 및 서버 복구 기능을 제공합니다. VPN 액세스를 사용하면 다음과 같은 항목이 가능해집니다.
- SSL 또는 IPsec을 통해 사설 네트워크에 대한 VPN 연결 설정
- SSH 또는 RDP를 통해 사설 10.x.x.x IP 주소를 사용하여 서버에 액세스
- 추가 서버 관리 또는 복구 요구를 위해 서버의 IPMI IP 주소에 연결
환경 관리를 위해 고객에게 IPsec 서비스를 제공합니다. 프로덕션 워크로드에는 권장되지 않습니다.
협상 매개변수
IPsec VPN의 원격 측에 대한 다음 정보를 알고 있어야 합니다.
- VPN 엔드포인트의 정적 IP 주소
- 사전 공유된 키(비밀번호)
- 암호화 알고리즘(DES, 3DES, AES128, AES192, AES256)
- 인증(MD5, SHA1, SHA256, 1 - 2단계의 경우)
- Diffie-Hellman Group(1 - 2단계의 경우)
- PFS(Perfect Forward Secrecy) 사용 여부
- 주요 수명 시간(1 - 2단계의 경우) - 참고: 당사 시스템은 초 단위로 이 값을 측정합니다!
이 정보가 사용 가능하면 VPN 연결의 기본 협상 매개변수를 구성할 수 있습니다.
보호 네트워크
VPN 연결 특성에서 터널의 원격 측에서의 네트워크와 함께 터널의 로컬 네트워크도 정의해야 합니다. "보호 고객(원격) 서브넷"에서는 IPsec 터널의 원격(비IBM) 측에 대한 사설 IP 주소 공간을 CIDR 표기법으로 입력하십시오.
예를 들어 터널의 원격 측에 있는 네트워크에서 넷마스크가 10.0.0.0
인 단일 서브넷 255.255.255.0
을 사용하는 경우, "보호 고객(원격) 서브넷" 섹션에 IP 주소 10.0.0.0 / CIDR 24
를 입력하십시오.
네트워크 주소 변환(NAT)
IPsec VPN을 사용하면 VPN 연결의 다른 측에 있는 원격 서브넷으로 트래픽을 라우트할 IBM Cloud 네트워크에서의 사설 IP 주소를 정의할 수 있습니다. 그러면 원격 위치를 전체 인터넷 액세스에 노출시키지 않고도 사설 인터넷 트래픽이 VPN 뒤에 있는 시스템의 내부 IP 주소 중 하나로 전달될 수 있습니다.
네트워크 주소 변환/지정된 정적 NAT 서브넷
정적 NAT 항목을 갖는 원격 VPN IP를 구성하려면 다음을 수행하십시오.
- 빨간색 화살표를 선택하여 지정된 정적 NAT 서브넷 섹션에 서브넷 목록을 표시하십시오. 서브넷에 있는 각 IP가 표시됩니다.
- 고객 IP 열에 VPN 연결의 원격 끝에 있는 IP를 입력하고 이름 열에 맵핑에 대한 이름을 입력하십시오.
- 컨텍스트 주소 변환 추가/수정 및 구성 적용을 선택하여 구성을 저장하고 적용하십시오.
이 조치는 리턴 트래픽에 대한 정적 일대일 네트워크 변환을 설정하는데, 이것은 IBM Cloud VPN 집선기 뒤에 있는 호스트가 원격 VPN 피어 뒤에 있는 호스트와 통신하는 데 사용됩니다. 예를 들어 IP 10.1.255.92
의 모든 트래픽은 변환되어 고객의 IP 192.168.10.15
로 전달됩니다. 이렇게 전달되면 IBM Cloud 서버에서 추가로 항목을 라우트하지 않아도
됩니다.
보안상의 이유로 IBM 은 IPsec및 SSL VPN 서비스를 호스트하는 데 사용되는 장비에 대한 특정 하드웨어 또는 소프트웨어/운영 체제 정보를 제공하지 않습니다.
알려진 제한사항
당사와의 호환성 문제로 인해 IBM Cloud IPsec VPN 서비스를 사용하는 경우 다음과 같은 다른 주요 클라우드 제공업체와 IPsec VPN 터널을 구축할 수 없습니다. AWS, Azure, 그리고 Google Cloud. IPsec VPN 터널을 구축한다고 생각되면 IBM Cloud 환경과 이러한 공급자 중 하나가 필요하면 IBM 영업팀은 개인 게이트웨이 어플라이언스와 같이 사용 가능한 옵션을 논의합니다.