협상 매개변수

IPsec VPN의 원격 측에 대한 다음 정보를 알고 있어야 합니다.

• VPN 엔드포인트의 정적 IP 주소
• 사전 공유된 키(비밀번호)
• 암호화 알고리즘(DES, 3DES, AES128, AES192, AES256)
• 인증(MD5, SHA1, SHA256, 1 - 2단계의 경우)
• Diffie-Hellman Group(1 - 2단계의 경우)
• PFS(Perfect Forward Secrecy) 사용 여부
• 주요 수명 시간(1 - 2단계의 경우) - 참고: 당사 시스템은 초 단위로 이 값을 측정합니다!

이 정보가 사용 가능하면 VPN 연결의 기본 협상 매개변수를 구성할 수 있습니다.

보호 네트워크

VPN 연결 특성에서 터널의 원격 측에서의 네트워크와 함께 터널의 로컬 네트워크도 정의해야 합니다. "보호 고객(원격) 서브넷"에서는 IPsec 터널의 원격(비IBM) 측에 대한 사설 IP 주소 공간을 CIDR 표기법으로 입력하십시오.

예를 들어 터널의 원격 측에 있는 네트워크에서 넷마스크가 10.0.0.0인 단일 서브넷 255.255.255.0을 사용하는 경우, "보호 고객(원격) 서브넷" 섹션에 IP 주소 10.0.0.0 / CIDR 24를 입력하십시오.

네트워크 주소 변환(NAT)

IPsec VPN을 사용하면 VPN 연결의 다른 측에 있는 원격 서브넷으로 트래픽을 라우트할 IBM Cloud 네트워크에서의 사설 IP 주소를 정의할 수 있습니다. 그러면 원격 위치를 전체 인터넷 액세스에 노출시키지 않고도 사설 인터넷 트래픽이 VPN 뒤에 있는 시스템의 내부 IP 주소 중 하나로 전달될 수 있습니다.

네트워크 주소 변환/지정된 정적 NAT 서브넷

정적 NAT 항목을 갖는 원격 VPN IP를 구성하려면 다음을 수행하십시오.

• 빨간색 화살표를 선택하여 지정된 정적 NAT 서브넷 섹션에 서브넷 목록을 표시하십시오. 서브넷에 있는 각 IP가 표시됩니다.
• 고객 IP 열에 VPN 연결의 원격 끝에 있는 IP를 입력하고 이름 열에 맵핑에 대한 이름을 입력하십시오.
• 컨텍스트 주소 변환 추가/수정 및 구성 적용을 선택하여 구성을 저장하고 적용하십시오.

이 조치는 리턴 트래픽에 대한 정적 일대일 네트워크 변환을 설정하는데, 이것은 IBM Cloud VPN 집선기 뒤에 있는 호스트가 원격 VPN 피어 뒤에 있는 호스트와 통신하는 데 사용됩니다. 예를 들어 IP 10.1.255.92의 모든 트래픽은 변환되어 고객의 IP 192.168.10.15로 전달됩니다. 이렇게 전달되면 IBM Cloud 서버에서 추가로 항목을 라우트하지 않아도 됩니다.

보안상의 이유로 IBM 은 IPsec및 SSL VPN 서비스를 호스트하는 데 사용되는 장비에 대한 특정 하드웨어 또는 소프트웨어/운영 체제 정보를 제공하지 않습니다.

알려진 제한사항

당사와의 호환성 문제로 인해 IBM Cloud IPsec VPN 서비스를 사용하는 경우 다음과 같은 다른 주요 클라우드 제공업체와 IPsec VPN 터널을 구축할 수 없습니다. AWS, Azure, 그리고 Google Cloud. IPsec VPN 터널을 구축한다고 생각되면 IBM Cloud 환경과 이러한 공급자 중 하나가 필요하면 IBM 영업팀은 개인 게이트웨이 어플라이언스와 같이 사용 가능한 옵션을 논의합니다.