[NBP] IPSec VPN 관련 용어 및 설정화면
IPSecVPN의 정의 및 목적
IPSec이란,
장치 간에 암호화된 연결을 구성하는 데 사용되는 프로토콜
IPSec 프로토콜은 표준화된 3계층 터널링 프로토콜로, VPN을 구성하는 데 사용
목적
공용 네트워크를 통해 전송되는 데이터를 안전하게 보호
작동방식
IP 패킷을 암호화하고 해당 데이터의 출처를 인증하는 방식으로 작동
네트워크 구성도
테스트 절차
1. [NaverCloud] VPC/서브넷/서버 생성
2. [NaverCloud] VPG/VPGG 생성
3. [NaverCloud] IPSecVPN생성, IPSecVPN Tunnel 설정
4. [NaverCloud] Route Table 생성
5. [OCI] 구획/VCN/서브넷/서버 생성
6. [OCI] CPE/DRG 생성
7. [OCI] IPSec connection 생성
8. [OCI] Gateway DRG 연결
9. [OCI] Route Table 연결
10.[OCI] 터널 상태 체크
11. [공통] 통신 테스트
1. VPG(Virtual Private Gateway)
: 가상 사설 게이트웨이
2. Virtual Private Gateway Group
: 가상 사설 게이트웨이 그룹 : 네이버에서 IPSecVPN Gateway를 사용하기 위해 설정해야 하는 그룹
3. IPSecVPN Gateway
: 실제로 VPN에서 사용할 게이트웨이
4. IPSec VPN Tunnel
0) ISAKMP : 인터넷 보안 연결 및 키 관리 프로토콜
1) IKE(Internet Key Exchange) : 상호 개체간 인증된 보안 통신 채널 생성 , SA 정보 협상
2) Encryption :암호화
3) DH-Group(Diffie Hellman)
- group1 - 768비트 모듈러 지수 알고리즘
- group2 - 1024비트 모듈러 지수 알고리즘
- group5 - 1536비트 모듈러 지수 알고리즘
- etc..
4) Hash
5) DPD(Dead Peer Detection) : 트래픽 장애 감지 / 알람
5. CPE(Customer Premises Equipment)
고객이 가진 장비 정보
6. DRG
동적 라우팅 게이트웨이
7. 경로지정유형
1) BGP 동적 경로 지정 : 사용 가능한 경로를 BGP를 통해 동적으로 학습, 라우터는 온프레미스 네트워크에서 경로를 학습하고, VCN 서브넷을 온프레미스 네트워크로 보급
2) 정적 경로 지정 : 정적 경로이며 동적으로 학습되지 않음. 라우터가 인식할 수 있도록 온프레미스 네트워크에 대한 경로를 제공하고 VCN 서브넷에 대한 정적 경로를 사용하여 CPE 장치를 구성해야 함.
3) 정책 기반 경로 지정 : 정책 기반 CPE 장치에 또는 여러 암호화 도메인이 필요한 경우 사용
OCI의 IPSecVPN 설정 모습
- 정상 연결될 시 ( IPSec 상태 : 작동중 )
Ping 확인(NaverCloud -> OCI)
Ping 확인(OCI -> NaverCloud)
