- 인쇄
- PDF
Paloalto
- 인쇄
- PDF
Classic 환경에서 이용 가능합니다.
IPsec VPN Tunnel 생성을 위해 고객 VPN 게이트웨이에서 리소스를 구성하는 방법을 설명합니다. VPN 게이트웨이 장비가 Paloalto 사 제품이라면 다음의 내용을 참고해 주십시오.
여기서는 로컬 네트워크가 고객 네트워크, 원격 네트워크가 네이버 클라우드 플랫폼 Private Subnet이 됩니다. Peer IP 또한 네이버 클라우드 플랫폼의 VPN 게이트웨이 공인 IP가 됩니다.
인터페이스 IP 설정
인터페이스 IP를 설정하는 방법은 다음과 같습니다.
IP 인터페이스 설정
set network interface ethernet 1/1 layer3 ip <공인 IP> set network interface ethernet 1/2 layer3 ip <내부 사설 IP>
IP 인터페이스 할당
- trust zone
set zone trust network layer3 ethernet1/2
- untrust zone
set zone untrust network layer3 ethernet1/1
- trust zone
터널 인터페이스 설정
set network interface tunnel units tunnel.1
존 생성
set zone <존 이름> network layer3 tunnel.1
존 정책 설정
set rulebase security rules <정책 이름> from <존 이름> set rulebase security rules <정책 이름> to trust set rulebase security rules <정책 이름> source any set rulebase security rules <정책 이름> destination any set rulebase security rules <정책 이름> service any set rulebase security rules <정책 이름> application any set rulebase security rules <정책 이름> action allow set rulebase security rules <정책 이름> log-end yes
정책 수정 시 move rulebase security rules <정책 이름> top
명령어를 입력해 주십시오.
라우팅 설정
외부 라우팅, 내부 라우팅, Peer 터널 사설 라우팅을 각각 설정해 주십시오.
라우팅용 인터페이스 선언
set network virtual-router default interface [ ethernet1/1 ethernet1/2 tunnel.1 ]
외부 라우팅 설정
set network virtual-router default routing-table ip static-route default nexthop ip-address <VPN 게이트웨이 공인 IP> set network virtual-router default routing-table ip static-route default interface ethernet 1/1 set network virtual-router default routing-table ip static-route default metric 10 set network virtual-router default routing-table ip static-route default destination 0.0.0.0/0 set network virtual-router default routing-table ip static-route default route-table unicast
내부 라우팅 설정
set network virtual-router default routing-table ip static-route <로컬 사설 IP 이름> metric 10 set network virtual-router default routing-table ip static-route <로컬 사설 IP 이름> destination <로컬 네트워크 사설 IP 목적지> set network virtual-router default routing-table ip static-route <로컬 사설 IP 이름> nexthop ip-address <원격 네트워크 사설 IP> set network virtual-router default routing-table ip static-route <로컬 사설 IP 이름> route-table unicast
Peer 터널 사설 라우팅(proxy-ID) 설정
set network virtual-router default routing-table ip static-route <IPsec 이름> interface tunnel.1 set network virtual-router default routing-table ip static-route <IPsec 이름> metric 10 set network virtual-router default routing-table ip static-route <IPsec 이름> destination <Peer 내부 대역> set network virtual-router default routing-table ip static-route <IPsec 이름> route-table unicast
IKE 설정
IKE를 설정하려면 IKEv1과 IKEv2를 구성해야 합니다.
암호와 및 인증 알고리즘 설정값이 네이버 클라우드 플랫폼 콘솔에서 생성한 IPsec VPN Gateway의 설정값과 동일해야 합니다.
IKEv1 구성
IKEv1을 구성하는 방법은 다음과 같습니다.
set network ike crypto-profiles ike-crypto-profiles <IKEv1 이름> hash sha1
set network ike crypto-profiles ike-crypto-profiles <IKEv1 이름> dh-group group2
set network ike crypto-profiles ike-crypto-profiles <IKEv1 이름> encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles <IKEv1 이름> lifetime seconds 28800
set network ike gateway <VPN 게이트웨이 이름> authentication pre-shared-key key 1234567890
set network ike gateway <VPN 게이트웨이 이름> protocol ikev1 dpd enable yes
set network ike gateway <VPN 게이트웨이 이름> protocol ikev1 ike-crypto-profile <IKEv1 이름>
set network ike gateway <VPN 게이트웨이 이름> protocol ikev2 dpd enable yes
set network ike gateway <VPN 게이트웨이 이름> protocol version ikev1
set network ike gateway <VPN 게이트웨이 이름> local-address ip <로컬 공인 IP>
set network ike gateway <VPN 게이트웨이 이름> local-address interface ethernet1/1
set network ike gateway <VPN 게이트웨이 이름> protocol-common nat-traversal enable no
set network ike gateway <VPN 게이트웨이 이름> protocol-common fragmentation enable no
set network ike gateway <VPN 게이트웨이 이름> peer-address ip <Peer IP>
- D-H 그룹: 2
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha1
- lifetime: 28800
IKEv2 구성
IKEv2를 구성하는 방법은 다음과 같습니다.
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2 이름> esp authentication sha1
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2 이름> esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2 이름> lifetime seconds 3600
set network ike crypto-profiles ipsec-crypto-profiles <IKEv2 이름> dh-group no-pfs
set network tunnel ipsec <VPN 터널 이름> auto-key ike-gateway <VPN 게이트웨이 이름>
set network tunnel ipsec <VPN 터널 이름> auto-key proxy-id <proxy-ID> protocol any
set network tunnel ipsec <VPN 터널 이름> auto-key proxy-id <proxy-ID> local <로컬 내부 대역>
set network tunnel ipsec <VPN 터널 이름> auto-key proxy-id <proxy-ID> remote <Peer 내부 대역>
set network tunnel ipsec <VPN 터널 이름> auto-key ipsec-crypto-profile <IKEv2 이름>
set network tunnel ipsec <VPN 터널 이름> tunnel-monitor enable no
set network tunnel ipsec <VPN 터널 이름> tunnel-interface tunnel.1
- 프로토콜: esp
- 암호화 알고리즘: aes-128
- 해시 알고리즘: sha-1
- lifetime: 3600
터널 생성
터널을 생성하는 방법은 다음과 같습니다.
- 터널 생성(phase-1)
test vpn ike-sa gateway <VPN 게이트웨이 이름>
- 터널 생성(phase-2)
test vpn ipsec-sa tunnel <VPN 터널 이름>:<proxy-ID>
IKE 터널 확인
모든 과정을 마친 후 IKE 터널 상태를 확인할 수 있습니다. 확인하는 방법은 다음과 같습니다.
show vpn flow name <IPsec 이름>:<proxy-ID>
설정 변경
컨피그 모드로 진입하여 설정을 변경하는 방법은 다음과 같습니다.
컨피그 모드 진입
hostname> configure Entering configuration mode [edit]
설정 완료
hostname# commit