AXGATE

Prev Next

IPsec VPN 터널 생성을 위해 고객 VPN 게이트웨이에서 리소스를 구성하는 방법을 설명합니다. VPN 게이트웨이 장비가 AXGATE사의 UTM 계열 제품이라면 다음의 내용을 참고해 주십시오.

참고

여기서는 로컬 네트워크가 고객 네트워크, 원격 네트워크가 네이버 클라우드 플랫폼 VPC입니다. Peer IP 또한 네이버 클라우드 플랫폼의 VPN 게이트웨이 공인 IP입니다.

Security Zone 설정하는 방법은 다음과 같습니다.
인터페이스에 적용할 Security Zone을 지정합니다.

security zone any
security zone dmz
security zone trust
security zone untrust
security zone vpn
Plain text

인터페이스를 설정하는 방법은 다음과 같습니다.
고객사 망 구성에 따라 외부향, 내부향 인터페이스를 설정합니다.

interface eth0
  description external
  ip address <external interface ip><subnet>
  security-zone untrust
  no shutdown

interface eth1
  description internal
  ip address <internal interface ip><subnet>
  security-zone trust
  no shutdown
Plain text

Dcube VPN을 설정하는 방법은 다음과 같습니다.
양단 간 사전에 협의된 동일한 값을 기반으로 Dcube 방식의 터널을 설정합니다.

  • Center 구성
interface dcb100
  description test dcb tunnel
  mtu 1438
  dcube heartbeat interval 500 threshold 3
  dcube queue transmit 1024 out-of-order 128
  dcube proto udp port 7900
  dcube reorder tcp-data udp-small udp-big
  dcube load-balancing rr
  dcube transform encrypt
  dcube key-enc test123
  dcube cseq-ignore
  dcube ike aes256 sha256 ipsec aes256 sha256 dh-group 1
  dcube source eth0
  ip address 200.200.200.2/24
  security-zone vpn
  no shutdown
Plain text
주의

ip address 지정 시 반드시 네이버 클라우드 플랫폼에서 제공한 DCB IP로 지정해야 합니다.
동일한 IPsec VPN Gateway 내에서 DCB 터널별로 다른 IP 대역(서브넷)으로 구성 시, 네이버 클라우드 플랫폼향을 Branch로 설정해야 합니다.

  • Branch 구성
interface dcb100
  description test dcb tunnel
  mtu 1438
  dcube heartbeat interval 500 threshold 3
  dcube queue transmit 1024 out-of-order 128
  dcube proto udp port 7900
  dcube reorder tcp-data udp-small udp-big
  dcube load-balancing rr
  dcube transform encrypt
  dcube destination <NCP peer ip>
  dcube key-enc test123
  dcube cseq-ignore
  dcube ike aes256 sha256 ipsec aes256 sha256
  dcube source eth0
  ip address 200.200.200.2/24
  security-zone vpn
  no shutdown
Plain text
주의

dcube destination 값은 NCP IPsec VPN Gateway의 Public IP로 지정해야 합니다.
ip address 지정 시 반드시 네이버 클라우드 플랫폼에서 제공한 DCB IP로 지정해야 합니다.
동일한 IPsec VPN Gateway 내에서 DCB 터널별로 같은 IP 대역(서브넷)으로 구성 시, 네이버 클라우드 플랫폼향을 Center로 설정해야 합니다.

라우팅을 설정하는 방법은 다음과 같습니다.
다양한 라우팅 설정 방법 중 정적 라우팅 방법으로 라우팅을 설정합니다.

ip route <destination ip><subnet> <next-hop ip>
Plain text

로컬 네트워크와 원격 네트워크 각각의 객체 그룹을 생성해 주십시오. 생성하는 방법은 다음과 같습니다.

  • Local
security zone trust ip group Local
  address <local ip><subnet>
Plain text
  • Remote
security zone vpn ip group Remote
  address <Remote ip><subnet>
Plain text

정책을 설정하는 방법은 다음과 같습니다.

ip security policy from trust to vpn 
  source group Local
  destination group Remote
  tcp-mss 1300
  action pass log
  enable
  
ip security policy from vpn to trust
  source group Remote
  destination group Local
  tcp-mss 1300
  action pass log
  enable
Plain text

모든 과정을 마치면 VPN 터널을 확인할 수 있습니다.

show dcube tunnel dcb100
show dcube channel dcb100
Plain text