이 문서에서는 RV160 및 RV260에서 VPN 설정 마법사를 구성하는 방법을 보여 줍니다.
기술은 발전했고 사무실 밖에서도 종종 비즈니스를 수행합니다.모바일 장치가 더 많아지고 직원은 종종 집에서 또는 이동 중에 업무를 수행합니다.이로 인해 일부 보안 취약성이 발생할 수 있습니다.VPN(Virtual Private Network)은 원격 근무자를 보안 네트워크에 연결하는 좋은 방법입니다.VPN을 사용하면 원격 호스트가 현장 보안 네트워크에 연결된 것처럼 작동할 수 있습니다.
VPN은 인터넷과 같이 덜 안전한 네트워크를 통해 암호화된 연결을 설정합니다.연결된 시스템에 적절한 수준의 보안을 보장합니다.터널은 전송되는 데이터를 보호하기 위해 업계 표준 암호화 및 인증 기술을 사용하여 데이터를 안전하게 전송할 수 있는 사설 네트워크로 설정됩니다.원격 액세스 VPN은 일반적으로 IPsec(Internet Protocol Security) 또는 SSL(Secure Socket Layer)을 사용하여 연결을 보호합니다.
VPN은 대상 네트워크에 대한 레이어 2 액세스를 제공합니다.이를 위해서는 기본 IPsec 연결을 통해 실행되는 PPTP(Point-to-Point Tunneling Protocol) 또는 L2TP(Layer 2 Tunneling Protocol)와 같은 터널링 프로토콜이 필요합니다.IPsec VPN은 게이트웨이 간 터널에 대해 사이트 간 VPN을 지원합니다.예를 들어, 사용자가 지사 사이트에서 기업 사이트의 라우터에 연결하도록 지점 사이트의 VPN 터널을 구성하여 지사 사이트가 기업 네트워크에 안전하게 액세스할 수 있도록 할 수 있습니다.IPsec VPN은 호스트-게이트웨이 터널에 대해 클라이언트-서버 VPN도 지원합니다.클라이언트-서버 VPN은 VPN 서버를 통해 랩톱/PC에서 기업 네트워크로 연결할 때 유용합니다.
RV160 시리즈 라우터는 10개의 터널을 지원하고 RV260 시리즈 라우터는 20개의 터널을 지원합니다.VPN 설정 마법사는 사이트 간 IPsec 터널에 대한 보안 연결을 구성할 때 사용자를 안내합니다.이렇게 하면 복잡한 선택적 매개 변수를 피하여 구성이 간소화되므로 모든 사용자가 빠르고 효율적인 방식으로 IPsec 터널을 설정할 수 있습니다.
· RV160
· RV260
· 1.0.0.13
1단계. 로컬 라우터의 웹 구성 페이지에 로그인합니다.
참고:로컬 라우터를 라우터 A로, 원격 라우터를 라우터 B로 참조하겠습니다.이 문서에서는 RV160 2개를 사용하여 VPN 설정 마법사를 시연합니다.
2단계. VPN > VPN Setup Wizard로 이동합니다.
3단계. Getting Started 섹션의 Enter a connection name 필드에 연결 이름을 입력합니다.HomeOffice에 연결 이름으로 입력했습니다.
4단계. RV260을 사용하는 경우 Interface 필드의 드롭다운 목록에서 인터페이스를 선택합니다. RV160에는 WAN 링크만 있으므로 드롭다운 목록에서 인터페이스를 선택할 수 없습니다.Next(다음)를 클릭하여 Remote Router Settings(원격 라우터 설정) 섹션으로 이동합니다.
5단계. 드롭다운 목록에서 Remote Connection Type(원격 연결 유형)을 선택합니다.Static IP 또는 FQDN(Fully Qualified Domain Name)을 선택한 다음 Remote Address 필드에 연결할 게이트웨이의 FQDN 또는 WAN IP 주소를 입력합니다.이 예에서는 Static IP가 선택되었고 원격 라우터 WAN IP 주소(라우터 B)가 입력되었습니다.그런 다음 다음을 클릭하여 다음 섹션으로 이동합니다.
6단계. Local and Remote Network(로컬 및 원격 네트워크) 섹션의 Local Traffic Selection(로컬 트래픽 선택)에서 드롭다운 목록에서 Local IP(Subnet, Single 또는 Any)를 선택합니다.Subnet(서브넷)을 선택한 경우 서브넷 IP 주소와 서브넷 마스크를 입력합니다.Single(단일)을 선택한 경우 IP 주소를 입력합니다.Any를 선택한 경우 다음 단계로 이동하여 Remote Traffic Selection(원격 트래픽 선택)을 구성합니다.
7단계. Remote Traffic Selection(원격 트래픽 선택)의 드롭다운 목록에서 Remote IP(Subnet, Single 또는 Any)를 선택합니다.Subnet(서브넷)을 선택한 경우 원격 라우터의 서브넷 IP 주소와 서브넷 마스크를 입력합니다(라우터 B). Single(단일)을 선택한 경우 IP 주소를 입력합니다.그런 다음 Next(다음)를 클릭하여 Profile 섹션을 구성합니다.
참고:Local Traffic Selection(로컬 트래픽 선택)에 대해 Any(모두)를 선택한 경우 Remote Traffic Selection(원격 트래픽 선택)에 대해 Subnet 또는 Single(단일)을 선택해야 합니다.
8단계. Profile(프로필) 섹션의 드롭다운 목록에서 IPsec 프로파일의 이름을 선택합니다.이 데모에서는 새 프로필이 IPsec 프로필로 선택되었습니다.
9단계. IKEv1(Internet Key Exchange Version 1) 또는 IKEv2(Internet Key Exchange Version 2)를 IKE 버전으로 선택합니다.IKE는 ISAKMP(Internet Security Association and Key Management Protocol) 프레임워크 내에서 Oakley 키 교환 및 SKEME 키 교환을 구현하는 하이브리드 프로토콜입니다.IKE는 IPsec 피어에 대한 인증을 제공하고 IPsec 키를 협상하며 IPsec 보안 연결을 협상합니다.IKEv2는 키 교환을 수행하는 데 필요한 패킷 수를 줄이고 더 많은 인증 옵션을 지원하는 반면 IKEv1은 공유 키 및 인증서 기반 인증만 수행하기 때문에 더 효율적입니다.이 예에서는 IKEv1이 IKE 버전으로 선택되었습니다.
참고:디바이스가 IKEv2를 지원하는 경우 IKEv2를 사용하는 것이 좋습니다. 디바이스가 IKEv2를 지원하지 않는 경우 IKEv1을 사용합니다. 두 라우터(로컬 및 원격)는 동일한 IKE 버전 및 보안 설정을 사용해야 합니다.
10단계. Phase 1 Options(Phase 1 옵션) 섹션에서 드롭다운 목록에서 DH(Diffie-Hellman) 그룹(Group 2 - 1024비트 또는 Group 5 - 1536비트)을 선택합니다.DH는 키 교환 프로토콜로서, 두 개의 서로 다른 기본 키 길이의 그룹을 가지고 있습니다.그룹 2는 최대 1,024비트를, 그룹 5는 최대 1,536비트를 포함합니다.이 데모에서는 그룹 2 - 1024비트를 사용합니다.
참고:더 빠른 속도와 더 낮은 보안을 위해 그룹 2를 선택합니다. 더 느린 속도와 더 높은 보안을 위해 그룹 5를 선택합니다. 그룹 2가 기본적으로 선택됩니다.
11단계. 드롭다운 목록에서 암호화 옵션(3DES, AES-128, AES-192 또는 AES-256)을 선택합니다.이 방법은 ESP(Encapsulating Security Payload)/Internet Security Association and ISAKMP(Key Management Protocol) 패킷을 암호화하거나 해독하는 데 사용되는 알고리즘을 결정합니다.3DES(Triple Data Encryption Standard)는 DES 암호화를 3번 사용하지만 이제 레거시 알고리즘입니다.이것은 한계적이지만 허용 가능한 보안 수준을 제공하기 때문에 더 나은 대안이 없을 때만 사용되어야 한다는 것을 의미한다.일부 "차단 충돌" 공격에 취약하기 때문에 이전 버전과의 호환성이 필요한 경우에만 사용해야 합니다.AES(Advanced Encryption Standard)는 DES보다 더 안전하도록 설계된 암호화 알고리즘입니다.AES는 더 큰 키 크기를 사용하여 메시지 해독에 알려진 유일한 방법은 침입자가 가능한 모든 키를 시도하기 위한 것입니다.3DES 대신 AES를 사용하는 것이 좋습니다.이 예에서는 AES-192를 암호화 옵션으로 사용합니다.
참고:다음과 같은 추가적인 리소스가 도움이 될 수 있습니다.IPSec 및 차세대 암호화를 사용하여 VPN에 대한 보안 구성.
12단계. 인증 방법은 ESP(Encapsulating Security Payload Protocol) 헤더 패킷의 검증 방법을 결정합니다.MD5는 128비트 다이제스트를 생성하는 단방향 해싱 알고리즘입니다.SHA1은 160비트 다이제스트를 생성하는 단방향 해싱 알고리즘이며 SHA2-256은 256비트 다이제스트를 생성합니다.SHA2-256은 더 안전하므로 권장됩니다.VPN 터널의 양쪽 끝이 동일한 인증 방법을 사용하는지 확인합니다.인증(MD5, SHA1 또는 SHA2-256)을 선택합니다.이 예제에 대해 SHA2-256이 선택되었습니다.
13단계. SA 수명(초)은 이 단계에서 IKE SA가 활성화된 시간을 초 단위로 알려줍니다.기존 SA가 만료될 때 새 SA를 사용할 수 있도록 수명 만료 전에 새 SA(Security Association)가 협상됩니다.기본값은 28800이고 범위는 120~86400입니다. 기본값인 28800초를 Phase I의 SA Lifetime으로 사용합니다.
참고:1단계의 SA 수명이 2단계 SA 수명보다 긴 것이 좋습니다.Phase I를 Phase II보다 짧게 만들면 데이터 터널이 아닌 터널을 앞뒤로 반복해서 재협상해야 합니다.데이터 터널은 더 많은 보안이 필요하므로 1단계보다 짧은 2단계의 수명을 제공하는 것이 좋습니다.
14단계. 원격 IKE 피어를 인증하는 데 사용할 사전 공유 키를 입력합니다.최대 30개의 키보드 문자 또는 16진수 값(예: My_@123 또는 4d795f40313233)을 입력할 수 있습니다. VPN 터널의 양쪽 끝은 동일한 사전 공유 키를 사용해야 합니다.
참고:VPN 보안을 최대화하려면 사전 공유 키를 주기적으로 변경하는 것이 좋습니다.
15단계. Phase II Options(II 단계 옵션) 섹션의 드롭다운 목록에서 프로토콜을 선택합니다.
· ESP - 데이터 암호화를 위해 ESP를 선택하고 암호화를 입력합니다.
· 아 - 데이터가 비밀은 아니지만 인증되어야 하는 경우 데이터 무결성을 위해 선택합니다.
16단계. 드롭다운 목록에서 암호화 옵션(3DES, AES-128, AES-192 또는 AES-256)을 선택합니다.이 방법은 ESP(Encapsulating Security Payload)/Internet Security Association and ISAKMP(Key Management Protocol) 패킷을 암호화하거나 해독하는 데 사용되는 알고리즘을 결정합니다.3DES(Triple Data Encryption Standard)는 DES 암호화를 3번 사용하지만 이제 레거시 알고리즘입니다.이것은 한계적이지만 허용 가능한 보안 수준을 제공하기 때문에 더 나은 대안이 없을 때만 사용되어야 한다는 것을 의미한다.일부 "차단 충돌" 공격에 취약하기 때문에 이전 버전과의 호환성이 필요한 경우에만 사용해야 합니다.AES(Advanced Encryption Standard)는 DES보다 더 안전하도록 설계된 암호화 알고리즘입니다.AES는 더 큰 키 크기를 사용하여 메시지 해독에 알려진 유일한 방법은 침입자가 가능한 모든 키를 시도하기 위한 것입니다.3DES 대신 AES를 사용하는 것이 좋습니다.이 예에서는 AES-192를 암호화 옵션으로 사용합니다.
참고:다음과 같은 추가적인 리소스가 도움이 될 수 있습니다.IPSec 및 차세대 암호화를 사용하여 VPN에 대한 보안 구성.
17단계. 인증 방법은 ESP(Encapsulating Security Payload Protocol) 헤더 패킷의 검증 방법을 결정합니다.MD5는 128비트 다이제스트를 생성하는 단방향 해싱 알고리즘입니다.SHA1은 160비트 다이제스트를 생성하는 단방향 해싱 알고리즘이며 SHA2-256은 256비트 다이제스트를 생성합니다.SHA2-256은 더 안전하므로 권장됩니다.VPN 터널의 양쪽 끝이 동일한 인증 방법을 사용하는지 확인합니다.인증(MD5, SHA1 또는 SHA2-256)을 선택합니다.이 예제에 대해 SHA2-256이 선택되었습니다.
18단계. 이 단계에서 VPN 터널(IPsec SA)이 활성화된 시간(초)인 SA 수명(Lifetime)을 입력합니다.2단계의 기본값은 3600초입니다.
19단계. PFS(Perfect Forward Secrecy)가 활성화된 경우 IKE Phase 2 협상은 IPsec 트래픽 암호화 및 인증을 위한 새로운 키 자료를 생성합니다.Perfect Forward Secrecy는 공개 키 암호화를 사용하여 인터넷을 통해 전송되는 통신의 보안을 개선하는 데 사용됩니다.이 기능을 활성화하려면 확인란을 선택하고, 이 기능을 비활성화하려면 확인란의 선택을 취소합니다.이 기능을 사용하는 것이 좋습니다.선택하는 경우 DH 그룹을 선택합니다.이 예에서 Group2 - 1024비트가 사용됩니다.
20단계. 새 프로필로 저장에 방금 생성한 새 프로파일의 이름을 입력합니다.VPN 컨피그레이션의 요약을 보려면 Next(다음)를 클릭합니다.
21단계. 정보를 확인한 다음 제출을 클릭합니다.
원격 라우터에서 로컬 라우터와 동일한 보안 설정을 구성해야 하지만 로컬 라우터 IP 주소를 원격 트래픽으로 사용해야 합니다.
1단계. 원격 라우터(라우터 B)의 웹 컨피그레이션 페이지에 로그인하여 VPN > VPN Setup Wizard로 이동합니다.
2단계. RV260을 사용하는 경우 연결 이름을 입력하고 VPN에 사용할 인터페이스를 선택합니다. RV160에는 WAN 링크만 있으므로 드롭다운에서 인터페이스를 선택할 수 없습니다.그런 다음 다음을 클릭하여 계속합니다.
3단계. Remote Router Settings(원격 라우터 설정)에서 Remote Connection Type(원격 연결 유형)을 선택한 다음 라우터 A의 WAN IP 주소를 입력합니다.그런 다음 다음을 클릭하여 다음 섹션으로 진행합니다.
4단계. 로컬 및 원격 트래픽을 선택합니다.Remote Traffic Selection(원격 트래픽 선택) 필드에서 Subnet(서브넷)을 선택한 경우 Router A의 프라이빗 IP 주소 서브넷을 입력합니다.그런 다음 Next(다음)를 클릭하여 Profile 섹션을 구성합니다.
5단계. Profile(프로필) 섹션에서 Router A와 동일한 보안 설정을 선택합니다.또한 라우터 A와 동일한 사전 공유 키를 입력했습니다.그런 다음 다음을 클릭하여 요약 페이지로 이동합니다.
1단계 옵션:
단계 II 옵션:
6단계. 요약 페이지에서 방금 구성한 정보가 올바른지 확인합니다.그런 다음 Submit(제출)을 클릭하여 Site-to-Site VPN을 생성합니다.
참고:라우터가 현재 사용 중인 모든 컨피그레이션은 휘발성이며 재부팅 중에 유지되지 않는 실행 중인 컨피그레이션 파일에 있습니다.재부팅 사이에 컨피그레이션을 유지하려면 모든 변경 사항을 완료한 후 Running Configuration 파일을 Startup Configuration 파일에 복사해야 합니다.이렇게 하려면 페이지 상단에 나타나는 Save(저장) 버튼을 클릭하거나 Administration(관리) > Configuration Management(컨피그레이션 관리)로 이동합니다.그런 다음 소스가 Running Configuration 및 Destination이 Startup Configuration인지 확인합니다.Apply를 클릭합니다.
VPN 설정 마법사를 사용하여 Site-to-Site VPN을 구성했어야 합니다.아래 단계에 따라 Site-to-Site VPN이 연결되어 있는지 확인합니다.
1단계. 연결이 설정되었는지 확인하려면 VPN > IPSec VPN > Site-to-Site로 이동할 때 Connected 상태가 표시되어야 합니다.
2단계. Status and Statistics(상태 및 통계) > VPN Status(VPN 상태)로 이동하고 Site-to-Site 터널이 Enabled(활성화됨) 및 UP(활성화됨)인지 확인합니다.