사이트 간 VPN 터널 연결

사이트 간 VPN 터널은 다양한 위치에 있는 네트워크를 연결합니다. 서로 다른 두 Multicloud Defense 게이트웨이사이에 또는 Multicloud Defense 게이트웨이와 모든 관련 표준을 준수하는 클라우드 통신 사업자 간에 사이트 간 IPsec 연결을 생성할 수 있습니다. VPN 연결이 설정되면 로컬 게이트웨이의 뒤에 있는 호스트는 보안 VPN 터널을 통해 원격 게이트의 뒤에 있는 호스트와 연결할 수 있습니다.

일반적으로 동적 피어는 연결을 시작하는 피어여야 합니다. 다른 피어는 동적 피어의 IP 주소를 알지 못하기 때문입니다. 원격 피어가 연결을 설정하려고 시도하면 다른 피어가 사전 공유 키, IKE 설정 및 IPsec 구성을 사용하여 연결을 검증합니다.

원격 피어에서 연결을 시작한 후에만 VPN 연결이 설정되므로 VPN 터널에서 트래픽을 허용하는 액세스 제어 규칙과 일치하는 모든 아웃바운드 트래픽은 연결이 설정될 때까지 중단됩니다. 이를 통해 데이터가 적절한 암호화 및 VPN 보호 없이 네트워크를 벗어나지 않게 합니다.

현재 Multicloud Defense는 다음 플랫폼 또는 제품과의 사이트 간 VPN 터널 연결을 지원합니다.

AWS
Azure
GCP
ASA 디바이스
FTD 디바이스
엑스트라넷 또는 타사 방화벽

사이트 간 VPN 터널에 대한 사전 요건 및 제한 사항

지원되는 VPN 터널 연결 엔드포인트

다음 설정 중 하나를 사용하여 VPN 터널 연결을 생성할 수 있습니다.

Multicloud Defense 게이트웨이을 Multicloud Defense 게이트웨이로.
Multicloud Defense 게이트웨이를 클라우드 통신 사업자(AWS, Azure, GCP)로.
Multicloud Defense 게이트웨이를 Security Cloud Control에서 호스팅되는 ASA 디바이스로.

Multicloud Defense 게이트웨이 사전 요건 및 제한 사항

VPN 터널을 생성하기 전에, 사용 중인 디바이스나 플랫폼 유형에 관계없이 다음 필수 조건을 완료해야 합니다.

Multicloud Defense 게이트웨이와 Multicloud Defense Terraform 제공자이 버전 24.04 이상을 실행 해야 합니다.
하나 이상의 클라우드 통신 사업자 또는 타사 디바이스가 이미 Multicloud Defense에 연결되어 있습니다.
VPN 터널 연결을 허용하고 생성하도록 클라우드 통신 사업자 또는 타사 디바이스를 구성해야 합니다. 자세한 내용은 서비스 또는 플랫폼 설명서를 참조하십시오.
하나 이상의 IPSec 프로파일이 있어야 합니다. 이 프로파일은 VPN 터널 연결에 연결해야 합니다.
구축하기 전에 게이트웨이에 서비스 VPC 또는 VNet을 추가 해야 합니다.
VPC 및 VNet은 양쪽에 네트워크 주소 변환 게이트웨이 없이 구축해야 합니다.

하나 이상의 BGP 프로파일을 생성 해야 합니다. 이 프로파일은 VPN 터널 연결과 연결된 게이트웨이 인스턴스에 연결되어야 합니다. 프로파일은 네트워크에서 트래픽이 흐르는 방식에 대한 추가 제어를 제공하므로 VPN 터널은 BGP 프로파일과 페어링될 때 더 효과적일 수 있습니다. 자세한 내용은 BGP 프로파일를 참조하십시오.

참고	BGP 프로파일을 생성할 때 트래픽에 대해 BGP 프로파일을 활성화하고 BGP 프로파일에서와 같이 터 에서 동일한 값을 사용해야 합니다.

VPN 터널 연결을 생성할 때는 다음 제한 사항에 유의합니다.

선택한 Multicloud Defense 게이트웨이는 이그레스/이스트-웨스트 게이트웨이 여야 합니다.
AWS 및 Azure 게이트웨이는 8 코어 인스턴스 유형이어야 합니다. 2코어 및 4코어는 현재 지원되지 않습니다.
게이트웨이가 구축되는 지역에 대해 AWS 재고 목록 활성화합니다. 이 옵션을 활성화하지 않으면 모든 트래픽 플로우가 통과되지 않습니다.
사이트 간 VPN 연결은 최대 10개의 VPN 피어만 지원합니다.
AWS 또는 Azure 환경용 VPC 및 VNET은 단일 가용성 영역을 사용하여 생성해야 합니다. 다중 가용성 영역은 현재 지원되지 않습니다.
사이트 간 VPN 터널은 현재 포워드 프록시 방화벽 규칙을 지원하지 않습니다.
대역폭은 800Mbps 이상이어야 합니다.

참고	게이트웨이를 활성화하거나 비활성화하는 경우에는 게이트웨이와 연결된 사이트 간 연결을 삭제하고 VPN 연결을 다시 생성해야 합니다.

Multicloud Defense과 ASA 디바이스 간 VPN 터널 제한 사항

Multicloud Defense 게이트웨이과 ASA 디바이스 간에 VPN 터널 연결을 생성할 때는 다음 제한 사항에 유의합니다.

VPN 터널의 엔드포인트를 선택할 때는 하나 이상의 엔드포인트가 ASA 디바이스이고 하나의 엔드포인트가 Multicloud Defense 게이트웨이인지 확인합니다(4~6단계).
타사 또는 온프레미스 디바이스에 대해 사이트 간 VPN 터널을 생성하는 경우 VPN 연결의 표에는 연결의 Multicloud Defense의 엔드포인트에 있는 IPSec 프로파일의 상태만 표시됩니다.
자동 확장은 현재 지원되지 않습니다.

Security Cloud Control에서 호스팅되는 ASA 디바이스에 대한 VPN 터널에 대한 자세한 내용은 ASA 사이트 간 VPN 구성를 참조하십시오.

참고	타사 디바이스 또는 온프레미스 방화벽 Management Center를 사용하는 경우, IPSEC 상태의 Multicloud Defense만 표시됩니다.

Multicloud Defense과 FTD 디바이스 간 VPN 터널에 대한 제한 사항

Multicloud Defense 게이트웨이과 FTD 디바이스 간에 VPN 터널 연결을 생성할 때는 다음 제한 사항에 유의합니다.

IPsec IKEv1 및 IKEv2 프로토콜이 모두 지원됩니다.
인증을 위한 자동 또는 수동 사전 공유 키.
IPv4 및 IPv6. 내부와 외부의 모든 조합이 지원됩니다.
IPsec IKEv2 사이트 간 VPN 토폴로지는 보안 인증을 준수하기 위한 구성 설정을 제공합니다.
정적 및 동적 인터페이스.
엔드포인트로 작동하는 엑스트라넷 디바이스의 동적 IP 주소 지원.

Security Cloud Control에서 호스팅되는 FTD 디바이스에 대한 VPN 터널에 대한 자세한 내용은 FDM 매니지드 디바이스에 대한 사이트 간 VPN 구성를 참조하십시오.

게이트웨이 내에서 VPN 활성화

Multicloud Defense 컨트롤러 대시보드에서 게이트웨이용 VPN을 활성화 하려면 이 절차를 따릅니다.

시작하기 전에

Multicloud Defense을 사용하여 두 디바이스 간 VPN 연결을 설정하려면 먼저 게이트웨이가 BGP 프로파일을 활용할 수 있도록 활성화해야 합니다. 게이트웨이 생성 및 구축을 위한 사전 요건의 전체 목록은 사이트 간 VPN 터널에 대한 사전 요건 및 제한 사항을 참조하십시오.

참고	BGP 프로파일을 사용하는 경우 BGP 프로파일은 원격 피어와 함께 IPSEC 터널을 통해 실행됩니다.

프로시저

단계 1	로 이동합니다.
단계 2	Add Gateway(게이트웨이 추가)를 클릭하여 새 게이트웨이를 생성하거나 기존 게이트웨이를 선택합니다. Actions(작업 )드롭다운 메뉴에서 Edit(편집)를 선택합니다. 게이트웨이를 구성하려면 게이트웨이 구성을 참조하십시오. Azure VPN의 경우 V5 인스턴스 유형이 호환되지 않을 수 있으므로 Dsv5-Series V5 인스턴스 유형 대신 Dsv3-Series V3 인스턴스 유형을 사용하는 것이 좋습니다.
단계 3	게이트웨이를 생성하거나 편집할 때 창의 하단으로 스크롤한 다음, 프롬프트가 표시되면 드롭다운 메뉴에서 BGP profile(BGP 프로파일)을 선택합니다.
단계 4	Advanced Settings(고급 설정)에서 VPN Connection(VPN 연결) 옵션을 찾습니다. VPN 터널 연결을 옵트인하려면 Enable VPN(VPN 활성화) 옵션을 선택합니다.
단계 5	BGP Profile(BGP 프로파일) 드롭다운 메뉴를 확장하고 이미 생성된 프로파일을 선택합니다.

다음에 수행할 작업

사이트 간 터널 연결을 생성합니다.

사이트 간 터널 연결 생성

이 절차를 수행하면 게이트웨이와 Azure, AWS 및 GCP 클라우드 통신 사업자 또는 선택한 타사 방화벽 간에도 사이트 간 VPN 터널 연결을 생성할 수 있습니다.

참고	가상 인터페이스 IP 주소를 입력할 때는 Threat Defense 예약 범위 169.254.1.x/24를 제외하고 169.254.xx/16 범위의 IP를 사용하는 것이 좋습니다. 넷 마스크의 경우 /30을 사용하는 것이 좋습니다. 이를 통해 가상 터널 인터페이스 연결의 엔드포인트에 대해 2개의 IP 주소만 사용할 수 있습니다. 예: 169.254.100.1/30

다음 절차에 따라 Multicloud Defense 컨트롤러를 사용하여 사이트 간 VPN 터널을 생성합니다.

시작하기 전에

VPN 연결 터널을 생성하기 전에 최소한 하나의 IPSec 프로파일이 미리 생성되어 있어야 합니다.

VPN 터널 연결을 생성하기 전에 BGP 프로파일을 생성하여 Multicloud Defense 게이트웨이에 추가하는 것을 강력히 권장합니다. 자세한 내용은 BGP 프로파일를 참조하십시오.

프로시저

단계 1	로 이동합니다.
단계 2	Create VPN Connection(VPN 연결 생성)을 클릭합니다.
단계 3	연결의 이름을 입력합니다.
단계 4	Device 1(디바이스 1) 드롭다운 메뉴를 확장하여 Multicloud Defense 게이트웨이를 선택하거나 원격 엔드포인트의 공용 IP 주소를 수동으로 입력합니다.
단계 5	Device 1 Virtual Interface IP(디바이스 1 가상 인터페이스) 주소를 입력합니다. 이 필드를 최적화하는 방법에 대한 지침은 이 절차의 시작 부분에 있는 참고 사항를 참조하십시오.
단계 6	Device 2(디바이스 2) 드롭다운 메뉴를 확장하여 Multicloud Defense 게이트웨이를 선택하거나 원격 엔드포인트의 공용 IP 주소를 수동으로 입력합니다. 디바이스 1과 디바이스 2에 동일한 디바이스 또는 게이트웨이를 사용하지 마십시오.
단계 7	Device 2 Virtual Interface IP(디바이스 2 가상 인터페이스) 주소를 입력합니다. 이 필드를 최적화하는 방법에 대한 지침은 이 절차의 시작 부분에 있는 참고 사항를 참조하십시오.
단계 8	터널의 Authentication Value(인증 값)를 입력합니다. 현재 PreShared Key(사전 공유 키)가 기본 인증 방법입니다.
단계 9	IPSec Profile(IPSec 프로파일) 드롭다운 메뉴를 확장하여 이미 생성된 프로파일을 선택합니다.
단계 10	Save(저장)를 클릭합니다.

다음에 수행할 작업

연결 상태를 보고 연결 양쪽의 수신 및 발신 바이트 통계를 검토합니다.

BGP 프로파일을 VPN 터널 연결과 연결하려면 게이트웨이를 생성 하거나 기존 게이트웨이를 수정하여 원하는 BGP 프로파일을 추가합니다. VPN 연결의 IPSec 프로파일은 기본적으로 사용되는 프로파일로 유지되며, BGP 프로파일은 원격 피어와의 IPSEC 터널을 통해 실행됩니다.

사이트 간 VPN 터널 편집

다음 절차에 따라 Multicloud Defense 컨트롤러 대시보드를 사용하여 기존 사이트 간 VPN 연결을 편집합니다.

프로시저

단계 1	로 이동합니다.
단계 2	VPN 연결을 선택하여 강조 표시합니다.
단계 3	Actions(작업) 드롭다운 메뉴에서 Edit(편집)을 선택합니다.
단계 4	다음 정보를 수정합니다. Name(이름)입니다. 디바이스 1. 디바이스 1 가상 인터페이스 IP. 디바이스 2. 디바이스 1 가상 인터페이스 IP. 인증 값. IPSec 프로파일 선택.
단계 5	Save(저장)를 클릭합니다. 언제든지 취소할 수 있습니다.