탐색 경로

Devices(디바이스) > Site To Site(사이트 간). 그런 다음 + Site To Site VPN(+ 사이트 간 VPN)을 클릭하거나 나열된 VPN 토폴로지를 편집합니다. Endpoint(엔드포인트) 탭을 클릭합니다.

필드

디바이스

다음과 같이 구축에 대한 엔드포인트 노드를 선택합니다.

• 이 management center에서 관리되는 threat defense 디바이스.

• 이 management center에서 관리되는 threat defense 고가용성 컨테이너.

• 이 management center에서 관리하지 않는 모든 디바이스인 엑스트라넷 디바이스(Cisco 또는 타사).

Device Name(디바이스 이름)

엑스트라넷 디바이스의 경우에만 이 디바이스의 이름을 제공합니다. 관리되지 않는 디바이스로 식별할 수 있도록 이름을 지정하는 것이 좋습니다.

인터페이스

매니지드 디바이스를 엔드포인트로 선택한 경우 해당 디바이스에서 인터페이스를 선택합니다.

'Point-to-Point' 구축의 경우 동적 인터페이스로 엔드포인트를 구성할 수도 있습니다. 동적 인터페이스가 있는 엔드포인트는 엑스트라넷 디바이스와 페어링될 수 있으며 매니지드 디바이스가 있는 엔드포인트와는 페어링할 수 없습니다.

Devices(디바이스) > Device Management(디바이스 관리) > Add/Edit device(디바이스 추가/편집) > Interfaces(인터페이스)에서 디바이스 인터페이스를 구성할 수 있습니다.

IP 주소

• management center에서 관리하지 않는 엑스트라넷 디바이스를 선택하는 경우 엔드포인트의 IP 주소를 지정합니다.

  엑스트라넷 디바이스에서 동적 엑스트라넷 디바이스를 허용하려면 Static(정적)을 선택하고 IP 주소를 지정하거나 Dynamic(동적)을 선택합니다.

• 매니지드 디바이스를 엔드포인트로 선택한 경우 드롭다운 목록에서 단일 IPv4 주소 또는 여러 IPv6 주소를 선택합니다. 이러한 IP 주소는 매니지드 디바이스의 이 인터페이스에 이미 할당되어 있습니다.

• 토폴로지의 모든 엔드포인트는 동일한 IP 주소 체계를 가져야 합니다. IPv4 터널은 IPv6 트래픽을 전달할 수 있으며 그 반대도 마찬가지입니다. 보호되는 네트워크는 터널링된 트래픽이 사용하는 주소 체계를 정의합니다.

• 매니지드 디바이스가 고가용성 컨테이너인 경우 인터페이스 목록에서 선택합니다.

이 IP는 비공개입니다

엔드포인트가 네트워크 주소 변환(NAT) 기능을 갖춘 방화벽의 뒤에 상주할 경우 확인란을 선택합니다.

참고	피어가 동일한 management center에 의해 관리되는 경우에만 이 옵션을 사용하고, 피어가 엑스트라넷 디바이스인 경우에는 이 옵션을 사용하지 마십시오.

공용 IP 주소

This IP is Private(이 IP는 비공개입니다) 확인란을 선택한 경우 방화벽의 공용 IP 주소를 지정합니다. 엔드포인트가 responder일 경우 이 값을 지정합니다.

연결 유형

허용되는 협상을 양방향, 응답 전용 또는 시작 전용으로 지정합니다. 연결 유형에 대해 지원되는 조합은 다음과 같습니다.

표 1. 지원되는 연결 유형 조합

Remote 노드	Central 노드
발신 전용	응답 전용
양방향	응답 전용
양방향	양방향

인증서 맵

사전 구성된 인증서 맵 개체를 선택하거나 Add(추가) ()을 클릭하여 인증서 맵 개체를 추가합니다. 인증서 맵은 VPN 연결에 유효하도록 수신된 클라이언트 인증서에 필요한 정보를 정의합니다. 자세한 내용은 인증서 맵 개체를 참조하십시오.

보호되는 네트워크

경고	허브 앤 스포크 토폴로지 - 동적 암호화 맵에 대한 트래픽 삭제를 방지하려면 두 엔드포인트에 대해 보호되는 네트워크 any를 선택하지 않아야 합니다. 보호된 네트워크가 any로 구성된 경우 두 엔드포인트에서 터널에서 작동하는 암호화 ACL이 생성되지 않습니다.

이 VPN 엔드포인트로 보호되는 네트워크를 정의합니다. 이 엔드포인트로 보호되는 네트워크를 정의하는 서브넷/IP 주소 목록을 선택하여 네트워크를 선택합니다. 사용 가능한 네트워크 개체를 선택하거나 새 네트워크 개체를 추가하려면 Add(추가) ()을 클릭합니다. 네트워크 개체 생성의 내용을 참조하십시오. ACL(Access Control Lists)은 여기에서 선택한 항목에서 생성됩니다.

• Subnet/IP Address (Network)(서브넷/IP 주소(네트워크)) - VPN 엔드포인트는 동일한 IP 주소를 가질 수 없으며 VPN 엔드포인트 쌍의 보호되는 네트워크는 중복될 수 없습니다. 어떤 엔드포인트의 보안 네트워크에 IPv4 또는 IPv6 항목이 포함될 경우 나머지 엔드포인트의 보안 네트워크는 동일한 유형(즉 IPv4 또는 IPv6)의 항목을 하나 이상 가져야 합니다. 그렇지 않으면 나머지 엔드포인트의 IP 주소가 동일한 유형이고 또한 보안 네트워크의 항목과 중복되지 않아야 합니다. (IPv4에는 /32 CIDR 주소 영역을, IPv6에는 /128 CIDR 주소 영역을 사용합니다.) 두 검사 모두 실패할 경우 엔드포인트 쌍은 잘못된 것입니다.

  참고

  기본적으로 Secure Firewall Management Center에서 역방향 경로 삽입은 활성화되어 있습니다. Subnet/IP Address (Network)(서브넷/IP 주소(네트워크)는 기본 선택으로 유지됩니다. 보호되는 네트워크를 Any(모두)로 선택하고 기본 경로 트래픽의 삭제를 확인하면 RRI(reverse route injection) 설정을 비활성화합니다. VPN> Site to Site(사이트 간) > edit a VPN(VPN 편집) > IPsec > Enable Reverse Route Injection(RRI(reverse route injection) 설정 활성화)을 선택합니다. 암호화 맵 구성의 set reverse-route(Reverse Route Injection)를 제거되고 역방향 터널 트래픽이 삭제되도록 유도하는 VPN-advertised reverse route를 제거되도록 구성 변경 사항을 구축합니다.

• Access List (Extended)(액세스 목록(확장)) - 확장된 액세스 목록은 GRE 또는 OSPF 트래픽과 같이 이 엔드포인트에서 수락할 트래픽 유형을 제어하는 기능을 제공합니다. 트래픽은 주소 또는 포트로 제한될 수 있습니다. Add(추가) ()을 클릭하여 ACL(Access Control List) 개체를 추가합니다.

  참고	ACL은 Point-to-Point 토폴로지에서만 지원됩니다.

네트워크 주소 변환에서 VPN 트래픽 제외

NAT(Network Address Translation) 규칙에서 VPN 트래픽을 제외하려면 이 체크 박스를 선택합니다.

NAT 규칙에서 VPN 트래픽을 제외하지 않으면 트래픽이 삭제되거나 VPN 터널을 통해 원격 디바이스로 라우팅되지 않습니다. 이 옵션을 활성화하면 NAT 정책 페이지(Device(디바이스) > NAT > NAT Exemptions(NAT 제외))에서 디바이스에 대한 NAT 면제를 볼 수 있습니다.

내부 네트워크에 직접 연결된 내부 인터페이스

보호되는 네트워크가 상주하는 내부 인터페이스에 대한 보안 영역 또는 인터페이스 그룹을 지정합니다. 기본적으로 내부 인터페이스는 any입니다.

+를 클릭하여 하나 이상의 내부 인터페이스에 매핑할 수 있는 보안 영역 또는 인터페이스 그룹에서 하나 이상의 인터페이스를 구성합니다. 보안 영역 또는 인터페이스 그룹의 인터페이스 유형이 라우팅인지 확인합니다.

Advanced Settings(고급 설정)

동적 RRI(Reverse Route Injection) 활성화 - RRI(Reverse Route Injection)를 사용하면 원격 터널 엔드포인트로 보호되는 네트워크 및 호스트에 대한 라우팅 프로세스에 경로를 자동으로 삽입할 수 있습니다. 동적 RRI 경로는 IPsec SA(Security Associations)를 성공적으로 설정한 경우에만 생성됩니다.

참고	동적 RRI는 IKEv2에서만 지원되며 IKEv1 또는 IKEv1 + IKEv2에서는 지원되지 않습니다. 동적 RRI는 발신 전용 피어, 풀 메시 토폴로지 및 엑스트라 넷 피어에서 지원되지 않습니다. 포인트 투 포인트에서는 한 피어에서만 동적 RRI를 활성화할 수 있습니다. 허브와 스포크 간에는 엔드포인트 중 하나만 동적 RRI를 활성화할 수 있습니다. 동적 RRI는 동적 암호화 맵과 결합할 수 없습니다.

Send Local Identity to Peers(피어에 로컬 ID 전송) - 로컬 ID 정보를 피어 디바이스로 전송하려면 이 옵션을 선택합니다. 목록에서 다음 Local Identity Configuration(로컬 ID 구성) 중 하나를 선택하고 로컬 ID를 구성합니다.

• IP address(IP 주소) — ID에 대한 인터페이스의 IP 주소를 사용합니다.

• Auto(자동) - 인증서 기반 연결을 위해 사전 공유 키 및 인증서 DN에 IP 주소를 사용합니다.

• Email ID(이메일 ID) - ID에 사용할 이메일 ID를 지정합니다. 이메일 ID는 최대 127자입니다.

• Hostname(호스트 이름)—정규화된 호스트 이름을 사용합니다.

• Key ID(키 ID) - ID에 사용할 키 ID를 지정합니다. 키 ID는 65자 미만이어야 합니다.

로컬 ID는 모든 터널에 대한 전역 ID 대신 IKEv2 터널별로 고유한 ID를 구성하는 데 사용됩니다. 고유 ID를 사용하면 threat defense에서 NAT 뒤에 여러 IPsec 터널을 포함하여 Cisco Umbrella SIG(Secure Internet Gateway)에 연결할 수 있습니다.

Umbrella에서 고유한 터널 ID를 구성하는 방법에 대한 자세한 내용은 Cisco Umbrella SIG 사용 설명서를 참조하십시오.

VPN Filter(VPN 필터) - 목록에서 확장 액세스 목록을 선택하거나 Add(추가)를 클릭하여 사이트 간 VPN 트래픽을 필터링할 새 확장 액세스 목록 개체를 만듭니다.

VPN 필터는 추가 보안을 제공하고 확장된 액세스 목록을 사용하여 사이트 간 VPN 데이터를 필터링합니다. VPN 필터에 대해 선택된 확장 액세스 목록 개체를 사용하면 VPN 터널에 들어가기 전에 사전 암호화된 트래픽과 VPN 터널을 나가는 암호 해독된 트래픽을 필터링할 수 있습니다. sysopt permit-vpn 옵션이 활성화되면 VPN 터널에서 오는 트래픽에 대한 액세스 제어 정책 규칙을 우회합니다. sysopt permit-vpn 옵션이 활성화된 경우 VPN 필터는 사이트 간 VPN 트래픽을 식별하고 필터링하는 데 도움이 됩니다.

참고	VPN 필터는 포인트 투 포인트 및 허브 앤 스포크 토폴로지에서만 지원됩니다. 메시 토폴로지에서는 지원되지 않습니다.

허브 앤 스포크 토폴로지의 경우 특정 터널에서 다른 VPN 필터를 활성화해야 하는 경우 스포크 엔드포인트에서 허브 VPN 필터를 재정의하도록 선택할 수 있습니다.

Override VPN Filter on the Hub(허브에서 VPN 필터 재정의) 옵션을 선택하여 스포크에서 허브 VPN 필터를 재정의합니다. Remote VPN Filter(원격 VPN 필터) 확장 액세스 목록 개체를 선택하거나 재정의할 액세스 목록을 생성합니다.

참고	스포크인 엑스트라넷 디바이스의 경우, Override VPN filter on the Hub(허브에서 VPN 필터 재정의) 옵션만 사용할 수 있습니다.

sysopt permit-VPN에 대한 자세한 내용은 Threat Defense 고급 Site-to-site VPN 터널 옵션의 내용을 참조하십시오.

이 토폴로지에 대해 선택한 IKE 버전의 경우 IKEv1/IKEv2 설정을 지정합니다.

참고	이 대화 상자의 설정은 전체 토폴로지, 모든 터널 및 모든 매니지드 디바이스에 적용됩니다.

탐색 경로

Devices(디바이스) > Site To Site(사이트 간). 그런 다음 + Site To Site VPN(+ 사이트 간 VPN)을 클릭하거나 나열된 VPN 토폴로지를 편집합니다. IKE 탭을 클릭합니다.

필드

정책

사전 정의된 목록에서 필요한 IKEv1 또는 IKEv2 정책 개체를 선택하거나 사용할 새 개체를 만듭니다. 여러 IKEv1 및 IKEv2 정책을 선택할 수 있습니다. IKEv1 및 IKEv2는 최대 20개의 IKE 정책을 지원하고 서로 다른 설정 값을 사용합니다. 생성한 각 정책에 고유 우선순위를 지정하십시오. 우선순위 번호가 낮을수록 우선순위가 더 높습니다.

자세한 내용은 다음 섹션을 참조하십시오. Threat Defense IKE 정책

인증 유형

사이트 간 VPN은 두 가지 인증 방법, 즉 사전 공유 키와 인증서를 지원합니다. 두 가지 방법에 대한 설명은 사용할 인증 방법 결정에서 확인할 수 있습니다.

참고	IKEv1을 지원하는 VPN 토폴로지에서는 선택한 IKEv1 정책 개체에서 지정된 Authentication Method(인증 방법)가 IKEv1 Authentication Type(인증 유형) 설정의 기본값이 됩니다. 이러한 값은 서로 일치해야 하며, 그렇지 않을 경우 컨피그레이션에 오류가 발생합니다.

• Pre-shared Automatic Key(사전 공유 자동 키)—management center는 이 VPN에 대한 사전 공유 키를 자동으로 정의합니다. Pre-shared Key Length(사전 공유 키 길이)에 키의 문자 수(1~27)를 지정합니다.

  "(큰 따옴표)는 사전 공유 키로 지원되지 않습니다. 사전 공유 키에서 "를 사용한다면, Secure Firewall Threat Defense 6.30 이상으로 업그레이드한 후에 해당 문자를 변경해야 합니다.

• Pre-shared Manual Key(사전 공유 수동 키) - 이 VPN에 대한 사전 공유 키를 수동으로 할당합니다. Key(키)를 지정하고 Confirm Key(확인 키)에 동일한 내용을 다시 입력합니다.

  IKEv2에 대해 이 옵션을 선택하면 Enforce hex-based pre-shared key only(16진수 기반 사전 공유 키만 적용) 확인란이 나타나며 원하는 경우 선택합니다. 적용하는 경우 숫자 0~9 또는 A~F를 사용하여 키의 올바른 16진수 값, 짝수 2~256자를 입력해야 합니다.

• 인증서 - VPN 연결 인증 방법으로 인증서를 사용하는 경우 피어는 인증을 위해 PKI 인프라의 CA 서버에서 디지털 인증서를 가져와 거래합니다.

  Certificate(인증서) 필드에서 사전 구성된 인증서 등록 개체를 선택합니다. 이 등록 개체는 매니지드 디바이스에서 같은 이름의 신뢰 지점을 생성합니다. 등록 프로세스가 끝나면 인증서 등록 개체를 디바이스에 연결하고 설치해야 하며, 설치가 끝나면 신뢰 지점이 생성됩니다.

  신뢰 지점은 CA 또는 ID 쌍을 나타낸 것입니다. 신뢰 지점에는 CA의 ID, CA별 구성 파라미터, 하나의 등록된 ID 인증서와의 연결 관계가 포함되어 있습니다.

  이 옵션을 선택하기 전에 다음 사항에 유의하십시오.

  • 토폴로지의 모든 엔드포인트에 인증서 등록 개체를 등록했는지 확인하십시오. 인증서 등록 개체에는 CSR(Certificate Signing Requests)을 생성하고 지정된 CA(Certification Authority)에서 ID 인증서를 가져오기 위해 필요한 CA 서버 정보 및 등록 매개변수가 포함되어 있습니다. 인증서 등록 개체는 PKI 인프라에 매니지드 디바이스를 등록하고, VPN 연결을 지원하는 디바이스에 트러스트 포인트(CA 개체)를 생성합니다. 인증서 등록 개체를 생성하는 방법은 인증서 등록 개체 추가을(를) 참조하고, 개체를 엔드포인트에 등록하는 방법은 다음 중 적용되는 항목을 참조하십시오.

    • 자체 서명 등록을 사용한 인증서 설치

    • EST 등록을 사용한 인증서 설치

    • SCEP 등록을 사용한 인증서 설치

    • 수동 등록을 사용한 인증서 설치

    • PKCS12 파일을 사용하여 인증서 설치

    참고	사이트 간 VPN 토폴로지의 경우에는 같은 인증서 등록 개체가 토폴로지의 모든 엔드포인트에 등록되어 있는지 확인합니다. 자세한 내용은 아래 표를 참조하십시오.

  • 다음 표를 참조해 다양한 시나리오에서의 등록 요구 사항을 확인하십시오. 일부 시나리오에서는 특정 디바이스에 대한 인증서 등록 개체를 재지정해야 합니다. 개체를 재정의하는 방법은 개체 재정의 관리에서 확인할 수 있습니다.

    인증서 등록 유형	모든 엔드포인트에 대한 디바이스 ID 인증서를 동일한 CA에서 얻었습니다.		모든 엔드포인트에 대한 디바이스 ID 인증서를 다른 CA에서 얻었습니다.
    	디바이스별 매개변수가 인증서 등록 개체에 지정되지 않았습니다.	디바이스별 매개변수가 인증서 등록 개체에 지정되었습니다.
    수동	재정의 필요 없음	재정의 필요	재정의 필요
    EST	재정의 필요 없음	재정의 필요	재정의 필요
    SCEP	재정의 필요 없음	재정의 필요	재정의 필요
    PKCS	재정의 필요	재정의 필요	재정의 필요
    자체 서명	해당 없음	해당 없음	해당 없음

  • Secure Firewall Threat Defense VPN 인증서 가이드라인 및 제한 사항에 언급된 VPN 인증서 제한 사항을 확인합니다.

  참고	Windows Certificate Authority(CA)를 사용한다면 기본 애플리케이션 정책 확장은 IP 보안 IKE 중급입니다. 이 기본 설정을 사용한다면, 선택한 개체의 PKI Certificate Enrollment(PKI인증서 등록) 대화상자에 있는 Key(키) 탭의 Advanced Settings(고급 설정) 섹션에서 Ignore IPsec Key Usage(IPsec 키 사용량 무시) 옵션을 선택해야 합니다. 그렇지 않으면 엔드포인트에서 사이트 간 VPN 연결을 완료할 수 없습니다.

참고	이 대화 상자의 설정은 전체 토폴로지, 모든 터널 및 모든 매니지드 디바이스에 적용됩니다.

암호화 맵 유형

암호화 맵은 IPsec 보안 연결(SA)을 설정하는 데 필요한 모든 구성 요소를 결합합니다. 두 피어에서 SA를 설정하려고 시도할 때 최소 1개 이상의 호환 가능한 암호화 맵이 있어야 합니다. IPsec 보안 협상은 암호화 맵 항목에 정의된 제안을 사용하여 해당 암호화 맵의 IPsec 규칙에 지정된 데이터 흐름을 보호합니다. 이 구축의 암호화 맵에 대해 정적 또는 동적 여부를 선택합니다.

• Static(정적) - Point-to-Point 또는 풀 메시 VPN 토폴로지에서 정적 암호화 맵을 사용합니다.

• Dynamic(동적) -동적 암호화 맵은 기본적으로 모든 파라미터가 구성되지 않은 상태의 암호화 맵 항목을 생성합니다. 누락된 파라미터는 나중에 원격 피어의 요구 사항과 일치하도록 동적으로 구성됩니다(IPsec 협상의 결과).

  동적 암호화 맵 정책은 허브 및 스포크와 및 지점 간 VPN 토폴로지 모두에 적용됩니다. 이러한 정책을 적용하려면 토폴로지의 피어 중 하나에 동적 IP 주소를 지정하고, 이 토폴로지에서 동적 암호화 맵이 활성화되어 있는지 확인합니다. Full-mesh VPN 토폴로지에서는 정적 암호화 맵 정책만 적용할 수 있습니다.

IKEv2 모드

IKEv2의 경우 터널에 ESP 암호화 및 인증을 적용하려면 캡슐화 모드를 지정합니다. 이는 원래 IP 패킷의 어느 부분에 ESP가 적용되어 있는지 결정합니다.

• Tunnel(터널) 모드 - (기본값) 캡슐화 모드가 터널 모드로 설정됩니다. Tunnel(터널) 모드는 전체 원래 IP 패킷(IP 헤드 및 데이터)에 ESP 암호화 및 인증을 적용하여 최종 소스 및 대상 주소를 숨기며 새 IP 패킷에서 페이로드가 됩니다.

  터널 모드의 주요 장점은 IPsec이 보장하는 이점을 위해 최종 시스템을 수정할 필요가 없다는 점입니다. 이 모드에서는 라우터와 같은 네트워크 디바이스가 IPsec 프록시 역할을 합니다. 즉, 라우터는 호스트를 대신하여 암호화를 수행합니다. 소스 라우터는 패킷을 암호화하고 IPsec 터널을 따라 패킷을 전달합니다. 대상 라우터는 원래 IP 데이터그램을 암호 해독하고 대상 시스템으로 전달합니다. 터널 모드는 또한 트래픽 분석으로부터 보호 기능을 제공하므로 터널 모드를 통해 공격자는 터널 엔드포인트만 판단할 수 있으며 터널링된 패킷이 터널 엔드포인트와 동일하더라도 해당 소스 및 대상은 판단할 수 없습니다.

• Transport preferred(기본 설정 전송) - 피어가 지원하지 않는 경우 캡슐화 모드는 터널 모드에 대한 폴백 옵션을 사용하는 전송 모드로 설정됩니다. Transport(전송) 모드에서는 IP 페이로드만 암호화되며 원래 IP 헤더는 그대로 유지됩니다. 따라서 관리자는 VPN 인터페이스 IP 주소와 일치하는 보호되는 네트워크를 선택해야 합니다.

  이 모드는 적은 바이트만 각각의 패킷에 추가하고 공용 네트워크에서 디바이스가 패킷의 최종 소스 및 대상을 확인할 수 있다는 이점이 있습니다. 전송 모드를 사용하면 IP 헤더의 정보에 기반하여 중간 네트워크에서 특수 처리(예: QoS)를 활성화할 수 있습니다. 그러나 패킷 검사를 제한하는 Layer 4 헤더가 암호화됩니다.

• Transport required(전송 필요) - 캡슐화 모드가 전송 모드로 설정되며, 터널 모드의 폴백이 허용됩니다. 협상을 지원하지 않는 하나의 엔드포인트로 인해 여러 엔드포인트가 전송 모드를 성공적으로 협상할 수 없는 경우 VPN 연결이 수행되지 않습니다.

제안

Edit(수정) ()을 클릭하여 선택한 IKEv1 또는 IKEv2 방법에 대한 제안을 지정합니다. 사용 가능한 IKEv1 IPsec 제안 또는 IKEv2 IPsec 제안 개체 중에서 선택하거나 새로 생성한 다음 선택합니다. 자세한 내용은 IKEv1 IPsec 제안 개체 설정 및 IKEv2 IPsec 제안 개체 설정 섹션을 참조하십시오.

SA(Security Association) 강점 시행 활성화

이 옵션을 활성화하면 하위 IPsec SA에서 사용하는 암호화 알고리즘이 상위 IKE SA에 비해 키의 비트 수와 관련하여 더 강점을 보이지 않습니다.

Reverse Route Injection 활성화

Reverse Route Injection(RRI)은 원격 터널 엔드포인트로 보호되는 네트워크 및 호스트에 대한 라우팅 프로세스에 정적 경로를 자동으로 삽입할 수 있도록 활성화합니다.

PFS(Perfect Forward Secrecy) 활성화

PFS(Perfect Forward Secrecy)를 사용하여 암호화된 각 교환에 대해 고유 세션 키를 생성하고 사용할지를 결정합니다. 고유 세션 키는 전체 교환이 기록되었으며 공격자가 엔드포인트 디바이스에서 사용하는 사전 공유 키 또는 개인 키를 확보했더라도 후속 암호 해독에서 교환을 보호합니다. 이 옵션을 선택하는 경우 모듈러스 그룹 목록에서 PFS 세션 키를 생성할 때 사용할 Diffie-Hellman 키 파생 알고리즘도 선택합니다.

모듈러스 그룹

공유 암호를 각 IPsec 피어에 전송하지 않고 두 IPsec 피어 간에 파생하는 데 사용할 Diffie Hellman 그룹입니다. 대형 모듈러스는 보안성은 더 높지만, 처리 시간이 더 오래 걸립니다. 두 피어의 모듈러스 그룹이 일치해야 합니다. 옵션에 대한 자세한 설명은 사용할 Diffie-Hellman 모듈러스 그룹 결정를 참조하십시오.

라이프타임

만료되기 전에 보안 연결이 있는 시간(초)입니다. 기본값은 28,800초입니다.

수명 크기

만료되기 전에 지정된 보안 연결을 사용하여 IPsec 피어 간에 전달할 수 있는 트래픽 볼륨(KB)입니다. 기본값은 4,608,000킬로바이트입니다. 무한 데이터는 허용되지 않습니다.

ESPv3 설정

수신 ICMP 오류 메시지 확인

IPsec 터널을 통해 수신되고 비공개 네트워크의 내부 호스트로 전달되는 이러한 ICMP 오류 메시지를 검증할지 여부를 선택합니다.

'Do Not Fragment(조각화 금지)' 정책 활성화

IPsec 하위 시스템에서 IP 헤더에 DF(Do Not Fragment) 비트가 설정된 대용량 패킷을 처리하는 방법을 정의합니다.

정책

• Copy DF bit(DF 비트 복사) - DF 비트를 유지합니다.

• Clear DF bit(DF 비트 지우기) - DF 비트를 무시합니다.

• Set DF bit(DF 비트 설정) - DF 비트를 설정하고 사용합니다.

TFC(Traffic Flow Confidentiality) 패킷 활성화

터널을 우회하는 트래픽 프로파일을 마스킹하는 더미 TFC 패킷을 활성화합니다. Burst(버스트), Payload Size(페이로드 크기) 및 Timeout(시간 초과) 파라미터를 사용하여 지정된 SA에서 무작위 간격으로 임의 길이의 패킷을 생성할 수 있습니다.

참고	사용자가 IPsec 보안 연계(SA)에서 임의의 길이 및 간격으로 더미 TFC(Traffic Flow Confidentiality: 트래픽 흐름 기밀성)를 활성화할 수 있습니다. TFC를 활성화하기 전에 IKEv2 IPsec 제안서가 있어야 합니다. TFC 패킷을 활성화하면 VPN 터널이 유휴 상태가 되지 않습니다. 따라서 TFC 패킷을 활성화하면 그룹 정책에 구성된 VPN 유휴 시간 제한이 예상대로 작동하지 않습니다.

다음 섹션에서는 사이트 간 VPN 구축에서 지정할 수 있는 고급 옵션에 대해 설명합니다. 이 설정은 전체 토폴로지, 모든 터널 및 모든 매니지드 디바이스에 적용됩니다.