사용하기 전에
Q. IPsec VPN이란 무엇인가요?
- VPN은 가상 사설망(Virtual Private Network)의 약자로, 외부에서 접근할 수 없는 사설망에 내 PC나 네트워크를 연결시키는 방법을 말합니다.
- 사설망과의 연결은 가상 터널을 통해 이루어지며, 이 가상 터널을 IPsec(Internet Protocol Security)으로 암호화하여 보호하는 것이 IPsec VPN입니다.
Q. 네이버 클라우드 플랫폼의 IPsec VPN 서비스는 무엇인가요?
- 외부에 있는 고객의 네트워크와 네이버 클라우드 플랫폼에 있는 네트워크(Private Subnet)를 암호화된 터널링 통신으로 연결할 수 있는 서비스입니다.
- VPN 환경이 구축되어 있으면, 허가된 네트워크는 언제든지 기업 내 사설 네트워크에 보안 처리된 방식으로 안전하게 접속할 수 있습니다.
Q. IPsec VPN 서비스 사용 절차는 어떻게 되나요?
- 콘솔에 접속한 후에 다음 단계를 통해 간단하게 신청한 후 바로 사용하실 수 있습니다.
- 콘솔 접속: 네이버 클라우드 플랫폼 콘솔에 접속합니다.
- IPsec VPN Gateway 설정: Zone, 대역폭 보장, IKEv1 Policy을 선택하고 IPsec VPN Gateway 이름을 정합니다.
- IPsec VPN Tunnel 설정: 터널링을 위한 연결 설정으로 네트워크 정보, Peer IP 주소, Preshared Key, IPsec Proposal, Security Association Lifetime, Dead Peer Detection을 설정합니다.
- Peer Gateway 설정: 외부에 있는 고객의 네트워크의 IPsec VPN Gateway에 IKEv1 Policy를 포함한 터널링을 위한 연결 설정을 합니다.
- 접속: 외부에 있는 고객 네트워크 혹은 네이버 클라우드 플랫폼에 있는 네트워크에 존재하는 호스트에서 상대편 네트워크에 존재하는 호스트에 접속합니다.
Q. 대역폭 보장은 뭔가요?
- IPsec VPN Gateway 생성 시 트래픽에 대한 대역폭 보장을 선택할 수 있습니다. 네트워크 규모를 고려하여 10Mbps, 20Mbps, 30Mbps 중 하나를 선택합니다.
- 대역폭 보장은 양방향입니다. 예를 들어, 10Mbps를 선택하면 인바운드 트래픽 10Mbps 아웃바운드 트래픽 10Mbps가 보장됩니다.
Q. Peer IP 주소는 뭔가요?
- 외부에 있는 고객 네트워크의 IPsec VPN Gateway가 가지고 있는 Public IP 주소가 Peer IP입니다.
- 암호화된 터널링은 IPsec VPN Gateway 간 통신이며 이를 위해 공인 IP가 필요합니다.
IPsec VPN Gateway
IPsec VPN Gateway 생성
Step 1. 콘솔 접속
① 콘솔에 접속 후, Networking > IPsec VPN > IPsec VPN Gateway를 클릭합니다.
② 그 후 좌측 상단 혹은 화면 중앙의 IPsec VPN Gateway 생성을 클릭합니다.
Step 2. IPsec VPN Gateway 설정
① IPsec VPN Gateway 생성 팝업창이 열리면 먼저 Gateway 이름을 정하고 Zone을 선택합니다.
② 네트워크 규모를 고려하여 대역폭 보장(10Mbps, 20Mbps, 30Mbps)을 선택합니다.
③ IKEv1 Policy를 선택합니다.
인증 방식은 pre-share로 고정이며 암호화 알고리즘, D-H Group, 해시 알고리즘, Lifetime을 선택합니다.
IKEv1 Policy는 해당 IPsec VPN Gateway의 모든 IPsec VPN Tunnel에 공유됩니다.
④ 확인 버튼을 클릭하면 IPsec VPN Gateway가 생성됩니다.
IPsec VPN Gateway 현재 상태
Step 1. 현재 상태 버튼 클릭
① 상단의 현재 상태 버튼을 클릭합니다.
② 인터페이스, 라우팅, IPsec VPN Tunnel 중 하나를 선택하여 해당 현재 상태를 확인합니다.
IPsec VPN Gateway 변경
Step 1. 변경 버튼 클릭
① 좌측 상단의 변경 버튼을 클릭합니다.
② 대역폭 보장과 IKEv1 Policy를 변경할 수 있습니다.
주의
대역폭 보장을 줄이면 순간적으로 패킷 유실이 발생할 수 있습니다.
③ 확인 버튼을 클릭하면 적용됩니다.
IPsec VPN Gateway 삭제
Step 1. 삭제 버튼 클릭
① 좌측 상단의 [삭제] 버튼을 클릭합니다. 단, 해당 IPsec VPN Gateway에 추가한 IPsec VPN Tunnel이 존재한다면 삭제 불가능합니다.
② 예 버튼을 클릭하면 IPsec VPN Gateway가 삭제됩니다.
IPsec VPN Tunnel
IPsec VPN Tunnel 생성
Step 1. 콘솔 접속
① 콘솔에 접속 후, Networking > IPsec VPN > IPsec VPN Tunnel을 클릭합니다.
② 그 후 좌측 상단 혹은 화면 중앙의 IPsec VPN Tunnel 생성을 클릭합니다.
Step 2. IPsec VPN Tunnel 설정
① IPsec VPN Tunnel 생성 팝업창이 열리면 먼저 IPsec VPN Gateway를 선태하고 Peer IP를 입력합니다.
② 구성된 Private Subnet을 선택하여 Local Network를 정합니다.
③ 외부의 고객의 네트워크 정보로 Remote Network를 설정합니다.
④ IKEv1 Pre-shared Key를 입력합니다.
⑤ IPsec Proposal을 선택합니다.
- Tunnel 모드로 고정이며 ESP 암호화와 인증 알고리즘을 선택합니다.
⑥ VPN 세션(Security Association)의 Lifetime을 설정합니다.
⑦ Perfect Forward Secrecy를 설정합니다.
비밀 키 혹은 하나의 세션키가 유출되더라도 다른 세션키의 보안성을 보장합니다.
Disable : Perfect Forward Secrecy 옵션 비활성화입니다.
Enable : Perfect Forward Secrecy 옵션 활성화입니다.
- Diffie Hellman 알고리즘 그룹을 설정합니다.( Group 1 / Group 2 / Group 5 )
⑧ Dead Peer Detection을 설정합니다.
VPN 세션에 트래픽이 없을 경우 상대편 IPsec VPN Gateway(Peer IP 주소)를 검사하는 방식으로 세 가지 모드 중 하나를 선택합니다.
ON: Dead Peer Detection 활성화입니다.
One-way: Peer에 대한 aliveness 검사를 하지 않고, 단지 Peer가 보내는 R-U-THERE 메시지에 응답만 합니다.
OFF: Dead Peer Detection 비활성화입니다.
⑨ [다음] 버튼을 클릭합니다.
⑩ 최종 확인을 하고 IPsec VPN Tunnel 생성 버튼을 클릭하면 IPsec VPN Tunnel이 생성됩니다.
IPsec VPN Tunnel 변경
① 좌측 상단의 변경 버튼을 클릭합니다.
② Local Network, Remote Network, IKEv1 Pre-shared Key, IPsec Proposal, Security Association Lifetime, Perfect Forward Secrecy, Dead Peer Detection을 변경할 수 있습니다.
③ [다음] 버튼을 클릭합니다.
④ 최종 확인을 하고 확인 버튼을 클릭하면 IPsec VPN Tunnel이 변경됩니다.
IPsec VPN Tunnel 삭제
Step 1. 삭제 버튼 클릭
① 좌측 상단의 [삭제] 버튼을 클릭합니다.
주의
삭제하면 해당 IPsec VPN Tunnel에 의해 생성된 모든 VPN 세션이 삭제됩니다.
② 예 버튼을 클릭하면 IPsec VPN Tunnel이 삭제됩니다.
IPsec VPN 연결
Step 1. 고객 외부 네트워크 구성 확인
① Private Network 구성을 확인합니다.
- 네이버 클라우드 플랫폼의 Private Subnet과 겹치지 않아야 합니다.
② IPsec VPN Gateway 구성을 확인합니다.
- 네이버 클라우드 플랫폼 IPsec VPN Tunnel의 Peer IP에 해당하는 공인 IP를 설정되어 있는지 확인합니다.
③ IPsec VPN Tunnel을 생성합니다.
- Peer IP는 네이버 클라우드 플랫폼 IPsec VPN Gateway의 Public IP입니다.
- 자신의 Private Network를 Local Network로 네이버 클라우드 플랫폼 Private Subnet을 Remote Network로 합니다.
- 네이버 클라우드 플랫폼 IPsec VPN Tunnel과 동일하게 IKEv1 Policy, IKE Negotiation Mode, IKEv1 Pre-shared Key, Perfect Forward Secrecy, IPsec Proposal을 설정합니다.
④ 호스트를 설정합니다.
- 네이버 클라우드 플랫폼 Private Subnet에 대한 라우팅을 설정합니다.
Step 2. 네이버 클라우드 플랫폼의 서버 설정
① Private Subnet 대역 IP를 할당한 Network Interface를 생성하고 해당 Network Interface를 서버에 적용합니다.
② 고객 외부 Private Network에 대한 라우팅을 설정합니다.
Step 3. ping 혹은 ssh 실행
① 네이버 클라우드 플랫폼의 서버에서 고객 외부 네트워크에 존재하는 호스트로 ping 혹은 ssh 명령으로 접속을 시도합니다.
Step 4. VPN 연결 확인
① 콘솔에 접속 후, Networking > IPsec VPN > IPsec VPN Tunnel을 클릭합니다.
② VPN 세션에 해당하는 Tunnel 상태가 active임을 확인합니다.
③ Tunnel 상태를 클릭하시면, 더 자세한 정보를 보실 수 있습니다.