Ncould. 하이브리드 클라우드 & 멀티 클라우드 연결 - 01. IPsec VPN 개념

 

[ IPsec 개념 ]

 

1. IPsec (Internet Protocol Security)

네트워크 통신에서 보안을 제공하는 프로토콜 IPsec을 사용하여 데이터의 기밀성, 무결성 및 인증을 보호

 

2. VPN (Virtual Private Network)

인터넷으로 안전하게 데이터를 전송하기 위한 가상의 전용 네트워크

 

3. IPsec VPN

IPsec 프로토콜을 사용하여 VPN을 설정 하여 안전한 통신을 확보

 

Phase1,  Phase2

 

AUTHENTICATION METHOD :

Phase 1에서는 초기 통신 및 키 교환을 위한 것으로, 상대방과의 초기 통신을 인증하는 데 사용 Phase 2에서는 터널을 통한 실제 데이터 전송을 보호하기 위한 것으로, 데이터를 수신하는 측과 데이터의 출처를 인 증하는 데 사용

( 예시: PSK(Pre-Shared Key) 또는 디지털 인증서)

 

ENCRYPTION ALGORITHM : 

Phase 1에서는 주로 키 교환에 사용되며, 초기 통신을 암호화하기 위함 Phase 2에서는 주로 터널을 통한 데이터 전송에 사용되며, 실제 데이터의 기밀성을 보호하기 위함

(예시: DES, 3DES, AES 등)

 

HASH ALGORITHM : 

Phase 1, Phase 2 에서는 데이터의 무결성을 확인하기 위해 사용되는 해시 함수를 지정

(예시 MD5, SHA-1, SHA-256 등)

 

DIFFIE-HELLMAN GROUP :

Phase 1에서는 키 교환에 사용되는 것으로, 공통의 비밀 키를 생성하는 데 사용 Phase 2에서는 터널을 통한 데이터 전송에 사용되며, 키 교환을 위한 그룹을 설정

(DH Group 1: 768-bit 키 교환 / DH Group 2: 1024-bit 키 교환 / DH Group 5: 1536-bit 키 교환)

 

SA LIFETIME : 

Phase 1에서는 SA Lifetime은 초기에 보안 연결을 설정하는 단계로, 두 피어 간의 안전한 통신을 위한 초기 연결을 유지하 는 데 사용 Phase 2에서는 Phase 1에서 설정된 초기 보안 연결을 기반으로 실제 데이터 전송을 위한 터널을 설정하는 단계에서 사용

(예시 : 28,800 sec, 3600 sec)

 

Dead Peer Detection

Phase 1에서는 피어 간 통신이 유지되고 있는지 주기적으로 확인하고, 상대방이 다운되었을 경우에는 연결을 안전하게 종 료하기 위함 Phase 2에서는 Option 또는 장비 설정 값에 따라 필수 값으로 사용

(예시 : 28,800 sec, 3600 sec)

 

 

 

[ 클라우드 아키텍처 구성 실습 절차 및 개념 ] 

 

 

 

1. VPG, VGW(Virtual Private Gateway)

 

Old vs New ?

Old

통신 회선의 이중화가 가능하여 2개의 IPsec VPN 터널 또는 IPsec VPN과 Cloud Connect 터널 조합을 이용

 

 

New

VGW Group을 통해 하나의 회선을 여러 VPC와 공유하여 사용 가능

 

 

VPG, VGW(Virtual Private Gateway) 콘솔 화면

 

·  VGW(Virtual Private Gateway)는 VPC에 위치하여 On-premise 네트워크를 Cloud Connect 또는 IPsec VPN으로 연결 접점

 

·  VGW Group(Virtual Private Gateway Group)은 Ncloud와 On-premise 구간의 보안통신에 대한 라우팅을 처리하고 이를 그루핑하여 VGW에 연결합니다.

 

 

 

2. Route

 

Route Table 추가

·  Peer(상대방/On-Premise)에 대한 사설 IP의 목적지 Next Hope을 지정합니다.

·  VPC > Route Table > Subnet 선택 > 추가

 

 

 

3. Config(구성)

On-Premise or CSP IPsec VPN Config

·   Peer(상대방)의 IPsec VPN 설정 정보 및 Config를 전달 받습니다.

·   위 Config의 경우 Foritgate 샘플입니다

 

 

 

4. IPsec VPN

 

IPsec VPN Gateway

·    Peer(상대방/On-Premise)에 대한 사설 IP의 목적지 Next Hope을 지정합니다.

·    VPC > Route Table > Subnet 선택 > 추가

 

 

IPsec VPN Tunnel

·    On-Premise 또는 CSP의 IPsec VPN 정보 및 Config 값을 대조하여 입력합니다.

·    Ncloud IPsec VPN의 경우 IPsec Proposal이 제한적 이기에 사전에 공유가 필요하며, 변경이 필요할 수 있습니다.

 

 

 

5. TEST

 

ICMP 테스트

·     Ncloud/On-Premise or CSP 의 Inbound 규칙에 Peer IP에 대한 ICMP가 열려있는지 확인합니다.

 

 

---

 

이제 다음에는 실제 실습과정을 다루도록 하겠습니다. 감사합니다.