03시작하기시작하기

Site-to-Site VPN에는 IPsec VPN 블레이드를 켠 게이트웨이가 둘 이상 필요합니다. 각 게이트웨이를 설치·SIC 신뢰 수립·토폴로지 취득한 뒤, General Properties > Network Security 에서 IPsec VPN 을 선택 합니다.

그다음 Network Management > VPN Domain 에서 VPN 도메인(암호화 도메인) 을 정의합니다 — 토폴로지 기반 자동(게이트웨이 뒤 모든 IP, 기본값) 또는 사용자 정의(특정 네트워크·그룹·범위) 중에 고릅니다. 관리 서버가 ICA에서 이 게이트웨이용 인증서를 자동 발급 하며, 외부 CA 인증서를 올리려면 PKI를 봅니다.

VPN Community 객체가 멤버 게이트웨이 간 암호화·터널 설정 을 정합니다. Object Explorer의 VPN Communities 에서 만듭니다.

Star Community 는 Center 게이트웨이와 Satellite 게이트웨이를 지정 하고(VSX·Maestro Security Group·Quantum Spark는 Center에 못 넣음), VPN Routing을 "To center only" 등으로 정합니다. Meshed Community 는 멤버 게이트웨이들을 더하 면 서로 터널을 맺습니다. 양쪽 모두 Encrypted Traffic 에서 Accept all encrypted traffic(게이트웨이 간 모든 트래픽 암호화) 을 켤지 정하며, 암호화·Shared Secret·고급 설정은 IPsec와 IKE에서 다룹니다.

Accept all encrypted traffic 를 켜지 않았다면, 커뮤니티 내 트래픽을 허용하는 Access Control 규칙 을 만들어야 합니다. 규칙이 VPN 커뮤니티에 적용되게 하려면 Rule Base의 VPN 열 에 Any(모든 커뮤니티+비VPN) 또는 특정 커뮤니티(예: MyCommunity) 를 넣습니다. 예를 들어 출발지·목적지 Any, VPN=MyCommunity, Action=Accept 면 그 커뮤니티 멤버 도메인 간 암호화 트래픽을 허용합니다. 규칙을 짠 뒤 정책을 설치합니다(Security Management 가이드의 Access Control).

터널이 동작하는지 확인하려면, 해당 규칙의 Track을 Log로 두고 트래픽을 일으킨 뒤, Logs & Events > Logs > Tunnel and User Monitoring 으로 SmartView Monitor를 열어 IPsec 트래픽·열린 터널 을 봅니다. 성공하면 encrypt·decrypt·key install 로그 가 보입니다(또는 Logs 탭에서 VPN 검색).

기본을 세운 뒤의 고급 설정은 게이트웨이 객체와 커뮤니티 객체에 흩어져 있습니다 — 게이트웨이엔 Link Selection·VPN Tunnel Sharing·Wire Mode·NAT Traversal, 커뮤니티엔 Encryption·Tunnel Management·VPN Routing·MEP·Shared Secret 등이 있어, 이어지는 장들에서 하나씩 풀어 씁니다.