.. _ztna-ipsec:

.. role:: raw-html(raw)
    :format: html


ZTNA-IPsec
===============
| ZTNA-IPsec은 On‑premises 또는 Cloud 지점과 ZTNA‑Gateway 사이에 사이트 간(IPsec) 터널을 구성하여,
| 지점 트래픽을 게이트웨이를 통해 안전하게 인터넷으로 통신하거나 본사/클라우드 자원과 상호 연결하도록 하는 기능입니다.



ZTNA-IPsec 설정 방법 
------------------------
ZTNA-IPsec을 사용하기 위해서는 사전에 :ref:`Cloud Provider <cloud-provider>` 설정과 :ref:`Hub 타입의 사이트 설정 <site>` 이 필요합니다.

1. 시스템 -> 사이트 -> 생성한 **Hub타입 사이트** 클릭 후, ZTNA-IPsec 적용모드를 **사용함** 으로 변경합니다.
:raw-html:`<br/>`

2. **Pre-Shared Key** 값과 **Advance** 설정을 진행합니다.
:raw-html:`<br/>`

    .. warning:: 타 사의 VPN 전용장비와 IPsec 터널링을 구성하기 위해서는, **Pre-Shared Key** 값과 **Advance** 옵션이 동일해야 합니다. 
          
    .. csv-table:: 
        :header: "항목", "항목 설명","비고"
        :widths: 15, 35, 60

        "Pre-Shared Key", "Hub와 Branch간 연결을 위해 사전에 공유 하는 비밀키",""
        "IKE Version", "IPsec 연결시 사용할 IKE 버전","IkEv1 , IKEv2 지원"
        "IKE encryption", "인증 정보를 암호화할 알고리즘","AES-128, AES-256, blowfish-128, blowfish-192, blowfish-256, Twofish-128, Twofish-192, Twofish-256 지원"
        "IKE integrity", "무결성 보장을 위한 암호화 알고리즘", "SHA1, SHA2-256, SHA2-384, SHA2-512 지원"
        "Pseudo random function", "임의성 제공을 위한 암호화 알고리즘", "None, SHA1, SHA2-256, SHA2-384, SHA2-512 지원"
        "IKE DH group", "인증 정보를 암호화할 키를 생성하는 대칭키 교환 알고리즘","Off, DH group(5,14,15,16,17,18) 지원"
        "IKE Lifetime", "새로운 키를 생성하는 주기", ""
        "ESP encryption", "데이터 패킷을 암호화하는 알고리즘", "AES-128, AES-256, blowfish-128, blowfish-192, blowfish-256, Twofish-128, Twofish-192, Twofish-256 지원" 
        "ESP integrity", "무결성 보장을 위한 암호화 알고리즘", "SHA1, SHA2-256, SHA2-384, SHA2-512 지원"
        "ESP DH group", "데이터 패킷을 암호화할 키를 생성하는 암호화 알고리즘", "Off, DH group(5,14,15,16,17,18) 지원"
        "Lifetime","터널 유지 시간"

3. 시스템 -> 사이트 -> 작업선택 -> 생성 클릭 후, **Branch 타입의 사이트** 를 생성 합니다.
:raw-html:`<br/>`

    - **사이트명** : 사이트 명으로 사용할 이름을 입력합니다.
    - **타입** : IPsec 연결을 진행할 Hub사이트를 선택합니다.
    - **인프라** : 연결할 장비의 구성 환경을 선택합니다.(Cloud, On-prem).Cloud 선택 시, Cloud Provider, Region, VPC ID를 같이 설정합니다. 
    - **Network Address** : 사용하는 네트워크 대역을 입력합니다. Cloud일 경우 설정한 VPC 대역을 입력합니다.

4. **ZTNA-IPsec 적용모드를 사용함** 으로 변경 후 , 세부 설정을 진행 합니다.
:raw-html:`<br/>`

    - **Public IP** : VPN 장비의 공인 IP를 입력합니다.
    - **Pre-Shared Key** : Hub사이트에 설정한 Pre-Shared Key를 입력합니다.
    - **Networks** : VPN 장비의 subnet을 입력합니다.
    - **할당센서** : Brnach사이트의 VPN을 구동할 센서를 선택합니다. VPN 장비를 사용할 경우 선택하지 않습니다.

5. 설정 완료 후 , 시스템 -> 사이트  -> **생성한 Hub 또는 Branch 사이트** -> **상단 탭 ZTNA IPsec Status** 클릭 -> IPsec 터널이 정상적으로 연결되었는지 확인 합니다.
:raw-html:`<br/>`